Повышение безопасности целевых зон

  • Статья

Если рабочей нагрузке или целевым зонам, на которых она размещена, требуется доступ к каким-либо конфиденциальным данным или критическим системам, важно защитить данные и ресурсы.

Оценка

При выходе из состояния Готовности вы несете постоянную ответственность за обеспечение безопасности среды. Облачная безопасность также является добавочным процессом, а не просто статическим назначением. При определении конечного состояния безопасности сосредоточьтесь на целях и ключевых результатах. Сопоставление концепций, платформ и стандартов с дисциплинами в методологии безопасности CAF наряду с сопоставлением ролей и обязанностей для дисциплины человека. Методология обеспечения безопасности предоставляет рекомендации.

Ниже приведен обзор этого руководства со ссылками на подробные сведения.

Аналитические сведения о рисках

Бизнес-операции сопряжены с угрозами безопасности. Группа безопасности должна информировать и консультировать лиц, принимающих решения, о том, как риски безопасности вписываются в их платформы, понимая бизнес и используя методы безопасности, чтобы определить, какой риск следует планировать и принимать меры.

  • Что такое риск кибербезопасности? Все потенциальные повреждения или разрушения бизнеса, вызванные злоумышленниками, пытающимися украсть валюту, информацию или технологии.
  • Согласование управления рисками безопасности. Инвестируйте в преодоление кибербезопасности и организационного руководства, чтобы объяснить угрозы безопасности с помощью удобной для бизнеса терминологии, активного прослушивания и общения со всеми людьми в рамках всего бизнеса.
  • Общие сведения о рисках кибербезопасности. Понимание мотивов и моделей поведения злоумышленников для кражи денег, информации или технологий и выявления потенциального влияния различных типов атак.

Интеграция решений для обеспечения безопасности

Убедитесь, что безопасность является проблемой организации и не разделена на одну группу. Интеграция безопасности предоставляет рекомендации по интеграции безопасности в роли всех пользователей, минимизируя при этом трения с бизнес-процессами. Конкретные рекомендации включают в себя:

  • Нормализация отношений. Убедитесь, что все команды интегрированы с командами безопасности и имеют общее представление о целях безопасности. Кроме того, работайте над тем, чтобы найти правильный уровень элементов управления безопасностью, гарантируя, что элементы управления не перевешивают ценность для бизнеса.
  • Интеграция с ИТ-отделом и бизнес-операциями. Сбалансируйте реализацию обновлений системы безопасности и сопоставляйте, как все процессы безопасности влияют на текущее влияние на бизнес и потенциальные риски безопасности в будущем.
  • Интеграция групп безопасности. Избегайте работы в изолированных системах, реагируя на активные угрозы и постоянно повышая уровень безопасности организации, практикуя безопасность как динамическую дисциплину.

Устойчивость бизнеса

Хотя организации никогда не могут обеспечить идеальную безопасность, по-прежнему существует прагматичный подход к устойчивости бизнеса при инвестировании полного жизненного цикла риска безопасности до, во время и после инцидента.

  • Цели устойчивости. Сосредоточьтесь на том, чтобы ваш бизнес быстро внедрял инновации, ограничив влияние и всегда искать безопасные способы внедрения технологий.
  • Устойчивость системы безопасности и допущение нарушения безопасности. Предполагайте нарушение или компрометацию, чтобы следовать ключевому принципу "никому не доверяй", и практикуйте прагматическое поведение безопасности для предотвращения атак, ограничения ущерба и быстрого восстановления от них.

Управление доступом

Составьте стратегию управления доступом , которая согласует взаимодействие с пользователем и гарантии безопасности.

  • От периметра безопасности до нулевого доверия. Используйте подход "никому не доверяй" для управления доступом для создания и улучшения гарантий безопасности при работе в облаке и использовании новых технологий.
  • Современное управление доступом. Создание комплексной, последовательной и гибкой стратегии управления доступом. Выйдите за рамки одной тактики или технологии для нескольких рабочих нагрузок, облаков и различных уровней конфиденциальности бизнеса.
  • Известные, доверенные, разрешенные. Выполните динамический трехэтапный процесс для обеспечения известной проверки подлинности, доверия пользователю или устройству и предоставления соответствующих прав и привилегий для приложения, службы или данных.
  • Решения о доступе на основе данных. Принятие обоснованных решений на основе разнообразных данных о пользователях и устройствах для выполнения явной проверки.
  • Сегментация: отдельная защита. Создайте границы в виде отдельных сегментов внутренней среды, чтобы содержать повреждения от успешных атак.
  • Изоляция. Избегайте брандмауэра и забывайте: разработайте крайнюю форму сегментации для критически важных для бизнеса ресурсов, которые состоят из людей, процессов и технологий.

Операции безопасности

Выполняйте операции по обеспечению безопасности , снижая риски, быстро реагируя и выполняя восстановление, чтобы защитить организацию и следовать дисциплине безопасности процесса DevOps.

  • Люди и процесс. Создайте культуру, чтобы предоставить людям инструменты, позволяющие им сделать их наиболее ценным активом, и диверсифицировать свой портфель мышления, включив и обучая нетехнических людей с сильным опытом работы в роли судебно-медицинской экспертизы.
  • Модель операций безопасности. Сосредоточьтесь на результатах управления инцидентами, подготовки инцидентов и аналитики угроз. Делегируйте результаты между подколенями для рассмотрения, исследования и охоты на большие объемы и сложные инциденты.
  • Точки взаимодействия с бизнесом SecOps: взаимодействуйте с руководством компании, чтобы информировать о крупных инцидентах и определять влияние критически важных систем. Непрерывное совместное реагирование на практику для снижения организационных рисков.
  • Модернизация SecOps: развитие операций по обеспечению безопасности за счет следующих тенденций, включая охват платформы, безопасность, ориентированную на идентификацию, устройства Интернета вещей и OT, а также соответствующие данные телеметрии из облака.

Защита ресурсов

Защитите критически важные для бизнеса ресурсы, которые включают все физические и виртуальные элементы, реализовав элементы управления безопасностью, уникальные для каждого типа ресурсов. Последовательно выполняйте профилактическую и следоваемую защиту в соответствии с политиками, стандартами и архитектурой.

  • Обеспечение безопасности. Приведите ресурсы в соответствие с последними стандартами и политиками безопасности вашей организации, применяя текущие средства управления к ресурсам с нуля и гарантируя, что для активов с нуля применяются самые последние стандарты.
  • Обеспечьте непрерывное улучшение облака и планируйте обновление или прекращение поддержки программного обеспечения по мере быстрого изменения требований к бизнесу, технологиям и безопасности.
  • Начало работы. Начните защищать ресурсы, сначала сосредоточив внимание на хорошо известных облачных ресурсах и используйте хорошо известные и проверенные базовые показатели поставщиков или отрасли для конфигурации безопасности.
  • Основные сведения. Используйте ключевые элементы подотчетных и ответственных команд для управления корпоративными ресурсами, такими как потребности рабочей нагрузки в облачной эластичности, и средства управления проектированием для определения рекомендаций. Оцените ценность защиты активов для бизнеса и используйте автоматическую политику, чтобы избежать повторения затрат и повторения вручную.

Управление безопасностью

Выполняйте надзор и мониторинг с помощью системы управления безопасностью для поддержания и улучшения состояния безопасности с течением времени, используя бизнес-цели и риски для определения наилучшего направления безопасности.

  • Соответствие требованиям и отчетность. Внешние и внутренние политики безопасности должны соответствовать обязательным требованиям в данной отрасли.
  • Архитектура и стандарты. Создайте единое представление в корпоративной среде, так как большинство предприятий являются гибридной средой, которая включает как локальные, так и облачные ресурсы.
  • Управление состоянием безопасности. Запланируйте управление для мониторинга стандартов безопасности, предоставления рекомендаций и улучшения процессов. Обеспечение гибкости за счет управляемого управления с помощью политики и непрерывного совершенствования.
  • Дисциплины управления и защиты. Применяйте элементы управления безопасностью и предоставляйте отзывы для определения лучших решений.
  • Управление и операции безопасности. Убедитесь, что уроки, извлеченные из инцидентов, интегрированы в операции безопасности и системы управления.

Инновационная безопасность

Защита процессов и данных инноваций от кибератак по мере разработки новых приложений с учетом инновационной безопасности .

  • Что такое DevSecOps? Интегрированная безопасность в уже объединенный процесс разработки и операций в DevOps для снижения рисков в процессе внедрения инноваций.
  • Обеспечение безопасности по проекту и смещение влево. Обеспечение безопасности на всех этапах жизненного цикла DevOps и обеспечение соответствия команд скорости, надежности и устойчивости инноваций.
  • Почему DevSecOps?: защита процесса DevOps от злоумышленников, использующих слабые места во всей ИТ-инфраструктуре в вашей организации, которая, в свою очередь, защищает клиентов.
  • Путь DevSecOps: используйте инкубацию идей и DevOps в качестве двухэтапного процесса, как и большинство организаций. Определите требования MVP (минимально жизнеспособный продукт), используйте методы руководства для устранения конфликтов команд и интегрируйте безопасность в существующие процессы и инструменты.
  • Советы по переходу. По мере преобразования системы безопасности на протяжении всего цикла будут возникать распространенные проблемы, связанные с обучением, временем, выделением ресурсов и общим изменением характера ИТ-операций.

Элементы управления DevSecOps

Обеспечение безопасности на каждом этапе непрерывной интеграции и непрерывной поставки (CI/CD) при создании элементов управления DevSecOps.

  • Планирование и разработка. Обеспечение безопасности на этапе планирования в современных методологиях разработки для реализации моделирования угроз, подключаемых модулей безопасности интегрированной среды разработки и предварительной фиксации, а также проверки коллегами.
  • Фиксация кода. Оцените и реализуйте возможность сканирования уязвимостей в централизованных репозиториях, чтобы обнаруживать риски и выполнять исправление.
  • Сборка и тестирование. Используйте конвейеры сборки и выпуска для автоматизации и стандартизации процессов сборки и развертывания безопасного кода, не тратя большое количество времени на повторное развертывание или обновление существующих сред.
  • Переход в рабочую среду и эксплуатация. Контроль и управление состоянием безопасности при выходе решения в рабочую среду. Используйте средства сканирования инфраструктуры и методики тестирования на проникновение, чтобы позволить командам находить риски и уязвимости для устранения.

Цикл разработки на основе тестирования

Прежде чем приступить к повышению безопасности, важно понять "определение готовности" и все "условия приемки". Дополнительные сведения см. в статьях о разработке целевых зон на основе тестирования и разработке на основе тестирования в Azure.

Дальнейшие действия

Узнайте, как оптимизировать операции с целевыми зонами для поддержки важных приложений.

Оптимизация операций с целевыми зонами