Säkerställa
Du kan använda metoden Secure för att förbättra din säkerhetsstatus. Den här vägledningen är relevant för alla metoder inom Cloud Adoption Framework eftersom du bör implementera säkerhet som en integrerad del av varje fas. Alla rekommendationer i metoden Säker följer nollförtroendeprinciperna för att anta kompromisser (eller anta intrång), minsta behörighet och explicit verifiering av förtroende.
Dra nytta av säkerhetsvägledning
Den här säkra vägledningen för Cloud Adoption Framework är en del av en större holistisk uppsättning microsofts säkerhetsvägledning som är utformad för att hjälpa olika team att förstå och utföra sina säkerhetsansvar. Den fullständiga uppsättningen innehåller följande vägledning:
Metoden Cloud Adoption Framework Secure ger säkerhetsvägledning för team som hanterar den teknikinfrastruktur som stöder all arbetsbelastningsutveckling och alla åtgärder som finns i Azure.
Säkerhetsvägledning för Azure Well-Architected Framework ger vägledning för enskilda arbetsbelastningsägare om hur du tillämpar rekommenderade säkerhetsmetoder för programutveckling och DevOps- och DevSecOps-processer. Microsoft tillhandahåller vägledning som kompletterar den här dokumentationen om hur du tillämpar säkerhetsrutiner och DevSecOps-kontroller i en livscykel för säkerhetsutveckling.
Microsofts benchmark för molnsäkerhet ger vägledning om bästa praxis för intressenter för att säkerställa robust molnsäkerhet. Den här vägledningen omfattar säkerhetsbaslinjer som beskriver tillgängliga säkerhetsfunktioner och rekommenderade optimala konfigurationer för Azure-tjänster.
Zero Trust-vägledning ger vägledning för säkerhetsteam för att implementera tekniska funktioner för att stödja ett zero trust-moderniseringsinitiativ.
Under hela molnimplementeringsresan letar du efter möjligheter att förbättra din övergripande säkerhetsstatus genom modernisering, incidentförberedelseoch svar. Din förmåga att förbereda dig för och svara på incidenter kan avsevärt påverka din framgång i molnet. Väl utformade förberedelsemekanismer och operativa metoder möjliggör snabb hotidentifiering och hjälper till att minimera explosionsradien för incidenter.
Använda CIA Triad-modellen
CIA Triad är en grundläggande modell för informationssäkerhet som representerar tre grundläggande principer: konfidentialitet, integritet och tillgänglighet.
Konfidentialitet säkerställer att endast behöriga personer kan komma åt känslig information. Den här principen omfattar åtgärder som kryptering och åtkomstkontroller för att skydda data från obehörig åtkomst.
Integritet bibehåller datans noggrannhet och fullständighet. Den här principen innebär att skydda data från ändringar eller manipulering av obehöriga användare, vilket säkerställer att informationen förblir tillförlitlig.
Tillgänglighet ser till att information och resurser är tillgängliga för behöriga användare när det behövs. Den här principen omfattar underhåll av system och nätverk för att förhindra stilleståndstid och säkerställa kontinuerlig åtkomst till data.
Några sätt som triadprinciperna kan bidra till att säkerställa säkerhet och tillförlitlighet är:
Dataskydd: Skydda känsliga data från överträdelser genom att dra nytta av CIA Triad, som säkerställer sekretess och efterlevnad av regler.
Affärskontinuitet: Säkerställa dataintegritet och tillgänglighet för att upprätthålla verksamheten och undvika driftstopp.
Kundförtroende: Implementera CIA Triad för att skapa förtroende med kunder och intressenter genom att visa ett engagemang för datasäkerhet.
Tilldela roller
Tilldela lämpliga säkerhetsroller för att säkerställa att ditt team kan utföra säkerhetsfunktioner under varje steg i molnlivscykeln, från utveckling till kontinuerlig förbättring.
- Mappa dina befintliga roller och vilka funktioner de omfattar.
- Sök efter luckor.
- Utvärdera om din organisation kan och bör investera för att åtgärda dessa luckor.
Du måste se till att alla förstår sin roll inom säkerhet och hur de arbetar med andra team. För att uppnå det här målet kan du dokumentera säkerhetsprocesser mellan team och en modell för delat ansvar för dina tekniska team. En modell för delat ansvar liknar en RACI-modell (Responsible, Accountable, Consulted, Informed). En modell för delat ansvar hjälper till att illustrera en samarbetsmetod, inklusive vem som fattar beslut och vad team måste göra för att arbeta tillsammans för specifika objekt och resultat.
Du måste kontinuerligt förbättra säkerheten för att upprätthålla en robust säkerhetsstatus i molnet eftersom cyberhot ständigt utvecklas och blir mer avancerade. Med retrospektiv och övervakning kan du identifiera områden som kan ha nytta av förbättringar. Se också till att du tillhandahåller lämplig utbildning för att hålla dig uppdaterad med nya hot och tekniker.