Güvenlik tasarımı ilkeleri
Well-Architected iş yükü sıfır güven yaklaşımıyla oluşturulmalıdır. Güvenli bir iş yükü saldırılara karşı dayanıklıdır ve iş hedeflerine ulaşmanın yanı sıra birbiriyle ilişkili gizlilik, bütünlük ve kullanılabilirlik güvenlik ilkelerini ( CIA triad olarak da bilinir) içerir. Herhangi bir güvenlik olayı, iş yükünün veya kuruluşun markasına ve itibarına zarar veren önemli bir ihlal olma potansiyeline sahiptir. Bir iş yüküne yönelik genel stratejinizin güvenlik etkinliğini ölçmek için şu sorularla başlayın:
Savunma yatırımlarınız, saldırganların iş yükünüzü tehlikeye atmasını önlemek için anlamlı maliyet ve uyuşmalar sağlıyor mu?
Güvenlik önlemleriniz bir olayın patlama yarıçapını kısıtlamada etkili olacak mı?
bir saldırgan için iş yükünü denetlemenin ne kadar değerli olabileceğini anlıyor musunuz? İş yükünün ve verilerinin çalınıp çalınmadığını, kullanılamadığını veya üzerinde oynandığını işletmenizin üzerindeki etkisini anlıyor musunuz?
İş yükü ve işlemler kesintileri hızla algılayabilir, yanıtlayabilir ve kurtarabilir mi?
Sisteminizi tasarladığınızda güvenlik risklerini azaltmak için pusula olarak Microsoft Sıfır Güven modelini kullanın:
Yalnızca güvenilen kimliklerinbeklenen konumlardan kaynaklanan amaçlanan ve izin verilen eylemleri gerçekleştirebilmesi için açıkça doğrulayın. Bu koruma, saldırganların meşru kullanıcıların ve hesapların kimliğine bürünmesini zorlaştırır.
Doğru kimlikler, doğru izin kümesi, doğrusüre ve doğruvarlıklar için en az ayrıcalıklı erişimi kullanın. İzinleri sınırlamak, saldırganların meşru kullanıcıların bile ihtiyaç duymadığı izinleri kötüye kullanmaya engel olmasına yardımcı olur.
Birincil savunma katmanı başarısız olursa riski ve hasarı sınırlayan güvenlik denetimlerinin ihlalini ve telafi denetimlerini tasarlayın. Bunu yapmak, başarıyla ilgilenen bir saldırgan gibi düşünerek iş yükünüzü daha iyi savunmanıza yardımcı olur (nasıl elde ettiklerine bakılmaksızın).
Güvenlik tek seferlik bir çaba değildir. Bu kılavuzu yinelenen olarak uygulamanız gerekir. Geliştirilip otomatik saldırı setlerine eklendikçe yenilikçi saldırı vektörlerine sürekli erişim elde eden saldırganlardan iş yükünüzün güvenliğini sağlamaya yardımcı olmak için savunma ve güvenlik bilgilerinizi sürekli geliştirin.
Tasarım ilkeleri, saldırganların girişimleri sürekli geliştikçe iş yükünüzün güvenlik duruşunu sürekli olarak geliştirmenize yardımcı olmak için sürekli bir güvenlik zihniyetini oluşturmaya yöneliktir. Bu ilkeler mimarinizin, tasarım seçimlerinizin ve operasyonel süreçlerinizin güvenliğine yol göstermelidir. Önerilen yaklaşımlarla başlayın ve bir dizi güvenlik gereksiniminin avantajlarını iki yana yaslayın. Stratejinizi ayarladıktan sonra, sonraki adımınız olarak Güvenlik denetim listesini kullanarak eylemleri yönlendirin.
Bu ilkeler düzgün uygulanmazsa, iş operasyonları ve gelir üzerinde olumsuz bir etki beklenebilir. Yasal iş yüklerine yönelik cezalar gibi bazı sonuçlar açıkça ortaya çıkabilir. Diğerleri bu kadar belirgin olmayabilir ve algılanmadan önce devam eden güvenlik sorunlarına yol açabilir.
Görev açısından kritik birçok iş yükünde güvenlik, veri sızdırma gibi bazı saldırı vektörlerinin güvenilirliği etkilemediğinden güvenilirlikle birlikte birincil sorundur. Güvenlik odaklı tasarım hata noktalarını ortaya çıkarabileceğinden ve operasyonel karmaşıklığı artırabileceğinden güvenlik ve güvenilirlik iş yükünü ters yönlere çekebilir. Güvenliğin güvenilirlik üzerindeki etkisi genellikle dolaylıdır ve operasyonel kısıtlamalarla ortaya çıkmıştır. Güvenlik ve güvenilirlik arasındaki dengeleri dikkatle göz önünde bulundurun.
Bu ilkeleri izleyerek güvenlik verimliliğini artırabilir, iş yükü varlıklarını sağlamlaştırabilir ve kullanıcılarınıza güven oluşturabilirsiniz.
Güvenlik hazırlığınızı planlama
 Mimari tasarım kararlarında ve operasyonlarında güvenlik uygulamalarını en düşük düzeyde sürtüşmelerle benimsemeye ve uygulamaya çabalayın. |
|---|
İş yükü sahibi olarak, varlıkları korumak için kuruluşla paylaşılan bir sorumluluğunuz vardır. İş öncelikleriyle uyumlu bir güvenlik hazırlığı planı oluşturun. İyi tanımlanmış süreçlere, yeterli yatırımlara ve uygun sorumluluklara yol açar. Plan, kuruluşa iş yükü gereksinimlerini sağlamalı ve bu da varlıkları koruma sorumluluğunu paylaşmalıdır. Güvenlik planları güvenilirlik, sistem durumu modelleme ve kendini koruma stratejinizi dikkate almalıdır.
Kurumsal varlıklara ek olarak, iş yükünün kendisinin yetkisiz erişim ve sızdırma saldırılarına karşı korunması gerekir. Sıfır Güven ve CIA üçlüsünün tüm modelleri plana dahil edilmelidir.
İşlevsel ve işlevsel olmayan gereksinimler, bütçe kısıtlamaları ve diğer önemli noktalar güvenlik yatırımlarını kısıtlamamalı veya güvenceleri daraltmamalıdır. Aynı zamanda, güvenlik yatırımlarını bu kısıtlamaları ve kısıtlamaları göz önünde bulundurarak tasarlamanız ve planlamanız gerekir.
| Yaklaşım | Avantaj |
|---|---|
| Erişimi ve işlevi yalıtmak için iş yükü ortamında, işlemlerde ve ekip yapısında güvenlik sınırlarını planlamak için segmentlere ayırmayı bir strateji olarak kullanın. Segmentasyon stratejiniz iş gereksinimlerine göre yönlendirilmelidir. Bileşenleri, iş bölünmesini, gizlilik endişelerini ve diğer faktörlerin kritikliğine dayandırabilirsiniz. |
Rolleri tanımlayarak ve net sorumluluk satırları oluşturarak operasyonel uyuşmaları en aza indirebileceksiniz. Bu alıştırma, özellikle kritik etki hesapları için her rol için erişim düzeyini belirlemenize de yardımcı olur. Yalıtım, hassas akışların açığa çıkarmasını yalnızca erişim gerektiren roller ve varlıklarla sınırlamanıza olanak tanır. Aşırı maruz kalma, istemeden bilgi akışının açığa çıkmasına neden olabilir. Özetlemek gerekirse, güvenlik çalışmalarını her segmentin gereksinimlerine göre doğru boyutlandırabileceksiniz . |
| Kuruluşun gereksinimlerini ve iş yükünün kullanım örneklerini karşılayan rol tabanlı güvenlik eğitimi aracılığıyla sürekli beceriler oluşturun. | Yüksek beceriye sahip bir ekip, sistemden yararlanmanın sürekli yeni yollarını arayan saldırganlara karşı etkili olan güvenlik denetimlerini tasarlayabilir, uygulayabilir ve izleyebilir. Kuruluş genelinde eğitim genellikle ortak öğelerin güvenliğini sağlamak için daha geniş bir beceri kümesi geliştirmeye odaklanır. Ancak rol tabanlı eğitim sayesinde, iş yükü endişelerini gideren platform tekliflerinde ve güvenlik özelliklerinde derin uzmanlık geliştirmeye odaklanacaksınız. İyi tasarım ve etkili operasyonlar aracılığıyla saldırganlara karşı savunmak için her iki yaklaşımı da uygulamanız gerekir. |
| İş yükünüz için bir olay yanıtı planı olduğundan emin olun. Hazırlık, algılama, kapsama, azaltma ve olay sonrası etkinlik için standart çalışma yordamını tanımlayan sektör çerçevelerini kullanın. |
Kriz zamanında karışıklıktan kaçınılmalıdır. İyi belgelenmiş bir planınız varsa, sorumlu roller belirsiz eylemlere zaman kaybetmeden yürütmeye odaklanabilir . Ayrıca kapsamlı bir plan, tüm düzeltme gereksinimlerinin karşılandığından emin olmanıza yardımcı olabilir. |
| Kurumsal ilkeler, mevzuat uyumluluğu ve sektör standartları gibi iş yükü ekibinin dışındaki etkilerden kaynaklanan güvenlik uyumluluğu gereksinimlerini anlayarak güvenlik duruşunuzu güçlendirin. | Uyumluluk gereksinimleri hakkında Clarity, doğru güvenlik güvencelerini tasarlamanıza ve uyumsuzluk sorunlarını önlemenize yardımcı olur ve bu da cezalara yol açabilir. Sektör standartları bir temel sağlayabilir ve seçtiğiniz araçları, ilkeleri, güvenlik korumalarını, yönergeleri, risk yönetimi yaklaşımlarını ve eğitimi etkileyebilir. İş yükünün uyumluluğa uygun olduğunu biliyorsanız, kullanıcı tabanınıza güveni aşılayabileceksiniz . |
| İş yükünün yaşam döngüsü ve işlemleri genelinde ekip düzeyinde güvenlik standartlarını tanımlayın ve uygulayın. Kodlama, geçitli onaylar, yayın yönetimi ve veri koruma ve saklama gibi işlemlerde tutarlı uygulamalar için çaba gösterin. |
İyi güvenlik uygulamaları tanımlamak, ihmali ve yüzey alanını olası hatalar için en aza indirgeyebilir . Ekip , çalışmaları iyileştirir ve yaklaşımlar daha tutarlı hale getirildiğinden sonuç tahmin edilebilir olacaktır . Zaman içinde güvenlik standartlarını gözlemlemek , büyük olasılıkla otomasyon da dahil olmak üzere geliştirme fırsatlarını belirlemenize olanak tanır ve bu da çabaları daha da kolaylaştıracak ve tutarlılığı artıracaktır. |
| Olay yanıtınızı kuruluşunuzdaki Güvenlik İşlem Merkezi (SOC) merkezi işleviyle hizalayın. | Olay yanıtı işlevlerini merkezi hale getirmek, olası tehditleri en kısa sürede ele almak için olayları gerçek zamanlı olarak algılayan uzman BT uzmanlarından yararlanmanızı sağlar. |
Gizliliği korumak için tasarlama
| Erişim kısıtlamaları ve karartma teknikleri aracılığıyla gizlilik, mevzuat, uygulama ve özel bilgilerin açığa çıkmasını önleyin. |
|---|
İş yükü verileri kullanıcı, kullanım, yapılandırma, uyumluluk, fikri mülkiyet ve daha fazlasına göre sınıflandırılabilir. Bu veriler, yerleşik güven sınırları dışında paylaşılamaz veya erişilemiyor. Gizliliği koruma çabaları erişim denetimlerine, opaklığa ve verilerle ve sistemle ilgili etkinliklerin denetim kaydını tutmaya odaklanmalıdır.
| Yaklaşım | Avantaj |
|---|---|
| Yalnızca bilinmesi gereken bir temelde erişim veren güçlü erişim denetimleri uygulayın. | En az ayrıcalık. İş yükü yetkisiz erişime ve yasaklanan etkinliklere karşı korunacaktır. Erişim güvenilir kimliklerden olsa bile, iletişim yolu sınırlı bir süre açık olduğundan erişim izinleri ve açığa çıkarma süresi en aza indirilir . |
| Verileri türüne, duyarlılığına ve olası risklerine göre sınıflandırabilirsiniz. Her biri için bir gizlilik düzeyi atayın. Tanımlanan düzeyin kapsamındaki sistem bileşenlerini dahil edin. |
Açıkça doğrulayın. Bu değerlendirme, güvenlik önlemlerini doğru boyutlandırmanıza yardımcı olur. Ayrıca, yüksek olası etkiye ve/veya riske maruz kalma olasılığı olan verileri ve bileşenleri de tanımlayabilirsiniz. Bu alıştırma, bilgi koruma stratejinizi netleştirir ve anlaşmanın sağlanmasına yardımcı olur. |
| Şifreleme kullanarak bekleyen, aktarımdaki ve işleme sırasında verilerinizi koruma. Stratejinizi atanan gizlilik düzeyine dayandırın. | İhlal olduğunu varsayalım. Bir saldırgan erişim elde edebilse bile , düzgün şifrelenmiş hassas verileri okuyamaz . Hassas veriler, sistemin içinde daha fazla erişim elde etmek için kullanılan yapılandırma bilgilerini içerir. Veri şifreleme , riskler içermenize yardımcı olabilir. |
| Bilgilerin yersiz bir şekilde açığa çıkarılmalarına neden olabilecek açıklardan korunma. | Açıkça doğrulayın. Kimlik doğrulama ve yetkilendirme uygulamaları, kod, yapılandırmalar, operasyonlar ve sistem kullanıcılarının sosyal alışkanlıklarından kaynaklanan güvenlik açıklarını en aza indirmek çok önemlidir. Güncel güvenlik önlemleri , bilinen güvenlik açıklarının sisteme girmesini engellemenizi sağlar. Ayrıca geliştirme döngüsü boyunca düzenli işlemler uygulayarak ve güvenlik güvencelerini sürekli geliştirerek zaman içinde ortaya çıkabilen yeni güvenlik açıklarını azaltabilirsiniz. |
| Verilere kötü amaçlı veya yanlışlıkla erişimden kaynaklanan veri sızdırmaya karşı koruma sağlayın. | İhlal olduğunu varsayalım. Yetkisiz veri aktarımını engelleyerek patlama yarıçapı içerebileceksiniz. Ayrıca, ağa, kimliğe ve şifrelemeye uygulanan denetimler çeşitli katmanlardaki verileri korur. |
| Verilerin sistemin çeşitli bileşenleri aracılığıyla akmasıyla gizlilik düzeyini koruyun. | İhlal olduğunu varsayalım. Sistem genelinde gizlilik düzeylerini zorunlu tutma, tutarlı bir sağlamlaştırma düzeyi sağlamanıza olanak tanır. Bunun yapılması, verilerin daha düşük bir güvenlik katmanına taşınmasına neden olabilecek güvenlik açıklarını önleyebilir . |
| Her tür erişim etkinliğinin denetim kaydını tutma. | İhlal olduğunu varsayalım. Denetim günlükleri, olaylar durumunda daha hızlı algılamayı ve kurtarmayı destekler ve sürekli güvenlik izlemesine yardımcı olur. |
Bütünlüğü korumak için tasarlama
| Sistemin amaçlanan yardımcı programını sunmasını durdurabilecek veya öngörülen sınırların dışında çalışmasına neden olabilecek kesintileri önlemek için tasarım, uygulama, işlemler ve verilerin bozulmasını önleyin. Sistem, iş yükü yaşam döngüsü boyunca bilgi güvencesi sağlamalıdır. |
|---|
Önemli olan iş mantığının, akışların, dağıtım işlemlerinin, verilerin ve hatta işletim sistemi ve önyükleme dizisi gibi alt yığın bileşenlerinin kurcalanmasını engelleyen denetimleri uygulamaktır. Bütünlük eksikliği, gizlilik ve kullanılabilirlik ihlallerine yol açabilecek güvenlik açıklarına neden olabilir.
| Yaklaşım | Avantaj |
|---|---|
| Sistemde kimlik doğrulaması ve erişim yetkisi veren güçlü erişim denetimleri uygulayın. Ayrıcalığı, kapsamı ve saati temel alarak erişimi en aza indirin. |
En az ayrıcalık. Denetimlerin gücüne bağlı olarak, onaylanmamış değişikliklerin risklerini önleyebilir veya azaltabilirsiniz. Bu, verilerin tutarlı ve güvenilir olmasını sağlamaya yardımcı olur. Erişimi en aza indirmek olası bozulmanın kapsamını sınırlar. |
| Güvenlik açıklarına karşı sürekli koruma sağlayın ve saldırganların altyapınıza yazılım hataları eklemesini, sisteminize, araçlarınıza, kitaplıklarınıza ve diğer bağımlılıklara eklemesini engellemek için bunları tedarik zincirinizde algılayın. Tedarik zinciri , derleme zamanı ve çalışma zamanı sırasında güvenlik açıklarını taramalıdır. |
İhlal olduğunu varsayalım. Yazılımın kaynağını bilmek ve yaşam döngüsü boyunca orijinalliğini doğrulamak öngörülebilirlik sağlayacaktır. Güvenlik açıklarını önceden iyi biliyor olacaksınız, böylece bunları proaktif olarak düzeltebilir ve sistemin üretimde güvenli kalmasını sağlayabilirsiniz. |
| Kanıtlama, kod imzalama, sertifikalar ve şifreleme gibi şifreleme tekniklerini kullanarak güven oluşturun ve doğrulayın. Saygın şifre çözme işlemlerine izin vererek bu mekanizmaları koruyun. |
Açıkça doğrula, en az ayrıcalık. Verilerde yapılan değişikliklerin veya sisteme erişimin güvenilir bir kaynak tarafından doğrulandığını anlarsınız. Şifrelenmiş veriler kötü amaçlı bir aktör tarafından aktarım sırasında kesilse bile, aktör içeriğin kilidini açamaz veya içeriğin şifresini çözemez. İletim sırasında verilerin değiştirilmediğinden emin olmak için dijital imzaları kullanabilirsiniz. |
| Veriler çoğaltıldığında veya aktarıldığında yedekleme verilerinin sabit ve şifrelenmiş olduğundan emin olun. | Açıkça doğrulayın. Bekleyen yedekleme verilerinin yanlışlıkla veya kötü amaçlı olarak değiştirilmediğinden emin olarak verileri kurtarabileceksiniz. |
| İş yükünüzün amaçlanan sınırları ve amaçları dışında çalışmasına izin veren sistem uygulamalarından kaçının veya azaltın. | Açıkça doğrulayın. Sisteminizde kullanımın hedeflenen sınırlar ve amaçlarla uyumlu olup olmadığını denetleyebilen güçlü korumalar olduğunda işlem, ağ ve veri depolarınızın olası kötüye kullanımı veya kurcalama kapsamı azaltılır. |
Kullanılabilirliği korumak için tasarlama
| Güçlü güvenlik denetimleri kullanarak bir güvenlik olayı durumunda sistem ve iş yükü kapalı kalma süresini ve düşüşü önleyin veya en aza indirin. Olay sırasında ve sistem kurtarıldıktan sonra veri bütünlüğünü korumanız gerekir. |
|---|
Kullanılabilirlik mimarisi seçimlerini güvenlik mimarisi seçenekleriyle dengelemeniz gerekir. Kullanıcıların verilere erişimi olduğundan ve verilere erişilebilir olduğundan emin olmak için sistemin kullanılabilirlik garantileri olmalıdır. Güvenlik açısından bakıldığında, kullanıcılar izin verilen erişim kapsamında çalışmalı ve verilere güvenilmelidir. Güvenlik denetimleri kötü aktörleri engellemelidir, ancak geçerli kullanıcıların sisteme ve verilere erişimini engellememelidir.
| Yaklaşım | Avantaj |
|---|---|
| Güvenliği aşılmış kimliklerin sistemin denetimini elde etmek için erişimi yanlış kullanmasını önleyin . Risk riskini en aza indirmek için aşırı yaygın kapsam ve zaman sınırları olup olmadığını denetleyin. |
En az ayrıcalık. Bu strateji , kritik kaynaklarda aşırı, gereksiz veya hatalı erişim izinlerinin risklerini azaltır . Riskler yetkisiz değişiklikler ve hatta kaynakların silinmesidir. Platform tarafından sağlanan tam zamanında (JIT), yeterli erişim (JEA) ve mümkün olduğunca ayaktaki izinleri değiştirmek için zamana bağlı güvenlik modlarından yararlanın. |
| Saldırıların ve kod kusurlarının kaynak tükenmesine ve erişimi engellemesine neden olmasını önlemek için güvenlik denetimlerini ve tasarım desenlerini kullanın. | Açıkça doğrulayın. Sistem, dağıtılmış hizmet reddi (DDoS) saldırıları gibi kötü amaçlı eylemlerden kaynaklanan kapalı kalma süresi yaşamaz . |
| Uygulama kodu, ağ protokolleri, kimlik sistemleri, kötü amaçlı yazılım koruması ve diğer alanlardaki güvenlik açıklarından yararlanan saldırı vektörleri için önleyici önlemler uygulayın. | İhlal olduğunu varsayalım. Kod tarayıcıları uygulayın, en son güvenlik düzeltme eklerini uygulayın, yazılımı güncelleştirin ve sisteminizi sürekli olarak etkili kötü amaçlı yazılımdan koruma yazılımıyla koruyun. İş sürekliliğini sağlamak için saldırı yüzeyini azaltabileceksiniz. |
| Sistemdeki risklere duyarlı kritik bileşenler ve akışlar üzerinde güvenlik denetimlerinin önceliğini belirleyin. | İhlal olduğunu varsayalım, açıkça doğrulayın. Düzenli algılama ve öncelik belirleme alıştırmaları, sistemin kritik yönlerine güvenlik uzmanlığı uygulamanıza yardımcı olabilir. En olası ve zarar verici tehditlere odaklanabilecek ve en çok dikkat edilmesi gereken alanlarda risk azaltmaya başlayabilirsiniz. |
| Kurtarma kaynaklarınıza ve işlemlerinize, güvenlik denetimleri ve yedekleme sıklığı dahil olmak üzere birincil ortamda uyguladığınız güvenlik katılığının en az aynı düzeyini uygulayın. | İhlal olduğunu varsayalım. Olağanüstü durum kurtarmada korunan bir güvenli sistem durumunuz olmalıdır. Bunu yaparsanız güvenli bir ikincil sisteme veya konuma yük devredebilir ve tehdit oluşturmayacak yedeklemeleri geri yükleyebilirsiniz. İyi tasarlanmış bir işlem, bir güvenlik olayının kurtarma işlemini engellemesini engelleyebilir. Bozuk yedekleme verileri veya şifresi çözilmeyecek şifrelenmiş veriler kurtarmayı yavaşlatabilir. |
Güvenlik duruşunuzu sürdürme ve geliştirme
| Sürekli iyileştirmeyi birleştirin ve saldırı stratejilerini sürekli geliştiren saldırganların önüne geçmek için dikkatli olun. |
|---|
Güvenlik duruşunuz zaman içinde azalmamalıdır. Yeni kesintilerin daha verimli bir şekilde ele alınabilmesi için güvenlik işlemlerini sürekli olarak geliştirmeniz gerekir. İyileştirmeleri endüstri standartları tarafından tanımlanan aşamalarla uyumlu hale getirmek için çaba gösterin. Bunun yapılması, daha iyi hazırlıklı olma, olay algılama süresini azaltma ve etkili kapsama ve azaltmaya yol açar. Sürekli iyileştirme, geçmiş olaylardan alınan dersleri temel almalıdır.
Gelişen tehditler karşısında güvenlik duruşunuzu sürekli iyileştirmek için güvenlik duruşunuzu ölçmeniz, bu duruşu korumak için ilkeleri zorunlu tutmanız ve güvenlik azaltmalarınızı ve telafi denetimlerinizi düzenli olarak doğrulamanız önemlidir.
| Yaklaşım | Avantaj |
|---|---|
| Kaynaklar, konumlar, bağımlılıklar, sahipler ve güvenlikle ilgili diğer meta veriler hakkında sınıflandırılmış bilgileri içeren kapsamlı bir varlık envanteri oluşturun ve koruyun. Mümkün olduğunca sistemden veri türetmek için envanteri otomatikleştirin . |
İyi düzenlenmiş bir envanter ortamın bütünsel bir görünümünü sağlar ve bu da sizi özellikle olay sonrası etkinlikler sırasında saldırganlara karşı avantajlı bir konuma getirir. Ayrıca iletişimi, kritik bileşenlerin bakımlarını ve yalnız bırakılmış kaynakların yetkisini almalarını sağlamak için bir iş ritmi oluşturur. |
| Olası tehditleri belirlemek ve azaltmak için tehdit modellemesi gerçekleştirin. | Önem derecelerine göre önceliklendirilmiş saldırı vektörleri raporunuz olacak. Tehditleri ve güvenlik açıklarını hızla belirleyebilecek ve karşı önlemler oluşturabileceksiniz. |
| Mevcut durumunuzu yerleşik güvenlik temelinize göre belirlemek ve düzeltmeler için öncelikleri belirlemek için düzenli olarak verileri yakalayın. Güvenlik duruşu yönetimi ve dış ve iç kuruluşlar tarafından uygulanan uyumluluğun uygulanması için platform tarafından sağlanan özelliklerden yararlanın. |
Odak alanlarına açıklık ve fikir birliği getiren doğru raporlara ihtiyacınız vardır. En yüksek öncelikli öğelerden başlayarak teknik düzeltmeleri hemen yürütebileceksiniz. Ayrıca, iyileştirme fırsatları sağlayan boşlukları da belirleyeceksiniz. Zorlama uygulamak, güvenlik duruşunuzu koruyan ihlalleri ve regresyonları önlemeye yardımcı olur. |
| Sistemi etik olarak ele geçiren iş yükü ekibinin dışındaki uzmanlar tarafından gerçekleştirilen düzenli güvenlik testleri çalıştırın. Altyapı, bağımlılıklar ve uygulama kodundaki açıkları algılamak için rutin ve tümleşik güvenlik açığı taraması gerçekleştirin. |
Bu testler, sızma testi gibi teknikleri kullanarak gerçek dünya saldırılarının simülasyonunu yaparak güvenlik savunmalarını doğrulamanızı sağlar. Tehditler, değişiklik yönetiminizin bir parçası olarak sunulur. Tarayıcıları dağıtım işlem hatlarıyla tümleştirmek, güvenlik açıklarını otomatik olarak algılamanızı ve hatta güvenlik açıkları kaldırılana kadar kullanımı karantinaya almanızı sağlar. |
| Hızlı ve etkili güvenlik işlemleriyle algılama, yanıtlama ve kurtarma. | Bu yaklaşımın birincil avantajı, bir saldırı sırasında ve sonrasında CIA üçlüsünün güvenlik güvencelerini korumanıza veya geri yüklemenize olanak sağlamasıdır. Araştırmalarınızı başlatabilmeniz ve uygun eylemleri gerçekleştirebilmeniz için bir tehdit algılanır algılanmaz uyarı almanız gerekir. |
| Kök neden analizleri, ölüm sonrası ve olay raporları gibi olay sonrası etkinlikler gerçekleştirin. | Bu etkinlikler, ihlalin etkisi ve savunma ve operasyonlarda iyileştirmeler sağlayan çözüm önlemlerine ilişkin içgörü sağlar. |
| Güncel kalın ve güncel kalın. Güncelleştirmeler, düzeltme eki uygulama ve güvenlik düzeltmeleri hakkında güncel kalın. Sistemi sürekli olarak değerlendirin ve denetim raporlarına, kıyaslamalara ve test etkinliklerinden alınan derslere göre geliştirin. Uygun şekilde otomasyonu göz önünde bulundurun. Tehditlerin dinamik olarak algılanması için güvenlik analizi tarafından desteklenen tehdit bilgilerini kullanın. Düzenli aralıklarla iş yükünün Güvenlik Geliştirme Yaşam Döngüsü (SDL) en iyi uygulamalarına uyumluluğunu gözden geçirin. |
Güvenlik duruşunuzun zaman içinde azalmadığından emin olabilirsiniz. Gerçek dünyadaki saldırılardan ve test etkinliklerinden elde edilen bulguları tümleştirerek, yeni güvenlik açığı kategorilerini sürekli geliştiren ve bu kategorilerden yararlanan saldırganlarla mücadele edebileceksiniz. Yinelenen görevlerin otomasyonu, risk oluşturabilecek insan hatası olasılığını azaltır . SDL incelemeleri, güvenlik özellikleriyle ilgili netlik getirir. SDL, kaynak, kullanım, operasyonel zayıflıklar ve diğer faktörleri kapsayan iş yükü varlıklarının ve güvenlik raporlarının envanterini tutmanıza yardımcı olabilir. |
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin