Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Microsoft güvenlik benimseme modeli güvenlik disiplinlerine genel bir bakış sağlanmaktadır.
Güvenlik disiplinleri, kuruluşların iş güvenliği hedeflerini kuruluş genelinde eşgüdümlü eyleme dönüştürmesine yardımcı olan yapılandırılmış sorumluluk alanlarıdır . Riski yönetmek ve kritik iş sonuçlarını korumak için strateji, mimari ve işlemleri düzenlemek için tutarlı bir yol sağlar.
Güvenlik disiplinleri, güvenliği yalıtılmış denetimler veya tek tek araçlar olarak işlemek yerine süreçleri, becerileri ve teknolojileri yinelenebilir yetenek alanları halinde düzenler. Bu, güvenlik yatırımlarının parçalanmış iyileştirmeler değil ölçülebilir, uçtan uca sonuçlar sunmasını sağlamaya yardımcı olur.
Güvenlik disiplinleri toplu olarak şunları sağlayan eksiksiz bir güvenlik çalışma modeli oluşturur:
- Net güvenlik stratejisi ve yönetişimi,
- Tutarlı, uçtan uca mimariler.
- Tutarlı teknik uygulama ve operasyonlar.
Güvenlik uzmanlık alanları, uzaktan çalışmanın güvenliğini sağlama veya kritik varlıkları koruma gibi iş senaryoları aracılığıyla uygulanır. Bu senaryolar, riski azaltmak ve işletmeyi desteklemek için güvenlik çalışmalarının nereye odaklanması gerektiğini tanımlar.
Tavsiye
Microsoft, Güvenlik Benimseme Çerçevesi (SAF) atölyeleri gibi zengin bir güvenlik benimseme atölyeleri kümesi sunar. Burada açıkladığımız güvenlik disiplini rehberliği de dahil olmak üzere yapılandırılmış benimseme modelimiz, atölyelerde sağlanan uzman liderliğinde rehberlikle uyumlu hale geliyor. SAF atölyelerimiz hakkında daha fazla bilgi edinin.
Benimseme sürecindeki güvenlik disiplinleri
Güvenlik benimseme modelimizde, güvenlik disiplinleri iş senaryoları ile teknik uygulama arasında kurumsal bir yapı sağlar.
- İş senaryoları , güvenlik yatırımının neden gerekli olduğunu ve hangi sonuçların önemli olduğunu tanımlar.
- Güvenlik disiplinleri, ekipler genelinde sahiplik ve sorumluluk tanımlar ve kuruluş genelinde her bir güvenlik özelliğinin teslim edilmesinden kimin sorumlu olduğunu netleştirmektedir.
- Teknik çözümler, güvenliğin belirli teknoloji yapılarındanasıl uygulandığını tanımlar.
Güvenlik disiplinleri nasıl kullanılır
Güvenlik disiplinleri, yapılandırılmış benimseme modelimiz genelinde kullanılır. Farklı hedef kitleleri desteklemek için Sıfır Güven yönergeleriyle uyumludurlar:
- İş liderleri ve program sahipleri, varlıkları korumak ve iş riskini yönetmek için güvenlik iş senaryolarının nasıl hayata geçirileceğini anlamak için disiplinleri kullanır.
- Güvenlik liderleri ve mimarlar, uçtan uca tasarımları şekillendirmek ve teknoloji yapılarında tutarlılık sağlamak için disiplinleri kullanır.
- Uygulama ve operasyon ekipleri, araç seçimlerine yol göstermek, dağıtımı denetlemek, algılama ve sürekli iyileştirmeyi denetlemek için uzmanlık alanlarını kullanır.
Disiplin kategorileri
Her güvenlik uzmanlık alanı, desteklediği kararların türüne ve güvenlik yaşam döngüsüne ne zaman uygulandığına bağlı olarak üç kategoriden birine uyar.
- Planlama ve gözetim disiplinleri: Bu disiplinler, güvenlik programının tamamında yön, uyum ve sorumluluk oluşturur. Başarının nasıl göründüğünü ve ilerlemenin nasıl ölçülüp yönetildiklerini tanımlar.
- Teknik strateji disiplinleri: Bu disiplinler, güvenliğin teknik olarak nasıl tasarlandığını ve uygulandığını tanımlar. Birden çok teknoloji alanında kontrol seçimini, araç setlerini ve yürütmeyi yönlendiren mimari yönlendirme sağlarlar.
- operasyonel disiplinler: Bu disiplinler, tehditler ve ortamlar değiştikçe sürekli görünürlük, algılama, yanıt ve iyileştirme dahil olmak üzere güvenliğin her gün nasıl çalıştığını tanımlar.
Aşağıdaki diyagramda güvenlik kategorilerinin ve uzmanlık alanlarının teknoloji sütunları arasında nasıl uyumlu olduğu gösterilmektedir.
Güvenlik disiplinleri
Aşağıdaki tabloda uzmanlık alanları, ait oldukları kategori ve korumaya odaklandıkları teknoloji sütunları gösterilmektedir.
| Disiplinli/Kategori | Discipline | Sütun |
|---|---|---|
|
Güvenlik Stratejisi, Tümleştirme ve İdare Planlama ve gözetim. |
Genel güvenlik vizyonunu, önceliklerini, ilkelerini ve başarı ölçülerini oluşturur. Güvenlik çalışmalarının iş hedeflerine ve risk toleransı ile uyumlu olmasını ve ilerlemenin ölçülebilir ve yönetilebilir olmasını sağlar. | Bütün sütunlar. |
|
Güvenlik Mimarisi Planlama ve gözetim. |
Güvenlik denetimlerinin, teknolojilerinin ve işlemlerinin birlikte uyumlu bir sistem olarak çalışmasını sağlar. Tutarlı sonuçlar elde etmek için mimari kararlarını kimlik, veri, uygulama, altyapı ve operasyonlar arasında uyumlu hale getirir. | Tüm sütunlar. |
|
Erişim ve Kimlik Teknik strateji |
Kullanıcıların, cihazların, uygulamaların ve iş yüklerinin kuruluş varlıklarına erişme şeklinin güvenliğini sağlar. Bu uzmanlık alanı, ağ ve ayrıcalıklı erişim de dahil olmak üzere tüm erişim yollarında Sıfır Güven ilkeleri kullanarak tutarlı, kimlik odaklı bir yaklaşım sağlar. | Kimlik, ağlar, uç noktalar. |
|
Altyapı Güvenliği Teknik strateji |
İşletmeyi çalıştıran iş yüklerinin ve platformların yeni geliştirme ve eski uygulamalar için hibrit ve çoklu bulut ortamlarında güvenli olmasını sağlar. | Altyapı. |
|
Geliştirme Güvenliği Teknik strateji |
Uygulamaların ve hizmetlerin DevSecOps yaklaşımı ve güvenlik geliştirme yaşam döngüsü (SDL) açısından güvenli bir şekilde tasarlanmasını, derlenmesini ve bakımının sağlanmasını sağlar. Bu, güvenli kodlama uygulamalarını ve uygulama güvenliği testlerini içerir. | Uygulamalar. |
|
Veri Güvenliği Teknik strateji |
Fikri mülkiyet, ticari sırlar ve düzenlenmiş bilgiler gibi veri varlıklarını korur. Bu uzmanlık alanı, verilerin nerede depolandığına veya nasıl hareket ettiğine bakılmaksızın tüm veri yaşam döngüsü boyunca güvenlik denetimlerini uygular. Güvenli Üretken Yapay Zeka kullanımının kritik bir etkinleştiricisidir. | Veri. |
|
OT/IoT Güvenliği Teknik strateji |
Endüstriyel kontrol sistemleri ve SCADA ortamları dahil olmak üzere fiziksel süreçlerle ve fiziksel dünyayla etkileşim kuran OT/IoT sistemlerinin güvenliğini sağlar. | Uç noktalar. |
|
Güvenlik Duruşu Yönetimi Operasyonel |
Güvenlik risklerini sürekli bulur, ölçer ve önceliklendirir. Kuruluşların en etkili güvenlik açıklarına ve saldırı yollarına yönelik düzeltme çalışmalarına odaklanmalarına yardımcı olur. | Tüm sütunlar. |
|
SecOps Operasyonel |
Aktif tehditleri algılar, bunlara yanıt verir ve bunlardan kurtulur. Bu disiplin, bir ihlal gerçekleştikten sonra saldırganların erişim sahibi oldukları süreyi en aza indirmeye ve böylece iş üzerindeki etkilerini sınırlamaya yönelik hızlı müdahaleye odaklanır. | Bütün sütunlar. |
Sonraki Adımlar
- Başlayın güvenlik benimsemeye.
- Bir iş senaryosu seçin.
- Microsoft güvenlik atölyeleri hakkında bilgi edin