Zabezpieczenia w usłudze Microsoft Cloud Adoption Framework dla platformy Azure
Podobnie jak wdrażanie chmury to podróż, zabezpieczenia w chmurze to ciągła podróż o przyrostowy postęp i dojrzałość, a nie statyczne miejsce docelowe.
Przewidywanie stanu końcowego zabezpieczeń
Podróż bez celu to tylko tułaczka. Takie podejście może ostatecznie prowadzić do oświecenia, ale cele biznesowe i ograniczenia często wymagają skupienia się na celach i kluczowych wynikach.
Metodologia Secure zapewnia wizję kompletnego stanu końcowego, który prowadzi do poprawy programu zabezpieczeń w czasie. Poniższa wizualizacja mapuje kluczowe sposoby integracji z zabezpieczeniami z większą organizacją i pokazuje dyscypliny w ramach zabezpieczeń.
Cloud Adoption Framework prowadzi tę podróż zabezpieczeń, zapewniając przejrzystość procesów, najlepszych rozwiązań, modeli i środowisk. Te wskazówki opierają się na doświadczeniach i rzeczywistych doświadczeniach rzeczywistych klientów, podróży firmy Microsoft w zakresie zabezpieczeń i pracy z organizacjami, takimi jak NIST, The Open Group i Center for Internet Security (CIS).
W poniższym filmie wideo pokazano, jak metodologia Secure pomaga w prowadzeniu ulepszeń zabezpieczeń w czasie.
Mapuj na pojęcia, struktury i standardy
Zabezpieczenia to autonomiczna dyscyplina organizacyjna i atrybut, który jest zintegrowany lub nakładany na inne dyscypliny. Trudno jest dokładnie zdefiniować i zmapować szczegóły. Branża zabezpieczeń używa różnych struktur do działania, przechwytywania ryzyka i planowania kontroli. Dyscypliny w metodologii secure caF odnoszą się do innych pojęć dotyczących zabezpieczeń i wskazówek w następujący sposób:
Zero Trust: firma Microsoft uważa, że wszystkie dyscypliny zabezpieczeń powinny przestrzegać zasad Zero Trust, które zakładają naruszenie, jawnie weryfikują i używają dostępu do najniższych uprawnień. Te zasady stanowią podstawę każdej solidnej strategii zabezpieczeń i muszą być zrównoważone za pomocą celów związanych z włączaniem działalności biznesowej . Pierwsza i najbardziej widoczna część Zero Trust znajduje się w kontroli dostępu, dlatego jest wyróżniona w opisie dziedziny zabezpieczeń kontroli dostępu.
Otwórz grupę: Te dyscypliny zabezpieczeń są ściśle mapowane na składniki Zero Trust w podstawowych zasadach oficjalny dokument opublikowany przez grupę Open Group, w której firma Microsoft aktywnie uczestniczy. Istotnym wyjątkiem jest to, że firma Microsoft podniosła dyscyplinę zabezpieczeń innowacji, aby devSecOps był elementem najwyższego poziomu ze względu na to, jak nowa, ważna i transformacyjna ta dyscyplina jest dla wielu organizacji.
Struktura cyberbezpieczeństwa NIST: W przypadku organizacji korzystających z struktury cyberbezpieczeństwa NIST wyróżniono pogrubiony tekst, w którym struktura jest najbardziej zbliżona do map. Nowoczesna kontrola dostępu i metodyka DevSecOps są ogólnie mapowane na pełne spektrum platformy, dzięki czemu te elementy nie są zanotowane indywidualnie.
Mapowanie na role i obowiązki
Na poniższym diagramie przedstawiono podsumowanie ról i obowiązków w programie zabezpieczeń.
Aby uzyskać więcej informacji, zobacz Funkcje zabezpieczeń w chmurze.
Przekształcanie zabezpieczeń
Gdy organizacje wdrażają chmurę, szybko stwierdzają, że statyczne procesy zabezpieczeń nie nadążają za tempem zmian na platformach w chmurze, środowisku zagrożeń i ewolucji technologii zabezpieczeń. Bezpieczeństwo musi przejść do stale zmieniającego się podejścia, aby dopasować tempo tej zmiany. Przekształca kulturę organizacyjną i codzienne procesy w całej organizacji.
Ta metodologia prowadzi do integracji zabezpieczeń z procesami biznesowymi i dziedzinami technicznymi zabezpieczeń. Te procesy i dyscypliny umożliwiają znaczący i zrównoważony postęp w procesie zabezpieczeń w celu zmniejszenia ryzyka organizacyjnego. Niewiele organizacji może jednocześnie doskonalić wszystkie te praktyki, ale wszystkie organizacje powinny stale dojrzać każdy proces i dyscyplinę.
Zmienianie sterowników
Organizacje zabezpieczeń jednocześnie doświadczają dwóch typów głównych przekształceń.
-
Bezpieczeństwo jako ryzyko biznesowe: Bezpieczeństwo zostało napędzane do obszaru zarządzania ryzykiem biznesowym z czysto technicznej dyscypliny zorientowanej na jakość. Podwójne siły napędzające zabezpieczenia są następujące:
- Transformacja cyfrowa: Ślad cyfrowy stale zwiększa potencjalną powierzchnię ataków w organizacji.
- Krajobraz zagrożeń: Zwiększa liczbę ataków i wyrafinowanie, które są napędzane przez uprzemysłowioną gospodarkę ataków z wyspecjalizowanymi umiejętnościami i ciągłymi towarami narzędzi i technik ataku.
- Zmiana platformy: Zabezpieczenia zmagają się ze zmianą platformy technicznej w chmurze. Ta zmiana jest w skali fabryk zmieniających się z uruchamiania własnych generatorów elektrycznych do podłączania do sieci elektrycznej. Podczas gdy zespoły ds. zabezpieczeń często mają odpowiednie podstawowe umiejętności, stają się przytłoczeni zmianami niemal każdego procesu i technologii, z których korzystają codziennie.
- Zmiana oczekiwań: W ciągu ostatniej dekady innowacje cyfrowe na nowo zdefiniowały całe branże. Elastyczność biznesowa, szczególnie elastyczność związana z transformacją cyfrową, może szybko odsunąć organizację od lidera rynku. Utrata zaufania konsumentów może mieć podobny wpływ na firmę. Kiedyś dopuszczalne było, aby zabezpieczenia zaczęły się od "nie", aby zablokować projekt i chronić organizację. Teraz pilność przyjęcia transformacji cyfrowej musi zmienić model zaangażowania, aby "porozmawiajmy o tym, jak zachować bezpieczeństwo, robiąc to, co jest potrzebne, aby zachować znaczenie".
Przewodnik po trwałej transformacji
Aby przekształcić sposób wyświetlania zabezpieczeń przez zespoły biznesowe i technologiczne, wymaga dostosowania zabezpieczeń do priorytetów, procesów i struktury ryzyka. Najważniejsze obszary, które napędzają sukces, to:
- Kultury: Kultura bezpieczeństwa musi być skoncentrowana na bezpiecznym spotkaniu z misją biznesową, a nie jej utrudnianiu. Zabezpieczenia muszą stać się znormalizowaną częścią kultury organizacji. Internet, w którym działa firma, jest otwarty i umożliwia przeciwnikom próby ataków w dowolnym momencie. Ta zmiana kulturowa wymaga ulepszonych procesów, partnerstw i ciągłego wsparcia przywódczego na wszystkich szczeblach w celu komunikowania się ze zmianami, modelowania zachowania i wzmocnienia zmiany.
- Własność ryzyka: Odpowiedzialność za ryzyko bezpieczeństwa powinna zostać przypisana do tych samych ról, które są właścicielami wszystkich innych zagrożeń. Ta odpowiedzialność uwalnia bezpieczeństwo od zaufanego doradcy i eksperta w danej dziedzinie, a nie kozła ofiarnego. Bezpieczeństwo powinno być odpowiedzialne za zdrowe i zrównoważone porady, które są przekazywane w języku tych przywódców, ale nie powinny być pociągnięte do odpowiedzialności za decyzje, których nie posiadają.
-
Talent zabezpieczeń: Talenty w zakresie zabezpieczeń są w przewlekłym niedoborze, a organizacje powinny planować, jak najlepiej rozwijać i rozpowszechniać wiedzę i umiejętności w zakresie zabezpieczeń. Oprócz rozwoju zespołów ds. zabezpieczeń bezpośrednio z zestawami umiejętności technicznych, dojrzałe zespoły ds. zabezpieczeń dywersyfikowają swoją strategię, koncentrując się na:
- Rosnące zestawy umiejętności zabezpieczeń i wiedza w istniejących zespołach IT i w firmie. Te umiejętności są szczególnie ważne dla zespołów DevOps z podejściem DevSecOps. Umiejętności mogą mieć wiele form, takich jak pomoc techniczna dotycząca zabezpieczeń, identyfikowanie i szkolenie mistrzów w społeczności lub programy wymiany miejsc pracy.
- Rekrutowanie różnorodnych zestawów umiejętności do zespołów ds. zabezpieczeń w celu wprowadzenia nowych perspektyw i struktur do problemów (takich jak biznes, psychologia ludzka lub ekonomia) i budowanie lepszych relacji w organizacji.
Spójność biznesowa
Ze względu na te zmiany program wdrażania chmury powinien skupić się głównie na dostosowaniu firmy w trzech kategoriach:
- Szczegółowe informacje o ryzyku: Dopasuj i zintegruj szczegółowe informacje o zabezpieczeniach oraz sygnały ryzyka lub źródła do inicjatyw biznesowych. Upewnij się, że powtarzalne procesy edukują zespoły w zakresie stosowania tych szczegółowych informacji i pociągną zespoły do odpowiedzialności za ulepszenia.
- Integracja z zabezpieczeniami: Zintegruj wiedzę na temat zabezpieczeń, umiejętności i wgląd w codzienne operacje w środowisku biznesowym i IT. Uwzględnij powtarzalne procesy i głębokie partnerstwo na wszystkich poziomach organizacji.
- Odporność operacyjna: Upewnij się, że organizacja jest odporna, kontynuując operacje podczas ataku (nawet w przypadku stanu obniżonej wydajności). Organizacja powinna szybko odbić się do pełnej operacji.
Dyscypliny zabezpieczeń
Ta transformacja ma inny wpływ na każdą dyscyplinę zabezpieczeń. Każda z tych dyscyplin jest ważna i wymaga inwestycji. Następujące dyscypliny są uporządkowane (w przybliżeniu), według których te mają najbardziej bezpośrednie możliwości szybkiego zwycięstwa podczas wdrażania chmury:
- Kontrola dostępu: Zastosowanie sieci i tożsamości tworzy granice dostępu i segmentację, aby zmniejszyć częstotliwość i zasięg naruszeń zabezpieczeń.
- Operacje zabezpieczeń: Monitorowanie operacji IT w celu wykrywania, reagowania i odzyskiwania po naruszeniu zabezpieczeń. Użyj danych, aby stale zmniejszać ryzyko naruszenia zabezpieczeń.
- Ochrona zasobów: Maksymalizuj ochronę zasobów, takich jak infrastruktura, urządzenia, dane, aplikacje, sieci i tożsamości, aby zminimalizować ryzyko dla całego środowiska.
- Nadzór nad zabezpieczeniami: Delegowane decyzje przyspieszają innowacje i wprowadzają nowe zagrożenia. Monitoruj decyzje, konfiguracje i dane, aby zarządzać decyzjami podejmowanymi w środowisku i obciążeniach w całym portfolio.
- Bezpieczeństwo innowacji: Ponieważ organizacja wdraża modele DevOps w celu zwiększenia tempa innowacji, bezpieczeństwo musi stać się integralną częścią procesu DevSecOps. Integrowanie wiedzy i zasobów zabezpieczeń bezpośrednio w tym szybkim cyklu. Ten proces obejmuje zmianę procesu podejmowania decyzji od scentralizowanych zespołów w celu umożliwienia zespołom skoncentrowanym na obciążeniach.
Przewodnie
Działania zabezpieczeń powinny być dostosowane do i ukształtowane przez podwójne skupienie się na:
- Włączanie działalności biznesowej: Dopasowanie do celu biznesowego i struktury ryzyka organizacji.
-
Zabezpieczenia: Skoncentruj się na stosowaniu zasad Zero Trust, które są następujące:
- Przyjmij naruszenie: Podczas projektowania zabezpieczeń dla składnika lub systemu można zmniejszyć ryzyko rozszerzenia dostępu przez osobę atakującą, zakładając, że inne zasoby w organizacji zostaną naruszone.
- Weryfikacja jawna: Jawnie zweryfikuj zaufanie przy użyciu wszystkich dostępnych punktów danych, zamiast zakładać zaufanie. Na przykład w kontroli dostępu zweryfikuj tożsamość użytkownika, lokalizację, kondycję urządzenia, usługę lub obciążenie, klasyfikację danych i anomalie, zamiast zezwalać na dostęp z niejawnie zaufanej sieci wewnętrznej.
- Dostęp z najniższymi uprawnieniami: Ogranicz ryzyko naruszenia zabezpieczeń użytkownika lub zasobu, zapewniając dostęp just in time i just-enough-access (JIT/JEA), oparte na ryzyku zasady adaptacyjne i ochronę danych, aby pomóc w zabezpieczeniu danych i produktywności.
Następne kroki
Metodologia Secure jest częścią kompleksowego zestawu wskazówek dotyczących zabezpieczeń, które obejmują również:
- Azure Well-Architected Framework: wskazówki dotyczące zabezpieczania obciążeń na platformie Azure.
- Projekt architektury zabezpieczeń: podróż na poziomie implementacji naszych architektur zabezpieczeń. Przeglądaj architektury zabezpieczeń.
- Testy porównawcze zabezpieczeń platformy Azure: normatywne najlepsze rozwiązania i mechanizmy kontroli dotyczące zabezpieczeń platformy Azure.
- Strefa docelowa w skali przedsiębiorstwa: architektura referencyjna i implementacja platformy Azure ze zintegrowanymi zabezpieczeniami.
- 10 najlepszych rozwiązań w zakresie zabezpieczeń dla platformy Azure: najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure, które firma Microsoft zaleca w oparciu o wnioski zdobyte przez klientów i własne środowiska.
- Architektury cyberbezpieczeństwa firmy Microsoft: diagramy opisują sposób integracji możliwości zabezpieczeń firmy Microsoft z platformami firmy Microsoft i platformami innych firm.