Verbesserung der Disziplin „Sicherheitsbaseline“Security Baseline discipline improvement

Die Disziplin „Sicherheitsbaseline“ konzentriert sich auf Möglichkeiten zum Festlegen von Richtlinien, die das Netzwerk, Ressourcen und vor allem die Daten schützen, die sich in der Lösung eines Cloudanbieters befinden werden.The Security Baseline discipline focuses on ways of establishing policies that protect the network, assets, and most importantly the data that will reside on a cloud provider's solution. Innerhalb der fünf Disziplinen von Cloud Governance umfasst die Disziplin „Sicherheitsbaseline“ die Klassifizierung des digitalen Bestands und der Daten.Within the Five Disciplines of Cloud Governance, the Security Baseline discipline includes classification of the digital estate and data. Darüber hinaus sind die Dokumentation zu Risiken, Geschäftstoleranz und Lösungsstrategien in Zusammenhang mit der Sicherheit von Daten, Ressourcen und Netzwerk enthalten.It also includes documentation of risks, business tolerance, and mitigation strategies associated with the security of the data, assets, and network. Aus technischer Sicht umfasst dies auch die Beteiligung an Entscheidungen in Bezug auf Verschlüsselung, Netzwerkanforderungen, Hybrididentitätsstrategien und Prozesse zur Entwicklung von Sicherheitsbaseline-Richtlinien für die Cloud.From a technical perspective, this also includes involvement in decisions regarding encryption, network requirements, hybrid identity strategies, and the processes used to develop Security Baseline policies for the cloud.

Dieser Artikel beschreibt einige potenzielle Aufgaben, die Ihr Unternehmen ausführen kann, um die Disziplin „Sicherheitsbaseline“ besser erstellen und weiterentwickeln zu können.This article outlines some potential tasks your company can engage in to better develop and mature the Security Baseline discipline. Diese Aufgaben lassen sich in verschiedene Phasen der Implementierung einer Cloudlösung unterteilen: Planung, Erstellung, Einführung und Betrieb. Diese Phasen werden dann durchlaufen und ermöglichen die Entwicklung eines inkrementellen Ansatzes für die Cloudgovernance.These tasks can be broken down into planning, building, adopting, and operating phases of implementing a cloud solution, which are then iterated on allowing the development of an incremental approach to cloud governance.

Phasen eines inkrementellen Ansatzes für Cloudgovernance Abbildung 1: Phasen eines inkrementellen Ansatzes für Cloudgovernance.Phases of an incremental approach to cloud governance Figure 1: Phases of an incremental approach to cloud governance.

Es ist unmöglich, die Anforderungen aller Unternehmen in einem einzigen Dokument zu berücksichtigen.It's impossible for any one document to account for the requirements of all businesses. Daher werden in diesem Artikel die empfohlenen mindestens auszuführenden Aktivitäten sowie Beispiele für potenzielle Aktivitäten für jede Phase des Weiterentwicklungsprozesses für die Governance beschrieben.As such, this article outlines suggested minimum and potential example activities for each phase of the governance maturation process. Ziel dieser Aktivitäten ist es, Sie beim Aufbau eines Richtlinien-MVP und bei der Einrichtung eines Frameworks für die inkrementelle Verbesserung der Richtlinie zu unterstützen.The initial objective of these activities is to help you build a policy MVP and establish a framework for incremental policy improvement. Ihr Cloudgovernanceteam muss entscheiden, wie viel in diese Aktivitäten investiert werden soll, um Ihre Disziplin „Sicherheitsbaseline“ zu verbessern.Your cloud governance team will need to decide how much to invest in these activities to improve your Security Baseline discipline.

Achtung

Weder die in diesem Artikel beschriebenen mindestens erforderlichen noch die potenziellen Aktivitäten sind auf bestimmte Unternehmensrichtlinien oder Complianceanforderungen von Drittanbietern ausgerichtet.Neither the minimum or potential activities outlined in this article are aligned to specific corporate policies or third-party compliance requirements. Dieser Leitfaden soll bei Gesprächen über die Ausrichtung beider Anforderungen auf ein Cloudgovernancemodell helfen.This guidance is designed to help facilitate the conversations that will lead to alignment of both requirements with a cloud governance model.

Planung und BereitschaftPlanning and readiness

Diese Entwicklungsphase der Governance überbrückt die Lücke zwischen Geschäftsergebnissen und umsetzbaren Strategien.This phase of governance maturity bridges the divide between business outcomes and actionable strategies. Während dieses Prozesses definiert das Führungsteam bestimmte Metriken, ordnet diese Metriken dem digitalen Bestand zu und beginnt mit der Planung der gesamten Migration.During this process, the leadership team defines specific metrics, maps those metrics to the digital estate, and begins planning the overall migration effort.

Mindestens empfohlene Aktivitäten:Minimum suggested activities:

  • Bewerten Ihrer Optionen für die Sicherheitsbaseline-Toolkette.Evaluate your Security Baseline toolchain options.
  • Entwerfen Sie ein Dokument mit Architekturrichtlinien, und geben Sie dieses an die wichtigsten Beteiligten weiter.Develop a draft architecture guidelines document and distribute to key stakeholders.
  • Schulen und beteiligen Sie die Personen und Teams, die von diesen Architekturrichtlinien betroffen sind.Educate and involve the people and teams affected by the development of architecture guidelines.
  • Fügen Sie priorisierte Sicherheitsaufgaben Ihrem Migrationsbacklog hinzu.Add prioritized security tasks to your migration backlog.

Potenzielle Aktivitäten:Potential activities:

  • Definieren Sie ein Datenklassifizierungsschema.Define a data classification schema.
  • Führen Sie einen Planungsprozess für digitalen Bestand durch, um die aktuellen IT-Ressourcen zu inventarisieren, die Ihren Geschäftsprozessen und unterstützenden Vorgängen zugrunde liegen.Conduct a digital estate planning process to inventory the current IT assets powering your business processes and supporting operations.
  • Führen Sie eine Richtlinienüberprüfung durch, um den Prozess der Modernisierung bestehender IT-Sicherheitsrichtlinien des Unternehmens einzuleiten, und definieren Sie MVP-Richtlinien für bekannte Risiken.Conduct a policy review to begin the process of modernizing existing corporate IT security policies, and define MVP policies addressing known risks.
  • Überprüfen Sie die Sicherheitsrichtlinien für Ihre Cloudplattform.Review your cloud platform's security guidelines. Die entsprechenden Angaben für Azure finden Sie im Microsoft Service Trust Portal.For Azure these can be found in the Microsoft Service Trust Portal.
  • Bestimmen Sie, ob Ihre Richtlinie für die Sicherheitsbaseline einen Security Development Lifecycle beinhaltet.Determine whether your Security Baseline policy includes a security development lifecycle.
  • Bewerten Sie Geschäftsrisiken in Bezug auf Netzwerk, Daten und Ressourcen auf der Grundlage der nächsten ein bis drei Releases, und bemessen Sie die Toleranz Ihres Unternehmens gegenüber diesen Risiken.Evaluate network, data, and asset-related business risks based on the next one to three releases, and gauge your organization's tolerance for those risks.
  • Lesen Sie den Bericht zu den wichtigsten Trends bei der Cybersicherheit von Microsoft, um einen Überblick über die aktuelle Sicherheitslandschaft zu erhalten.Review Microsoft's top trends in cybersecurity report for an overview of the current security landscape.
  • Ziehen Sie die Entwicklung einer Rolle vom Typ DevSecOps in Ihrer Organisation in Betracht.Consider developing a DevSecOps role in your organization.

Erstellung und Aktivitäten vor der BereitstellungBuild and predeployment

Für die erfolgreiche Migration einer Umgebung muss eine Reihe von technischen und nicht technischen Voraussetzungen erfüllt sein.Several technical and nontechnical prerequisites are required to successful migrate an environment. Bei diesem Prozess geht es primär um die Entscheidungen, die Bereitschaft und die grundlegende Infrastruktur, die eine Migration vorantreiben.This process focuses on the decisions, readiness, and core infrastructure that proceeds a migration.

Mindestens empfohlene Aktivitäten:Minimum suggested activities:

  • Implementieren Sie Ihre Sicherheitsbaseline-Toolkette in einer Phase vor der Bereitstellung.Implement your Security Baseline toolchain by rolling out in a predeployment phase.
  • Aktualisieren Sie das Dokument mit Architekturrichtlinien, und geben Sie dieses an die wichtigsten Beteiligten weiter.Update the architecture guidelines document and distribute to key stakeholders.
  • Implementieren Sie Sicherheitsaufgaben in Ihrem priorisierten Migrationsbacklog.Implement security tasks on your prioritized migration backlog.
  • Entwickeln Sie Schulungsmaterialien und Dokumentation, Materialien zum Bekanntmachen der Migration, Incentives und weitere Programme, um die Akzeptanz durch die Benutzer zu unterstützen.Develop educational materials and documentation, awareness communications, incentives, and other programs to help drive user adoption.

Potenzielle Aktivitäten:Potential activities:

  • Bestimmen Sie die Verschlüsselungsstrategie Ihrer Organisation für in der Cloud gehostete Daten.Determine your organization's encryption strategy for cloud-hosted data.
  • Bewerten Sie die Identitätsstrategie Ihrer Cloudbereitstellung.Evaluate your cloud deployment's identity strategy. Bestimmen Sie, wie Ihre cloudbasierte Identitätslösung mit lokalen Identitätsanbietern koexistieren oder in diese integriert werden kann.Determine how your cloud-based identity solution will coexist or integrate with on-premises identity providers.
  • Bestimmen Sie Richtlinien für die Netzwerkgrenze für Ihren Software Defined Networking (SDN)-Entwurf, um sichere virtualisierte Netzwerkfunktionen zu gewährleisten.Determine network boundary policies for your Software Defined Networking (SDN) design to ensure secure virtualized networking capabilities.
  • Bewerten Sie die Richtlinien für den Zugriff mit den geringsten Rechten Ihrer Organisation, und verwenden Sie aufgabenbasierte Rollen, um den Zugriff auf bestimmte Ressourcen zu ermöglichen.Evaluate your organization's least-privilege access policies, and use task-based roles to provide access to specific resources.
  • Wenden Sie Sicherheits- und Überwachungsmechanismen auf alle Clouddienste und virtuellen Computer an.Apply security and monitoring mechanisms to all cloud services and virtual machines.
  • Automatisieren Sie Sicherheitsrichtlinien, wo dies möglich ist.Automate security policies where possible.
  • Überprüfen Sie Ihre Richtlinie für die Sicherheitsbaseline, und bestimmen Sie, ob Sie Ihre Pläne gemäß den Anleitungen für Best Practices, wie sie z. B. im Security Development Lifecycle angegeben sind, ändern müssen.Review your Security Baseline policy and determine whether you need to modify your plans according to best practices guidance such as those outlined in the security development lifecycle.

Einführen und MigrierenAdopt and migrate

Migration ist ein inkrementeller Prozess, bei dem der Schwerpunkt auf der Verlagerung, dem Testen und der Übernahme von Anwendungen oder Workloads in einem vorhandenen digitalen Bestand liegt.Migration is an incremental process that focuses on the movement, testing, and adoption of applications or workloads in an existing digital estate.

Mindestens empfohlene Aktivitäten:Minimum suggested activities:

  • Migrieren Sie Ihre Sicherheitsbaseline-Toolkette von der Phase vor der Bereitstellung in die Produktionsphase.Migrate your Security Baseline toolchain from predeployment to production.
  • Aktualisieren Sie das Dokument mit Architekturrichtlinien, und geben Sie dieses an die wichtigsten Beteiligten weiter.Update the architecture guidelines document and distribute to key stakeholders.
  • Entwickeln Sie Schulungsmaterialien und Dokumentation, Materialien zum Bekanntmachen der Migration, Incentives und weitere Programme, um die Akzeptanz durch die Benutzer zu unterstützen.Develop educational materials and documentation, awareness communications, incentives, and other programs to help drive user adoption.

Potenzielle Aktivitäten:Potential activities:

  • Überprüfen Sie die neuesten Informationen zur Sicherheitsbaseline und Bedrohungen, um neue Geschäftsrisiken zu identifizieren.Review the latest security baseline and threat information to identify any new business risks.
  • Bemessen Sie die Toleranz Ihrer Organisation gegenüber neuen Sicherheitsrisiken, die auftreten können.Gauge your organization's tolerance to handle new security risks that may arise.
  • Identifizieren Sie Abweichungen von der Richtlinie, und erzwingen Sie Korrekturen.Identify deviations from policy, and enforce corrections.
  • Passen Sie die Automatisierung der Sicherheit und Zugriffssteuerung an, um maximale Richtlinienkonformität zu gewährleisten.Adjust security and access control automation to ensure maximum policy compliance.
  • Überprüfen Sie, ob die in der Erstellungsphase und der Phase vor der Bereitstellung definierten bewährten Methoden ordnungsgemäß ausgeführt werden.Validate that the best practices defined during the build and predeployment phases are properly executed.
  • Überprüfen Sie Ihre Richtlinien für den Zugriff mit den geringsten Rechten, und passen Sie Zugriffssteuerungen an, um die Sicherheit zu maximieren.Review your least-privilege access policies and adjust access controls to maximize security.
  • Testen Sie Ihre Sicherheitsbaseline-Toolkette anhand Ihrer Workloads, um Sicherheitsrisiken zu identifizieren und zu beheben.Test your Security Baseline toolchain against your workloads to identify and resolve any vulnerabilities.

Betrieb und Aufgaben nach der ImplementierungOperate and post-implementation

Nachdem die Transformation abgeschlossen ist, müssen Governance und Betrieb während des natürlichen Lebenszyklus einer Anwendung oder Workload bestehen bleiben.Once the transformation is complete, governance and operations must live on for the natural lifecycle of an application or workload. In dieser Entwicklungsphase der Governance geht es um die Aktivitäten, die üblicherweise ausgeführt werden, nachdem die Lösung implementiert wurde und der Transformationszyklus sich zu stabilisieren beginnt.This phase of governance maturity focuses on the activities that commonly come after the solution is implemented and the transformation cycle begins to stabilize.

Mindestens empfohlene Aktivitäten:Minimum suggested activities:

  • Überprüfen und optimieren Sie Ihre Sicherheitsbaseline-Toolkette.Validate and refine your Security Baseline toolchain.
  • Passen Sie Benachrichtigungen und Berichte an, damit Sie bei potenziellen Sicherheitsproblemen gewarnt werden.Customize notifications and reports to alert you of potential security issues.
  • Optimieren Sie die Architekturrichtlinien, um zukünftige Übernahmeprozesse zu unterstützen.Refine the architecture guidelines to guide future adoption processes.
  • Informieren und schulen Sie die betroffenen Teams regelmäßig, um die kontinuierliche Einhaltung der Architekturrichtlinien sicherzustellen.Communicate and educate the affected teams periodically to ensure ongoing adherence to architecture guidelines.

Potenzielle Aktivitäten:Potential activities:

  • Ermitteln Sie Muster und Verhalten für Ihre Workloads, und konfigurieren Sie Ihre Überwachungs- und Berichtstools, um ungewöhnliche Aktivitäten, Zugriffe oder Ressourcennutzung zu identifizieren und darüber zu informieren.Discover patterns and behavior for your workloads and configure your monitoring and reporting tools to identify and notify you of any abnormal activity, access, or resource usage.
  • Aktualisieren Sie kontinuierlich Ihre Richtlinien für die Überwachung und Berichterstellung, um die neuesten Sicherheitsrisiken, Exploits und Angriffe zu erkennen.Continuously update your monitoring and reporting policies to detect the latest vulnerabilities, exploits, and attacks.
  • Stellen Sie Verfahren bereit, um nicht autorisierten Zugriff schnell zu stoppen und Ressourcen zu deaktivieren, die möglicherweise durch einen Angreifer kompromittiert wurden.Have procedures in place to quickly stop unauthorized access and disable resources that may have been compromised by an attacker.
  • Überprüfen Sie regelmäßig die neuesten Best Practices für Sicherheit, und wenden Sie nach Möglichkeit Empfehlungen für Ihre Sicherheitsrichtlinie, Automatisierung und Überwachungsfunktionen an.Regularly review the latest security best practices and apply recommendations to your security policy, automation, and monitoring capabilities where possible.

Nächste SchritteNext steps

Nachdem Sie nun das Konzept von Cloud-Sicherheitsgovernance verstanden haben, erfahren Sie mehr darüber, welche Anleitungen für Sicherheit und Best Practices von Microsoft für Azure bereitgestellt werden.Now that you understand the concept of cloud security governance, move on to learn more about what security and best practices guidance Microsoft provides for Azure.