Zásady správného řízení zabezpečení
Zásady správného řízení zabezpečení překlenují vaše obchodní priority s technickou implementací, jako je architektura, standardy a zásady. Týmy zásad správného řízení poskytují dohled a monitorování, které udržují a zlepšují stav zabezpečení v průběhu času. Tyto týmy také hlásí dodržování předpisů podle požadavků regulačních orgánů.
Obchodní cíle a rizika poskytují nejlepší směr pro zabezpečení. Tento směr zajišťuje, aby se zabezpečení zaměřilo na důležité záležitosti pro organizaci. Informuje také vlastníky rizik pomocí známého jazyka a procesů v rámci řízení rizik.
Další informace o zásadách správného řízení zabezpečení watch následujícím videu.
Dodržování předpisů a vytváření sestav
Dodržování předpisů a vytváření sestav externích požadavků na zabezpečení a někdy i interních zásad jsou základní požadované prvky fungování v daném odvětví. Povinné požadavky jsou jako krmení medvěda v zoo. Pokud medvěda nenakrmíte každý den, může vás sežrat.
Architektura a standardy
Architektura, standardy a zásady poskytují zásadní překlad z obchodních požadavků a rizik do technického prostředí. Místo rozdělení cloudu a místního prostředí doporučujeme mít jednotné zobrazení v rámci podnikového majetku. Útočníkům nezáleží na vašich interních procesech a jdou cestou nejmenšího odporu k jejich cíli. To zahrnuje laterálně přesun mezi cloudovým a místním prostředím. Většina dnešních podniků je hybridním prostředím, které zahrnuje:
- Místní: Zahrnuje několik generací technologií a často značné množství staršího softwaru a hardwaru. Tato technologie někdy zahrnuje provozní technologie řízení fyzických systémů s potenciálním dopadem na život nebo bezpečnost.
- Mraky: Obvykle zahrnuje více zprostředkovatelů pro:
- Software jako služba (SaaS)
- Infrastruktura jako služba (IaaS)
- Platforma jako služba (PaaS)
Správa stavu zabezpečení
Naděje a hlášení problémů není plán. Zásady správného řízení v cloudovém věku musí mít aktivní komponentu, která nepřetržitě spolupracuje s ostatními týmy. Správa stavu zabezpečení je vznikající funkce. Představuje krok vpřed v dlouhodobé konvergenci funkcí zabezpečení. Tyto funkce odpovídají na otázku "jak zabezpečené je prostředí?", včetně správy ohrožení zabezpečení a generování sestav dodržování předpisů zabezpečení.
V místním světě se zásady správného řízení zabezpečení řídily četností dat, která by mohla získat o prostředí. Tento způsob získávání dat může nějakou dobu trvat a být neustále zastaralý. Cloudová technologie teď poskytuje na vyžádání přehled o aktuálním stavu zabezpečení a pokrytí prostředků. Tato viditelnost vede k zásadní transformaci zásad správného řízení na dynamičtější organizaci. Tato organizace poskytuje užší vztah s dalšími bezpečnostními týmy, aby mohla monitorovat standardy zabezpečení, poskytovat pokyny a vylepšovat procesy.
V ideálním stavu je základem neustálého zlepšování zásady správného řízení. Toto vylepšení zapojuje celou organizaci do neustálého zlepšování stavu zabezpečení.
Hlavní principy úspěchu zásad správného řízení jsou:
- Průběžné zjišťování prostředků a typů prostředků: Statický inventář není v dynamickém cloudovém prostředí možný. Vaše organizace se musí zaměřit na průběžné zjišťování prostředků a typů prostředků. V cloudu se pravidelně přidávají nové typy služeb. Vlastníci úloh dynamicky zužují a vypíšují instance aplikací a služeb podle potřeby, takže správa inventáře je dynamickou disciplínou. Týmy zásad správného řízení musí průběžně zjišťovat typy prostředků a instance, aby udržely krok s tímto tempem změn.
- Průběžné zlepšování stavu zabezpečení prostředků: Týmy zásad správného řízení by se měly zaměřit na vylepšování standardů a jejich vynucování, aby udržely krok s cloudem a útočníky. Organizace v oblasti informačních technologií (IT) musí rychle reagovat na nové hrozby a odpovídajícím způsobem se přizpůsobit. Útočníci neustále vyvíjejí své techniky a obrana se neustále zlepšuje a může být potřeba ji povolit. Do počáteční konfigurace nemůžete vždy získat veškeré zabezpečení, které potřebujete.
- Zásady správného řízení: Toto zásady správného řízení zajišťují konzistentní provádění tím, že jednou opraví něco v zásadách, které se automaticky použijí ve velkém napříč prostředky. Tento proces omezuje veškerý vynaložený čas a úsilí u opakovaných ručních úloh. Často se implementuje pomocí rozhraní pro automatizaci zásad Azure Policy nebo třetích stran.
V zájmu zachování flexibility jsou pokyny k osvědčeným postupům často iterativní. Shromažďuje malé části informací z více zdrojů, aby vytvořil celý obrázek a průběžně dělá malé úpravy.
Disciplíny zásad správného řízení a ochrany
Mezi disciplíny ochrany patří řízení přístupu, ochrana prostředků a zabezpečení inovací. Tým zásad správného řízení zabezpečení poskytuje standardy a pokyny pro zajištění konzistentního provádění osvědčených postupů a kontrol zabezpečení.
V ideálním stavu používají tyto ovládací prvky týmy ochrany a poskytují zpětnou vazbu k tomu, co funguje, jako jsou výzvy při používání ovládacích prvků. Týmy pak spolupracují na identifikaci nejlepších řešení.
Operace zásad správného řízení a zabezpečení
Zásady správného řízení zabezpečení a operace zabezpečení společně poskytují kompletní přehled. Zajišťují, aby poznatky získané z incidentů z reálného světa byly integrovány do architektury, standardů a zásad.
Operace zásad správného řízení a zabezpečení poskytují doplňkové typy viditelnosti.
- Operace zabezpečení poskytují přehled o bezprostředním riziku aktivních útoků.
- Zásady správného řízení zabezpečení poskytují široký nebo dlouhý pohled na rizika z potenciálních budoucích útoků a vektorů útoků.
Architekti zabezpečení v rámci funkce zásad správného řízení pomáhají identifikovat poznatky získané z incidentů. Například původní příčina závažných incidentů. Zaznamenají poznatky do standardů vaší organizace, aby zajistily konzistentní aplikaci v celém podniku.
Další informace najdete v tématu Integrace zabezpečení.
Poznámka
Některé organizace monitorují stav zabezpečení v operacích zabezpečení. Toto monitorování doporučujeme mít v zásadách správného řízení. Toto umístění vytvoří lepší vztah s technickými a provozními týmy IT, které používají standardy. Tento vztah často vede ke zvýšení kvality komunikace a lepším výsledkům zabezpečení. Jinak máte tým zásad správného řízení, který nikdy neuvidí skutečný dopad svých standardů na svět.
Další kroky
Další disciplínou je zabezpečení inovací.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro