Kom igång: Implementera säkerhet i företagsmiljön

Säkerhet bidrar till att skapa garantier för konfidentialitet, integritet och tillgänglighet för ett företag. Säkerhetsinsatser har ett kritiskt fokus på att skydda mot den potentiella påverkan på åtgärder som orsakas av både interna och externa skadliga och oavsiktliga handlingar.

Den här komma igång-guiden beskriver de viktigaste stegen för att minska eller undvika affärsrisker från cybersäkerhetsattacker. Det kan hjälpa dig att snabbt etablera viktiga säkerhetsrutiner i molnet och integrera säkerhet i molnimplementeringsprocessen.

Stegen i den här guiden är avsedda för alla roller som stöder säkerhetsgarantier för molnmiljöer och landningszoner. Uppgifterna omfattar omedelbara prioriteringar för riskreducering, vägledning för att skapa en modern säkerhetsstrategi, operationalisera metoden och utföra den strategin.

Genom att följa stegen i den här guiden kan du integrera säkerhet vid kritiska punkter i processen. Målet är att undvika hinder i molnimplementeringen och minska onödiga affärs- eller driftstörningar.

Microsoft har skapat funktioner och resurser för att påskynda implementeringen av den här säkerhetsguiden i Microsoft Azure. Du ser de här resurserna som refereras i den här guiden. De är utformade för att hjälpa dig att upprätta, övervaka och framtvinga säkerhet, och de uppdateras och granskas ofta.

Följande diagram visar en holistisk metod för att använda säkerhetsvägledning och plattformsverktyg för att upprätta säkerhetssynlighet och kontroll över dina molntillgångar i Azure. Vi rekommenderar den här metoden.

Använd de här stegen för att planera och köra din strategi för att skydda dina molntillgångar och använda molnet för att modernisera säkerhetsåtgärder.

Steg 1: Upprätta grundläggande säkerhetsrutiner

Säkerheten i molnet börjar med att tillämpa de viktigaste säkerhetsrutinerna för personer, processer och teknikelement i systemet. Dessutom är vissa arkitektoniska beslut grundläggande och är mycket svåra att ändra senare, så bör tillämpas noggrant.

Oavsett om du redan arbetar i molnet eller planerar för framtida implementering rekommenderar vi att du följer dessa 11 grundläggande säkerhetsmetoder (förutom att uppfylla eventuella uttryckliga krav på regelefterlevnad).

Personer:

1. Utbilda team om molnsäkerhetsresan
2. Utbilda team om molnsäkerhetsteknik

Process:

3. Tilldela ansvar för molnsäkerhetsbeslut
4. Uppdatera incidenthanteringsprocesser för molnet
5. Upprätta hantering av säkerhetsstatus

Teknik:

6. Kräv lösenordslös autentisering eller multifaktorautentisering
7. Integrera inbyggd brandvägg och nätverkssäkerhet
8. Integrera inbyggd hotidentifiering

Grundläggande arkitekturbeslut:

9. Standardisera på en enskild katalog och identitet
10. Använda identitetsbaserad åtkomstkontroll (i stället för nycklar)
11. Upprätta en enda enhetlig säkerhetsstrategi

Kommentar

Varje organisation bör definiera sina egna minimistandarder. Riskposition och efterföljande tolerans mot den risken kan variera kraftigt beroende på bransch, kultur och andra faktorer. Till exempel kanske en bank inte tolererar någon potentiell skada på sitt rykte från ens en mindre attack på ett testsystem. Vissa organisationer skulle gärna acceptera samma risk om den påskyndade deras digitala omvandling med tre till sex månader.

Steg 2: Modernisera säkerhetsstrategin

Effektiv säkerhet i molnet kräver en strategi som återspeglar den aktuella hotmiljön och vilken typ av molnplattform som är värd för företagets tillgångar. En tydlig strategi förbättrar alla teams arbete för att tillhandahålla en säker och hållbar företagsmolnmiljö. Säkerhetsstrategin måste möjliggöra definierade affärsresultat, minska risken till en acceptabel nivå och göra det möjligt för anställda att vara produktiva.

En molnsäkerhetsstrategi ger vägledning till alla team som arbetar med teknik, processer och personers beredskap för den här implementeringen. Strategin bör ligga till grund för molnarkitekturen och de tekniska funktionerna, vägleda säkerhetsarkitekturen och funktionerna samt påverka utbildning och utbildning av team.

Slutprodukter:

Strategisteget bör resultera i ett dokument som enkelt kan kommuniceras med många intressenter i organisationen. Intressenterna kan potentiellt inkludera chefer i organisationens ledningsgrupp.

Vi rekommenderar att du samlar in strategin i en presentation för att underlätta enkel diskussion och uppdatering. Den här presentationen kan stödjas med ett dokument, beroende på kultur och inställningar.

• Strategipresentation: Du kan ha en enda strategipresentation, eller så kan du välja att även skapa sammanfattningsversioner för ledarskapspubliker.

  • Fullständig presentation: Detta bör innehålla den fullständiga uppsättningen element för säkerhetsstrategin i huvudpresentationen eller i valfria referensbilder.
  • Sammanfattningar: Versioner som ska användas med ledande befattningshavare och styrelseledamöter kan endast innehålla viktiga element som är relevanta för deras roll, till exempel riskaptit, högsta prioriteter eller accepterade risker.

• Du kan också registrera motivationer, resultat och affärsmotiveringar i strategi- och planmallen.

Metodtips för att skapa en säkerhetsstrategi:

Lyckade program införlivar dessa element i sin säkerhetsstrategiprocess:

• Anpassa dig till affärsstrategin: Säkerhetsstadgan är att skydda affärsvärdet. Det är viktigt att anpassa alla säkerhetsinsatser till det syftet och minimera interna konflikter.

  • Skapa en gemensam förståelse för affärs-, IT- och säkerhetskrav.
  • Integrera säkerheten tidigt i molnimplementeringen för att undvika kriser i sista minuten från risker som kan undvikas.
  • Använd en flexibel metod för att omedelbart fastställa minimikrav och kontinuerligt förbättra säkerhetsgarantierna över tid.
  • Uppmuntra till förändringar i säkerhetskulturen genom avsiktliga proaktiva ledarskapsåtgärder.

  Mer information finns i Transformationer, tankesätt och förväntningar.

• Modernisera säkerhetsstrategin: Säkerhetsstrategin bör omfatta överväganden för alla aspekter av modern teknikmiljö, aktuellt hotlandskap och resurser i säkerhetsgemenskapen.

  • Anpassa till den delade ansvarsmodellen i molnet.
  • Inkludera alla molntyper och distributioner med flera moln.
  • Föredrar interna molnkontroller för att undvika onödig och skadlig friktion.
  • Integrera säkerhetscommunityn för att hålla jämna steg med angriparens utveckling.

Relaterade resurser för ytterligare kontext:

• Utveckling av hotmiljöer, roller och digitala strategier

• Omvandling av säkerhet, strategier, verktyg och hot

• Strategiöverväganden för Cloud Adoption Framework:

  • Modernisera din säkerhetsstrategi
  • Motståndskraft mot cybersäkerhet
  • Hur molnet ändrar säkerhetsrelationer och ansvarsområden

Ansvarigt team	Ansvarsfulla och stödjande team
Säkerhetsledarteam (chief information security officer (CISO) eller motsvarande)	Molnstrategiteam Molnsäkerhetsteam Molnimplementeringsteam Molncenter för excellens eller centralt IT-team

Godkännande av strategi:

Chefer och företagsledare med ansvar för resultat eller risker för affärsområden inom organisationen bör godkänna den här strategin. Denna grupp kan omfatta styrelsen, beroende på organisationen.

Steg 3: Utveckla en säkerhetsplan

Planeringen sätter säkerhetsstrategin i praktiken genom att definiera resultat, milstolpar, tidslinjer och uppgiftsägare. I den här planen beskrivs även teamens roller och ansvarsområden.

Planering av säkerhetsplanering och molnimplementering bör inte utföras isolerat. Det är viktigt att bjuda in molnsäkerhetsteamet till planeringscyklerna tidigt, för att undvika arbetsstopp eller ökad risk för att säkerhetsproblem upptäcks för sent. Säkerhetsplanering fungerar bäst med djup kunskap och medvetenhet om den digitala egendomen och den befintliga IT-portföljen som kommer från att vara helt integrerad i molnplaneringsprocessen.

Slutprodukter:

• Säkerhetsplan: En säkerhetsplan bör ingå i den huvudsakliga planeringsdokumentationen för molnet. Det kan vara ett dokument som använder strategi- och planmallen, ett detaljerat bildspel eller en projektfil. Eller så kan det vara en kombination av dessa format, beroende på organisationens storlek, kultur och standardpraxis.

  Säkerhetsplanen bör innehålla alla dessa element:

  • Organisationens funktioner planerar, så att teamen vet hur aktuella säkerhetsroller och ansvarsområden kommer att ändras när de flyttar till molnet.

  • Säkerhetskunskaper planerar att stödja teammedlemmar när de navigerar de betydande förändringarna i teknik, roller och ansvarsområden.

  • Översikt över teknisk säkerhetsarkitektur och funktioner för att vägleda tekniska team.

    Microsoft tillhandahåller referensarkitekturer och teknikfunktioner som hjälper dig när du skapar din arkitektur och översikt, inklusive:

    • Lär dig mer om Azure-komponenterna och referensmodellen för att påskynda planeringen och utformningen av Azure-säkerhetsroller.

      

      

    • Microsofts referensarkitektur för cybersäkerhet för att skapa en cybersäkerhetsarkitektur för ett hybridföretag som omfattar lokala resurser och molnresurser.

    • Security Operations Center (SOC) refererar till arkitektur för att modernisera säkerhetsidentifiering, svar och återställning.

    • Referensarkitektur för användaråtkomst med noll förtroende för att modernisera åtkomstkontrollarkitekturen för molngenerering.

    • Microsoft Defender för molnet och Microsoft Defender för molnet Apps för att skydda molntillgångar.

  • Säkerhetsmedvetenhet och utbildningsplan, så att alla team har grundläggande viktiga säkerhetskunskaper.

  • Känslighetsmarkering för tillgångar för att ange känsliga tillgångar med hjälp av en taxonomi som är anpassad till affärspåverkan. Taxonomi skapas gemensamt av affärsintressenter, säkerhetsteam och andra berörda parter.

  • Säkerhetsändringar i molnplanen: Uppdatera andra delar av molnimplementeringsplanen för att återspegla ändringar som utlöses av säkerhetsplanen.

Metodtips för säkerhetsplanering:

Din säkerhetsplan kommer sannolikt att bli mer framgångsrik om din planering tar tillvägagångssättet för:

• Anta en hybridmiljö: Det inkluderar saaS-program (programvara som en tjänst) och lokala miljöer. Den innehåller även flera leverantörer av molninfrastruktur som en tjänst (IaaS) och PaaS-leverantörer (plattform som en tjänst), om tillämpligt.

• Anta flexibel säkerhet: Upprätta minimikrav först och flytta alla icke-kritiska objekt till en prioriterad lista över nästa steg. Detta bör inte vara en traditionell, detaljerad plan på 3-5 år. Molnet och hotmiljön ändras för snabbt för att göra den typen av plan användbar. Din plan bör fokusera på att utveckla startstegen och sluttillståndet:

  • Snabba vinster för den närmaste framtiden som kommer att ge en hög effekt innan långsiktiga initiativ börjar. Tidsramen kan vara 3–12 månader, beroende på organisationskultur, standardmetoder och andra faktorer.
  • Tydlig vision av önskat sluttillstånd för att vägleda varje teams planeringsprocess (vilket kan ta flera år att uppnå).

• Dela planen brett: Öka medvetenheten om, feedback från och inköp av intressenter.

• Uppfylla de strategiska resultaten: Se till att din plan överensstämmer med och uppnår de strategiska resultat som beskrivs i säkerhetsstrategin.

• Ange ägarskap, ansvar och tidsgränser: Se till att ägarna för varje uppgift identifieras och har åtagit sig att slutföra uppgiften inom en viss tidsram.

• Anslut med den mänskliga sidan av säkerheten: Engagera människor under den här omvandlingsperioden och nya förväntningar genom att:

  • Aktivt stöd för teammedlemstransformering med tydlig kommunikation och coachning på:

    • Vilka färdigheter de behöver lära sig.
    • Varför de behöver lära sig färdigheterna (och fördelarna med att göra det).
    • Så här hämtar du den här kunskapen (och tillhandahåller resurser som hjälper dem att lära sig).

    Du kan dokumentera planen med hjälp av strategi- och planmallen. Och du kan använda Microsofts säkerhetsutbildning online för att hjälpa dig med utbildning av dina teammedlemmar.

  • Att göra säkerhetsmedvetenhet engagerande för att hjälpa människor att verkligen få kontakt med sin del av att hålla organisationen säker.

• Granska Microsofts utbildningar och vägledning: Microsoft har publicerat insikter och perspektiv som hjälper din organisation att planera sin omvandling till molnet och en modern säkerhetsstrategi. Materialet innehåller inspelad utbildning, dokumentation och metodtips för säkerhet och rekommenderade standarder.

  Teknisk vägledning för att skapa din plan och arkitektur finns i Microsofts säkerhetsdokumentation.

Ansvarigt team	Ansvarsfulla och stödjande team
Molnsäkerhetsteam	Molnstrategiteam Molnstyrningsteam Alla riskteam i din organisation Molncenter för excellens eller centralt IT-team

Godkännande av säkerhetsplan:

Säkerhetsledningen (CISO eller motsvarande) bör godkänna planen.

Steg 4: Skydda nya arbetsbelastningar

Det är mycket enklare att börja i ett säkert tillstånd än att eftermontera säkerheten senare i din miljö. Vi rekommenderar starkt att du börjar med en säker konfiguration för att säkerställa att arbetsbelastningar migreras till och utvecklas och testas i en säker miljö.

Under implementeringen av landningszonen kan många beslut påverka säkerhets- och riskprofiler. Molnsäkerhetsteamet bör granska konfigurationen av landningszonen för att säkerställa att den uppfyller säkerhetsstandarderna och kraven i organisationens säkerhetsbaslinjer.

Slutprodukter:

• Se till att nya landningszoner uppfyller organisationens efterlevnads- och säkerhetskrav.

Vägledning för att stödja slutförande av slutprodukt:

• Blanda befintliga krav och molnrekommendationer: Börja med rekommenderad vägledning och anpassa sedan detta till dina unika säkerhetskrav. Vi har sett utmaningar med att försöka framtvinga befintliga lokala principer och standarder, eftersom dessa ofta hänvisar till inaktuell teknik eller säkerhetsmetoder.

  Microsoft har publicerat vägledning som hjälper dig att skapa dina säkerhetsbaslinjer:

  • Azures säkerhetsstandarder för strategi och arkitektur: Strategi- och arkitekturrekommendationer för att forma din miljös säkerhetsstatus.
  • Azure-säkerhetsmått: Specifika konfigurationsrekommendationer för att skydda Azure-miljöer.
  • Utbildning i Azure-säkerhetsbaslinje.

• Tillhandahålla skyddsräcken: Valv vakter bör innehålla automatisk principgranskning och tillämpning. För dessa nya miljöer bör teamen sträva efter att både granska och framtvinga organisationens säkerhetsbaslinjer. Dessa ansträngningar kan hjälpa till att minimera säkerhetsöverraskningar under utvecklingen av arbetsbelastningar, samt kontinuerlig integrering och kontinuerlig distribution (CI/CD) av arbetsbelastningar.

  Microsoft tillhandahåller flera inbyggda funktioner i Azure för att aktivera detta:

  • Säker poäng: Använd en poängsatt utvärdering av din Azure-säkerhetsstatus för att spåra säkerhetsinsatser och projekt i din organisation.
  • Azure Blueprints: Molnarkitekter och centraliserade IT-grupper kan definiera en repeterbar uppsättning Azure-resurser som implementerar och följer organisationens standarder, mönster och krav.
  • Azure Policy: Detta är grunden för de synlighets- och kontrollfunktioner som de andra tjänsterna använder. Azure Policy är integrerat i Azure Resource Manager, så du kan granska ändringar och tillämpa principer för alla resurser i Azure före, under eller efter skapandet.
  • Förbättra landningszonens åtgärder: Använd metodtips för att förbättra säkerheten i en landningszon.

Ansvarigt team	Ansvarsfulla och stödjande team
Molnsäkerhetsteam	Molnimplementeringsteam Molnplattformsteamet Molnstrategiteam Molnstyrningsteam Molncenter för excellens eller centralt IT-team

Steg 5: Skydda befintliga molnarbetsbelastningar

Många organisationer har redan distribuerat tillgångar till företagsmolnmiljöer utan att tillämpa metodtipsen för säkerhet, vilket skapar ökad affärsrisk.

När du har sett till att nya program och landningszoner följer rekommenderade säkerhetsmetoder bör du fokusera på att anpassa befintliga miljöer till samma standarder.

Slutprodukter:

• Se till att alla befintliga molnmiljöer och landningszoner uppfyller organisationens efterlevnads- och säkerhetskrav.
• Testa driftsberedskap för produktionsdistributioner med hjälp av principer för säkerhetsbaslinjer.
• Verifiera efterlevnaden av designvägledning och säkerhetskrav för säkerhetsbaslinjer.

Vägledning för att stödja slutförande av slutprodukt:

• Använd samma säkerhetsbaslinjer som du skapade i steg 4 som ditt idealtillstånd. Du kan behöva justera vissa principinställningar för att bara granska i stället för att framtvinga dem.
• Balansera drift- och säkerhetsrisker. Eftersom dessa miljöer kan vara värdar för produktionssystem som möjliggör kritiska affärsprocesser kan du behöva implementera säkerhetsförbättringar stegvis för att undvika risk för driftstopp.
• Prioritera identifiering och reparation av säkerhetsrisker efter affärskritiskhet. Börja med arbetsbelastningar som har stor inverkan på verksamheten om de komprometteras och arbetsbelastningar som har hög riskexponering.

Mer information finns i Identifiera och klassificera affärskritiska program.

Ansvarigt team	Ansvarsfulla och stödjande team
Molnimplementeringsteam	Molnimplementeringsteam Molnstrategiteam Molnsäkerhetsteam Molnstyrningsteam Molncenter för excellens eller centralt IT-team

Steg 6: Styr för att hantera och förbättra säkerhetsstatusen

Liksom alla moderna discipliner är säkerhet en iterativ process som bör fokusera på kontinuerlig förbättring. Säkerhetsstatus kan också förfalla om organisationer inte håller fokus på det över tid.

Konsekvent tillämpning av säkerhetskrav kommer från sunda styrningsområden och automatiserade lösningar. När molnsäkerhetsteamet har definierat säkerhetsbaslinjerna bör dessa krav granskas för att säkerställa att de tillämpas konsekvent på alla molnmiljöer (och framtvingas i tillämpliga fall).

Slutprodukter:

• Se till att organisationens säkerhetsbaslinjer tillämpas på alla relevanta system. Granska avvikelser med hjälp av en säker poäng eller en liknande mekanism.
• Dokumentera principer, processer och designvägledning för säkerhetsbaslinje i mallen säkerhetsbaslinjeområde.

Vägledning för att stödja slutförande av slutprodukt:

• Använd samma säkerhetsbaslinjer och granskningsmekanismer som du skapade i steg 4 som tekniska komponenter för övervakning av baslinjerna. Komplettera dessa baslinjer med personer och processkontroller för att säkerställa konsekvens.
• Se till att alla arbetsbelastningar och resurser följer rätt namngivnings- och taggningskonventioner. Tillämpa taggningskonventioner med hjälp av Azure Policy, med särskild betoning på taggar för datakänslighet.
• Om du är nybörjare på molnstyrning kan du upprätta styrningsprinciper, processer och discipliner med hjälp av styrningsmetodiken.

Ansvarigt team	Ansvarsfulla och stödjande team
Molnstyrningsteam	Molnstrategiteam Molnsäkerhetsteam Molncenter för excellens eller centralt IT-team

Nästa steg

Stegen i den här guiden har hjälpt dig att implementera den strategi, de kontroller, processer, färdigheter och den kultur som krävs för att konsekvent hantera säkerhetsrisker i hela företaget.

När du fortsätter in i driftläget för molnsäkerhet bör du överväga följande nästa steg:

• Läs Microsofts säkerhetsdokumentation. Det ger teknisk vägledning för att hjälpa säkerhetspersonal att bygga och förbättra cybersäkerhetsstrategi, arkitektur och prioriterade översikter.
• Granska säkerhetsinformationen i inbyggda säkerhetskontroller för Azure-tjänster.
• Granska Azures säkerhetsverktyg och -tjänster i Säkerhetstjänster och tekniker som är tillgängliga i Azure.
• Granska Microsoft Trust Center. Den innehåller omfattande vägledning, rapporter och relaterad dokumentation som kan hjälpa dig att utföra riskbedömningar som en del av dina regelefterlevnadsprocesser.
• Granska verktyg från tredje part som är tillgängliga för att underlätta uppfylla dina säkerhetskrav. Mer information finns i Integrera säkerhetslösningar i Microsoft Defender för molnet.