Principy návrhu zabezpečení
Úloha Well-Architected musí být sestavena s přístupem nulové důvěryhodnosti. Zabezpečená úloha je odolná vůči útokům a kromě plnění obchodních cílů zahrnuje provázané principy zabezpečení, jako je důvěrnost, integrita a dostupnost ( označovaná také jako triáda CIA). Každý incident zabezpečení má potenciál stát se závažným porušením zabezpečení, které poškodí značku a pověst úlohy nebo organizace. Pokud chcete změřit efektivitu zabezpečení vaší celkové strategie pro úlohu, začněte těmito otázkami:
Poskytují vaše obranné investice smysluplné náklady a třecí plochy, abyste zabránili útočníkům v ohrožení vašich úloh?
Budou vaše bezpečnostní opatření účinná při omezování poloměru výbuchu incidentu?
Chápete, jak může být řízení úlohy pro útočníka užitečné? Rozumíte dopadu na vaši firmu, pokud dojde k odcizení, nedostupnosti nebo manipulaci s úlohami a jejich daty?
Můžou úlohy a operace rychle detekovat přerušení, reagovat na ně a zotavit se z přerušení?
Při návrhu systému používejte model Microsoftu nulová důvěra (Zero Trust) jako kompas ke zmírnění bezpečnostních rizik:
Ověřte explicitně , aby pouze důvěryhodné identity provádělyzamýšlené a povolené akce , které pocházejí z očekávaných umístění. Toto zabezpečení znesnadňuje útočníkům zosobnění legitimních uživatelů a účtů.
Používejte přístup s nejnižšími oprávněními pro správné identity, se správnou sadou oprávnění, po správnou dobu trvání a ke správným prostředkům. Omezení oprávnění pomáhá zabránit útočníkům ve zneužití oprávnění, která legitimní uživatelé ani nepotřebují.
Předpokládejme porušení kontrolních mechanismů zabezpečení a návrh kompenzačních ovládacích prvků, které omezují riziko a poškození v případě selhání primární vrstvy ochrany. To vám pomůže lépe bránit úlohy tím, že budete myslet jako útočník, který má zájem o úspěch (bez ohledu na to, jak ho získá).
Zabezpečení není jednorázová práce. Tyto pokyny musíte implementovat opakovaně. Neustále vylepšujte své znalosti o ochraně a zabezpečení, abyste udrželi své úlohy v bezpečí před útočníky, kteří neustále získávají přístup k inovativním vektorům útoku, jak jsou vyvíjeny a přidávány do automatizovaných útočných sad.
Principy návrhu mají za cíl vytvořit průběžný přístup k zabezpečení, který vám pomůže průběžně zlepšovat stav zabezpečení vašich úloh v průběhu neustálého vývoje pokusů útočníků. Tyto principy by měly být vodítkem pro zabezpečení vaší architektury, možností návrhu a provozních procesů. Začněte doporučenými přístupy a ospravedlněte výhody sady požadavků na zabezpečení. Po nastavení strategie můžete provádět akce pomocí kontrolního seznamu zabezpečení jako další krok.
Pokud se tyto principy správně nepoužívají, je možné očekávat negativní dopad na obchodní provoz a výnosy. Některé důsledky můžou být zřejmé, například sankce za regulační úlohy. Jiné nemusí být tak zřejmé a můžou vést k přetrvávajícím problémům se zabezpečením, než se zjistí.
U mnoha kritických úloh je zabezpečení společně se spolehlivostí hlavním problémem, protože některé vektory útoku, jako je exfiltrace dat, nemají na spolehlivost vliv. Zabezpečení a spolehlivost můžou táhnout úlohy opačným směrem, protože návrh zaměřený na zabezpečení může přinést body selhání a zvýšit provozní složitost. Dopad zabezpečení na spolehlivost je často nepřímý, zavedený prostřednictvím provozních omezení. Pečlivě zvažte kompromisy mezi zabezpečením a spolehlivostí.
Dodržováním těchto zásad můžete zvýšit efektivitu zabezpečení, posílit prostředky úloh a vybudovat důvěru uživatelů.
Plánování připravenosti zabezpečení
 Snažte se o přijetí a implementaci postupů zabezpečení při rozhodování o návrhu a operacích architektury s minimálními třeními. |
|---|
Jako vlastník úlohy máte sdílenou odpovědnost za ochranu prostředků s organizací. Vytvořte plán připravenosti zabezpečení , který je v souladu s obchodními prioritami. Povede k jasně definovaným procesům, odpovídajícím investicím a odpovídajícím účetním závazkům. Plán by měl poskytovat požadavky na úlohy pro organizaci, která také sdílí odpovědnost za ochranu prostředků. Plány zabezpečení by měly být zohledněny ve vaší strategii spolehlivosti, modelování stavu a sebezáchovy.
Kromě organizačních prostředků musí být samotná úloha chráněná před útoky na vniknutí a exfiltraci. Do plánu by měly být začleněny všechny aspekty nulová důvěra (Zero Trust) a triády CIA.
Funkční a nefunkční požadavky, rozpočtová omezení a další aspekty by neměly omezovat investice do zabezpečení ani ředit záruky. Zároveň je potřeba zajistit a naplánovat investice do zabezpečení s ohledem na tato omezení a omezení.
| Přístup | Výhoda |
|---|---|
| Segmentaci použijte jako strategii k plánování hranic zabezpečení v prostředí úloh, procesech a struktuře týmu, abyste izolovali přístup a funkci. Strategie segmentace by se měla řídit obchodními požadavky. Můžete ho založit na důležitosti komponent, dělbě práce, obavách o ochranu osobních údajů a dalších faktorech. |
Budete schopni minimalizovat provozní třecí plochy definováním rolí a stanovením jasných linií odpovědnosti. Toto cvičení vám také pomůže identifikovat úroveň přístupu pro jednotlivé role, zejména pro účty s kritickým dopadem. Izolace umožňuje omezit vystavení citlivých toků pouze rolím a prostředkům, které potřebují přístup. Nadměrné vystavení by mohlo neúmyslně vést ke zpřístupnění toku informací. Když to shrneme, budete moct na základě potřeb jednotlivých segmentů vytvořit správnou velikost zabezpečení . |
| Průběžně si vytvářejte dovednosti prostřednictvím školení zabezpečení na základě rolí , které splňuje požadavky organizace a případy použití úloh. | Vysoce kvalifikovaný tým může navrhovat, implementovat a monitorovat bezpečnostní prvky, které zůstanou účinné proti útočníkům, kteří neustále hledají nové způsoby, jak systém zneužít. Školení pro celou organizaci se obvykle zaměřuje na rozvoj širší sady dovedností pro zabezpečení společných prvků. Při trénování na základě rolí se ale zaměřujete na rozvoj hlubokých odborných znalostí o nabídkách platforem a funkcích zabezpečení, které řeší problémy s úlohami. Musíte implementovat oba přístupy k ochraně proti nežádoucím prostředkům prostřednictvím dobrého návrhu a efektivního provozu. |
| Ujistěte se, že pro vaši úlohu existuje plán reakce na incidenty . Používejte oborové architektury, které definují standardní provozní postup pro připravenost, detekci, omezování, zmírnění a aktivitu po incidentu. |
V době krize je třeba se vyhnout nejasnostem. Pokud máte dobře zdokumentovaný plán, zodpovědné role se můžou zaměřit na provádění bez plýtvání časem nejistými akcemi. Komplexní plán vám také může pomoct zajistit splnění všech požadavků na nápravu. |
| Posílit stav zabezpečení tím, že pochopíte požadavky na dodržování předpisů zabezpečení , které jsou vynucené vlivy mimo tým úloh, jako jsou zásady organizace, dodržování právních předpisů a oborové standardy. | Clarity o požadavcích na dodržování předpisů vám pomůžou navrhnout správné záruky zabezpečení a zabránit problémům s nedodržováním předpisů, které by mohly vést k postihům. Oborové standardy můžou poskytovat základní hodnoty a ovlivnit výběr nástrojů, zásad, bezpečnostních záruk, pokynů, přístupů k řízení rizik a školení. Pokud víte, že úloha dodržuje předpisy, budete moct vštípit důvěru do uživatelské základny. |
| Definujte a vynucujte standardy zabezpečení na úrovni týmu v rámci životního cyklu a provozu úlohy. Snažte se o konzistentní postupy v operacích, jako je kódování, chráněná schvalování, správa verzí a ochrana a uchovávání dat. |
Definováním osvědčených postupů zabezpečení můžete minimalizovat nedbalost a prostor pro potenciální chyby. Tým bude optimalizovat úsilí a výsledek bude předvídatelný , protože přístupy jsou konzistentnější. Dodržování standardů zabezpečení v průběhu času vám umožní identifikovat příležitosti ke zlepšení, včetně automatizace, která dále zjednoduší úsilí a zvýší konzistenci. |
| Zarovnejte reakci na incidenty s centralizovanou funkcí Security Operation Center (SOC) ve vaší organizaci. | Funkce centralizované reakce na incidenty umožňují využívat specializované IT specialisty, kteří můžou detekovat incidenty v reálném čase a co nejrychleji řešit potenciální hrozby. |
Návrh na ochranu důvěrnosti
| Zabraňte vystavení informacím o ochraně osobních údajů, právních předpisech, aplikacích a vlastnických právech prostřednictvím omezení přístupu a technik obfuskace. |
|---|
Data úloh je možné klasifikovat podle uživatele, využití, konfigurace, dodržování předpisů, duševního vlastnictví a dalších. Tato data není možné sdílet ani přistupovat mimo stanovené hranice důvěryhodnosti. Úsilí o ochranu důvěrnosti by se mělo zaměřit na řízení přístupu, neprůhlednost a uchovávání záznamu auditu aktivit, které se týkají dat a systému.
| Přístup | Výhoda |
|---|---|
| Implementujte silné řízení přístupu , které udělují přístup pouze na základě potřeby. | Nejnižší oprávnění. Úloha bude chráněna před neoprávněným přístupem a zakázanými aktivitami. I když je přístup z důvěryhodných identit, přístupová oprávnění a doba vystavení se minimalizují , protože komunikační cesta je otevřená po omezenou dobu. |
| Klasifikovat data na základě jejich typu, citlivosti a potenciálního rizika. Každému z nich přiřaďte úroveň důvěrnosti. Zahrňte systémové komponenty, které jsou v rozsahu pro určenou úroveň. |
Explicitně to ověřte. Toto vyhodnocení vám pomůže s bezpečnostními opatřeními správné velikosti. Budete také schopni identifikovat data a komponenty, které mají vysoký potenciální dopad a/nebo vystavení riziku. Toto cvičení zpřehlední vaši strategii ochrany informací a pomůže zajistit shodu. |
| Chraňte neaktivní uložená data, přenášená a během zpracování pomocí šifrování. Založte svou strategii na přiřazené úrovni důvěrnosti. | Předpokládejme porušení zabezpečení. I když útočník získá přístup, nebude moct správně číst zašifrovaná citlivá data. Citlivá data zahrnují informace o konfiguraci, které se používají k získání dalšího přístupu v systému. Šifrování dat vám může pomoct s riziky. |
| Chraňte se před zneužitím , které by mohlo způsobit neoprávněné zveřejnění informací. | Explicitně to ověřte. Je nezbytné minimalizovat ohrožení zabezpečení v implementacích ověřování a autorizace, kódu, konfiguracích, operacích a těch, která vyplývají ze sociálních návyků uživatelů systému. Aktuální bezpečnostní opatření umožňují blokovat vstup známých ohrožení zabezpečení do systému. Můžete také zmírnit nová ohrožení zabezpečení , která se můžou v průběhu času objevit, implementací rutinních operací v průběhu celého vývojového cyklu a nepřetržitým zlepšováním zabezpečení zabezpečení. |
| Chraňte se před exfiltrací dat , která je výsledkem škodlivého nebo neúmyslného přístupu k datům. | Předpokládejme porušení zabezpečení. Budete moct obsahovat poloměr výbuchu tím, že zablokujete neoprávněný přenos dat. Kromě toho ovládací prvky použité pro sítě, identitu a šifrování chrání data v různých vrstvách. |
| Udržujte úroveň důvěrnosti při toku dat různými komponentami systému. | Předpokládejme porušení zabezpečení. Vynucení úrovní důvěrnosti v celém systému umožňuje poskytovat konzistentní úroveň posílení zabezpečení. Tím zabráníte chybám zabezpečení , které by mohly vést k přesunu dat na nižší úroveň zabezpečení. |
| Udržujte záznam auditu pro všechny typy aktivit přístupu. | Předpokládejme porušení zabezpečení. Protokoly auditu podporují rychlejší detekci a obnovení v případě incidentů a pomáhají s průběžným monitorováním zabezpečení. |
Návrh pro ochranu integrity
| Zabraňte poškození návrhu, implementace, operací a dat, abyste se vyhnuli přerušením, která můžou zabránit systému v poskytování zamýšleného užitku nebo způsobit, že bude fungovat nad rámec stanovených limitů. Systém by měl poskytovat záruku informací po celou dobu životního cyklu úloh. |
|---|
Klíčem je implementovat ovládací prvky, které zabraňují manipulaci s obchodní logikou, toky, procesy nasazení, daty a dokonce i nižšími komponentami zásobníku, jako je operační systém a spouštěcí sekvence. Nedostatek integrity může představovat ohrožení zabezpečení, které může vést k porušení důvěrnosti a dostupnosti.
| Přístup | Výhoda |
|---|---|
| Implementujte silné řízení přístupu, které ověřují a autorizují přístup k systému. Minimalizujte přístup na základě oprávnění, rozsahu a času. |
Nejnižší oprávnění. V závislosti na síle ovládacích prvků budete moct zabránit rizikům neschválené úpravy nebo je omezit. To pomáhá zajistit, aby data byla konzistentní a důvěryhodná. Minimalizace přístupu omezuje rozsah potenciálního poškození. |
| Nepřetržitě se chraňte před ohroženími zabezpečení a detekujte je ve vašem dodavatelském řetězci , abyste zabránili útočníkům vkládat softwarové chyby do vaší infrastruktury, sestavení systému, nástrojů, knihoven a dalších závislostí. Dodavatelský řetězec by měl během sestavení a za běhu kontrolovat ohrožení zabezpečení. |
Předpokládejme porušení zabezpečení. Znalost původu softwaru a ověření jeho pravosti během celého životního cyklu zajistí předvídatelnost. O chybách zabezpečení budete vědět s předstihem , abyste je mohli proaktivně opravovat a udržovat systém zabezpečený v produkčním prostředí. |
| Nastavte důvěryhodnost a ověřte pomocí kryptografických technik , jako je ověření identity, podepisování kódu, certifikáty a šifrování. Chraňte tyto mechanismy tím, že povolíte renomované dešifrování. |
Explicitně ověřte nejnižší oprávnění. Budete vědět, že změny dat nebo přístupu k systému jsou ověřeny důvěryhodným zdrojem. I když zašifrovaná data zachytí při přenosu aktér se zlými úmysly, aktér nebude moct obsah odemknout nebo dešifrovat. Pomocí digitálních podpisů můžete zajistit, aby s daty během přenosu nebylo manipulováno. |
| Ujistěte se, že zálohovaná data jsou neměnná a šifrovaná při replikaci nebo přenosu dat. | Explicitně to ověřte. Budete moct obnovit data s jistotou, že se zálohovaná data nechtěně nebo úmyslně nezměnila. |
| Vyhněte se nebo zmírněte implementaci systému, která umožňují fungování úloh nad rámec zamýšlených limitů a účelů. | Explicitně to ověřte. Pokud má váš systém silná bezpečnostní opatření, která kontrolují, jestli využití odpovídá zamýšleným limitům a účelům, zmenší se prostor pro potenciální zneužití nebo manipulaci s výpočetními prostředky, sítěmi a úložišti dat. |
Návrh pro ochranu dostupnosti
| Prevence nebo minimalizace výpadků a snížení výkonu systému a úloh v případě incidentu zabezpečení pomocí silných kontrolních mechanismů zabezpečení Během incidentu a po obnovení systému musíte zachovat integritu dat. |
|---|
Potřebujete vyvážit volby architektury dostupnosti s volbami architektury zabezpečení. Systém by měl mít záruky dostupnosti, aby uživatelé měli přístup k datům a aby data byla dostupná. Z hlediska zabezpečení by uživatelé měli pracovat v povoleném rozsahu přístupu a data musí být důvěryhodná. Kontrolní mechanismy zabezpečení by měly blokovat chybné aktéry, ale neměly by blokovat přístup legitimních uživatelů k systému a datům.
| Přístup | Výhoda |
|---|---|
| Zabránit zneužití přístupu ohroženým identitám, aby získaly kontrolu nad systémem. Zkontrolujte příliš prostupující rozsah a časové limity, abyste minimalizovali vystavení riziku. |
Nejnižší oprávnění. Tato strategie snižuje riziko nadměrného, zbytečného nebo zneužití přístupových oprávnění k důležitým prostředkům. Mezi rizika patří neoprávněné úpravy a dokonce i odstranění prostředků. Pokud je to možné, využít režimy zabezpečení za běhu poskytované platformou( JIT), just-enough-access (JEA) a režimy zabezpečení na základě času a nahradit tak stálá oprávnění, kdykoli je to možné. |
| Pomocí ovládacích prvků zabezpečení a vzorů návrhu můžete zabránit útokům a chybám kódu, které by způsobovaly vyčerpání prostředků a blokovaly přístup. | Explicitně to ověřte. Systém nezaznamená výpadek způsobený škodlivými akcemi, jako jsou útoky DDoS (Distributed Denial of Service). |
| Implementujte preventivní opatření pro vektory útoku, které zneužívají ohrožení zabezpečení v kódu aplikace, síťových protokolech, systémech identit, ochraně před malwarem a dalších oblastech. | Předpokládejme porušení zabezpečení. Implementujte skenery kódu, průběžně nainstalujte nejnovější opravy zabezpečení, aktualizujte software a chraňte svůj systém účinným antimalwarem. Budete moct omezit prostor pro útoky, abyste zajistili provozní kontinuitu. |
| Určete prioritu bezpečnostních prvků a toků v systému, které jsou náchylné k riziku. | Předpokládejme porušení,explicitně to ověřte. Pravidelná cvičení detekce a stanovení priorit vám můžou pomoct s využitím odborných znalostí zabezpečení na kritické aspekty systému. Budete se moct zaměřit na nejpravděpodobnější a nejškodlivější hrozby a zahájit zmírnění rizik v oblastech, které vyžadují největší pozornost. |
| V prostředcích a procesech obnovení použijte alespoň stejnou úroveň přísnosti zabezpečení jako v primárním prostředí, včetně bezpečnostních prvků a četnosti zálohování. | Předpokládejme porušení zabezpečení. Při zotavení po havárii byste měli mít k dispozici zachovaný bezpečný stav systému. Pokud to uděláte, můžete převzít služby při selhání do zabezpečeného sekundárního systému nebo umístění a obnovit zálohy, které nebudou představovat hrozbu. Dobře navržený proces může zabránit tomu, aby incident zabezpečení bránil procesu obnovení. Poškozená zálohovaná data nebo šifrovaná data, která nelze dešifrovat, můžou zpomalit obnovení. |
Udržování a rozvoj stavu zabezpečení
| Začleňte neustálé zlepšování a ostražitost, abyste měli náskok před útočníky, kteří neustále vyvíjejí své strategie útoku. |
|---|
Stav zabezpečení nesmí být v průběhu času degradován. Operace zabezpečení musíte neustále vylepšovat, aby se nové výpadky zpracovávaly efektivněji. Snažte se sladit vylepšení s fázemi definovanými oborovými standardy. To vede k lepší připravenosti, zkrácení doby detekce incidentů a efektivnímu omezování a zmírnění rizik. Neustálé zlepšování by mělo být založeno na zkušenostech získaných z minulých incidentů.
Je důležité změřit stav zabezpečení, vynucovat zásady pro zachování tohoto stavu a pravidelně ověřovat omezení zabezpečení a kompenzační kontroly, abyste mohli neustále zlepšovat stav zabezpečení tváří v tvář vyvíjejícím se hrozbám.
| Přístup | Výhoda |
|---|---|
| Vytvořte a udržujte komplexní inventář prostředků , který zahrnuje klasifikované informace o prostředcích, umístěních, závislostech, vlastnících a dalších metadatech, které jsou relevantní pro zabezpečení. Pokud je to možné, automatizujte inventář a odvozujte data ze systému. |
Dobře uspořádaný inventář poskytuje holistický pohled na prostředí, který vás staví do výhodné pozice vůči útočníkům, zejména během aktivit po incidentu. Vytváří také obchodní rytmus pro podporu komunikace, údržby důležitých komponent a vyřazování osamocených prostředků z provozu. |
| Proveďte modelování hrozeb , abyste identifikovali a zmírnili potenciální hrozby. | Budete mít sestavu vektorů útoku s prioritou podle jejich úrovně závažnosti. Budete schopni rychle identifikovat hrozby a ohrožení zabezpečení a nastavit protiopatření. |
| Pravidelně zachytávejte data pro kvantifikaci aktuálního stavu podle vašich zavedených standardních hodnot zabezpečení a nastavení priorit pro nápravu. Využijte funkce poskytované platformou pro správu stavu zabezpečení a vynucování dodržování předpisů vynucených externími a interními organizacemi. |
Potřebujete přesné sestavy, které přinesou srozumitelnost a konsensus v oblasti zaměření. Budete moci okamžitě provést technické nápravy, počínaje položkami s nejvyšší prioritou. Zjistíte také mezery, které poskytují příležitosti ke zlepšení. Implementace vynucování pomáhá předcházet porušením a regresím, což zachovává váš stav zabezpečení. |
| Spouštějte pravidelné testy zabezpečení , které provádějí odborníci mimo tým úloh, kteří se pokoušejí eticky napadnout systém. Proveďte rutinní a integrovanou kontrolu ohrožení zabezpečení , abyste zjistili zneužití v infrastruktuře, závislostech a kódu aplikace. |
Tyto testy umožňují ověřovat bezpečnostní ochranu simulací reálných útoků pomocí technik, jako je penetrační testování. Hrozby se dají zavádět jako součást správy změn. Integrace skenerů do kanálů nasazení umožňuje automaticky zjišťovat ohrožení zabezpečení a dokonce i jejich použití do karantény, dokud se tato ohrožení zabezpečení neodstraní. |
| Detekce, reakce a zotavení pomocí rychlých a efektivních operací zabezpečení | Hlavní výhodou tohoto přístupu je to, že vám umožňuje zachovat nebo obnovit bezpečnostní záruky triády CIA během útoku a po něm. Jakmile zjistíte hrozbu, musíte být upozorněni, abyste mohli zahájit šetření a provést příslušné akce. |
| Provádějte aktivity po incidentu , jako jsou analýzy původních příčin, následné zprávy a hlášení incidentů. | Tyto aktivity poskytují přehled o dopadu porušení zabezpečení a o opatřeních k řešení, což vede ke zlepšení obrany a operací. |
| Získejte aktuální a udržujte aktuální stav. Mějte aktuální informace o aktualizacích, opravách a opravách zabezpečení. Systém průběžně vyhodnocujte a vylepšujte na základě sestav auditu, srovnávacích testů a poznatků z testovacích aktivit. Podle potřeby zvažte automatizaci. Využijte analýzu hrozeb využívající analýzu zabezpečení k dynamické detekci hrozeb. V pravidelných intervalech zkontrolujte soulad úloh s osvědčenými postupy pro SDL (Security Development Lifecycle). |
Budete moct zajistit, aby se váš stav zabezpečení v průběhu času nezhoršil. Díky integraci zjištění z reálných útoků a testovacích aktivit budete moct bojovat s útočníky, kteří neustále vylepšují a využívají nové kategorie ohrožení zabezpečení. Automatizace opakujících se úloh snižuje riziko lidské chyby , která může vytvořit riziko. Kontroly SDL přinášejí přehled o funkcích zabezpečení. SDL vám může pomoct udržovat inventář prostředků úloh a jejich sestav zabezpečení, které zahrnují původ, využití, provozní nedostatky a další faktory. |
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro