Рекомендации по обеспечению безопасности в AzureAzure security best practices

Это лучшие рекомендации по обеспечению безопасности в Azure, которые корпорация Майкрософт рекомендует на основе уроков, полученных от клиентов, и наших сред.These are the top Azure security best practices that Microsoft recommends based on lessons learned across customers and our own environments.

Вы можете просмотреть видеоролик, посвященный этим рекомендациям, в техническом сообществе Майкрософт.You can view a video presentation of these best practices in the Microsoft Tech Community.

1. люди. обучить группы о пути безопасности в облаке1. People: Educate teams about the cloud security journey

Группа должна понять, на каком пути они находятся.The team needs to understand the journey they're on.

Что? обучение безопасности и ИТ – специалистов в облаке Cloud Security и изменениях, которые они будут перемещать, включая:What: Educate your security and IT teams on the cloud security journey and the changes they will be navigating including:

  • Изменения в угрозах в облакеChanges to threats in the cloud
  • Общая модель ответственности и ее влияние на безопасностьShared responsibility model and how it impacts security
  • Культурные и изменения ролей и обязанностей, которые обычно приводят к внедрению в облакоCultural and role/responsibility changes that typically accompany cloud adoption

Почему: переход в облако является значительным изменением, которое требует смены в процессе и подходе к безопасности.Why: Moving to the cloud is a significant change that requires a shift in mindset and approach for security. Несмотря на то, что результаты безопасности в Организации не изменяются, лучшим способом добиться этого в облаке часто являются изменения, иногда существенно.While the outcomes security provides to the organization won't change, the best way to accomplish this in the cloud often changes, sometimes significantly.

Во многих случаях переход в облако аналогичен переходу с автономного дома на высокоскоростной люкс апартамента.In many ways, moving to the cloud is similar to moving from a standalone house into a high-rise luxury apartment building. У вас по-прежнему есть базовая инфраструктура (коммуникации, электричество и т. д.) и выполняются аналогичные действия (соЦиализинг, приготовление, Телевизор и Интернет и т. д.), но часто существует разница в том, что входит в состав здания (ГИМ, рестораны и т. д.), который предоставляет и обслуживает их, а также повседневную подпрограмму.You still have basic infrastructure (plumbing, electricity, etc.) and perform similar activities (socializing, cooking, TV and Internet, etc.) but there often quite a difference in what comes with the building (gym, restaurants, etc.), who provides and maintains them, and your daily routine.

Кто: все пользователи в области безопасности и ИТ-организации с любыми обязанностями в области безопасности должны быть знакомы с этим контекстом и изменениями (от директора/перспективы до технических практик).Who: Everyone in the security and IT organization with any security responsibilities should be familiar with this context and the changes (from CIO/CISO to technical practitioners).

Как: укажите команды с контекстом, необходимым для успешного развертывания и эксплуатации во время перехода в облачную среду.How: Provide teams with the context required to successfully deploy and operate during the transition to the cloud environment.

Корпорация Майкрософт опубликовала уроки, полученные от наших клиентов и нашей ИТ организации по их пути к облаку:Microsoft has published lessons learned by our customers and our own IT organization on their journeys to the cloud:

См. также контрольный тест системы безопасности Azure GS-3: Выровняйте роли Организации, обязанности и подотчетности.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities.

2. люди. обучение групп по технологиям Cloud Security2. People: Educate teams on cloud security technology

Люди должны понимать, где они намерены.People need to understand where they're going.

Что? убедитесь, что у вашей команды есть время, откладывание от технического обучения по защите облачных ресурсов, в том числе:What: Ensure your teams have time set aside for technical education on securing cloud resources including:

  • Облачная технология и облачная технология безопасностиCloud technology and cloud security technology
  • Рекомендуемые конфигурации и рекомендацииRecommended configurations and best practices
  • Где можно получить дополнительные технические сведения по мере необходимостиWhere to learn more technical details as needed

Почему: техническим группам требуется доступ к техническим сведениям, чтобы принимать информированные решения по безопасности.Why: Technical teams need access to technical information to make sound informed security decisions. Технические команды хорошо подходят для изучения новых технологий в работе, но объем сведений в облаке часто может привести к тому, что они помешают обучению ежедневной подпрограммы.Technical teams are good at learning new technologies on the job, but the volume of details in the cloud often overwhelms their ability to fit learning into their daily routine.

Структурирование выделенного времени для технического обучения помогает пользователям создавать уверенность в обеспечении безопасности в облаке и думать о том, как адаптировать имеющиеся навыки и процессы.Structuring dedicated time for technical learning helps ensure people have time to build confidence on their ability to assess cloud security and think through how to adapt their existing skills and processes. Даже самые талантливые специализированные группы операций в течение воинского обучения и интеллекта для достижения наилучшего решения.Even the most talented special operations teams in the military need training and intelligence to perform at their best.

Кто: все роли, непосредственно взаимодействующие с облачной технологией (в сфере безопасности и ИТ-отделов), должны выделить время для технического изучения облачных платформ и как защитить их.Who: All roles that directly interact with cloud technology (in security and IT departments) should dedicate time for technical learning on cloud platforms and how to secure them.

Кроме того, специалисты по обеспечению безопасности и ИТ-специалистов (и часто руководители проектов) должны быть знакомы с некоторыми техническими сведениями по защите облачных ресурсов (так как это поможет им более эффективно и координировать инициативы облака).Additionally security and IT technical managers (and often project managers) should develop familiarity with some technical details for securing cloud resources (as this will help them more effectively lead and coordinate cloud initiatives).

Как: гарантировать, что технические специалисты в системе безопасности не задали время для самостоятельного обучения по защите облачных ресурсов.How: Ensure that technical professionals in security have time set aside for self-paced training on how to secure cloud assets. Хотя это не всегда целесообразно, в идеале предоставляется доступ к формальному обучению с опытными преподавателями и практическими лабораторными занятиями.While not always feasible, ideally provide access to formal training with an experienced instructor and hands-on labs.

Важно!

Протоколы идентификации очень важны для контроля доступа в облаке, но зачастую не имеют приоритетов в локальной безопасности, поэтому группы по обеспечению безопасности должны сосредоточиться на разработке привычных протоколов и журналов.Identity protocols are critical to access control in the cloud but often not prioritized in on-premises security, so security teams should ensure to focus on developing familiarity with these protocols and logs.

Корпорация Майкрософт предоставляет обширные ресурсы, которые помогут техническим специалистам повысить безопасность ресурсов Azure и сообщить о соответствии требованиям.Microsoft provides extensive resources to help technical professionals ramp up on securing Azure resources and report compliance:

См. также контрольный тест системы безопасности Azure GS-3: Выровняйте роли Организации, обязанности и подотчетностиAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

3. процесс: назначение отчетности для решений безопасности в облаке3. Process: Assign accountability for cloud security decisions

Если никто не сможет принимать решения о безопасности, они не будут выполняться.If nobody is accountable for making security decisions, they won't get made.

Что? определите, кто отвечает за принятие каждого из типов решений по обеспечению безопасности для среды предприятия Azure.What: Designate who is responsible for making each type of security decision for the enterprise Azure environment.

Почему: четкое владение решениями по безопасности ускоряет внедрение в облако и повышает безопасность.Why: Clear ownership of security decisions speeds up cloud adoption and increases security. Отсутствие, как правило, создает трение, так как никто не может принимать решения, никто не знает, кто запрашивает решение, и никто не выгодно, чтобы исследовать хорошо обоснованное решение.Lack of typically creates friction because nobody feels empowered to make decisions, nobody knows who to ask for a decision, and nobody is incentivized to research a well-informed decision. Эта трение часто отрицательно повлиять на бизнес-цели, сроки разработки, цели ИТ и гарантии безопасности, в результате чего:This friction frequently impedes business goals, developer timelines, IT goals, and security assurances, resulting in:

  • Остановленные проекты, ожидающие утверждения безопасностиStalled projects that are waiting for security approval
  • Небезопасные развертывания, которые не смогли ждать утверждения безопасностиInsecure deployments that couldn't wait for security approval

Кто: лидер в области безопасности определяет, какие группы или отдельные лица могут принимать решения по обеспечению безопасности в облаке.Who: Security leadership designates which teams or individuals are accountable for making security decisions about the cloud.

Как назначить группы (или отдельные пользователи), которые будут отвечать за принятие ключевых решений в отношении безопасности.How: Designate groups (or individuals) that will be responsible for making key security decisions.

Задокументируйте этих владельцев, их контактные данные и общаться их в группах безопасности, ИТ и облачных командах, чтобы обеспечить простоту связи с ними.Document these owners, their contact information, and socialize this widely within the security, IT, and cloud teams to ensure it's easy for all roles to contact them.

Это типичные области, в которых требуются решения по обеспечению безопасности, описания и команды, которые обычно принимают решения.These are the typical areas where security decisions are needed, descriptions, and which teams typically make the decisions.

РешениеDecision ОписаниеDescription Типичная командаTypical Team
Безопасность сетиNetwork Security Настройка и обслуживание брандмауэра Azure, сетевых виртуальных устройств (и связанных маршрутов), WAF, группы безопасности сети, ASG и т. д.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc. Обычно группа безопасности инфраструктуры и конечных точек посвящена безопасности сетиTypically Infrastructure and endpoint security team focused on network security
Управление сетьюNetwork Management Выделение виртуальной сети и подсети корпоративного уровняEnterprise-wide virtual network and subnet allocation Существующая группа работы с сетью в Центральной ИТ эксплуатацииTypically existing network operations team in Central IT Operations
Безопасность конечных точек сервераServer Endpoint Security Мониторинг и исправление безопасности сервера (установка исправлений, Настройка, безопасность конечной точки и т. д.)Monitor and remediate server security (patching, configuration, endpoint security, etc.) Как правило, централизованные ИТ и группы управления инфраструктурой и конечными группами могут совместно взаимодействоватьTypically Central IT Operations and Infrastructure and endpoint security teams jointly
Мониторинг и реагирование на инцидентыIncident Monitoring and Response Изучите и исправьте инциденты безопасности в SIEM или исходной консоли (центр безопасности Azure, защита идентификации Azure AD и т. д.).Investigate and remediate security incidents in SIEM or source console (Azure Security Center, Azure AD Identity Protection, etc.) Обычно группа " операции безопасности "Typically security operations team
Управление политикойPolicy Management Задайте направление использования управления доступом на основе ролей Azure (Azure RBAC), центра безопасности Azure, стратегии защиты администратора и политики Azure для управления ресурсами Azure.Set direction for use of Azure role-based access control (Azure RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources Обычно группы архитектуры безопасности , связанные с политиками и стандартами, + совместноTypically Policy and Standards + Security Architecture Teams jointly
Безопасность и стандарты идентификацииIdentity Security and Standards Задать направление для каталогов Azure AD, использования PIM/PAM, MFA, конфигурации паролей и синхронизации, стандартов удостоверений приложенийSet direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards Обычно группы по управлению удостоверениями, политикой управления ключами + и + архитектурой безопасности стандартов совместноTypically Identity and Key Management + Policy and Standards + Security Architecture Teams jointly

Примечание

  • Убедитесь, что лица, принимающие решения, имеют соответствующее образование в своей области облака, чтобы принести эту ответственность.Ensure decision makers have the appropriate education in their area of the cloud to accompany this responsibility.
  • Убедитесь, что решения описаны в разделе Политика и стандарты для предоставления записи и указания Организации в долгосрочной перспективе.Ensure decisions are documented in policy and standards to provide a record and guide the organization over the long term.

См. также контрольный тест системы безопасности Azure GS-3: Выровняйте роли Организации, обязанности и подотчетностиAlso see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

4. процесс: обновление процессов реагирования на инциденты для облака4. Process: Update incident response processes for cloud

У вас нет времени на планирование критических аварийных ситуаций.You don't have time to plan for a crisis during a crisis.

Что: обновление процессов и подготовка аналитик для реагирования на инциденты безопасности на облачной платформе Azure (включая все принятые средства обнаружения угроз ).What: Update processes and prepare analysts to for responding to security incidents on your Azure cloud platform (including any native threat detection tools you have adopted). Процессы обновления, подготовьте свою команду и потренироваться с имитацией атак, чтобы они могли лучше выполнять их при расследовании инцидентов, исправлении и поиске угроз.Update processes, prepare your team, and practice with simulated attacks so they can perform at their best during incident investigation, remediation, and threat hunting.

Почему: активные злоумышленники представляют собой немедленный риск для Организации, который может быстро стать несложным для управления ситуацией, поэтому необходимо быстро реагировать на атаки.Why: Active attackers present an immediate risk to the organization that can quickly become a difficult to control situation, so you must rapidly effectively respond to attacks. Этот процесс реагирования на инциденты (IR) должен быть эффективным для всей Организации, включая все облачные платформы, в которых размещаются корпоративные данные, системы и учетные записи.This incident response (IR) process must be effective for your entire estate including all cloud platforms hosting enterprise data, systems, and accounts.

Во многих случаях облачные платформы имеют важное техническое отличие от локальных систем, которые могут нарушить работу существующих процессов, как правило, потому, что информация доступна в другой форме.While similar in many ways, cloud platforms have important technical difference from on-premises systems that can break existing processes, typically because information is available in a different form. Кроме того, аналитики безопасности могут быстро реагировать на незнакомую среду, которая может замедлить работу (особенно если они обучены только на классической локальной архитектуре и подходе судебных обращений к сети и диску).Security analysts may also have challenges rapidly responding to an unfamiliar environment that can slow them down (especially if they are trained only on classic on-premises architectures and network/disk forensics approaches).

Кто: модернизации IR-процессы обычно обрабатываются операциями безопасности с поддержкой других групп для получения знаний и опыта.Who: Modernizing the IR processes is typically led by Security Operations with support from other groups for knowledge and expertise.

  • Спонсорское предложение: Этот процесс, как правило, является спонсором для модернизации или эквивалента операций безопасности.Sponsorship: This process modernization is typically sponsored by the Security Operations director or equivalent.

  • Выполнение: Адаптация существующих процессов (или их запись в первый раз) — это совместная работа, включающая в себя следующие усилия:Execution: Adapting existing processes (or writing them for the first time) is a collaborative effort involving:

    • Группа по управлению инцидентами или лидерство в сфере безопасности — ведет к обновлению процессов и интеграции ключевых внешних заинтересованных лиц, включая юридические и коммуникационные группыSecurity Operations incident management team or leadership –leads updates to process and integration of key external stakeholders including legal and communications/public relations teams
    • Аналитики безопасности для операций безопасности — предоставление опыта исследования технических инцидентов и рассмотренияSecurity Operations security analysts – provide expertise on technical incident investigation and triage
    • Центральная ИТ-эксплуатация — предоставляет опыт работы с облачной платформой (напрямую, с помощью облачного центра или с помощью внешних консультантов).Central IT Operations - Provides expertise on cloud platform (directly, via cloud center of excellence, or via external consultants)

Как обновить процессы и подготовить команду, чтобы они знали, что делать при обнаружении активного злоумышленника.How: Update processes and prepare your team so they know what to do when they find an active attacker.

  • Процессы и модули PlayBook: Адаптируйте существующие процессы расследования, исправления и обнаружения угроз в соответствии с различиями в работе облачных платформ (новых и других средств, источников данных, протоколов идентификации и т. д.).Processes and Playbooks: Adapt existing investigations, remediation, and threat hunting processes to the differences of how cloud platforms work (new/different tools, data sources, identity protocols, etc.).

  • Образование: Расскажите аналитикам об общем преобразовании в облако, технических деталях работы платформы, а также о новых и обновленных процессах, чтобы они знали, что будет разным и где нужно.Education: Educate analysts on the overall cloud transformation, technical details of how the platform works, and new/updated processes so that they know what will be different and where to go for what they need.

Основные ключевые области: хотя в ссылках на ресурсы содержится много сведений, это ключевые области, позволяющие сосредоточиться на образовательных и планированных усилиях.Key Focus Areas: While there are many details described in the resource links, these are key areas to focus your education and planning efforts:

  • Общая модель ответственности и облачные архитектуры: В аналитике безопасности Azure — это программный центр обработки данных, который предоставляет множество служб, включая виртуальные машины (знакомые) и другие, которые сильно отличаются от локальных, таких как функции SQL Azure Azure, и т. д., где лучшие данные находятся в журналах служб или специализированных службах обнаружения угроз, а не в журналах для базовых ОС и виртуальных машин (которые обслуживаются корпорацией Майкрософт иShared responsibility model and cloud architectures: To a security analyst, Azure is a software defined datacenter that provides many services including VMs (familiar) and others that are very different from on-premises such as Azure SQL Azure Functions, etc. where the best data is in the service logs or the specialized threat detection services rather than in logs for the underlying OS/VMs (which are operated by Microsoft and service multiple customers). Аналитикам необходимо понимать и интегрировать этот контекст в ежедневные рабочие процессы, чтобы они понимали, какие данные должны быть получены, где их можно получить и какой формат будет в нем.Analysts need to understand and integrate this context into their daily workflows so they know what data to expect, where to get it, and what format it will be in.
  • Источники данных конечной точки: Получение ценной информации и данных для атак и вредоносных программ на размещенных в облаке серверах часто выполняется быстрее, проще и точнее благодаря собственным средствам обнаружения облаков, таким как центр безопасности Azure и ЕДР Systems, в отличие от традиционных подходов прямого доступа к диску.Endpoint data sources: Getting insights and data for attacks and malware on cloud hosted servers is often faster, easier, and more accurate with native cloud detection tools like Azure Security Center and EDR systems as opposed to traditional approaches of direct disk access. Хотя прямой судебный доступ к дискам доступен для сценариев, где это возможно и требуется для юридических материалы (судебных расследований компьютеров в Azure), это часто самый неэффективный способ обнаружения и исследования атак.While direct disk forensics are available for scenarios where it is possible and required for legal proceedings (Computer forensics in Azure), this is often the most inefficient way to detect and investigate attacks.
  • Источники данных сети и удостоверений: Многие функции облачных платформ в основном используют удостоверения в основном для контроля доступа, например для доступа к портал Azure (хотя элементы управления доступом к сети также используются широко).Network and Identity data sources: Many functions of cloud platforms primarily use identity primarily for access control such as access to the Azure portal (though network access controls are used extensively as well). Это требует, чтобы аналитики разработали знания о протоколах облачных удостоверений, чтобы получить полную полнофункциональную картину деятельности злоумышленников (и законных действий пользователя) для поддержки расследования инцидентов и исправления.This requires analysts to develop an understanding of cloud identity protocols to get a full, rich, picture of attacker activity (and legitimate user activity) to support incident investigation and remediation. Каталоги удостоверений и протоколы также отличаются от локальных, так как обычно основаны на SAML, OAuth, OIDC и облачных каталогах, а не LDAP, Kerberos, NTLM и Active Directory, которые обычно находятся в локальной среде.Identity directories and protocols are also different from on-premises as they are typically based on SAML, OAuth, and OIDC and Cloud directories rather than LDAP, Kerberos, NTLM, and Active Directory that are commonly found on-premises.
  • Упражнения : Имитация атак и реагирование может помочь в создании корпоративной памяти и технической готовности для аналитиков безопасности, скидками угроз, руководителей инцидентов и других заинтересованных лиц в Организации.Practice exercises: Simulated attacks and response can help build organizational muscle memory and technical readiness for your security analysts, threat hunters, incident managers, and other stakeholders in your organization. Обучение по работе и адаптации является естественной частью реагирования на инциденты, но вы должны поработать, чтобы не познакомиться с тем, что нужно изучить в критических случаях.Learning on the job and adapting is a natural part of incident response, but you should work to minimize how much you have to learn in a crisis.

Основные ресурсы:Key Resources:

См. также процесс реагирования на обновления Azure Security "IR-1: подготовка — обновление инцидента" для Azure.Also see the Azure Security Benchmark IR-1: Preparation – update incident response process for Azure.

5. процесс: создание управления уровнями безопасности5. Process: Establish security posture management

Сначала необходимо ознакомиться с сиселф.First, know thyself.

Что? Следите за активностью управления средой Azure с помощью следующих средств:What: Ensure that you are actively managing the security posture of your Azure environment by:

  • Назначение четкого владения обязанностямиAssigning clear ownership of responsibilities for
    • Мониторинг наблюдения за безопасностьюMonitoring security posture
    • Устранение рисков для ресурсовMitigating risks to assets
  • Автоматизация и упрощение этих задачAutomating and simplifying these tasks

Почему: быстро определять и устранения распространенные риски безопасности санации значительно сокращает риски Организации.Why: Rapidly identifying and remediating common security hygiene risks significantly reduces organizational risk.

Программно определенная природа облачных центров обработки данных позволяет непрерывно отслеживать риски безопасности (уязвимости программного обеспечения, Недопущенные настройки безопасности и т. д.), используя обширное инструментирование ресурсов.The software defined nature of cloud datacenters enables continuous monitoring of security risk (software vulnerabilities, security misconfigurations, etc.) with extensive asset instrumentation. Скорость, с которой разработчики и ИТ-группа могут развертывать виртуальные машины, базы данных и другие ресурсы, также создают необходимость надежной и активно отслеживаемой ресурсов.The speed at which developers and IT team can deploy VMs, databases, and other resources also create a need to ensure resources are configured securely and actively monitored.

Эти новые возможности предлагают новые возможности, но для их реализации необходимо назначить ответственность за их использование.These new capabilities offer new possibilities, but realizing value from them requires assigning responsibility for using them. Параллельное выполнение с быстро развивающимися облачными операциями также требует, чтобы человеческие процессы были как можно проще и автоматизированы.Executing consistently on with rapidly evolving cloud operations also requires keeping human processes as simple and automated as possible. См. принцип безопасности"простота дисков".See the "Drive Simplicity" security principle.

Примечание

Цель упрощения и автоматизации не состоит в изучении заданий, но об удалении нагрузки повторяющихся задач от людей, чтобы они могли сосредоточиться на больших значениях сотрудников, таких как участие в работе и обучение ИТ-специалистов и DevOps.The goal of simplification and automation isn't about getting rid of jobs, but about removing the burden of repetitive tasks from people so they can focus on higher value human activities like engaging with and educating IT and DevOps teams.

Кто: обычно состоит из двух наборов обязанностей:Who: This is typically divided into two sets of responsibilities:

  • Управление уровнями безопасности — эта новая функция часто является развитием существующих функций управления уязвимостью или контроля уязвимостей.Security posture management – This newer function is often an evolution of existing vulnerability management or governance functions. Сюда входит мониторинг общей безопасности с помощью центра безопасности Azure и других источников данных, активно работающих с владельцами ресурсов для уменьшения рисков и составления отчетов о рисках в отношении безопасности.This includes monitoring overall security posture using Azure Security Center Secure Score and other data sources, actively working with resource owners to mitigate risks, and reporting risk to security leadership.

  • Исправление безопасности: Назначьте ответственность за устранение этих рисков для групп, ответственных за управление этими ресурсами.Security remediation: Assign accountability for addressing these risks to the teams responsible for managing those resources. Это относится либо к DevOps командам, управляющим собственными ресурсами приложений, либо к группам, ориентированным на технологии, в центральных ИТ-операциях:This should either the DevOps teams managing their own application resources or the technology-specific teams in Central IT Operations:

    • Ресурсы для вычислений и приложений:Compute and Apps Resources:
      • Службы приложений — группы разработки и безопасности приложенийApp Services - Application Development/Security Team(s)
      • Контейнеры — разработка приложений и (или) инфраструктура/ИТ-эксплуатацияContainers - Application Development and/or Infrastructure/IT Operations
      • Виртуальные машины, масштабируемые наборы , операции вычислений и инфраструктурыVMs/Scale sets/compute - IT/Infrastructure Operations
    • Ресурсы хранилища & данных:Data & Storage Resources:
      • SQL/Redis/Data Lake Analytics/Data Lake Store — группа баз данныхSQL/Redis/Data Lake Analytics/Data Lake Store - Database Team
      • Учетные записи хранения — группа хранения или инфраструктурыStorage Accounts - Storage/Infrastructure Team
    • Ресурсы для идентификации и доступа:Identity and Access Resources:
      • Подписки — группы удостоверенийSubscriptions - Identity Team(s)
      • Key Vault — группа "удостоверение" или "информация"/"безопасность данных"Key Vault – Identity or Information/Data Security Team
    • Сетевые ресурсы — команда сетевой безопасностиNetworking Resources - Network Security Team
    • Безопасность IOT — Группа эксплуатации IOTIoT Security - IoT Operations Team

Как: безопасность — это задание для всех пользователей, но не все в настоящее время знают, насколько важно, что делать и как это сделать.How: Security is everyone's job, but not everyone currently knows how important it is, what to do, and how to do it.

  • Держите владельцами ресурсов возможность учитывать риски безопасности так же, как они удерживаются для обеспечения доступности, производительности, затрат и других факторов успеха.Hold resource owners accountable for the security risk just as they are held accountable for availability, performance, cost, and other success factors.
  • Поддержка владельцев ресурсов с четким пониманием причин риска безопасности в их ресурсах, действий, которые они должны предпринять для снижения риска и его реализации с минимальной потерей производительности.Support resource owners with a clear understanding of why security risk matters to their assets, what they should do to mitigate risk, and how to implement it with minimal productivity loss.

Важно!

Пояснения к тому, почему, что и как защитить ресурсы часто похожи на различные типы ресурсов и приложения, но очень важно связать их с тем, что каждая группа уже знает и заботится о них.The explanations for why, what, and how to secure resources are often similar across different resource types and applications, but it's critical to relate these to what each team already knows and cares about. Группы безопасности должны привлекаться к ИТ-специалистам и DevOps своим аналогам в качестве доверенного помощника и партнера, посвященного включению этих команд.Security teams should engage with their IT and DevOps counterparts as a trusted advisor and partner focused on enabling these teams to be successful.

Инструментарий. Оценка безопасности в центре безопасности Azure позволяет оценить наиболее важные сведения о безопасности в Azure для широкого спектра активов.Tooling: Secure Score in Azure Security Center provides an assessment of the most important security information in Azure for a wide variety of assets. Это должна быть начальная точка для управления уровнями и может быть дополнена настраиваемыми политиками Azure и другими механизмами по мере необходимости.This should be your starting point on posture management and can be supplemented with custom Azure policies and other mechanisms as needed.

Frequency: Настройте регулярную ритмичность (обычно ежемесячно), чтобы ознакомиться с целями Azure по обеспечению безопасности и планов, с помощью конкретных целей улучшения.Frequency: Set up a regular cadence (typically monthly) to review Azure secure score and plan initiatives with specific improvement goals. Частоту можно увеличить по мере необходимости.The frequency can be increased as needed.

Совет

Гамифи действие, если это возможно, чтобы повысить уровень участия, например создать забавные конкурсыы и призы для команд DevOps, которые улучшат их оценку.Gamify the activity if possible to increase engagement, such as creating fun competitions and prizes for the DevOps teams that improve their score the most.

См. также контрольный тест системы безопасности Azure GS-2: определение стратегии управления уровнями безопасности.Also see the Azure Security Benchmark GS-2: Define security posture management strategy.

6. Технология: требуется парольная или многофакторная проверка подлинности (MFA)6. Technology: Require Passwordless or Multi-Factor Authentication (MFA)

Вы хотите обеспечить безопасность предприятия, чтобы профессиональные злоумышленники не могли угадать или украсть пароль администратора?Are you willing to bet the security of your enterprise that professional attackers can't guess or steal your admin's password?

Что: требовать, чтобы все критические администраторы влияют на использование безпарольной или многофакторной проверки подлинности (MFA).What: Require all critical impact admins to use passwordless or multi-factor authentication (MFA).

Почему: так же, как молочно-скелетные ключи не защищают дома от современного взломщика, пароли не могут защитить учетные записи от распространенных атак, которые мы увидим сегодня.Why: Just as antique skeleton keys won't protect a house against a modern day burglar, passwords cannot protect accounts against common attacks we see today. Технические сведения описаны в подразделе PA $ $Word не имеет значения.Technical details are described in Your Pa$$word doesn't matter.

Хотя MFA был один раз утомительнымм, в настоящее время я улучшаю возможности входа в систему с помощью биометрических подходов, таких как распознавание лиц в Windows Hello и мобильных устройствах (где не нужно запоминать или вводить пароль).While MFA was once a burdensome extra step, Passwordless approaches today improve the logon experience using biometric approaches like facial recognition in Windows Hello and mobile devices (where you don't have to remember or type a password). Кроме того, при нулевом доверии следует запомнить Доверенные устройства, что сокращает число запросов на нестандартное действие MFA (см. периодичность входа пользователя всистему).Additionally, zero trust approaches remember trusted devices, which reduce prompting for annoying out of band MFA actions (see user sign-in frequency).

Кто: пароль и многофакторная инициатива обычно определяются с помощью управления удостоверениями и ключами и (или) архитектурой безопасности.Who: Password and multi-factor initiative is typically led by Identity and Key Management and/or Security Architecture.

Как реализовать проверку подлинности на основе пароля или MFA, обучить администраторов по их использованию (при необходимости) и потребовать от администраторов следовать за использованием письменной политики.How: Implement Passwordless or MFA authentication, train administrators on how to use it (as needed), and require admins to follow using written policy. Это можно сделать с помощью одной или нескольких из следующих технологий:This can be accomplished by one or more of these technologies:

Примечание

На основе текстовых сообщений, основанных на MFA, довольно недорого, чтобы злоумышленники обходили, поэтому основное внимание уделяется & более надежному MFA.Text Message based MFA is now relatively inexpensive for attackers to bypass, so focus on passwordless & stronger MFA.

См. также идентификатор производительности системы безопасности Azure — 4. Используйте надежные элементы управления проверкой подлинности для всех Azure Active Directoryного доступа.Also see the Azure Security Benchmark ID-4: Use strong authentication controls for all Azure Active Directory based access.

7. Технология: интеграция собственного брандмауэра и сетевой безопасности7. Technology: Integrate native firewall and network security

Упростите защиту систем и данных от сетевых атак.Simplify protection of systems and data against network attacks.

Что? Упростите стратегию и обслуживание безопасности сети, интегрируя брандмауэр Azure, брандмауэр веб-приложения Azure (WAF) и распределенные меры отказа в обслуживании (от атак DDoS) в подходе к сетевой безопасности.What: Simplify your network security strategy and maintenance by integrating Azure Firewall, Azure Web App Firewall (WAF), and Distributed Denial of Service (DDoS) mitigations into your network security approach.

Почему: простота очень важна для обеспечения безопасности, так как снижается вероятность риска возникновения путаницы, неправильной настройки и других ошибок человека.Why: Simplicity is critical to security as it reduces likelihood of risk from confusion, misconfigurations, and other human errors. См. принцип безопасности"простота дисков".See the "Drive Simplicity" security principle.

Брандмауэры и WAF являются важнейшими базовыми элементами управления безопасностью, которые защищают приложения от вредоносного трафика, но их настройка и обслуживание могут быть сложными и занимать значительное количество времени и внимания группы безопасности (аналогично добавлению пользовательских частей Афтермаркет на автомобиль).Firewalls and WAFs are important basic security controls to protect applications from malicious traffic, but their setup and maintenance can be complex and consume a significant amount of the security team's time and attention (similar to adding custom aftermarket parts to a car). Собственные возможности Azure позволяют упростить реализацию и работу брандмауэров, брандмауэров веб-приложений, распределенных атак типа "отказ в обслуживании" (от атак DDoS) и многое другое.Azure's native capabilities can simplify implementation and operation of Firewalls, Web Application Firewalls, Distributed Denial of Service (DDoS) mitigations, and more.

Это может освободить время команды и уделить внимание более ценным задачам по обеспечению безопасности, таким как оценка безопасности служб Azure, Автоматизация операций безопасности и интеграция безопасности с приложениями и решениями для ИТ.This can free up your team's time and attention for higher value security tasks like evaluating the security of Azure Services, automating security operations, and integrating security with applications and IT solutions.

Кто:Who:

  • Спонсорское предложение: Это обновление стратегии сетевой безопасности обычно спонсорства по безопасности и (или) лидера в ИТSponsorship: This update of network security strategy is typically sponsored by security leadership and/or IT leadership

  • Выполнение: Интеграция этой стратегии в облачную стратегию безопасности сети — это совместная работа, включающая в себя следующие усилия:Execution: Integrating these into your cloud network security strategy is a collaborative effort involving:

    • Архитектура безопасности — установите архитектуру безопасности облачной сети с помощью облачной сети и облачных средств безопасности сети.Security Architecture - Establish cloud network security architecture with cloud network and cloud network security leads.
    • Интересы облачной сети (Центральная ИТ-эксплуатация) + интересы по безопасности облачной сети (Группа безопасности инфраструктуры)Cloud network leads (Central IT Operations) + Cloud Network security leads (Infrastructure security Team)
      • Определение архитектуры безопасности облачной сети с помощью архитекторов безопасностиEstablish cloud network security architecture with security architects
      • Настройка возможностей брандмауэра, NSG и WAF и работа с архитекторами приложений в правилах WAFConfigure Firewall, NSG, and WAF capabilities and work with application architects on WAF rules
    • Архитекторы приложений: Работа с сетевой безопасностью для создания и уточнения WAF наборов правил и конфигураций от атак DDoS для защиты приложения без нарушения доступностиApplication architects: Work with network security to build and refine WAF rulesets and DDoS configurations to protect the application without disrupting availability

Как: организациям, стремящимся упростить свои операции, доступны два варианта:How: Organizations looking to simplify their operations have two options:

  • Расширение существующих возможностей и архитектур: Многие организации часто предпочитают использовать существующие возможности брандмауэра, чтобы они могли заменять существующие инвестиции в навыки и интеграцию процессов, особенно при первом внедрении облака.Extend existing capabilities and architectures: Many organizations often choose to extend the use of existing firewall capabilities so they can capitalize on existing investments into skills and process integration, particularly as they first adopt the cloud.
  • Применяйте собственные элементы безопасности: Все больше и больше организаций предпочитают использовать собственные элементы управления, чтобы избежать сложности интеграции сторонних возможностей.Embrace native security controls: More and more organizations are starting to prefer using native controls to avoid the complexity of integrating third-party capabilities. Как правило, эти организации позволяют избежать риска необычной настройки в балансировке нагрузки, определяемых пользователем маршрутов, брандмауэра и WAF и задержек хандоффс между различными техническими командами.These organizations are typically seeking to avoid the risk of a misconfiguration in load balancing, user-defined routes, the firewall/WAF itself, and delays in handoffs between different technical teams. Этот вариант особенно полезен для организаций, которые используют инфраструктуру в качестве подходов к коду, так как они могут автоматизировать и использовать встроенные возможности более просто, чем сторонние возможности.This option is particularly compelling to organizations embracing infrastructure as code approaches as they can automate and instrument the built-in capabilities more easily than third-party capabilities.

Документацию по функциям безопасности сети Azure Native можно найти по адресу:Documentation on Azure native network security capabilities can be found at:

Azure Marketplace включает многие сторонние поставщики брандмауэра.Azure Marketplace includes many third-party firewall providers.

См. также раздел "тестирование безопасности Azure" NS-4. Защита приложений и служб от сетевых атак извне.Also see the Azure Security Benchmark NS-4: Protect applications and services from external network attacks.

8. Технология: Интеграция встроенного обнаружения угроз8. Technology: Integrate native threat detection

Упростите обнаружение и реагирование атак на системы и данные Azure.Simplify detection and response of attacks against Azure systems and data.

Что? Упростите стратегию обнаружения угроз и реагирования за счет внедрения собственных возможностей обнаружения угроз в операции безопасности и SIEM.What: Simplify your threat detection and response strategy by incorporating native threat detection capabilities into your security operations and SIEM.

Почему: цель операций безопасности заключается в снижении воздействия активных злоумышленников, получивших доступ к среде, в среднем времени на подтверждение (мтта) и исправление (MTTR) инцидентов.Why: The purpose of security operations is to reduce the impact of active attackers who get access to the environment, as measured by mean time to acknowledge (MTTA) and remediate (MTTR) incidents. Для этого требуется как точность, так и скорость во всех элементах реагирования на инцидент, поэтому качество средств и эффективность выполнения процессов имеют первостепенное значение.This requires both accuracy and speed in all elements of incident response, so the quality of tools and the efficiency of process execution are paramount.

Очень трудно получить высокий уровень обнаружения угроз с помощью существующих средств и подходов, разработанных для локального обнаружения угроз, из-за различий в облачной технологии и ее быстром темпе изменений.It's difficult to get high threat detections using existing tools and approaches designed for on-premises threat detection because of differences in cloud technology and its rapid pace of change. Встроенные средства обнаружения предоставляют высокомасштабируемые решения, поддерживаемые поставщиками облачных решений, которые могут поддерживать текущие угрозы и изменения облачной платформы.Natively integrated detections provide industrial scale solutions maintained by the cloud providers that can keep up with current threats and cloud platform changes.

Эти собственные решения также позволяют группам операций безопасности сосредоточиться на исследовании и исправлении инцидентов, а не тратить время на создание оповещений от незнакомых данных журнала, интеграции средств и задач обслуживания.These native solutions also enable security operations teams to focus on incident investigation and remediation instead of wasting time trying to create alerts from unfamiliar log data, integrating tools, and maintenance tasks.

Кто: обычно управляется группой эксплуатации операций безопасности .Who: This is typically driven by the Security Operations team.

  • Спонсорское предложение: Обычно это спонсорство, выполняемое директором по обеспечению безопасности (или аналогом).Sponsorship: This is typically sponsored by the Security Operations Director (or equivalent)..
  • Выполнение: Интеграция обнаружения угроз в машинный код — это совместная работа, включающая в себя:Execution: Integrating native threat detection is a collaborative effort involving those with:
    • Операции безопасности: интеграция оповещений в процессы SIEM и исследования инцидентов, обучение аналитикам облачных оповещений и их значениям, а также использование собственных облачных средств.Security Operations: integrate alerts into SIEM and incident investigation processes, educate analysts on cloud alerts and what they mean, and how to use the native cloud tools.
    • Подготовка инцидента: Интегрируйте облачные инциденты в упражнения и проследите практические упражнения по обеспечению готовности команды.Incident Preparation: Integrate cloud incidents into practice exercises and ensure practice exercises are conducted to drive team readiness.
    • Аналитика угроз: Исследование и интеграция информации об атаках в облаке для информирования групп с помощью контекста и аналитики.Threat Intelligence: Research and integrate information on cloud attacks to inform teams with context and intelligence.
    • Архитектура безопасности: Интеграция собственных средств в документацию по архитектуре безопасности.Security Architecture: Integrate native tooling into security architecture documentation.
    • Политика и стандарты: Задайте стандарты и политику для включения собственных средств в Организации.Policy and standards: Set standards and policy for enabling native tooling throughout the organization. Отслеживание соответствия требованиям.Monitor for compliance.
    • Инфраструктура и конечная точка / Централизованная ИТ – эксплуатация: Настройка и включение обнаружений, интеграция в автоматизацию и инфраструктуру в качестве решений для кода.Infrastructure and Endpoint / Central IT Operations: Configure and enable detections, integrate into automation and infrastructure as code solutions.

Инструкции. Включите обнаружение угроз в центре безопасности Azure для всех используемых ресурсов и объедините их в процессы, как описано выше.How: Enable threat detection in Azure security center for all the resources you are using and have each team integrate these into their processes as described above.

См. также контрольный материал по безопасности Azure lt-1: Включение обнаружения угроз для ресурсов Azure.Also see the Azure Security Benchmark LT-1: Enable threat detection for Azure resources.

9. Архитектура: стандартизация для одного каталога и удостоверения9. Architecture: Standardize on a single directory and identity

Никто не хочет работать с несколькими удостоверениями и каталогами.Nobody wants to deal with multiple identities and directories.

Что: стандартизация в одном каталоге Azure AD и единое удостоверение для каждого приложения и пользователя в Azure (для всех корпоративных функций идентификации).What: Standardize on a single Azure AD directory and single identity for each application and user in Azure (for all enterprise identity functions).

Примечание

Эта рекомендация относится только к корпоративным ресурсам.This best practice refers specifically to enterprise resources. Для учетных записей партнеров используйте Azure AD B2B , чтобы не создавать и поддерживать учетные записи в каталоге.For partner accounts, use Azure AD B2B so you don't have to create and maintain accounts in your directory. Для управления учетными записями клиентов и пользователей используйте Azure AD B2C .For customer/citizen accounts, use Azure AD B2C to manage them.

Почему: несколько учетных записей и каталогов удостоверений создают ненужные трения и путаницу в ежедневных рабочих процессах для пользователей производительности, разработчиков, администраторов ИТ-систем и удостоверений, а также для аналитиков безопасности и других ролей.Why: Multiple accounts and identity directories create unnecessary friction and confusion in daily workflows for productivity users, developers, IT and Identity Admins, security analysts, and other roles.

Управление несколькими учетными записями и каталогами также создает стимул для слабых методов обеспечения безопасности, таких как повторное использование одного и того же пароля для учетных записей и повышение вероятности устаревших или отмененных учетных записей, которые могут быть нацеленыManaging multiple accounts and directories also creates an incentive for poor security practices such as reusing the same password across accounts and increases the likelihood of stale/abandoned accounts that attackers can target.

Хотя иногда бывает проще быстро выделить пользовательский каталог (на основе LDAP и т. д.) для конкретного приложения или рабочей нагрузки, это создает гораздо больше работы по интеграции и обслуживанию для установки и управления.While it sometimes seems easier to quickly stand up a custom directory (based on LDAP, etc.) for a particular application or workload, this creates much more integration and maintenance work to set up and manage. Это аналогично многим способам принятия решения о настройке дополнительного клиента Azure или локального Active Directory леса по сравнению с существующим предприятием.This is similar in many ways to the decision of setting up an additional Azure tenant or additional on-premises Active Directory Forest vs. using the existing enterprise one. См. также принцип безопасности"простота дисков".See also the "Drive Simplicity" security principle.

Кто: часто это процесс, управляемый с помощью архитектуры безопасности или групп управления удостоверениями и ключами .Who: This is often a cross-team effort driven by Security Architecture or Identity and Key Management teams.

Практическое руководство. внедрение практического подхода, который начинается с новых возможностей нуля (растет сегодня), а затем приводит к устранению проблем с серия статей Brownfield существующих приложений и служб в качестве дальнейших упражнений.How: Adopt a pragmatic approach that starts with new greenfield capabilities (growing today) and then clean up challenges with the brownfield of existing applications and services as a follow-up exercise:

  • Нуля: Установите и реализуйте четкую политику, которую все пересылаемые корпоративные удостоверения должны использовать один каталог Azure AD с одной учетной записью для каждого пользователя.Greenfield: Establish and implement a clear policy that all enterprise identity going forward should use a single Azure AD directory with a single account for each user.

  • Серия статей Brownfield: Многие организации часто имеют несколько устаревших каталогов и систем идентификации.Brownfield: Many organizations often have multiple legacy directories and identity systems. Устраните эти затраты, когда стоимость текущего трения управления превысит инвестиции, чтобы очистить ее.Address these when the cost of ongoing management friction exceeds the investment to clean it up. Хотя решения для управления удостоверениями и синхронизации могут устранить некоторые из этих проблем, у них отсутствует глубокая интеграция функций обеспечения безопасности и повышения производительности, обеспечивающих бесперебойную работу пользователей, администраторов и разработчиков.While identity management and synchronization solutions can mitigate some of these issues, they lack deep integration of security and productivity features that enable a seamless experience for users, admins, and developers.

Идеальное время для консолидации использования идентификации — во время цикла разработки приложения:The ideal time to consolidate your use of identity is during application development cycles as you:

  • Модернизировать приложения для облакаModernize applications for the cloud
  • Обновление облачных приложений с помощью процессов DevOpsUpdate cloud applications with DevOps processes

Несмотря на возможные причины для отдельного каталога в случае чрезвычайно независимых подразделений или нормативных требований, во всех остальных случаях следует избегать использования нескольких каталогов.While there are valid reasons for a separate directory in the case of extremely independent business units or regulatory requirements, multiple directories should be avoided in all other circumstances.

См. также руководство по безопасности Azure ID-1: стандартизация Azure Active Directory в качестве центральной системы идентификации и проверки подлинности.Also see the Azure Security Benchmark ID-1: Standardize Azure Active Directory as the central identity and authentication system.

Важно!

Единственным исключением из правила для отдельных учетных записей является то, что привилегированным пользователям (включая администраторов ИТ-отделов и аналитикам безопасности) следует иметь отдельные учетные записи для стандартных задач пользователя и административных задач.The only exception to the single accounts rule is that privileged users (including IT administrators and security analysts) should have separate accounts for standard user tasks vs. administrative tasks.

Дополнительные сведения см. в статье Azure Security тестов с привилегированным доступом.For more information, see Azure Security Benchmark Privileged Access.

10. Архитектура: использование управления доступом на основе удостоверений (вместо ключей)10. Architecture: Use identity based access control (instead of keys)

Что? при возможности используйте удостоверения Azure AD вместо проверки подлинности на основе ключей (службы Azure, приложения, API и т. д.).What: Use Azure AD identities instead of key based authentication wherever possible (Azure Services, Applications, APIs, etc.).

Почему. Проверка подлинности на основе ключей может использоваться для проверки подлинности в облачных службах и интерфейсах API, но требует безопасного управления ключами, что очень сложно работать (особенно при масштабировании).Why: Key based authentication can be used to authenticate to cloud services and APIs but requires managing keys securely, which is challenging to perform well (especially at scale). Безопасное управление ключами сложно для специалистов, не относящихся к безопасности, таких как разработчики и специалисты по инфраструктуре, и они часто не делают это безопасным, часто создавая значительные риски безопасности для Организации.Secure key management is difficult for non-security professionals like developers and infrastructure professionals and they often fail to do it securely, often creating major security risks for the organization.

Проверка подлинности на основе удостоверений применяет многие из этих проблем с развитыми возможностями для смены секрета, управления жизненным циклом, административного делегирования и т. д.Identity based authentication overcomes many of these challenges with mature capabilities for secret rotation, lifecycle management, administrative delegation, and more.

Кто: часто это процесс, управляемый с помощью архитектуры безопасности или групп управления удостоверениями и ключами .Who: This is often a cross-team effort driven by Security Architecture or Identity and Key management teams.

Как настроить настройку Организации и привычку для использования проверки подлинности на основе удостоверений необходимо выполнить процесс и включить технологию.How: Setting an organizational preference and habit for using identity-based authentication requires following a process and enabling technology.

Процесс:The process:

  1. Установите политику и стандарты, которые четко описывают проверку подлинности на основе удостоверений по умолчанию, а также допустимые исключения.Establish policy and standards that clearly outline the default identity-based authentication, as well as acceptable exceptions.
  2. Обучить разработчикам & разработчиков инфраструктуры о том, зачем использовать новый подход, что им нужно делать и как это сделать.Educate developers & infrastructure teams on why to use the new approach, what they need to do, and how to do it.
  3. Реализуйте изменения по отдельности – начиная с новых возможностей нуля, реализованных сейчас и в будущем (новые службы Azure, новые приложения), а затем выполнив очистку существующих конфигураций серия статей Brownfield.Implement changes in a pragmatic way – starting with new greenfield capabilities being adopted now and in the future (new Azure services, new applications) and then following up with a clean-up of existing brownfield configurations.
  4. Отслеживайте соответствие и следите за соблюдением групп разработчиков и инфраструктуры.Monitor for compliance and follow up with developer and infrastructure teams to remediate.

Технологии: Для учетных записей, не связанных с персоналом, таких как службы или Автоматизация, используйте управляемые удостоверения.The technologies: For non-human accounts such as services or automation, use managed identities. Управляемые удостоверения Azure могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure AD.Azure managed identities can authenticate to Azure services and resources that support Azure AD authentication. Проверка подлинности включается с помощью предварительно определенных правил предоставления доступа, что позволяет избежать жестко заданной учетной записи в исходном коде или файлах конфигурации.Authentication is enabled through pre-defined access grant rules, avoiding hard-coded credentials in source code or configuration files.

Для служб, которые не поддерживают управляемые удостоверения, используйте Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурса.For services that do not support managed identities, use Azure AD to create a service principal with restricted permissions at the resource level instead. Мы рекомендуем настраивать субъекты-службы с учетными данными сертификата и возвращаться к секретам клиента.We recommended configuring service principals with certificate credentials and fall back to client secrets. В обоих случаях Azure Key Vault можно использовать в сочетании с управляемыми удостоверениями Azure, чтобы среда выполнения (например, функция Azure) могла извлекать учетные данные из хранилища ключей.In both cases, Azure Key Vault can be used in conjunction with Azure managed identities, so that the runtime environment (such as an Azure function) can retrieve the credential from the key vault.

См. также раздел Контрольный код безопасности Azure — 2. безопасное и автоматическое управление удостоверениями приложений.Also see the Azure Security Benchmark ID-2: Manage application identities securely and automatically.

11. Архитектура: создание единой унифицированной стратегии безопасности11. Architecture: Establish a single unified security strategy

Каждому пользователю необходимо присвоить строку в том же направлении, в котором они переходят вперед.Everyone needs to row in the same direction for the boat to go forward.

Что? убедитесь, что все команды согласованы с одной стратегией, которая включает и защищает корпоративные системы и данные.What: Ensure all teams are aligned to a single strategy that both enables and secures enterprise systems and data.

Почему: Если команды работают изолированно без согласования с общей стратегией, их отдельные действия могут случайно противоойти усилиям друг друга, создавая ненужную трение, которая замедляет ход выполнения задач для всех.Why: When teams work in isolation without being aligned to a common strategy, their individual actions can inadvertently undermine each other's efforts, creating unnecessary friction that slows down progress against everyone's goals.

Одним из примеров этого, которые постоянно воспроизводятся во многих организациях, является сегментация ресурсов:One example of this that has played out consistently in many organizations is the segmentation of assets:

  • Группа безопасности сети разрабатывает стратегию сегментирования плоской сети для повышения безопасности (часто на основе физических сайтов, назначенных адресов IP-адресов, диапазонов или аналогичных).The network security team develops a strategy for segmenting a flat network to increase security (often based on physical sites, assigned IP address addresses/ranges, or similar)
  • По отдельности Группа разработчиков удостоверений разработала стратегию для групп и Active Directory подразделений (OU) на основе их понимания и знаний Организации.Separately, the identity team developed a strategy for groups and Active Directory organizational units (OUs) based on their understanding and knowledge of the organization.
  • Группы приложений часто затруднить работу с этими системами, так как они разрабатывались с ограниченным вводом и пониманием бизнес-операций, целей и рисков.Application teams often find it difficult to work with these systems because they were designed with limited input and understanding of business operations, goals, and risks.

В организациях, где это происходит, группы часто сталкиваются с конфликтами исключений брандмауэра, что негативно влияет на безопасность (исключения обычно утверждаются) и на производительность (развертывание снижается для функциональности приложения в целях бизнеса).In organizations where this happens, teams frequently experience conflicts over firewall exceptions, which negatively impact both security (exceptions are usually approved) and productivity (deployment is slowed for application functionality the business needs).

Хотя безопасность может создать работоспособное состояние трения, принудительно вызывая критический анализ, этот конфликт создает только неработоспособные трения, мешающие целям.While security can create healthy friction by forcing critical thinking, this conflict only creates unhealthy friction that impedes goals. Дополнительные сведения см. в разделе рекомендации по стратегии безопасности: правильный уровень безопасности трения.For more information, see Security strategy guidance: the right level of security friction.

ЗнакомWho:

  • Спонсорское предложение: Единая стратегия, как правило, сопоставлена РУКОВОДИТЕЛям, перспективы и CTO (часто с поддержкой бизнес-лидера для некоторых элементов высокого уровня) и рассматривались представителями от каждой команды.Sponsorship: The unified strategy typically co-sponsored by CIO, CISO, and CTO (often with business leadership support for some high-level elements) and championed by representatives from each team.
  • Выполнение: Стратегия безопасности должна быть реализована всеми пользователями, поэтому она должна интегрировать входные данные из разных групп, чтобы увеличить владение, Купить и вероятность успеха.Execution: Security strategy must be implemented by everyone, so it should integrate input from across teams to increase ownership, buy-in, and likelihood of success.
    • Архитектура безопасности: Приводят усилия по созданию стратегии безопасности и результирующей архитектуры, активному сбору отзывов от команд и документированию их в презентациях, документах и схемах для различных аудиторий.Security architecture: Leads the effort to build security strategy and resulting architecture, actively gather feedback from teams, and document it in presentations, documents, and diagrams for the various audiences.
    • Политика и стандарты: Захватывает соответствующие элементы в соответствии со стандартами и политикой, а затем отслеживает соответствие.Policy and standards: Captures the appropriate elements into standards and policy and then monitors for compliance.
    • Все технические ИТ и группы по безопасности: Предоставьте требования к входным данным, а затем выровняйте и реализуйте стратегию Enterprise.All technical IT and security teams: Provide input requirements, then align to and implement the enterprise strategy.
    • Владельцы и разработчики приложений: Ознакомьтесь с документацией по стратегии, которая применяется к ним (в идеале это руководство, адаптированное для их роли).Application owners and developers: Read and understand strategy documentation that applies to them (ideally, guidance tailored to their role).

Как:How:

Создайте и реализуйте стратегию безопасности для облака, которая включает входные и активные участия всех команд.Build and implement a security strategy for cloud that includes the input and active participation of all teams. Несмотря на то, что формат документации по процессу будет разным, он должен всегда включать:While the process documentation format will vary, this should always include:

  • Активные входные данные из команд: Стратегии обычно завершаются сбоем, если сотрудники Организации не приобретают их.Active input from teams: Strategies typically fail if people in the organization don't buy into them. В идеале вы получите все команды в одной комнате для совместной сборки стратегии.Ideally, get all teams in the same room to collaboratively build the strategy. В семинарах, которые мы работаем с клиентами, мы часто обнаружили, что организации работают с приемниками команд де факто, и эти собрания часто приводят к тому, что люди будут в первый раз встречаться друг с другом.In the workshops we conduct with customers, we often find organizations have been operating in de facto silos and these meetings often result in people meeting each other for the first time. Мы также обнаружили, что инклюзивность является обязательным требованием.We also find that inclusiveness is a requirement. Если некоторые команды не приглашены, это собрание обычно должно повторяться до тех пор, пока все участники не присоединяются к нему (или проект не переходит вперед).If some teams are not invited, this meeting typically has to be repeated until all participants join it (or the project doesn't move forward).
  • Четкое документирование и обмен информацией: Все команды должны иметь осведомленность о стратегии безопасности (в идеале это компонент безопасности общей технологической стратегии), в том числе о том, почему следует интегрировать систему безопасности, что важно для обеспечения безопасности, а также о том, как выглядит успешная безопасность.Documented and communicated clearly: All teams should have awareness of the security strategy (ideally a security component of the overall technology strategy) including why to integrate security, what is important in security, and what security success looks like. Это должно быть определенное руководство для групп приложений и разработчиков, чтобы они могли получить четкие рекомендации по приоритетам без необходимости читать несоответствующие части руководства.This should include specific guidance for application and development teams so they can get a clear prioritized guidance without having to read through non-relevant parts of the guidance.
  • Стабильный, но гибкий: Стратегии должны оставаться относительно согласованными и стабильными, но в архитектурах и документации может потребоваться внести изменения, чтобы добавить ясность и обеспечить динамическую природу облака.Stable, but flexible: Strategies should remain relatively consistent and stable, but the architectures and the documentation may need changes to add clarity and accommodate the dynamic nature of cloud. Например, фильтрация вредоносного внешнего трафика сохранится как стратегический императивный, даже если вы перешли с использования брандмауэра следующего поколения сторонних производителей в брандмауэр Azure и настроите схемы или рекомендации по их выполнению.For example, filtering out malicious external traffic would stay consistent as a strategic imperative even if you shift from the use of a third-party next generation firewall to Azure Firewall and adjust diagrams/guidance on how to do it.
  • Начните с сегментации: В ходе внедрения в облако ваши команды будут решать многие из стратегий, которые очень велики, но вам нужно начать с чего-нибудь.Start with segmentation: Over the course of cloud adoption, your teams will address many strategy topics large and small, but you need to start somewhere. Рекомендуется запустить стратегию безопасности с сегментацией активов предприятия, так как это базовое решение, которое было бы сложно изменить позже, и для этого потребуется как бизнес, так и множество технических команд.We recommend starting the security strategy with enterprise asset segmentation as it's a foundational decision that would be challenging to change later and requires both business input and many technical teams.

Корпорация Майкрософт опубликовала руководство по применению стратегии сегментации к Azure , а также документам по сегментации на предприятии и обеспечению безопасности сети.Microsoft has published video guidance for applying a segmentation strategy to Azure as well as documents on enterprise segmentation and aligning network security to it.

Инфраструктура внедрения облачных технологий включает рекомендации, которые помогут вашим командам:The Cloud Adoption Framework includes guidance to help your teams with:

См. также руководство по контролю и стратегии производительности в Azure Security.Also see the Azure Security Benchmark governance and strategy.