Принципы проектирования системы безопасности
Рабочая нагрузка Well-Architected должна создаваться с использованием подхода "никому не доверяй". Защищенная рабочая нагрузка устойчива к атакам и включает взаимосвязанные принципы безопасности конфиденциальности, целостности и доступности (также известные как триада ЦРУ) в дополнение к достижению бизнес-целей. Любой инцидент безопасности может стать серьезным нарушением, которое наносит ущерб торговой марке и репутации рабочей нагрузки или организации. Чтобы оценить эффективность безопасности общей стратегии для рабочей нагрузки, начните со следующих вопросов:
Обеспечивают ли ваши инвестиции в оборону значимые затраты и трудности, чтобы предотвратить компрометации рабочей нагрузки злоумышленниками?
Будут ли ваши меры безопасности эффективными при ограничении радиуса взрыва инцидента?
Понимаете ли вы, как управление рабочей нагрузкой может быть полезным для злоумышленника? Понимаете ли вы влияние на ваш бизнес, если рабочая нагрузка и ее данные украдены, недоступны или изменены?
Может ли рабочая нагрузка и операции быстро обнаруживать перебои, реагировать на них и восстанавливаться после них?
При проектировании системы используйте модель "Никому не доверяй" (Майкрософт) в качестве компаса для снижения рисков безопасности:
Убедитесь, что только доверенные удостоверения выполняют предполагаемые и разрешенные действия , исходящие из ожидаемых расположений. Эта защита затрудняет для злоумышленников олицетворения законных пользователей и учетных записей.
Используйте доступ с минимальными привилегиями для правильных удостоверений, с правильным набором разрешений, в течение нужного времени и к нужным ресурсам. Ограничение разрешений помогает злоумышленникам не злоупотреблять разрешениями, которые даже не нужны законным пользователям.
Предполагайте нарушение элементов управления безопасностью и проектируйте компенсирующие элементы управления, которые ограничивают риск и ущерб в случае сбоя основного уровня защиты. Это поможет вам лучше защитить рабочую нагрузку, думая, как злоумышленник, заинтересованный в успехе (независимо от того, как он его получает).
Безопасность не является одноразовым усилием. Это руководство необходимо реализовать на регулярной основе. Постоянно улучшайте свои знания по защите и безопасности, чтобы защитить рабочую нагрузку от злоумышленников, которые постоянно получают доступ к инновационным векторам атак по мере их разработки и добавления в автоматизированные комплекты атак.
Принципы проектирования предназначены для формирования постоянного подхода к безопасности, чтобы помочь вам постоянно улучшать состояние безопасности рабочей нагрузки по мере постоянного развития попыток злоумышленников. Эти принципы должны руководствоваться безопасностью архитектуры, вариантов проектирования и рабочих процессов. Начните с рекомендуемых подходов и обоснуйте преимущества набора требований к безопасности. После настройки стратегии выполните действия, используя контрольный список безопасности в качестве следующего шага.
Если эти принципы не применяются должным образом, можно ожидать негативного влияния на бизнес-операции и доходы. Некоторые последствия могут быть очевидными, например штрафы за нормативные рабочие нагрузки. Другие могут быть не столь очевидными и могут привести к постоянным проблемам безопасности до их обнаружения.
Во многих критически важных рабочих нагрузках безопасность является основной проблемой, наряду с надежностью, учитывая, что некоторые векторы атак, такие как кража данных, не влияют на надежность. Безопасность и надежность могут потянуть рабочую нагрузку в противоположных направлениях, так как проектирование, ориентированное на безопасность, может привести к сбоям и повысить сложность работы. Влияние безопасности на надежность часто является косвенным, вводимым в виде операционных ограничений. Тщательно рассмотрите компромиссы между безопасностью и надежностью.
Следуя этим принципам, вы можете повысить эффективность безопасности, усилить защиту ресурсов рабочей нагрузки и установить доверие с пользователями.
Планирование готовности к обеспечению безопасности
 Старайтесь внедрять и внедрять методики безопасности в архитектурных проектных решениях и операциях с минимальными усилиями. |
|---|
Как владелец рабочей нагрузки вы несете общую ответственность с организацией за защиту ресурсов. Создайте план готовности к обеспечению безопасности , соответствующий бизнес-приоритетам. Это приведет к четко определенным процессам, адекватным инвестициям и надлежащей отчетности. План должен предоставлять требования к рабочей нагрузке для организации, которая также несет ответственность за защиту ресурсов. Планы безопасности должны учитываться в стратегии обеспечения надежности, моделирования работоспособности и самосохранения.
Помимо ресурсов организации, рабочая нагрузка должна быть защищена от вторжений и атак кражи. Все аспекты нулевого доверия и триады ЦРУ должны быть учтены в плане.
Функциональные и нефункциональные требования, бюджетные ограничения и другие соображения не должны ограничивать инвестиции в безопасность или ослаблять гарантии. В то же время необходимо проектировать и планировать инвестиции в безопасность с учетом этих ограничений и ограничений.
| Подход | Преимущество |
|---|---|
| Используйте сегментацию в качестве стратегии для планирования границ безопасности в среде рабочей нагрузки, процессах и структуре команды для изоляции доступа и функционирования. Стратегия сегментации должна определяться бизнес-требованиями. Его можно основывать на важности компонентов, разделении труда, проблемах конфиденциальности и других факторах. |
Вы сможете свести к минимуму рабочие трудности , определив роли и установив четкие линии ответственности. Это упражнение также поможет определить уровень доступа для каждой роли, особенно для учетных записей критического воздействия. Изоляция позволяет ограничить раскрытие конфиденциальных потоков только ролями и ресурсами, которым требуется доступ. Чрезмерное раскрытие может непреднамеренно привести к раскрытию потока информации. Подытожим, что вы сможете правильно масштабировать усилия по обеспечению безопасности в зависимости от потребностей каждого сегмента. |
| Непрерывно создавайте навыки с помощью обучения безопасности на основе ролей , которое соответствует требованиям организации и вариантам использования рабочей нагрузки. | Высококвалифицированные специалисты могут проектировать, внедрять и отслеживать элементы управления безопасностью, которые остаются эффективными в отношении злоумышленников, которые постоянно ищут новые способы использования системы. Обучение в масштабах всей организации обычно сосредоточено на разработке более широкого набора навыков для защиты общих элементов. Однако при обучении на основе ролей вы сосредоточьтесь на разработке глубоких знаний о предложениях платформ и функциях безопасности, которые решают проблемы с рабочей нагрузкой. Необходимо реализовать оба подхода для защиты от злоумышленников с помощью хорошего проектирования и эффективных операций. |
| Убедитесь, что для рабочей нагрузки есть план реагирования на инциденты . Используйте отраслевые платформы, которые определяют стандартную операционную процедуру для обеспечения готовности, обнаружения, сдерживания, устранения рисков и действий после инцидента. |
Во время кризиса необходимо избегать путаницы. Если у вас есть хорошо документированные планы, ответственные роли могут сосредоточиться на выполнении , не тратя время на неопределенные действия. Кроме того, комплексный план поможет обеспечить выполнение всех требований к исправлению. |
| Повышение уровня безопасности путем понимания требований к соответствию требованиям к безопасности , которые накладываются влияниями, не входящими в группу рабочей нагрузки, такими как политики организации, соответствие нормативным требованиям и отраслевые стандарты. | Clarity о требованиях к соответствию поможет вам разработать правильные гарантии безопасности и предотвратить проблемы несоответствия, которые могут привести к штрафам. Отраслевые стандарты могут предоставлять базовые показатели и влиять на выбор средств, политик, мер безопасности, рекомендаций, подходов к управлению рисками и обучения. Если вы знаете, что рабочая нагрузка соответствует требованиям, вы сможете привить уверенность в своей базе пользователей. |
| Определите и примените стандарты безопасности на уровне команды в течение жизненного цикла и операций рабочей нагрузки. Стремиться к согласованным методикам в таких операциях, как кодирование, закрытые утверждения, управление выпусками, а также защита и хранение данных. |
Определение рекомендаций по обеспечению безопасности может свести к минимуму небрежность и контактную зону для потенциальных ошибок. Команда будет оптимизировать усилия, и результат будет предсказуемым , так как подходы делаются более согласованными. Соблюдение стандартов безопасности с течением времени позволит определить возможности для улучшения, возможно, включая автоматизацию, что приведет к дальнейшему упорядочению усилий и повышению согласованности. |
| Согласуйте реагирование на инциденты с централизованной функцией Центра операций безопасности (SOC) в вашей организации. | Централизованные функции реагирования на инциденты позволяют воспользоваться преимуществами специализированных ИТ-специалистов, которые могут обнаруживать инциденты в режиме реального времени для максимально быстрого устранения потенциальных угроз. |
Проектирование для защиты конфиденциальности
| Предотвращение раскрытия конфиденциальности, нормативных данных, сведений о приложениях и защищаемых данных с помощью ограничений доступа и методов маскирования. |
|---|
Данные рабочей нагрузки можно классифицировать по пользователям, использованию, конфигурации, соответствию, интеллектуальной собственности и т. д. К этим данным нельзя предоставлять общий доступ или доступ за пределами установленных границ доверия. Усилия по защите конфиденциальности должны быть сосредоточены на контроле доступа, непрозрачности и поддержании журнала аудита действий, относящихся к данным и системе.
| Подход | Преимущество |
|---|---|
| Реализуйте надежные элементы управления доступом , которые предоставляют доступ только на основе необходимых данных. | Минимальные привилегии. Рабочая нагрузка будет защищена от несанкционированного доступа и запрещенных действий. Даже если доступ осуществляется из доверенных удостоверений, разрешения на доступ и время раскрытия будут сведены к минимуму , так как путь связи открыт в течение ограниченного периода времени. |
| Классифицируйте данные на основе их типа, конфиденциальности и потенциального риска. Назначьте уровень конфиденциальности для каждого из них. Включите компоненты системы, которые находятся в область для определенного уровня. |
Прямая проверка. Эта оценка поможет вам определить правильный размер мер безопасности. Вы также сможете определить данные и компоненты, которые имеют высокий потенциальный эффект и/или подвержены риску. Это упражнение добавляет ясность в стратегию защиты информации и помогает обеспечить согласие. |
| Защита неактивных, передаваемых и обрабатываемых данных с помощью шифрования. Назначьте стратегию на назначенном уровне конфиденциальности. | Презумпция нарушения. Даже если злоумышленник получит доступ, он не сможет правильно прочитать зашифрованные конфиденциальные данные. Конфиденциальные данные включают сведения о конфигурации, которые используются для получения дальнейшего доступа в системе. Шифрование данных помогает сдерживает риски. |
| Защита от эксплойтов , которые могут привести к необоснованному раскрытию информации. | Прямая проверка. Крайне важно свести к минимуму уязвимости в реализации проверки подлинности и авторизации, коде, конфигурациях, операциях и тех, которые связаны с социальными привычками пользователей системы. Актуальные меры безопасности позволяют блокировать известные уязвимости системы безопасности . Вы также можете устранить новые уязвимости , которые могут появляться со временем, реализовав обычные операции на протяжении всего цикла разработки, постоянно улучшая гарантии безопасности. |
| Защита от кражи данных в результате вредоносного или случайного доступа к данным. | Презумпция нарушения. Вы сможете содержать радиус взрыва, блокируя несанкционированную передачу данных. Кроме того, элементы управления, применяемые к сети, удостоверениям и шифрованию, защищают данные на различных уровнях. |
| Поддерживайте уровень конфиденциальности по мере прохождения данных через различные компоненты системы. | Презумпция нарушения. Применение уровней конфиденциальности в системе позволяет обеспечить согласованный уровень защиты. Это может предотвратить уязвимости , которые могут возникнуть при перемещении данных на более низкий уровень безопасности. |
| Ведение журнала аудита для всех типов действий доступа. | Презумпция нарушения. Журналы аудита поддерживают более быстрое обнаружение и восстановление в случае инцидентов и помогают в постоянном мониторинге безопасности. |
Проектирование для защиты целостности
| Предотвращайте повреждение структуры, реализации, операций и данных, чтобы избежать сбоев, которые могут помешать системе доставить ее предназначенную утилиту или привести к ее работе за пределами установленных ограничений. Система должна обеспечивать информационное обеспечение на протяжении всего жизненного цикла рабочей нагрузки. |
|---|
Важно реализовать элементы управления, которые предотвращают незаконное изменение бизнес-логики, потоков, процессов развертывания, данных и даже компонентов нижнего стека, таких как операционная система и последовательность загрузки. Отсутствие целостности может привести к уязвимостям, которые могут привести к нарушениям конфиденциальности и доступности.
| Подход | Преимущество |
|---|---|
| Реализуйте надежные элементы управления доступом, которые проходят проверку подлинности и авторизацию доступа к системе. Сведите к минимуму доступ на основе привилегий, область и времени. |
Минимальные привилегии. В зависимости от силы элементов управления вы сможете предотвратить или снизить риски, связанные с неутвержденными изменениями. Это помогает обеспечить согласованность и надежность данных. Минимизация доступа ограничивает масштабы потенциального повреждения. |
| Непрерывная защита от уязвимостей и их обнаружение в цепочке поставок , чтобы запретить злоумышленникам внедрять ошибки программного обеспечения в вашу инфраструктуру, создавать системы, инструменты, библиотеки и другие зависимости. Цепочка поставок должна проверять наличие уязвимостей во время сборки и во время выполнения. |
Презумпция нарушения. Знание происхождения программного обеспечения и проверка его подлинности на протяжении всего жизненного цикла обеспечит предсказуемость. Вы будете знать об уязвимостях заранее , чтобы вы могли заблаговременно устранять их и обеспечивать безопасность системы в рабочей среде. |
| Установите доверие и проверьте с помощью таких методов шифрования, как аттестация , подписывание кода, сертификаты и шифрование. Защитите эти механизмы, разрешив надежную расшифровку. |
Явным образом проверьтеминимальные привилегии. Вы узнаете, что изменения данных или доступа к системе проверяются надежным источником. Даже если зашифрованные данные перехватываются злоумышленником при передаче, субъект не сможет разблокировать или расшифровать содержимое. Вы можете использовать цифровые подписи, чтобы убедиться, что данные не были изменены во время передачи. |
| Убедитесь, что данные резервной копии неизменяемы и зашифрованы при репликации или передаче данных. | Прямая проверка. Вы сможете восстановить данные с уверенностью в том, что данные резервного копирования не были изменены неактивно, случайно или злонамеренно. |
| Избегайте или удаляйте системные реализации, которые позволяют рабочей нагрузке работать вне ее предполагаемых ограничений и целей. | Прямая проверка. Если ваша система имеет надежные меры безопасности, которые проверка, соответствует ли использование предполагаемым ограничениям и целям, область для потенциального злоупотребления или незаконного изменения вычислительных ресурсов, сети и хранилищ данных уменьшается. |
Проектирование для защиты доступности
| Предотвратить или свести к минимуму время простоя и производительности системы и рабочей нагрузки в случае инцидента безопасности с помощью строгих средств управления безопасностью. Во время инцидента и после восстановления системы необходимо поддерживать целостность данных. |
|---|
Необходимо сбалансировать варианты архитектуры доступности с вариантами архитектуры безопасности. Система должна иметь гарантии доступности, чтобы гарантировать, что пользователи имеют доступ к данным и что данные доступны. С точки зрения безопасности пользователи должны работать в рамках область разрешенного доступа, а данные должны быть доверенными. Средства управления безопасностью должны блокировать злоумышленников, но они не должны блокировать доступ законных пользователей к системе и данным.
| Подход | Преимущество |
|---|---|
| Предотвращение скомпрометированных удостоверений от неправильного использования доступа для получения контроля над системой. Проверьте наличие чрезмерно широкой область и временных ограничений, чтобы свести к минимуму риски. |
Минимальные привилегии. Эта стратегия снижает риски чрезмерного, ненужного или неправильного использования разрешений доступа к критически важным ресурсам. Риски включают несанкционированные изменения и даже удаление ресурсов. Воспользуйтесь преимуществами JIT,JIT(JIT), JIT-режимов (JEA) и режимов безопасности на основе времени, чтобы заменить постоянные разрешения везде, где это возможно. |
| Используйте элементы управления безопасностью и конструктивные шаблоны, чтобы предотвратить атаки и ошибки кода, которые могут привести к нехватке ресурсов и блокированию доступа. | Прямая проверка. Система не будет испытывать простоя , вызванного вредоносными действиями, такими как распределенные атаки типа "отказ в обслуживании" (DDoS). |
| Реализуйте профилактические меры для векторов атак, которые используют уязвимости в коде приложения, сетевых протоколах, системах идентификации, защите от вредоносных программ и других областях. | Презумпция нарушения. Реализуйте сканеры кода, применяйте последние исправления для системы безопасности, обновляйте программное обеспечение и обеспечьте защиту системы с помощью эффективного антивредоносного ПО на постоянной основе. Вы сможете уменьшить уязвимую зону, чтобы обеспечить непрерывность бизнес-процессов. |
| Определение приоритетов элементов управления безопасностью для критически важных компонентов и потоков в системе, подверженных риску. | Предположим, что брейк,проверьте явным образом. Регулярные упражнения по обнаружению и определению приоритетов помогут вам применить опыт в области безопасности к критическим аспектам системы. Вы сможете сосредоточиться на наиболее вероятных и разрушительных угрозах и начать устранение рисков в областях, требующих наибольшего внимания. |
| Применяйте по крайней мере тот же уровень строгости безопасности к ресурсам и процессам восстановления , что и в основной среде, включая средства управления безопасностью и частоту резервного копирования. | Презумпция нарушения. При аварийном восстановлении должно быть сохранено безопасное состояние системы. В этом случае вы можете выполнить отработку отказа в защищенную вторичную систему или расположение и восстановить резервные копии, которые не представляют угрозы. Хорошо спроектированный процесс может предотвратить возникновение инцидента безопасности, препятствующего процессу восстановления. Поврежденные резервные копии или зашифрованные данные, которые невозможно расшифровать, могут замедлить восстановление. |
Поддержание и развитие состояния безопасности
| Включите непрерывное улучшение и примените бдительность, чтобы опередить злоумышленников, которые постоянно развивают свои стратегии атак. |
|---|
Состояние вашей безопасности не должно ухудшаться с течением времени. Необходимо постоянно улучшать операции безопасности, чтобы новые нарушения обрабатывались более эффективно. Стремитесь согласовать улучшения с этапами, определенными отраслевыми стандартами. Это приводит к повышению готовности, сокращению времени на обнаружение инцидентов, а также эффективному сдерживанию и устранению рисков. Непрерывное улучшение должно основываться на уроках, извлеченных из прошлых инцидентов.
Важно измерять состояние безопасности, применять политики для поддержания этого состояния и регулярно проверять меры по устранению рисков и компенсирующих элементов управления, чтобы постоянно улучшать состояние безопасности перед лицом развивающихся угроз.
| Подход | Преимущество |
|---|---|
| Создайте и поддерживайте комплексную инвентаризацию активов , которая включает в себя засекреченную информацию о ресурсах, расположениях, зависимостях, владельцах и других метаданных, относящихся к безопасности. Насколько это возможно, автоматизируйте инвентаризацию для получения данных из системы. |
Хорошо организованная инвентаризация обеспечивает целостное представление об окружающей среде, что делает вас более выгодным для злоумышленников, особенно во время действий после инцидента. Он также создает бизнес-ритм для общения, обслуживания критически важных компонентов и вывода из эксплуатации потерянных ресурсов. |
| Выполните моделирование угроз для выявления и устранения потенциальных угроз. | Вы получите отчет о векторах атак с приоритетом по уровню серьезности. Вы сможете быстро выявлять угрозы и уязвимости и настраивать контрмеры. |
| Регулярно записывайте данные для количественной оценки текущего состояния в отношении установленных базовых показателей безопасности и установки приоритетов для исправлений. Воспользуйтесь преимуществами функций, предоставляемых платформой, для управления состоянием безопасности и обеспечения соответствия требованиям , которые применяются внешними и внутренними организациями. |
Вам нужны точные отчеты, которые принесут ясность и консенсус в области фокусировки. Вы сможете немедленно выполнять технические исправления, начиная с элементов с наивысшим приоритетом. Вы также определите пробелы, которые предоставляют возможности для улучшения. Реализация принудительного применения помогает предотвратить нарушения и регрессии, что позволяет сохранить состояние безопасности. |
| Периодически выполняйте тесты безопасности , проводимые экспертами, не имеющими доступа к команде рабочей нагрузки, которые пытаются взломать систему по этическим принципам. Выполняйте обычное и интегрированное сканирование уязвимостей для обнаружения эксплойтов в инфраструктуре, зависимостях и коде приложения. |
Эти тесты позволяют проверить защиту безопасности, имитируя реальные атаки с помощью таких методов, как тестирование на проникновение. Угрозы можно вводить в рамках управления изменениями. Интеграция сканеров в конвейеры развертывания позволяет автоматически обнаруживать уязвимости и даже использовать их в карантине до тех пор, пока уязвимости не будут удалены. |
| Обнаружение, реагирование и восстановление с помощью быстрых и эффективных операций безопасности. | Основное преимущество этого подхода заключается в том, что он позволяет сохранять или восстанавливать гарантии безопасности триады ЦРУ во время и после нападения. Вы должны быть оповещены сразу после обнаружения угрозы, чтобы вы могли начать исследования и предпринять соответствующие действия. |
| Выполнение действий после инцидента , таких как анализ первопричин, посмертные анализы и отчеты об инцидентах. | Эти действия дают представление о влиянии нарушения и мерах по устранению, что способствует улучшению защиты и операций. |
| Получите актуальное значение и будьте в курсе. Следите за обновлениями, исправлениями и исправлениями безопасности. Непрерывно оценивайте систему и улучшайте ее на основе отчетов аудита, оценки производительности и уроков, полученных в ходе тестирования. При необходимости рассмотрите возможность автоматизации. Используйте аналитику угроз на основе аналитики безопасности для динамического обнаружения угроз. Регулярно проверяйте соответствие рабочей нагрузки рекомендациям по жизненному циклу разработки безопасности (SDL). |
Вы сможете гарантировать, что состояние безопасности не ухудшается с течением времени. Интегрируя результаты реальных атак и действий тестирования, вы сможете бороться с злоумышленниками, которые постоянно улучшают и используют новые категории уязвимостей. Автоматизация повторяющихся задач снижает вероятность человеческой ошибки , которая может создать риск. Проверки SDL вносят ясность в функции безопасности. SDL помогает вести инвентаризацию ресурсов рабочей нагрузки и их отчетов о безопасности, которые охватывают источник, использование, операционные недостатки и другие факторы. |
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по