Infrastructuurbeveiligingsbewerkingen en -governance
In dit artikel worden bewerkingen en governance voor uw organisatie beschreven in de context van infrastructuurbeveiliging.
Toewijzing en bewustzijn van verantwoordelijkheid
Definieer welke rollen verantwoordelijk zijn voor welke beveiligingsbeslissingen. Verantwoordelijkheid op grote schaal adverteren in uw organisatie en projectteams. Deze aanpak zorgt ervoor dat beslissingen snel en consistent worden genomen. Het vermindert vertragingen bij de uitvoering van projecten en de implementatie van beveiligingsbeheer.
Het verduidelijken van rolverantwoordelijkheid en het vergroten van het bewustzijn binnen uw organisatie helpt bij het beperken van bedrijfsrisico's met behulp van systeemeigen hulpprogramma's voor cloudbeveiligingsgovernance en beveiligingsbewerkingen . Behoud belangrijke rollen en verantwoordelijkheden binnen uw beveiligingsteams met vastgestelde lijnen van verantwoordelijkheid en verantwoordelijkheid.
Gebruik dit werkblad voor bijhouden om uw cloudroltracering vast te leggen en te delen en partijen aan te wijzen voor specifieke functies.
Aanbevolen procedures voor governance
Beveiligingsgovernance breidt de governancestandaarden uit voor alle cloudassets in omgevingen. Consistente uitvoering van best practices voor beveiliging en besturingselementen voor cloudassets maakt on-demand, op schaal en continue verbetering van de zichtbaarheid van assets mogelijk. Assets worden continu gedetecteerd. De beveiligingspostuur wordt bewaakt, inclusief beheer van beveiligingsproblemen, rapportage van beveiligingsnaleving en geautomatiseerde beleidsgestuurde governance-implementatie.
Een uitgebreide strategie voor beveiligingsgovernance omvat de holistische implementatie van risicobeheer, governance-evaluatie en beveiligingspostuurbeheer voor alle assets. Effectieve risicobeperking omvat constante governancenalevingsvalidatie en -evaluaties. Met deze validaties en evaluaties wordt de governance van best practices voor alle cloudassets van uw onderneming operationeel gemaakt. Beveiligingsgovernance omvat de continue governance-evaluatie van uw cloudresources. Het omvat ook beveiligingspostuurbeheer.
Continue governance-evaluatie
Zorg ervoor dat uw cloudomgevingen een veilige architectuur gebruiken op basis van de ontwerpprincipes van de Azure-landingszone en overwegingen en aanbevelingen voor ontwerpgebied. Gebruik ZT-principes (Zero Trust) en vooraf ingerichte code met besturingselementen voor beveiligingsgovernance.
De volgende kritieke stap is het onderhouden van goede governancestrategieën om deze beveiligingsgaranties en -procedures te handhaven voor alle resources in uw omgevingen. Deze benadering minimaliseert bedrijfsrisico's terwijl cloudassets beveiligd en beveiligd blijven.
Gebruik incrementele beleidsverbeteringen om taken voor resourceconsistentie continu te ontwikkelen. Blijf de risicotolerantie van uw organisatie evalueren, terwijl u de cloudassets van uw organisatie wilt beschermen en beveiligen.
Beveiliging van cloudworkloads
Cloud workload protection (CWP) biedt uw organisatie beveiligingspostuurbeheer en intelligente mogelijkheden voor bedreigingsbeveiliging. Deze mogelijkheden beschermen uw workloads in hybride omgevingen en omgevingen met meerdere clouds.
Implementeer Microsoft Defender for Cloud met automatische inrichting in systeemeigen geïntegreerde Azure-services. Deze services omvatten PaaS-services, Azure-gegevensservices, netwerken, Azure Service Fabric, Azure SQL Database, Azure SQL Managed Instance en Azure Storage. Deze aanpak versterkt uw beveiligingspostuur voor cloudresources met continue evaluatie en tracering van beveiligingsproblemen.
Defender for Cloud implementeert beveiligingstaken voor resources en services met behulp van Azure Security Benchmark. Het geeft beveiligingswaarschuwingen uit voor bedreigingen voor workloads en resources. Het kan worden geïntegreerd met Microsoft Sentinel en u kunt waarschuwingen integreren met SIEM, SOAR en andere it-servicebeheeroplossingen. De beveiligingsmogelijkheden worden ook uitgebreid naar meerdere clouds, zoals Amazon Web Services, Kubernetes-containers en Linux-servers. Defender voor Cloud implementeert Agents voor Azure Monitor-logboeken, ingeschakeld door Azure Arc, om beveiligingsgerelateerde informatie te verzamelen over niet-Azure-resources.
Beheer van cloudbeveiligingspostuur
Gebruik moderne CSPM-hulpprogramma's (Cloud Security Posture Management) om continu beveiligingsrisico's te rapporteren en te beperken. Hulpprogramma's zoals Defender voor Cloud en Azure Policy helpen bij het identificeren en prioriteren van beveiligingsverbeteringen. Verbeteringen zijn gericht op het verstoren van het rendement op investeringen (ROI) van potentiële aanvallers.
Tip
Standaard wijzen Azure-landingszones een beleid toe om Defender for Cloud in te schakelen voor alle abonnementen in de hiërarchie. Azure Policy maakt gebruik van het deployIfNotExists effect volgens het ontwerpprincipe voor governance van azure-landingszones.
Moderne CSPM-hulpprogramma's meten ook vaak toegangsbeheer op basis van Zero Trust principes. Deze hulpprogramma's bieden realtime risicoscores, continue bewaking van gebruikerstoegang en tvm-inzichten (Threat and Vulnerability Management). Moderne EASM-hulpprogramma's (Enterprise Attack Surface Management), zoals RiskIQ-beveiligingsbeheer, kunnen deze aanpak aanvullen met een extern perspectief op het aanvalsoppervlak van uw onderneming.
Samen zorgen deze toolsets voor een brede zichtbaarheid en inzichten in uw aanvalsoppervlakken en -risico's. U kunt deze zichtbaarheid integreren in uw operationele en technische processen om uw beveiligingspostuur continu te verbeteren.
Uw processen en procedures moeten ook het volgende omvatten:
- Bedreigingsmodelleringssystemen, architecturen en specifieke toepassingen.
- Geautomatiseerde besturingselementen voor governance met Azure Policy als codewerkstromen. Deze controles zijn kaders waarmee standaarden en beleidsregels worden gecontroleerd en afgedwongen. Deze codewerkstromen omvatten Azure Resource Management-sjablonen, ALZ-Bicep-modules en Terraform-modules in de Azure-landingszone.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor