Повышение безопасности целевых зон
Если рабочей нагрузке или целевым зонам, на которых она размещена, требуется доступ к каким-либо конфиденциальным данным или критическим системам, важно защитить данные и ресурсы.
Оценка
При выходе из состояния Готовности вы несете постоянную ответственность за обеспечение безопасности среды. Облачная безопасность также является добавочным процессом, а не просто статическим назначением. При определении конечного состояния безопасности сосредоточьтесь на целях и ключевых результатах. Сопоставление концепций, платформ и стандартов с дисциплинами в методологии безопасности CAF наряду с сопоставлением ролей и обязанностей для дисциплины человека. Методология обеспечения безопасности предоставляет рекомендации.
Ниже приведен обзор этого руководства со ссылками на подробные сведения.
Аналитические сведения о рисках
Бизнес-операции сопряжены с угрозами безопасности. Группа безопасности должна информировать и консультировать лиц, принимающих решения, о том, как риски безопасности вписываются в их платформы, понимая бизнес и используя методы безопасности, чтобы определить, какой риск следует планировать и принимать меры.
- Что такое риск кибербезопасности? Все потенциальные повреждения или разрушения бизнеса, вызванные злоумышленниками, пытающимися украсть валюту, информацию или технологии.
- Согласование управления рисками безопасности. Инвестируйте в преодоление кибербезопасности и организационного руководства, чтобы объяснить угрозы безопасности с помощью удобной для бизнеса терминологии, активного прослушивания и общения со всеми людьми в рамках всего бизнеса.
- Общие сведения о рисках кибербезопасности. Понимание мотивов и моделей поведения злоумышленников для кражи денег, информации или технологий и выявления потенциального влияния различных типов атак.
Интеграция решений для обеспечения безопасности
Убедитесь, что безопасность является проблемой организации и не разделена на одну группу. Интеграция безопасности предоставляет рекомендации по интеграции безопасности в роли всех пользователей, минимизируя при этом трения с бизнес-процессами. Конкретные рекомендации включают в себя:
- Нормализация отношений. Убедитесь, что все команды интегрированы с командами безопасности и имеют общее представление о целях безопасности. Кроме того, работайте над тем, чтобы найти правильный уровень элементов управления безопасностью, гарантируя, что элементы управления не перевешивают ценность для бизнеса.
- Интеграция с ИТ-отделом и бизнес-операциями. Сбалансируйте реализацию обновлений системы безопасности и сопоставляйте, как все процессы безопасности влияют на текущее влияние на бизнес и потенциальные риски безопасности в будущем.
- Интеграция групп безопасности. Избегайте работы в изолированных системах, реагируя на активные угрозы и постоянно повышая уровень безопасности организации, практикуя безопасность как динамическую дисциплину.
Устойчивость бизнеса
Хотя организации никогда не могут обеспечить идеальную безопасность, по-прежнему существует прагматичный подход к устойчивости бизнеса при инвестировании полного жизненного цикла риска безопасности до, во время и после инцидента.
- Цели устойчивости. Сосредоточьтесь на том, чтобы ваш бизнес быстро внедрял инновации, ограничив влияние и всегда искать безопасные способы внедрения технологий.
- Устойчивость системы безопасности и допущение нарушения безопасности. Предполагайте нарушение или компрометацию, чтобы следовать ключевому принципу "никому не доверяй", и практикуйте прагматическое поведение безопасности для предотвращения атак, ограничения ущерба и быстрого восстановления от них.
Управление доступом
Составьте стратегию управления доступом , которая согласует взаимодействие с пользователем и гарантии безопасности.
- От периметра безопасности до нулевого доверия. Используйте подход "никому не доверяй" для управления доступом для создания и улучшения гарантий безопасности при работе в облаке и использовании новых технологий.
- Современное управление доступом. Создание комплексной, последовательной и гибкой стратегии управления доступом. Выйдите за рамки одной тактики или технологии для нескольких рабочих нагрузок, облаков и различных уровней конфиденциальности бизнеса.
- Известные, доверенные, разрешенные. Выполните динамический трехэтапный процесс для обеспечения известной проверки подлинности, доверия пользователю или устройству и предоставления соответствующих прав и привилегий для приложения, службы или данных.
- Решения о доступе на основе данных. Принятие обоснованных решений на основе разнообразных данных о пользователях и устройствах для выполнения явной проверки.
- Сегментация: отдельная защита. Создайте границы в виде отдельных сегментов внутренней среды, чтобы содержать повреждения от успешных атак.
- Изоляция. Избегайте брандмауэра и забывайте: разработайте крайнюю форму сегментации для критически важных для бизнеса ресурсов, которые состоят из людей, процессов и технологий.
Операции безопасности
Выполняйте операции по обеспечению безопасности , снижая риски, быстро реагируя и выполняя восстановление, чтобы защитить организацию и следовать дисциплине безопасности процесса DevOps.
- Люди и процесс. Создайте культуру, чтобы предоставить людям инструменты, позволяющие им сделать их наиболее ценным активом, и диверсифицировать свой портфель мышления, включив и обучая нетехнических людей с сильным опытом работы в роли судебно-медицинской экспертизы.
- Модель операций безопасности. Сосредоточьтесь на результатах управления инцидентами, подготовки инцидентов и аналитики угроз. Делегируйте результаты между подколенями для рассмотрения, исследования и охоты на большие объемы и сложные инциденты.
- Точки взаимодействия с бизнесом SecOps: взаимодействуйте с руководством компании, чтобы информировать о крупных инцидентах и определять влияние критически важных систем. Непрерывное совместное реагирование на практику для снижения организационных рисков.
- Модернизация SecOps: развитие операций по обеспечению безопасности за счет следующих тенденций, включая охват платформы, безопасность, ориентированную на идентификацию, устройства Интернета вещей и OT, а также соответствующие данные телеметрии из облака.
Защита ресурсов
Защитите критически важные для бизнеса ресурсы, которые включают все физические и виртуальные элементы, реализовав элементы управления безопасностью, уникальные для каждого типа ресурсов. Последовательно выполняйте профилактическую и следоваемую защиту в соответствии с политиками, стандартами и архитектурой.
- Обеспечение безопасности. Приведите ресурсы в соответствие с последними стандартами и политиками безопасности вашей организации, применяя текущие средства управления к ресурсам с нуля и гарантируя, что для активов с нуля применяются самые последние стандарты.
- Обеспечьте непрерывное улучшение облака и планируйте обновление или прекращение поддержки программного обеспечения по мере быстрого изменения требований к бизнесу, технологиям и безопасности.
- Начало работы. Начните защищать ресурсы, сначала сосредоточив внимание на хорошо известных облачных ресурсах и используйте хорошо известные и проверенные базовые показатели поставщиков или отрасли для конфигурации безопасности.
- Основные сведения. Используйте ключевые элементы подотчетных и ответственных команд для управления корпоративными ресурсами, такими как потребности рабочей нагрузки в облачной эластичности, и средства управления проектированием для определения рекомендаций. Оцените ценность защиты активов для бизнеса и используйте автоматическую политику, чтобы избежать повторения затрат и повторения вручную.
Управление безопасностью
Выполняйте надзор и мониторинг с помощью системы управления безопасностью для поддержания и улучшения состояния безопасности с течением времени, используя бизнес-цели и риски для определения наилучшего направления безопасности.
- Соответствие требованиям и отчетность. Внешние и внутренние политики безопасности должны соответствовать обязательным требованиям в данной отрасли.
- Архитектура и стандарты. Создайте единое представление в корпоративной среде, так как большинство предприятий являются гибридной средой, которая включает как локальные, так и облачные ресурсы.
- Управление состоянием безопасности. Запланируйте управление для мониторинга стандартов безопасности, предоставления рекомендаций и улучшения процессов. Обеспечение гибкости за счет управляемого управления с помощью политики и непрерывного совершенствования.
- Дисциплины управления и защиты. Применяйте элементы управления безопасностью и предоставляйте отзывы для определения лучших решений.
- Управление и операции безопасности. Убедитесь, что уроки, извлеченные из инцидентов, интегрированы в операции безопасности и системы управления.
Инновационная безопасность
Защита процессов и данных инноваций от кибератак по мере разработки новых приложений с учетом инновационной безопасности .
- Что такое DevSecOps? Интегрированная безопасность в уже объединенный процесс разработки и операций в DevOps для снижения рисков в процессе внедрения инноваций.
- Обеспечение безопасности по проекту и смещение влево. Обеспечение безопасности на всех этапах жизненного цикла DevOps и обеспечение соответствия команд скорости, надежности и устойчивости инноваций.
- Почему DevSecOps?: защита процесса DevOps от злоумышленников, использующих слабые места во всей ИТ-инфраструктуре в вашей организации, которая, в свою очередь, защищает клиентов.
- Путь DevSecOps: используйте инкубацию идей и DevOps в качестве двухэтапного процесса, как и большинство организаций. Определите требования MVP (минимально жизнеспособный продукт), используйте методы руководства для устранения конфликтов команд и интегрируйте безопасность в существующие процессы и инструменты.
- Советы по переходу. По мере преобразования системы безопасности на протяжении всего цикла будут возникать распространенные проблемы, связанные с обучением, временем, выделением ресурсов и общим изменением характера ИТ-операций.
Элементы управления DevSecOps
Обеспечение безопасности на каждом этапе непрерывной интеграции и непрерывной поставки (CI/CD) при создании элементов управления DevSecOps.
- Планирование и разработка. Обеспечение безопасности на этапе планирования в современных методологиях разработки для реализации моделирования угроз, подключаемых модулей безопасности интегрированной среды разработки и предварительной фиксации, а также проверки коллегами.
- Фиксация кода. Оцените и реализуйте возможность сканирования уязвимостей в централизованных репозиториях, чтобы обнаруживать риски и выполнять исправление.
- Сборка и тестирование. Используйте конвейеры сборки и выпуска для автоматизации и стандартизации процессов сборки и развертывания безопасного кода, не тратя большое количество времени на повторное развертывание или обновление существующих сред.
- Переход в рабочую среду и эксплуатация. Контроль и управление состоянием безопасности при выходе решения в рабочую среду. Используйте средства сканирования инфраструктуры и методики тестирования на проникновение, чтобы позволить командам находить риски и уязвимости для устранения.
Цикл разработки на основе тестирования
Прежде чем приступить к повышению безопасности, важно понять "определение готовности" и все "условия приемки". Дополнительные сведения см. в статьях о разработке целевых зон на основе тестирования и разработке на основе тестирования в Azure.
Дальнейшие действия
Узнайте, как оптимизировать операции с целевыми зонами для поддержки важных приложений.