Förbättra säkerheten i landningszoner

  • Artikel

När en arbetsbelastning eller de landningszoner som är värdar för den kräver åtkomst till känsliga data eller kritiska system är det viktigt att skydda data och tillgångar.

Säkerhet

När du avslutar tillståndet Redo har du det löpande ansvaret för att upprätthålla säkerheten för din miljö. Molnsäkerhet är också en inkrementell process i stället för bara ett statiskt mål. Fokusera på mål och viktiga resultat när du föreställer dig ett säkerhetssluttillstånd. Mappa begrepp, ramverk och standarder till områdena i CAF:s säkra metodik tillsammans med mappning till roller och ansvarsområden för mänsklig disciplin. Den säkra metoden ger vägledning.

Nedan ger vi en översikt över den här vägledningen med länkar till informationen.

Riskinsikter

Affärsverksamhet har säkerhetsrisker. Säkerhetsteamet bör informera och ge råd till beslutsfattare om hur säkerhetsrisker passar in i deras ramverk genom att förstå verksamheten och använda säkerhetsrutiner för att identifiera vilken risk som lämpligen ska planeras och vidta åtgärder.

  • Vad är cybersäkerhetsrisk?: Alla potentiella skador eller förstörelse av verksamheten som orsakas av mänskliga angripare som försöker stjäla valuta, insiderinformation eller teknik.
  • Anpassa din säkerhetsriskhantering: Investera i att överbrygga cybersäkerhet och organisationsledarskap för att förklara säkerhetshot med hjälp av företagsvänlig terminologi, aktivt lyssna och kommunicera med alla människor i hela verksamheten.
  • Förstå cybersäkerhetsrisker: Förstå de mänskliga angriparnas motiveringar och beteendemönster för att stjäla pengar, information eller teknik och identifiera potentiella effekter av olika typer av attacker.

Säkerhetsintegrering

Se till att säkerheten är ett organisationsproblem och inte i en enda grupp. Med säkerhetsintegrering får du vägledning om hur du integrerar säkerhet i allas roller samtidigt som du minimerar friktionen med affärsprocesser. Specifik vägledning omfattar:

  • Normalisera relationer: Se till att alla team är integrerade med säkerhetsteam och har en gemensam förståelse för säkerhetsmål. Arbeta vidare med att hitta rätt nivå av säkerhetskontroller och se till att kontrollerna inte uppväger affärsvärdet.
  • Integrera med IT och affärsverksamhet: Balansera implementeringen av säkerhetsuppdateringar och mappa hur alla säkerhetsprocesser påverkar den aktuella affärspåverkan och potentiella säkerhetsrisker i framtiden.
  • Integrera säkerhetsteam: Undvik att arbeta i silor genom att svara på aktiva hot och kontinuerligt förbättra organisationens säkerhetsstatus genom att använda säkerhet som ett dynamiskt område.

Affärsresiliens

Organisationer kan aldrig ha perfekt säkerhet, men det finns fortfarande en pragmatisk metod för affärsresiliens när det gäller att investera hela livscykeln för en säkerhetsrisk före, under och efter en incident.

  • Motståndskraftsmål: Fokusera på att göra det möjligt för ditt företag att snabbt förnya, begränsa effekten och alltid söka säkra sätt att införa teknik.
  • Säkerhetsåterhämtning och anta intrång: Anta intrång eller kompromiss för att följa huvudprincipen noll förtroende och öva pragmatiska säkerhetsbeteenden för att förhindra attacker, begränsa skador och få snabb återställning från dem.

Åtkomstkontroll

Skapa en strategi för åtkomstkontroll som anpassar både användarupplevelsen och säkerhetsgarantierna.

  • Från säkerhetsperimeter till noll förtroende: Använd en nollförtroendemetod för åtkomstkontroll för att upprätta och förbättra säkerhetsgarantier när du arbetar i molnet och använder ny teknik.
  • Modern åtkomstkontroll: Skapa en strategi för åtkomstkontroll som är omfattande, konsekvent och flexibel. Gå utöver en enda taktik eller teknik för flera arbetsbelastningar, moln och olika känslighetsnivåer för verksamheten.
  • Känd, betrodd, tillåten: Följ den dynamiska trestegsprocessen för att säkerställa känd autentisering, lita på användaren eller enheten och tillåta lämpliga rättigheter och behörigheter för programmet, tjänsten eller data.
  • Datadrivna åtkomstbeslut: Fatta välgrundade beslut från olika data på användare och enheter för att uppfylla explicit validering.
  • Segmentering: Separat för att skydda: Skapa gränser som separata segment i en intern miljö som innehåller skador på lyckade attacker.
  • Isolering: Undvik brandvägg och glöm: Utforma en extrem form av segmentering för affärskritiska tillgångar som består av: personer, processer och teknik.

Säkerhetsåtgärder

Upprätta säkerhetsåtgärder genom att minska risker, snabbt svara och återställa för att skydda din organisation och följa säkerhetsområdet i DevOps-processen.

  • Personer och process: Skapa en kultur för att ge människor verktyg för att göra dem till din mest värdefulla tillgång och diversifiera din tankeportfölj genom att inkludera och utbilda icke-tekniska personer med stark bakgrund inom kriminaltekniska undersökningsroller.
  • Säkerhetsåtgärdsmodell: Fokusera på resultatet av incidenthantering, incidentförberedelser och hotinformation. Delegera resultaten mellan underteam för att sortera, undersöka och jaga på stora volymer och komplexa incidenter.
  • SecOps business touchpoints: Interagera med företagsledarskap för att informera större incidenter och fastställa effekten av kritiska system. Kontinuerlig gemensam praxis för att minska organisationens risk.
  • SecOps-modernisering: Utveckla säkerhetsåtgärder genom att följa trender som omfattar plattformstäckning, identitetscentrerad säkerhet, IoT- och OT-enheter och relevant telemetri från molnet.

Tillgångsskydd

Skydda affärskritiska tillgångar, som omfattar alla fysiska och virtuella objekt genom att implementera säkerhetskontroller som är unika för varje tillgångstyp. Konsekvent köra förebyggande skydd och detektivskydd för att uppfylla principer, standarder och arkitektur.

  • Bli säker: Få resurser att uppfylla organisationens senaste säkerhetsstandarder och principer genom att tillämpa aktuella kontroller på brownfield-tillgångar och se till att greenfield-tillgångar är inställda på de senaste standarderna.
  • Håll dig säker: Öva på kontinuerliga molnförbättringar och planera för att uppgradera eller dra tillbaka programvara från slutet av livscykeln när kraven på företag, teknik och säkerhet ändras snabbt.
  • Kom igång: Börja skydda tillgångar genom att först fokusera på välkända molnresurser och använda välkända och beprövade baslinjer för leverantörer/branscher för din säkerhetskonfiguration.
  • Viktig information: Använd viktiga element i ansvariga och ansvarsfulla team för att hantera företagsomfattande tillgångar, till exempel arbetsbelastningsbehov för molnelasticitet och designkontroller för att identifiera metodtips. Mät affärsvärdet för tillgångsskydd och prioritera automatiserad princip för att undvika kostnader och manuell upprepning.

Säkerhetsstyrning

Utför tillsyn och övervakning med säkerhetsstyrning för att upprätthålla och förbättra säkerhetsstatus över tid med hjälp av affärsmål och risker för att fastställa den bästa säkerhetsriktningen.

  • Efterlevnad och rapportering: Ha både externa och interna säkerhetsprinciper som uppfyller obligatoriska krav i en viss bransch.
  • Arkitektur och standarder: Skapa en enhetlig vy över företagets egendom eftersom de flesta företag är en hybridmiljö som innehåller både lokala och molnbaserade resurser.
  • Hantering av säkerhetsstatus: Planera för styrning för att övervaka säkerhetsstandarder, ge vägledning och förbättra processer. Upprätthålla flexibilitet genom styrd styrning genom policy och kontinuerlig förbättring.
  • Styrnings- och skyddsdiscipliner: Tillämpa säkerhetskontroller och ge feedback för att identifiera de bästa lösningarna.
  • Styrnings- och säkerhetsåtgärder: Se till att lärdomarna från incidenter integreras i säkerhetsåtgärder och styrning.

Innovationssäkerhet

Skydda processerna och innovationens data mot cyberattacker när nya program utvecklas med innovationssäkerhet i åtanke.

  • Vad är DevSecOps?: Integrerad säkerhet i den redan kombinerade utvecklingsprocessen och driften i DevOps för att minska riskerna i innovationsprocessen.
  • Skydda genom design och växling till vänster: Involvera säkerheten i alla faser av DevOps-livscykeln och få teamen att anpassa sig till innovationshastighet, tillförlitlighet och motståndskraft.
  • Varför DevSecOps?: Skydda DevOps-processen mot angripare som utnyttjar svagheter i all IT-infrastruktur i din organisation, vilket i sin tur skyddar dina kunder.
  • DevSecOps-resan: Använd idéinkubation och DevOps som en tvåfasprocess som de flesta organisationer. Identifiera KRAVEN för MVP (minsta livskraftiga produkt), använd ledarskapstekniker för att lösa konflikter i team och integrera säkerhet i befintliga processer och verktyg.
  • Tips om hur du navigerar på resan: När du omvandlar din säkerhet kommer det att finnas vanliga utmaningar under hela resan som kommer att omfatta utbildning, tid, resursförsörjning och it-verksamhetens övergripande skiftande karaktär.

DevSecOps-kontroller

Lägg till säkerhet i varje steg i kontinuerlig integrering och kontinuerlig leverans (CI/CD) när du gör DevSecOps-kontroller.

  • Planera och utveckla: Ta säkerhet till planeringsfasen i moderna utvecklingsmetoder för att implementera hotmodellering, plugin-program för IDE-säkerhet/förhandsincheckning och peer-granskning.
  • Checka in koden: Utvärdera och implementera sårbarhetsgenomsökning till dina centraliserade lagringsplatser för att identifiera risker och utföra åtgärder.
  • Skapa och testa: Använd bygg- och versionspipelines för automatisering och standardisering för processerna för att skapa och distribuera säker kod utan att ägna mycket tid åt att distribuera om eller uppgradera befintliga miljöer.
  • Gå till produktion och drift: Övervaka och hantera säkerhetstillståndet när lösningen tas till produktion. Använd verktyg för genomsökning av infrastruktur och intrångstester för att göra det möjligt för team att hitta risker och sårbarheter att åtgärda.

Testdriven utvecklingscykel

Innan du påbörjar säkerhetsförbättringar är det viktigt att förstå "definitionen av klar" och alla "acceptanskriterier". Mer information finns i artiklarna om testdriven utveckling av landningszoner och testdriven utveckling i Azure.

Nästa steg

Förstå hur du kan förbättra landningszonens åtgärder för att stödja kritiska program.

Förbättra åtgärder i landningszoner