Definování strategie zabezpečeníDefine a security strategy

Konečné cíle pro organizaci zabezpečení se nemění s přijetím cloudových služeb, ale jak se tyto cíle dosáhnou, změny se projeví.The ultimate objectives for a security organization don't change with adoption of cloud services, but how those objectives are achieved will change. Týmy zabezpečení se musí stále soustředit na snížení podnikového rizika před útoky a práci, aby se zapracovaly záruky týkající se důvěrnosti, integrity a dostupnosti, které jsou integrované do všech informačních systémů a dat.Security teams must still focus on reducing business risk from attacks and work to get confidentiality, integrity, and availability assurances built into all information systems and data.

Modernizovat své strategie zabezpečeníModernize your security strategy

Týmy zabezpečení musí modernizovat strategie, architektury a technologie, protože organizace přijímá Cloud a pracuje v průběhu času.Security teams need to modernize strategies, architectures, and technology as the organization adopts cloud and operates it over time. I když se velikost a počet změn zpočátku zobrazí jako těžké, modernizace programu zabezpečení umožňuje uvolnit některé bolestivý břemeny spojené se staršími přístupy.While the size and number of changes can initially seem daunting, the modernization of the security program allows security to shed some painful burdens associated with legacy approaches. Organizace může dočasně pracovat se staršími strategiemi a nástroji, ale tento přístup se obtížně udržuje s tempem změny v cloudu a v prostředí hrozeb:An organization may temporarily operate with legacy strategy and tooling, but this approach is difficult to sustain with the pace of change in cloud and the threat environment:

  • Týmy zabezpečení se pravděpodobně budou zacházet z rozhodnutí o přijetí do cloudu, pokud převezmou starší místo zabezpečení "zbraně-Length", kde odpověď vždy začíná "ne" (nepracuje společně s IT a obchodními týmy, aby při povolování obchodu omezila riziko).Security teams are likely to be left out of cloud adoption decision making if they take a legacy mindset of "arms-length" security where the answer always starts with "no" (instead of working together with IT and business teams to reduce risk while enabling the business).
  • Týmy zabezpečení budou mít obtížné detekci a obranu proti útokům na Cloud, pokud používají jenom starší místní nástroje a výhradně v rámci hraniční sítě jenom Doctrine pro všechny obrany a monitorování.Security teams will have a difficult time detecting and defending against cloud attacks if they use only legacy on-premises tooling and exclusively adhere to network perimeter only doctrine for all defenses and monitoring. Ochrana v cloudovém měřítku vyžaduje použití cloudových možností zjišťování a automatizace a zavedení hraničního obvodu, které vám pomůžou monitorovat a chránit cloudové a mobilní prostředky.Defending at cloud scale mandates the use of cloud native detection and automation capabilities and the introduction of an identity perimeter to help monitor and protect cloud and mobile assets.

Vzhledem k tomu, že tato transformace může být významná, doporučujeme, aby týmy zabezpečení přijaly agilní přístup k modernizaci zabezpečení, které rychle modernizes nejdůležitější aspekty strategie a pak nepřetržitě vylepšit postupně.Because this transformation can be significant, we recommend that security teams take an agile approach to modernizing security that rapidly modernizes the most critical aspects of the strategy and then continuously improve incrementally afterwards.

Zabezpečení cloudu a clouduSecurity of the cloud and from the cloud

Jak vaše organizace přijímá cloudové služby, týmy zabezpečení budou fungovat směrem k dvěma hlavním cílům:As your organization adopts cloud services, security teams will be working towards two main objectives:

  • Zabezpečení * * cloudu (zabezpečení prostředků v cloudu): zabezpečení by se mělo integrovat do plánování a provozu cloudových služeb, aby se zajistilo, že se tyto základní záruky zabezpečení konzistentně použijí napříč všemi prostředky.Security *of* the cloud (securing cloud resources): Security should be integrated into the planning and operation of cloud services to ensure that those core security assurances are consistently applied across all resources.
  • Zabezpečení * z * cloudu (použití cloudu k transformaci zabezpečení): zabezpečení by mělo hned začít plánovat a přemýšlet o používání cloudových technologií k modernizovat nástrojů a procesů zabezpečení, zejména nativně integrovaných nástrojů zabezpečení.Security *from* the cloud (using the cloud to transform security): Security should immediately start planning and thinking about how to use cloud technologies to modernize security tools and processes, particularly natively integrated security tools. Nástroje zabezpečení jsou stále větší, jsou hostovány v cloudu a poskytují funkce, které jsou obtížné nebo nemožné provádět v místním prostředí.Increasingly, security tools are being hosted in the cloud and providing capabilities that are difficult or impossible to do in an on-premises environment.

Mnoho organizací začíná tím, že považuje cloudové prostředky za jiné virtuální datové centrum, což je efektivní počáteční bod pro zabezpečení cloudu.Many organizations start by treating cloud resources as another virtual datacenter, an effective starting point for security of the cloud. V případě, že organizace modernizovat používání zabezpečení z cloudu, většina z nich rychle zjistí, jak si tento model myslíme.As organizations modernize using security from the cloud, most will find themselves quickly outgrowing this model of thinking. Zabezpečení softwarově definovaného datového centra pomocí nástrojů hostovaných v cloudu umožňuje využívat možnosti nad rámec toho, co můžou místní modely nabízet:Securing a software-defined datacenter using cloud-hosted tools enables capabilities beyond what on-premises models can offer:

  • Rychlé povolení a škálování možností zabezpečení.Rapid enablement and scaling of security capabilities.
  • Vysoce efektivní inventář prostředků a zjišťování hygieny konfigurace zabezpečení.Highly effective asset inventory and security configuration hygiene discovery.
  • Průběžné hodnocení bezpečnostních stav a ovládacích prvků organizace.Continuous assessment of the organization's security posture and controls.
  • Vylepšili jsme detekci hrozeb, která využívá rozsáhlé úložiště pro analýzy hrozeb a skoro neomezené možnosti pro zpracování a ukládání v cloudu.Vastly improved threat detection that uses vast repositories of threat intelligence and the nearly unlimited processing and storage capabilities of the cloud.

Pravá úroveň bezpečnostního třeníThe right level of security friction

Zabezpečení přirozeně vytváří tření, které zpomaluje procesy, je důležité určit, které prvky jsou v dobrém stavu v DevOps a procesy a které nejsou:Security naturally creates friction that slows down processes, it is critical to identifying which elements are healthy in your DevOps and IT processes and which are not:

  • Bezproblémový tření: Podobně jako odolnost v cvičení způsobuje silnější svalovou tkáň a integruje správnou úroveň bezpečnostního tření k posílení systému nebo aplikace tím, že vynucuje kritické úvahy ve správný čas.Healthy friction: Much like the resistance in exercise makes a muscle stronger, integrating the right level of security friction strengthens the system or application by forcing critical thinking at the right time. Obvykle se postará o to, jak a proč by se útočník mohl pokusit napadnout aplikace nebo systém během návrhu, a zkontrolovat, identifikovat a ideálně opravit potenciální ohrožení zabezpečení, které útočník může zneužít v kódu softwaru, konfiguracích nebo provozních postupech.This typically takes the form of considering how and why an attacker may try to compromise an application or system during design, and reviewing, identifying, and ideally fixing potential vulnerabilities an attacker can exploit in software code, configurations, or operational practices.
  • Špatné tření: Brání větší hodnotě, než chrání.Unhealthy friction: Impedes more value than it protects. K tomu často dochází v případě, že chyby zabezpečení generované nástroji mají vysokou falešnou kladnou míru (například falešná znamení) nebo když úsilí zjistit nebo opravit problémy se zabezpečením v mnohem větším dopad útoku.This often happens when security bugs generated by tools have a high false positive rate (such as false alarms) or when the effort to discover or fix security issues far exceeds the potential impact of an attack.

Samostatná a integrovaná odpovědnostStandalone and integrated responsibilities

Poskytování důvěrnosti, integrity a záruky dostupnosti vyžaduje, aby odborníci na zabezpečení pracovali s využitím vyhrazených funkcí zabezpečení a úzce spolupracovali s ostatními týmy v organizaci:Providing confidentiality, integrity, and availability assurances requires security experts to operate dedicated security functions and work closely with other teams in the organization:

  • Jedinečné funkce zabezpečení: Týmy zabezpečení provádějí nezávislé funkce, které se nenašly jinde v organizaci, jako jsou například operace zabezpečení, Správa ohrožení zabezpečení a další funkce.Unique security functions: Security teams perform independent functions that are not found elsewhere in the organization, such as security operations, vulnerability management, and other functions.
  • Integrace zabezpečení do dalších funkcí: Týmy zabezpečení také slouží jako odborníci na danou problematiku pro jiné týmy a funkce v organizaci, která řídí obchodní iniciativy, vyhodnocování rizik, navrhování a vývoji aplikací a operačních systémů IT.Integrating security into other functions: Security teams also serve as subject matter experts to other teams and functions in the organization who are driving business initiatives, assessing risk, designing or developing applications, and operating IT systems. Týmy zabezpečení informují tyto týmy o odbornosti a kontextu u útočníků, metod útoku a trendech, ohrožení zabezpečení, která by mohla umožnit neoprávněný přístup a možnosti pro zmírňující kroky nebo řešení a jejich potenciální výhody nebo nástrah.Security teams advise these teams with expertise and context on attackers, attack methods and trends, vulnerabilities that could allow unauthorized access, and options for mitigation steps or workarounds and their potential benefits or pitfalls. Tato funkce zabezpečení se podobá funkci kvality, protože se bude protkané na mnoho velkých a malých v podpoře jednoho výsledku.This function of security resembles that of a quality function as it will be woven into many places large and small in support of a single outcome.

Provádění těchto odpovědností při zachování rychlého tempa změny v cloudu a transformace firmy vyžaduje, aby týmy zabezpečení modernizovat své nástroje, technologie a procesy.Executing on these responsibilities while keeping up with the rapid pace of change in the cloud and the transformation of business requires security teams to modernize their tools, technologies, and processes.

Transformace, mindsets a očekáváníTransformations, mindsets, and expectations

Mnoho organizací spravuje v organizaci řetěz několika současných transformací.Many organizations are managing a chain of multiple simultaneous transformations in the organization. Tyto interní transformace se většinou spouštějí, protože téměř všechny externí trhy se transformují tak, aby splňovaly nové předvolby pro zákazníky pro mobilní a cloudové technologie.These internal transformations typically start because nearly all external markets are transforming to meet new customer preferences for mobile and cloud technologies. Organizace často čelí konkurenční hrozbě pro nové spouštění a digitální transformaci tradičních soutěžitelů, kteří můžou narušovat trh.Organizations often face the competitive threat of new startups and the digital transformation of traditional competitors who can disrupt the market.

Řetěz více simultánních transformací v organizaci

Interní proces transformace obvykle zahrnuje:The internal transformation process typically includes:

  • Digitální transformace firmy za účelem zachycení nových příležitostí a udržení konkurenčních aplikací s digitálními nativními spouštěními.Digital transformation of the business to capture new opportunities and stay competitive against digital native startups.
  • Transformace technologie IT organizace, která podporuje iniciativu s využitím cloudových služeb, moderních postupů pro vývoj a souvisejících změn.Technology transformation of the IT organization to support the initiative with cloud services, modernized development practices, and related changes.
  • Transformaci zabezpečení můžete přizpůsobovat do cloudu a současně řešit stále sofistikované prostředí hrozeb.Security transformation to both adapt to the cloud and simultaneously address an increasingly sophisticated threat environment.

Vnitřní konflikt může být nákladný.Internal conflict can be costly

Změna vytvoří zátěž a konflikt, který může grind rozhodování o zastavení.Change creates stress and conflict, which can grind decision making to a halt. To platí zejména v souvislosti s tím, že je pro odborníky na danou problematiku (bezpečnostní týmy) často nesprávně nahlášeno zodpovědnost za bezpečnostní riziko, nikoli pro vlastníky prostředků (vlastníky obchodních vlastníků), které jsou pro obchodní výsledky a všechny ostatní typy rizik.This is especially true in security where accountability for security risk is often misplaced on the subject matter experts (security teams), rather than on the owners of the assets (business owners) that are accountable for business outcomes and all other risk types. K tomuto nesprávnému chování dochází často, protože všichni účastníci nemuseli vyřešit zabezpečení jako technického nebo absolutního problému, nejedná se o dynamické nepřetržité riziko, jako je podniková Espionage a další tradiční trestná činnost.This misplaced accountability often happens because all stakeholders incorrectly view security as a technical or absolute problem to be solved, rather than a dynamic ongoing risk like corporate espionage and other traditional criminal activities.

Během této doby transformace musí mít vedení všech týmů aktivně fungovat, aby se snížil konflikt, který může derail důležité projekty i týmy incentivize a obejít tak zmírnění rizik zabezpečení.During this time of transformation, leadership of all teams must work actively to reduce conflict that can both derail critical projects and incentivize teams to bypass security risk mitigation. Internecine konfliktů mezi týmy může mít za následek:Internecine conflict between teams can result in:

  • Zvýšené bezpečnostní riziko, jako jsou neřešitelné incidenty zabezpečení nebo zvýšené bezpečnostní škody před útoky (zejména když týmy dostanou frustrovaní pomocí zabezpečení a obejít normální procesy nebo když jsou zastaralé bezpečnostní přístupy snadno obcházeni útočníky).Increased security risk such as avoidable security incidents or increased business damage from attacks (particularly when teams get frustrated by security and bypass normal processes or when outdated security approaches are easily bypassed by attackers).
  • Negativní dopad na firmu nebo misi , například když obchodní procesy nejsou povoleny nebo aktualizovány dostatečně rychle, aby splňovaly potřeby trhu (často když procesy zabezpečení drží klíčové obchodní iniciativy).Negative impact on the business or mission such as when business processes aren't enabled or updated fast enough to meet market needs (often when security processes hold up key business initiatives).

Je velmi důležité, abyste si udrželi přehled o stavu vztahů v rámci a mezi týmy, které jim pomůžou přejít na pohybovou oblast, která by mohla mít nezabezpečený a neuhrazené cenné členy týmu.It's critical to stay aware of relationship health within and between teams to help them navigate the shifting landscape that could leave valuable team members insecure and unsettled. Trpělivost, soucit a vzdělávání na těchto mindsets a pozitivní potenciál v budoucnu vám pomůžou vašim týmům lépe přejít k této době, což vede k dobrým výsledkům zabezpečení pro organizaci.Patience, empathy, and education on these mindsets and the positive potential of the future will help your teams better navigate this period, driving good security outcomes for the organization.

Vedoucí mohou přispět ke změnám jazykové verze pomocí konkrétních proaktivních kroků, jako jsou:Leaders can help drive culture changes with concrete proactive steps like:

  • Veřejně se modeluje chování, které očekávají jejich týmy.Publicly modeling the behavior they expect of their teams.
  • Transparentní informace o problémech se změnami, včetně zvýraznění jejich vlastních potýká pro přizpůsobení.Being transparent about the challenges of the changes, including highlighting their own struggles to adapt.
  • Pravidelně se připomínáte tým naléhavosti a důležitosti modernizaci a integraci zabezpečení.Regularly reminding teams of the urgency and importance of modernizing and integrating security.

Odolnost kyberbezpečnostiCybersecurity resilience

Mnohé z klasických strategií zabezpečení se zaměřily výhradně na prevenci útoků, což je nedostatečné pro moderní hrozby.Many classic security strategies have been focused solely on preventing attacks, an approach that is insufficient for modern threats. Týmy zabezpečení musí zajistit, aby jejich strategie překročila rámec této možnosti, a také umožní rychlé zjišťování, reakci a obnovení, aby se zvýšila odolnost.Security teams must ensure their strategy goes beyond this and also enables rapid attack detection, response, and recovery to increase resilience. Organizace musí předpokládat, že útočníci budou narušit některé prostředky (někdy se jim říká porušení) a pracují, aby se zajistilo, že se prostředky a technické návrhy budou vyrovnávat mezi útoky prevence a útoku před útoky (nikoli s běžným výchozím přístupem, který se pokouší zabránit útokům).Organizations must assume that attackers will compromise some resources (sometimes called assume breach) and work to ensure that resources and technical designs are balanced between attack prevention and attack management (rather than the typical default approach of only attempting to prevent attacks).

Mnoho organizací už na této cestě je, protože spravovaly stabilní nárůst objemu a sofistikovanější útoků za poslední rok.Many organizations are already on this journey because they have been managing the steady rise in volume and sophistication of attacks in recent years. Tato cesta často začíná prvním významným incidentem, což může být emocionálníchá událost, kde lidé ztratí předchozí představu o ohrožení zabezpečení a bezpečnosti.This journey often starts with the first major incident, which can be an emotional event where people lose their prior sense of invulnerability and safety. I když se nejedná o závažnou dobu výpadku, může tato událost aktivovat podobné emocey, které začínají odmítnutím a nakonec končí přijetí.While not as severe as a loss of life, this event can trigger similar emotions starting with denial and ultimately ending in acceptance. Tento předpoklad "selhání" může být pro některé přijmout obtížně, ale má silný podíl na dobře zavedený technický princip "bezpečného selhání" a předpoklad umožňuje týmům soustředit se na lepší definici úspěchu: odolnost.This assumption of "failure" may be difficult for some to accept at first, but it has strong parallels to the well-established "fail-safe" engineering principle and the assumption allows your teams to focus on a better definition of success: resilience.

Funkce architektury NIST kyberbezpečnosti slouží jako užitečné vodítko pro vyrovnávání investic mezi doplňkovými aktivitami identifikace, ochrany, detekce, reakce a obnovení v odolné strategii.The functions of the NIST cybersecurity framework serve as a useful guide on how to balance investments between the complementary activities of identify, protect, detect, respond, and recover in a resilient strategy.

Další informace o odolnosti kyberbezpečnosti a konečné cíle ovládacích prvků kyberbezpečnosti jsou popsány v tématu jak zajistit, aby vaše organizace mohla snížit riziko.More on cybersecurity resilience and the ultimate goals of cybersecurity controls is discussed in How do you keep your organization's risk down.

Jak Cloud mění zabezpečeníHow the cloud is changing security

Přesun do cloudu z důvodu zabezpečení je větší než jednoduchá změna technologie. je to modulový posun v podobají technologie pro přechod z sálových počítačů na stolní počítače a na podnikové servery.Shifting to the cloud for security is more than a simple technology change, it is a generational shift in technology akin to moving from mainframes to desktops and onto enterprise servers. Úspěšné navigace v této změně vyžaduje základní posuny v očekáváních a místo podle bezpečnostních týmů.Successfully navigating this change requires fundamental shifts in expectations and mindset by security teams. Přijetí správného mindsets a očekávání omezí v rámci vaší organizace konflikt a zvýší efektivitu bezpečnostních týmů.Adopting the right mindsets and expectations will reduce conflict within your organization and increase the effectiveness of security teams.

I když to může být součástí jakéhokoli plánu modernizace zabezpečení, rychlé tempo změny v cloudu zajišťuje jejich naléhavou prioritu.While these could be part of any security modernization plan, the rapid pace of change in the cloud makes adopting them an urgent priority.

  • Partnerství se sdílenými cíli.Partnership with shared goals. V tomto stáří rychlých rozhodnutí a vývoji konstantních procesů už zabezpečení nemůže přijmout přístup k zárukou, aby bylo možné schvalovat nebo odmítat změny prostředí.In this age of fast paced decisions and constant process evolution, security can no longer adopt an "arms-length" approach to approving or denying changes to the environment. Týmy zabezpečení musí úzce spolupracovat s podniky a týmy IT, aby navázaly sdílené cíle týkající se produktivity, spolehlivosti a zabezpečení a spolupracovali s těmito partnery, aby je mohli dosáhnout.Security teams must partner closely with business and IT teams to establish shared goals around productivity, reliability, and security and work collectively with those partners to achieve them.

    Toto partnerství je skutečným tvarem "Shift Left" – — principem integrace zabezpečení dříve v procesech, aby bylo řešení potíží se zabezpečením jednodušší a efektivnější.This partnership is the ultimate form of "shift left"—the principle of integrating security earlier in the processes to make fixing security issues easier and more effective. To vyžaduje změnu jazykové verze všemi zúčastněnými (zabezpečením, firmou a IT), které vyžadují, aby se jednotlivé jazykové verze a normy jiných skupin a současně seznámily s ostatními.This requires a culture change by all involved (security, business, and IT), requiring each to learn the culture and norms of other groups while simultaneously teaching others about their own.

    Týmy zabezpečení musí:Security teams must:

    • Seznamte se s obchodními a cílovými cíli a proč jsou jednotlivé důležité a jak je uvažujete o jejich dosahování při jejich transformaci.Learn the business and IT objectives and why each is important and how they are thinking about achieving them as they transform.
    • Sdílejte , proč je důležité zabezpečení v souvislosti s těmito obchodními cíli a riziky, které ostatní týmy můžou dělat pro splnění cílů zabezpečení a jak by to mělo dělat.Share why security is important in the context of those business goals and risks, what other teams can do to meet security goals, and how they should do it.

    Nejedná se ale o snadný úkol, který je nezbytný pro udržení zabezpečení organizace a jejích prostředků.While not an easy task, it is essential for sustainably securing the organization and its assets. Toto partnerství bude pravděpodobně mít za následek narušení v pořádku, pokud je možné nejprve splnit pouze minimální cíle zabezpečení, podnikání a spolehlivosti, ale postupně se zlepší nepřetržitě v průběhu času.This partnership will likely result in healthy compromises where only the minimum security, business, and reliability goals may be met initially, but incrementally improve steadily over time.

  • Zabezpečení je průběžné riziko, nikoli problém.Security is an ongoing risk, not a problem. Nemůžete "řešit" trestný činnost.You can't "solve" crime. Zabezpečení je v podstatě jenom pro obor řízení rizik, který se zaměřuje na škodlivé akce, a ne na přirozené události.At its core, security is just a risk management discipline, which happens to be focused on malicious actions by humans rather than natural events. Stejně jako u všech rizik není zabezpečení problém, který může být vyřešen řešením, je kombinací pravděpodobnosti a dopadu škod z negativní události na útok.Like all risks, security is not a problem that can be fixed by a solution, it is a combination of the likelihood and impact of damage from a negative event, an attack. Je porovnatelný z tradičních podnikových Espionage a trestních aktivit, kde organizace čelí motivům, které mají finanční pobídku k úspěšnému útoku na organizaci.It is most comparable to traditional corporate espionage and criminal activities where organizations face motivated human attackers who have financial incentive to successfully attack the organization.

  • Úspěšnost v buď produktivitě, nebo zabezpečení vyžaduje obojí.Success in either productivity or security requires both. Organizace se musí soustředit na zabezpečení i produktivitu v dnešním "inovačním" nebo nepodstatných prostředích.An organization must focus on both security and productivity in today's "innovation or become irrelevant" environment. Pokud organizace neproduktivní a neprovádí nové inovace, může dojít ke ztrátě konkurenceschopnosti na webu Marketplace, která způsobí, že se finančně nebo nakonec nezdaří.If the organization is not productive and driving new innovation, it may lose competitiveness in the marketplace that causes it to weaken financially or eventually fail. Pokud organizace není zabezpečená a ztratí kontrolu nad prostředky pro útočníky, může dojít ke ztrátě konkurenceschopnosti na webu Marketplace, která způsobí, že by se finančně oslabilo a nakonec nezdařila.If the organization is not secure and loses control of assets to attackers, it may lose competitiveness in the marketplace that causes it to weaken financially and eventually fail.

  • Nikdo nepředstavuje dokonalý.Nobody's perfect. Žádná organizace není ideální ani při současném přijetí cloudu, ne i Microsoftu.No organization is perfect at adopting the cloud, not even Microsoft. Týmy IT a zabezpečení společnosti Microsoft se GrApple s mnoha stejnými výzvami, které naši zákazníci potřebují, jako je třeba zjistit, jak dobře strukturovat programy a vyrovnávat podporu starších verzí softwaru s podporou inovací na špičkovou hranici a dokonce i s technologickými nedostatky cloudových služeb.Microsoft's IT and security teams grapple with many of the same challenges that our customers do such as figuring out how to structure programs well, balancing supporting legacy software with supporting cutting edge innovation, and even technology gaps in cloud services. Vzhledem k tomu, že se tyto týmy seznámí s tím, jak lépe provozovat a zabezpečovat Cloud, aktivně sdílejí své lekce získané prostřednictvím podobných dokumentů spolu s ostatními na webu prezentující ITa neustále poskytují zpětnou vazbu našim technickým týmům a dodavatelům třetích stran, aby vylepšili své nabídky.As these teams learn how to better operate and secure the cloud, they are actively sharing their lessons learned via documents like this along with others on the IT showcase site, while continuously providing feedback to our engineering teams and third-party vendors to improve their offerings.

    Na základě našeho prostředí doporučujeme, aby týmy probíhaly na standard průběžného učení a vylepšení, a ne na standardu dokonalého.Based on our experience, we recommend that teams are held to a standard of continuous learning and improvement rather than a standard of perfection.

  • Příležitost v transformaci.Opportunity in transformation. Je důležité zobrazit digitální transformaci jako kladnou příležitost pro zabezpečení.It's important to view digital transformation as a positive opportunity for security. I když je snadno vidět potenciální downsides a riziko této změny, je snadné obejít obrovské možnosti, jak rezásobit roli zabezpečení a získat místo toho v tabulce, kde se provádí rozhodnutí.While it's easy to see the potential downsides and risk of this change, it's easy to miss the massive opportunity to reinvent the role of security and earn a seat at the table where decisions are made. Partnerství s firmou může vést k vyššímu zabezpečení finančních prostředků, k omezení wastefulého úsilí v zabezpečení a k efektivnějšímu fungování v zabezpečení, protože se tím lépe připojí k poslání organizace.Partnering with the business can result in increased security funding, reduce wasteful repetitive efforts in security, and make working in security more enjoyable as they will be more connected to the organization's mission.

Přijetí sdíleného modelu odpovědnostiAdopting the shared responsibility model

Hostování služeb IT v cloudu rozdělí provozní a bezpečnostní zodpovědnost pro úlohy mezi poskytovatelem cloudu a klientem zákazníka a vytvoří tak v faktickém partnerství se sdílenými odpovědnostmi.Hosting IT services in the cloud splits the operational and security responsibilities for workloads between the cloud provider and the customer tenant, creating a de facto partnership with shared responsibilities. Všechny bezpečnostní týmy musí prozkoumat a pochopit tento sdílený model zodpovědnosti a přizpůsobit své procesy, nástroje a dovednosti na nový svět.All security teams must study and understand this shared responsibility model to adapt their processes, tools, and skill sets to the new world. To vám pomůže vyhnout se nechtěnému vytváření mezer nebo překrytí v stav zabezpečení, což vede k bezpečnostním rizikům nebo nevyužitým prostředkům.This will help avoid inadvertently creating gaps or overlaps in your security posture resulting in security risks or wasted resources.

Tento diagram znázorňuje, jak budou odpovědnosti za zabezpečení distribuovány mezi dodavatele cloudu a organizace zákazníků cloudu v faktickém partnerství:This diagram illustrates how security responsibilities will be distributed between cloud vendors and cloud customer organizations in a de facto partnership:

Distribuované bezpečnostní povinnosti

Vzhledem k různým modelům Cloud Services se odpovědnosti za jednotlivé úlohy liší v závislosti na tom, jestli je hostovaná na základě softwaru jako služby (SaaS), platformy jako služby (PaaS), infrastruktury jako služby (IaaS) nebo v místním datacentru.As there are different models of cloud services, the responsibilities for each workload will vary depending on whether it is hosted on software as a service (SaaS), platform as a service (PaaS), infrastructure as a service (IaaS), or in an on-premises datacenter.

Vytváření iniciativ zabezpečeníBuilding security initiatives

Tento diagram znázorňuje tři primární iniciativy zabezpečení, které by měly dodržovat nejdůležitější programy zabezpečení, aby bylo možné přizpůsobit strategii zabezpečení a cíle programu zabezpečení pro Cloud:This diagram illustrates the three primary security initiatives that most security programs should follow to adjust their security strategy and security program goals for the cloud:

Primární iniciativy zabezpečení

Sestavování odolného stav zabezpečení v cloudu vyžaduje několik paralelních doplňkových přístupů:Building a resilient security posture in the cloud requires several parallel complementary approaches:

  • Důvěřovat, ale ověřte: V případě odpovědnosti prováděné poskytovatelem cloudu by organizace měly použít přístup "Trust, ale ověřit".Trust but verify: For responsibilities performed by the cloud provider, organizations should take a "trust but verify" approach. Organizace by měly vyhodnotit postupy zabezpečení svých poskytovatelů cloudu a kontroly zabezpečení, které nabízí, aby poskytovatel cloudu splňovali požadavky organizace na zabezpečení.Organizations should evaluate the security practices of their cloud providers and the security controls they offer to ensure the cloud provider meets the security needs of the organization.

  • Modernizovat infrastruktury a zabezpečení aplikací: V případě technických prvků v rámci řízení organizace nastavte prioritu modernizaci nástrojů zabezpečení a přidružených dovedností sady, aby se minimalizovaly mezery v rozsahu zabezpečení prostředků v cloudu.Modernize infrastructure and application security: For technical elements under the organization's control, prioritize modernizing security tooling and associated skill sets to minimize coverage gaps for securing resources in the cloud. To se skládá ze dvou různých doplňujících snah:This is composed of two different complementary efforts:

    • Zabezpečení infrastruktury: Organizace by měly Cloud využívat k tomu, aby modernizovat svůj přístup k ochraně a monitorování společných komponent používaných mnoha aplikacemi, jako jsou operační systémy, sítě a infrastruktura kontejnerů.Infrastructure security: Organizations should use the cloud to modernize their approach to protecting and monitoring the common components used by many applications, such as operating systems, networks, and container infrastructure. Tyto možnosti cloudu často zahrnují správu komponent infrastruktury napříč IaaS i místními prostředími.These cloud capabilities can often including managing infrastructure components across both IaaS and on-premises environments. Optimalizace této strategie je důležitá, protože tato infrastruktura je závislostí na aplikacích a datech, které jsou na něm spuštěné, což často umožňuje důležité obchodní procesy a ukládání důležitých podnikových dat.Optimizing this strategy is important because this infrastructure is a dependency of the applications and data that run on it, which often enable critical business processes and store critical business data.

    • Zabezpečení aplikace: Organizace by také měly modernizovat způsob, jakým zabezpečují jedinečné aplikace a technologie vyvinuté nástrojem nebo pro jejich organizaci.Application security: Organizations should also modernize the way they secure the unique applications and technology that is developed by or for their organization. Tato disciplína se rychle mění s přijetím agilních DevOps procesů, rostoucím využitím open-source komponent a zavedením cloudových rozhraní API a cloudových služeb, které nahradí komponenty aplikace nebo aplikace Interconnect.This discipline is changing rapidly with the adoption of agile DevOps processes, the increasing use of open-source components, and introduction of cloud APIs and cloud services to replace application components or interconnect applications.

      Získání tohoto práva je důležité, protože tyto aplikace často umožňují kritické obchodní procesy a ukládají důležitá firemní data.Getting this right is critical because these applications often enable critical business processes and store critical business data.

    • Moderní hraniční síť: Organizace by měly mít ucelený přístup k ochraně dat napříč všemi úlohami, organizace by si měli vytvořit moderní hraniční kontrolu konzistentních a centrálně spravovaných ovládacích prvků identity pro ochranu svých dat, zařízení a účtů.Modern perimeter: Organizations should have a comprehensive approach for protecting data across all workloads, organizations should establish a modern perimeter of consistent, centrally managed identity controls to protect their data, devices, and accounts. To je silně ovlivněné nenulovou strategií vztahu důvěryhodnosti, která je podrobně popsána v modulu 3 ředitelka zabezpečení informací Workshop.This is heavily influenced by a zero trust strategy discussed in detail in Module 3 of the CISO workshop.

Zabezpečení a důvěryhodnostSecurity and trust

Použití slova Trust v zabezpečení může být matoucí.The use of the word trust in security can be confusing. Tato dokumentace na ni odkazuje dvěma způsoby, které ilustrují užitečné aplikace tohoto konceptu:This documentation refers to it in two ways that illustrate useful applications of this concept:

  • Nula Trust je běžný obor pro strategický přístup k zabezpečení, který předpokládá, že Podniková nebo intranetová síť má nepřátelský (důvěryhodného nulového vztahu důvěryhodnosti) a navrhuje zabezpečení.Zero trust is a common industry term for a strategic approach to security that assumes a corporate or intranet network is hostile (worthy of zero trust) and designs security accordingly.
  • Trust, ale ověřte , je výraz, který zachycuje esenci dvou různých organizací pracujících společně na společném cíli, i když mají některé jiné potenciálně odlišné zájmy.Trust but verify is an expression that captures the essence of two different organizations working together toward a common goal despite having some other potentially divergent interests. Tato stručně zachycuje mnoho drobné odlišnosti v rané fázi partnerství s komerčním poskytovatelem cloudu pro organizace.This concisely captures many of the nuances of the early stages of partnering with a commercial cloud provider for organizations.

Poskytovatel cloudu a jejich postupy a procesy mohou být pro splnění smluvních a regulativních požadavků a může získat nebo ztratit důvěryhodnost.A cloud provider and their practices and processes can be accountable to meet contractual and regulatory requirements and could earn or lose trust. Síť je neživým připojením, které nemůže mít vliv na důsledky, pokud je používají útočníci (podobně jako nemůžete uchovávat služební a automobilový účet pro podvodníky, kteří je používají).A network is a nonliving connection that cannot face consequences if it is used by attackers (much like you cannot hold a road or a car accountable for criminals using them).

Způsob, jakým Cloud mění vztahy a povinnosti zabezpečeníHow cloud is changing security relationships and responsibilities

V souvislosti s předchozími přechody na novou generaci technologie, jako je stolní počítač a výpočetní Server Enterprise, se posun ke cloud computingu přerušuje dlouho zavedené relace, role, zodpovědnosti a dovednosti.As with previous transitions to a new generation of technology like desktop computing and enterprise server computing, the shift to cloud computing is disrupting long-established relationships, roles, responsibilities, and skill sets. Popis úlohy, které jsme zvykli využít v posledních několika desetiletích, se nečistí na podnik, který teď zahrnuje cloudové možnosti.The job descriptions we have become accustomed to over the last few decades do not cleanly map to an enterprise that now includes cloud capabilities. Vzhledem k tomu, že odvětví souhrnně funguje k normalizaci nového modelu, organizace se budou muset soustředit na poskytnutí co nejvíc vysvětlení, aby bylo možné během této doby měnit nejednoznačnost.As the industry collectively works to normalize a new model, organizations will have to focus on providing as much clarify as possible to help manage the uncertainty of ambiguity during this period of change.

Týmy zabezpečení jsou ovlivněné těmito změnami v oblasti podnikání a technologie, které podporují, a také jejich vlastní interní snahy o lepší orientaci pro aktéry hrozeb.Security teams are affected by these changes in the business and technology they support as well as their own internal modernization efforts to better orient to threat actors. Útočníci se aktivně vyvíjející a neustále hledají nejjednodušší slabá místa pro zneužití v lidech, procesech a technologiích organizace a zabezpečení musí vyvíjet možnosti a dovednosti pro řešení těchto úhlů.Attackers are actively evolving to constantly search for the easiest weak points to exploit in the people, process, and technology of the organization and security must develop capabilities and skills to address these angles.

Tato část popisuje klíčové vztahy, které se často mění na cestě ke cloudu, včetně lekcí získaných při minimalizaci rizika a přechoduí příležitostí ke zlepšení:This section describes the key relationships that frequently change on the journey to the cloud, including lessons learned on minimizing risk and embracing the opportunities to improve:

  • Mezi zabezpečením a podnikovými účastníky: Vedení zabezpečení bude potřebovat stále více partnerů s obchodními vedoucími, aby mohly organizace snižovat riziko.Between security and business stakeholders: Security leadership will need to increasingly partner with business leaders to enable organizations to reduce risk. Vedoucí zabezpečení by měl podporovat rozhodování podnikového rozhodování jako odborník na problematiku zabezpečení (MSP) a mělo by se v rámci těchto obchodních vedoucích usilovat o růst těchto obchodních vedoucích poradců.Security leaders should support business decision making as security subject matter expert (SMEs) and should strive to grow into trusted advisors to these business leaders. Tento vztah pomůže zajistit, aby obchodní vedoucí považovat bezpečnostní rizika při rozhodování o obchodních rozhodnutích, informovali o zabezpečení obchodních priorit a měli jistotu, že investice do zabezpečení mají odpovídající prioritu v závislosti na dalších investicích.This relationship will help ensure business leaders consider security risks while making business decisions, inform security of business priorities, and help ensure security investments are prioritized appropriately alongside other investments.

  • Mezi vedoucím zabezpečení a členy týmu: Vedoucí oddělení zabezpečení by měl tyto poznatky získat z podnikání zpátky do svých týmů, aby se na ně mohli zařídit své investiční priority.Between security leadership and team members: Security leadership should take these insights from business leadership back to their teams to guide their investment priorities.

    Díky nastavení tónové spolupráce s obchodními vedoucími a jejich týmy namísto klasického vztahu "zbraně-Length" se mohou vedoucí zabezpečení vyhnout Adversarial dynamickému, který brání cílům zabezpečení i produktivity.By setting a tone of cooperation with business leaders and their teams rather than a classic "arms-length" relationship, security leaders can avoid an adversarial dynamic that impedes both security and productivity goals.

    Vedoucí zabezpečení by měli usilovat o poskytování jasnosti jejich týmu v tom, jak spravovat jejich každodenní rozhodnutí o produktivitě a kompromisech v zabezpečení, protože to může být ve svých týmech nově mnoho.Security leaders should strive to provide clarity to their team on how to manage their daily decisions on productivity and security tradeoffs as this may be new to many on their teams.

  • Mezi týmy pro aplikace a infrastrukturu (a poskytovateli cloudu): Tato relace prochází významné změny z důvodu několika trendů v oboru IT a zabezpečení zaměřeného na zvýšení rychlosti inovace a produktivity vývojářů.Between application and infrastructure teams (and cloud providers): This relationship is undergoing significant changes because of multiple trends in the IT and security industry aimed at increasing innovation speed and developer productivity.

    Staré normy a organizační funkce byly přerušeny, ale stále se objevují nové normy a funkce, proto doporučujeme přijmout nejednoznačnost, udržet si aktuální úvahy a experimentovat s tím, jak to bude vyhovovat vašim organizacím.The old norms and organizational functions have been disrupted, but new norms and functions are still emerging, so we recommend accepting the ambiguity, keeping up with current thinking, and experiment with what works for your organizations until it does. V tomto prostoru nedoporučujeme přijímat čekací a obraz, protože by vaše organizace mohla znamenat významnou konkurenční nevýhodu.We don't recommend adopting a wait-and-see approach in this space because it might put your organization at a major competitive disadvantage.

    Tyto trendy jsou náročné na tradiční normy pro role a vztahy aplikací a infrastruktury:These trends are challenging the traditional norms for roles and relationships of applications and infrastructure:

    • DevOps – odmítnutí pravidel: V ideálním stavu to efektivně vytvoří jediný vysoce funkční tým, který kombinuje obě sady odborných znalostí v dané oblasti, aby bylo možné rychle inovovat, aktualizovat vydání a vyřešit problémy (zabezpečení a jinak).DevOps-fusing disciplines: In its ideal state, this effectively creates a single highly functional team that combines both sets of subject matter expertise together to rapidly innovate, release updates, and resolve issues (security and otherwise). I když tento ideální stav bude trvat nějakou dobu, a odpovědnosti uprostřed jsou stále dvojznačné, organizace už zachování některé výhody rychlých vydání z důvodu tohoto přístupu do spolupráce.While this ideal state will take some time to achieve and the responsibilities in the middle are still ambiguous, organizations are already reaping some benefits of rapid releases because of this cooperative approach. Microsoft doporučuje integraci zabezpečení do tohoto cyklu, aby se s těmito kulturami dozvěděl, sdílel vzdělávání zabezpečení a pracovali se společným cílem rychle uvolnit zabezpečené a spolehlivé aplikace.Microsoft recommends integrating security into this cycle to help learn those cultures, share security learnings, and work towards a common goal of rapidly releasing secure and reliable applications.

    DevOps – odmítnutí pravidel

    • V kontejneru se stane běžná součást infrastruktury: Aplikace se stále stále hostují a orchestrují s využitím technologií, jako jsou Docker, Kubernetes a podobné technologie.Containerization becoming a common infrastructure component: Applications are increasingly being hosted and orchestrated by technologies like Docker, Kubernetes, and similar technologies. Tyto technologie zjednodušují vývoj a vydávání tím, že abstrakcí mnoho prvků nastavení a Konfigurace základního operačního systému.These technologies simplify development and release by abstracting many elements of the setup and configuration of the underlying operating system.

    Infrastruktura kontejneru

    I když se kontejnery začali vyvíjet jako technologie pro vývoj aplikací, které spravuje vývojové týmy, stává se běžnou infrastrukturou, která se stále častěji přesouvá do týmů infrastruktury.While containers began as an application development technology managed by development teams, it is becoming a common infrastructure component that is increasingly shifting to infrastructure teams. Tento přechod stále probíhá v mnoha organizacích, ale jedná se o přirozený a kladný směr. mnohé z aktuálních problémů budou nejlépe vyřešeny s využitím tradičních dovedností v infrastruktuře, jako jsou sítě, úložiště a správa kapacity.This transition is still in progress at many organizations, but it is a natural and positive direction many of the current challenges will be best solved with traditional infrastructure skill sets like networking, storage, and capacity management.

    Týmy infrastruktury a členové bezpečnostního týmu, kteří je podporují, by měli mít k dispozici školení, procesy a nástroje, které vám pomůžou se správou, sledováním a zabezpečením této technologie.Infrastructure teams and security team members that support them should be provided with training, processes, and tooling to help manage, monitor, and secure this technology.

    • Cloudové aplikační služby bez serveru: Jedním z převládajících trendů v oboru teď je snížení množství času a vývoje potřebných pro sestavování nebo aktualizaci aplikací.Serverless and cloud application services: One of the dominant trends in industry right now is reducing the amount of time and development work required to build or update applications.

      Cloudové aplikační služby bez serveru

      Vývojáři taky stále využívají cloudové služby k těmto akcím:Developers are also increasingly using cloud services to:

      • Spusťte kód místo hostování aplikací na virtuálních počítačích a serverech.Run code instead of hosting applications on virtual machines (VMs) and servers.
      • Místo vývoje vlastních komponent poskytněte funkce aplikace.Provide application functions instead of developing their own components. To vedlo k tomu, že model bez serveru používá pro běžné funkce existující cloudové služby.This has led to a serverless model that uses existing cloud services for common functions. Počet a rozmanitost cloudových služeb (a jejich tempo inovace) také překročily schopnost týmů zabezpečení vyhodnotit a schválit používání těchto služeb, nechat si je vybírat mezi tím, že vývojářům umožňuje používat neschválené služby, a snaží se zabránit vývojovým týmům v používání neschválených služeb nebo při pokusu o nalezení lepšího způsobu.The number and variety of cloud services (and their pace of innovation) has also exceeded the ability of security teams to evaluate and approve the use of those services, leaving them to choose between allowing developers to use any service, attempting to prevent the development teams from using unapproved services, or trying to find a better way.
      • Nekódovatelné aplikace a aplikace Power Apps: Dalším vznikajícím trendem je použití technologií nevyužívajících kód, jako je Microsoft Power Apps.Codeless applications and Power Apps: Another emerging trend is the use of codeless technologies like Microsoft Power Apps. Tato technologie umožňuje lidem bez psaní dovedností v oblasti vytváření aplikací, které dosahují výsledků pro firmy.This technology enables people without coding skills to create applications that achieve business outcomes. Z důvodu tohoto nízkého potenciálu a vysoké hodnoty může tento trend rychle proniknout v oblíbenosti a odborníci na zabezpečení by mohli rychle porozumět jeho dopadům.Because of this low friction and high value potential, this trend has the potential to rise in popularity quickly and security professionals would be wise to rapidly understand its implications. Úsilí zabezpečení by se mělo zaměřit na oblasti, kde člověk mohl v aplikaci udělat omylem, a to zejména návrh oprávnění aplikace a assetu prostřednictvím modelování hrozeb, které komponenty aplikace, interakce a vztahy a oprávnění role.Security efforts should be focused on the areas where a human could make a mistake in the application, namely the design of the application and asset permissions via threat modeling the application components, interactions/relationships, and role permissions.
  • Mezi vývojáři a open source autory komponent: Vývojáři také zvyšují efektivitu pomocí Open-source komponent a knihoven namísto vývoje vlastních komponent.Between developers and open-source component authors: Developers are also increasing efficiency by using open-source components and libraries instead of developing their own components. Tím se zvýší efektivita, ale také se zavede bezpečnostní rizika tím, že se vytvoří externí závislost a požadavek na správné udržování a opravování těchto komponent.This brings value through efficiency, but also introduces security risks by creating an external dependency and a requirement to properly maintain and patch those components. Vývojáři mají efektivně za úkol zabezpečení a další chyby, když používají tyto komponenty, a musí se ujistit, že máte plán, který je může zmírnit ve stejných standardech, jako je kód, který by vyvíjejí.Developers are effectively assuming the risk of security and other bugs when they use these components and have to ensure there is a plan to mitigate them at the same standards as code they would develop.

  • Mezi aplikacemi a daty: Čára mezi zabezpečením dat a aplikací se rozostří na místech a nové předpisy vytvářejí potřebu užší spolupráce mezi týmy dat/ochrany osobních údajů a bezpečnostními týmy:Between applications and data: The line between security of data and applications is becoming blurred in places and new regulations are creating a need for closer cooperation between data/privacy teams and security teams:

    • Algoritmy strojového učení (Machine Learning): algoritmy strojového učení se podobají aplikacím v tom, že jsou navržené pro zpracování dat k vytvoření výsledku.Machine learning (machine learning) algorithms: machine learning algorithms are similar to applications in that they are designed to process data to create an outcome. Hlavní rozdíly:The key differences are:

      • Strojové učení vysoké hodnoty: Machine Learning často uděluje významnou konkurenční výhodu a často se považuje za citlivé duševní vlastnictví a obchodní tajemství.High-value machine learning: Machine learning often confers a significant competitive advantage and is often considered sensitive intellectual property and a trade secret.

      • Otisk citlivosti: Pod dohledem strojového učení je vyladěno pomocí datových sad, které tisknou charakteristiky datové sady v algoritmu.Sensitivity imprint: Supervised machine learning is tuned using data sets, which imprints characteristics of the dataset on the algorithm. Z tohoto důvodu může být vyladěný algoritmus považován za citlivý z důvodu datové sady, která je použita ke své výukové službě.Because of this, the tuned algorithm may be considered sensitive because of the dataset used to train it. Například školení algoritmu strojového učení pro nalezení tajných základních základů na mapě s použitím datové sady tajných základních základů by to vedlo k citlivému prostředku.For example, training a machine learning algorithm to find secret army bases on a map using a dataset of secret army bases would make it a sensitive asset.

      Poznámka

      Ne všechny příklady jsou zřejmé, takže je důležité, aby byl tým spojen s pravým zúčastněnými stranami z oblasti pro datové vědy, obchodními stranami, týmy pro zabezpečení, ochranou osobních údajů a dalšími lidmi.Not all examples are obvious, so it's critical to bring a team together with the right stakeholders from data science teams, business stakeholders, security teams, privacy teams, and others. Tyto týmy by měly mít zodpovědnost za běžné cíle inovace a zodpovědnosti.These teams should have a responsibility to meet common goals of innovation and responsibility. Měly by řešit běžné problémy, jako je například jak a kam ukládat kopie dat v nezabezpečených konfiguracích, jak klasifikovat algoritmy a také veškeré obavy vaší organizace.They should address common issues such as how and where to store copies of data in insecure configurations, how to classify algorithms, as well as any concerns of your organizations.

      Společnost Microsoft zveřejnila naše Principy zodpovědného AI , které vás provedou našimi týmy a našimi zákazníky.Microsoft has published our principles of responsible AI to guide our own teams and our customers.

      • Vlastnictví a ochrana dat: Nařízení, jako je GDPR, zvýšily viditelnost problémů s daty a aplikací.Data ownership and privacy: Regulations like GDPR have increased the visibility of data issues and applications. Týmy aplikací teď mají možnost řídit, chránit a sledovat citlivá data na úrovni srovnatelné se sledováním finančních dat bank a finančních institucí.Application teams now have the ability to control, protect, and track sensitive data at a level comparable to tracking financial data by banks and financial institutions. Týmy pro vlastníky dat a aplikace potřebují vytvořit bohatou znalostí o tom, jaké datové aplikace jsou uložené a jaké ovládací prvky se vyžadují.Data owners and applications teams need to build a rich understanding of what data applications store and what controls are required.
  • Mezi organizacemi a poskytovateli cloudu: Jak organizace hostují úlohy v cloudu, vstupují do obchodního vztahu s každým z těchto poskytovatelů cloudu.Between organizations and cloud providers: As organizations host workloads in the cloud, they are entering into a business relationship with each of those cloud providers. Použití cloudových služeb často přináší obchodní hodnotu, třeba:The use of cloud services often brings business value such as:

    • Urychlení iniciativ digitální transformace díky omezení doby uvedení na trh pro nové funkce.Accelerating digital transformation initiatives by reducing time to market for new capabilities.

    • Zvyšování hodnoty IT a bezpečnostních aktivit tím, že se týmy zaměřují na zvýšení hodnoty (zarovnané na firmy), ne na víceúrovňové úlohy, které jsou v rámci Cloud Services poskytovány efektivněji.Increasing value of IT and security activities by freeing teams to focus on higher value (business-aligned) activities rather than lower-level commodity tasks that are provided more efficiently by cloud services on their behalf.

    • Zvýšená spolehlivost a rychlost odezvy: Většina moderních cloudů má také vysokou provozuschopnost v porovnání s tradičními místními datacentry a ukázala, že se dají rychle škálovat (například během COVID-19 PANDEMIC) a zajišťují odolnost následujících přirozených událostí, jako jsou bleskové přeškrtnutí (což by představovalo mnohem delší množství místních ekvivalentů).Increased reliability and responsiveness: Most modern clouds also have high uptime compared to traditional on-premises datacenters and have shown they can scale rapidly (such as during the COVID-19 pandemic) and provide resiliency following natural events like lightning strikes (which would have kept many on-premises equivalents down for much longer).

      I když je to užitečné, tento posun do cloudu bez rizika nehrozí.While beneficial, this shift to the cloud is not without risk. Vzhledem k tomu, že organizace přijmou cloudové služby, by měly zvážit potenciální rizikové oblasti, včetně:As organizations adopt cloud services, they should consider potential risk areas including:

    • Provozní kontinuita a zotavení po havárii: Je poskytovatel cloudu finančně v pořádku s obchodním modelem, který se bude během používání služby vaší organizace nejspíš zastavovat a i.Business continuity and disaster recovery: Is the cloud provider financially healthy with a business model that's likely to survive and thrive during your organization's use of the service? Učinil poskytovatel cloudu předpisy, aby umožňoval kontinuitu zákazníků, pokud poskytovatel funguje jako finanční nebo jiné selhání, jako je například poskytování zdrojového kódu zákazníkům nebo open-source.Has the cloud provider made provisions to allow customer continuity if the provider experiences financial or other failure, such as providing their source code to customers or open-sourcing it?

      Další informace a dokumenty týkající se finančních stavů Microsoftu najdete v tématu vztahy Microsoftu pro investory.For more information and documents regarding Microsoft's financial health, see Microsoft investor relations.

    • Zabezpečení: Dodržuje poskytovatel cloudu Doporučené postupy zabezpečení?Security: Does the cloud provider follow industry best practices for security? Ověřil (a) nezávisle regulativní orgány?Has this been validated by independent regulatory bodies?

      • Microsoft Cloud App Security vám umožní zjistit využití více než 16 000 cloudových aplikací, které jsou seřazené a na základě více než 70 rizikových faktorů, které vám poskytnou průběžný přehled o používání cloudu, stínovém IT a riziku, že Stínová kopie do vaší organizace působí.Microsoft Cloud App Security allows you to discover usage of over 16,000 cloud applications, which are ranked and scored based on more than 70 risk factors to provide you with ongoing visibility into cloud use, shadow IT, and the risk that shadow IT poses to your organization.
      • Portál Microsoft Service Trust zajišťuje pro zákazníky certifikaci dodržování předpisů, zprávy o auditu, testy perem a další dostupné.The Microsoft Service Trust Portal makes regulatory compliance certifications, audit reports, pen tests, and more available to customers. Tyto dokumenty obsahují mnoho podrobných informací o interních postupech zabezpečení (zejména k sestavování sestav SOC 2 Type 2 a FedRAMP pro střední systém zabezpečení).These documents include many details of internal security practices (notably the SOC 2 type 2 report and FedRAMP Moderate system security plan).
    • Obchodní konkurence: Je poskytovatel cloudu významným obchodním konkurentem ve vašem odvětví?Business competitor: Is the cloud provider a significant business competitor in your industry? Máte dostatečné ochrany v kontraktu cloudových služeb nebo jiné způsoby ochrany vaší firmy před potenciálně nepřátelskými akcemi?Do you have sufficient protections in the cloud services contract or other means to protect your business against potentially hostile actions?

      V tomto článku najdete informace o tom, jak společnost Microsoft nesoutěží s cloudovým zákazníkům.Review this article for commentary on how Microsoft avoids competing with cloud customers.

    • Cloud: Mnoho organizací má de facto nebo úmyslné strategii pro více cloudů.Multicloud: Many organizations have a de facto or intentional multicloud strategy. Může se jednat o úmyslné cíle, aby se snížila závislost na jediném dodavateli nebo aby se získal přístup k jedinečným funkcím, ale také k tomu, že vývojáři zvolili preferované nebo známé cloudové služby nebo když vaše organizace získala jinou firmu.This could be an intentional objective to reduce reliance on a single supplier or to access unique best of breed capabilities, but can also happen because developers chose preferred or familiar cloud services, or your organization acquired another business. Bez ohledu na důvod může tato strategie způsobit potenciální rizika a náklady, které je potřeba spravovat, včetně těchto:Regardless of the reason, this strategy can introduce potential risks and costs that have to be managed including:

      • Výpadek z více závislostí: Systémy, které jsou navržené pro spoléhání na více cloudů, jsou vystavené pro větší riziko výpadku v případě výpadků cloudových poskytovatelů (nebo jejich použití v týmu) může způsobit výpadek vaší firmy při výpadku nebo přerušení.Downtime from multiple dependencies: Systems architected to rely on multiple clouds are exposed to more sources of downtime risk as disruptions in the cloud providers (or your team's use of them) could cause an outage/disruption of your business. Zvýšení složitosti systému by zároveň zvýšilo pravděpodobnost výpadku událostí, protože členové týmu jsou méně pravděpodobné, že budou plně rozumět složitějšímu systému.This increased system complexity would also increase the likelihood of disruption events as team members are less likely to fully understand a more complex system.
      • Vyjednávání výkonu: Větší organizace taky by měly zvážit, jestli má jeden Cloud (společný závazek, partnerství) nebo strategii pro více cloudů (schopnost přesměrovat firmu) větší vliv na své poskytovatele cloudu, aby dosáhli priorit požadavků na funkce své organizace.Negotiating power: Larger organizations also should consider whether a single-cloud (mutual commitment/partnership) or multicloud strategy (ability to shift business) will achieve greater influence over their cloud providers to get their organization's feature requests prioritized.
      • Zvýšení režijních nákladů na údržbu: Prostředky IT a zabezpečení se už od stávajících úloh přetěžují a zachovají se se změnami jedné cloudové platformy.Increased maintenance overhead: IT and security resources already are overburdened from their existing workloads and keeping up with the changes of a single cloud platform. Každá další platforma dále zvyšuje tuto režii a přebírá členy týmu mimo aktivity s vyšší hodnotou, jako je zjednodušený technický proces pro urychlení firemních inovací, konzultace s obchodními skupinami s efektivnějším využitím technologií atd.Each additional platform further increases this overhead and takes team members away from higher value activities like streamlining technical process to speed business innovation, consulting with business groups on more effective use of technologies, and so on.
      • Personální oddělení a školení: Organizace často neberou v úvahu požadavky na zaměstnance potřebné k podpoře více platforem a školení potřebné k udržení znalostí a měny nových funkcí vydaných rychle tempem.Staffing and training: Organizations often do not consider the staffing requirements necessary to support multiple platforms and the training required to maintain knowledge and currency of new features which are released in a rapid pace.