Безопасность в Microsoft Cloud Adoption Framework для Azure
Так же, как внедрение облака — это путь, облачная безопасность — это непрерывный путь постепенного прогресса и зрелости, а не статического назначения.
Представление конечного состояния безопасности
Путь без цели — это просто блуждание. Такой подход в конечном итоге может привести к просвещению, но бизнес-цели и ограничения часто требуют сосредоточиться на целях и ключевых результатах.
Методология безопасности предоставляет представление о полном конечном состоянии, которое помогает улучшить программу безопасности с течением времени. В следующем визуальном элементе показаны основные способы интеграции системы безопасности с более крупной организацией, а также показаны дисциплины, связанные с безопасностью.
В Cloud Adoption Framework описывается этот путь обеспечения безопасности, предоставляя ясность в отношении процессов, рекомендаций, моделей и возможностей. Это руководство основано на извлеченных уроках и реальном опыте реальных клиентов, пути обеспечения безопасности корпорации Майкрософт и работе с такими организациями, как NIST, The Open Group и Центр интернет-безопасности (CIS).
В следующем видео показано, как методология защиты помогает со временем улучшать безопасность.
Сопоставление с основными понятиями, платформами и стандартами
Безопасность — это автономная организационная дисциплина и атрибут, интегрированный или накладывающийся на другие дисциплины. Трудно точно определить и сопоставить подробно. В отрасли безопасности используются различные платформы для эксплуатации, отслеживания рисков и планирования элементов управления. Дисциплины в методологии CAF Secure относятся к другим концепциям безопасности и рекомендациям следующим образом:
Никому не доверяй: Корпорация Майкрософт считает, что все дисциплины безопасности должны соответствовать принципам "Никому не доверяй", которые предполагают нарушение безопасности, явно проверяются и используют доступ с минимальными привилегиями. Эти принципы лежат в основе любой разумной стратегии безопасности и должны быть сбалансированы с целями развития бизнеса . Первая и наиболее заметная часть модели "Никому не доверяй" — управление доступом, поэтому она выделена в описании дисциплины безопасности управления доступом.
Открытая группа: Эти дисциплины безопасности тесно соответствуют компонентам "Никому не доверяй" в техническом документе об основных принципах, опубликованном The Open Group, где корпорация Майкрософт активно участвует. Примечательным исключением является то, что корпорация Майкрософт повысила дисциплину безопасности инноваций, чтобы DevSecOps была элементом верхнего уровня из-за того, насколько новой, важной и преобразующей является эта дисциплина для многих организаций.
Платформа кибербезопасности NIST: для организаций, использующих платформу кибербезопасности NIST, жирным шрифтом выделен текст, который наиболее точно отражает соответствие характеристикам платформы. Современный уровень управления доступом и DevSecOps в целом соответствуют всему спектру платформ, поэтому эти элементы не выделяются отдельно.
Сопоставление с ролями и обязанностями
На следующей схеме показаны роли и обязанности в программе безопасности.
Дополнительные сведения см. в статье Функции облачной безопасности.
Изменения системы безопасности
Когда организации внедряют облако, они быстро обнаруживают, что статические процессы безопасности не могут идти в ногу с темпами изменений в облачных платформах, среде угроз и эволюции технологий безопасности. Безопасность должна переходить на постоянно развивающийся подход, чтобы соответствовать темпу этого изменения. Она преобразует культуру организации и ежедневные процессы во всей организации.
Эта методология определяет интеграцию безопасности с бизнес-процессами и техническими дисциплинами безопасности. Эти процессы и дисциплины обеспечивают значимый и устойчивый прогресс на пути к обеспечению безопасности, чтобы снизить риски организации. Немногие организации могут совершенствовать все эти методики одновременно, но все организации должны постоянно созреть каждый процесс и дисциплину.
Причины необходимости изменений
Организации, занимающиеся безопасностью, сталкиваются с двумя основными преобразованиями одновременно.
-
Безопасность как бизнес-риск: Безопасность была переведена в область управления бизнес-рисками из чисто технической дисциплины, ориентированной на качество. Двойные силы, обеспечивающие безопасность:
- Цифровая трансформация. Цифровой след постоянно увеличивает потенциальную зону атак в организации.
- Ландшафт угроз: увеличение объема и степени эффективности атак, изощренность которых растет с ростом индустриальной экономики вследствие применения специальных средств и постоянной коммерциализации инструментов и методов атак.
- Изменение платформы: Безопасность связана с переходом на облачную техническую платформу. Эта смена соответствует масштабу изменения предприятий, когда осуществлялся переход от использования собственных электрических генераторов к подключению к электросети. Хотя команды безопасности часто обладают необходимыми базовыми навыками, они становятся перегружены изменениями почти во всех процессах и технологиях, которые они используют каждый день.
- Изменение в ожиданиях: за последнее десятилетие цифровые инновации изменили целые отрасли. Гибкость бизнеса, особенно гибкость, связанная с цифровыми преобразованиями, может быстро привести к тому, что организация больше не сможет занимать лидирующие позиции на рынке. Потеря доверия потребителей может иметь аналогичное влияние на бизнес. Когда-то для безопасности было приемлемо начать с "нет", чтобы заблокировать проект и защитить организацию. Теперь срочность цифровой трансформации должна изменить модель взаимодействия, чтобы "давайте поговорим о том, как оставаться в безопасности, пока вы делаете то, что необходимо, чтобы оставаться актуальными".
Руководство по длительному преобразованию
Для преобразования представления безопасности бизнес-командами и техническими командами требуется согласование безопасности с приоритетами, процессами и платформой рисков. Ниже перечислены ключевые области, которые определяют успех.
- Инфраструктура: инфраструктура безопасности должна обеспечивать безопасную реализацию бизнес-задач, а не препятствовать их выполнению. Безопасность должна стать нормализованной частью культуры организации. Интернет, где работает компания, открыт и позволяет злоумышленникам пытаться атаковать в любое время. Это требует совершенствования процессов, партнерских отношений и постоянной поддержки руководства на всех уровнях, чтобы контролировать изменения, моделировать поведение и закреплять успех.
- Ответственность за риск. Ответственность за риск безопасности должна быть назначена тем же ролям, которые владеют всеми остальными рисками. Эта подотчетность освобождает безопасность до того, чтобы быть доверенным советником и предметным экспертом, а не козлом отпущения. Безопасность должна нести ответственность за обоснованные и сбалансированные советы, которые передаются на языке этих лидеров, но не должны нести ответственность за решения, которыми они не владеют.
-
Талант в области безопасности: Специалисты по безопасности испытывают хронический дефицит, и организации должны планировать, как наилучшим образом разрабатывать и распространять знания и навыки в области безопасности. Помимо роста групп безопасности непосредственно с наборами технических навыков безопасности, зрелые команды безопасности диверсифицируют свою стратегию, уделяя особое внимание следующим вопросам:
- Растущие наборы навыков и знаний в области безопасности в существующих командах в ИТ-отделе и в бизнесе. Эти навыки особенно важны для команд DevOps с подходом DevSecOps. Навыки могут принимать различные формы, такие как служба технической поддержки по безопасности, выявление и обучение лидеров в сообществе или программы замены рабочих мест.
- Отслеживание наиболее разносторонних профессиональных качеств в команде безопасности способствует привнесению свежих взглядов и концепций для решения возникающих проблем (например, организация бизнеса, человеческая психология или экономика) и построению лучших взаимоотношений внутри организации.
Соответствие бизнес-целям
Из-за этих изменений ваша программа внедрения облака должна в значительной степени сосредоточиться на согласовании бизнес-процессов в трех категориях:
- Аналитика рисков: Согласование и интеграция аналитических сведений о безопасности и сигналов или источников рисков в бизнес-инициативы. Убедитесь, что повторяющиеся процессы обучают команды применению этих аналитических сведений и отвечают за улучшения.
- Интеграция безопасности. Интеграция знаний, навыков и аналитических сведений о безопасности в повседневные операции бизнес-среды и ИТ-среды. Внедрить повторяемые процессы и тесное партнерство на всех уровнях организации.
- Операционная устойчивость. Убедитесь, что организация устойчива, продолжая операции во время атаки (даже если она находится в состоянии пониженной производительности). Организация должна быстро вернуться к полной работе.
Дисциплины, связанные с обеспечением безопасности
Это преобразование по-разному влияет на каждую дисциплину безопасности. Каждая из этих дисциплин важна и требует инвестиций. Следующие дисциплины упорядочены (примерно) по тем, которые имеют наиболее непосредственные возможности для быстрого выигрыша при внедрении облака:
- Управление доступом. Применение сети и удостоверений создает границы доступа и сегментацию, чтобы уменьшить частоту и охват нарушений безопасности.
- Операции безопасности: Мониторинг ИТ-операций для обнаружения, реагирования и восстановления после нарушения безопасности. Используйте данные для постоянного снижения риска нарушения безопасности.
- Защита ресурсов. Максимизируйте защиту ресурсов, таких как инфраструктура, устройства, данные, приложения, сети и удостоверения, чтобы свести к минимуму риск для всей среды.
- Управление безопасностью: делегированные решения ускоряют реализацию инноваций и способствуют возникновению новых рисков. Отслеживайте решения, конфигурации и данные для управления решениями, принятыми в среде и в рамках рабочих нагрузок в портфеле.
- Безопасность инноваций. По мере того как организация внедряет модели DevOps для увеличения темпов внедрения инноваций, безопасность должна стать неотъемлемой частью процесса DevSecOps. Интегрируйте знания и ресурсы в области безопасности непосредственно в этот высокоскоростной цикл. Этот процесс включает в себя перенос некоторых решений из централизованных команд, чтобы расширить возможности команд, ориентированных на рабочую нагрузку.
Основные принципы
Действия по обеспечению безопасности должны выравнивать и формироваться с помощью двойного фокуса на:
- Бизнес-возможности: Согласование с бизнес-целью организации и платформой рисков.
-
Гарантии безопасности: Сосредоточьтесь на применении принципов "Никому не доверяй", а именно:
- Предположить нарушение. При проектировании безопасности для компонента или системы уменьшите риск расширения доступа злоумышленником, предполагая, что другие ресурсы в организации скомпрометированы.
- Явная проверка: Явно проверьте доверие, используя все доступные точки данных, а не предполагая доверие. Например, при управлении доступом проверьте удостоверение пользователя, расположение, работоспособность устройства, службу или рабочую нагрузку, классификацию данных и аномалии, а не разрешайте доступ из неявно доверенной внутренней сети.
- Доступ с минимальными привилегиями: Ограничьте риск компрометации пользователя или ресурса, предоставляя JIT-доступ (JIT/JEA), адаптивные политики на основе рисков и защиту данных для защиты данных и повышения производительности.
Дальнейшие действия
Методология Secure является частью исчерпывающего набора руководств по обеспечению безопасности, который также включает следующие.
- Azure Well-Architected Framework – руководство по обеспечению безопасности рабочих нагрузок в Azure.
- Проектирование архитектуры безопасности. Путь на уровне реализации наших архитектур безопасности. Просмотрите архитектуры безопасности.
- Тесты производительности Azure: рекомендуемые передовые методы и средства контроля безопасности Azure.
- Целевая зона корпоративного уровня: эталонная архитектура и реализация Azure со интегрированной системой безопасности.
- 10 лучших рекомендаций по обеспечению безопасности для Azure: лучшие рекомендации по обеспечению безопасности Azure, которые корпорация Майкрософт рекомендует на основе опыта, полученного клиентами и в собственных средах.
- Архитектуры кибербезопасности Майкрософт. На схемах описывается интеграция возможностей безопасности Майкрософт с платформами Майкрософт и сторонними платформами.