Dela via


Kom igång: Implementera säkerhet i företagsmiljön

Säkerhet bidrar till att skapa garantier för konfidentialitet, integritet och tillgänglighet för ett företag. Säkerhetsinsatser har ett kritiskt fokus på att skydda mot den potentiella påverkan på åtgärder som orsakas av både interna och externa skadliga och oavsiktliga handlingar.

Den här komma igång-guiden beskriver de viktigaste stegen för att minska eller undvika affärsrisker från cybersäkerhetsattacker. Det kan hjälpa dig att snabbt etablera viktiga säkerhetsrutiner i molnet och integrera säkerhet i molnimplementeringsprocessen.

Stegen i den här guiden är avsedda för alla roller som stöder säkerhetsgarantier för molnmiljöer och landningszoner. Uppgifterna omfattar omedelbara prioriteringar för riskreducering, vägledning för att skapa en modern säkerhetsstrategi, operationalisera metoden och utföra den strategin.

Genom att följa stegen i den här guiden kan du integrera säkerhet vid kritiska punkter i processen. Målet är att undvika hinder i molnimplementeringen och minska onödiga affärs- eller driftstörningar.

Microsoft har skapat funktioner och resurser för att påskynda implementeringen av den här säkerhetsguiden i Microsoft Azure. Du ser de här resurserna som refereras i den här guiden. De är utformade för att hjälpa dig att upprätta, övervaka och framtvinga säkerhet, och de uppdateras och granskas ofta.

Följande diagram visar en holistisk metod för att använda säkerhetsvägledning och plattformsverktyg för att upprätta säkerhetssynlighet och kontroll över dina molntillgångar i Azure. Vi rekommenderar den här metoden.

Diagram som visar en holistisk metod för att använda säkerhetsvägledning och plattformsverktyg.

Använd de här stegen för att planera och köra din strategi för att skydda dina molntillgångar och använda molnet för att modernisera säkerhetsåtgärder.

Steg 1: Upprätta grundläggande säkerhetsrutiner

Säkerheten i molnet börjar med att tillämpa de viktigaste säkerhetsrutinerna för personer, processer och teknikelement i systemet. Dessutom är vissa arkitektoniska beslut grundläggande och är mycket svåra att ändra senare, så bör tillämpas noggrant.

Oavsett om du redan arbetar i molnet eller planerar för framtida implementering rekommenderar vi att du följer dessa 11 grundläggande säkerhetsmetoder (förutom att uppfylla eventuella uttryckliga krav på regelefterlevnad).

Personer:

  1. Utbilda team om molnsäkerhetsresan

  2. Utbilda team om molnsäkerhetsteknik

Process:

  1. Tilldela ansvar för molnsäkerhetsbeslut

  2. Uppdatera incidenthanteringsprocesser för molnet

  3. Upprätta hantering av säkerhetsstatus

Teknik:

  1. Kräv lösenordslös autentisering eller multifaktorautentisering

  2. Integrera inbyggd brandvägg och nätverkssäkerhet

  3. Integrera inbyggd hotidentifiering

Grundläggande arkitekturbeslut:

  1. Standardisera på en enskild katalog och identitet

  2. Använda identitetsbaserad åtkomstkontroll (i stället för nycklar)

  3. Upprätta en enda enhetlig säkerhetsstrategi

Kommentar

Varje organisation bör definiera sina egna minimistandarder. Riskposition och efterföljande tolerans mot den risken kan variera kraftigt beroende på bransch, kultur och andra faktorer. Till exempel kanske en bank inte tolererar någon potentiell skada på sitt rykte från ens en mindre attack på ett testsystem. Vissa organisationer skulle gärna acceptera samma risk om den påskyndade deras digitala omvandling med tre till sex månader.

Steg 2: Modernisera säkerhetsstrategin

Effektiv säkerhet i molnet kräver en strategi som återspeglar den aktuella hotmiljön och vilken typ av molnplattform som är värd för företagets tillgångar. En tydlig strategi förbättrar alla teams arbete för att tillhandahålla en säker och hållbar företagsmolnmiljö. Säkerhetsstrategin måste möjliggöra definierade affärsresultat, minska risken till en acceptabel nivå och göra det möjligt för anställda att vara produktiva.

En molnsäkerhetsstrategi ger vägledning till alla team som arbetar med teknik, processer och personers beredskap för den här implementeringen. Strategin bör ligga till grund för molnarkitekturen och de tekniska funktionerna, vägleda säkerhetsarkitekturen och funktionerna samt påverka utbildning och utbildning av team.

Slutprodukter:

Strategisteget bör resultera i ett dokument som enkelt kan kommuniceras med många intressenter i organisationen. Intressenterna kan potentiellt inkludera chefer i organisationens ledningsgrupp.

Vi rekommenderar att du samlar in strategin i en presentation för att underlätta enkel diskussion och uppdatering. Den här presentationen kan stödjas med ett dokument, beroende på kultur och inställningar.

  • Strategipresentation: Du kan ha en enda strategipresentation, eller så kan du välja att även skapa sammanfattningsversioner för ledarskapspubliker.

    • Fullständig presentation: Detta bör innehålla den fullständiga uppsättningen element för säkerhetsstrategin i huvudpresentationen eller i valfria referensbilder.

    • Sammanfattningar: Versioner som ska användas med ledande befattningshavare och styrelseledamöter kan endast innehålla viktiga element som är relevanta för deras roll, till exempel riskaptit, högsta prioriteter eller accepterade risker.

  • Du kan också registrera motivationer, resultat och affärsmotiveringar i strategi- och planmallen.

Metodtips för att skapa en säkerhetsstrategi:

Lyckade program införlivar dessa element i sin säkerhetsstrategiprocess:

  • Anpassa dig till affärsstrategin: Säkerhetsstadgan är att skydda affärsvärdet. Det är viktigt att anpassa alla säkerhetsinsatser till det syftet och minimera interna konflikter.

    • Skapa en gemensam förståelse för affärs-, IT- och säkerhetskrav.

    • Integrera säkerheten tidigt i molnimplementeringen för att undvika kriser i sista minuten från risker som kan undvikas.

    • Använd en flexibel metod för att omedelbart fastställa minimikrav och kontinuerligt förbättra säkerhetsgarantierna över tid.

    • Uppmuntra till förändringar i säkerhetskulturen genom avsiktliga proaktiva ledarskapsåtgärder.

    Mer information finns i Transformationer, tankesätt och förväntningar.

  • Modernisera säkerhetsstrategin: Säkerhetsstrategin bör omfatta överväganden för alla aspekter av modern teknikmiljö, aktuellt hotlandskap och resurser i säkerhetsgemenskapen.

    • Anpassa till den delade ansvarsmodellen i molnet.
    • Inkludera alla molntyper och distributioner med flera moln.
    • Föredrar interna molnkontroller för att undvika onödig och skadlig friktion.
    • Integrera säkerhetscommunityn för att hålla jämna steg med angriparens utveckling.

Relaterade resurser för ytterligare kontext:


Ansvarigt team Ansvarsfulla och stödjande team
  • Säkerhetsledarteam (chief information security officer (CISO) eller motsvarande)
  • Molnstrategiteam
  • Molnsäkerhetsteam
  • Molnimplementeringsteam
  • Molncenter för excellens eller centralt IT-team
  • Godkännande av strategi:

    Chefer och företagsledare med ansvar för resultat eller risker för affärsområden inom organisationen bör godkänna den här strategin. Denna grupp kan omfatta styrelsen, beroende på organisationen.

    Steg 3: Utveckla en säkerhetsplan

    Planeringen sätter säkerhetsstrategin i praktiken genom att definiera resultat, milstolpar, tidslinjer och uppgiftsägare. I den här planen beskrivs även teamens roller och ansvarsområden.

    Planering av säkerhetsplanering och molnimplementering bör inte utföras isolerat. Det är viktigt att bjuda in molnsäkerhetsteamet till planeringscyklerna tidigt, för att undvika arbetsstopp eller ökad risk för att säkerhetsproblem upptäcks för sent. Säkerhetsplanering fungerar bäst med djup kunskap och medvetenhet om den digitala egendomen och den befintliga IT-portföljen som kommer från att vara helt integrerad i molnplaneringsprocessen.

    Slutprodukter:

    • Säkerhetsplan: En säkerhetsplan bör ingå i den huvudsakliga planeringsdokumentationen för molnet. Det kan vara ett dokument som använder strategi- och planmallen, ett detaljerat bildspel eller en projektfil. Eller så kan det vara en kombination av dessa format, beroende på organisationens storlek, kultur och standardpraxis.

      Säkerhetsplanen bör innehålla alla dessa element:

      • Organisationens funktioner planerar, så att teamen vet hur aktuella säkerhetsroller och ansvarsområden kommer att ändras när de flyttar till molnet.

      • Säkerhetskunskaper planerar att stödja teammedlemmar när de navigerar de betydande förändringarna i teknik, roller och ansvarsområden.

      • Översikt över teknisk säkerhetsarkitektur och funktioner för att vägleda tekniska team.

        Microsoft tillhandahåller referensarkitekturer och teknikfunktioner som hjälper dig när du skapar din arkitektur och översikt, inklusive:

        Diagram som visar Azure-administrationsmodellen.

        Diagram som visar Azure RBAC-modellen.

      • Säkerhetsmedvetenhet och utbildningsplan, så att alla team har grundläggande viktiga säkerhetskunskaper.

      • Känslighetsmarkering för tillgångar för att ange känsliga tillgångar med hjälp av en taxonomi som är anpassad till affärspåverkan. Taxonomi skapas gemensamt av affärsintressenter, säkerhetsteam och andra berörda parter.

      • Säkerhetsändringar i molnplanen: Uppdatera andra delar av molnimplementeringsplanen för att återspegla ändringar som utlöses av säkerhetsplanen.

    Metodtips för säkerhetsplanering:

    Din säkerhetsplan kommer sannolikt att bli mer framgångsrik om din planering tar tillvägagångssättet för:

    • Anta en hybridmiljö: Det inkluderar saaS-program (programvara som en tjänst) och lokala miljöer. Den innehåller även flera leverantörer av molninfrastruktur som en tjänst (IaaS) och PaaS-leverantörer (plattform som en tjänst), om tillämpligt.

    • Anta flexibel säkerhet: Upprätta minimikrav först och flytta alla icke-kritiska objekt till en prioriterad lista över nästa steg. Detta bör inte vara en traditionell, detaljerad plan på 3-5 år. Molnet och hotmiljön ändras för snabbt för att göra den typen av plan användbar. Din plan bör fokusera på att utveckla startstegen och sluttillståndet:

      • Snabba vinster för den närmaste framtiden som kommer att ge en hög effekt innan långsiktiga initiativ börjar. Tidsramen kan vara 3–12 månader, beroende på organisationskultur, standardmetoder och andra faktorer.

      • Tydlig vision av önskat sluttillstånd för att vägleda varje teams planeringsprocess (vilket kan ta flera år att uppnå).

    • Dela planen brett: Öka medvetenheten om, feedback från och inköp av intressenter.

    • Uppfylla de strategiska resultaten: Se till att din plan överensstämmer med och uppnår de strategiska resultat som beskrivs i säkerhetsstrategin.

    • Ange ägarskap, ansvar och tidsgränser: Se till att ägarna för varje uppgift identifieras och har åtagit sig att slutföra uppgiften inom en viss tidsram.

    • Anslut med den mänskliga sidan av säkerheten: Engagera människor under den här omvandlingsperioden och nya förväntningar genom att:

      • Aktivt stöd för teammedlemstransformering med tydlig kommunikation och coachning på:

        • Vilka färdigheter de behöver lära sig.
        • Varför de behöver lära sig färdigheterna (och fördelarna med att göra det).
        • Så här hämtar du den här kunskapen (och tillhandahåller resurser som hjälper dem att lära sig).

        Du kan dokumentera planen med hjälp av strategi- och planmallen. Och du kan använda Microsofts säkerhetsutbildning online för att hjälpa dig med utbildning av dina teammedlemmar.

      • Att göra säkerhetsmedvetenhet engagerande för att hjälpa människor att verkligen få kontakt med sin del av att hålla organisationen säker.

    • Granska Microsofts utbildningar och vägledning: Microsoft har publicerat insikter och perspektiv som hjälper din organisation att planera sin omvandling till molnet och en modern säkerhetsstrategi. Materialet innehåller inspelad utbildning, dokumentation och metodtips för säkerhet och rekommenderade standarder.

      Teknisk vägledning för att skapa din plan och arkitektur finns i Microsofts säkerhetsdokumentation.


    Ansvarigt team Ansvarsfulla och stödjande team
  • Molnsäkerhetsteam
  • Molnstrategiteam
  • Molnstyrningsteam
  • Alla riskteam i din organisation
  • Molncenter för excellens eller centralt IT-team
  • Godkännande av säkerhetsplan:

    Säkerhetsledningen (CISO eller motsvarande) bör godkänna planen.

    Steg 4: Skydda nya arbetsbelastningar

    Det är mycket enklare att börja i ett säkert tillstånd än att eftermontera säkerheten senare i din miljö. Vi rekommenderar starkt att du börjar med en säker konfiguration för att säkerställa att arbetsbelastningar migreras till och utvecklas och testas i en säker miljö.

    Under implementeringen av landningszonen kan många beslut påverka säkerhets- och riskprofiler. Molnsäkerhetsteamet bör granska konfigurationen av landningszonen för att säkerställa att den uppfyller säkerhetsstandarderna och kraven i organisationens säkerhetsbaslinjer.

    Slutprodukter:

    • Se till att nya landningszoner uppfyller organisationens efterlevnads- och säkerhetskrav.

    Vägledning för att stödja slutförande av slutprodukt:

    • Blanda befintliga krav och molnrekommendationer: Börja med rekommenderad vägledning och anpassa sedan detta till dina unika säkerhetskrav. Vi har sett utmaningar med att försöka framtvinga befintliga lokala principer och standarder, eftersom dessa ofta hänvisar till inaktuell teknik eller säkerhetsmetoder.

      Microsoft har publicerat vägledning som hjälper dig att skapa dina säkerhetsbaslinjer:

    • Tillhandahålla skyddsräcken: Valv vakter bör innehålla automatisk principgranskning och tillämpning. För dessa nya miljöer bör teamen sträva efter att både granska och framtvinga organisationens säkerhetsbaslinjer. Dessa ansträngningar kan hjälpa till att minimera säkerhetsöverraskningar under utvecklingen av arbetsbelastningar, samt kontinuerlig integrering och kontinuerlig distribution av CI/CD för arbetsbelastningar.

      Microsoft tillhandahåller flera inbyggda funktioner i Azure för att aktivera detta:

      • Säker poäng: Använd en poängsatt utvärdering av din Azure-säkerhetsstatus för att spåra säkerhetsinsatser och projekt i din organisation.

      • Azure Policy: Detta är grunden för de synlighets- och kontrollfunktioner som de andra tjänsterna använder. Azure Policy är integrerat i Azure Resource Manager, så du kan granska ändringar och tillämpa principer för alla resurser i Azure före, under eller efter skapandet.

      • Azure Policy som kod: Den här metoden behåller dina principdefinitioner i källkontroll och kombinerar DevOps, infrastruktur som kod (IaC) och Azure Policy för att distribuera principer, initiativ (ange definitioner), tilldelningar och principundantag i stor skala.

      • Förbättra landningszonens åtgärder: Använd metodtips för att förbättra säkerheten i en landningszon.


    Ansvarigt team Ansvarsfulla och stödjande team
  • Molnsäkerhetsteam
  • Molnimplementeringsteam
  • Molnplattformsteamet
  • Molnstrategiteam
  • Molnstyrningsteam
  • Molncenter för excellens eller centralt IT-team
  • Steg 5: Skydda befintliga molnarbetsbelastningar

    Många organisationer har redan distribuerat tillgångar till företagsmolnmiljöer utan att tillämpa metodtipsen för säkerhet, vilket skapar ökad affärsrisk.

    När du har sett till att nya program och landningszoner följer rekommenderade säkerhetsmetoder bör du fokusera på att anpassa befintliga miljöer till samma standarder.

    Slutprodukter:

    • Se till att alla befintliga molnmiljöer och landningszoner uppfyller organisationens efterlevnads- och säkerhetskrav.

    • Testa driftsberedskap för produktionsdistributioner med hjälp av principer för säkerhetsbaslinjer.

    • Verifiera efterlevnaden av designvägledning och säkerhetskrav för säkerhetsbaslinjer.

    Vägledning för att stödja slutförande av slutprodukt:

    • Använd samma säkerhetsbaslinjer som du skapade i steg 4 som ditt idealtillstånd. Du kan behöva justera vissa principinställningar för att bara granska i stället för att framtvinga dem.

    • Balansera drift- och säkerhetsrisker. Eftersom dessa miljöer kan vara värdar för produktionssystem som möjliggör kritiska affärsprocesser kan du behöva implementera säkerhetsförbättringar stegvis för att undvika risk för driftstopp.

    • Prioritera identifiering och reparation av säkerhetsrisker efter affärskritiskhet. Börja med arbetsbelastningar som har stor inverkan på verksamheten om de komprometteras och arbetsbelastningar som har hög riskexponering.

    Mer information finns i Identifiera och klassificera affärskritiska program.


    Ansvarigt team Ansvarsfulla och stödjande team
  • Molnimplementeringsteam
  • Molnimplementeringsteam
  • Molnstrategiteam
  • Molnsäkerhetsteam
  • Molnstyrningsteam
  • Molncenter för excellens eller centralt IT-team
  • Steg 6: Styr för att hantera och förbättra säkerhetsstatusen

    Liksom alla moderna discipliner är säkerhet en iterativ process som bör fokusera på kontinuerlig förbättring. Säkerhetsstatus kan också förfalla om organisationer inte håller fokus på det över tid.

    Konsekvent tillämpning av säkerhetskrav kommer från sunda styrningsområden och automatiserade lösningar. När molnsäkerhetsteamet har definierat säkerhetsbaslinjerna bör dessa krav granskas för att säkerställa att de tillämpas konsekvent på alla molnmiljöer (och framtvingas i tillämpliga fall).

    Slutprodukter:

    • Se till att organisationens säkerhetsbaslinjer tillämpas på alla relevanta system. Granska avvikelser med hjälp av en säker poäng eller en liknande mekanism.

    • Dokumentera principer, processer och designvägledning för säkerhetsbaslinje i mallen säkerhetsbaslinjeområde.

    Vägledning för att stödja slutförande av slutprodukt:


    Ansvarigt team Ansvarsfulla och stödjande team
  • Molnstyrningsteam
  • Molnstrategiteam
  • Molnsäkerhetsteam
  • Molncenter för excellens eller centralt IT-team
  • Nästa steg

    Stegen i den här guiden har hjälpt dig att implementera den strategi, de kontroller, processer, färdigheter och den kultur som krävs för att konsekvent hantera säkerhetsrisker i hela företaget.

    När du fortsätter in i driftläget för molnsäkerhet bör du överväga följande nästa steg: