Řízení antipatternů
Zákazníci často narazíte na antipatterny během fáze řízení přechodu na cloud. Když potřebujete čas pochopit sdílené odpovědnosti, můžete se těmto antipatternům vyhnout, stejně jako vytváření vlastní strategie zabezpečení v existujících architekturách.
Antipattern: Nepochopení sdílených odpovědností
Když cloud přijmete, není vždy jasné, kde vaše odpovědnost končí, a odpovědnost poskytovatele cloudu začíná v souvislosti s různými modely služeb. Cloudové dovednosti a znalosti se vyžadují k vytváření procesů a postupů souvisejících s pracovními položkami, které používají modely služeb.
Příklad: Předpokládejme, že poskytovatel cloudu spravuje aktualizace.
Členové oddělení lidských zdrojů společnosti nastavují mnoho serverů s Windows v cloudu pomocí infrastruktury jako služby (IaaS). Předpokládá, že poskytovatel cloudu spravuje aktualizace, protože místní IT obvykle zpracovává instalaci aktualizací. Personální oddělení nenakonfiguruje aktualizace, protože neví, že Azure ve výchozím nastavení nenasazuje a nenainstaluje aktualizace operačního systému. Výsledkem je, že servery nedodržují předpisy a představují bezpečnostní riziko.
Upřednostňovaný výsledek: Vytvoření plánu připravenosti
Seznamte se se sdílenou odpovědností v cloudu. Sestavte a vytvořte plán připravenosti. Plán připravenosti může vytvořit trvalý růst pro výuku a rozvoj odborných znalostí.
Antipattern: Předpokládejme, že předefinovaná řešení poskytují zabezpečení
Společnosti často vnímají zabezpečení jako dané v cloudu. I když je tento předpoklad obvykle správný, většina prostředí musí také dodržovat požadavky na architekturu dodržování předpisů, které se můžou lišit od požadavků na zabezpečení. Azure poskytuje základní zabezpečení a Azure Portal může poskytovat pokročilejší zabezpečení prostřednictvím Microsoft Defenderu pro cloud. Vynucení dodržování předpisů a standardu zabezpečení ale při vytváření předplatného není předplacené.
Příklad: Zanedbávání zabezpečení cloudu
Společnost vyvíjí novou aplikaci v cloudu. Vybírá architekturu založenou na mnoha službách PaaS (Platforma jako služba) a některé komponenty IaaS pro účely ladění. Po uvolnění aplikace do produkčního prostředí společnost zjistí, že došlo k ohrožení jednoho ze svých jump serverů a extrahování dat na neznámou IP adresu. Společnost zjistí, že problém je veřejná IP adresa jump serveru a heslo, které se dá snadno odhadnout. Společnost by se této situaci mohla vyhnout, pokud se více zaměřila na zabezpečení cloudu.
Upřednostňovaný výsledek: Definování strategie cloudového zabezpečení
Definujte správnou strategii zabezpečení cloudu. Další informace najdete v průvodci připraveností na cloud CISO a v tomto průvodci se obraťte na svého hlavního pracovníka pro zabezpečení informací . Popisuje témata, jako jsou prostředky platformy zabezpečení, ochrana osobních údajů a kontroly, dodržování předpisů a transparentnost.
Přečtěte si o zabezpečených cloudových úlohách v srovnávacím testu zabezpečení Azure. Stavět na CIS Controls v7.1 z Center for Internet Security, spolu s NIST SP800-53 z National Institute of Standards and Technology, která řeší většinu bezpečnostních rizik a opatření.
Pomocí Programu Microsoft Defender for Cloud můžete identifikovat rizika, přizpůsobit osvědčené postupy a zlepšit stav zabezpečení vaší společnosti.
Implementovat nebo podporovat požadavky na dodržování předpisů a zabezpečení specifické pro společnost pomocí Azure Policy a Azure Blueprints.
Antipattern: Použití vlastní architektury dodržování předpisů nebo zásad správného řízení
Zavedení vlastní architektury dodržování předpisů a zásad správného řízení, které není založené na oborových standardech, může výrazně zvýšit dobu přechodu na cloud, protože může být obtížné přeložit vlastní architekturu na nastavení cloudu. Tento scénář může zvýšit úsilí potřebné k překladu vlastních měr a požadavků do implementovatelných kontrolních mechanismů zabezpečení. Většina společností musí splňovat podobné sady požadavků na zabezpečení a dodržování předpisů. V důsledku toho se většina vlastních architektur dodržování předpisů a zabezpečení liší pouze mírně od aktuálních architektur dodržování předpisů. Společnosti s dalšími požadavky na zabezpečení můžou zvážit vytváření nových architektur.
Příklad: Použití vlastní architektury zabezpečení
CISO společnosti přiřazuje zaměstnancům zabezpečení IT úkol přijít se strategií a architekturou cloudového zabezpečení. Místo toho, aby bylo možné stavět na oborových standardech, vytvoří oddělení zabezpečení IT novou architekturu, která vychází z aktuálních místních zásad zabezpečení. Po dokončení zásad zabezpečení cloudu mají týmy AppOps a DevOps potíže s implementací zásad zabezpečení cloudu.
Azure nabízí komplexnější strukturu zabezpečení a dodržování předpisů, která se liší od vlastní architektury společnosti. Tým CISO si myslí, že kontrolní mechanismy Azure nejsou kompatibilní s vlastními pravidly dodržování předpisů a zabezpečení. Pokud by jeho rámec byl založen na standardizovaných kontrolách, nemělo by k tomu dojít.
Upřednostňovaný výsledek: Spoléhání na existující architektury
Před vytvořením nebo zavedením vlastního rámce dodržování předpisů společnosti použijte nebo sestavte na existujících architekturách, jako jsou kontroly CIS v7.1 nebo NIST SP800-53. Stávající architektury usnadňují přechod na nastavení zabezpečení cloudu a usnadňují měřitelnost. Další implementace architektury najdete na stránce ukázek Azure Blueprints. Podrobné plány pro běžné architektury dodržování předpisů jsou také k dispozici pro Azure.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro