Varlık koruması

  • Makale

Varlıklar dizüstü bilgisayarlar, veritabanları, dosyalar ve sanal depolama hesapları gibi fiziksel ve sanal öğeleri içerir. İş açısından kritik varlıkların güvenliğini sağlamak genellikle depolama, veri, uç nokta cihazları ve uygulama bileşenleri gibi temel sistemlerin güvenliğine bağlıdır. En değerli teknik varlıklar genellikle veriler ve iş web siteleri, üretim hatları ve iletişimler gibi uygulamaların kullanılabilirliğidir.

Varlık koruması, güvenlik mimarisini, standartlarını ve ilkesini desteklemek için denetimler uygular. Her varlık türü ve güvenlik gereksinimi benzersizdir. Herhangi bir varlık türünün güvenlik standartları tüm örneklere tutarlı bir şekilde uygulanmalıdır.

Varlık koruması tüm denetim türlerinde tutarlı yürütmeye odaklanır. Önleyici, dedektif ve diğerleri ilkeleri, standartları ve mimariyi karşılamak için uyumludur.

Varlık koruması, varlıklar için teknik konu uzmanı görevi görür. İdare, mimari, güvenlik operasyonları ve iş yükü ekipleri gibi diğer disiplinlerle çalışır. Varlık koruması, ilke ve standartların uygulanabilir olmasını sağlar ve ilkeyi ve standartları desteklemek için denetimlerin uygulanmasını sağlar. Varlık koruması sürekli iyileştirme için geri bildirim sağlar.

Not

Varlık koruması genellikle varlıkların bakımını üstlenen BT operasyon ekipleri tarafından uygulanır ve güvenlik ekibindeki uzmanlıkla desteklenir. Daha fazla bilgi için bkz . Ekip olarak denetim tasarlama.

Tehdit aktörleri kalıcıdır ve standartların ve ilkenin uygulanmasındaki boşluklardan kaynaklanan güvenlik açıklarını arar. Saldırganlar iş açısından kritik verileri veya uygulamayı doğrudan hedefleyebilir. Ayrıca iş açısından kritik verilere ve uygulamalara erişim izni veren altyapıyı da hedefleyebilirler. Erişim denetimi, kaynaklara yetkili erişimi yönetmeye odaklanır. Kaynaklara erişim veya denetim elde etmek için bant dışı olabilecek diğer tüm yollarda varlık koruma adresleri. Bu iki disiplin birbirini tamamlar ve mimarinizi, ilkelerinizi ve standartlarınızı karşılamak için birlikte tasarlanmalıdır. Daha fazla bilgi için bkz . Erişim denetimi.

Diyagramda varlık koruması ve varlık denetimine genel bir bakış sunarak güvenliği sağlama ve güvende kalma bölümleri yer alır.

Varlık koruma geçmişi ve hem eski hem de yeni varlıkların güvenliğini sağlama hakkında bilgi edinmek için aşağıdaki videoyu izleyin.

Güvenliği sağlama

Kuruluşunuzun geçerli güvenlik standartlarını, ilkesini ve mimarisini karşılamak için kaynakları getirmeye güvenli bir şekilde odaklanın. İki tür etkinlik vardır:

  • Brownfield: Mevcut güvenlik standartlarını ve denetimlerini mevcut varlıklara geri yükleyin. Kuruluşlar BT ortamlarını düşük öncelikli güvenlikle tasarlayabilir ve çalıştırabilir. Bu yaklaşım bir "teknik borç" oluşturur: zayıf güvenlik yapılandırmaları, yükseltilmeyen yazılımlar, şifrelenmemiş iletişim veya depolama, eski yazılım ve protokoller ve daha fazlası. Güvenlik denetimlerinizi geçerli yaklaşıma getirin. Saldırganlar bu fırsatlardan yararlanma becerilerini sürekli geliştirdiği için bu geliştirme riski azaltmak için kritik öneme sahiptir.
  • Greenfield: Yeni varlıkların ve yeni varlık türlerinin standartlara göre yapılandırıldığından emin olun. Bu işlem, sürekli olarak anlık eski veya brownfield ya da geçerli standartları karşılamayen sistemler oluşturmamak için kritik öneme sahiptir. Bu teknik borcun daha sonra daha fazla masrafla çözülmesi gerekir ve bu da tamamlanana kadar riskin artmasına neden olur.

Finansal olarak, tek seferlik bir yatırımın sermaye harcamaları (CAPEX) dinamiklerine yönelik haritaların güvenliğini sağlayın . Her yeni yazılım projesi, büyük yazılım yükseltmesi veya genel bulut benimseme girişimi için güvenlik bütçesinin ayrılmış yüzdesiyle, güvenlik için greenfield bütçesi varlığın oluşturulmasına uygun olduğu kadar yakın bir şekilde eşlenmelidir. Birçok kuruluş, güvenlik için bütçenin yaklaşık yüzde 10'unun yedeğini alır. Brownfield bütçesi genellikle güvenlik denetimlerini mevcut standartlara ve uyumluluğa getirmek için finanse edilen özel bir projedir.

Güvende kalın

Zamanla her şey düşer. Fiziksel öğeler yıpranıyor. Ortam, yazılım, güvenlik denetimleri ve güvenlik gibi sanal öğeler etrafında değişir. Bunlar artık değişen gereksinimleri karşılamayabilir. Bu vardiyalar, aşağıdaki hızlı değişiklikler nedeniyle bugün hızlı gerçekleşir:

  • Dijital dönüşüme dayalı iş gereksinimleri.
  • Hızlı bulut platformu evrimi ve özellik sürümleri tarafından yönetilen teknoloji gereksinimleri.
  • Saldırgan yenilikleri ve yerel bulut güvenliği özelliklerinin hızlı evrimi ile desteklenen güvenlik gereksinimleri.

Bu dinamik, güvenlik işlemleri, erişim denetimi ve özellikle Yenilik güvenliğinde DevSecOps dahil olmak üzere tüm güvenlik bölümlerini etkiler.

Güvenli kalmak birçok öğe içerir. Varlık korumasının şu iki özel alanına odaklanın:

  • Sürekli bulut geliştirmesi: Bulut tarafından sağlanan güvenlik özelliklerindeki sürekli iyileştirmeyi benimseyin. Örneğin, Azure Depolama ve Azure SQL Veritabanı gibi Azure'daki birçok hizmet, zaman içinde saldırganlara karşı savunmak için güvenlik özellikleri eklemiştir.
  • Yazılım kullanım ömrü sonu: İşletim sistemleri de dahil olmak üzere tüm yazılımlar, güvenlik güncelleştirmeleri artık sağlanmazsa her zaman kullanım süresi sonuna ulaşır. Bu durum, iş açısından kritik verileri ve uygulamaları ucuz ve kolay saldırılara maruz bırakabiliyor. Hizmet olarak yazılım (SaaS) ve bulut altyapısı ve platformları bulut sağlayıcısı tarafından korunurken, kuruluşların genellikle yükledikleri, yazmaları ve sürdürmeleri gereken önemli miktarda yazılım vardır.

Kullanım süresi sonu yazılımını yükseltmeyi veya devre dışı bırakmayı planlayın. Güvenlik duruşunuza yatırım yapmak büyük bir güvenlik olayı riskini azaltır. Düzenli olarak devam eden bir yatırımın operasyonel harcamaları (OPEX) dinamiklerinin bir parçasıdır.

Yama ikilemi

İş liderlerinin BT ve güvenlik liderlerini ve ekiplerini desteklemesi kritik önem taşır. Karmaşık yazılımların düşmanca bir ortamda çalıştırılması doğal risklere sahiptir. Güvenlik ve BT liderleri, operasyonel risk ve güvenlik riski hakkında sürekli olarak zor kararlar alır.

  • İşlem riski: Sistemin çalıştığı yazılımda yapılan bir değişiklik iş süreçlerini kesintiye uğratabilir. Bu tür değişiklikler, sistem kuruluş için özelleştirildiğinde yapılan varsayımları etkiler. Bu durum, sistemin değiştirilmesini önlemek için baskı oluşturur.
  • Güvenlik riski: Saldırı, iş için kapalı kalma süresi riskini beraberinde getirir. Saldırganlar yayındaki tüm önemli güvenlik güncelleştirmelerini analiz eder. Güvenlik güncelleştirmesini uygulamamış kuruluşlara saldırmak için 24-48 saat içinde çalışan bir açık geliştirebilirler.

Teknolojide devam eden değişiklikler ve saldırı tekniğinin evrimi nedeniyle kuruluşunuzda bu ikilem sıklıkla olabilir. İş liderlerinin karmaşık yazılım kullanarak işletme yürütme riskini tanıması gerekir. Bu örnekler gibi iş süreçlerini güncelleştirme desteği:

  • Yazılım bakımını iş operasyonel varsayımları, zamanlama, tahmin ve diğer iş süreçleriyle tümleştirme.
  • Bakımı kolaylaştıran ve iş operasyonları üzerindeki etkiyi azaltan mimarilere yatırım yapma. Bu yaklaşım, mevcut mimarileri güncelleştirmeyi veya tamamen bulut hizmetlerine veya hizmet odaklı bir mimariye geçerek yeni mimarilere geçişi içerebilir.

İş liderliği desteği olmadan, güvenlik ve BT liderlerinin önemli iş hedeflerini desteklemesi engellenir. Kazanmama durumunun siyasetini sürekli yönetmeleri gerekir.

Ağ yalıtımı

Ağ yalıtımı, artık güvenli hale getirilemeyen ancak hemen kullanımdan kaldırılamayan eski varlıkları korumak için geçerli bir seçenek olabilir. Bu senaryo genellikle kullanım süresi sonu işletim sistemleri ve uygulamaları için oluşabilir. İşletim teknolojisi (OT) ortamlarında ve eski sistemlerde yaygındır.

Güvenliği sağlanamıyor varlıklar varlık korumasının bir parçası olarak tanımlansa bile yalıtımın kendisi erişim denetimi olarak kabul edilir. Daha fazla bilgi için bkz . Güvenlik duvarından kaçınma ve unutma.

Kullanım ömrü sonundaki bazı sistemlerin bağlantısını kesmek ve tamamen yalıtmak zordur. Bu güvensiz sistemlerin bir üretim ağına tamamen bağlı olmasını önermiyoruz. Bu yapılandırma, saldırganların sistemin güvenliğini aşmasına ve kuruluştaki varlıklara erişmesine olanak sağlayabilir.

On yıl veya daha uzun süredir iyi çalışan bilgisayar teknolojisini yükseltmek veya değiştirmek asla ucuz veya kolay değildir. İşlevselliğiyle ilgili sınırlı belgeler olabilir. birden çok iş açısından kritik varlığın denetimini kaybetmenin iş üzerindeki olası etkisi genellikle yükseltme veya değiştirme maliyetini aşıyor. Yalıtılamayan bu varlıklar için kuruluşlar genellikle iş yükünü bulut teknolojisi ve analizle modernleştirmenin yükseltme veya değiştirme maliyetini dengeleyebilecek veya gerekçelendirebilen yeni iş değeri oluşturabileceğini fark eder.

Sürekli değişen bir dünyada güvenli kalmak zordur. Hangi varlıkların modernleştirilip nelerin en iyi şekilde güvenli hale geleceğine sürekli karar vermek önemlidir. Değerlendirmek için iş riski ve iş önceliklerini kullanın.

Başlarken

Varlık korumayı kullanmaya başlamak için kuruluşların aşağıdaki adımları gerçekleştirmesini öneririz.

  • Önce iyi bilinen kaynaklara odaklanın: Ekibin zaten aşina olduğu buluttaki sanal makineleri, ağları ve kimlikleri düşünün. Bu teknik anında ilerlemenizi sağlar ve bulut için Microsoft Defender gibi yerel bulut araçlarıyla yönetimi ve güvenliği genellikle daha kolaydır.

  • Satıcı/sektör temelleriyle başlayın: Güvenlik yapılandırmanızı iyi bilinen ve kanıtlanmış bir çözümle başlatın, örneğin:

    • Azure Güvenlik Karşılaştırması'ndaki güvenlik temelleri. Microsoft, tek tek Azure hizmetlerine uyarlanmış güvenlik yapılandırması kılavuzu sağlar. Bu temeller, Azure güvenlik karşılaştırmalarını her hizmetin benzersiz özniteliklerine uygular. Bu yaklaşım, güvenlik ekiplerinin her hizmetin güvenliğini sağlamasını ve yapılandırmaları gerektiği gibi geliştirmesini sağlar. Daha fazla bilgi için bkz. Azure için güvenlik temelleri.
    • Microsoft güvenlik temelleri. Microsoft, Windows, Microsoft Office ve Microsoft Edge gibi yaygın olarak kullanılan teknolojiler için güvenlik yapılandırması kılavuzu sağlar. Daha fazla bilgi için bkz. Microsoft güvenlik temelleri. Daha fazla bilgi için Microsoft-security-baselines)
    • CIS karşılaştırmaları. İnternet Güvenliği Merkezi (CIS), birçok ürün ve satıcı için özel yapılandırma yönergeleri sağlar. Daha fazla bilgi için bkz. CIS karşılaştırmaları.

Önemli bilgiler

Bu temel öğe varlık koruma sürecinize yol göstermeye yardımcı olur:

Sorumlu ve sorumlu ekipler

Güvenlik sorumluluğu, diğer tüm risklere ve avantajlara sahip olan işletmede her zaman üst düzey kaynak sahibiyle birlikte bulunmalıdır. Güvenlik ekipleri ve konu uzmanları riskler, risklerin azaltılması ve gerçek uygulamanın gerçekleştirilmesi konusunda sorumlu sahibin tavsiye edilmesinden toplu olarak sorumludur.

Varlık koruma sorumlulukları, kuruluş genelindeki varlıkları yöneten BT işlemleri, iş yüklerinin varlıklarından sorumlu DevOps ve DevSecOps ekipleri ya da BT ya da DevOps ve DevSecOps ekipleriyle çalışan güvenlik ekipleri tarafından gerçekleştirilebilir.

Kuruluşlar buluta geçtikçe, bu sorumlulukların çoğu bulut sağlayıcısına aktarılabilir; örneğin üretici yazılımı ve sanallaştırma çözümünü güncelleştirme veya güvenlik yapılandırması tarama ve düzeltme gibi işlemler daha kolay hale gelebilir.

Paylaşılan sorumluluk modeli hakkında daha fazla bilgi için bkz. Bulutta paylaşılan sorumluluk.

Bulut esnekliği

Şirket içi kaynaklardan farklı olarak, bulut kaynakları yalnızca kısa bir süre için mevcut olabilir. gerektiğinde, iş yükleri bir iş yapmak için daha fazla sunucu, Azure İşlevleri ve diğer kaynak örnekleri oluşturabilir. Azure daha sonra kaynakları kaldırır. Bu senaryo aylar içinde ancak bazen dakikalar veya saatler içinde gerçekleşebilir. Varlık koruma süreçleriniz ve ölçümleriniz için bu olasılığı dikkate alın.

Bulut esnekliği için birçok işlemin ayarlanması gerekir. Statik raporlar yerine isteğe bağlı envanter sayesinde görünürlüğünüzü artırır. Bulut esnekliği, sorunları düzeltme yeteneğinizi de geliştirir. Örneğin, güvenlik nedenleriyle yeni bir sanal makine oluşturmak hızlı bir şekilde gerçekleşebilir.

Özel durum yönetimi

Bir varlık için en iyi yöntemi belirledikten sonra, varlığın tüm örneklerine tutarlı bir şekilde uygulayın. Geçici özel durumlar oluşturmanız gerekebilir, ancak özel durumları belirli son kullanma tarihleriyle yönetmeniz gerekebilir. Geçici özel durumların kalıcı iş riskleri haline gelmediğinden emin olun.

Değer ölçmeyle ilgili zorluklar

Varlık korumasının iş değerini ölçmek zor olabilir. Gerçek bir hata olana kadar sorunun etkisi açıkça belli olmaz. Güvenlik açıkları için güvenliği güncelleştirmeme riski sessiz ve görünmezdir.

Otomatik ilkeyi tercih edin

Varlık koruması için Azure İlkesi gibi otomatik zorlama ve düzeltme mekanizmalarını tercih edin. Bu yaklaşım, maliyet ve moral sorunlarının el ile yapılan görevleri tekrar tekrar gerçekleştirmesinden kaçınmaya yardımcı olur. Ayrıca insan hatalarından kaynaklanan riski azaltır.

Azure İlkesi, merkezi ekiplerin bulutlar arasında varlıklar için kullanılacak yapılandırmaları belirtmesine olanak tanır.

Denetimleri ekip olarak tasarlama

Tüm denetimler, önemli paydaşlarla bir ortaklık olarak tasarlanmalıdır:

  • Varlık koruması varlıklar, bunlar için sağlanan denetimler ve denetimlerin uygulanması için uygulanabilirlik konusunda konu uzmanlığı sağlar.
  • İdare ekibi denetimlerin güvenlik mimarisine, ilkelerine ve standartlarına ve mevzuat uyumluluğu gereksinimlerine nasıl uyduğunun bağlamını sağlar.
  • Güvenlik operasyonları dedektif kontrolleri hakkında tavsiyelerde bulunur. Uyarıları ve günlükleri güvenlik operasyonları araçları, süreçleri ve eğitimle tümleştirir.
  • Satıcılar ve bulut sağlayıcıları , müşteri tabanında görülen bilinen sorunlardan kaçınmak için sistemler ve bileşenler üzerinde derin konu uzmanlığı sağlayabilir.

Sonraki adımlar

Gözden geçirilmeye değer bir sonraki uzmanlık alanı güvenlik idaresi