Verbetering van de basis discipline van de beveiligingSecurity Baseline discipline improvement

Het beveiligings basislijn vakgebied richt zich op manieren om beleid in te stellen voor het beveiligen van het netwerk, assets en de belangrijkste gegevens die zich in de oplossing van een Cloud provider bevinden.The Security Baseline discipline focuses on ways of establishing policies that protect the network, assets, and most importantly the data that will reside on a cloud provider's solution. Binnen de vijf disciplines van Cloud governance omvat de basis discipline van de beveiliging de classificatie van het digitale erfgoed en de gegevens.Within the Five Disciplines of Cloud Governance, the Security Baseline discipline includes classification of the digital estate and data. Het bevat ook documentatie over Risico's, bedrijfs tolerantie en risico beperkings strategieën die zijn gekoppeld aan de beveiliging van de gegevens, assets en het netwerk.It also includes documentation of risks, business tolerance, and mitigation strategies associated with the security of the data, assets, and network. Vanuit een technisch perspectief omvat dit ook betrokkenheid bij beslissingen over versleuteling, netwerk vereisten, hybride identiteits strategieënen de processen die worden gebruikt voor het ontwikkelen van beleids regels voor beveiligings basislijn voor de Cloud.From a technical perspective, this also includes involvement in decisions regarding encryption, network requirements, hybrid identity strategies, and the processes used to develop Security Baseline policies for the cloud.

In dit artikel vindt u een overzicht van enkele mogelijke taken die uw bedrijf kan ondergaan om beter te kunnen ontwikkelen en de basis discipline van de beveiliging te vergoeden.This article outlines some potential tasks your company can engage in to better develop and mature the Security Baseline discipline. Deze taken kunnen worden onderverdeeld in planning, gebouw, aanneming en bedrijfs fasen van de implementatie van een Cloud oplossing, die vervolgens worden doorgevoerd in de ontwikkeling van een incrementele benadering van het Cloud bestuur.These tasks can be broken down into planning, building, adopting, and operating phases of implementing a cloud solution, which are then iterated on allowing the development of an incremental approach to cloud governance.

Fasen van een incrementele benadering van Cloud governance

Afbeelding 1: fasen van een incrementele benadering van het Cloud bestuur.Figure 1: Phases of an incremental approach to cloud governance.

Het is niet mogelijk om met één document rekening te leggen voor de vereisten van alle bedrijven.It's impossible for any one document to account for the requirements of all businesses. Dit artikel bevat als zodanig een overzicht van de voorgestelde minimale en mogelijke voorbeeld activiteiten voor elke fase van het governance maturation-proces.As such, this article outlines suggested minimum and potential example activities for each phase of the governance maturation process. Het eerste doel van deze activiteiten is om u te helpen bij het bouwen van een BELEIDS MVP en het maken van een framework voor incrementele beleids verbetering.The initial objective of these activities is to help you build a policy MVP and establish a framework for incremental policy improvement. Uw Cloud beheer team moet bepalen hoeveel er in deze activiteiten moet worden geinvesteren om de basis discipline van de beveiliging te verbeteren.Your cloud governance team will need to decide how much to invest in these activities to improve your Security Baseline discipline.

Waarschuwing

De minimale of potentiële activiteiten die in dit artikel worden beschreven, zijn afgestemd op een specifiek bedrijfs beleid of vereisten voor naleving van derden.Neither the minimum or potential activities outlined in this article are aligned to specific corporate policies or third-party compliance requirements. Deze richt lijnen zijn bedoeld om de conversaties te vergemakkelijken die kunnen leiden tot de uitlijning van beide vereisten met een beleid voor Cloud beheer.This guidance is designed to help facilitate the conversations that will lead to alignment of both requirements with a cloud governance model.

Planning en gereedheidPlanning and readiness

In deze fase van governance-rijpheid wordt de deling tussen bedrijfs resultaten en strategieën waarvoor actie kan worden uitgevoerd, gebrugd.This phase of governance maturity bridges the divide between business outcomes and actionable strategies. Tijdens dit proces definieert het leiderschaps team specifieke metrische gegevens, wijst deze metrische gegevens toe aan het digitale erfgoed en begint de planning van de algehele migratie.During this process, the leadership team defines specific metrics, maps those metrics to the digital estate, and begins planning the overall migration effort.

Minimale aanbevolen activiteiten:Minimum suggested activities:

  • Evalueer de hulpprogramma keten-opties voor uw beveiligings basislijn .Evaluate your Security Baseline toolchain options.
  • Ontwikkel een document met richt lijnen voor de concepten van architectuur en distribueer ze naar belang rijke belanghebbenden.Develop a draft architecture guidelines document and distribute to key stakeholders.
  • Train en betrek de mensen en teams die worden beïnvloed door de ontwikkeling van architectuur richtlijnen.Educate and involve the people and teams affected by the development of architecture guidelines.
  • Voeg beveiligings taken met een prioriteit toe aan uw migratie achterstand.Add prioritized security tasks to your migration backlog.

Mogelijke activiteiten:Potential activities:

  • Definieer een schema voor de gegevens classificatie.Define a data classification schema.
  • Voer een digitaal werk schema uit voor de inventarisatie van de huidige IT-activa om uw bedrijfs processen en ondersteunende bewerkingen uit te voeren.Conduct a digital estate planning process to inventory the current IT assets powering your business processes and supporting operations.
  • Voer een beleids beoordeling uit om het proces van het moderniseren van het bestaande beleid voor zakelijke IT-beveiliging te starten en MVP-beleids regels te definiëren die bekende Risico's adresseren.Conduct a policy review to begin the process of modernizing existing corporate IT security policies, and define MVP policies addressing known risks.
  • Bekijk de beveiligings richtlijnen van uw Cloud platform.Review your cloud platform's security guidelines. Voor Azure kunt u deze vinden in de micro soft service Trust-Portal.For Azure these can be found in the Microsoft Service Trust Portal.
  • Bepaal of het beveiligings beleid voor de basis lijn een levenscyclus voor beveiligings ontwikkelingbevat.Determine whether your Security Baseline policy includes a security development lifecycle.
  • Evalueer netwerk-, gegevens-en activa-gerelateerde bedrijfs Risico's op basis van de volgende tot drie releases en meet de tolerantie van uw organisatie voor deze Risico's.Evaluate network, data, and asset-related business risks based on the next one to three releases, and gauge your organization's tolerance for those risks.
  • Bekijk de belangrijkste trends van micro soft in het Cyber beveiliging-rapport voor een overzicht van de huidige beveiliging.Review Microsoft's top trends in cybersecurity report for an overview of the current security landscape.
  • Overweeg het ontwikkelen van een DevSecOps -rol in uw organisatie.Consider developing a DevSecOps role in your organization.

Build en voor implementatieBuild and predeployment

Er zijn een aantal technische en niet-technische vereisten vereist voor een geslaagde migratie van een omgeving.Several technical and nontechnical prerequisites are required to successful migrate an environment. Dit proces is gericht op de beslissings-, gereedheids-en kern infrastructuur waarmee een migratie wordt uitgevoerd.This process focuses on the decisions, readiness, and core infrastructure that proceeds a migration.

Minimale aanbevolen activiteiten:Minimum suggested activities:

  • Implementeer uw beveiligings basislijn hulpprogramma keten door uit te rollen in een implementatie fase.Implement your Security Baseline toolchain by rolling out in a predeployment phase.
  • Werk het document met architectuur richtlijnen bij en distribueer ze naar belang rijke belanghebbenden.Update the architecture guidelines document and distribute to key stakeholders.
  • Implementeer beveiligings taken voor de achterstand voor de migratie met prioriteit.Implement security tasks on your prioritized migration backlog.
  • Ontwikkel educatie materiaal en documentatie, bewustmakings communicatie, prikkels en andere Program ma's om de gebruikers acceptatie te stimuleren.Develop educational materials and documentation, awareness communications, incentives, and other programs to help drive user adoption.

Mogelijke activiteiten:Potential activities:

  • Bepaal de versleutelings strategie van uw organisatie voor gegevens die in de cloud worden gehost.Determine your organization's encryption strategy for cloud-hosted data.
  • Evalueer de identiteits strategie van uw Cloud implementatie.Evaluate your cloud deployment's identity strategy. Bepaal hoe uw cloud-gebaseerde identiteits oplossing naast elkaar bestaat of integreert met on-premises id-providers.Determine how your cloud-based identity solution will coexist or integrate with on-premises identity providers.
  • Bepaal de netwerk grens beleidsregels voor uw Sdn-ontwerp (software defined Networking) om beveiligde gevirtualiseerde netwerk mogelijkheden te garanderen.Determine network boundary policies for your Software Defined Networking (SDN) design to ensure secure virtualized networking capabilities.
  • Evalueer het beleid voor de minimale bevoegdheid van uw organisatie en gebruik op taken gebaseerde rollen om toegang te bieden tot specifieke resources.Evaluate your organization's least-privilege access policies, and use task-based roles to provide access to specific resources.
  • Beveiligings-en bewakings mechanismen Toep assen op alle Cloud Services en virtuele machines.Apply security and monitoring mechanisms to all cloud services and virtual machines.
  • Automatiseer beveiligings beleid waar mogelijk.Automate security policies where possible.
  • Controleer het beleid voor de beveiligings basislijn en bepaal of u uw plannen moet aanpassen volgens de richt lijnen voor best practices, zoals die in de levens cyclus voor beveiligings ontwikkelingworden beschreven.Review your Security Baseline policy and determine whether you need to modify your plans according to best practices guidance such as those outlined in the security development lifecycle.

Aannemen en migrerenAdopt and migrate

Migratie is een incrementeel proces dat gericht is op het verplaatsen, testen en goed keuren van toepassingen of workloads in een bestaand digitaal erfgoed.Migration is an incremental process that focuses on the movement, testing, and adoption of applications or workloads in an existing digital estate.

Minimale aanbevolen activiteiten:Minimum suggested activities:

  • Migreer de hulpprogramma keten van uw beveiligings basislijn van de voor bereiding naar de productie omgeving.Migrate your Security Baseline toolchain from predeployment to production.
  • Werk het document met architectuur richtlijnen bij en distribueer ze naar belang rijke belanghebbenden.Update the architecture guidelines document and distribute to key stakeholders.
  • Ontwikkel educatie materiaal en documentatie, bewustmakings communicatie, prikkels en andere Program ma's om de gebruikers acceptatie te stimuleren.Develop educational materials and documentation, awareness communications, incentives, and other programs to help drive user adoption.

Mogelijke activiteiten:Potential activities:

  • Bekijk de nieuwste informatie over de beveiligings basislijn en bedreiging om nieuwe zakelijke Risico's te identificeren.Review the latest security baseline and threat information to identify any new business risks.
  • Meet de tolerantie van uw organisatie voor het afhandelen van nieuwe beveiligings Risico's die zich kunnen voordoen.Gauge your organization's tolerance to handle new security risks that may arise.
  • Afwijkingen van het beleid identificeren en correcties afdwingen.Identify deviations from policy, and enforce corrections.
  • Pas beveiliging en toegangs beheer voor automatisering aan om te zorgen voor maximale beleids naleving.Adjust security and access control automation to ensure maximum policy compliance.
  • Controleer of de aanbevolen procedures die tijdens de build-en implementatie fasen zijn gedefinieerd, correct worden uitgevoerd.Validate that the best practices defined during the build and predeployment phases are properly executed.
  • Controleer uw toegangs beleid met minimale bevoegdheden en pas de toegangs beheers aan om de beveiliging te maximaliseren.Review your least-privilege access policies and adjust access controls to maximize security.
  • Test uw beveiligings basislijn hulpprogramma keten op basis van uw workloads om beveiligings problemen te identificeren en op te lossen.Test your Security Baseline toolchain against your workloads to identify and resolve any vulnerabilities.

Uitvoeren en na de implementatieOperate and post-implementation

Zodra de trans formatie is voltooid, moeten governance en activiteiten op de natuurlijke levens cyclus van een toepassing of werk belasting wonen.Once the transformation is complete, governance and operations must live on for the natural lifecycle of an application or workload. Deze fase van de governance-loop tijd richt zich op de activiteiten die meestal worden uitgevoerd nadat de oplossing is geïmplementeerd en de transformatie cyclus begint te stabiliseren.This phase of governance maturity focuses on the activities that commonly come after the solution is implemented and the transformation cycle begins to stabilize.

Minimale aanbevolen activiteiten:Minimum suggested activities:

  • Valideer en Verfijn uw hulpprogramma keten voor de beveiligings basislijn.Validate and refine your Security Baseline toolchain.
  • Pas meldingen en rapporten aan om u te waarschuwen over mogelijke beveiligings problemen.Customize notifications and reports to alert you of potential security issues.
  • Verfijn de architectuur richtlijnen om toekomstige acceptatie processen te begeleiden.Refine the architecture guidelines to guide future adoption processes.
  • Communiceer en train de betrokken teams regel matig om te zorgen voor voortdurende inachtneming van architectuur richtlijnen.Communicate and educate the affected teams periodically to ensure ongoing adherence to architecture guidelines.

Mogelijke activiteiten:Potential activities:

  • Spoor patronen en gedrag op voor uw workloads en configureer uw hulpprogram ma's voor bewaking en rapportage om u te identificeren en u te informeren over abnormale activiteiten, toegang of resource gebruik.Discover patterns and behavior for your workloads and configure your monitoring and reporting tools to identify and notify you of any abnormal activity, access, or resource usage.
  • Werk voortdurend uw bewakings-en rapportage beleid bij om de nieuwste beveiligings problemen, cracks en aanvallen te detecteren.Continuously update your monitoring and reporting policies to detect the latest vulnerabilities, exploits, and attacks.
  • Bevatten procedures voor het snel stoppen van onbevoegde toegang en het uitschakelen van resources die mogelijk zijn aangetast door een aanvaller.Have procedures in place to quickly stop unauthorized access and disable resources that may have been compromised by an attacker.
  • Bekijk regel matig de nieuwste aanbevolen procedures voor beveiliging en pas aanbevelingen toe op uw beveiligings beleid, automatisering en bewakings mogelijkheden waar mogelijk.Regularly review the latest security best practices and apply recommendations to your security policy, automation, and monitoring capabilities where possible.

Volgende stappenNext steps

Nu u bekend bent met het concept van Cloud Security governance, gaat u verder voor meer informatie over de richt lijnen voor beveiliging en aanbevolen procedures die micro soft biedt voor Azure.Now that you understand the concept of cloud security governance, move on to learn more about what security and best practices guidance Microsoft provides for Azure.