Zarządzanie, ryzyko i zgodność

  • Artykuł
  • Czas czytania: 4 min

W ramach ogólnego projektowania należy określić priorytety, w których należy inwestować dostępne zasoby; finansowych, ludzi i czasu. Ograniczenia dotyczące tych zasobów wpływają również na implementację zabezpieczeń w całej organizacji. Aby osiągnąć odpowiedni zwrot z inwestycji w zabezpieczenia, organizacja musi najpierw zrozumieć i zdefiniować jej priorytety zabezpieczeń.

  • Zarządzania: Jak zabezpieczenia organizacji będą monitorowane, poddawane inspekcji i raportowane? Projektowanie i implementacja mechanizmów kontroli zabezpieczeń w organizacji jest tylko początkiem scenariusza. Jak organizacja wie, że rzeczy rzeczywiście działają? Czy są one ulepszane? Czy istnieją nowe wymagania? Czy istnieje obowiązkowe raportowanie? Podobnie jak w przypadku zgodności, mogą istnieć standardy branżowe, rządowe lub regulacyjne, które należy wziąć pod uwagę.

  • Ryzyko: Jakie rodzaje ryzyka napotyka organizacja podczas próby ochrony informacji możliwych do zidentyfikowania, własności intelektualnej (IP), informacji finansowych? KtoTo może być zainteresowany lub może użyć tych informacji w przypadku kradzieży, w tym zagrożeń zewnętrznych i wewnętrznych, a także niezamierzonych lub złośliwych? Często zapomniane, ale niezwykle ważne kwestie związane z ryzykiem to rozwiązanie problemu odzyskiwania po awarii i ciągłości działania.

  • Zgodności: Czy istnieją określone wymagania branżowe, rządowe lub regulacyjne, które określają lub udostępniają zalecenia dotyczące kryteriów, które muszą spełniać mechanizmy kontroli zabezpieczeń organizacji? Przykłady takich standardów, organizacji, kontroli i przepisów to ISO27001, NIST, PCI-DSS.

Zbiorczą rolą organizacji jest zarządzanie standardami zabezpieczeń organizacji w ramach ich cyklu życia:

  • Zdefiniować: Ustaw zasady organizacyjne dla operacji, technologii i konfiguracji na podstawie czynników wewnętrznych (wymagań biznesowych, ryzyka, oceny zasobów) i czynników zewnętrznych (testy porównawcze, standardy regulacyjne, środowisko zagrożeń).

  • Poprawić: Nieustannie naciskaj te standardy przyrostowo w kierunku idealnego stanu, aby zapewnić ciągłą redukcję ryzyka.

  • Utrzymania: Upewnij się, że stan zabezpieczeń nie obniża się naturalnie w czasie przez ustanowienie inspekcji i monitorowania zgodności ze standardami organizacyjnymi.

Określanie priorytetów inwestycji w najlepsze rozwiązania w zakresie zabezpieczeń

Najlepsze rozwiązania w zakresie zabezpieczeń są stosowane aktywnie i całkowicie we wszystkich systemach podczas tworzenia programu w chmurze, ale nie jest to rzeczywistość dla większości organizacji przedsiębiorstwa. Cele biznesowe, ograniczenia projektu i inne czynniki często powodują, że organizacje równoważą ryzyko bezpieczeństwa przed innymi czynnikami ryzyka i stosują podzbiór najlepszych rozwiązań w dowolnym momencie.

Zalecamy jak najszybsze stosowanie jak największej liczby najlepszych rozwiązań, a następnie pracę nad modernizacją wszelkich luk w czasie w miarę dojrzewania programu zabezpieczeń w celu przeglądu, priorytetyzacji i proaktywnego stosowania najlepszych rozwiązań dotyczących zasobów w chmurze. Zalecamy ocenę następujących zagadnień podczas określania priorytetów, które należy wykonać najpierw:

  • Duży wpływ na działalność biznesową i wysoce narażone systemy: Obejmują one systemy z bezpośrednią wartością wewnętrzną, a także systemy, które zapewniają osobom atakującym ścieżkę do nich. Aby uzyskać więcej informacji, zobacz Identyfikowanie i klasyfikowanie aplikacji krytycznych dla działania firmy.

  • Najłatwiej zaimplementować środki zaradcze: Zidentyfikuj szybkie zwycięstwa, ustalając priorytety najlepszych rozwiązań, które organizacja może wykonać szybko, ponieważ masz już wymagane umiejętności, narzędzia i wiedzę, aby to zrobić (na przykład implementowanie zapory aplikacji internetowej w celu ochrony starszej aplikacji). Należy zachować ostrożność, aby nie używać wyłącznie tej krótkoterminowej metody priorytetyzacji (lub nadmiernej użycia). Może to zwiększyć ryzyko, uniemożliwiając programowi rozwój i pozostawienie krytycznych zagrożeń narażonych na dłuższy czas.

Firma Microsoft udostępniła kilka priorytetowych list inicjatyw zabezpieczeń, które ułatwiają organizacjom rozpoczęcie od tych decyzji w oparciu o nasze doświadczenie w zakresie zagrożeń i inicjatyw zaradczych we własnych środowiskach i w naszych klientach. Zobacz Moduł 4a warsztatów CISO firmy Microsoft.

Lista kontrolna

Jakie kwestie należy wziąć pod uwagę pod kątem zgodności i ładu?

  • Utwórz strefę docelową dla obciążenia. Infrastruktura musi mieć odpowiednie mechanizmy kontroli i powtarzać się przy każdym wdrożeniu.
  • Wymuszanie tworzenia i usuwania usług oraz ich konfiguracji za pomocą zasad platformy Azure.
  • Zapewnij spójność w całym przedsiębiorstwie, stosując zasady, uprawnienia i tagi we wszystkich subskrypcjach poprzez staranną implementację głównej grupy zarządzania.
  • Zapoznaj się z wymaganiami prawnymi i danymi operacyjnymi, które mogą być używane do przeprowadzania inspekcji.
  • Ciągłe monitorowanie i ocenianie zgodności obciążenia. Wykonaj regularne zaświadczania, aby uniknąć kar.
  • Przejrzyj i zastosuj zalecenia z platformy Azure.
  • Korygowanie podstawowych luk w zabezpieczeniach w celu utrzymania wysokiego poziomu kosztów przez osobę atakującą.

W tej sekcji

Postępuj zgodnie z tymi pytaniami, aby ocenić obciążenie na wyższym poziomie.

Ocena Opis
Czy istnieją jakieś wymagania prawne dotyczące tego obciążenia? Omówienie wszystkich wymagań prawnych. Zapoznaj się z Centrum zaufania firmy Microsoft, aby uzyskać najnowsze informacje, wiadomości i najlepsze rozwiązania dotyczące zabezpieczeń, prywatności i zgodności.
Czy organizacja używa strefy docelowej dla tego obciążenia? Należy wziąć pod uwagę mechanizmy kontroli zabezpieczeń umieszczone w infrastrukturze, w której obciążenie zostanie wdrożone.
Czy masz strategię segmentacji Model referencyjny i strategie dotyczące sposobu segmentowania funkcji i zespołów.
Czy używasz grup zarządzania w ramach strategii segmentacji? Strategie używania grup zarządzania do zarządzania zasobami w wielu subskrypcjach spójnie i wydajnie.
Jakie mechanizmy kontroli zabezpieczeń obowiązują w celu uzyskania dostępu do infrastruktury platformy Azure? Wskazówki dotyczące ograniczania narażenia na ryzyko w zakresie i czasie konfigurowania kont o krytycznym znaczeniu, takich jak Administratorzy.

Test porównawczy zabezpieczeń platformy Azure

Test porównawczy zabezpieczeń platformy Azure obejmuje kolekcję zaleceń dotyczących zabezpieczeń o wysokim wpływie, których można użyć do zabezpieczenia usług używanych na platformie Azure:

Security Benchmark Pytania w tej sekcji są dostosowane do następujących kontrolek:

Architektura referencyjna

Poniżej przedstawiono niektóre architektury referencyjne związane z ładem:

Cloud Adoption Framework architekturę strefy docelowej w skali przedsiębiorstwa

Następne kroki

Zapewnianie bezpieczeństwa za pomocą zarządzania tożsamościami w celu uwierzytelniania i udzielania uprawnień użytkownikom, partnerom, klientom, aplikacjom, usługom i innym podmiotom.

Zarządzanie tożsamościami i dostępem

Wstecz do głównego artykułu: Zabezpieczenia