Guida alla governance aziendale standard: migliorare la disciplina della linea di base di sicurezzaStandard enterprise governance guide: Improve the Security Baseline discipline

In questo articolo viene avanzata la Descrizione della strategia di governance mediante l'aggiunta di controlli di sicurezza che supportano lo spostare dati protetti nel cloud.This article advances the governance strategy narrative by adding security controls that support moving protected data to the cloud.

Avanzamento della descrizioneAdvancing the narrative

L'IT e la leadership aziendale sono contenti dei risultati della sperimentazione preliminare da parte di IT, sviluppo di applicazioni e team BI.IT and business leadership are happy with results from early experimentation by the IT, application development, and BI teams. Per concretizzare valore tangibile per l'azienda da questi esperimenti, tali team devono essere autorizzati a integrare i dati protetti nelle soluzioni.To realize tangible business values from these experiments, those teams must be allowed to integrate protected data into solutions. Questa integrazione attiva le modifiche ai criteri aziendali.This integration triggers changes to corporate policy. Richiede anche un miglioramento incrementale delle implementazioni di governance del cloud prima che i dati protetti possano essere presenti nel cloud.It also requires incremental improvement of the cloud governance implementations before protected data can land in the cloud.

Modifiche al team di governance del cloudChanges to the cloud governance team

Dato l'effetto della modifica della descrizione e del supporto offerti finora, il team di governance del cloud viene ora visualizzato in modo diverso.Given the effect of the changing narrative and support provided so far, the cloud governance team is now viewed differently. I due amministratori di sistema che hanno avviato il team vengono ora considerati cloud architect esperti.The two system administrators who started the team are now viewed as experienced cloud architects. Quando si sviluppa questa descrizione, la loro percezione passerà da quella dei depositari del cloud a un maggior numero di un ruolo di sorveglianza cloud.As this narrative develops, the perception of them will shift from that of cloud custodians to more of a cloud guardian role.

La differenza è delicata, ma è un'importante distinzione quando si creano impostazioni cultura IT incentrate sulla governance.The difference is subtle, but it's an important distinction when you're creating a governance-focused IT culture. Un custode del cloud pulisce i pasticci creati dagli architetti cloud innovativi.A cloud custodian cleans up the messes made by innovative cloud architects. I due ruoli hanno un attrito naturale e obiettivi opposti.The two roles have natural friction and opposing goals. D'altra parte, un tutore nel cloud aiuta a garantire la sicurezza del cloud in modo che altri architetti del cloud possano muoversi più rapidamente, con meno confusione.On the other hand, a cloud guardian helps keep the cloud safe so other cloud architects can move more quickly, with fewer messes. E un cloud Guardian è impegnato nella creazione di modelli che accelerano la distribuzione e l'adozione.And a cloud guardian is involved in creating templates that accelerate deployment and adoption. Quindi, sono acceleratori di innovazione, oltre a essere difensori delle cinque discipline della governance del cloud.So they're innovation accelerators in addition to being defenders of the Five Disciplines of Cloud Governance.

Modifiche nello stato correnteChanges in the current state

All'inizio di questo scenario, i team di sviluppo delle applicazioni lavoravano ancora in modalità sviluppo/test e il team di business intelligence era ancora in fase di sperimentazione.At the start of this narrative, the application development teams were still working in a dev/test capacity, and the BI team was still in the experimental phase. HA gestito due ambienti di infrastruttura ospitati, denominati Prod e DR .IT operated two hosted infrastructure environments, referred to as Prod and DR.

Da allora, sono avvenuti alcuni cambiamenti che influiranno sulla governance:Since then, some things have changed that will affect governance:

  • Il team di sviluppo di applicazioni ha implementato una pipeline CI/CD per distribuire un'applicazione nativa del cloud con un'esperienza utente migliorata.The application development team has implemented a CI/CD pipeline to deploy a cloud-native application with an improved user experience. Questa applicazione non è ancora in grado di interagire con i dati protetti, pertanto non è pronta per la produzione.That application doesn't yet interact with protected data, so it isn't production ready.
  • Il team di business intelligence al suo interno ha curato attivamente i dati nel cloud da logistica, inventario e origini di terze parti.The business intelligence team within IT actively curates data in the cloud from logistics, inventory, and third-party sources. Questi dati vengono utilizzati per eseguire nuove stime, che potrebbero definire i processi di business.This data is used to drive new predictions, which could shape business processes. Tali stime e informazioni dettagliate non sono eseguibili fino a quando i dati finanziari e i clienti non possono essere integrati nella piattaforma dati.Those predictions and insights aren't actionable until customer and financial data can be integrated into the data platform.
  • Il team IT sta progredendo nei piani CIO e CFO per ritirare il Data Center di ripristino di emergenza.The IT team is progressing on the CIO and CFO plans to retire the DR datacenter. Più di 1.000 dei 2.000 asset nel data center DR sono stati ritirati o migrati.More than 1,000 of the 2,000 assets in the DR datacenter have been retired or migrated.
  • I criteri definiti in senso generico per i dati personali e i dati finanziari sono stati modernizzati.The loosely defined policies for personal data and financial data have been modernized. I nuovi criteri aziendali sono condizionati dall'implementazione dei criteri di sicurezza e governance correlati.The new corporate policies are contingent on the implementation of related security and governance policies. I team sono ancora bloccati.Teams are still stalled.

Migliorare in modo incrementale lo stato futuroIncrementally improve the future state

I primi esperimenti dei team di sviluppo di applicazioni e BI mostrano i potenziali miglioramenti delle esperienze dei clienti e delle decisioni basate sui dati.Early experiments by the application development and BI teams show potential improvements in customer experiences and data-driven decisions. Entrambi i team voglio espandere l'adozione del cloud nei prossimi 18 mesi distribuendo tali soluzioni nell'ambiente di produzione.Both teams want to expand adoption of the cloud over the next 18 months by deploying those solutions to production.

Durante i restanti sei mesi, il team di governance del cloud implementerà i requisiti di sicurezza e governance per consentire ai team di adozione del cloud di migrare i dati protetti in questi Data Center.During the remaining six months, the cloud governance team will implement security and governance requirements to allow the cloud adoption teams to migrate the protected data in those datacenters.

I cambiamenti che riguardano lo stato attuale e quello futuro creano nuovi rischi che richiedono nuove definizioni di criteri.The changes to current and future state expose new risks that require new policy statements.

Modifiche ai rischi tangibiliChanges in tangible risks

Violazione dei dati: Quando si adotta una nuova piattaforma dati, si verifica un aumento intrinseco delle passività correlate alle potenziali violazioni dei dati.Data breach: When you adopt any new data platform, there's an inherent increase in liabilities related to potential data breaches. I tecnici che adottano tecnologie cloud hanno maggiore responsabilità nell'implementare soluzioni che possono ridurre questo rischio.Technicians adopting cloud technologies have increased responsibility to implement solutions that can reduce this risk. È necessario implementare una solida strategia di governance e sicurezza per fare in modo che i tecnici adempiano a queste responsabilità.A robust security and governance strategy must be implemented to ensure those technicians fulfill those responsibilities.

Questo rischio aziendale può comportare alcuni rischi tecnici:This business risk can be expanded into a few technical risks:

  • Le applicazioni mission-critical o i dati protetti potrebbero essere distribuiti involontariamente.Mission-critical applications or protected data might be deployed unintentionally.
  • I dati protetti potrebbero essere esposti durante l'archiviazione a causa di decisioni di crittografia insufficienti.Protected data might be exposed during storage because of poor encryption decisions.
  • Utenti non autorizzati potrebbero accedere ai dati protetti.Unauthorized users might access protected data.
  • Un'intrusione esterna potrebbe consentire l'accesso ai dati protetti.External intrusion might result in access to protected data.
  • Intrusioni esterne o attacchi Denial of Service possono causare interruzioni aziendali.External intrusion or denial-of-service attacks might cause a business interruption.
  • Le modifiche all'organizzazione o all'impiego potrebbero consentire l'accesso non autorizzato ai dati protetti.Organization or employment changes might allow unauthorized access to protected data.
  • Nuovi exploit potrebbero creare nuove opportunità di intrusione o accesso.New exploits could create new intrusion or access opportunities.
  • Processi di distribuzione incoerenti potrebbero produrre lacune a livello di sicurezza che possono causare perdite di dati o interruzioni.Inconsistent deployment processes might result in security gaps, which could lead to data leaks or interruptions.
  • Deviazioni di configurazione e patch non applicate potrebbero produrre lacune a livello di sicurezza non intenzionali che possono causare perdite di dati o interruzioni.Configuration drift or missed patches might result in unintended security gaps, which could lead to data leaks or interruptions.

Perdita di dati: Esiste anche un rischio intrinseco di perdita di dati nella nuova piattaforma.Data loss: There's also an inherent risk of data loss in the new platform. La strategia di sicurezza e governance deve considerare gli scenari seguenti in cui può verificarsi la perdita di dati:The security and governance strategy should consider the following scenarios in which data loss can happen:

  • Una risorsa di importanza critica viene persa o eliminata.A mission-critical resource is lost or deleted.
  • È presente una risorsa di importanza cruciale, ma i dati vengono persi a causa di un'eliminazione accidentale.A mission-critical resource is present, but the data is lost because of accidental deletion.
  • È presente una risorsa di importanza cruciale, ma i dati vengono persi a causa dell'amministrazione dannosa.A mission-critical resource is present, but the data is lost because of malicious administration.

Miglioramento incrementale delle istruzioni dei criteriIncremental improvement of policy statements

Le seguenti modifiche ai criteri consentono di monitorare e aggiornare i nuovi rischi e l'implementazione della guida.The following changes to policy will help remediate the new risks and guide implementation. L'elenco sembra lungo, ma l'adozione di questi criteri potrebbe essere più semplice di quanto pensi.The list looks long, but adopting these policies might be easier than you think.

  • tutti gli asset distribuiti devono essere ordinati in categorie in base a criticità e classificazione dei dati.All deployed assets must be categorized by criticality and data classification. Il team di governance del cloud e il proprietario dell'applicazione devono esaminare queste classificazioni prima della distribuzione nel cloud.The cloud governance team and the application owner must review these classifications before deployment to the cloud.
  • Le applicazioni che archiviano o accedono a dati protetti devono essere gestite in modo diverso rispetto alle applicazioni.Applications that store or access protected data must be managed differently than applications that don't. Come minimo, devono essere segmentate per evitare accessi non intenzionali ai dati protetti.At a minimum, they should be segmented to avoid unintended access of protected data.
  • tutti i dati protetti devono essere crittografati quando inattivi.All protected data must be encrypted when at rest. Questa crittografia è l'impostazione predefinita per tutti gli account di archiviazione di Azure.This encryption is the default for all Azure Storage accounts. Tuttavia, potrebbero essere necessarie strategie di crittografia aggiuntive, tra cui la crittografia dei dati nell'account di archiviazione, la crittografia delle VM e la crittografia a livello di database quando si usa SQL in una macchina virtuale (Transparent Data Encryption e crittografia di colonna).But you might need additional encryption strategies, including encryption of the data within the storage account, encryption of VMs, and database-level encryption when you use SQL in a VM (TDE and column encryption).
  • I dati mission-critical possono essere eliminati accidentalmente.Mission-critical data can be deleted accidentally. È necessario sviluppare una strategia di backup dei dati per gestire questo rischio e ripristinare i dati da prima del punto di eliminazione.You need to develop a data backup strategy to handle this risk and restore the data from before the deletion point. Un amministratore malintenzionato può eliminare anche i dati cruciali e i relativi backup.A malicious admin can delete the mission-critical data and its backups as well. Per gestire questo scenario, le eliminazioni dei dati di backup devono essere eliminazioni software che possono essere annullate.To handle this scenario, deletions of backup data should be soft deletions that can be reversed. Backup di Azure può essere utile per entrambi questi scenari.Azure Backup can help with both of these scenarios.
  • Le autorizzazioni elevate in qualsiasi segmento che contiene dati protetti devono essere un'eccezione.Elevated permissions in any segment that contains protected data should be an exception. Tali eccezioni verranno registrate con il team di governance del cloud e controllate regolarmente.Any such exceptions will be recorded with the cloud governance team and audited regularly.
  • Le subnet di rete che contengono dati protetti devono essere isolate da altre subnet.Network subnets that contain protected data must be isolated from other subnets. Il traffico di rete tra le subnet di dati protetti verrà controllato regolarmente.Network traffic between protected data subnets will be audited regularly.
  • Nessuna subnet che contiene dati protetti deve essere direttamente accessibile tramite la rete Internet pubblica o tra i Data Center.No subnet that contains protected data should be directly accessible over the public internet or across datacenters. L'accesso a tali subnet deve essere instradato tramite subnet intermedie.Access to those subnets must be routed through intermediate subnets. Tutti gli accessi a tali subnet devono passare attraverso una soluzione firewall in grado di eseguire la scansione dei pacchetti e applicare funzioni di blocco.All access into those subnets must come through a firewall solution that can perform packet scanning and blocking functions.
  • Gli strumenti di governance devono controllare e soddisfare i requisiti di configurazione della rete definiti dal team di gestione della sicurezza.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  • Gli strumenti di governance devono limitare la distribuzione delle macchine virtuali solo alle immagini approvate.Governance tooling must limit VM deployment to only approved images.
  • Il processo di governance deve convalidare che il backup, il ripristino e il rispetto dei contratti di servizio vengano implementati correttamente per le applicazioni cruciali e i dati protetti.Governance process must validate that backup, recovery, and SLA adherence are properly implemented for mission-critical applications and protected data.
  • Quando possibile, la gestione della configurazione dei nodi deve applicare i requisiti dei criteri alla configurazione di qualsiasi sistema operativo guest.Whenever possible, node configuration management should apply policy requirements to the configuration of any guest operating system.
  • Gli strumenti di governance devono imporre l'abilitazione degli aggiornamenti automatici per tutti gli asset distribuiti.Governance tooling must enforce that automatic updates are enabled on all deployed assets. Le violazioni devono essere esaminate con i team di gestione operativa e risolte in base ai criteri relativi alle operazioni.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Gli asset che non vengono aggiornati automaticamente devono essere inclusi nei processi di proprietà delle operazioni IT.Assets that aren't automatically updated must be included in processes owned by IT operations.
  • La creazione di nuove sottoscrizioni o gruppi di gestione per le applicazioni cruciali o i dati protetti richiederà una revisione del team di governance del cloud per assicurarsi che venga assegnato il progetto appropriato.Creation of new subscriptions or management groups for any mission-critical applications or protected data will require a review from the cloud governance team to ensure that the proper blueprint is assigned.
  • Un modello di accesso con privilegi minimi verrà applicato a qualsiasi gruppo di gestione o sottoscrizione che contiene applicazioni cruciali o dati protetti.A least-privilege access model will be applied to any management group or subscription that contains mission-critical applications or protected data.
  • Tendenze ed exploit che possono influire sulle distribuzioni cloud devono essere esaminati regolarmente dal team responsabile della sicurezza in modo da fornire aggiornamenti per gli strumenti di gestione della sicurezza usati nel cloud.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  • Gli strumenti di distribuzione devono essere approvati dal team di governance del cloud per garantire la governance continua degli asset distribuiti.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  • Gli script di distribuzione devono essere conservati in un repository centrale accessibile dal team di governance del cloud per la revisione e il controllo periodici.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  • I processi di governance devono includere controlli in fase di distribuzione e in base a cicli regolari per garantire la coerenza tra tutti gli asset.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  • La distribuzione di qualsiasi applicazione che richiede l'autenticazione del cliente deve usare un provider di identità approvato compatibile con il provider di identità primario per gli utenti interni.Deployment of any applications that require customer authentication must use an approved identity provider that's compatible with the primary identity provider for internal users.
  • I processi di governance del cloud devono includere revisioni trimestrali con i team di gestione delle identità.Cloud governance processes must include quarterly reviews with identity management teams. Queste revisioni possono essere utili per identificare attori o modelli di utilizzo dannosi, che dovrebbero essere bloccati dalla configurazione degli asset del cloud.These reviews can help identify malicious actors or usage patterns that should be prevented by cloud asset configuration.

Miglioramento incrementale delle procedure di governanceIncremental improvement of governance practices

La progettazione degli MVP di governance cambierà in modo da includere nuovi criteri di Azure e un'implementazione di gestione costi di Azure e fatturazione.The governance MVP design will change to include new Azure policies and an implementation of Azure Cost Management + Billing. Insieme, queste due modifiche di progettazione riusciranno a soddisfare le nuove istruzioni dei criteri aziendali.Together, these two design changes will fulfill the new corporate policy statements.

  • I team di rete e sicurezza IT definiranno i requisiti di rete.The networking and IT security teams will define network requirements. Il team di governance del cloud supporterà la conversazione.The cloud governance team will support the conversation.
  • I team di identità e sicurezza IT definiranno i requisiti di identità e apporteranno le modifiche necessarie all'implementazione di Active Directory locale.The identity and IT security teams will define identity requirements and make any necessary changes to local Active Directory implementation. Il team di governance del cloud verificherà le modifiche.The cloud governance team will review changes.
  • Creare un archivio in Azure DevOps per l'archiviazione e il controllo delle versioni di tutti i modelli di Azure Resource Manager e le configurazioni tramite script pertinenti.Create a repository in Azure DevOps to store and version all relevant Azure Resource Manager templates and scripted configurations.
  • Implementazione dell'insieme di credenziali di servizi di ripristino di Azure:Azure Recovery Services vault implementation:
    • Definire e distribuire un insieme di credenziali di servizi di ripristino di Azure per i processi di backup e ripristino.Define and deploy an Azure Recovery Services vault for backup and recovery processes.
    • Creare un modello di Resource Manager per la creazione di un insieme di credenziali in ogni sottoscrizione.Create a Resource Manager template for creation of a vault in each subscription.
  • Implementazione del Centro sicurezza di Azure:Azure Security Center implementation:
    • Configurare il Centro sicurezza di Azure per qualsiasi gruppo di gestione che contiene le classificazioni dei dati protetti.Configure Azure Security Center for any management group that contains protected data classifications.
    • Attivare il provisioning automatico per impostazione predefinita per garantire la conformità delle patch.Set automatic provisioning to on by default to ensure patching compliance.
    • Definire configurazioni di sicurezza del sistema operativo.Establish OS security configurations. Il team di sicurezza IT definirà la configurazione.The IT security team will define the configuration.
    • Supportare il team di sicurezza IT nell'utilizzo iniziale del Centro sicurezza.Support the IT security team in the initial use of Security Center. Transizione dell'utilizzo del Centro sicurezza al team di sicurezza IT, mantenendo tuttavia l'accesso allo scopo di migliorare continuamente la governance.Transition the use of Security Center to the IT security team, but maintain access for the purpose of continually improving governance.
    • Creare un modello di Resource Manager che riflette le modifiche necessarie per la configurazione del Centro sicurezza all'interno di una sottoscrizione.Create a Resource Manager template that reflects the changes required for Security Center configuration within a subscription.
  • Aggiornare i criteri di Azure per tutte le sottoscrizioni:Update Azure policies for all subscriptions:
    • Controllare e applicare la criticità della classificazione dei dati e dei dati in tutti i gruppi di gestione e le sottoscrizioni per identificare eventuali sottoscrizioni con classificazioni dei dati protette.Audit and enforce the criticality of data and data classification across all management groups and subscriptions to identify any subscriptions with protected data classifications.
    • Controllare e imporre l'uso delle sole immagini approvate.Audit and enforce the use of approved images only.
  • Aggiornare i criteri di Azure per tutte le sottoscrizioni che contengono le classificazioni dei dati protette:Update Azure policies for all subscriptions that contain protected data classifications:
    • Controllare e imporre l'uso dei soli ruoli di controllo degli accessi in base al ruolo di Azure.Audit and enforce the use of standard Azure RBAC roles only.
    • Controllo e imporre la crittografia per tutti gli account di archiviazione e i file inattivi nei singoli nodi.Audit and enforce encryption for all storage accounts and files at rest on individual nodes.
    • Controllare e imporre l'applicazione di un gruppo di sicurezza di rete per tutte le schede di interfaccia di rete e subnet.Audit and enforce the application of an NSG to all NICs and subnets. I team di rete e sicurezza IT definiranno la NSG.The networking and IT security teams will define the NSG.
    • Controllare e applicare l'uso della subnet di rete e della rete virtuale approvate per ogni interfaccia di rete.Audit and enforce the use of approved network subnet and virtual network per network interface.
    • Controllare e imporre la limitazione delle tabelle di routing definite dall'utente.Audit and enforce the limitation of user-defined routing tables.
    • Applicare i criteri predefiniti per la configurazione Guest come indicato di seguito:Apply the built-in policies for guest configuration as follows:
      • Controllare che i server Web Windows usino protocolli di comunicazione sicuri.Audit that Windows web servers are using secure communication protocols.
      • Controllare che le impostazioni di sicurezza della password siano configurate correttamente nelle macchine virtuali Linux e Windows.Audit that password security settings are set correctly inside Linux and Windows machines.
    • Controllare e applicare che gli insiemi di credenziali dei servizi di ripristino di Azure esistano nella sottoscrizione.Audit and enforce that Azure Recovery Services vaults exist in the subscription.
  • Configurazione del firewall:Firewall configuration:
    • Identificare una configurazione di Firewall di Azure che soddisfi i requisiti di sicurezza necessari.Identify a configuration of Azure Firewall that meets necessary security requirements. In alternativa, identificare un'appliance di terze parti compatibile compatibile con Azure.Alternatively, identify a compatible third-party appliance that's compatible with Azure.
    • Creare un modello di Resource Manager per distribuire il firewall con le configurazioni necessarie.Create a Resource Manager template to deploy the firewall with required configurations.
  • Progetti di Azure:Azure Blueprints:
    • Creare un nuovo progetto denominato protected-data.Create a new blueprint named protected-data.
    • Aggiungere i modelli del firewall di Azure, i modelli del Centro sicurezza di Azure e i modelli di insieme di credenziali dei servizi di ripristino di Azure al progetto.Add the Azure Firewall templates, Azure Security Center templates, and Azure Recovery Services vault templates to the blueprint.
    • Aggiungere i nuovi criteri per le sottoscrizioni con dati protetti.Add the new policies for protected data subscriptions.
    • Pubblicare il progetto in un gruppo di gestione che attualmente prevede l'hosting dei dati protetti.Publish the blueprint to any management group that currently plans on hosting protected data.
    • Applicare il nuovo progetto a ogni sottoscrizione interessata e ai progetti esistenti.Apply the new blueprint to each affected subscription and to existing blueprints.

ConclusioniConclusion

L'aggiunta dei processi e delle modifiche precedenti all'MVP di governance consente di correggere molti dei rischi associati alla governance della sicurezza.Adding the above processes and changes to the governance MVP will help to remediate many of the risks associated with security governance. Nel loro insieme aggiungono gli strumenti per il monitoraggio di rete, identità e sicurezza necessari per proteggere i dati.Together, they add the network, identity, and security monitoring tools needed to protect data.

Passaggi successiviNext steps

Quando l'adozione del cloud continua e offre un valore aziendale aggiuntivo, anche i rischi e le esigenze di governance del cloud cambiano.As cloud adoption continues and delivers additional business value, risks and cloud governance needs also change. Per la società fittizia in questa guida, il passaggio successivo consiste nel supportare i carichi di lavoro cruciali.For the fictional company in this guide, the next step is to support mission-critical workloads. A questo punto sono necessari i controlli di coerenza delle risorse.At this point, resource consistency controls are needed.