Zabezpieczenia w usłudze Microsoft Cloud Adoption Framework dla platformy Azure

  • Artykuł

Podobnie jak wdrażanie chmury to podróż, zabezpieczenia w chmurze to ciągła podróż o przyrostowy postęp i dojrzałość, a nie statyczne miejsce docelowe.

Przewidywanie stanu końcowego zabezpieczeń

Podróż bez celu to tylko tułaczka. Takie podejście może ostatecznie prowadzić do oświecenia, ale cele biznesowe i ograniczenia często wymagają skupienia się na celach i kluczowych wynikach.

Metodologia Secure zapewnia wizję kompletnego stanu końcowego, który prowadzi do poprawy programu zabezpieczeń w czasie. Poniższa wizualizacja mapuje kluczowe sposoby integracji z zabezpieczeniami z większą organizacją i pokazuje dyscypliny w ramach zabezpieczeń.

Wizualizacja przedstawiająca spójność biznesową i dyscypliny zabezpieczeń metodologii SECURE caF.

Cloud Adoption Framework prowadzi tę podróż zabezpieczeń, zapewniając przejrzystość procesów, najlepszych rozwiązań, modeli i środowisk. Te wskazówki opierają się na doświadczeniach i rzeczywistych doświadczeniach rzeczywistych klientów, podróży firmy Microsoft w zakresie zabezpieczeń i pracy z organizacjami, takimi jak NIST, The Open Group i Center for Internet Security (CIS).

W poniższym filmie wideo pokazano, jak metodologia Secure pomaga w prowadzeniu ulepszeń zabezpieczeń w czasie.

Mapuj na pojęcia, struktury i standardy

Zabezpieczenia to autonomiczna dyscyplina organizacyjna i atrybut, który jest zintegrowany lub nakładany na inne dyscypliny. Trudno jest dokładnie zdefiniować i zmapować szczegóły. Branża zabezpieczeń używa różnych struktur do działania, przechwytywania ryzyka i planowania kontroli. Dyscypliny w metodologii secure caF odnoszą się do innych pojęć dotyczących zabezpieczeń i wskazówek w następujący sposób:

  • Zero Trust: firma Microsoft uważa, że wszystkie dyscypliny zabezpieczeń powinny przestrzegać zasad Zero Trust, które zakładają naruszenie, jawnie weryfikują i używają dostępu do najniższych uprawnień. Te zasady stanowią podstawę każdej solidnej strategii zabezpieczeń i muszą być zrównoważone za pomocą celów związanych z włączaniem działalności biznesowej . Pierwsza i najbardziej widoczna część Zero Trust znajduje się w kontroli dostępu, dlatego jest wyróżniona w opisie dziedziny zabezpieczeń kontroli dostępu.

  • Otwórz grupę: Te dyscypliny zabezpieczeń są ściśle mapowane na składniki Zero Trust w podstawowych zasadach oficjalny dokument opublikowany przez grupę Open Group, w której firma Microsoft aktywnie uczestniczy. Istotnym wyjątkiem jest to, że firma Microsoft podniosła dyscyplinę zabezpieczeń innowacji, aby devSecOps był elementem najwyższego poziomu ze względu na to, jak nowa, ważna i transformacyjna ta dyscyplina jest dla wielu organizacji.

  • Struktura cyberbezpieczeństwa NIST: W przypadku organizacji korzystających z struktury cyberbezpieczeństwa NIST wyróżniono pogrubiony tekst, w którym struktura jest najbardziej zbliżona do map. Nowoczesna kontrola dostępu i metodyka DevSecOps są ogólnie mapowane na pełne spektrum platformy, dzięki czemu te elementy nie są zanotowane indywidualnie.

Mapowanie na role i obowiązki

Na poniższym diagramie przedstawiono podsumowanie ról i obowiązków w programie zabezpieczeń.

Diagram obowiązków i funkcji zespołu ds. zabezpieczeń przedsiębiorstwa.

Aby uzyskać więcej informacji, zobacz Funkcje zabezpieczeń w chmurze.

Przekształcanie zabezpieczeń

Gdy organizacje wdrażają chmurę, szybko stwierdzają, że statyczne procesy zabezpieczeń nie nadążają za tempem zmian na platformach w chmurze, środowisku zagrożeń i ewolucji technologii zabezpieczeń. Bezpieczeństwo musi przejść do stale zmieniającego się podejścia, aby dopasować tempo tej zmiany. Przekształca kulturę organizacyjną i codzienne procesy w całej organizacji.

Ta metodologia prowadzi do integracji zabezpieczeń z procesami biznesowymi i dziedzinami technicznymi zabezpieczeń. Te procesy i dyscypliny umożliwiają znaczący i zrównoważony postęp w procesie zabezpieczeń w celu zmniejszenia ryzyka organizacyjnego. Niewiele organizacji może jednocześnie doskonalić wszystkie te praktyki, ale wszystkie organizacje powinny stale dojrzać każdy proces i dyscyplinę.

Zmienianie sterowników

Organizacje zabezpieczeń jednocześnie doświadczają dwóch typów głównych przekształceń.

  • Bezpieczeństwo jako ryzyko biznesowe: Bezpieczeństwo zostało napędzane do obszaru zarządzania ryzykiem biznesowym z czysto technicznej dyscypliny zorientowanej na jakość. Podwójne siły napędzające zabezpieczenia są następujące:
    • Transformacja cyfrowa: Ślad cyfrowy stale zwiększa potencjalną powierzchnię ataków w organizacji.
    • Krajobraz zagrożeń: Zwiększa liczbę ataków i wyrafinowanie, które są napędzane przez uprzemysłowioną gospodarkę ataków z wyspecjalizowanymi umiejętnościami i ciągłymi towarami narzędzi i technik ataku.
  • Zmiana platformy: Zabezpieczenia zmagają się ze zmianą platformy technicznej w chmurze. Ta zmiana jest w skali fabryk zmieniających się z uruchamiania własnych generatorów elektrycznych do podłączania do sieci elektrycznej. Podczas gdy zespoły ds. zabezpieczeń często mają odpowiednie podstawowe umiejętności, stają się przytłoczeni zmianami niemal każdego procesu i technologii, z których korzystają codziennie.
  • Zmiana oczekiwań: W ciągu ostatniej dekady innowacje cyfrowe na nowo zdefiniowały całe branże. Elastyczność biznesowa, szczególnie elastyczność związana z transformacją cyfrową, może szybko odsunąć organizację od lidera rynku. Utrata zaufania konsumentów może mieć podobny wpływ na firmę. Kiedyś dopuszczalne było, aby zabezpieczenia zaczęły się od "nie", aby zablokować projekt i chronić organizację. Teraz pilność przyjęcia transformacji cyfrowej musi zmienić model zaangażowania, aby "porozmawiajmy o tym, jak zachować bezpieczeństwo, robiąc to, co jest potrzebne, aby zachować znaczenie".

Przewodnik po trwałej transformacji

Aby przekształcić sposób wyświetlania zabezpieczeń przez zespoły biznesowe i technologiczne, wymaga dostosowania zabezpieczeń do priorytetów, procesów i struktury ryzyka. Najważniejsze obszary, które napędzają sukces, to:

  • Kultury: Kultura bezpieczeństwa musi być skoncentrowana na bezpiecznym spotkaniu z misją biznesową, a nie jej utrudnianiu. Zabezpieczenia muszą stać się znormalizowaną częścią kultury organizacji. Internet, w którym działa firma, jest otwarty i umożliwia przeciwnikom próby ataków w dowolnym momencie. Ta zmiana kulturowa wymaga ulepszonych procesów, partnerstw i ciągłego wsparcia przywódczego na wszystkich szczeblach w celu komunikowania się ze zmianami, modelowania zachowania i wzmocnienia zmiany.
  • Własność ryzyka: Odpowiedzialność za ryzyko bezpieczeństwa powinna zostać przypisana do tych samych ról, które są właścicielami wszystkich innych zagrożeń. Ta odpowiedzialność uwalnia bezpieczeństwo od zaufanego doradcy i eksperta w danej dziedzinie, a nie kozła ofiarnego. Bezpieczeństwo powinno być odpowiedzialne za zdrowe i zrównoważone porady, które są przekazywane w języku tych przywódców, ale nie powinny być pociągnięte do odpowiedzialności za decyzje, których nie posiadają.
  • Talent zabezpieczeń: Talenty w zakresie zabezpieczeń są w przewlekłym niedoborze, a organizacje powinny planować, jak najlepiej rozwijać i rozpowszechniać wiedzę i umiejętności w zakresie zabezpieczeń. Oprócz rozwoju zespołów ds. zabezpieczeń bezpośrednio z zestawami umiejętności technicznych, dojrzałe zespoły ds. zabezpieczeń dywersyfikowają swoją strategię, koncentrując się na:
    • Rosnące zestawy umiejętności zabezpieczeń i wiedza w istniejących zespołach IT i w firmie. Te umiejętności są szczególnie ważne dla zespołów DevOps z podejściem DevSecOps. Umiejętności mogą mieć wiele form, takich jak pomoc techniczna dotycząca zabezpieczeń, identyfikowanie i szkolenie mistrzów w społeczności lub programy wymiany miejsc pracy.
    • Rekrutowanie różnorodnych zestawów umiejętności do zespołów ds. zabezpieczeń w celu wprowadzenia nowych perspektyw i struktur do problemów (takich jak biznes, psychologia ludzka lub ekonomia) i budowanie lepszych relacji w organizacji.

Spójność biznesowa

Ze względu na te zmiany program wdrażania chmury powinien skupić się głównie na dostosowaniu firmy w trzech kategoriach:

  • Szczegółowe informacje o ryzyku: Dopasuj i zintegruj szczegółowe informacje o zabezpieczeniach oraz sygnały ryzyka lub źródła do inicjatyw biznesowych. Upewnij się, że powtarzalne procesy edukują zespoły w zakresie stosowania tych szczegółowych informacji i pociągną zespoły do odpowiedzialności za ulepszenia.
  • Integracja z zabezpieczeniami: Zintegruj wiedzę na temat zabezpieczeń, umiejętności i wgląd w codzienne operacje w środowisku biznesowym i IT. Uwzględnij powtarzalne procesy i głębokie partnerstwo na wszystkich poziomach organizacji.
  • Odporność operacyjna: Upewnij się, że organizacja jest odporna, kontynuując operacje podczas ataku (nawet w przypadku stanu obniżonej wydajności). Organizacja powinna szybko odbić się do pełnej operacji.

Dyscypliny zabezpieczeń

Ta transformacja ma inny wpływ na każdą dyscyplinę zabezpieczeń. Każda z tych dyscyplin jest ważna i wymaga inwestycji. Następujące dyscypliny są uporządkowane (w przybliżeniu), według których te mają najbardziej bezpośrednie możliwości szybkiego zwycięstwa podczas wdrażania chmury:

  • Kontrola dostępu: Zastosowanie sieci i tożsamości tworzy granice dostępu i segmentację, aby zmniejszyć częstotliwość i zasięg naruszeń zabezpieczeń.
  • Operacje zabezpieczeń: Monitorowanie operacji IT w celu wykrywania, reagowania i odzyskiwania po naruszeniu zabezpieczeń. Użyj danych, aby stale zmniejszać ryzyko naruszenia zabezpieczeń.
  • Ochrona zasobów: Maksymalizuj ochronę zasobów, takich jak infrastruktura, urządzenia, dane, aplikacje, sieci i tożsamości, aby zminimalizować ryzyko dla całego środowiska.
  • Nadzór nad zabezpieczeniami: Delegowane decyzje przyspieszają innowacje i wprowadzają nowe zagrożenia. Monitoruj decyzje, konfiguracje i dane, aby zarządzać decyzjami podejmowanymi w środowisku i obciążeniach w całym portfolio.
  • Bezpieczeństwo innowacji: Ponieważ organizacja wdraża modele DevOps w celu zwiększenia tempa innowacji, bezpieczeństwo musi stać się integralną częścią procesu DevSecOps. Integrowanie wiedzy i zasobów zabezpieczeń bezpośrednio w tym szybkim cyklu. Ten proces obejmuje zmianę procesu podejmowania decyzji od scentralizowanych zespołów w celu umożliwienia zespołom skoncentrowanym na obciążeniach.

Przewodnie

Działania zabezpieczeń powinny być dostosowane do i ukształtowane przez podwójne skupienie się na:

  • Włączanie działalności biznesowej: Dopasowanie do celu biznesowego i struktury ryzyka organizacji.
  • Zabezpieczenia: Skoncentruj się na stosowaniu zasad Zero Trust, które są następujące:
    • Przyjmij naruszenie: Podczas projektowania zabezpieczeń dla składnika lub systemu można zmniejszyć ryzyko rozszerzenia dostępu przez osobę atakującą, zakładając, że inne zasoby w organizacji zostaną naruszone.
    • Weryfikacja jawna: Jawnie zweryfikuj zaufanie przy użyciu wszystkich dostępnych punktów danych, zamiast zakładać zaufanie. Na przykład w kontroli dostępu zweryfikuj tożsamość użytkownika, lokalizację, kondycję urządzenia, usługę lub obciążenie, klasyfikację danych i anomalie, zamiast zezwalać na dostęp z niejawnie zaufanej sieci wewnętrznej.
    • Dostęp z najniższymi uprawnieniami: Ogranicz ryzyko naruszenia zabezpieczeń użytkownika lub zasobu, zapewniając dostęp just in time i just-enough-access (JIT/JEA), oparte na ryzyku zasady adaptacyjne i ochronę danych, aby pomóc w zabezpieczeniu danych i produktywności.

Następne kroki

Metodologia Secure jest częścią kompleksowego zestawu wskazówek dotyczących zabezpieczeń, które obejmują również: