Erhöhen der Sicherheit von Zielzonen

  • Artikel

Wenn eine Workload oder die Zielzonen, in der sie gehostet wird, den Zugriff auf vertrauliche Daten oder unternehmenskritische Systeme erfordern, ist es wichtig, die Daten und Ressourcen zu schützen.

Sicher

Da Sie den Zustand „Bereit“ verlassen, sind Sie weiterhin dafür verantwortlich, die Sicherheit Ihrer Umgebung zu gewährleisten. Cloudsicherheit ist auch ein inkrementeller Prozess und nicht nur ein statisches Ziel. Konzentrieren Sie sich auf die Ziele und die wichtigsten Ergebnisse, wenn Sie sich einen Endzustand für die Sicherheit vorstellen. Ordnen Sie Konzepte, Frameworks und Standards den Disziplinen in der CAF Secure-Methodik zu, und ordnen Sie ihnen Rollen und Verantwortlichkeiten für die einzelnen Disziplinen zu. Die Secure-Methodik bietet einen Leitfaden.

Nachfolgend finden Sie eine Übersicht über diesen Leitfaden mit Links zu den Details.

Erkenntnisse über Risiken

Geschäftsvorgänge weisen Sicherheitsrisiken auf. Das Sicherheitsteam sollte Entscheidungsträger darüber informieren und beraten, wie Sicherheitsrisiken in ihre Frameworks passen, indem es das Geschäft versteht und Sicherheitsmaßnahmen verwendet, um zu erkennen, welches Risiko angemessen zu planen ist und welche Maßnahmen zu ergreifen sind.

  • Was ist ein Cybersicherheitsrisiko?: Alle potenziellen Beschädigungen oder Zerstörungen des Unternehmens, die durch menschliche Angreifer verursacht werden, die versuchen, Geld, Insiderinformationen oder Technologie zu stehlen.
  • Sicherheitsrisikomanagement ausrichten: Investieren Sie in das Bridging von Cybersicherheit und Unternehmensführung, um Sicherheitsbedrohungen unter Verwendung einer geschäftsfreundlichen Terminologie zu erläutern, aktiv zuzuhören und mit allen Mitarbeitern des Unternehmens zu kommunizieren.
  • Grundlegendes zum Cybersicherheitsrisiko: Verstehen Sie die Motivationen und Verhaltensmuster menschlicher Angreifer, um Geld, Informationen oder Technologie zu stehlen, und erkennen Sie die möglichen Auswirkungen verschiedener Arten von Angriffen.

Sicherheitsintegration

Stellen Sie sicher, dass die Sicherheit ein organisatorisches Anliegen ist und nicht einer einzelnen Gruppe obliegt. Sicherheitsintegration: Diese bietet Ihnen eine Anleitung, wie Sie die Sicherheit in die Aufgaben aller Mitarbeiter integrieren und gleichzeitig die Reibungspunkte bei den Geschäftsprozessen minimieren können. Spezifische Anleitungen umfassen Folgendes:

  • Normalisierungsbeziehungen: Stellen Sie sicher, dass alle Teams in Sicherheitsteams integriert sind und ein gemeinsames Verständnis der Sicherheitsziele haben. Außerdem sollten Sie das richtige Maß an Sicherheitskontrollelementen finden und sicherstellen, dass die Kontrollen nicht den Geschäftswert überwiegen.
  • Integration in IT- und Geschäftsvorgänge: Stimmen Sie die Implementierung von Sicherheitsupdates ab und stellen Sie dar, wie sich alle Sicherheitsprozesse auf das aktuelle Geschäft und potenzielle Sicherheitsrisiken in der Zukunft auswirken.
  • Integration von Sicherheitsteams: Vermeiden Sie das Arbeiten in Silos, indem Sie auf aktive Bedrohungen reagieren und den Sicherheitsstatus des Unternehmens kontinuierlich verbessern, indem Sie Sicherheit als dynamische Disziplin praktizieren.

Geschäftliche Resilienz

Auch wenn Unternehmen nie über perfekte Sicherheit verfügen können, gibt es immer noch den pragmatischen Ansatz der geschäftlichen Resilienz, bei der der gesamte Lebenszyklus eines Sicherheitsrisikos vor, während und nach einem Vorfall berücksichtigt wird.

  • Resilienzziele: Konzentrieren Sie sich darauf, Ihr Unternehmen in die Lage zu versetzen, schnell Innovationen zu entwickeln, die Auswirkungen zu begrenzen und stets sichere Wege für die Einführung von Technologie zu finden.
  • Sicherheitsresilienz und Annahme von Sicherheitsverletzungen: Gehen Sie von einer Sicherheitsverletzung oder einer Gefährdung aus, um dem Zero Trust-Schlüsselprinzip zu folgen und pragmatisches Sicherheitsverhalten zu praktizieren, um Angriffe zu verhindern, den Schaden zu begrenzen und sich schnell davon zu erholen.

Zugriffssteuerung

Entwickeln Sie eine Strategie für die Zugriffssteuerung, die sowohl die Benutzererfahrung als auch die Sicherheitszusicherungen in Einklang bringt.

  • Vom Sicherheitsperimeter zu Zero Trust: Verfolgen Sie einen Zero Trust-Ansatz für die Zugriffssteuerung, um die Sicherheit bei der Arbeit in der Cloud und mithilfe neuer Technologien zu gewährleisten und zu verbessern.
  • Moderne Zugriffssteuerung: Erstellen Sie eine Strategie für die Zugriffssteuerung, die umfassend, konsistent und flexibel ist. Gehen Sie über eine einzelne Taktik oder Technologie für mehrere Workloads, Clouds und verschiedene vertrauliche Geschäftsbereiche hinaus.
  • Bekannt, vertrauenswürdig, zulässig: Befolgen Sie den dynamischen dreistufigen Prozess, um eine bekannte Authentifizierung sicherzustellen, dem Benutzer oder Gerät zu vertrauen und die entsprechenden Rechte und Privilegien für die Anwendung, den Dienst oder die Daten zuzulassen.
  • Datengesteuerte Zugriffsentscheidungen: Treffen Sie fundierte Entscheidungen auf der Grundlage der vielfältigen Daten über Benutzer und Geräte, um eine explizite Validierung zu erfüllen.
  • Segmentierung: Schutz durch Trennung: Erstellen Sie Grenzen als getrennte Segmente einer internen Umgebung, um Schäden durch erfolgreiche Angriffe zu begrenzen.
  • Isolation: Firewall vermeiden und vergessen: Entwerfen Sie eine extreme Form der Segmentierung für geschäftskritische Ressourcen, die aus folgenden Elementen besteht: Menschen, Prozesse und Technologie.

Sicherheitsvorgänge

Richten Sie Sicherheitsvorgänge ein, indem Sie Risiken reduzieren, schnell reagieren und wiederherstellen, um Ihr Unternehmen zu schützen und der Sicherheitsdisziplin des DevOps-Prozesses zu folgen.

  • Personen und Prozesse: Erstellen Sie eine Kultur, in der Sie Ihren Mitarbeitern Tools an die Hand geben, die sie zu Ihrer wertvollsten Ressource machen, und diversifizieren Sie Ihr Ideenportfolio, indem Sie nicht technische Mitarbeiter mit fundiertem Hintergrundwissen in forensische Ermittlungsaufgaben einbeziehen und trainieren.
  • Modell für Sicherheitsvorgänge: Konzentrieren Sie sich auf die Ergebnisse von Incident Management, Vorbereitung auf Vorfälle und Threat Intelligence. Delegieren Sie die Ergebnisse zwischen den untergeordneten Teams, um bei umfangreichen und komplexen Vorfällen eine Selektierung, Untersuchung und Suche durchzuführen.
  • SecOps-Geschäftsberührungspunkte: Interagieren Sie mit der Geschäftsleitung, um über größere Vorfälle zu informieren und die Auswirkungen auf kritische Systeme zu bestimmen. Kontinuierliche gemeinsame Praxisreaktion zur Reduzierung des organisatorischen Risikos.
  • SecOps-Modernisierung: Entwickeln Sie die Sicherheitsvorgänge weiter, indem Sie den Trends in Bezug auf Plattformabdeckung, identitätszentrierte Sicherheit, IoT- und OT-Geräte und relevante Telemetrie aus der Cloud folgen.

Ressourcenschutz

Sichern Sie geschäftskritische Ressourcen, zu denen alle physischen und virtuellen Elemente gehören, durch die Implementierung von Sicherheitskontrollelementen, die für jede Art von Ressource spezifisch sind. Führen Sie konsequent präventiven und erkennenden Schutz durch, um Richtlinien, Standards und Architekturanforderungen zu erfüllen.

  • Schutz einrichten: Bringen Sie Ihre Ressourcen auf den neuesten Stand der Sicherheitsstandards und Richtlinien Ihres Unternehmens, indem Sie aktuelle Kontrollen auf Brownfield-Ressourcen anwenden und sicherstellen, dass Greenfield-Ressourcen auf die neuesten Standards festgelegt sind.
  • Schutz erhalten: Praktizieren Sie eine kontinuierliche Cloudverbesserung, und planen Sie Upgrades oder die Außerbetriebnahme von Software, die nicht mehr benötigt wird, da sich die Geschäfts-, Technologie- und Sicherheitsanforderungen schnell ändern.
  • Erste Schritte: Beginnen Sie mit dem Schutz Ihrer Ressourcen, indem Sie sich zunächst auf bekannte Cloudressourcen konzentrieren und bekannte und bewährte Anbieter/Branchenbaselines für Ihre Sicherheitskonfiguration verwenden.
  • Wichtige Informationen: Verwenden Sie Schlüsselelemente von verantwortlichen und verantwortlichen Teams, um unternehmensweite Ressourcen zu verwalten, z. B. den Bedarf an Workloads in der Cloudelastizität und Entwurfssteuerelementen, um bewährte Methoden zu identifizieren. Messen Sie den Geschäftswert des Schutzes von Ressourcen und bevorzugen Sie automatisierte Richtlinien, um Kosten und manuelle Wiederholungen zu vermeiden.

Sicherheitsgovernance

Führen Sie die Aufsicht und Überwachung mit der Sicherheitsgovernance durch, um die Sicherheit im Laufe der Zeit aufrechtzuerhalten und zu verbessern, indem Sie Geschäftsziele und Risiken verwenden, um die beste Richtung für die Sicherheit zu bestimmen.

  • Compliance und Berichterstellung: Sowohl die externen als auch die internen Richtlinien zur Sicherheit müssen den gesetzlichen Anforderungen der jeweiligen Branche entsprechen.
  • Architektur und Standards: Erstellen Sie eine einheitliche Übersicht über Ihren Unternehmensbestand, denn die meisten Unternehmen entsprechen einer Hybridumgebung, die sowohl lokale als auch Cloudressourcen umfasst.
  • Verwaltung des Sicherheitsstatus: Planen Sie eine Governance zur Überwachung der Sicherheitsstandards, zur Bereitstellung von Anleitungen und zur Verbesserung der Prozesse. Bewahren Sie Ihre Agilität, indem Sie die Governance durch Richtlinien und kontinuierliche Verbesserungen vorantreiben.
  • Governance und Schutzdisziplinen: Wenden Sie Sicherheitskontrollelemente an und geben Sie Feedback, um die besten Lösungen zu ermitteln.
  • Governance und Sicherheitsvorgänge: Stellen Sie sicher, dass die aus Vorfällen gezogenen Lehren in den Sicherheitsbetrieb und die Unternehmensführung integriert werden.

Innovationssicherheit

Schützen Sie die Innovationsprozesse und -daten vor Cyberangriffen, da neue Anwendungen mit Blick auf die Innovationssicherheit entwickelt werden.

  • Was ist DevSecOps?: Integrieren Sie die Sicherheit in den bereits kombinierten Prozess von Entwicklung und Betrieb in DevOps, um die Risiken im Innovationsprozess zu mindern.
  • Sicherheit von Anfang an: Beziehen Sie die Sicherheit in alle Phasen des DevOps-Lebenszyklus ein und lassen Sie die Teams auf Innovationsgeschwindigkeit, Zuverlässigkeit und Resilienz achten.
  • Warum DevSecOps?: Die Sicherung des DevOps-Prozesses schützt vor Angreifern, die Schwachstellen in der gesamten IT-Infrastruktur Ihres Unternehmens ausnutzen, was wiederum Ihre Kunden schützt.
  • DevSecOps-Journey: Verwenden Sie Ideenentwicklung und DevOps wie die meisten Unternehmen als zweistufigen Prozess. Ermitteln Sie die MVP-Anforderungen (Minimum Viable Product), verwenden Sie Führungstechniken, um Konflikte im Team zu lösen, und integrieren Sie Sicherheit in bestehende Prozesse und Tools.
  • Tipps zur Navigation: Bei der Transformation Ihrer Sicherheitsprozesse werden Sie immer wieder vor Herausforderungen stehen, die mit Ausbildung, Zeit, Ressourcen und dem allgemeinen Wandel der IT-Abläufe zusammenhängen.

DevSecOps-Kontrollen

Fügen Sie bei der Erstellung von DevSecOps-Kontrollen Sicherheit zu jeder Phase der Continuous Integration und Continuous Delivery (CI/CD) hinzu.

  • Planen und Entwickeln: Bringen Sie die Sicherheit in die Planungsphase moderner Entwicklungsmethoden ein, um Bedrohungsmodellierung, IDE-Sicherheits-Plug-Ins/Pre-Commit und Peer Review zu implementieren.
  • Code committen: Werten Sie Ihre zentralen Repositorys hinsichtlich Sicherheitsrisiken aus, und implementieren Sie eine entsprechende Funktion, um Risiken zu entdecken und zu beheben.
  • Erstellen und Testen: Verwenden Sie Build- und Releasepipelines zur Automatisierung und Standardisierung der Prozesse zur Erstellung und Bereitstellung von sicherem Code, ohne viel Zeit für die erneute Bereitstellung oder das Upgrade bestehender Umgebungen aufwenden zu müssen.
  • Produktion und Betrieb starten: Überwachen und verwalten Sie den Zustand der Sicherheit, wenn die Lösung in Produktion geht. Verwenden Sie Tools zum Überprüfen der Infrastruktur und Methoden für Penetrationstests, damit die Teams Risiken und Sicherheitsrisiken finden können, die es zu beheben gilt.

Testgesteuerter Entwicklungszyklus

Bevor irgendwelche Sicherheitsverbesserungen in Angriff genommen werden, ist es wichtig, die „Definition of Done“ und alle „Akzeptanzkriterien“ zu verstehen. Weitere Informationen finden Sie in den Artikeln Testgesteuerte Entwicklung von Zielzonen und Testgesteuerte Entwicklung in Azure.

Nächste Schritte

Erfahren Sie, wie Sie den Betrieb von Zielzonen verbessern, um entscheidende Anwendungen zu unterstützen.

Verbessern des Betriebs von Zielzonen