Leitfaden für die CISO-CloudbereitschaftCISO cloud readiness guide

Empfehlungen von Microsoft wie beispielsweise das Cloud Adoption Framework (CAF) sind nicht dafür konzipiert, die einzigartigen Sicherheitsbedingungen von Tausenden von Unternehmen zu ermitteln, die von dieser Dokumentation unterstützt werden, oder als Anleitung für diese Bedingungen zu dienen.Microsoft guidance like the Cloud Adoption Framework is not positioned to determine or guide the unique security constraints of the thousands of enterprises supported by this documentation. Bei der Migration in die Cloud wird die Rolle des Chief Information Security Officer bzw. Chief Information Security Office (CISO) nicht durch Cloudtechnologien verdrängt.When moving to the cloud, the role of the chief information security officer or chief information security office (CISO) isn't supplanted by cloud technologies. Ganz im Gegenteil: Der CISO und das CISO-Team sind noch besser und enger integriert.Quite the contrary, the CISO and the office of the CISO, become more engrained and integrated. Für diese Anleitung wird vorausgesetzt, dass Sie mit CISO-Prozessen vertraut sind und diese modernisieren möchten, um eine Cloudtransformation zu ermöglichen.This guide assumes the reader is familiar with CISO processes and is seeking to modernize those processes to enable cloud transformation.

Die Einführung der Cloud ermöglicht die Verwendung von Diensten, die in herkömmlichen IT-Umgebungen nur selten berücksichtigt wurden.Cloud adoption enables services that weren't often considered in traditional IT environments. Self-Service- oder automatisierte Bereitstellungen werden häufig von für die Anwendungsentwicklung zuständigen oder anderen IT-Teams ausgeführt, die traditionell nicht an der Produktionsbereitstellung beteiligt sind.Self-service or automated deployments are commonly executed by application development or other IT teams not traditionally aligned to production deployment. In einigen Organisationen verfügen Geschäftsbenutzer ebenfalls über Self-Service-Funktionen.In some organizations, business constituents similarly have self-service capabilities. Dadurch können neue Sicherheitsanforderungen entstehen, die in lokalen Bereitstellungen nicht benötigt wurden.This can trigger new security requirements that weren't needed in the on-premises world. Die zentralisierte Sicherheit stellt eine größere Herausforderung dar, und häufig sind IT-Abteilung und Geschäftsbereiche gemeinsam dafür verantwortlich.Centralized security is more challenging, security often becomes a shared responsibility across the business and IT culture. Dieser Artikel kann einen CISO bei der Vorbereitung auf diesen Ansatz und der Umsetzung einer inkrementellen Governance unterstützen.This article can help a CISO prepare for that approach and engage in incremental governance.

Wie kann sich ein CISO auf die Cloud vorbereiten?How can a CISO prepare for the cloud?

Wie die meisten Richtlinien zeigen auch Sicherheits- und Governancerichtlinien die Tendenz, organisch zu wachsen.Like most policies, security and governance policies within an organization tend to grow organically. Wenn Sicherheitsincidents auftreten, formen sie die Richtlinie, um die Benutzer zu informieren und die Wahrscheinlichkeit einer Wiederholung zu reduzieren.When security incidents happen, they shape policy to inform users and reduce the likelihood of repeat occurrences. Dieser Ansatz ist zwar natürlich, führt aber zur Überfrachtung von Richtlinien und zu technischen Abhängigkeiten.While natural, this approach creates policy bloat and technical dependencies. Cloud Transformation Journeys bieten eine einzigartige Gelegenheit, Richtlinien zu modernisieren und zurückzusetzen.Cloud transformation journeys create a unique opportunity to modernize and reset policies. Bei der Vorbereitung auf eine Transformation Journey können CISOs sofortigen und messbaren Nutzen schaffen, indem sie sich aktiv an einer Richtlinienüberprüfung beteiligen.While preparing for any transformation journey, the CISO can create immediate and measurable value by serving as the primary stakeholder in a policy review.

Bei einer solchen Überprüfung besteht die Rolle des CISO darin, für ein sicheres Gleichgewicht zwischen den Einschränkungen vorhandener Richtlinien/Compliancefeatures und der verbesserten Sicherheitslage von Cloudanbietern zu sorgen.In such a review, the role of the CISO is to create a safe balance between the constraints of existing policy/compliance and the improved security posture of cloud providers. Der Fortschritt lässt sich auf unterschiedliche Weise messen: Ein häufiges Maß ist die Anzahl von Sicherheitsrichtlinien, die sicher an den Cloudanbieter ausgelagert werden können.Measuring this progress can take many forms, often it's measured in the number of security policies that can be safely offloaded to the cloud provider.

Übertragen von Sicherheitsrisiken: Wenn Dienste in IaaS-Hostingmodelle (Infrastructure-as-a-Service) verlagert werden, kann aus geschäftlicher Sicht von einem geringeren direkten Risiko in Bezug auf die Hardwarebereitstellung ausgegangen werden.Transferring security risks: As services are moved into infrastructure as a service (IaaS) hosting models, the business assumes less direct risk regarding hardware provisioning. Das Risiko ist nicht verschwunden, sondern wird an den Cloudanbieter übertragen.The risk isn't removed, instead it's transferred to the cloud vendor. Wenn das Verfahren eines Cloudanbieters für die Hardwarebereitstellung das gleiche Maß an Risikominimierung in einem sicheren, wiederholbaren Prozess bereitstellt, wird das Risiko der Hardwarebereitstellung aus dem Verantwortungsbereich des unternehmenseigenen IT-Teams entfernt und an den Cloudanbieter übertragen.Should a cloud vendor's approach to hardware provisioning provide the same level of risk mitigation, in a secure repeatable process, the risk of hardware provisioning execution is removed from corporate IT's area of responsibility and transferred to the cloud provider. Damit muss sich die Unternehmens-IT insgesamt um weniger Sicherheitsrisiken kümmern, obwohl die Risiken selbst weiterhin nachverfolgt und überprüft werden sollten.This reduces the overall security risk that corporate IT is responsible for managing, although the risk itself should still be tracked and reviewed periodically.

Wenn Lösungen weiterentwickelt werden und PaaS- oder SaaS-Modelle (Platform-as-a-Service bzw. Software-as-a-Service) nutzen, können weitere Risiken vermieden oder übertragen werden.As solutions move further "up stack" to incorporate platform as a service (PaaS) or software as a service (SaaS) models, additional risks can be avoided or transferred. Wenn das Risiko sicher an einen Cloudanbieter verlagert wird, können auch die Kosten für Ausführung, Überwachung und Durchsetzung von Sicherheitsrichtlinien oder anderen Compliancerichtlinien sicher reduziert werden.When risk is safely moved to a cloud provider, the cost of executing, monitoring, and enforcing security policies or other compliance policies can be safely reduced as well.

Wachstumsorientierte Mentalität: Veränderungen können beängstigend sein – sowohl für die Personen, die sich um die geschäftliche Seite kümmern, als auch für diejenigen, die für die technische Implementierung zuständig sind.Growth mindset: Change can be scary to both the business and technical implementors. Wenn ein CISO die Mentalität in einer Organisation verändern kann, haben wir festgestellt, dass diese natürlichen Ängste durch ein erhöhtes Interesse an Sicherheit und Richtlinieneinhaltung ersetzt werden.When the CISO leads a growth mindset shift in an organization, we've found that those natural fears are replaced with an increased interest in safety and policy compliance. Indem Teams mit einer wachstumsorientierten Mentalität an eine Richtlinienüberprüfung, eine Transformation Journey oder eine einfache Überprüfung der Implementierung herangehen, können sie schnell Erfolge erzielen, ohne dabei auf ein faires und verwaltbares Risikoprofil verzichten zu müssen.Approaching a policy review, a transformation journey, or simple implementation reviews with a growth mindset, allows the team to move quickly but not at the cost of a fair and manageable risk profile.

Ressourcen für den Chief Information Security OfficerResources for the chief information security officer

Kenntnisse der Cloud sind von grundlegender Bedeutung für eine Richtlinienüberprüfung mit wachstumsorientierter Mentalität.Knowledge about the cloud is fundamental to approaching a policy review with a growth mindset. Die folgenden Ressourcen unterstützen CISOs dabei, den Sicherheitsstatus der Microsoft Azure-Plattform besser zu verstehen.The following resources can help the CISO better understand the security posture of Microsoft's Azure platform.

Ressourcen zur Sicherheitsplattform:Security platform resources:

Datenschutz und Kontrolle:Privacy and controls:

Compliance:Compliance:

Transparenz:Transparency:

Nächste SchritteNext steps

Der erste Schritt bei jeder Governancestrategie ist eine Richtlinienüberprüfung.The first step to taking action in any governance strategy is a policy review. Richtlinie und Compliance ist ein nützlicher Leitfaden für Ihre Richtlinienüberprüfung.Policy and compliance could be a useful guide during your policy review.