Ulepszanie zabezpieczeń strefy docelowej

  • Artykuł

Gdy obciążenie lub strefy docelowe hostujące go wymagają dostępu do poufnych danych lub krytycznych systemów, ważne jest, aby chronić dane i zasoby.

Zabezpieczenia

Podczas zamykania stanu Gotowe masz ciągłą odpowiedzialność za utrzymanie bezpieczeństwa środowiska. Zabezpieczenia w chmurze to również proces przyrostowy, a nie tylko statyczny obiekt docelowy. Skoncentruj się na celach i kluczowych wynikach podczas wyobrażania sobie stanu końcowego zabezpieczeń. Mapowanie pojęć, struktur i standardów na dyscypliny w bezpiecznej metodologii CAF wraz z mapowaniem ról i obowiązków dotyczących dyscypliny ludzkiej. Metodologia bezpieczeństwa zawiera wskazówki.

Poniżej przedstawiono omówienie tych wskazówek wraz z linkami do szczegółów.

Szczegółowe informacje o ryzyku

Operacje biznesowe mają zagrożenia bezpieczeństwa. Zespół ds. zabezpieczeń powinien poinformować i poinformować osoby podejmujące decyzje o tym, w jaki sposób zagrożenia bezpieczeństwa mieszczą się w swoich strukturach, rozumiejąc działalność biznesową i stosując praktyki zabezpieczeń, aby rozpoznać, na które ryzyko należy odpowiednio zaplanować i podjąć działania.

  • Co to jest ryzyko cyberbezpieczeństwa?: Wszystkie potencjalne szkody lub zniszczenia firmy spowodowane przez osoby atakujące próbujące ukraść walutę, informacje wewnętrzne lub technologie.
  • Dostosuj zarządzanie ryzykiem bezpieczeństwa: zainwestuj w pomostowanie cyberbezpieczeństwa i przywództwa organizacyjnego, aby wyjaśnić zagrożenia bezpieczeństwa przy użyciu przyjaznej dla firmy terminologii, aktywnie słuchając i komunikując się ze wszystkimi osobami w całej firmie.
  • Zrozumienie ryzyka cyberbezpieczeństwa: Zrozumienie motywacji i wzorców zachowań osób atakujących do kradzieży pieniędzy, informacji lub technologii oraz identyfikowania potencjalnego wpływu różnych typów ataków.

Integracja z zabezpieczeniami

Upewnij się, że zabezpieczenia są problemem organizacyjnym i nie są silosowane w jednej grupie. Integracja zabezpieczeń zapewnia wskazówki dotyczące integrowania zabezpieczeń z rolą wszystkich użytkowników przy jednoczesnym zminimalizowaniu problemów z procesami biznesowymi. Konkretne wskazówki obejmują:

  • Normalizacja relacji: upewnij się, że wszystkie zespoły są zintegrowane z zespołami ds. zabezpieczeń i mają wspólne zrozumienie celów zabezpieczeń. Ponadto należy pracować nad znalezieniem odpowiedniego poziomu mechanizmów kontroli zabezpieczeń, zapewniając, że kontrolki nie przewyższają wartości biznesowej.
  • Integracja z działem IT i operacjami biznesowymi: zrównoważ wdrożenie aktualizacji zabezpieczeń i mapowanie wpływu wszystkich procesów zabezpieczeń na bieżący wpływ na działalność biznesową oraz potencjalne zagrożenie bezpieczeństwa w przyszłości.
  • Integruj zespoły ds. zabezpieczeń: unikaj działania w silosach, odpowiadając na aktywne zagrożenia i stale ulepszając stan zabezpieczeń organizacji, praktykując zabezpieczenia jako dyscyplinę dynamiczną.

Odporność biznesowa

Chociaż organizacje nigdy nie mogą mieć doskonałego bezpieczeństwa, nadal istnieje pragmatyczne podejście odporności firmy w inwestowanie pełnego cyklu życia ryzyka bezpieczeństwa przed, w trakcie i po zdarzeniu.

  • Cele odporności: skoncentruj się na umożliwieniu firmie szybkiego wprowadzania innowacji, ograniczeniu wpływu i zawsze szukaniu bezpiecznych sposobów wdrażania technologii.
  • Odporność na zabezpieczenia i zakładanie naruszenia: przyjmij naruszenie lub naruszenie zabezpieczeń, aby postępować zgodnie z kluczową zasadą zerowego zaufania i praktykować pragmatyczne zachowania zabezpieczeń, aby zapobiec atakom, ograniczyć szkody i szybko je odzyskać.

Kontrola dostępu

Utwórz strategię kontroli dostępu , która jest zgodna zarówno ze środowiskiem użytkownika, jak i zabezpieczeniami.

  • Od obwodu zabezpieczeń do zerowego zaufania: przyjmij podejście zerowe zaufania do kontroli dostępu w celu ustanowienia i poprawy gwarancji bezpieczeństwa podczas pracy w chmurze i korzystania z nowej technologii.
  • Nowoczesna kontrola dostępu: Utwórz strategię kontroli dostępu, która jest kompleksowa, spójna i elastyczna. Wykraczanie poza jedną taktykę lub technologię dla wielu obciążeń, chmur i różnych poziomów poufności biznesowej.
  • Znane, zaufane, dozwolone: postępuj zgodnie z dynamicznym procesem trzyetapowym, aby zapewnić znane uwierzytelnianie, zaufanie użytkownikowi lub urządzeniu oraz zezwolenie na odpowiednie prawa i uprawnienia dla aplikacji, usługi lub danych.
  • Decyzje dotyczące dostępu oparte na danych: podejmuj świadome decyzje na podstawie różnorodnych danych na użytkownikach i urządzeniach w celu spełnienia jawnej weryfikacji.
  • Segmentacja: Oddzielne w celu ochrony: utwórz granice jako oddzielne segmenty środowiska wewnętrznego, aby zawierać uszkodzenia pomyślnych ataków.
  • Izolacja: Unikaj zapory i zapomnij: Projektowanie ekstremalnej formy segmentacji dla zasobów krytycznych dla działania firmy, które składają się z: ludzi, procesów i technologii.

Operacje zabezpieczeń

Ustanów operacje zabezpieczeń , zmniejszając ryzyko, szybko reagując i odzyskując, aby chronić organizację i przestrzegać dyscypliny zabezpieczeń procesu DevOps.

  • Osoby i proces: Utwórz kulturę, aby umożliwić ludziom korzystanie z narzędzi, aby umożliwić im jako najcenniejszy zasób i zdywersyfikować portfel myślenia, włączając i szkoląc osoby niezwiązane z silnymi doświadczeniami w rolach badania kryminalistycznego.
  • Model operacji zabezpieczeń: skoncentruj się na wynikach zarządzania zdarzeniami, przygotowywania zdarzeń i analizy zagrożeń. Delegowanie wyników między zespołami podrzędnymi w celu klasyfikacji, badania i polowania na duże i złożone incydenty.
  • Punkty robocze SecOps: interakcja z kierownictwem biznesowym w celu informowania o poważnych zdarzeniach i określania wpływu krytycznych systemów. Ciągła wspólna praktyka reagowania na zmniejszenie ryzyka organizacyjnego.
  • Modernizacja SecOps: Rozwijanie operacji zabezpieczeń przez obserwowanie trendów obejmujących pokrycie platformy, zabezpieczenia skoncentrowane na tożsamościach, urządzenia IoT i OT oraz odpowiednie dane telemetryczne z chmury.

Ochrona zasobów

Zabezpieczanie zasobów krytycznych dla działania firmy, które obejmują wszystkie elementy fizyczne i wirtualne, implementując mechanizmy kontroli zabezpieczeń, które są unikatowe dla każdego typu zasobu. Spójne wykonywanie ochrony prewencyjnej i detektywistycznej w celu spełnienia zasad, standardów i architektury.

  • Zabezpieczanie: zapewnianie zasobów do najnowszych standardów i zasad zabezpieczeń organizacji przez zastosowanie bieżących mechanizmów kontroli do zasobów brownfield i zapewnienie, że zasoby greenfield zostały ustawione na najnowsze standardy.
  • Zachowaj bezpieczeństwo: Przećwiczenie ciągłego ulepszania chmury i planowanie uaktualniania lub wycofywania oprogramowania end-of-life w miarę szybkiego zmieniania się wymagań biznesowych, technologicznych i zabezpieczeń.
  • Wprowadzenie: Zacznij chronić zasoby, koncentrując się najpierw na dobrze znanych zasobach w chmurze i korzystaj ze znanych i sprawdzonych punktów odniesienia dostawcy/branży na potrzeby konfiguracji zabezpieczeń.
  • Kluczowe informacje: Użyj kluczowych elementów odpowiedzialnych i odpowiedzialnych zespołów do zarządzania zasobami w całym przedsiębiorstwie, takimi jak potrzeby związane z elastycznością chmury i mechanizmy kontroli projektowej, aby zidentyfikować najlepsze rozwiązania. Mierzenie wartości biznesowej ochrony zasobów i faworyzowanie zautomatyzowanych zasad w celu uniknięcia kosztów i ręcznych powtórzeń.

Nadzór nad zabezpieczeniami

Przeprowadź nadzór i monitorowanie za pomocą ładu w zakresie zabezpieczeń w celu utrzymania i poprawy stanu zabezpieczeń w miarę upływu czasu, wykorzystując cele biznesowe i ryzyko w celu określenia najlepszego kierunku bezpieczeństwa.

  • Zgodność i raportowanie: zasady zabezpieczeń zewnętrznych i wewnętrznych spełniają obowiązkowe wymagania w danej branży.
  • Architektura i standardy: utwórz ujednolicony widok w całej infrastrukturze przedsiębiorstwa, ponieważ większość przedsiębiorstw jest środowiskiem hybrydowym obejmującym zarówno zasoby lokalne, jak i zasoby w chmurze.
  • Zarządzanie stanem zabezpieczeń: Planowanie ładu w celu monitorowania standardów zabezpieczeń, dostarczania wskazówek i ulepszania procesów. Zachowaj elastyczność dzięki sterowaniu ładem za pomocą zasad i ciągłego ulepszania.
  • Dyscypliny ładu i ochrony: stosowanie mechanizmów kontroli zabezpieczeń i przekazywanie opinii w celu zidentyfikowania najlepszych rozwiązań.
  • Operacje ładu i zabezpieczeń: upewnij się, że wnioski wyciągnięte z zdarzeń są zintegrowane z operacjami zabezpieczeń i ładem.

Bezpieczeństwo innowacji

Ochrona procesów i danych innowacji przed cyberatakami w miarę opracowywania nowych aplikacji z myślą o bezpieczeństwie innowacji .

  • Co to jest DevSecOps?: Zintegrowane zabezpieczenia z już połączonym procesem programowania i operacji w metodyce DevOps w celu ograniczenia ryzyka w procesie innowacji.
  • Bezpieczeństwo zgodnie z projektem i przesunięciem w lewo: zaangażuj zabezpieczenia we wszystkich etapach cyklu życia metodyki DevOps i mają zespoły zgodne z szybkością innowacji, niezawodnością i odpornością.
  • Dlaczego metodyka DevSecOps?: Aby zabezpieczyć proces DevOps chroniący przed osobami atakującymi wykorzystującymi słabe strony we wszystkich infrastrukturze IT w organizacji, co z kolei chroni klientów.
  • Podróż DevSecOps: użyj inkubacji pomysłów i metodyki DevOps jako dwufazowego procesu, takiego jak większość organizacji. Zidentyfikuj wymagania dotyczące programu MVP (minimalnej opłacalnej wersji produktu), użyj technik przywództwa, aby rozwiązać konflikty zespołów, i zintegruj zabezpieczenia w istniejących procesach i narzędziach.
  • Wskazówki dotyczące poruszania się po podróży: W miarę przekształcania bezpieczeństwa w trakcie podróży będą występować typowe wyzwania związane z edukacją, czasem, pozyskiwaniem zasobów i ogólnym zmieniającym się charakterem operacji IT.

Kontrolki DevSecOps

Dodaj zabezpieczenia do każdego etapu ciągłej integracji i ciągłego dostarczania (CI/CD) podczas tworzenia kontrolek DevSecOps.

  • Planowanie i opracowywanie: Wprowadzenie zabezpieczeń do fazy planowania w nowoczesnych metodologiach programowania w celu zaimplementowania modelowania zagrożeń, wtyczek zabezpieczeń środowiska IDE/wstępnego zatwierdzania i przeglądu równorzędnego.
  • Zatwierdź kod: Oceń i zaimplementuj możliwość skanowania luk w zabezpieczeniach w scentralizowanych repozytoriach, aby wykryć ryzyko i przeprowadzić korygowanie.
  • Kompilowanie i testowanie: używaj potoków kompilacji i wydania do automatyzacji i standaryzacji procesów kompilowania i wdrażania bezpiecznego kodu bez poświęcania dużego czasu na ponowne wdrażanie lub uaktualnianie istniejących środowisk.
  • Przejdź do środowiska produkcyjnego i działaj: nadzoruj stan zabezpieczeń i zarządzaj nim, gdy rozwiązanie zostanie przeniesione do środowiska produkcyjnego. Użyj narzędzi do skanowania infrastruktury i praktyk testowania penetracyjnego, aby umożliwić zespołom znajdowanie zagrożeń i luk w zabezpieczeniach.

Cykl programowania oparty na testach

Przed rozpoczęciem wszelkich ulepszeń zabezpieczeń ważne jest zrozumienie "definicji wykonanej" i wszystkich "kryteriów akceptacji". Aby uzyskać więcej informacji, zobacz artykuły dotyczące tworzenia stref docelowych opartych na testach i programowania opartego na testach na platformie Azure.

Następne kroki

Dowiedz się, jak ulepszyć operacje strefy docelowej w celu obsługi krytycznych aplikacji.

Ulepszanie operacji strefy docelowej