Стандартное руководство по корпоративному управлению. повышение специализации в плане безопасностиStandard enterprise governance guide: Improve the Security Baseline discipline

В этой статье описывается добавление элементов управления безопасностью, поддерживающих перемещение защищенных данных в облако.This article advances the narrative by adding security controls that support moving protected data to the cloud.

Будущие описанияAdvancing the narrative

ИТ-лидерам и специалистам по бизнесу было довольны результаты экспериментов на ранних стадиях, а также для групп разработчиков бизнес-аналитики.IT and business leadership have been happy with results from early stage experimentation by the IT, app development, and BI teams. Чтобы получить от них отдачу в виде реальных бизнес-преимуществ, такие команды должны иметь возможность интегрировать защищенные данные в решения.To realize tangible business values from these experiments, those teams must be allowed to integrate protected data into solutions. Это активирует корпоративную политику, но также требует добавочного улучшения реализаций управления облаком перед тем, как защищенные данные могут поступать в облако.This triggers changes to corporate policy, but also requires incremental improvement of the cloud governance implementations before protected data can land in the cloud.

Изменения в группе управления облакомChanges to the cloud governance team

Учитывая воздействие измененного описания и поддержки на данный момент, команда управления облаком теперь просматривается по-разному.Given the effect of the changing narrative and support provided so far, the cloud governance team is now viewed differently. Два системных администратора, которые создали команду, стали опытными архитекторами облачных решений.The two system administrators who started the team are now viewed as experienced cloud architects. По мере того, как это повлияло на разработку, восприятие их восстановится от облачного хранителей к более роли облачного защитника.As this narrative develops, the perception of them will shift from being cloud custodians to more of a cloud guardian role.

Хотя разница незначительна, это важное различие при создании языка и региональных параметров, ориентированных на управление.While the difference is subtle, it's an important distinction when building a governance- focused IT culture. Облачная хранитель удаляет несовершенные изменения, вносимые инновационными архитекторами облака.A cloud custodian cleans up the messes made by innovative cloud architects. Эти две роли по своей природе предназначены для противоположных целей.The two roles have natural friction and opposing objectives. С другой стороны, облачный защитник помогает обеспечить безопасность облака, чтобы другие облачные архитекторы могли быстрее перемещаться с меньшими затратами.On the other hand, a cloud guardian helps keep the cloud safe, so other cloud architects can move more quickly, with less messes. Кроме того, защитник облачных решений участвует в создании шаблонов, которые ускоряют развертывание и внедрение, делая их инновационным ускорителем, а также защитником пяти дисциплин управления облаком.Additionally, a cloud guardian is involved in creating templates that accelerate deployment and adoption, making them an innovation accelerator as well as a defender of the Five Disciplines of Cloud Governance.

Изменения в текущем состоянииChanges in the current state

На начальных этапах развития концепции команды по разработке приложений занимались разработкой и тестированием, а команда бизнес-аналитики все еще работала в экспериментальном режиме.At the start of this narrative, the application development teams were still working in a dev/test capacity, and the BI team was still in the experimental phase. Он управляет двумя средами размещения инфраструктуры, названными prod и DR .IT operated two hosted infrastructure environments, named prod and DR.

С того времени изменились некоторые факторы, влияющие на систему управления.Since then, some things have changed that will affect governance:

  • Группа разработки приложений реализовала конвейер CI/CD для развертывания собственного облачного приложения с улучшенным интерфейсом пользователя.The application development team has implemented a CI/CD pipeline to deploy a cloud-native application with an improved user experience. Это приложение еще не взаимодействует с защищенными данными, поэтому оно не готово к производству.That app doesn't yet interact with protected data, so it isn't production ready.
  • Группа бизнес-аналитики внутри нее активно проведет данные в облаке из логистики, инвентаризации и сторонних источников.The business intelligence team within IT actively curates data in the cloud from logistics, inventory, and third-party sources. Эти данные используются при прогнозировании, которое может существенно повлиять на бизнесы-процессы.This data is being used to drive new predictions, which could shape business processes. Эти прогнозы и аналитические сведения не являются подходящихи до тех пор, пока клиент и финансовые данные не смогут быть интегрированы в платформу данных.Those predictions and insights are not actionable until customer and financial data can be integrated into the data platform.
  • ИТ-группа продвигается по планам директоров и финансового директора для снятия центра обработки данных аварийного восстановления.The IT team is progressing on the CIO and CFO plans to retire the DR datacenter. Более 1000 из 2000 ресурсов в центре обработки данных аварийного восстановления были изъяты из эксплуатации или перенесены.More than 1,000 of the 2,000 assets in the DR datacenter have been retired or migrated.
  • Слабо определенные политики для персональных данных и финансовых данных были современным.The loosely defined policies for personal data and financial data have been modernized. Новые корпоративные политики являются производными от реализации связанных политик безопасности и управления.The new corporate policies are contingent on the implementation of related security and governance policies. Команды по-прежнему не могут работать в нормальном режиме.Teams are still stalled.

Постепенно улучшайте будущее состояниеIncrementally improve the future state

Ранние эксперименты в группах разработки и бизнес-аналитики приложений демонстрируют потенциальные улучшения в отношении клиентов и решений, управляемых данными.Early experiments by the app dev and BI teams show potential improvements in customer experiences and data-driven decisions. Обе команды хотят внедрить облачные решения в течение следующих 18 месяцев путем их развертывания в рабочей среде.Both teams want to expand adoption of the cloud over the next 18 months by deploying those solutions to production.

В течение оставшихся шести месяцев Группа управления облаком будет реализовывать требования к безопасности и управлению, чтобы позволить группам внедрения в облаке перенести защищенные данные в эти центры обработки данных.During the remaining six months, the cloud governance team will implement security and governance requirements to allow the cloud adoption teams to migrate the protected data in those datacenters.

Изменения в текущем или будущем состоянии создают новые риски, требующие новых положений политики.The changes to current and future state expose new risks that require new policy statements.

Изменения в материальных рискахChanges in tangible risks

Нарушение данных: При внедрении любой новой платформы данных существует дополнительное увеличение задолженностей, связанных с потенциальными нарушениями данных.Data breach: When adopting any new data platform, there is an inherent increase in liabilities related to potential data breaches. За внедрение решений, которые могут снизить такие риски, отвечают технические специалисты, внедряющие облачные технологии.Technicians adopting cloud technologies have increased responsibilities to implement solutions that can decrease this risk. Чтобы эти специалисты могли надлежащим образом выполнять свои обязанности, должна быть реализована продуманная стратегия безопасности и управления.A robust security and governance strategy must be implemented to ensure those technicians fulfill those responsibilities.

Риски для бизнеса связаны со следующими техническими проблемами:This business risk can be expanded into a few technical risks:

  1. Критически важные приложения или защищенные данные могут быть развернуты непреднамеренно.Mission-critical applications or protected data might be deployed unintentionally.
  2. Непродуманные решения, касающиеся шифрования, могут привести к раскрытию защищенных данных во время хранения.Protected data might be exposed during storage due to poor encryption decisions.
  3. Неавторизованные пользователи могут получить доступ к защищенным данным.Unauthorized users might access protected data.
  4. В результате внешних вторжений защищенные данные могут стать открытыми для доступа.External intrusion might result in access to protected data.
  5. В результате внешнего вторжения или атак типа "отказ в обслуживании" бизнес-процессы могут быть прерваны.External intrusion or denial of service attacks might cause a business interruption.
  6. Изменения в составе сотрудников или в структуре организации могут сделать возможным несанкционированный доступ к защищенным данным.Organization or employment changes might allow for unauthorized access to protected data.
  7. Новые эксплойты могут создать условия для вторжения или несанкционированного доступа к данным.New exploits could create new intrusion or access opportunities.
  8. Несогласованные процессы развертывания могут привести к возникновению брешей в системе безопасности, которые могут стать причиной утечки данных или прерываний работы.Inconsistent deployment processes might result in security gaps, which could lead to data leaks or interruptions.
  9. Изменения конфигурации и отсутствие требуемых обновлений могут привести к возникновению брешей в системе безопасности с последующими утечками данных и прерываниями работы.Configuration drift or missed patches might result in unintended security gaps, which could lead to data leaks or interruptions.

Добавочное улучшение операторов политикиIncremental improvement of the policy statements

Следующие изменения в политике помогут устранить новые риски и пошаговое внедрение.The following changes to policy will help remediate the new risks and guide implementation. Список выглядит длинным, но внедрять эти политики проще, чем кажется.The list looks long, but adopting these policies may be easier than it appears.

  1. Все развернутые ресурсы необходимо классифицировать по важности и типу данных.All deployed assets must be categorized by criticality and data classification. Классификации должны быть проверены командой управления облаком и владельцем приложения перед развертыванием в облаке.Classifications are to be reviewed by the cloud governance team and the application owner before deployment to the cloud.
  2. Приложения, хранящие защищенные данные или имеющие доступ к ним, управляются иначе, чем без.Applications that store or access protected data are to be managed differently than those that don't. Как минимум такие приложения должны быть сегментированы, чтобы предотвратить нежелательный доступ к защищенным данным.At a minimum, they should be segmented to avoid unintended access of protected data.
  3. При хранении все защищенные данные должны быть зашифрованы.All protected data must be encrypted when at rest. Хотя это значение по умолчанию для всех учетных записей хранения Azure, могут потребоваться дополнительные стратегии шифрования, включая шифрование данных в учетной записи хранения, шифрование виртуальных машин и шифрование на уровне базы данных при использовании SQL в виртуальной машине (TDE и шифрование столбцов).While this is the default for all Azure Storage accounts, additional encryption strategies may be needed, including encryption of the data within the storage account, encryption of VMs, and database-level encryption when using SQL in a VM (TDE and column encryption).
  4. Назначение повышенных привилегий в рамках любого сегмента, содержащего защищенные данные, должно быть исключением.Elevated permissions in any segment containing protected data should be an exception. Любые такие исключения будут записываться в группу управления Cloud и регулярно проводить аудит.Any such exceptions will be recorded with the cloud governance team and audited regularly.
  5. Подсети, содержащие защищенные данные, должны быть изолированы от любых других подсетей.Network subnets containing protected data must be isolated from any other subnets. Сетевой трафик между подсетями, содержащими защищенные данные, должен регулярно проверяться.Network traffic between protected data subnets will be audited regularly.
  6. Все подсети, содержащие защищенные данные, не должны быть напрямую доступны через общедоступный Интернет или через центры обработки данных.No subnet containing protected data can be directly accessed over the public internet or across datacenters. Доступ к таким подсетям должен осуществляться через промежуточные подсети.Access to those subnets must be routed through intermediate subnets. Весь доступ к таким подсетям должен осуществляться через брандмауэр с функциями сканирования пакетов и блокировки.All access into those subnets must come through a firewall solution that can perform packet scanning and blocking functions.
  7. Средства управления должны проверять требования сетевой конфигурации, определенные командой по управлению безопасностью, и обеспечивать их соблюдение.Governance tooling must audit and enforce network configuration requirements defined by the security management team.
  8. Средства управления должны разрешать развертывание только утвержденных образов виртуальных машин.Governance tooling must limit VM deployment to approved images only.
  9. По возможности средства управления конфигурациями узлов должны применять требования политики к конфигурации любой гостевой операционной системы.Whenever possible, node configuration management should apply policy requirements to the configuration of any guest operating system.
  10. Средства управления должны обеспечивать установку автоматических обновлений во всех развернутых ресурсах.Governance tooling must enforce that automatic updates are enabled on all deployed assets. Нарушения следует рассмотреть с привлечением команд операционного управления и устранить в соответствии с операционными политиками.Violations must be reviewed with operational management teams and remediated in accordance with operations policies. Ресурсы, которые не обновляются автоматически, необходимо включить в процессы, которые выполняет отдел ИТ-операций.Assets that are not automatically updated must be included in processes owned by IT operations.
  11. Для создания новых подписок или групп управления для всех критически важных приложений или защищенных данных потребуется проверка от команды Cloud Management, чтобы убедиться, что назначен правильный проект.Creation of new subscriptions or management groups for any mission-critical applications or protected data will require a review from the cloud governance team, to ensure that the proper blueprint is assigned.
  12. Модель доступа с минимальными правами будет применена к любой группе управления или подписке, содержащей критически важные приложения или защищенные данные.A least-privilege access model will be applied to any management group or subscription that contains mission-critical applications or protected data.
  13. Тенденции и уязвимости, которые могут повлиять на облачные развертывания, должны регулярно проверяться командой по обеспечению безопасности для подготовки обновлений средств по управлению безопасностью, используемых в облаке.Trends and exploits that could affect cloud deployments should be reviewed regularly by the security team to provide updates to security management tooling used in the cloud.
  14. Чтобы обеспечить текущее управление развернутыми ресурсами, группа разработчиков Cloud должна утвердить средства развертывания.Deployment tooling must be approved by the cloud governance team to ensure ongoing governance of deployed assets.
  15. Сценарии развертывания должны поддерживаться в центральном репозитории, доступном группе управления облаком для периодической проверки и аудита.Deployment scripts must be maintained in a central repository accessible by the cloud governance team for periodic review and auditing.
  16. Процессы управления предполагают проведение аудита во время развертывания и дальнейших регулярных проверок для обеспечения согласованности всех ресурсов.Governance processes must include audits at the point of deployment and at regular cycles to ensure consistency across all assets.
  17. При развертывании любых приложений, для работы с которыми требуется аутентификация клиента, должен использоваться утвержденный поставщик удостоверений, совместимый с основным поставщиком удостоверений для внутренних пользователей.Deployment of any applications that require customer authentication must use an approved identity provider that is compatible with the primary identity provider for internal users.
  18. Процессы управления облачными решениями должны включать ежеквартальные проверки с привлечением команд управления идентификацией.Cloud governance processes must include quarterly reviews with identity management teams. Такие проверки помогут в определении вредоносных субъектов или тенденций использования, которые не должны допускаться конфигурацией облачных ресурсов.These reviews can help identify malicious actors or usage patterns that should be prevented by cloud asset configuration.

Поэтапное улучшение методик управленияIncremental improvement of governance practices

Проект MVP по управлению изменится, включив в него новые политики Azure и реализацию службы "Управление затратами Azure".The governance MVP design will change to include new Azure policies and an implementation of Azure Cost Management. Совокупно эти изменения проекта позволят внедрить новые правила корпоративной политики.Together, these two design changes will fulfill the new corporate policy statements.

  1. Группы управления сетью и ИТ определяют требования к сети.The networking and IT security teams will define network requirements. Команда по управлению облаком будет поддерживать диалог.The cloud governance team will support the conversation.
  2. Группы безопасности удостоверений и ИТ будут определять требования к удостоверениям и вносить необходимые изменения в локальную Active Directory реализацию.The identity and IT security teams will define identity requirements and make any necessary changes to local Active Directory implementation. Специалисты по управлению облаком увидят изменения.The cloud governance team will review changes.
  3. Создайте репозиторий в Azure DevOps для хранения и отслеживания версий всех актуальных шаблонов Azure Resource Manager и конфигураций на основе скриптов.Create a repository in Azure DevOps to store and version all relevant Azure Resource Manager templates and scripted configurations.
  4. Реализация Центра безопасности Azure.Azure Security Center implementation:
    1. Настройте Центр безопасности Azure для всех групп управления, которые содержат классификации защищенных данных.Configure Azure Security Center for any management group that contains protected data classifications.
    2. Настройте автоматическую подготовку по умолчанию для выполнения требований к установке исправлений.Set automatic provisioning to on by default to ensure patching compliance.
    3. Внедрите конфигурации безопасности операционной системы.Establish OS security configurations. Группа безопасности ИТ определит конфигурацию.The IT security team will define the configuration.
    4. Поддержка группы ИТ Security в первоначальном использовании центра безопасности.Support the IT security team in the initial use of Security Center. Переход на использование центра безопасности для группы ИТ – безопасности, а также поддержание доступа в целях непрерывного управления.Transition the use of Security Center to the IT security team, but maintain access for the purpose of continually improving governance.
    5. Создайте шаблон Resource Manager, в котором отражены изменения, требующиеся для конфигурации Центра безопасности в подписке.Create a Resource Manager template that reflects the changes required for Security Center configuration within a subscription.
  5. Обновление политик Azure для всех подписок.Update Azure policies for all subscriptions:
    1. Выполните аудит критериев важности и классификации данных и примените их ко всем группам управления и подпискам, чтобы определить подписки с классификациями защищенных данных.Audit and enforce the criticality and data classification across all management groups and subscriptions, to identify any subscriptions with protected data classifications.
    2. Выполните аудит использования только утвержденных изображений и примените такую политику.Audit and enforce the use of approved images only.
  6. Обновите политики Azure для всех подписок, которые содержат классификации данных:Update Azure policies for all subscriptions that contains protected data classifications:
    1. Выполните аудит использования только стандартных ролей Azure RBAC и примените такую политику.Audit and enforce the use of standard Azure RBAC roles only.
    2. Выполните аудит шифрования для всех учетных записей хранения и файлов, хранимых на отдельных узлах, и примените такое шифрование.Audit and enforce encryption for all storage accounts and files at rest on individual nodes.
    3. Выполните аудит использования группы безопасности сети для всех сетевых адаптеров и подсетей и примените такую политику.Audit and enforce the application of an NSG to all NICs and subnets. Специалисты по работе с сетью и ИТ могут определить NSG.The networking and IT security teams will define the NSG.
    4. Аудит и принудительное использование утвержденной сетевой подсети и виртуальной сети для каждого сетевого интерфейса.Audit and enforce the use of approved network subnet and virtual network per network interface.
    5. Выполните аудит и примените ограничения определяемых пользователем таблиц маршрутизации.Audit and enforce the limitation of user-defined routing tables.
    6. Примените встроенные политики для гостевой настройки следующим образом:Apply the built-in policies for guest configuration as follows:
      1. Убедитесь, что веб-серверы Windows используют безопасные протоколы обмена данными.Audit that Windows web servers are using secure communication protocols.
      2. Убедитесь, что заданы правильные параметры безопасности на компьютерах Linux и Windows.Audit that password security settings are set correctly inside Linux and Windows machines.
  7. Настройка брандмауэра:Firewall configuration:
    1. Определите конфигурацию Брандмауэра Azure, которая удовлетворяет обязательным требованиям к безопасности.Identify a configuration of Azure Firewall that meets necessary security requirements. Или определите совместимое с Azure стороннее устройство.Alternatively, identify a compatible third-party appliance that is compatible with Azure.
    2. Создайте шаблон Resource Manager, чтобы развернуть брандмауэр с необходимыми конфигурациями.Create a Resource Manager template to deploy the firewall with required configurations.
  8. Схема Azure.Azure blueprint:
    1. Создайте схему с именем protected-data.Create a new blueprint named protected-data.
    2. Добавьте к схеме брандмауэр и шаблоны Центра безопасности Azure.Add the firewall and Azure Security Center templates to the blueprint.
    3. Добавьте новые политики для подписок, содержащих защищенные данные.Add the new policies for protected data subscriptions.
    4. Опубликуйте проект в любой группе управления, которая в настоящее время планирует размещение защищенных данных.Publish the blueprint to any management group that currently plans on hosting protected data.
    5. Примените новую схему к каждой задействованной подписке (в дополнение к существующим схемам).Apply the new blueprint to each affected subscription, in addition to existing blueprints.

ЗаключениеConclusion

Добавление описанных выше процессов и изменений в MVP по управлению поможет устранить многие риски, связанные с системой управления безопасностью.Adding the above processes and changes to the governance MVP will help to remediate many of the risks associated with security governance. В совокупности они предоставляют инструменты для мониторинга сетей, идентификации и безопасности, необходимые для защиты данных.Together, they add the network, identity, and security monitoring tools needed to protect data.

Дальнейшие действияNext steps

По мере того как внедрение в облако продолжится и доставляет дополнительную ценность для бизнеса, риски и потребности в управлении облаком также меняются.As cloud adoption continues and delivers additional business value, risks and cloud governance needs also change. Для вымышленной компании в этом пошаговом окне необходимо поддерживать критически важные рабочие нагрузки.For the fictional company in this guide, the next step is to support mission-critical workloads. Это момент, когда требуются элементы управления согласованностью ресурсов.This is the point when resource consistency controls are needed.