Säkerhetsdesignprinciper
En Well-Architected arbetsbelastning måste skapas med en nollförtroendemetod. En säker arbetsbelastning är motståndskraftig mot attacker och omfattar de relaterade säkerhetsprinciperna för konfidentialitet, integritet och tillgänglighet (även kallat CIA-triaden) utöver att uppfylla affärsmålen. Alla säkerhetsincidenter kan bli ett stort intrång som skadar arbetsbelastningens eller organisationens varumärke och rykte. Börja med följande frågor för att mäta säkerhetseffekten för din övergripande strategi för en arbetsbelastning:
Ger dina defensiva investeringar meningsfulla kostnader och friktion för att förhindra angripare från att äventyra din arbetsbelastning?
Kommer dina säkerhetsåtgärder att vara effektiva när det gäller att begränsa explosionsradien för en incident?
Förstår du hur det kan vara värdefullt för en angripare att kontrollera arbetsbelastningen? Förstår du hur din verksamhet påverkas om arbetsbelastningen och dess data blir stulna, otillgängliga eller manipulerade?
Kan arbetsbelastningen och åtgärderna snabbt identifiera, svara på och återställa efter avbrott?
När du utformar systemet använder du Microsoft Nolltillit-modellen som kompass för att minimera säkerhetsrisker:
Verifiera uttryckligen så att endast betrodda identiteter utför avsedda och tillåtna åtgärder som kommer från förväntade platser. Det här skyddet gör det svårare för angripare att personifiera legitima användare och konton.
Använd åtkomst med lägsta behörighet för rätt identiteter, med rätt uppsättning behörigheter, under rätt varaktighet och till rätt tillgångar. Att begränsa behörigheter hjälper till att hindra angripare från att missbruka behörigheter som legitima användare inte ens behöver.
Anta brott mot säkerhetskontroller och utforma kompenserande kontroller som begränsar risker och skador om ett primärt försvarslager misslyckas. Det hjälper dig att försvara din arbetsbelastning bättre genom att tänka som en angripare som är intresserad av att lyckas (oavsett hur de får det).
Säkerhet är inte en engångsåtgärd. Du måste implementera den här vägledningen regelbundet. Förbättra kontinuerligt dina försvars- och säkerhetskunskaper för att skydda din arbetsbelastning från angripare som ständigt får åtkomst till innovativa attackvektorer när de utvecklas och läggs till i automatiserade attackpaket.
Designprinciperna är avsedda att upprätta ett kontinuerligt säkerhetstänk som hjälper dig att kontinuerligt förbättra säkerhetsstatusen för din arbetsbelastning allt eftersom angripares försök kontinuerligt utvecklas. Dessa principer bör vägleda säkerheten för din arkitektur, designval och operativa processer. Börja med de rekommenderade metoderna och motivera fördelarna med en uppsättning säkerhetskrav. När du har angett din strategi kan du köra åtgärder med hjälp av checklistan Säkerhet som nästa steg.
Om dessa principer inte tillämpas korrekt kan en negativ inverkan på verksamheten och intäkterna förväntas. Vissa konsekvenser kan vara uppenbara, till exempel påföljder för regelmässiga arbetsbelastningar. Andra kanske inte är så uppenbara och kan leda till pågående säkerhetsproblem innan de upptäcks.
I många verksamhetskritiska arbetsbelastningar är säkerheten det främsta problemet, tillsammans med tillförlitlighet, eftersom vissa attackvektorer, till exempel dataexfiltrering, inte påverkar tillförlitligheten. Säkerhet och tillförlitlighet kan dra en arbetsbelastning i motsatt riktning eftersom säkerhetsfokuserad design kan introducera felpunkter och öka driftskomplexiteten. Säkerhetens inverkan på tillförlitligheten är ofta indirekt, vilket införs genom driftsbegränsningar. Överväg noggrant kompromisser mellan säkerhet och tillförlitlighet.
Genom att följa dessa principer kan du förbättra säkerhetseffektiviteten, förstärka arbetsbelastningstillgångarna och skapa förtroende hos användarna.
Planera din säkerhetsberedskap
 Sträva efter att införa och implementera säkerhetsrutiner i beslut och åtgärder för arkitekturdesign med minimal friktion. |
|---|
Som arbetsbelastningsägare har du ett delat ansvar med organisationen för att skydda tillgångar. Skapa en säkerhetsberedskapsplan som är anpassad efter affärsprioriteringar. Det kommer att leda till väldefinierade processer, tillräckliga investeringar och lämpliga ansvarstaganden. Planen bör tillhandahålla arbetsbelastningskraven för organisationen, som också delar ansvaret för att skydda tillgångar. Säkerhetsplaner bör ta hänsyn till din strategi för tillförlitlighet, hälsomodellering och självbevarelsedrift.
Förutom organisationstillgångar måste själva arbetsbelastningen skyddas mot intrångs- och exfiltreringsattacker. Alla aspekter av Nolltillit och CIA-triaden bör beaktas i planen.
Funktionella och icke-funktionella krav, budgetbegränsningar och andra överväganden bör inte begränsa säkerhetsinvesteringar eller utspädningsgarantier. Samtidigt måste du skapa och planera säkerhetsinvesteringar med dessa begränsningar i åtanke.
| Metod | Fördelar |
|---|---|
| Använd segmentering som en strategi för att planera säkerhetsgränser i arbetsbelastningsmiljön, processerna och teamstrukturen för att isolera åtkomst och funktion. Segmenteringsstrategin bör styras av affärskrav. Du kan basera den på kritiska komponenter, arbetsfördelning, sekretessproblem och andra faktorer. |
Du kommer att kunna minimera driftsfriktionen genom att definiera roller och upprätta tydliga ansvarslinjer. Den här övningen hjälper dig också att identifiera åtkomstnivån för varje roll, särskilt för konton med kritisk påverkan. Med isolering kan du begränsa exponeringen av känsliga flöden till endast roller och tillgångar som behöver åtkomst. Överdriven exponering kan oavsiktligt leda till avslöjande av informationsflöden. Sammanfattningsvis kommer du att kunna ändra storlek på säkerhetsinsatser baserat på behoven för varje segment. |
| Skapa kontinuerligt kunskaper genom rollbaserad säkerhetsutbildning som uppfyller organisationens krav och användningsfallen för arbetsbelastningen. | Ett mycket skickligt team kan utforma, implementera och övervaka säkerhetskontroller som förblir effektiva mot angripare, som ständigt letar efter nya sätt att utnyttja systemet. Organisationsomfattande utbildning fokuserar vanligtvis på att utveckla en bredare kompetensuppsättning för att skydda de gemensamma elementen. Men med rollbaserad utbildning fokuserar du på att utveckla djup expertis inom plattformserbjudanden och säkerhetsfunktioner som hanterar arbetsbelastningsproblem. Du måste implementera båda metoderna för att försvara dig mot angripare genom bra design och effektiva åtgärder. |
| Kontrollera att det finns en incidenthanteringsplan för din arbetsbelastning. Använd branschramverk som definierar standardproceduren för beredskap, identifiering, inneslutning, åtgärd och aktivitet efter incident. |
Vid tidpunkten för krisen måste förvirring undvikas. Om du har en väldokumenterad plan kan ansvarsfulla roller fokusera på körning utan att slösa tid på osäkra åtgärder. Dessutom kan en omfattande plan hjälpa dig att se till att alla reparationskrav uppfylls. |
| Stärka din säkerhetsstatus genom att förstå de krav för säkerhetsefterlevnad som ställs av påverkan utanför arbetsbelastningsteamet, till exempel organisationsprinciper, regelefterlevnad och branschstandarder. | Clarity om efterlevnadskrav hjälper dig att utforma rätt säkerhetsgarantier och förhindra inkompatibilitetsproblem, vilket kan leda till påföljder. Branschstandarder kan ge en baslinje och påverka ditt val av verktyg, principer, säkerhetsskydd, riktlinjer, riskhanteringsmetoder och utbildning. Om du vet att arbetsbelastningen följer efterlevnaden kan du ingjuta förtroende för användarbasen. |
| Definiera och framtvinga säkerhetsstandarder på teamnivå under arbetsbelastningens livscykel och åtgärder. Sträva efter konsekventa metoder i åtgärder som kodning, gated approvals, release management och dataskydd och kvarhållning. |
Att definiera goda säkerhetsrutiner kan minimera försumlighet och ytan för potentiella fel. Teamet optimerar arbetet och resultatet blir förutsägbart eftersom metoderna blir mer konsekventa. Genom att följa säkerhetsstandarder över tid kan du identifiera möjligheter till förbättringar, inklusive automatisering, vilket effektiviserar arbetet ytterligare och ökar konsekvensen. |
| Justera ditt incidentsvar med den centraliserade funktionen Security Operation Center (SOC) i din organisation. | Genom att centralisera incidenthanteringsfunktioner kan du dra nytta av specialiserade IT-proffs som kan identifiera incidenter i realtid för att hantera potentiella hot så snabbt som möjligt. |
Utforma för att skydda konfidentialitet
| Förhindra exponering för sekretess, regler, program och upphovsrättsskyddad information genom åtkomstbegränsningar och fördunklingstekniker. |
|---|
Arbetsbelastningsdata kan klassificeras efter användare, användning, konfiguration, efterlevnad, immateriella rättigheter med mera. Dessa data kan inte delas eller nås utanför de etablerade förtroendegränserna. Arbetet med att skydda konfidentialiteten bör fokusera på åtkomstkontroller, opacitet och att hålla ett spårningsspår över aktiviteter som gäller data och systemet.
| Metod | Fördelar |
|---|---|
| Implementera starka åtkomstkontroller som endast beviljar åtkomst baserat på behovsberedskap. | Minsta behörighet. Arbetsbelastningen skyddas mot obehörig åtkomst och otillåtna aktiviteter. Även när åtkomsten kommer från betrodda identiteter minimeras åtkomstbehörigheterna och exponeringstiden eftersom kommunikationsvägen är öppen under en begränsad period. |
| Klassificera data baserat på dess typ, känslighet och potentiella risk. Tilldela en sekretessnivå för varje. Inkludera systemkomponenter som finns i omfånget för den identifierade nivån. |
Verifiera explicit. Den här utvärderingen hjälper dig att ändra storlek på säkerhetsåtgärder. Du kommer också att kunna identifiera data och komponenter som har stor potentiell påverkan och/eller riskexponering. Den här övningen ger tydlighet i din informationsskyddsstrategi och hjälper till att säkerställa ett avtal. |
| Skydda dina vilande data, under överföring och under bearbetningen med hjälp av kryptering. Basera din strategi på den tilldelade sekretessnivån. | Anta intrång. Även om en angripare får åtkomst kan de inte läsa korrekt krypterade känsliga data. Känsliga data innehåller konfigurationsinformation som används för att få ytterligare åtkomst i systemet. Datakryptering kan hjälpa dig att begränsa risker. |
| Skydda mot kryphål som kan orsaka omotiverad exponering av information. | Verifiera explicit. Det är viktigt att minimera sårbarheter i implementeringar av autentisering och auktorisering, kod, konfigurationer, åtgärder och de som härrör från systemets användares sociala vanor. Med uppdaterade säkerhetsåtgärder kan du blockera kända säkerhetsrisker från att komma in i systemet. Du kan också minska nya säkerhetsrisker som kan uppstå med tiden genom att implementera rutinåtgärder under hela utvecklingscykeln, vilket kontinuerligt förbättrar säkerhetsgarantierna. |
| Skydda mot dataexfiltrering som beror på skadlig eller oavsiktlig åtkomst till data. | Anta intrång. Du kommer att kunna innehålla explosionsradie genom att blockera obehörig dataöverföring. Dessutom skyddar kontroller som tillämpas på nätverk, identitet och kryptering data i olika lager. |
| Upprätthålla sekretessnivån när data flödar genom olika komponenter i systemet. | Anta intrång. Genom att tillämpa sekretessnivåer i hela systemet kan du tillhandahålla en konsekvent nivå av härdning. Det kan förhindra sårbarheter som kan uppstå vid flytt av data till en lägre säkerhetsnivå. |
| Underhåll en spårningslogg för alla typer av åtkomstaktiviteter. | Anta intrång. Granskningsloggar stöder snabbare identifiering och återställning vid incidenter och hjälper till med pågående säkerhetsövervakning. |
Design för att skydda integritet
| Förhindra skador på design, implementering, åtgärder och data för att undvika störningar som kan hindra systemet från att leverera det avsedda verktyget eller få det att fungera utanför de föreskrivna gränserna. Systemet bör ge informationssäkerhet under hela arbetsbelastningens livscykel. |
|---|
Nyckeln är att implementera kontroller som förhindrar manipulering av affärslogik, flöden, distributionsprocesser, data och till och med de lägre stackkomponenterna, till exempel operativsystemet och startsekvensen. Brist på integritet kan medföra sårbarheter som kan leda till överträdelser av sekretess och tillgänglighet.
| Metod | Fördelar |
|---|---|
| Implementera starka åtkomstkontroller som autentiserar och auktoriserar åtkomst till systemet. Minimera åtkomst baserat på privilegier, omfång och tid. |
Minsta behörighet. Beroende på kontrollernas styrka kan du förhindra eller minska riskerna från icke godkända ändringar. Detta säkerställer att data är konsekventa och tillförlitliga. Att minimera åtkomsten begränsar omfattningen av potentiell korruption. |
| Skydda kontinuerligt mot sårbarheter och identifiera dem i leveranskedjan för att hindra angripare från att mata in programvarufel i din infrastruktur, skapa system, verktyg, bibliotek och andra beroenden. Leveranskedjan bör söka efter sårbarheter under byggtiden och körningen. |
Anta intrång. Att känna till programvarans ursprung och verifiera dess äkthet under hela livscykeln ger förutsägbarhet. Du kommer att känna till säkerhetsrisker i god tid så att du proaktivt kan åtgärda dem och skydda systemet i produktion. |
| Upprätta förtroende och verifiera med hjälp av kryptografitekniker som attestering, kodsignering, certifikat och kryptering. Skydda dessa mekanismer genom att tillåta välrenommerade dekryptering. |
Verifiera uttryckligen, lägsta behörighet. Du vet att ändringar av data eller åtkomst till systemet verifieras av en betrodd källa. Även om krypterade data fångas upp under överföring av en illvillig aktör kan aktören inte låsa upp eller dechiffrera innehållet. Du kan använda digitala signaturer för att säkerställa att data inte manipulerades under överföringen. |
| Kontrollera att säkerhetskopieringsdata är oföränderliga och krypterade när data replikeras eller överförs. | Verifiera explicit. Du kommer att kunna återställa data med förtroende för att säkerhetskopierade data inte har ändrats i vila, oavsiktligt eller skadligt. |
| Undvik eller minimera systemimplementeringar som gör att din arbetsbelastning kan arbeta utanför sina avsedda gränser och syften. | Verifiera explicit. När systemet har starka skydd som kontrollerar om användningen överensstämmer med dess avsedda gränser och syften minskas omfånget för potentiellt missbruk eller manipulering av beräknings-, nätverks- och datalager. |
Design för att skydda tillgänglighet
| Förhindra eller minimera system- och arbetsbelastningsavbrott och försämring i händelse av en säkerhetsincident med hjälp av starka säkerhetskontroller. Du måste upprätthålla dataintegriteten under incidenten och när systemet har återställts. |
|---|
Du måste balansera alternativ för tillgänglighetsarkitektur med alternativ för säkerhetsarkitektur. Systemet bör ha tillgänglighetsgarantier för att säkerställa att användarna har åtkomst till data och att data kan nås. Ur ett säkerhetsperspektiv bör användarna arbeta inom det tillåtna åtkomstomfånget och data måste vara betrodda. Säkerhetskontroller bör blockera dåliga aktörer, men de bör inte blockera legitima användare från att komma åt systemet och data.
| Metod | Fördelar |
|---|---|
| Förhindra att komprometterade identiteter missbrukar åtkomst för att få kontroll över systemet. Kontrollera om det finns alltför stora omfång och tidsgränser för att minimera riskexponeringen. |
Minsta behörighet. Den här strategin minskar risken för överdriven, onödig eller missbrukad åtkomstbehörighet för viktiga resurser. Risker omfattar obehöriga ändringar och till och med borttagning av resurser. Dra nytta av jit (just-in-time), just-enough-access (JEA) och tidsbaserade säkerhetslägen för att ersätta stående behörigheter där det är möjligt. |
| Använd säkerhetskontroller och designmönster för att förhindra attacker och kodfel från att orsaka resursöverbelastning och blockera åtkomst. | Verifiera explicit. Systemet kommer inte att drabbas av driftstopp som orsakas av skadliga åtgärder, till exempel DDoS-attacker (Distributed Denial of Service). |
| Implementera förebyggande åtgärder för attackvektorer som utnyttjar sårbarheter i programkod, nätverksprotokoll, identitetssystem, skydd mot skadlig kod och andra områden. | Anta intrång. Implementera kodskannrar, tillämpa de senaste säkerhetskorrigeringarna, uppdatera programvara och skydda systemet med effektiva program mot skadlig kod kontinuerligt. Du kommer att kunna minska attackytan för att säkerställa affärskontinuitet. |
| Prioritera säkerhetskontroller för kritiska komponenter och flöden i systemet som är riskkänsliga. | Anta intrång, verifiera uttryckligen. Regelbundna identifierings- och prioriteringsövningar kan hjälpa dig att tillämpa säkerhetsexpertis på systemets kritiska aspekter . Du kommer att kunna fokusera på de mest sannolika och skadliga hoten och starta riskreduceringen i områden som behöver mest uppmärksamhet. |
| Använd minst samma säkerhetsnivå i dina återställningsresurser och processer som du gör i den primära miljön, inklusive säkerhetskontroller och säkerhetskopieringsfrekvens. | Anta intrång. Du bör ha ett bevarat säkert systemtillstånd som är tillgängligt vid haveriberedskap. Om du gör det kan du redundansväxla till ett säkert sekundärt system eller en säker plats och återställa säkerhetskopior som inte medför något hot. En väl utformad process kan förhindra att en säkerhetsincident hindrar återställningsprocessen. Skadade säkerhetskopierade data eller krypterade data som inte kan dechiffreras kan göra återställningen långsammare. |
Upprätthålla och utveckla din säkerhetsstatus
| Införliva kontinuerlig förbättring och tillämpa vaksamhet för att ligga före angripare som kontinuerligt utvecklar sina attackstrategier. |
|---|
Din säkerhetsstatus får inte försämras med tiden. Du måste kontinuerligt förbättra säkerhetsåtgärderna så att nya störningar hanteras mer effektivt. Sträva efter att anpassa förbättringarna till de faser som definieras av branschstandarder. Detta leder till bättre beredskap, kortare tid till incidentidentifiering och effektiv inneslutning och minskning. Kontinuerliga förbättringar bör baseras på lärdomar från tidigare incidenter.
Det är viktigt att mäta din säkerhetsstatus, tillämpa principer för att upprätthålla den hållningen och regelbundet validera dina säkerhetsreduceringar och kompenserande kontroller för att kontinuerligt förbättra din säkerhetsstatus inför växande hot.
| Metod | Fördelar |
|---|---|
| Skapa och underhålla en omfattande tillgångsinventering som innehåller sekretessbelagd information om resurser, platser, beroenden, ägare och andra metadata som är relevanta för säkerheten. Så mycket som möjligt automatiserar du inventeringen för att härleda data från systemet. |
En välorganiserad inventering ger en holistisk vy över miljön, vilket ger dig en fördelaktig position mot angripare, särskilt under aktiviteter efter incident. Det skapar också en affärsrytm för att driva kommunikation, underhåll av kritiska komponenter och avveckling av överblivna resurser. |
| Utför hotmodellering för att identifiera och minimera potentiella hot. | Du kommer att ha en rapport över attackvektorer som prioriteras efter deras allvarlighetsgrad. Du kommer att kunna identifiera hot och sårbarheter snabbt och konfigurera motåtgärder. |
| Samla regelbundet in data för att kvantifiera ditt aktuella tillstånd mot din etablerade säkerhetsbaslinje och ange prioriteringar för reparation. Dra nytta av funktioner som tillhandahålls av plattformen för hantering av säkerhetsstatus och efterlevnad som införts av externa och interna organisationer. |
Du behöver korrekta rapporter som ger klarhet och konsensus för att fokusera på områden. Du kommer omedelbart att kunna utföra tekniska åtgärder, från och med objekt med högsta prioritet. Du kommer också att identifiera luckor som ger möjligheter till förbättringar. Implementering av tillämpning hjälper till att förhindra överträdelser och regressioner, vilket bevarar din säkerhetsstatus. |
| Kör regelbundna säkerhetstester som utförs av experter utanför arbetsbelastningsteamet som försöker hacka systemet etiskt. Utför rutinmässig och integrerad sårbarhetsgenomsökning för att identifiera sårbarheter i infrastruktur, beroenden och programkod. |
Med de här testerna kan du verifiera säkerhetsskydd genom att simulera verkliga attacker med hjälp av tekniker som intrångstestning. Hot kan introduceras som en del av din ändringshantering. Genom att integrera skannrar i distributionspipelines kan du automatiskt identifiera sårbarheter och till och med karantänanvändning tills säkerhetsriskerna har tagits bort. |
| Identifiera, svara och återställa med snabba och effektiva säkerhetsåtgärder. | Den främsta fördelen med den här metoden är att den gör att du kan bevara eller återställa säkerhetsgarantierna för CIA-triaden under och efter en attack. Du måste aviseras så snart ett hot har identifierats så att du kan starta dina undersökningar och vidta lämpliga åtgärder. |
| Utföra aktiviteter efter incident , till exempel rotorsaksanalyser, postmortems och incidentrapporter. | Dessa aktiviteter ger insikt i effekten av intrånget och lösningsåtgärder, vilket ger förbättringar i försvar och åtgärder. |
| Hämta aktuell och håll dig uppdaterad. Håll dig uppdaterad om uppdateringar, korrigeringar och säkerhetskorrigeringar. Utvärdera systemet kontinuerligt och förbättra det baserat på granskningsrapporter, benchmarking och lärdomar från testaktiviteter. Överväg automatisering efter behov. Använd hotinformation som drivs av säkerhetsanalys för dynamisk identifiering av hot. Med jämna mellanrum granskar du arbetsbelastningens överensstämmelse med bästa praxis för säkerhetsutvecklingslivscykel (SDL). |
Du kan se till att din säkerhetsstatus inte försämras med tiden. Genom att integrera resultat från verkliga attacker och testaktiviteter kan du bekämpa angripare som kontinuerligt förbättrar och utnyttjar nya kategorier av sårbarheter. Automatisering av repetitiva uppgifter minskar risken för mänskliga fel som kan skapa risker. SDL-granskningar ger klarhet kring säkerhetsfunktioner. SDL kan hjälpa dig att upprätthålla en inventering av arbetsbelastningstillgångar och deras säkerhetsrapporter, som omfattar ursprung, användning, driftsbrister och andra faktorer. |
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för