Migliorare la sicurezza delle zone di destinazione

  • Articolo

Quando un carico di lavoro o le zone di destinazione che lo ospitano richiedono l'accesso a dati sensibili o ai sistemi critici, è importante proteggere i dati e gli asset.

Sicuro

Quando si esce dallo stato Pronto, si ha la responsabilità costante di mantenere la sicurezza dell'ambiente. La sicurezza cloud è anche un processo incrementale anziché solo una destinazione statica. Concentrarsi sugli obiettivi e sui risultati chiave quando si prevede uno stato finale della sicurezza. Mappare concetti, framework e standard alle discipline della metodologia di sicurezza di Cloud Adoption Framework insieme al mapping ai ruoli e alle responsabilità per la disciplina umana. La metodologia di sicurezza fornisce indicazioni.

Di seguito viene fornita una panoramica di queste linee guida con collegamenti ai dettagli.

Informazioni dettagliate sui rischi

Le operazioni aziendali presentano rischi per la sicurezza. Il team responsabile della sicurezza deve informare e consigliare ai decision maker il modo in cui i rischi per la sicurezza rientrano nei propri framework comprendendo l'azienda e usando le procedure di sicurezza per riconoscere il rischio da pianificare e intervenire in modo appropriato.

  • Che cos'è il rischio di cybersecurity?: tutti i potenziali danni o distruzione dell'azienda causati da utenti malintenzionati umani che tentano di rubare valuta, all'interno di informazioni o tecnologie.
  • Allineare la gestione dei rischi per la sicurezza: investire nel bridging della sicurezza informatica e nella leadership organizzativa per spiegare le minacce alla sicurezza usando la terminologia business-friendly, ascoltando e comunicando attivamente a tutte le persone dell'azienda.
  • Informazioni sul rischio di cybersecurity: comprendere le motivazioni e i modelli di comportamento degli utenti malintenzionati umani per rubare denaro, informazioni o tecnologia e identificare il potenziale impatto di diversi tipi di attacchi.

Integrazione della sicurezza

Assicurarsi che la sicurezza sia un problema dell'organizzazione e non silo in un singolo gruppo. L'integrazione della sicurezza offre indicazioni su come integrare la sicurezza nel ruolo di tutti, riducendo al minimo l'attrito con i processi aziendali. Indicazioni specifiche includono:

  • Normalizzazione delle relazioni: assicurarsi che tutti i team siano integrati con i team di sicurezza e abbiano una conoscenza condivisa degli obiettivi di sicurezza. Inoltre, lavorare per trovare il livello corretto di controlli di sicurezza, assicurando che i controlli non superino il valore aziendale.
  • Integrazione con le operazioni IT e aziendali: bilanciare l'implementazione degli aggiornamenti della sicurezza e il mapping del modo in cui tutti i processi di sicurezza influiscono sull'impatto aziendale corrente e potenziali rischi per la sicurezza in futuro.
  • Integrare i team di sicurezza: evitare di operare in silo rispondendo alle minacce attive e migliorando continuamente il comportamento di sicurezza dell'organizzazione praticando la sicurezza come disciplina dinamica.

Resilienza aziendale

Anche se le organizzazioni non possono mai avere una sicurezza perfetta, esiste ancora l'approccio pragmatico della resilienza aziendale nell'investire il ciclo di vita completo di un rischio di sicurezza prima, durante e dopo un evento imprevisto.

  • Obiettivi di resilienza: concentrarsi su come consentire all'azienda di innovare rapidamente, limitare l'impatto e cercare sempre modi sicuri per adottare la tecnologia.
  • Resilienza della sicurezza e presupporre violazioni: presupporre violazioni o compromissioni per seguire il principio chiave di zero trust e praticare comportamenti di sicurezza pragmatici per prevenire attacchi, limitare i danni e ottenere un ripristino rapido da essi.

Controllo di accesso

Creare una strategia di controllo di accesso che allinea sia l'esperienza utente che le garanzie di sicurezza.

  • Dal perimetro di sicurezza a zero attendibilità: adottare un approccio zero trust per il controllo di accesso per stabilire e migliorare le garanzie di sicurezza quando si lavora nel cloud e si usa una nuova tecnologia.
  • Controllo di accesso moderno: rendere una strategia di controllo di accesso completa, coerente e flessibile. Andare oltre una singola tattica o tecnologia per più carichi di lavoro, cloud e vari livelli di riservatezza aziendale.
  • Noto, attendibile, consentito: seguire il processo in tre passaggi dinamico per garantire l'autenticazione nota, considerare attendibile l'utente o il dispositivo e consentire i diritti e i privilegi appropriati per l'applicazione, il servizio o i dati.
  • Decisioni di accesso basate sui dati: prendere decisioni informate dai diversi dati degli utenti e dei dispositivi per soddisfare la convalida esplicita.
  • Segmentazione: separata da proteggere: creare limiti come segmenti separati di un ambiente interno per contenere danni a attacchi riusciti.
  • Isolamento: evitare firewall e dimenticare: progettare una forma estrema di segmentazione per asset critici per l'azienda che consiste in: persone, processi e tecnologia.

Operazioni per la sicurezza

Stabilire operazioni di sicurezza riducendo i rischi, rispondere rapidamente e ripristinare per proteggere l'organizzazione e seguire la disciplina di sicurezza del processo DevOps.

  • Persone e processo: creare una cultura per consentire alle persone con strumenti di abilitarli come asset più prezioso e differenziare il portfolio di pensiero, includendo e formare persone non tecniche con forti background nei ruoli di indagine forense.
  • Modello di operazioni di sicurezza: concentrarsi sui risultati della gestione degli eventi imprevisti, della preparazione degli eventi imprevisti e dell'intelligence sulle minacce. Delegare i risultati tra sottoteam per la valutazione, l'analisi e la ricerca su volumi elevati e eventi imprevisti complessi.
  • Punti di contatto aziendali secOps: interagire con la leadership aziendale per informare gli eventi imprevisti principali e determinare l'impatto dei sistemi critici. Risposta pratica congiunta continua per ridurre i rischi dell'organizzazione.
  • Modernizzazione secOps: evolvere le operazioni di sicurezza seguendo le tendenze che coinvolgono la copertura della piattaforma, la sicurezza incentrata sulle identità, i dispositivi IoT e OT e i dati di telemetria pertinenti dal cloud.

Protezione degli asset

Proteggere gli asset business critical, che includono tutti gli elementi fisici e virtuali implementando controlli di sicurezza univoci per ogni tipo di asset. Eseguire costantemente la protezione preventiva e detective per soddisfare criteri, standard e architettura.

  • Ottieni sicurezza: consente di portare le risorse agli standard e ai criteri di sicurezza più recenti dell'organizzazione applicando i controlli correnti agli asset brownfield e assicurando che gli asset greenfield siano impostati sugli standard più recenti.
  • Mantieni la sicurezza: praticare il miglioramento continuo del cloud e pianificare l'aggiornamento o il ritiro del software end-of-life come requisiti aziendali, tecnologici e di sicurezza cambiano rapidamente.
  • Introduzione: iniziare a proteggere gli asset concentrandosi prima sulle risorse cloud note e usare baseline di fornitori/settori noti e collaudati per la configurazione della sicurezza.
  • Informazioni chiave: usare gli elementi chiave dei team responsabili e responsabili per gestire asset a livello aziendale, ad esempio le esigenze del carico di lavoro per l'elasticità del cloud e i controlli di progettazione per identificare le procedure consigliate. Misurare il valore aziendale della protezione degli asset e favorire i criteri automatizzati per evitare costi e ripetizioni manuali.

Governance della sicurezza

Eseguire la supervisione e il monitoraggio con la governance della sicurezza per sostenere e migliorare il comportamento di sicurezza nel tempo usando obiettivi aziendali e rischi per determinare la direzione migliore per la sicurezza.

  • Conformità e creazione di report: i criteri di sicurezza esterni e interni soddisfano i requisiti obbligatori in un determinato settore.
  • Architettura e standard: creare una visualizzazione unificata nel patrimonio aziendale perché la maggior parte delle aziende è un ambiente ibrido che include sia risorse locali che cloud.
  • Gestione del comportamento di sicurezza: pianificare la governance per monitorare gli standard di sicurezza, fornire indicazioni e migliorare i processi. Mantenere l'agilità grazie alla governance guidata tramite criteri e miglioramento continuo.
  • Discipline di governance e protezione: applicare i controlli di sicurezza e fornire feedback per identificare le soluzioni migliori.
  • Governance e operazioni di sicurezza: assicurarsi che le lezioni apprese dagli eventi imprevisti siano integrate nelle operazioni di sicurezza e nella governance.

Sicurezza dell'innovazione

Proteggere i processi e i dati dell'innovazione dai cyberattacchi man mano che vengono sviluppate nuove applicazioni tenendo conto della sicurezza dell'innovazione .

  • Che cos'è DevSecOps?: sicurezza integrata nel processo già combinato di sviluppo e operazioni in DevOps per attenuare i rischi nel processo di innovazione.
  • Sicurezza da progettazione e spostamento a sinistra: coinvolgere la sicurezza in tutte le fasi del ciclo di vita di DevOps e avere team allineati alla velocità di innovazione, affidabilità e resilienza.
  • Perché DevSecOps?: per proteggere il processo DevOps da utenti malintenzionati che sfruttano i punti deboli in tutta l'infrastruttura IT all'interno dell'organizzazione, che a sua volta protegge i clienti.
  • Percorso DevSecOps: usare l'incubazione delle idee e DevOps come processo in due fasi come la maggior parte delle organizzazioni. Identificare i requisiti dell'MVP (minimo prodotto valido), usare le tecniche di leadership per risolvere i conflitti dei team e integrare la sicurezza nei processi e negli strumenti esistenti.
  • Suggerimenti per esplorare il percorso: quando si trasforma la sicurezza, ci saranno sfide comuni durante il percorso che coinvolgeranno l'istruzione, il tempo, il resourcing e la natura complessiva delle operazioni IT.

Controlli DevSecOps

Aggiungere sicurezza a ogni fase dell'integrazione continua e del recapito continuo (CI/CD) quando si eseguono controlli DevSecOps.

  • Pianificare e sviluppare: portare la sicurezza nella fase di pianificazione nelle metodologie di sviluppo moderne per implementare la modellazione delle minacce, i plug-in di sicurezza dell'IDE/il pre-commit e la revisione peer.
  • Eseguire il commit del codice: valutare e implementare la funzionalità di analisi delle vulnerabilità nei repository centralizzati per individuare i rischi ed eseguire la correzione.
  • Compilazione e test: usare pipeline di compilazione e versione per l'automazione e la standardizzazione per i processi di compilazione e distribuzione di codice sicuro senza dedicare grandi quantità di tempo alla ridistribuzione o all'aggiornamento degli ambienti esistenti.
  • Passare alla produzione e operare: supervisionare e gestire lo stato di sicurezza quando la soluzione viene portata in produzione. Usare gli strumenti di analisi dell'infrastruttura e le procedure di test di penetrazione per consentire ai team di individuare rischi e vulnerabilità da affrontare.

Ciclo di sviluppo basato su test

Prima di iniziare qualsiasi miglioramento della sicurezza, è importante comprendere la "definizione di Completato" e tutti i "criteri di accettazione". Per altre informazioni, vedere gli articoli sullo sviluppo basato su test delle zone di destinazione e sullo sviluppo basato su test in Azure.

Passaggi successivi

Informazioni su come migliorare le operazioni delle zone di destinazione per supportare le applicazioni critiche.

Migliorare le operazioni delle zone di destinazione