Beveiliging in de Microsoft Cloud Adoption Framework voor Azure

  • Artikel
  • 8 minuten om te lezen

Net zoals cloud adoption een traject is, is cloudbeveiliging ook een doorlopend traject van incrementele voortgang en volwassenheid, geen statisch doel.

Een beveiligings-eindtoestand inbeelden

Een reis zonder beoogde bestemming is een zwerftocht. Hoewel deze aanpak uiteindelijk kan leiden tot een opsnuiting, moeten zakelijke doelstellingen en beperkingen zich vaak richten op doelstellingen en belangrijke resultaten.

De secure-methodologie biedt een beeld van de volledige eindtoestand om de verbetering van uw beveiligingsprogramma gedurende een periode te begeleiden. De volgende infographic biedt een visuele toewijzing van de belangrijkste manieren waarop beveiliging kan worden geïntegreerd met de grotere organisatie en de disciplines binnen beveiliging.

Veilige methodologie voor CAF

De Cloud Adoption Framework biedt beveiligings richtlijnen voor dit beveiligingstraject door duidelijkheid te bieden voor de processen, best practices, modellen en ervaringen. Deze richtlijnen zijn gebaseerd op de geleerde ervaringen uit de echte wereld van echte klanten, het beveiligingstraject van Microsoft en werken met organisaties zoals NIST, The Open Group en het Center for Internet Security (CIS).

Toewijzen aan concepten, frameworks en standaarden

Beveiliging zelf is zowel een zelfstandige organisatie-discipline als een kwaliteit/kenmerk dat is geïntegreerd of wordt overschreven in andere disciplines, waardoor het moeilijk is om nauwkeurig te definiëren en in detail toe te geven. De beveiligingsbranche maakt gebruik van veel verschillende frameworks om risico's vast te leggen, controles te plannen en te werken. Hier volgt een kort overzicht van hoe de disciplines in de CAF Secure-methodologie zich verhouden tot andere beveiligingsconcepten en -richtlijnen:

  • Nul vertrouwensrelatie: Microsoft is van mening dat alle beveiligingsdisciplines de zero trust-principes moeten volgen om schendingen aan te nemen,expliciet te verifiëren entoegang met minste bevoegdheden te gebruiken. Deze principes vormen de basis voor een goede beveiligingsstrategie en moeten ook in balans zijn met bedrijfsdoelen. Het eerste en meest zichtbare deel van zero trust is in toegangsbeheer, dus dit wordt gemarkeerd in de beschrijving van de beveiligingsdiscipline voor toegangsbeheer.

  • De groep openen: Deze beveiligingsdisciplines zijn nauw verbonden met de onderdelen van zero-trust in het kernprincipes whitepaper dat is gepubliceerd door The Open Group, waar Microsoft actief aan deelneemt. De enige belangrijke uitzondering is dat Microsoft de discipline innovatiebeveiliging heeft verhoogd, zodat DevSecOps een element op het hoogste niveau is vanwege hoe nieuw, belangrijk en transformerend deze discipline voor veel organisaties is.

  • NIST-framework voor cyberbeveiliging: Voor organisaties die gebruikmaken van het NIST-frameworkvoor cyberbeveiliging, hebben we vetgedrukte tekst gemarkeerd waarin het framework het meest in kaart wordt gebracht. Modern toegangsbeheer en DevSecOps zijn breed in kaart gebracht aan het volledige spectrum van het framework, zodat deze items niet afzonderlijk worden vermeld.

Toewijzing aan rollen en verantwoordelijkheden

Hoewel beveiliging een zeer technische discipline is, is het in de eerste plaats een menselijke discipline die de lange geschiedenis van menselijke conflicten weerspiegelt (maar wordt bijgewerkt voor computers en internet). In het volgende diagram worden de rollen en verantwoordelijkheden in een beveiligingsprogramma samengevat.

Weergave van de verantwoordelijkheden/functies van een bedrijfsbeveiligingsteam

Zie Cloudbeveiligingsfuncties voor meer informatie.

Beveiligingstransformatie

Naarmate organisaties over stappen op de cloud, vinden ze snel dat statische beveiligingsprocessen het tempo van de veranderingen in cloudplatforms, de bedreigingsomgeving en de ontwikkeling van beveiligingstechnologieën niet kunnen volgen. Beveiliging moet worden verlegd naar een steeds veranderende benadering om het tempo aan te passen aan deze wijziging, die de organisatiecultuur en dagelijkse processen in de hele organisatie zal transformeren.

Om deze transformatie te begeleiden, biedt deze methodologie richtlijnen voor de integratie van beveiliging met bedrijfsprocessen (bovenste rij) en technische disciplines voor beveiliging (onderste rij). Deze zorgen gezamenlijk voor een zinvolle en duurzame voortgang van uw beveiligingstraject om organisatierisico's te verminderen. Slechts enkele organisaties kunnen al deze processen in één keer onder de knie krijgen, maar alle organisaties moeten elk proces en elke discipline geleidelijk volwassener maken.

Stuurprogramma's wijzigen

Beveiligingsorganisaties ondervinden twee typen belangrijke transformaties tegelijk

  • Beveiliging als bedrijfsrisico: Beveiliging is vanuit een uitsluitend technische kwaliteitsgeoriënteerde discipline in het domein van het beheer van bedrijfsrisico's vererverd. Dit wordt aangestuurd door twee machten van:
    • Digitale transformatie: Toename van de digitale footprint vergroot de kans op aanvallen van de organisatie voortdurend
    • Bedreigingslandschap: Toename van het aanvalsvolume en de verfijning die worden aanwaaste door een industriële aanvals-economie met gespecialiseerde vaardigheden en voortdurende commoditisering van aanvalshulpprogramma's en -technieken.
  • Platformwijziging: Beveiliging is ook een probleem met een technische platformwijziging in de cloud. Deze verschuiving heeft te maken met de schaal van fabrieken die hun eigen elektrische generatoren uitvoeren naar aansluiting op een elektriciteitsnet. Hoewel beveiligingsteams vaak de juiste basisvaardigheden hebben, worden ze overspoeld door de wijzigingen in vrijwel elk proces en elke technologie die ze elke dag gebruiken.
  • Verschuiving in verwachtingen: In het afgelopen decennium heeft digitale innovatie hele branches opnieuw gedefinieerd. Zakelijke flexibiliteit, met name flexibiliteit met betrekking tot digitale transformatie, kan een organisatie snel ontzegelen als een leider. Evenzo kan het verlies van het vertrouwen van consumenten een vergelijkbare invloed hebben op het bedrijf. Hoewel het ooit acceptabel was voor de beveiliging om met 'nee' te beginnen om een project te blokkeren en de organisatie te beschermen, moet de urgentie van het accepteren van digitale transformatie het betrokkenheidsmodel wijzigen in 'laten we praten over hoe we veilig blijven terwijl u doet wat nodig is om relevant te blijven'.

Blijvende transformatie begeleiden

Het transformeren van de manier waarop het bedrijf en de technische teams beveiliging bekijken, vereist een goede afstemming van de beveiliging op de prioriteiten, processen en het risicokader. Belangrijke gebieden die succesvol zijn, zijn

  • Cultuur: De cultuur van beveiliging moet erop zijn gericht om veilig te voldoen aan de bedrijfsmissie, niet om deze te be weer te doen. Tegelijkertijd moet beveiliging een genormaliseerd onderdeel worden van de cultuur van de organisatie, omdat het internet waarop het bedrijf actief is, openstaat, zodat aanvallers op elk moment aanvallen kunnen uitvoeren. Deze culturele verschuiving vereist verbeterde processen, partnerrelaties en voortdurende leiderschapsondersteuning op alle niveaus om de wijziging te communiceren, het gedrag te modelleren en de verschuiving te versterken.
  • Eigendom van risico's: De verantwoordelijkheid voor beveiligingsrisico's moet worden toegewezen aan dezelfde rollen die eigenaar zijn van alle andere risico's, zodat de beveiliging een vertrouwde adviseur en deskundige is in plaats van een scapegoat. Beveiliging moet verantwoordelijk zijn voor een goed en evenwichtig advies dat wordt gecommuniceerd in de taal van die leiders, maar niet verantwoordelijk moet worden gehouden voor beslissingen die ze niet hebben.
  • Beveiligings talent: Beveiligingsvaardigheden hebben een groot tekort en organisaties moeten altijd plannen hoe ze beveiligingskennis en -vaardigheden het beste kunnen ontwikkelen en distribueren. Naast het rechtstreeks groeien van beveiligingsteams met technische beveiligingsvaardighedensets, verbeteren goed ontwikkelde beveiligingsteams ook hun strategie door zich te richten op
    • Groeiende beveiligingsvaardigheden en kennis binnen bestaande teams in IT en het bedrijf. Dit is met name belangrijk voor DevOps-teams met een DevSecOps-benadering en kan veel vormen aannemen (zoals een helpdesk voor beveiliging, het identificeren en trainen van teams binnen de community of het wisselen van een functie).
    • Het aanwerven van diverse vaardighedensets voor beveiligingsteams om nieuwe perspectieven en frameworks te bieden aan problemen (zoals zaken, menselijk personeel of economie) en om betere relaties binnen de organisatie op te bouwen. Voor een kantje zien alle problemen er als een beetje uit.

Bedrijfsafstemming

Vanwege deze verschuivingen moet uw cloud adoption-programma zich in drie categorieën sterk richten op bedrijfsuitlijning

  • Risico-inzichten: Beveiligingsinzichten en risicosignalen/bronnen afstemmen en integreren met de bedrijfsinitiatieven. Zorg ervoor dat herhaalbare processen alle teams informeren over de toepassing van deze inzichten en houd teams verantwoordelijk voor verbeteringen.
  • Beveiligingsintegratie: Integreer kennis, vaardigheden en inzichten op het gebied van beveiliging dieper in de dagelijkse activiteiten van het bedrijf en de IT-omgeving via herhaalbare processen en diepgaande samenwerking op alle niveaus van de organisatie.
  • Operationele tolerantie: Zorg ervoor dat de organisatie flexibel is door bewerkingen te kunnen voortzetten tijdens een aanval (zelfs in een gedegradeerde toestand) en dat de organisatie snel weer volledige bewerkingen kan uitvoeren.

Beveiligingsdisciplines

Deze transformatie heeft een andere invloed op elke beveiligingsdiscipline. Hoewel elk van deze problemen zeer belangrijk is en investeringen vereist, worden deze geordend (grofweg) op welke de meest directe kansen voor snelle winst zijn wanneer u de cloud gaat gebruiken:

  • Toegangsbeheer: De toepassing van netwerk en identiteit creëert toegangsgrenzen en segmentatie om de frequentie en het bereik van beveiligingsschending te verminderen
  • Beveiligingsbewerkingen: IT-activiteiten bewaken om schendingen te detecteren, te reageren en te herstellen. Gegevens gebruiken om het risico op inbreuk continu te verminderen
  • Assetbeveiliging: De beveiliging van alle assets (infrastructuur, apparaten, gegevens, toepassingen, netwerken en identiteiten) maximaliseren om risico's voor de algehele omgeving te minimaliseren
  • Beveiligingsgovernance: Gedelegeerde beslissingen versnellen innovatie en brengen nieuwe risico's met zich mee. Bewerk beslissingen, configuraties en gegevens om beslissingen te beheren die in de hele omgeving en binnen alle workloads in de portfolio worden genomen.
  • Innovatiebeveiliging: Wanneer een organisatie DevOps-modellen gaat gebruiken om het innovatietempo te verhogen, moet beveiliging een integraal onderdeel worden van een DevSecOps-proces en moet beveiligingsexpertise en -resources rechtstreeks in deze snelle cyclus worden geïntegreerd. Dit omvat het verschuiven van bepaalde beslissingen van gecentraliseerde teams om workloadgerichte teams te helpen.

Richtsnoeren

Alle beveiligingsactiviteiten moeten worden afgestemd op en worden vormgegeven door een dubbele focus op

  • Bedrijfs enablement: Afstemmen op de bedrijfsdoelstelling en het risicokader van de organisatie
  • Beveiligingsgaranties: Gericht op het toepassen van vertrouwensprincipes van nul
    • Ga uit van schending: Bij het ontwerpen van beveiliging voor elk onderdeel of systeem vermindert u het risico dat aanvallers de toegang uitbreiden door ervan uit te gaan dat andere resources in de organisatie zijn aangetast
    • Expliciete verificatie: Valideer de vertrouwensrelatie expliciet met behulp van alle beschikbare gegevenspunten, in plaats van vertrouwen op te nemen. Valideer bijvoorbeeld in toegangsbeheer de gebruikersidentiteit, locatie, apparaattoestand, service of werkbelasting, gegevensclassificatie en afwijkingen, in plaats van alleen toegang toe te staan vanuit een impliciet vertrouwd intern netwerk.
    • Minst bevoegde toegang: Beperk het risico van een gecompromitteerde gebruiker of resource door Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging te bieden om zowel gegevens als productiviteit te beveiligen.

De veilige methodologie maakt deel uit van een uitgebreide set beveiligingsadviezen die ook het volgende omvat: