Miglioramento della disciplina Baseline di sicurezzaSecurity Baseline discipline improvement

La disciplina di base della sicurezza è incentrata sulle modalità di definizione dei criteri che proteggono la rete, gli asset e, soprattutto, i dati che risiedono nella soluzione di un provider di servizi cloud.The Security Baseline discipline focuses on ways of establishing policies that protect the network, assets, and most importantly the data that will reside on a cloud provider's solution. All'interno delle cinque discipline della governance del cloud, la disciplina della linea di base di sicurezza include la classificazione dei dati e delle proprietà digitali.Within the Five Disciplines of Cloud Governance, the Security Baseline discipline includes classification of the digital estate and data. oltre alla documentazione relativa a rischi, tolleranza aziendale e strategie di mitigazione associate alla sicurezza dei dati, delle risorse e della rete.It also includes documentation of risks, business tolerance, and mitigation strategies associated with the security of the data, assets, and network. Dal punto di vista tecnico, questo include anche il coinvolgimento delle decisioni riguardanti la crittografia, i requisiti di rete, le strategie di identità ibridee i processi usati per sviluppare i criteri di base della sicurezza per il cloud.From a technical perspective, this also includes involvement in decisions regarding encryption, network requirements, hybrid identity strategies, and the processes used to develop Security Baseline policies for the cloud.

Questo articolo delinea alcuni compiti potenziali che l'azienda può svolgere per sviluppare e maturare al meglio la disciplina Baseline di sicurezza.This article outlines some potential tasks your company can engage in to better develop and mature the Security Baseline discipline. Queste attività possono essere suddivise nelle fasi di pianificazione, costruzione, adozione e funzionamento dell'implementazione di una soluzione cloud, che vengono poi ripetute per consentire lo sviluppo di un approccio incrementale alla governance del cloud.These tasks can be broken down into planning, building, adopting, and operating phases of implementing a cloud solution, which are then iterated on allowing the development of an incremental approach to cloud governance.

Fasi di un approccio incrementale alla governance del cloud

Figura 1: fasi di un approccio incrementale alla governance del cloud.Figure 1: Phases of an incremental approach to cloud governance.

È impossibile tener conto per qualsiasi documento dei requisiti di tutte le aziende.It's impossible for any one document to account for the requirements of all businesses. Di conseguenza, questo articolo delinea le attività di esempio minime e potenziali suggerite per ogni fase del processo di maturazione della governance.As such, this article outlines suggested minimum and potential example activities for each phase of the governance maturation process. L'obiettivo iniziale di queste attività è quello di semplificare la creazione di un criterio MVP e stabilire un Framework per migliorare i criteri incrementali.The initial objective of these activities is to help you build a policy MVP and establish a framework for incremental policy improvement. Il team di governance del cloud dovrà decidere quanto investire in queste attività per migliorare la disciplina della linea di base di sicurezza.Your cloud governance team will need to decide how much to invest in these activities to improve your Security Baseline discipline.

Attenzione

Né le attività minime o potenziali descritte in questo articolo sono allineate a criteri aziendali specifici o a requisiti di conformità di terze parti.Neither the minimum or potential activities outlined in this article are aligned to specific corporate policies or third-party compliance requirements. Queste linee guida sono state progettate per facilitare le conversazioni che porteranno all'allineamento di entrambi i requisiti con un modello di governance del cloud.This guidance is designed to help facilitate the conversations that will lead to alignment of both requirements with a cloud governance model.

Pianificazione e preparazionePlanning and readiness

Questa fase di maturità della governance colma il divario tra i risultati aziendali e le strategie attuabili.This phase of governance maturity bridges the divide between business outcomes and actionable strategies. Durante questo processo, il team di leadership definisce metriche specifiche, associa tali metriche al patrimonio digitale e inizia a pianificare l'impegno complessivo richiesto per la migrazione.During this process, the leadership team defines specific metrics, maps those metrics to the digital estate, and begins planning the overall migration effort.

Attività minime suggerite:Minimum suggested activities:

  • Valutare le opzioni della toolchain della Baseline di sicurezza.Evaluate your Security Baseline toolchain options.
  • Sviluppare un documento di linee guida per l'architettura bozza e distribuirlo alle principali parti interessate.Develop a draft architecture guidelines document and distribute to key stakeholders.
  • Formare e coinvolgere le persone e i team interessati allo sviluppo delle linee guida sull'architettura.Educate and involve the people and teams affected by the development of architecture guidelines.
  • Aggiungere attività di sicurezza con priorità al backlog di migrazione.Add prioritized security tasks to your migration backlog.

Attività potenziali:Potential activities:

  • Definire uno schema di classificazione dei dati.Define a data classification schema.
  • Condurre un processo di pianificazione del patrimonio digitale per creare un inventario delle attuali risorse IT che gestiscono i processi aziendali e le operazioni di supporto.Conduct a digital estate planning process to inventory the current IT assets powering your business processes and supporting operations.
  • Condurre una verifica dei criteri per iniziare il processo di modernizzazione dei criteri di sicurezza IT aziendale esistenti e per definire i criteri MVP per affrontare i rischi noti.Conduct a policy review to begin the process of modernizing existing corporate IT security policies, and define MVP policies addressing known risks.
  • Verificare le linee guida sulla sicurezza della piattaforma cloud.Review your cloud platform's security guidelines. Per Azure, queste sono disponibili nel portale di attendibilità dei servizi Microsoft.For Azure these can be found in the Microsoft Service Trust Portal.
  • Determinare se i criteri di base di sicurezza includono un ciclo di vita di sviluppo della sicurezza.Determine whether your Security Baseline policy includes a security development lifecycle.
  • Valutare rete, dati e rischi correlati aziendali alle risorse, in base alle prossime tre versioni e valutare la tolleranza dell'organizzazione per tali rischi.Evaluate network, data, and asset-related business risks based on the next one to three releases, and gauge your organization's tolerance for those risks.
  • Esaminare le tendenze principali di Microsoft nel report Cybersecurity per una panoramica dell'attuale scenario di sicurezza.Review Microsoft's top trends in cybersecurity report for an overview of the current security landscape.
  • Si consiglia di sviluppare un ruolo DevSecOps nell'organizzazione.Consider developing a DevSecOps role in your organization.

Compilazione e pre-distribuzioneBuild and predeployment

Per eseguire correttamente la migrazione di un ambiente, sono necessari diversi prerequisiti tecnici e non tecnici.Several technical and nontechnical prerequisites are required to successful migrate an environment. Questo processo è incentrato sulle decisioni, sulla conformità e sull'infrastruttura di base che consente una migrazione.This process focuses on the decisions, readiness, and core infrastructure that proceeds a migration.

Attività minime suggerite:Minimum suggested activities:

  • Implementare la sequenza di sicurezza di base della sicurezza implementando in una fase di pre-distribuzione.Implement your Security Baseline toolchain by rolling out in a predeployment phase.
  • Aggiornare il documento delle linee guida per l'architettura e distribuirlo alle principali parti interessate.Update the architecture guidelines document and distribute to key stakeholders.
  • Implementare le attività relative alla sicurezza nel backlog di migrazione con priorità.Implement security tasks on your prioritized migration backlog.
  • Sviluppare materiali didattici e documentazione, comunicazioni di sensibilizzazione, incentivi e altri programmi per guidare l'adozione da parte degli utenti.Develop educational materials and documentation, awareness communications, incentives, and other programs to help drive user adoption.

Attività potenziali:Potential activities:

  • Determinare la strategia dicrittografia dell'organizzazione per i dati ospitati nel cloud.Determine your organization's encryption strategy for cloud-hosted data.
  • Valutare la strategia identità di distribuzione nel cloud.Evaluate your cloud deployment's identity strategy. Determinare come la soluzione di identità basata sul cloud potrà coesistere o venire integrata con i provider di identità locali.Determine how your cloud-based identity solution will coexist or integrate with on-premises identity providers.
  • Determinare i criteri sui limiti di rete per la progettazione delle Software Defined Networking (SDN) (reti primarie definite dal software) per garantire funzionalità di rete virtualizzata sicure.Determine network boundary policies for your Software Defined Networking (SDN) design to ensure secure virtualized networking capabilities.
  • Valutare i criteri di accesso con privilegi minimi dell'organizzazione e usare i ruoli basati su attività per fornire l'accesso a risorse specifiche.Evaluate your organization's least-privilege access policies, and use task-based roles to provide access to specific resources.
  • Applicare meccanismi di sicurezza e monitoraggio a tutti i servizi cloud e le macchine virtuali.Apply security and monitoring mechanisms to all cloud services and virtual machines.
  • Automatizzare i criteri di sicurezza laddove possibile.Automate security policies where possible.
  • Esaminare i criteri di base di sicurezza e determinare se è necessario modificare i piani in base alle procedure consigliate come quelle descritte nel ciclo di vita dello sviluppo della sicurezza.Review your Security Baseline policy and determine whether you need to modify your plans according to best practices guidance such as those outlined in the security development lifecycle.

Adottare ed eseguire la migrazioneAdopt and migrate

La migrazione è un processo incrementale incentrato sullo spostamento, il testing e l'adozione di applicazioni o carichi di lavoro in un patrimonio digitale esistente.Migration is an incremental process that focuses on the movement, testing, and adoption of applications or workloads in an existing digital estate.

Attività minime suggerite:Minimum suggested activities:

  • Eseguire la migrazione della linea di base di sicurezza dalla pre-distribuzione alla produzione.Migrate your Security Baseline toolchain from predeployment to production.
  • Aggiornare il documento delle linee guida per l'architettura e distribuirlo alle principali parti interessate.Update the architecture guidelines document and distribute to key stakeholders.
  • Sviluppare materiali didattici e documentazione, comunicazioni di sensibilizzazione, incentivi e altri programmi per guidare l'adozione da parte degli utenti.Develop educational materials and documentation, awareness communications, incentives, and other programs to help drive user adoption.

Attività potenziali:Potential activities:

  • Esaminare le informazioni più recenti sulla linea di base e sulle minacce per identificare eventuali nuovi rischi aziendali.Review the latest security baseline and threat information to identify any new business risks.
  • Misurare la tolleranza della propria organizzazione per gestire nuovi rischi per la sicurezza che potrebbero verificarsi.Gauge your organization's tolerance to handle new security risks that may arise.
  • Identificare le deviazioni dai criteri e applicare le correzioni.Identify deviations from policy, and enforce corrections.
  • Rettificare la sicurezza e l'automazione del controllo di accesso per garantire la massima conformità ai criteri.Adjust security and access control automation to ensure maximum policy compliance.
  • Verificare che le procedure consigliate definite durante le fasi di compilazione e di pre-distribuzione siano eseguite correttamente.Validate that the best practices defined during the build and predeployment phases are properly executed.
  • Esaminare i criteri di accesso con privilegi minimi e modificare i controlli di accesso per ottimizzare la sicurezza.Review your least-privilege access policies and adjust access controls to maximize security.
  • Testare la toolchain della Baseline di sicurezza contro i carichi di lavoro per identificare e risolvere eventuali vulnerabilità.Test your Security Baseline toolchain against your workloads to identify and resolve any vulnerabilities.

Operazione e post-implementazioneOperate and post-implementation

Al termine della trasformazione, la governance e le operazioni devono continuare a funzionare per il ciclo di vita naturale di un'applicazione o di un carico di lavoro.Once the transformation is complete, governance and operations must live on for the natural lifecycle of an application or workload. Questa fase di maturità della governance si basa principalmente sulle attività che vengono svolte in genere dopo che la soluzione è stata implementata e il ciclo di trasformazione ha iniziato a stabilizzarsi.This phase of governance maturity focuses on the activities that commonly come after the solution is implemented and the transformation cycle begins to stabilize.

Attività minime suggerite:Minimum suggested activities:

  • Convalidare e perfezionare la linea di base di sicurezza.Validate and refine your Security Baseline toolchain.
  • Personalizzare notifiche e report per inviare un avviso relativo a potenziali problemi di sicurezza.Customize notifications and reports to alert you of potential security issues.
  • Perfezionare le linee guida sull'architettura per guidare i processi di adozione futuri.Refine the architecture guidelines to guide future adoption processes.
  • Comunicare e informare periodicamente i team interessati per verificare la conformità costante alle indicazioni sull'architettura.Communicate and educate the affected teams periodically to ensure ongoing adherence to architecture guidelines.

Attività potenziali:Potential activities:

  • Individuare i motivi e il comportamento per i carichi di lavoro e configurare il monitoraggio e gli strumenti di report per identificare e ricevere una notifica su qualsiasi attività anomala,accesso o uso delle risorse.Discover patterns and behavior for your workloads and configure your monitoring and reporting tools to identify and notify you of any abnormal activity, access, or resource usage.
  • Aggiornare continuamente i criteri di report e monitoraggio per rilevare le vulnerabilità più recenti, gli attacchi e le minacce.Continuously update your monitoring and reporting policies to detect the latest vulnerabilities, exploits, and attacks.
  • Predisporre procedure per arrestare velocemente gli accessi non autorizzati e disabilitare le risorse che potrebbero essere state compromesse da un utente malintenzionato.Have procedures in place to quickly stop unauthorized access and disable resources that may have been compromised by an attacker.
  • Revisionare regolarmente le più recenti procedure consigliate per la sicurezza e applicare gli elementi consigliati ai criteri di sicurezza, all'automazione e alle funzionalità di monitoraggio, laddove possibile.Regularly review the latest security best practices and apply recommendations to your security policy, automation, and monitoring capabilities where possible.

Passaggi successiviNext steps

Una volta appreso il concetto di governance della sicurezza nel cloud, per altre informazioni vedere l'articolo relativo alle procedure consigliate fornite da Microsoft per Azure (in inglese).Now that you understand the concept of cloud security governance, move on to learn more about what security and best practices guidance Microsoft provides for Azure.