Biztonsági akadályok, amit áthajózhat – egy építész nézőpontja
Ebben a cikkben Kozeta Garrett, a Microsoft kiberbiztonsági mérnöke ismerteti azokat a legfontosabb biztonsági kihívásokat, amelyekkel a nagyvállalati szervezeteknél találkozik, és megoldásokat javasol ezekre az akadályokra.
A szerzőről
Felhőbiztonsági mérnökként több szervezettel dolgoztam együtt, hogy stratégiai és technikai útmutatást nyújtsak a Biztonsági architektúra tervezéséhez és implementálásához a Microsoft 365-be és az Azure-ba migrált ügyfelek számára, nagyvállalati biztonsági megoldások fejlesztése, valamint a biztonsági architektúra és a kulturális környezet átalakítása az üzleti rugalmasság érdekében. Tapasztalataim közé tartozik az incidensek észlelése és elhárítása, a kártevők elemzése, a behatolástesztelés, valamint az informatikai biztonság és a védelem állapotának javítása. Szenvedélyesen foglalkozom a vezető átalakításokkal, amelyek a biztonságot teszik lehetővé az üzlet számára, beleértve a modernizálási erőfeszítéseket is.
Nagyon elégedett volt azzal, hogy az elmúlt néhány évben a biztonsági modernizáció szemléletét elfogadó szervezetek milyen nagyszerű helyzetben vannak, ami lehetővé teszi számukra, hogy a COVID-19 jelenlegi helyzete ellenére is biztonságosan működjenek távolról. Sajnos ezek a körülmények ébresztőként is szolgáltak egyes ügyfelek számára, akik nem voltak készek erre az azonnali igényre. Számos szervezet felismerte, hogy gyorsan modernizálnia kell, ki kell vonnia a halmozott informatikai biztonsági adósságát, és egyik napról a másikra javítania kell a biztonsági helyzetüket, hogy ilyen rendkívül szokatlan körülmények között működhessenek.
A jó hír az, hogy a Microsoft válogatott néhány nagyszerű forrást, hogy segítsen a szervezeteknek gyorsan felerősíteni a biztonsági helyzetüket. Ezen erőforrások mellett szeretném megosztani a legnagyobb kihívásokat, amelyekkel naponta találkoztam az ügyfelekkel abban a reményben, hogy áthajózhat ezeken az akadályokon.
Jelenleg Észak-Virginiában élek, közel az ország fővárosához, Washington-hoz. Imádom a szabadtéri tevékenységek és a testmozgás minden formáját, például a futást, a kerékpározást, a túrázást és az úszást. Hogy ellen ezek élvezem, mint annyi főzés, ínyenc étel, és utazás.
Partner a biztonsági csapattal a felhőbevezetés kezdetétől
Először is nem tudom eléggé hangsúlyozni, mennyire fontos, hogy a szervezet csapatai a kezdetektől koordináljanak. A biztonsági csapatokat kritikus partnerekként kell használni a felhő bevezetésének és tervezésének korai szakaszában. Ez azt jelenti, hogy a biztonsági csapatok nem csak a vállalat által hozzáadott képességek (például a biztonságos mobileszközök, a teljes funkcionalitású alkalmazások nagyszerű felhasználói élménye, vagy a korlátozott funkcionalitású e-mail- és hatékonyságnövelő alkalmazásokon túl a vállalati adatok értékének megteremtése) mellett a tárolási, AI- és számítástechnikai elemzési képességeket is kihasználják, amelyek segítenek megoldani az új és régi biztonsági kihívásokat. A sikeresség érdekében a biztonsági csapatokat is be kell vonni a váltás minden aspektusának kezelésébe, beleértve a személyeket (kultúrát), a folyamatokat (képzést) és a technológiát. Emellett a Security Operations Center (SOC) modernizálásába és folyamatos fejlesztésébe való befektetést is jelenti. Együttműködve összehangolhatja biztonsági stratégiáját az üzleti stratégiával és a környezeti trendekkel, hogy a digitális átalakítás biztonságosan történjen. Ha ez jól történik, a szervezetek gyorsabban alkalmazkodnak a változásokhoz, beleértve az üzleti, informatikai és biztonsági változásokat is.
Ahol az ügyfelek a legnagyobb akadályt tapasztalják, az az, hogy nincs valódi partnerség az üzemeltetés és az SOC-csapatok között. Bár az üzemeltetési csapatra szigorú határidőkkel van szükség a felhő bevezetéséhez, a biztonsági csapatok nem mindig kerülnek bele az átfogó biztonsági stratégia felülvizsgálatának és megtervezésének folyamatába. Ez magában foglalja a különböző felhőösszetevők és -összetevők helyszíni integrálását. A partnerség hiánya tovább bonyolítja a különböző csapatokat, amelyek úgy tűnik, hogy silókban dolgoznak az egyes összetevők vezérlőinek implementálásához, ami az implementálás, a hibaelhárítás és az integráció összetettebbé tétele.
Azok az ügyfelek, akik áthajóznak ezen akadályokon, jó partneri viszonyban vannak az üzemeltetéssel és irányítással, valamint a biztonsági és kockázatkezelési csapatokkal a hibrid felhőbeli számítási feladatok védelmére vonatkozó biztonsági stratégia és követelmények átdolgozása érdekében. A végső biztonsági célokra és eredményekre összpontosítanak – az adatvédelemre, valamint a rendszerek és szolgáltatások rendelkezésre állására a kiberbiztonsági szabályozással, kockázatokkal és megfelelőségi követelményekkel összhangban. Ezek a szervezetek korai szintű partnerségeket fejlesztenek az üzemeltetési és irányítási csapat és az SOC között, amely kritikus fontosságú a biztonsági tervezési megközelítés szempontjából, és maximalizálni fogja befektetéseik értékét.
Modern (identitásalapú) biztonsági szegélyhálózat létrehozása
A következő lépés egy Teljes felügyelet architektúra-megközelítés bevezetése. Ez egy modern, identitásalapú biztonsági szegély kiépítésével kezdődik. Tervezze meg azt a biztonsági architektúrát, amelyben a rendszer minden olyan hozzáférési kísérletet nem megbízhatóként kezel, amely a helyszínen vagy a felhőben történik, amíg az ellenőrzés nem történik meg – "soha ne bízzon meg, mindig ellenőrizze". Ez a kialakítási megközelítés nemcsak növeli a biztonságot és a hatékonyságot, hanem lehetővé teszi a felhasználók számára, hogy bárhonnan, bármilyen eszköztípussal dolgoznak. A Microsoft 365-höz mellékelt kifinomult felhővezérlők segítenek megvédeni a felhasználók identitását, miközben a felhasználói kockázati szint alapján szabályozhatják az értékes erőforrásokhoz való hozzáférést.
Ajánlott konfigurációért lásd: Identitás- és eszközhozzáférés-konfigurációk.
Biztonsági vezérlők átvezetése a felhőbe
Számos biztonsági csapat még mindig a helyszíni környezethez készült hagyományos ajánlott biztonsági eljárásokat használja, beleértve a "szegélyhálózati biztonság" fenntartását, valamint a helyszíni biztonsági eszközök és vezérlők felhőmegoldásokra való kényszerítését. Az ilyen vezérlőket nem a felhőhöz tervezték, hatástalanok, és akadályozzák a modern felhőképességek bevezetését. A peremhálózati biztonsági megközelítéshez használható folyamatok és eszközök nem hatékonynak, a felhőbeli képességeknek pedig obstruktívnak bizonyultak, és nem teszik lehetővé a modern és automatizált biztonsági funkciók kihasználását.
Ezt az akadályt a védelmi stratégiák felhő által felügyelt védelemre, automatizált vizsgálatra és szervizelésre, automatizált behatolástesztelésre, Office 365-höz készült Defender és incidenselemzésre való áttérésével háríthatja el. A modern eszközfelügyeleti megoldásokat használó ügyfelek automatizált felügyeletet, szabványos javításokat, víruskeresőt, szabályzatkényszerítést és alkalmazásvédelmet valósítottak meg minden eszközön (okostelefon, személyi számítógép, laptop vagy táblagép). Ez szükségtelenné teszi a VPN, a Microsoft System Center Configuration Manager (SCCM) és az Active Directory-csoportszabályzatok használatát. Ez a feltételes hozzáférési szabályzatokkal kombinálva hatékony vezérlést és láthatóságot biztosít, valamint zökkenőmentes hozzáférést biztosít az erőforrásokhoz, függetlenül attól, hogy a felhasználók honnan működnek.
Törekedjen a "legjobb együtt" biztonsági eszközökre
Egy másik akadály látom, hogy az ügyfelek megbotlanak, hogy a "legjobb fajta" megközelítést használják a biztonsági eszközökhöz. A "legjobb fajta" pontmegoldások folyamatos rétegezése a felmerülő biztonsági igények kielégítésére a vállalati biztonság lebontását eredményezi. A legtöbb környezetben az eszközök még a legjobb szándékkal sem integrálva lesznek, mert túl drágák és összetettek lesznek. Ez viszont hiányosságokat okoz a láthatóságban, mivel több riasztást kell osztályoznia, mint amennyit a csapat kezelni tud. A SecOps-csapat új eszközökre való újratanítása szintén állandó kihívást jelent.
Az "egyszerű a jobb" megközelítés a biztonság szempontjából is működik. Ahelyett, hogy a "legjobb fajta" eszközöket követik, áthajóznak ezen az akadályon egy "legjobb együtt" stratégiával, amely alapértelmezés szerint együttműködik. A Microsoft biztonsági képességei az alkalmazásokra, felhasználókra és felhőkre kiterjedő integrált fenyegetésvédelemmel védik a teljes szervezetet. Az integráció lehetővé teszi a szervezet számára, hogy rugalmasabb legyen, és csökkentse a kockázatokat azáltal, hogy a támadókat a belépéskor és gyorsan elhárítja a támadásokat.
A biztonság és a funkciók egyensúlya
Mivel hosszú kiberbiztonsági háttérrel és tapasztalattal rendelkezem, inkább a legbiztonságosabb konfigurációval kezdek, és lehetővé teszi a szervezetek számára, hogy működési és biztonsági igényeiknek megfelelően enyhítsék a biztonsági konfigurációkat. Ez azonban a funkciók elvesztésének és a gyenge felhasználói élménynek a nagy ára lehet. Amint azt számos szervezet megtanulta, ha a biztonság túl nehéz a felhasználók számára, módot fognak találni a megkerülő megoldásra, beleértve a nem felügyelt felhőszolgáltatások használatát is. Bármennyire is nehéz elfogadni, rájöttem, hogy a kényes funkcionalitás és biztonság egyensúlyát el kell érni.
Azok a szervezetek, amelyek ráébrednek, hogy a felhasználók mindent megtesznek a munkájuk elvégzéséhez, elismerik, hogy az "árnyék informatikai csata" nem érdemes harcolni. Felismerik, hogy az informatikai alkalmazottak a legnagyobb bűnelkövetők, amikor az árnyék informatikáról és a nem jóváhagyott SaaS-alkalmazások használatáról van szó. Áttértek a stratégiájukra, hogy ösztönözzék a használatát (ahelyett, hogy elnyomnák), és arra összpontosítanak, hogy mérsékeljék az általa létrehozható kockázatokat. A szervezet biztonsági csapatai nem ragaszkodnak ahhoz, hogy minden le legyen tiltva, naplózva, és fordított proxyn vagy VPN-en keresztül legyen elküldve. Ehelyett ezek a biztonsági csapatok megduplázzák erőfeszítéseiket, hogy megvédjék az értékes és bizalmas adatokat attól, hogy rossz felek vagy rosszindulatú alkalmazások számára legyenek kitéve. Az adatok integritásának védelme érdekében dolgoznak. Teljes mértékben kihasználják a fejlett felhőinformáció-védelmi képességeket, beleértve a titkosítást, a biztonságos többtényezős hitelesítést, az automatizált kockázatot és megfelelőséget, valamint a felhőhozzáférés-biztonsági közvetítő (CASB) képességeit, miközben lehetővé teszik vagy akár ösztönzik a védett megosztást több platformon. Az árnyék informatikát inspiráló kreativitássá, termelékenységgé és együttműködéssé alakítják, ami lehetővé teszi, hogy vállalkozásuk a verseny élvonalában maradjon.
Módszertani megközelítés alkalmazása
A legtöbb kihívás, amelyet a felhőbiztonság különböző szervezeteknél való implementálásával tapasztaltam, iparágtól függetlenül, nagyon hasonlóak voltak. Először is, bár rengeteg nagyszerű dokumentáció található az egyes képességekről és funkciókról, a szervezeti szinten bizonyos szintű zavart kelt az, hogy mi vonatkozik rájuk, hol fedik egymást a biztonsági funkciók, és hogyan kell integrálni a képességeket. Az is bizonytalan, hogy mely biztonsági funkciók vannak előre konfigurálva, és amelyekhez a szervezet konfigurálására van szükség. Emellett az SOC-csapatok sajnos nem rendelkeztek a felhő gyors bevezetésére és a digitális átalakulásra való felkészüléshez szükséges teljes expozícióval, képzéssel vagy költségvetés-elosztással.
Az akadályok elhárításához a Microsoft számos olyan forrásanyagot válogatott össze, amelyek segítségével módszeresen közelítheti meg a biztonsági stratégiát és a megvalósítást.
| Erőforrás | További információ |
|---|---|
| Az otthonról történő munkavégzést támogató biztonsági csapatok legfontosabb feladatai | Ha hirtelen egy többnyire otthoni munkaerőt támogat, ez a cikk segít a biztonság gyors felfutásában. A licenccsomag alapján ajánlott leggyakoribb feladatokat tartalmazza. |
| A Microsoft 365 Teljes felügyelet üzembe helyezési terve | Ez a cikk az Teljes felügyelet biztonság a Microsoft 365-ben való kiépítéséhez nyújt telepítési tervet. Tartalmaz egy letölthető posztert, a segítségével nyomon követheti az előrehaladást. |
| Teljes felügyelet útmutató központ | Ismerje meg a Teljes felügyelet biztonsági modellt, annak alapelveit, valamint a Teljes felügyelet architektúra üzembe helyezési tervekkel történő implementálásának módját. |
| docs.security.com/security | Technikai útmutató a Microsofttól a biztonsági stratégiához és az architektúrához. |
Ezeket az erőforrásokat úgy tervezték, hogy kiindulási pontként használják, és a szervezet igényeihez igazodjanak.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: