Начало работы. Реализация безопасности в среде предприятия

Безопасность помогает создавать гарантии конфиденциальности, целостности и доступности для бизнеса. Усилия по обеспечению безопасности имеют важное значение для защиты от потенциального воздействия на операции, вызванные внутренним и внешним вредоносным и непреднамеренно работающим.

В этом руководстве по началу работы описаны ключевые действия, которые помогут устранить или избежать бизнес-риска от атак кибербезопасности. Он поможет быстро установить нужные методы обеспечения безопасности в облаке и интегрировать безопасность в процесс внедрения в облако.

Действия, описанные в этом руководстве, предназначены для всех ролей, поддерживающих гарантии безопасности для облачных сред и зон размещения. Задачи включают в себя приоритеты устранения рисков немедленного риска, руководство по созданию современной стратегии безопасности, эксплуатацию подхода и выполнению в этой стратегии.

Это руководство включает элементы из инфраструктуры внедрения Microsoft Cloud для Azure.

Приступая к работе с корпоративной безопасностью

Соблюдение действий, описанных в этом руководстве, поможет интегрировать систему безопасности в критически важные моменты процесса. Цель состоит в том, чтобы избежать препятствий при внедрении в облако и сократить ненужные рабочие или операционные перерывы.

Корпорация Майкрософт имеет встроенные возможности и ресурсы, которые помогут ускорить реализацию этого руководства по безопасности на Microsoft Azure. Эти ресурсы будут упомянуты в этом разделе. Они предназначены для помощи в установке, мониторинге и обеспечении безопасности, а также часто обновляются и проверяются.

На следующей схеме показан целостный подход к использованию руководств по безопасности и инструментов платформы для обеспечения видимости и контроля над облачными ресурсами в Azure. Мы рекомендуем использовать этот подход.

Схема безопасности

Используйте эти шаги для планирования и выполнения стратегии защиты облачных ресурсов и использования облака для модернизировать операций безопасности.

Шаг 1. Установка необходимых методов безопасности

Безопасность в облаке начинается с применения наиболее важных методов обеспечения безопасности к элементам системы пользователей, процессам и технологиям. Кроме того, некоторые архитектурные решения основаны и очень сложно изменить позже, поэтому их следует применять тщательно.

Если вы уже работаете в облаке или планируете переход на будущее, мы рекомендуем следовать этим 11 основным методикам обеспечения безопасности (в дополнение к соблюдению любых явных нормативных требований).

Пользователи

  1. Обучение групп о пути безопасности в облаке
  2. Обучение команд в облачной технологии безопасности

Процесс

  1. Назначьте ответственность за принятие решений по безопасности в облаке
  2. Обновление процессов реагирования на инциденты для облака
  3. Создание управления уровнями безопасности

Компьютеров

  1. Требовать проверку подлинности с паролем или с помощью многофакторной идентификации
  2. Интеграция собственного брандмауэра и сетевой безопасности
  3. Интегрировать встроенное обнаружение угроз

Решения для базовых архитектур:

  1. Стандартизация для одного каталога и удостоверения
  2. Использование управления доступом на основе удостоверений (вместо ключей)
  3. Создание единой унифицированной стратегии безопасности

Примечание

Каждая организация должна определять собственные минимальные стандарты. Степень риска и последующая погрешность этого риска могут сильно различаться в зависимости от отрасли, культуры и других факторов. Например, банк может не допускать потенциального ущерба от его репутации даже при незначительной атаке на тестовую систему. Некоторые организации будут рады принять такой же риск, если он ускоряет цифровое преобразование на три – шесть месяцев.

Шаг 2. модернизировать стратегию безопасности

Для обеспечения эффективной безопасности в облаке требуется стратегия, отражающая текущую среду угроз и природу облачной платформы, в которой размещаются корпоративные ресурсы. Четкая стратегия улучшает усилия всех команд, обеспечивая безопасную и устойчивую облачную среду предприятия. Стратегия безопасности должна обеспечить определенные бизнес-результаты, снизить риск до приемлемого уровня и обеспечить производительность сотрудников.

Стратегия безопасности в облаке предоставляет рекомендации для всех команд, работающих с технологиями, процессами и пользователями по обеспечению готовности к внедрению. Стратегия должна информировать об облачной архитектуре и технических возможностях, посвященной архитектуре и возможностям безопасности, а также повлиять на обучение и образование групп.

Результатам

Этап стратегии должен привести к созданию документа, который можно легко передать многим заинтересованным лицам в Организации. Заинтересованные лица потенциально могут включать руководителей в группе лидерства в Организации.

Мы рекомендуем захватить стратегию в презентации, чтобы упростить обсуждение и обновление. Эта презентация может поддерживаться в документе в зависимости от культуры и предпочтений.

  • Представление стратегии: Возможно, имеется одна стратегия представления или вы также можете создать сводные версии для аудитории «лидерство».

    • Полная презентация: Это должен быть полный набор элементов для стратегии безопасности в основной презентации или на необязательных эталонных слайдах.
    • Краткие сводки: Версии для использования со старшими руководителями и участниками доски могут содержать только критически важные элементы, относящиеся к их роли, такие как риски аппетит, высшие приоритеты или принятые риски.
  • Вы также можете записывать мотивации, результаты и деловые обоснования в шаблон стратегии и плана.

Рекомендации по созданию стратегии безопасности:

Успешные программы включают эти элементы в процесс стратегии безопасности:

  • Тесное согласование с бизнес-стратегиями: Устав безопасности — защита ценности бизнеса. Очень важно согласовать все усилия по обеспечению безопасности для этой цели и избежать внутреннего конфликта.

    • Создавайте общее представление о требованиях бизнеса, ИТ и безопасности.
    • Интегрируйте безопасность в начале облачного внедрения , чтобы избежать пожаров за последние минуты.
    • Используйте гибкий подход , чтобы немедленно установить минимальные требования к безопасности и постоянно улучшать гарантии безопасности.
    • Рекомендуем изменить язык и региональные параметры безопасности , используя преднамеренные действия по профилактическому лидеру.

    Дополнительные сведения см. в разделе преобразования, инструкции и ожидания.

  • Стратегия безопасности модернизировать: Стратегия безопасности должна включать в себя рекомендации по всем аспектам современной технологической среды, текущему ландшафту угроз и ресурсам сообщества безопасности.

    • Адаптация к общей модели ответственности облака.
    • Включить все типы облачных и многооблачных развертываний.
    • Предпочитать собственные элементы управления облаком, чтобы избежать ненужных и вредоносных трений.
    • Интегрируйте сообщество разработчиков по безопасности, чтобы свести к вам темп развития атак злоумышленников.

Связанные ресурсы для дополнительного контекста:


Команда, подучетная запись Ответственные и вспомогательные команды
  • Группа руководства по безопасности (главный директор по безопасности информации (перспективы) или эквивалентный)
  • Группа по облачной стратегии
  • Группа Cloud Security
  • Группа по внедрению облака
  • Облачный центр для ИТ и специалистов по ИТ
  • Утверждение стратегии:

    Эта стратегия должна быть одобрена руководителями и лидерами бизнеса с учетом результатов или рисков, которые должны быть в Организации. Эта группа может включать в себя доску директоров в зависимости от Организации.

    Шаг 3. Разработка плана безопасности

    Планирование обеспечивает стратегию безопасности, определяя результаты, вехи, временные шкалы и владельцы задач. Этот план также описывает роли и обязанности групп.

    Планирование безопасности и планирование внедрения в облако не следует выполнять изолированно. Очень важно пригласить группу Cloud Security в циклы планирования на раннем этапе, чтобы избежать остановки или повышенного риска проблем безопасности, обнаруживаемых слишком поздно. Планирование безопасности лучше работает с подробными знаниями и осведомленностью о цифровом разрешении и существующем ИТ-портфеле, который полностью интегрирован в процесс планирования в облаке.

    Результатам

    • План безопасности: План безопасности должен быть частью основной документации по планированию для облака. Это может быть документ, в котором используется шаблон стратегии и плана, подробный набор слайдов или файл проекта. Или может быть сочетанием этих форматов, в зависимости от размера, культуры и стандартов Организации.

      План безопасности должен включать все следующие элементы:

      • План организационных функций, поэтому команды узнают, как текущие роли и обязанности безопасности будут меняться при переходе в облако.

      • Навыки обеспечения безопасности запланировать поддержку членов группы, так как они проходят значительные изменения в технологиях, ролях и обязанностях.

      • Техническое руководство по архитектуре и возможностям безопасности для технических команд.

        Корпорация Майкрософт предоставляет эталонные архитектуры и технологические возможности, которые помогут вам в создании архитектуры и плана, в том числе:

      • План осведомленности о безопасности и образовательных плана, поэтому у всех групп есть основные важные знания безопасности.

      • Маркировка учетных средств для обозначения конфиденциальных активов с помощью таксономии, согласованной с бизнес-последствиями. Таксономия строится совместно заинтересованными лицами в сфере бизнеса, группами безопасности и другими заинтересованными сторонами.

      • Изменения в плане безопасности для плана облака: Обновите другие разделы плана внедрения облаков, чтобы отразить изменения, активируемые планом безопасности.

    Рекомендации по планированию безопасности.

    План безопасности, скорее всего, будет более успешным, если ваше планирование выполняет следующие действия:

    • Предположим, что гибридная среда: В том числе приложения SaaS и локальные среды. Он также включает в себя несколько поставщиков облачной инфраструктуры как услуги (IaaS) и платформы как услуги (PaaS), если это применимо.

    • Внедрение гибкой безопасности: Сначала установите минимальные требования к безопасности и переместите все некритические элементы в список дальнейших действий с приоритетом. Это не должен быть традиционный, подробный план 3-5 лет. Облако и среда угроз слишком быстро меняются, чтобы сделать этот тип плана полезным. План должен сосредоточиться на разработке начальных шагов и конечного состояния:

      • Быстрое применение службы WINS для немедленного будущего использования, которое обеспечит высокую производительность до начала долгосрочных инициатив. Период времени может составлять 3-12 месяцев в зависимости от региональных параметров Организации, стандартных методов и других факторов.
      • Очистите представление о требуемом конечном состоянии, чтобы понять процесс планирования каждой команды (для достижения которого может потребоваться несколько лет).
    • Предоставьте общий доступ к плану. Повысьте осведомленность, Отзывы и покупки заинтересованными лицами.

    • Соответствие стратегическим результатам: Убедитесь, что ваш план соответствует стратегическим результатам, описанным в стратегии безопасности, и выполняет их.

    • Задайте права владения, отчетности и крайние сроки: Убедитесь, что владельцы каждой задачи определены и зафиксированы для выполнения этой задачи в определенный промежуток времени.

    • Подключение с человеком в области безопасности: Привлечение людей в течение этого периода преобразования и новых ожиданий с помощью:

      • Активно поддерживающее преобразование участников команды с четким обменом информацией и обучением по:

        • Какие навыки необходимо изучить.
        • Зачем им нужно изучать навыки (и преимущества этого).
        • Как получить эти знания (и предоставить ресурсы, которые помогут им изучить).

        Вы можете документировать план с помощью шаблона стратегии и плана. Вы также можете использовать интерактивное обучение Майкрософт по безопасности , чтобы упростить обучение членов группы.

      • Обеспечение осведомленности о безопасности , чтобы помочь пользователям в подлинном соединении с их частью обеспечить безопасность Организации.

    • Ознакомьтесь со сведениями и рекомендациями корпорации Майкрософт: Корпорация Майкрософт опубликовала ценные сведения и перспективы, чтобы помочь вашей организации спланировать ее преобразование в облако и современные стратегии безопасности. Материал включает в себя записанные обучающие материалы, документацию и рекомендации по обеспечению безопасности и Рекомендуемые стандарты.

      Технические рекомендации по созданию плана и архитектуры см. в документации по безопасности Майкрософт.


    Команда, подучетная запись Ответственные и вспомогательные команды
  • Группа Cloud Security
  • Группа по облачной стратегии
  • Группа по системе управления облаком
  • Все группы рисков в вашей организации
  • Облачный центр для ИТ и специалистов по ИТ
  • Утверждение плана безопасности:

    Группа разработки руководства по безопасности (перспективы или аналогичная) должна утвердить план.

    Шаг 4. Защита новых рабочих нагрузок

    Гораздо проще начать работу в безопасном состоянии, чем впоследствии модифицировать безопасность в своей среде. Мы настоятельно рекомендуем начать с безопасной конфигурации, чтобы обеспечить миграцию рабочих нагрузок в защищенную среду, а также ее разработку и тестирование в.

    Во время реализации зоны размещения многие решения могут повлиять на профили безопасности и риска. Группа Cloud Security должна проверить конфигурацию целевой зоны, чтобы убедиться, что она соответствует стандартам безопасности и требованиям в базовых показателях безопасности вашей организации.

    Результатам

    • Убедитесь, что новые целевые зоны соответствуют требованиям организации и безопасности.

    Рекомендации по поддержке готовности к завершению.

    • Разложение существующих требований и рекомендаций по облаку: Начните с рекомендуемых рекомендаций, а затем адаптируйте его к уникальным требованиям безопасности. Мы сталкивались с проблемами при попытке применить существующие локальные политики и стандарты, так как они часто относятся к устаревшим технологиям или подходам к безопасности.

      Корпорация Майкрософт опубликовала руководство, помогающее создать базовые показатели безопасности:

    • Укажите снятие: Меры защиты должны включать автоматический аудит и принудительное применение политик. Для этих новых сред группы должны стремиться проводить аудит и применять базовые показатели безопасности Организации. Эти усилия помогут сократить число непредвиденных сюрпризов в системе безопасности во время разработки рабочих нагрузок, а также непрерывную интеграцию и непрерывное развертывание (CI/CD) рабочих нагрузок.

      Корпорация Майкрософт предоставляет несколько собственных возможностей в Azure, чтобы сделать это:

      • Оценкабезопасности. Используйте оценку оценки производительности Azure, чтобы отложить усилия и проекты в Организации.
      • Схемы Azure. облачные архитекторы и централизованные ИТ-группы могут определить повторяемый набор ресурсов Azure, который реализует и соответствует стандартам, шаблонам и требованиям Организации.
      • Политика Azure. это основа возможностей видимости и контроля, используемых другими службами. Политика Azure интегрирована в Azure Resource Manager, поэтому вы можете выполнять аудит изменений и принудительно применять политики в любом ресурсе в Azure до, во время или после создания.
      • Усовершенствование операций размещения зоны. Используйте рекомендации по улучшению безопасности в целевой зоне.

    Команда, подучетная запись Ответственные и вспомогательные команды
  • Группа Cloud Security
  • Группа по внедрению облака
  • Группа по облачной платформе
  • Группа по облачной стратегии
  • Группа по системе управления облаком
  • Облачный центр для ИТ и специалистов по ИТ
  • Шаг 5. Защита существующих облачных рабочих нагрузок

    Многие организации уже развернули ресурсы в облачных средах предприятия без применения рекомендаций по обеспечению безопасности, создавая повышенный бизнес-риск.

    Убедившись, что новые приложения и целевые зоны следуют рекомендациям по обеспечению безопасности, вы должны сосредоточиться на обеспечении существующих сред вплоть до тех же стандартов.

    Результатам

    • Убедитесь, что все существующие облачные среды и целевые зоны соответствуют требованиям Организации к соблюдению требований к безопасности.
    • Тестирование готовности к развертыванию в рабочей среде с помощью политик для базовых показателей безопасности.
    • Проверка соблюдения требований к проектированию и безопасности для базовых показателей безопасности.

    Рекомендации по поддержке готовности к завершению.

    • Используйте те же базовые показатели безопасности, которые вы создали в шаге 4 как идеальное состояние. Может потребоваться изменить некоторые параметры политики для аудита, а не для их применения.
    • Балансировка эксплуатационных рисков и угроз безопасности. Так как в этих средах могут размещаться рабочие системы, которые обеспечивают выполнение критически важных бизнес-процессов, может потребоваться добавочная реализация усовершенствований безопасности, чтобы избежать риска простоя.
    • Определение приоритетов при обнаружении и исправлении угроз безопасности с точки зрения важности бизнеса. Начните с рабочих нагрузок, которые имеют большое влияние на бизнес, если скомпрометированы и рабочие нагрузки имеют высокий риск.

    Дополнительные сведения см. в разделе Обнаружение и классификация критически важных для бизнеса приложений.


    Команда, подучетная запись Ответственные и вспомогательные команды
  • Группа по внедрению облака
  • Группа по внедрению облака
  • Группа по облачной стратегии
  • Группа Cloud Security
  • Группа по системе управления облаком
  • Облачный центр для ИТ и специалистов по ИТ
  • Шаг 6. Управление и повышение уровня безопасности

    Как и все современные дисциплины, безопасность — это итеративный процесс, который должен сосредоточиться на постоянном усовершенствовании. Уровень безопасности также может Decay, если Организации не постоянно сталкиваются со временем.

    Единообразное применение требований к безопасности обусловлено дисциплинами и автоматизированными решениями для управления звуком. После того как группа Cloud Security определит базовые показатели безопасности, необходимо провести аудит этих требований, чтобы убедиться, что они постоянно применяются ко всем облачным средам (и применяются при необходимости).

    Результатам

    • Убедитесь, что базовые показатели безопасности Организации применяются ко всем соответствующим системам. Аудит аномалий с помощью оценки безопасности или аналогичного механизма.
    • Задокументируйте базовые политики безопасности, процессы и руководство по проектированию в шаблоне дисциплины безопасности.

    Рекомендации по поддержке готовности к завершению.


    Команда, подучетная запись Ответственные и вспомогательные команды
  • Группа по системе управления облаком
  • Группа по облачной стратегии
  • Группа Cloud Security
  • Облачный центр для ИТ и специалистов по ИТ
  • Дальнейшие действия

    Действия, описанные в этом руководстве, помогли вам реализовать стратегию, элементы управления, процессы, навыки и региональные параметры, необходимые для согласованного управления рисками безопасности на предприятии.

    По мере того как вы переходите к режиму работы Cloud Security, рассмотрим следующие шаги: