Ustanawianie dziedziny Zabezpieczenia infrastruktury

Ten artykuł pomaga zespołom ds. zabezpieczeń i technologii ustanawiać i modernizować dyscyplinę zabezpieczeń infrastruktury w całej firmie. Ta dyscyplina koncentruje się na ochronie podstawowych systemów i platform, które stanowią podstawę zabezpieczeń systemów i danych w całej organizacji.

Dyscypliny zabezpieczeń to grupy powiązanych prac związanych z zabezpieczeniami, które pomagają organizacjom spójnie dostarczać wyniki zabezpieczeń w całej infrastrukturze technologicznej. W ramach modelu wdrażania zabezpieczeń dyscypliny pomagają zapewnić most między scenariuszami biznesowymi a implementacją techniczną, zapewniając, że inwestycje w zabezpieczenia przekładają się na rzeczywiste mierzalne wyniki w ramach modelu wdrażania zabezpieczeń.

Dlaczego ta dyscyplina?

Dyscyplina Zabezpieczenia infrastruktury pomaga organizacjom zmniejszyć ryzyko związane z naruszeniem na dużą skalę, zapobiegając i ograniczając szkody dla centrów danych, serwerów, kontenerów, sieci, magazynu, usług w chmurze i innych zasobów, które przechowują i przetwarzają poufne dane i obciążenia.

Jest to kluczowy priorytet strategiczny, który często staje się celem cyberprzestępców, ponieważ jego przejęcie umożliwia atakującym jednoczesny dostęp do wielu systemów. Nowoczesne, zdyscyplinowane podejście do zabezpieczeń infrastruktury ogranicza promień wybuchu, zwiększa odporność i umożliwia bezpieczne operacje na dużą skalę.

Infrastruktura stanowi podstawę każdego wyniku zabezpieczeń. W przypadku naruszenia zabezpieczeń chmury, kontenerów, wirtualizacji lub innych platform infrastruktury osoby atakujące mogą szybko uzyskiwać dostęp do obciążeń, danych i tożsamości w całej organizacji.

Bez efektywnego bezpieczeństwa infrastruktury i sieci organizacje mogą napotkać następujące problemy:

  • Ataki ransomware i wymuszania
  • Naruszenia zabezpieczeń danych na dużą skalę
  • Niezgodność z przepisami
  • Awarie operacyjne i przerwy w działaniu usługi

Skutki te przekładają się bezpośrednio na straty finansowe, szkody w reputacji i szkody dla klientów i krytycznych usług. Bezpieczeństwo infrastruktury jest zatem strategicznym priorytetem, a nie tylko problemem technicznym.

Misja i wyniki

Misją dziedziny Zabezpieczenia infrastruktury jest zabezpieczenie podstawowych systemów, które obsługują obciążenia i dane w środowiskach lokalnych, hybrydowych i wielochmurowych. Wyniki misji obejmują:

  • Zmniejszony promień wybuchu po naruszeniu bezpieczeństwa infrastruktury
  • Spójne mechanizmy kontroli zabezpieczeń w różnych środowiskach
  • Zwiększona odporność na oprogramowanie ransomware i awarie usług
  • Silniejsza ochrona poufnych obciążeń i danych
  • Dostosowanie zabezpieczeń infrastruktury z ryzykiem biznesowym

Bezpieczeństwo infrastruktury zmniejsza ryzyko dzięki zapobieganiu, wykrywaniu i ograniczaniu szkód w centrach danych, serwerach, kontenerach, sieciach, magazynie i usługach w chmurze w całym cyklu życia.

Jak zastosować tę dyscyplinę

Aby skutecznie zastosować dyscyplinę Zabezpieczenia infrastruktury i sieci, skoncentruj się na ustanowieniu spójnego podejścia do zabezpieczania platform i łączności, które obsługują twoją organizację:

  • Definiowanie strategii zabezpieczeń infrastruktury dostosowanej do ryzyka biznesowego
    Ustanów jasne podejście do zabezpieczania platform, obciążeń i środowisk sieciowych w sposób, który chroni krytyczne systemy i zmniejsza największe ryzyko.
  1. Zapewnianie spójnej ochrony w środowiskach hybrydowych i wielochmurowych
    Zastosuj ujednolicone podejście do zabezpieczania infrastruktury w środowiskach lokalnych, w chmurze i brzegowych, aby zmniejszyć luki i niespójności.
  2. Ustanawianie ustandaryzowanych konfiguracji zabezpieczeń i praktyk
    Podaj jasne wskazówki, aby zapewnić spójne wdrażanie kontroli infrastruktury i sieci w środowiskach i obciążeniach.
  3. Dopasowywanie zabezpieczeń infrastruktury do usług i scenariuszy o znaczeniu krytycznym dla działania firmy
    Określanie priorytetów ochrony systemów i usług, które obsługują krytyczne operacje biznesowe i kluczowe scenariusze, takie jak bezpieczna praca zdalna i ochrona krytycznych zasobów.
  4. Ciągłe monitorowanie i zwiększanie poziomu zabezpieczeń infrastruktury
    Korzystaj ze szczegółowych informacji z luk w zabezpieczeniach, błędów konfiguracji i sygnałów operacyjnych, aby zwiększyć ochronę i zmniejszyć ryzyko w czasie.

Zarządzanie zmianami

Strategia technologii zabezpieczeń infrastruktury definiuje sposób, w jaki organizacja stosuje nowoczesne narzędzia i architektury, aby chronić podstawowe systemy, w których znajdują się krytyczne dane.

  • Strategia koncentruje się na wdrażaniu zasad Zero Trust, zaawansowanej ochrony przed zagrożeniami, zautomatyzowanego stosowania poprawek i ciągłego monitorowania w celu zapewnienia poufności, integralności i dostępności danych w środowiskach hybrydowych.
  • Strategia jest zgodna z inwestycjami technologicznymi w cele redukcji ryzyka, umożliwiając bezpieczną łączność, odporność na cyberataki i zgodność ze standardami regulacyjnymi.
  • Bez wyraźnej strategii organizacje napotykają rozdrobnione mechanizmy kontroli zabezpieczeń, zwiększone luki w zabezpieczeniach i większe ryzyko naruszeń danych, awarii usług i kar regulacyjnych.

Modernizacja tej dyscypliny koncentruje się na:

  • Ciągłe ulepszanie zabezpieczeń infrastruktury w całym cyklu życia zarządzania, identyfikowania, ochrony, wykrywania, reagowania i odzyskiwania.
  • Implementowanie mechanizmów kontroli zabezpieczeń, takich jak architektura Zero Trust, automatyczne stosowanie poprawek i ciągłe monitorowanie, aby zwiększyć widoczność i sprostać zmieniającym się wymaganiom w zakresie zagrożeń/zgodności.

Te wysiłki zapewniają poufność, integralność i dostępność danych, zmniejszając powierzchnie ataków, zapobiegając nieautoryzowanemu dostępowi i utrzymując odporność na zakłócenia.

Infrastruktura technologiczna jest bardzo złożona, ma wiele ruchomych części, stale ewoluuje i musi być bezpieczna przed trwałymi i zmieniającymi się zagrożeniami. Oznacza to, że skuteczne zabezpieczenia infrastruktury muszą być następujące:

  • Kompleksowe — mechanizmy kontroli muszą uwzględniać różne elementy techniczne infrastruktury, w tym sieci, punkty końcowe (serwery, kontenery i inne), dane, aplikacje i nie tylko, aby uniknąć zapewniania podmiotom zagrożeń niestrzeżonej ścieżki dostępu, którą mogą wykorzystać. Wymaga to zastosowania kombinacji dobrze znanych technik zabezpieczeń oraz integracji zaawansowanej automatyzacji i technologii w miarę jej dostępności.
  • Spójne i rygorystyczne — mechanizmy kontroli zabezpieczeń muszą być stosowane spójnie i rygorystycznie we wszystkich wystąpieniach każdej technologii, aby uniknąć zapewniania podmiotom zagrożeń możliwości wykorzystania luk w zabezpieczeniach w pomijanych lub nieodkrytych zasobach.
  • Stale ulepszane — zarówno sama infrastruktura, jak i podmioty zagrożeń stale ewoluują, więc wszystkie aspekty zabezpieczeń muszą stale ewoluować, w tym modele zagrożeń, architektury zabezpieczeń i mechanizmy kontroli, jak zabezpieczenia są zintegrowane z zarządzaniem infrastrukturą i automatyzacją i nie tylko.

Zarządzanie zmianami ma kluczowe znaczenie. Operatorzy infrastruktury muszą być zaangażowani od samego początku i stale — środki bezpieczeństwa, które ignorują realia operacyjne, zawodzą lub są omijane.

Role i współpracownicy w dyscyplinie

Dyscyplina Zabezpieczenia infrastruktury zwykle wymaga ścisłej współpracy między zespołami technicznymi i zespołami ds. zabezpieczeń. Te role muszą:

  • Współpraca w celu zapewnienia, że mechanizmy kontroli zabezpieczeń są osadzone w różnych warstwach infrastruktury w celu zachowania poufności, integralności i dostępności danych.
  • Są odpowiedzialni za planowanie, projektowanie i obsługę bezpiecznych systemów podstawowych (sieci, obliczeń, magazynu i platform w chmurze), w których znajdują się krytyczne dane.

W większych organizacjach dedykowani specjaliści zazwyczaj posiadają obowiązki w zakresie zabezpieczeń infrastruktury. W mniejszych organizacjach role mogą być łączone z innymi rolami technicznymi.

Role podstawowe:

  • Security Architect — projektuje bezpieczne architektury dla infrastruktury lokalnej i chmurowej, stosując zasady Zero Trust i integrując zabezpieczenia tożsamości, sieci i platformy.
  • Inżynieria infrastruktury i operacje — implementuje bezpieczne konfiguracje, stosowanie poprawek, monitorowanie i zgodność serwerów, sieci i obciążeń w chmurze oraz zarządzanie nimi. Obsługa bezpiecznych konfiguracji i wymuszanie zgodności między składnikami infrastruktury.
  • Inżynier sieci — koncentruje się na bezpiecznej łączności, segmentacji i ochronie danych przesyłanych w środowiskach hybrydowych.

Kluczowi współpracownicy wewnętrzni to:

  • Architekci przedsiębiorstw i rozwiązań – zapewniają, że wymagania bezpieczeństwa są uwzględniane w projektach infrastruktury i inicjatywach modernizacyjnych.
  • Strategia zabezpieczeń, integracja i ład — zapewnia nadzór i nadzór nad mechanizmami kontroli zabezpieczeń, dostosowując zabezpieczenia infrastruktury do zarządzania ryzykiem organizacyjnym. Pomaga określić priorytety projektów i luk w zabezpieczeniach na podstawie ryzyka organizacyjnego i wpływu.
  • Deweloperzy i zespoły aplikacji — współpraca w celu zapewnienia, że infrastruktura obsługuje bezpieczne wdrażanie aplikacji i ochronę danych.
  • CISO and Security Leadership — definiowanie strategicznych priorytetów, tolerancji ryzyka i celów zgodności dla bezpieczeństwa infrastruktury.

Architekci infrastruktury muszą zrozumieć, jak tożsamość, sieć i zabezpieczenia platformy przecinają się w celu efektywnej ochrony obciążeń.

Spójność z innymi dyscyplinami

Zabezpieczenia infrastruktury i sieci współdziałają z innymi dyscyplinami SAF:

  • Dostęp i tożsamości — zabezpiecza uprzywilejowany dostęp oraz dostęp usług do infrastruktury
  • Operacje zabezpieczeń (SecOps) — wykrywa i reaguje na ataki oparte na infrastrukturze
  • Zabezpieczenia danych — chroni poufne dane hostowane i przetwarzane w infrastrukturze
  • Architektura zabezpieczeń i ład — dopasowuje mechanizmy kontroli do priorytetów związanych z ryzykiem i biznesem

To dopasowanie zapewnia, że zabezpieczenia infrastruktury obsługują kompleksowe wyniki zabezpieczeń, a nie działają jako odizolowane silosy.

Dopasowanie do filarów technologii

Filary zabezpieczeń i technologii infrastruktury

Wykonanie strategii dyscypliny zabezpieczeń infrastruktury wymaga kontroli zabezpieczeń w wielu filarach technologii:

Bezpieczeństwo infrastruktury — mapowanie na filary technologii

Dopasowanie do filarów technologii obejmuje:

  • Tożsamości: kontrolki tożsamości stanowią podstawę całej kontroli dostępu.
    • Tak jak nie można utworzyć zdania bez tematu i obiektu, nie można ustanowić niezawodnych zasad dostępu, które określają, kto może uzyskać dostęp do tego, co, jeśli nie masz kont i tożsamości przypisanych do pracowników, partnerów, klientów, agentów sztucznej inteligencji, komputerów, aplikacji, mikrousług i nie tylko.
    • Osoby atakujące regularnie próbują naruszyć zabezpieczenia kont, poświadczeń, tokenów i innych artefaktów tożsamości, aby uzyskać dostęp do zasobów biznesowych w organizacji (często priorytetowo ustalają uprzywilejowane konta, takie jak administratorzy IT, aby uzyskać dostęp do wielu lub wszystkich zasobów cyfrowych w organizacji).
  • Punkty końcowe: gwarancje kontroli dostępu opierają się na zabezpieczeniach punktów końcowych, aby być skuteczne. Osoby atakujące, które naruszyją zabezpieczenia punktu końcowego, mogą personifikować konta, które logują się do punktu końcowego i mogą kraść poświadczenia, tokeny i inne artefakty tożsamości na potrzeby późniejszych ataków. Wycofanie starszych protokołów uwierzytelniania i kryptografii często wymaga aktualizowania i ponownego konfigurowania punktów końcowych.
  • Infrastruktura: Infrastruktura organizacji obsługuje systemy tożsamości (takie jak kontrolery domeny Active Directory, serwery LDAP, serwery federacyjne i inne), dlatego naruszenie bezpieczeństwa tych zasobów może skutkować naruszeniem bezpieczeństwa wielu lub wszystkich kont i tożsamości w organizacji. Ponadto administratorzy IT muszą przestrzegać najlepszych rozwiązań dotyczących tożsamości i dostępu do kont uprzywilejowanych używanych do zarządzania zasobami infrastruktury (w tym infrastrukturą jako kodem i inną automatyzacją). Wycofanie starszych protokołów uwierzytelniania i kryptografii często wymaga aktualizacji i ponownej konfiguracji infrastruktury.
  • Aplikacje: aplikacje są kluczowym magazynem wartości dla organizacji i są często używane jako punkty wejścia przez podmioty zagrożeń w celu uzyskania dostępu do innych zasobów. Wszystkie aplikacje muszą być zgodne z najlepszymi praktykami w zakresie bezpieczeństwa dostępu i tożsamości, w tym komercyjne aplikacje typu Software as a Service (SaaS) i aplikacje mobilne, aplikacje tworzone na zamówienie, procesy CI/CD związane z tworzeniem oprogramowania i nie tylko.
  • Dane: Dane są dla organizacji kluczowym zasobem o dużej wartości i często stają się celem atakujących w celu kradzieży własności intelektualnej, zaszyfrowania ich w celu wywarcia presji przy wymuszeniu okupu lub użyciu ransomware, planowania przyszłych ataków oraz innych działań. Najlepsze rozwiązania w zakresie zabezpieczeń należy przestrzegać rygorystycznie, ponieważ dostęp i tożsamość są podstawowymi środkami ochrony danych.
  • Nawiązywanie kontaktów. Kontrola sieci jest podstawą kontroli dostępu. Podczas gdy sieć była kiedyś dominującą technologią i umiejętnościami kontroli dostępu, narzędzie i znaczenie kontroli sieci zmniejszyły się, ponieważ zasoby są coraz częściej u dostawców chmury, urządzeń przenośnych i innych środowisk poza siecią organizacji. Dostęp i tożsamość nie mogą już skupiać się przede wszystkim wyłącznie na mechanizmach kontroli sieciowej, lecz muszą utrzymywać podstawowe mechanizmy kontroli, aby blokować starsze typy ataków, oraz integrować egzekwowanie zasad sieciowych z nowoczesnymi mechanizmami kontroli, takimi jak Security Service Edge (SSE).
  • Sztuczna inteligencja: aplikacje sztucznej inteligencji i agenci muszą mieć tożsamości, aby zarządzać tym, do czego mogą uzyskiwać dostęp. Tożsamości cyfrowe muszą być starannie zaprojektowane tak, aby egzekwować zasadę najmniejszych uprawnień i monitorować anomalną aktywność. Sztuczna inteligencja zwiększa również ilość i jakość wszystkich ataków, co jeszcze bardziej zwiększa potrzebę stosowania najlepszych rozwiązań w zakresie zabezpieczeń, takich jak uwierzytelnianie odporne na wyłudzenie informacji i nie tylko. Dostęp i tożsamość mogą również korzystać ze sztucznej inteligencji w celu zautomatyzowania odnajdywania błędów konfiguracji zasad i innych problemów.

Zasoby firmy Microsoft

Warsztat

Microsoft Unified oferuje warsztaty prowadzone przez ekspertów, aby pomóc organizacjom zmodernizować swoją strategię zabezpieczeń infrastruktury, architekturę i technologię. Te warsztaty obejmują:

  • Warsztaty z zakresu architektury i strategiiSecurity Adoption Framework (SAF) — sesja projektowania architektury: bezpieczeństwo infrastruktury i tworzenia oprogramowania koncentruje się na przyspieszeniu modernizacji bezpieczeństwa tworzenia oprogramowania oraz jego integracji z bezpieczeństwem infrastruktury. Ten warsztat jest dostępny w formie trwającego mniej niż cztery godziny podsumowania i dyskusji koncentrujących się na kluczowych wnioskach i najlepszych praktykach.
  • Warsztaty dotyczące wdrażania technologii — Microsoft Unified oferuje warsztaty, które pomagają organizacjom poznać technologie infrastrukturalne i sieciowe firmy Microsoft, w tym Microsoft Entra i Microsoft Intune, a także planować, wdrażać i optymalizować ich wykorzystanie.

Technologia

Microsoft oferuje rozwiązania technologiczne, które umożliwiają i przyspieszają modernizację zabezpieczeń infrastruktury.

Technology Szczegóły
Microsoft Defender dla Chmury Zapewnia rozszerzone funkcje wykrywania i reagowania (XDR) oraz zarządzania stanem w celu monitorowania i zabezpieczania infrastruktury "hybrydowego wszystkiego" w ramach Azure, AWS, GCP i zasobów lokalnych (w tym maszyn wirtualnych, sieci, Kubernetes/Containers, SQL, Storage, IoT/OT i nie tylko). Kluczowe możliwości w Microsoft Defender dla Chmury obejmują:

- Defender dla serwerów — zapewnia zalecenia dotyczące poprawy i naprawy poziomu zabezpieczeń, chroni maszyny przed zagrożeniami i atakami bezpieczeństwa w czasie rzeczywistym dzięki integracji z Defender for Endpoint oraz oferuje skanowanie niewymagające agenta pod kątem luk w zabezpieczeniach.
- Defender For Containers — natywne dla chmury rozwiązanie umożliwiające ulepszanie, monitorowanie i utrzymywanie zabezpieczeń zasobów konteneryzowanych (klastry Kubernetes, węzły, obciążenia, rejestry, obrazy i inne) oraz ich aplikacje w środowiskach wielochmurowych i lokalnych.
- Defender dla programu SQL — pomaga wykrywać i ograniczać potencjalne luki w zabezpieczeniach bazy danych za pomocą oceny luk w zabezpieczeniach i alertów dotyczących nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych.
- Defender for Storage — wykrywa potencjalne zagrożenia dla kont magazynowych dzięki skanowaniu w poszukiwaniu złośliwego oprogramowania oraz wykrywaniu zagrożeń dotyczących danych wrażliwych w usługach Azure Blob Storage, Azure Files i Azure Data Lake Storage.
- Defender for Databases — pomaga chronić zasoby bazy danych przed zagrożeniami i lukami w zabezpieczeniach dzięki ochronie zagrożeń i zarządzaniu zabezpieczeniami dla Azure SQL, baz danych typu open source i usługi Cosmos DB.
- Zarządzanie poziomem bezpieczeństwa SI — wykrywa aplikacje generatywnej sztucznej inteligencji, identyfikuje luki i ogranicza ryzyko dzięki wbudowanym zaleceniom oraz analizie ścieżek ataku dla obciążeń SI.
Microsoft Sentinel Rozwiązanie SIEM i SOAR + Data Lake natywne dla chmury, które obejmuje wykrywanie i reagowanie na składniki infrastruktury.
Azure Arc Umożliwia ujednolicone zarządzanie i zarządzanie lokalnymi centrami danych, wieloma chmurami i składnikami brzegowymi, projektując istniejące zasoby inne niż Azure i/lub lokalne w Azure Resource Manager.
Microsoft Entra Obsługuje silne mechanizmy tożsamości dla deweloperów, a także mechanizmy tożsamości dla aplikacji, pozwalając uniknąć tworzenia własnych rozwiązań do zarządzania tożsamością i kryptografii
Microsoft Intune Obsługuje rozwiązanie do zarządzania punktami końcowymi opartymi na chmurze na potrzeby zabezpieczania stacji roboczych deweloperów za pomocą zarządzania urządzeniami przenośnymi (MDM) i zarządzania aplikacjami mobilnymi (MAM)
Microsoft Defender XDR Zapewnia możliwości wykrywania i reagowania w zakresie stacji roboczych deweloperów, systemów CI/CD, serwerów, kontenerów i innych elementów niezbędnych do zapewnienia bezpiecznego środowiska programistycznego.
Microsoft Azure Obejmuje mechanizmy zabezpieczeń w infrastrukturze chmurowej, które należy wykorzystywać podczas projektowania i wdrażania oprogramowania, w tym Azure Firewall, Azure WAF, Ochrona przed atakami DDoS, Azure Key Vault, Azure Bastion, Azure Lighthouse i Azure Backup.

Następne kroki

Dowiedz się, jak Zabezpieczenia OT/IoT integrują się z dziedziną Infrastruktura i sieć.

  • Last updated on