Önceki

Sonraki

Güvenlik hazırlığınızı planlama

Tamamlandı

Mimari tasarım kararlarında ve operasyonlarında güvenlik uygulamalarını en düşük düzeyde sürtüşmelerle benimsemeye ve uygulamaya çabalayın.

İş yükü sahibi olarak, varlıkları korumak için kuruluşla paylaşılan bir sorumluluğunuz vardır. İş öncelikleriyle uyumlu bir güvenlik hazırlığı planı oluşturun. İyi tanımlanmış süreçlere, yeterli yatırımlara ve uygun sorumluluklara yol açar. Plan, kuruluşa iş yükü gereksinimlerini sağlamalı ve varlıkları koruma sorumluluğunu da paylaşmalıdır. Güvenlik planları güvenilirlik, sağlık modelleme ve kendini koruma stratejinizi dikkate almalıdır.

Kuruluş varlıklarına ek olarak, iş yükünün izinsiz giriş ve sızdırma saldırılarına karşı korunması gerekir. Sıfır Güven ve CIA üçlüsünün tüm modelleri plana dahil edilmelidir.

İşlevsel ve işlevsel olmayan gereksinimler, bütçe kısıtlamaları ve diğer önemli noktalar güvenlik yatırımlarını kısıtlamamalı veya güvenceleri daraltmamalıdır. Aynı zamanda, güvenlik yatırımlarını bu kısıtlamaları ve kısıtlamaları göz önünde bulundurarak tasarlamanız ve planlamanız gerekir.

Örnek senaryo

Contoso Süpermarket'in daha önce hiç müşteri sadakat programı yoktu, ancak bir müşteri sadakat programı oluşturmanın iş açısından anlamlı olmasına karar verdi. Müşteri telefonlarında NFC işlevselliği, hem kendi kendine ödeme hem de kasiyer destekli ödeme için satış noktasında çözüm olarak kullanılacaktır. Mağaza giriş ve çıkışındaki bir self-registration bilgi noktası, müşterilerin programa kaydolmasını sağlar. Arka uç işleme çözümü bulutta barındırılacak ancak tasarım henüz tamamlanmamıştır.

Segmentasyon aracılığıyla güvenliği iyileştirme

Erişimi ve işlevi yalıtmak için iş yükü ortamında, işlemlerde ve ekip yapısında güvenlik sınırlarını planlamak için segmentasyonu bir strateji olarak kullanın.

Segmentasyon stratejiniz iş gereksinimlerine göre yönlendirilmelidir. Bileşenleri, iş gücünün bölünmesini, gizlilik endişelerini ve diğer faktörlerin kritikliğine dayandırabilirsiniz.

Rolleri tanımlayarak ve net sorumluluk satırları oluşturarak operasyonel uyuşmaları en aza indirebileceksiniz. Bu alıştırma, özellikle kritik etkiye neden olan hesaplar için her rol için erişim düzeyini belirlemenize de yardımcı olur.

Yalıtım, hassas akışların açığa çıkarmasını yalnızca erişim gerektiren roller ve varlıklarla sınırlamanıza olanak tanır. Aşırı maruz kalma istemeden bilgi akışının açığa çıkmasına neden olabilir.

Contoso'nun sınaması

• Basitlik ruhuyla, ekip geçmişte düşük ek yük yaklaşımlarını tercih etti. Bu yaklaşımlar, yönetim yüzeyi alanını azaltmak için farklı iş yükü bileşenlerini birlikte bulma ve erişim yönetimini basitleştirmek için ayrı bireyleri güvenlik grupları halinde düzenlemeyi içerir.
• Ne yazık ki, güvenlik grubu üyeliği nedeniyle yeni dağıtım ortamına geniş erişim izni verilen bir Soru-Cevap stajyeri, hesabının gizliliğinin tehlikeye atılmasına yol açan bir sosyal mühendislik saldırısına maruz kalıyordu.
• Saldırgan yalnızca bu dağıtımın değil, aynı uygulama platformunda çalışan diğer tüm kullanıcıların gizliliğini tehlikeye atabildi.

Yaklaşımı ve sonuçları uygulama

• Neyse ki güvenliği aşılmış ortam, iş yükünün erken bir test prototipini barındırıyordu; satış noktası sistemi için yeni müşteri sadakat programı sistemini tasarlarken, bu nedenle hiçbir üretim sistemi ihlal olmadı.
• İş yükü güvenlik ekibi, müşterilerin adresi ve e-postası gibi kişisel bilgileri (PII) işleyen sistemleri bu bileşenlerden (ürünler için kuponlar gibi) yalıtacak şekilde iş yükünü tasarlamak için zaman ve para harcamayı planlıyor. bilinmesi gereken ve mümkün olduğunca tam zamanında (JIT) erişim denetimleri tasarlama; ve diğer bileşenleri korumak için iş yükü içindeki ağları yalıtın ve kuruluşu korumak için Contoso'ya dönün.
• Segmentasyon aracılığıyla, güvenliğin aşılması iş yükünün yönleri üzerinde hala bir etkiye sahip olabilir, ancak patlama yarıçapı kapsama alınacaktır.

Olaylara verimli bir şekilde yanıt verme

İş yükünüz için bir olay yanıt planı olduğundan emin olun. Hazırlık, algılama, kapsama, azaltma ve olay sonrası etkinlik için standart çalışma yordamını tanımlayan endüstri çerçevelerini kullanın.

Kriz zamanında karışıklıklardan kaçınılmalıdır. İyi belgelenmiş bir planınız varsa, sorumlu roller belirsiz eylemlere zaman kaybetmeden yürütmeye odaklanabilir. Ayrıca kapsamlı bir plan, tüm düzeltme gereksinimlerinin karşılandığından emin olmanıza yardımcı olabilir.

Contoso'nun sınaması

• İş yükü ekibi, destek yükseltmeleri ve kesintiler için perakendeci destek kanallarını, müşteri destek kanallarını ve teknik arama rotasyonlarını resmileştirmeye başlıyor.
• Bu planlarda özellikle güvenlik konusuna değinemediler. Ayrıca, bir kuruluş destek için sunduğu Contoso'nun ne olduğunu da bilmiyorlar.

Yaklaşımı ve sonuçları uygulama

• İş yükü ekibi, hem kuruluş açısından hem de dış uyumluluk açısından bu nitelikteki PII ile ilgilenmeye yönelik uyumluluk gereksinimlerini anlamak için Contoso güvenlik ekibiyle birlikte çalışır.
• Ekip, olaylar için standartlaştırılmış iletişim gereksinimleri de dahil olmak üzere bir güvenlik algılama, risk azaltma ve yükseltme planı oluşturur.
• İş yükü ekibi artık güvenilirlik desteğiyle olduğu kadar güvenlik olayına hazırlıklı olma konusunda da rahat hissediyor. Sistemle çalışmaya başlamadan önce güvenlik olaylarında detaya gitmeyi ve planı iyileştirmeyi planlıyorlar.

Güvenli operasyonları ve geliştirme uygulamalarını codify

İş yükünün yaşam döngüsü ve işlemleri genelinde ekip düzeyinde güvenlik standartlarını tanımlayın ve uygulayın. Kodlama, geçitli onaylar, yayın yönetimi, veri koruma ve saklama gibi işlemlerde tutarlı uygulamalar için çaba gösterin.

İyi güvenlik uygulamalarının tanımlanması, ihmali ve yüzey alanını olası hatalar için en aza indirgeyebilir. Ekip, çalışmaları iyileştirir ve yaklaşımlar daha tutarlı hale getirildiğinden sonuç tahmin edilebilir olacaktır.

Zaman içinde güvenlik standartlarını gözlemlemek, büyük olasılıkla otomasyon da dahil olmak üzere geliştirme fırsatlarını belirlemenize olanak tanır ve bu da çabaları daha da kolaylaştıracak ve tutarlılığı artıracaktır.

Contoso'nun sınaması

• Olay yanıtına hazırlandıktan sonra iş yükü ekibi, sorunları önlemek için zaman ve çaba harcamaları gerektiğine karar verir.
• Şu anda belirli bir güvenli geliştirme yaşam döngüsüne sahip değildir ve önceki projelerde kullandıkları işlemleri kullanmayı planlıyorlar.

Yaklaşımı ve sonuçları uygulama

• Bu iş yükü kredi kartı bilgileri gibi çok gizli verileri barındırmasa da, ekip müşterilerinin verilerine saygılı davranır ve tutulacak veri türleri için izlenmesi gereken yerel ve federal düzenlemeler olduğunun farkındadır.
• Ekip, mevcut endüstri standardı güvenli geliştirme ve operasyon uygulamaları hakkında bilgi edinmek için yatırım yapar ve daha önce eksik olan önlemleri benimser.
• Ekip, kuruluş genelinde en iyi yöntemlerin benimsendiğinden emin olmak için öğrendiklerini Contoso güvenlik ekibiyle de paylaşır.

Bilgilerinizi kontrol edin

1.

Güvenlik yaklaşımınızda segmentasyonu kullanmanın avantajı nedir?

Segmentlere ayırma, kaynaklara erişimi en az ayrıcalık ilkesine göre yalıtmanıza olanak tanır.

Segmentlere ayırma, tüm kaynaklara erişimi engeller ve bu da saldırganların kaynaklara erişmesini engeller.

Segmentasyon, tüm kullanıcıları kaynaklara erişmek için çok faktörlü kimlik doğrulaması (MFA) kullanmaya zorlar.

Segmentasyon, tüm kullanıcıları kaynaklara erişmek için çoklu oturum açmayı (SSO) kullanmaya zorlar.

2.

Güvenlik olaylarının zamanında algılandığından ve yanıtlandığından emin olmak için ne tür bir plan oluşturmanız gerekir?

Olağanüstü durum kurtarma planı

İş sürekliliği planı

Güvenlik olayı yanıt planı

DDoS azaltma planı

3.

Doğru veya yanlış: Contoso'nun güvenli geliştirme uygulamalarını kullanması, ekibin tüm kodların tutarlı bir standart şekilde geliştirildiğinden emin olmasına yardımcı olur.

Doğru.

Yanlış.

Yanıtlarınızı denetleyin

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et