Funkcja zasad i standardów zabezpieczeń w chmurze
Zespoły ds. zasad zabezpieczeń i standardów umożliwiają tworzenie, zatwierdzanie i publikowanie zasad zabezpieczeń oraz standardów w celu kierowania decyzjami dotyczącymi zabezpieczeń w organizacji.
Zasady i standardy powinny:
- Odzwierciedlanie strategii zabezpieczeń organizacji w wystarczająco szczegółowy sposób kierowania decyzjami w organizacji przez różne zespoły
- Zapewnianie produktywności w całej organizacji przy jednoczesnym zmniejszeniu ryzyka biznesowego i misji organizacji
Zasady zabezpieczeń powinny odzwierciedlać długoterminowe zrównoważone cele, które są zgodne ze strategią zabezpieczeń organizacji i tolerancją ryzyka. Zasady powinny zawsze adresować:
- Wymagania dotyczące zgodności z przepisami i bieżący stan zgodności (spełnione wymagania, zaakceptowane ryzyko itd.)
- Ocena architektury bieżącego stanu i to, co jest technicznie możliwe do projektowania, implementowania i wymuszania
- Kultura i preferencje organizacyjne
- Najlepsze rozwiązania branżowe
- Odpowiedzialność za ryzyko bezpieczeństwa przypisane do odpowiednich uczestników projektu biznesowego, którzy są odpowiedzialni za inne zagrożenia i wyniki biznesowe.
Standardy zabezpieczeń definiują procesy i reguły do obsługi wykonywania zasad zabezpieczeń.
Modernizacja
Chociaż zasady powinny pozostać statyczne, standardy powinny być dynamiczne i stale ponownie odwiedzane, aby nadążyć za zmianami w technologii chmury, środowisku zagrożeń i konkurencyjnym środowisku biznesowym.
Ze względu na tę wysoką częstotliwość zmian należy uważnie obserwować liczbę wyjątków, ponieważ może to wskazywać na konieczność dostosowania standardów (lub zasad).
Standardy zabezpieczeń powinny zawierać wskazówki specyficzne dla wdrożenia chmury, takie jak:
- Bezpieczne korzystanie z platform w chmurze na potrzeby hostowania obciążeń
- Bezpieczne korzystanie z modelu DevOps i dołączanie aplikacji w chmurze, interfejsów API i usług w programowania
- Używanie kontrolek obwodowych tożsamości do uzupełniania lub zastępowania kontrolek obwodowych sieci
- Definiowanie strategii segmentacji przed przeniesieniem obciążeń na platformę IaaS
- Tagowanie i klasyfikowanie poufności zasobów
- Definiowanie procesu oceny i upewnienia się, że zasoby są prawidłowo skonfigurowane i zabezpieczone
Kompozycja zespołu i kluczowe relacje
Zasady i standardy zabezpieczeń w chmurze są często udostępniane przez następujące typy ról. Zasady organizacyjne powinny informować (i być informowane przez):
- Architektury zabezpieczeń
- Zespoły ds. zgodności i zarządzania ryzykiem
- Kierownictwo i przedstawiciele jednostki biznesowej
- Technologie informatyczne
- Zespoły kontrolne i prawne
Zasady powinny być uściśliwane na podstawie wielu danych wejściowych/wymagań z całej organizacji, w tym nie tylko do tych przedstawionych na diagramie przeglądu zabezpieczeń.
Następne kroki
Przejrzyj funkcję centrum operacji zabezpieczeń w chmurze (SOC).
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla