Funções de arquitetura de segurança em nuvemCloud security architecture functions

A arquitetura de segurança traduz os objetivos de negócios e garantias das organizações em documentação e diagramas para orientar decisões técnicas de segurança.Security architecture translates the organizations business and assurance goals into documentation and diagrams to guide technical security decisions.

ModernizaçãoModernization

A arquitetura de segurança é afetada por diferentes fatores:Security architecture is affected by different factors:

  • Modelo de engajamento contínuo: A libertação contínua de atualizações de software e funcionalidades em nuvem tornam os modelos de noivado fixos obsoletos.Continuous engagement model: Continuous release of software updates and cloud features make fixed engagement models obsolete. Os arquitetos devem estar envolvidos com todas as equipas que trabalham em áreas técnicas para orientar a tomada de decisões ao longo dos ciclos de vida das equipas.Architects should be engaged with all teams working in technical topic areas to guide decision making along those teams' capability lifecycles.
  • Segurança da nuvem: Incorporar capacidades de segurança a partir da nuvem para reduzir o tempo de habilição e os custos de manutenção em curso (hardware, software, tempo e esforço).Security from the cloud: Incorporate security capabilities from the cloud to reduce enablement time and ongoing maintenance costs (hardware, software, time, and effort).
  • Segurança da nuvem: Garantir a cobertura de todos os ativos em nuvem, incluindo software como aplicações de serviço (SaaS), infraestrutura como um VMs de serviço (IaaS) e plataforma como um serviço (PaaS) aplicações e serviços.Security of the cloud: Ensure coverage of all cloud assets including software as a service (SaaS) applications, infrastructure as a service (IaaS) VMs, and platform as a service (PaaS) applications and services. Isto deve incluir a descoberta e a segurança de serviços sancionados e não sancionados.This should include discovery and security of both sanctioned and unsanctioned services.
  • Integração de identidade: Os arquitetos de segurança devem assegurar um alinhamento apertado com as equipas de identidade para ajudar as organizações a cumprir os dois objetivos de permitir a produtividade e fornecer garantias de segurança.Identity integration: Security architects should ensure tight alignment with identity teams to help organizations meet the dual goals of enabling productivity and providing security assurances.
  • Integração do contexto interno em desenhos de segurança para tais como contexto de gestão de postura e incidentes investigados pelas operações de segurança [centro] (SOC).Integration of internal context in security designs to such as context from posture management and incidents investigated by security operations [center] (SOC). Isto deve incluir elementos como pontuações de risco relativo de contas e dispositivos de utilizador, sensibilidade de dados e limites de isolamento de segurança chave para defender ativamente.This should include elements like relative risk scores of user accounts and devices, sensitivity of data, and key security isolation boundaries to actively defend.

Composição da equipa e relações-chaveTeam composition and key relationships

A arquitetura de segurança é idealmente fornecida por uma equipa dedicada ou dedicada, mas os constrangimentos de recursos podem exigir a atribuição desta função a um indivíduo com outras responsabilidades.Security architecture is ideally provided by a dedicated individual or dedicated team, but resource constraints may require assigning this function to an individual with other responsibilities.

A arquitetura de segurança deve ter um amplo portfólio de relações em toda a organização de segurança, com as principais partes interessadas de outras organizações, e com os pares em organizações externas.Security architecture should have a broad portfolio of relationships across the security organization, with key stakeholders in other organizations, and with peers in external organizations. As principais relações internas devem incluir:Key internal relationships should include:

  • Ti/arquitetos empresariaisIT/enterprise architects
  • Gestão da postura de segurançaSecurity posture management
  • Diretores de tecnologiaTechnology directors
  • Principais líderes empresariais ou seus representantesKey business leaders or their representatives
  • Colegas da indústria e outros na comunidade de segurançaIndustry peers and others in the security community

Os arquitetos de segurança devem influenciar ativamente a política e as normas de segurança.Security architects should actively influence security policy and standards.

Passos seguintesNext steps

Reveja a função de gestão de conformidade com a segurança na nuvem.Review the function of cloud security compliance management.