Безопасный

  • 10 мин

Вы можете использовать методологию Secure для повышения уровня безопасности. Это руководство относится ко всем методологиям в Cloud Adoption Framework, так как необходимо реализовать безопасность в качестве неотъемлемой части каждого этапа. Все рекомендации, приведенные в методологии безопасности, соответствуют принципам нулевого доверия: предполагаемой компрометации (или нарушения), наименьших привилегий и явной проверки доверия.

Воспользуйтесь преимуществами рекомендаций по безопасности

Это руководство Cloud Adoption Framework Secure является одним из компонентов более широкого комплексного набора рекомендаций по безопасности Майкрософт, предназначенных для того, чтобы помочь различным командам понять и выполнить свои обязанности по безопасности. Полный набор содержит следующие рекомендации:

  • Методология Cloud Adoption Framework Secure предоставляет рекомендации по безопасности для команд, которые управляют инфраструктурой технологий, которая поддерживает все операции разработки рабочих нагрузок и операций, размещенных в Azure.

  • Руководство по безопасности Azure Well-Architected Framework предоставляет рекомендации для отдельных владельцев рабочих нагрузок о том, как применять рекомендации по обеспечению безопасности к процессам разработки приложений и DevSecOps и DevSecOps. Корпорация Майкрософт предоставляет рекомендации, которые дополняют эту документацию по применению методов безопасности и элементов управления DevSecOps в жизненном цикле разработки безопасности.

  • Microsoft Cloud Security Benchmark предоставляет рекомендации для заинтересованных лиц, чтобы обеспечить надежную облачную безопасность. Это руководство включает базовые показатели безопасности, описывающие доступные функции безопасности и рекомендуемые оптимальные конфигурации для служб Azure.

  • Руководство по нулевому доверию предоставляет рекомендации для групп безопасности для реализации технических возможностей для поддержки инициативы модернизации нулевого доверия.

На протяжении всего процесса внедрения облака ищите возможности для повышения общего уровня безопасности путем модернизации, подготовки инцидентов и реагирования. Возможность подготовиться к инцидентам и реагировать на них может значительно повлиять на успех в облаке. Хорошо разработанные механизмы подготовки и операционные методики обеспечивают быстрое обнаружение угроз и помогают свести к минимуму радиус взрыва инцидентов.

Использование модели ЦРУ Triad

Триад ЦРУ — это фундаментальная модель в информационной безопасности, представляющая три основных принципа: конфиденциальность, целостность и доступность.

  • Конфиденциальность гарантирует, что только авторизованные лица могут получить доступ к конфиденциальной информации. Этот принцип включает такие меры, как шифрование и управление доступом для защиты данных от несанкционированного доступа.

  • Целостность обеспечивает точность и полноту данных. Этот принцип означает защиту данных от изменений или изменения несанкционированными пользователями, что гарантирует, что информация остается надежной.

  • Доступность гарантирует, что информация и ресурсы доступны авторизованным пользователям при необходимости. Этот принцип включает в себя обслуживание систем и сетей для предотвращения простоя и обеспечения непрерывного доступа к данным.

Некоторые способы, которыми триадные принципы могут помочь обеспечить безопасность и надежность:

  • Защита данных: Защита конфиденциальных данных от нарушений путем использования ЦРУ Triad, который обеспечивает конфиденциальность и соответствие нормативным требованиям.

  • Непрерывность бизнес-процессов: Обеспечение целостности и доступности данных для поддержания бизнес-операций и предотвращения простоя.

  • Доверие клиентов: Реализуйте триад ЦРУ для создания доверия с клиентами и заинтересованными лицами, демонстрируя приверженность безопасности данных.

Назначьте роли

Назначьте соответствующие роли безопасности , чтобы помочь вашей команде выполнять функции безопасности на каждом этапе жизненного цикла облака, от разработки до непрерывного улучшения.

  • Сопоставляйте существующие роли и какие функции они охватывают.
  • Проверьте наличие пробелов.
  • Оцените, может ли ваша организация и должна инвестировать в решение этих пробелов.

Необходимо убедиться, что все понимают свою роль в безопасности и как работать с другими командами. Чтобы достичь этой цели, документируйте процессы безопасности между командами и общую модель ответственности для технических групп. Модель общей ответственности аналогична модели RACI (ответственный, подотчетный, консультируемый, информируемый). Модель общей ответственности помогает проиллюстрировать совместный подход, включая тех, кто принимает решения и какие команды должны выполнять совместную работу с конкретными элементами и результатами.

Необходимо постоянно повысить безопасность, чтобы обеспечить надежную защиту в облаке, так как кибер-угрозы постоянно развиваются и становятся более сложными. Ретроспективы и мониторинг могут помочь определить области, которые могут воспользоваться улучшением. Кроме того, убедитесь, что вы предоставляете надлежащую подготовку, чтобы оставаться в актуальном состоянии с развитием угроз и технологий.