Sahiplik gereksinimlerini belirleme
Bu makale, bulut için Microsoft Defender ile çoklu bulut kaynakları arasında bir bulut güvenliği duruş yönetimi (CSPM) ve bulut iş yükü koruması (CWP) çözümü tasarlarken rehberlik sağlayan bir diziden biridir.
Hedef
Çoklu bulut güvenlik çözümünüzde yer alan ekipleri belirleyin ve birlikte nasıl uyum sağlayacaklarını ve çalışacaklarını planlayın.
Güvenlik işlevleri
Kuruluşunuzun boyutuna bağlı olarak , güvenlik işlevlerini ayrı ekipler yönetir. Karmaşık bir kuruluşta işlevler çok sayıda olabilir.
| Security işlevi | Ayrıntılar |
|---|---|
| Güvenlik İşlemleri (SecOps) | Kötü aktörlerin şirket kaynaklarına erişim sürelerini azaltarak kuruluş riskini azaltma. Saldırıların reaktif algılama, analiz, yanıt ve düzeltme. Proaktif tehdit avcılığı. |
| Güvenlik mimarisi | İşletmenizi risklerden koruyan bileşenleri, araçları, süreçleri, ekipleri ve teknolojileri özetleyen ve belgeleyen güvenlik tasarımı. |
| Güvenlik uyumluluğu yönetimi | Kuruluşun mevzuat gereksinimleri ve iç ilkelerle uyumlu olmasını sağlayan süreçler. |
| Kişi güvenliği | Kuruluşun insan riskinden güvenliğe karşı korunması. |
| Uygulama güvenliği ve DevSecOps | Güvenliği DevOps işlemleri ve uygulamalarıyla tümleştirme. |
| Veri güvenliği | Kuruluş verilerinizi koruma. |
| Altyapı ve uç nokta güvenliği | Uygulamalar ve kullanıcılar tarafından kullanılan altyapı, ağlar ve uç nokta cihazları için koruma, algılama ve yanıt sağlama. |
| Kimlik ve anahtar yönetimi | Kullanıcıların, hizmetlerin, cihazların ve uygulamaların kimliğini doğrulama ve yetkilendirme. Şifreleme işlemleri için güvenli dağıtım ve erişim sağlama. |
| Tehdit bilgileri | Etkin saldırılar ve olası tehditler hakkında bağlamsal ve eyleme dönüştürülebilir içgörüler sağlayan güvenlik tehdidi zekası üzerinde kararlar alma ve harekete geçme. |
| Duruş yönetimi | Kurumsal güvenlik duruşunuzu sürekli raporlama ve geliştirme. |
| Olay hazırlama | Güvenlik olaylarına yanıt vermek için araçlar, süreçler ve uzmanlık oluşturma. |
Ekip hizalaması
Bulut güvenliğini yöneten birçok farklı takıma rağmen, çoklu bulut ortamında karar vermenin sorumlularını bulmak için birlikte çalışmaları kritik önem taşır. Sahiplik eksikliği, durdurulmuş projelere ve güvenlik onayı bekleyemeyen güvenli olmayan dağıtımlara neden olabilecek uyuşmalara neden olabilir.
En yaygın olarak CISO'nun altında yer alan güvenlik liderliği, güvenlik kararlarının alınmasından kimin sorumlu olduğunu belirtmelidir. Genellikle sorumluluklar tabloda özetlenen şekilde hizalanır.
| Kategori | Açıklama | Tipik Ekip |
|---|---|---|
| Sunucu uç noktası güvenliği | Sunucu güvenliğini izleme ve düzeltme, düzeltme eki uygulama, yapılandırma, uç nokta güvenliği vb. | Merkezi BT operasyonları ile Altyapı ve uç nokta güvenlik ekiplerinin ortak sorumluluğu. |
| Olay izleme ve yanıt | Kuruluşunuzun SIEM veya kaynak konsolunda güvenlik olaylarını araştırın ve düzeltin. | Güvenlik operasyonları ekibi. |
| İlke yönetimi | Azure kaynaklarını, özel AWS/GCP önerilerini yönetmek için Azure rol tabanlı erişim denetimi (Azure RBAC), Bulut için Microsoft Defender, yönetici koruma stratejisi ve Azure İlkesi yönünü ayarlayın. | İlke ve standartlar ilegüvenlik mimarisi ekiplerinin ortak sorumluluğu. |
| Tehdit ve Güvenlik Açığı Yönetimi | Kritik sorunların mümkün olduğunca verimli bir şekilde bulunmasını ve düzeltilmesini sağlamak için altyapının tam görünürlüğünü ve denetimini koruyun. | Merkezi BT operasyonları ile Altyapı ve uç nokta güvenlik ekiplerinin ortak sorumluluğu. |
| Uygulama iş yükleri | Belirli iş yükleri için güvenlik denetimlerine odaklanın. Amaç, güvenlik güvencelerini geliştirme süreçleri ve özel iş kolu (LOB) uygulamalarıyla tümleştirmektir. | Uygulama geliştirme ve merkezi BT operasyon ekiplerinin ortak sorumluluğu. |
| Kimlik güvenliği ve standartları | Kimlikler ve kaynaklar arasında kullanılmayan veya aşırı izinlerle ilişkili riskleri belirlemek için Azure abonelikleri, AWS hesapları ve GCP projeleri için İzin Sürünme Dizini'ne (PCI) bakın. | Kimlik ve anahtar yönetimi, ilke ve standartlar vegüvenlik mimarisi ekiplerinin ortak sorumluluğu. |
En iyi yöntemler
- Çoklu bulut güvenliği, işletmenin farklı alanlarına bölünebilse de, ekiplerin çoklu bulut varlığı genelinde güvenliği yönetmesi gerekir. Bu, farklı ekiplerin farklı bulut ortamlarını güvenli bir şekilde korumasından daha iyidir. Örneğin, bir ekip Azure'ı yönetirken başka bir ekip AWS'i yönetir. Çoklu bulut ortamlarında çalışan ekipler, kuruluş içinde yayılmayı önlemeye yardımcı olur. Ayrıca güvenlik ilkelerinin ve uyumluluk gereksinimlerinin her ortamda uygulanmasını sağlamaya yardımcı olur.
- Bulut için Defender'ı yöneten ekiplerin genellikle iş yüklerindeki önerileri düzeltme ayrıcalıkları yoktur. Örneğin, Bulut için Defender ekibi bir AWS EC2 örneğindeki güvenlik açıklarını gideremeyebilir. Güvenlik ekibi güvenlik duruşunu geliştirmekle sorumlu olabilir ancak sonuçta ortaya çıkan güvenlik önerilerini düzeltemeyebilir. Bu sorunu çözmek için:
- AWS iş yükü sahiplerini dahil etmek zorunlu olur.
- Son tarihlerle sahip atamak ve idare kurallarını tanımlamak , güvenlik duruşunu geliştirmek için süreçleri yönlendirdikçe sorumluluk ve saydamlık oluşturur.
- AWS iş yükü sahiplerini dahil etmek zorunlu olur.
- Kuruluş modellerine bağlı olarak, iş yükü sahipleriyle çalışan merkezi güvenlik ekipleri için yaygın olarak şu seçenekleri görürüz:
1. Seçenek: Merkezi model. Güvenlik denetimleri merkezi bir ekip tarafından tanımlanır, dağıtılır ve izlenir.
- Kuruluşta hangi güvenlik ilkelerinin uygulanacağını ve ayarlanan ilkeyi kimlerin denetleme izinlerine sahip olduğunu merkezi güvenlik ekibi belirler.
- Ekip, bir güvenlik tehdidi veya yapılandırma sorunu durumunda uyumlu olmayan kaynakları düzeltme ve kaynak yalıtımını zorlama yetkisine de sahip olabilir.
- İş yükü sahipleri ise bulut iş yüklerini yönetmekle sorumludur ancak merkezi ekibin dağıtmış olduğu güvenlik ilkelerini izlemeleri gerekir.
- Bu model, güvenlik açıklarına ve tehditlere otomatik yanıt süreçleri sağlamak amacıyla yüksek otomasyon düzeyine sahip şirketler için en uygun modeldir.
Seçenek 2: Merkezi olmayan model.- Güvenlik denetimleri iş yükü sahipleri tarafından tanımlanır, dağıtılır ve izlenir.
- güvenlik denetimi dağıtımı, ilke kümesine sahip oldukları ve bu nedenle kaynakları için hangi güvenlik ilkelerinin geçerli olduğuna karar verebilen iş yükü sahipleri tarafından gerçekleştirilir.
- Sahiplerin kendi kaynaklarına yönelik güvenlik uyarılarını ve önerilerini tanıması, anlaması ve bu uyarılara göre hareket etmesi gerekir.
- Öte yandan merkezi güvenlik ekibi, iş yüklerinin hiçbirine yazma erişimi olmadan yalnızca denetimli bir varlık olarak görev yapar.
- Güvenlik ekibi genellikle kuruluşun genel güvenlik duruşu hakkında içgörülere sahiptir ve güvenlik duruşlarını geliştirmek için iş yükü sahiplerini sorumlu tutabilir.
- Bu model en çok genel güvenlik duruşu hakkında görünürlüğe ihtiyaç duyan, ancak aynı zamanda iş yükü sahipleriyle birlikte güvenlik sorumluluğunu korumak isteyen kuruluşlar için uygundur.
- Şu anda Bulut için Defender'da 2. Seçeneği elde etmenin tek yolu, çoklu bulut bağlayıcı kaynağını barındıran aboneliğe Güvenlik Okuyucusu izinlerine sahip iş yükü sahiplerini atamaktır.
Sonraki adımlar
Bu makalede, çoklu bulut güvenlik çözümü tasarlarken sahiplik gereksinimlerini belirlemeyi öğrendiniz. Erişim denetimi gereksinimlerini belirlemek için sonraki adımla devam edin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin