Styrning, risk och efterlevnad
- Skapa en landningszon för arbetsbelastningen. Infrastrukturen måste ha lämpliga kontroller och vara upprepningsbar för varje distribution.
- Framtvinga skapande och borttagning av tjänster och deras konfiguration via Azure-principer.
- Säkerställ konsekvens i hela företaget genom att tillämpa principer, behörigheter och taggar för alla prenumerationer genom noggrann implementering av rothanteringsgruppen.
- Förstå regelkrav och driftdata som kan användas för granskningar.
- Övervaka och utvärdera arbetsbelastningens efterlevnad kontinuerligt. Utför regelbundna attesteringar för att undvika torer.
- Granska och tillämpa rekommendationer från Azure.
- Åtgärda grundläggande säkerhetsrisker för att hålla angriparens kostnader höga.
Innehåll i det här avsnittet
Följ dessa frågor för att utvärdera arbetsbelastningen på en djupare nivå.
| Utvärdering | Description |
|---|---|
| Finns det några regelkrav för den här arbetsbelastningen? | Förstå alla regelkrav. I Microsoft Trust Center hittar du den senaste informationen, de senaste nyheterna och metodtipsen för säkerhet, sekretess och efterlevnad. |
| Använder organisationen en landningszon för den här arbetsbelastningen? | Överväg de säkerhetskontroller som placeras i infrastrukturen där arbetsbelastningen ska distribueras. |
| Har du en segmenteringsstrategi? | Referensmodell och strategier för hur funktioner och team kan segmenteras. |
| Använder du hanteringsgrupper som en del av segmenteringsstrategin? | Strategier som använder hanteringsgrupper för att hantera resurser i flera prenumerationer konsekvent och effektivt. |
| Vilka säkerhetskontroller har du för åtkomst till Azure-infrastrukturen? | Vägledning om hur du minskar riskexponeringen i omfattning och tid när du konfigurerar konton med kritisk påverkan, till exempel administratörer. |
Benchmark för Azure-säkerhet
Azure Security Benchmark innehåller en samling säkerhetsrekommendationer med hög inverkan som du kan använda för att skydda de tjänster som du använder i Azure:
Frågorna i det här avsnittet är anpassade till dessa kontroller:
Referensarkitektur
Här är några referensarkitekturer relaterade till styrning:
Cloud Adoption Framework arkitektur för landningszoner i företagsskala
Nästa steg
Ge säkerhetskontroll genom identitetshantering för att autentisera och bevilja behörighet till användare, partner, kunder, program, tjänster och andra entiteter.
Relaterade länkar
Gå tillbaka huvudartikeln: Säkerhet
Som en del av den övergripande designen bör du prioritera var du vill investera de tillgängliga resurserna. ekonomi, människor och tid. Begränsningar för dessa resurser påverkar även säkerhetsimplementering i hela organisationen. För att uppnå lämplig ROI på säkerheten måste organisationen först förstå och definiera sina säkerhetsprioriteringar.
Styrelseformer: Hur ska organisationens säkerhet övervakas, granskas och rapporteras? Design och implementering av säkerhetskontroller i en organisation är bara början på berättelsen. Hur vet organisationen att saker faktiskt fungerar? Förbättras de? Finns det nya krav? Finns det obligatorisk rapportering? På liknande sätt som efterlevnad kan det finnas externa bransch-, myndighets- eller regelstandarder som måste beaktas.
Risk: Vilka typer av risker står organisationen inför vid försök att skydda identifierbar information, immateriell egendom (IP), ekonomisk information? Vem kan vara intresserad eller kan använda den här informationen om den blir stulen, inklusive externa och interna hot samt oavsiktliga eller skadliga? En ofta bortglömd men mycket viktig faktor inom risk är att hantera haveriberedskap och affärskontinuhet.
Överensstämmelse: Finns det specifika bransch-, myndighets- eller regelkrav som dikterar eller ger rekommendationer om kriterier som organisationens säkerhetskontroller måste uppfylla? Exempel på sådana standarder, organisationer, kontroller och lagstiftning är ISO27001,NIST,PCI-DSS.
Den samlade rollen för organisationer är att hantera organisationens säkerhetsstandarder under hela livscykeln:
Definiera: Ange organisationsprinciper för drift, teknik och konfigurationer baserat på interna faktorer (affärskrav, risker, tillgångsutvärdering) och externa faktorer (benchmarks, regelstandarder, hotmiljö).
Förbättra: Kontinuerligt gå dessa standarder inkrementellt framåt mot det idealiska tillståndet för att säkerställa kontinuerlig riskminskning.
Upprätthålla: Se till att säkerhetsstatusen inte försämras naturligt med tiden genom att granska och övervaka efterlevnaden av organisationens standarder.
Prioritera investeringar i säkerhetsmetoder
Bästa praxis för säkerhet tillämpas helst proaktivt och fullständigt på alla system när du skapar ditt molnprogram, men detta är inte verklighet för de flesta företagsorganisationer. Affärsmål, projektbegränsningar och andra faktorer gör ofta att organisationer balanserar säkerhetsrisker mot andra risker och tillämpar en delmängd av bästa praxis vid en given tidpunkt.
Vi rekommenderar att du använder så många av metodtipsen som möjligt och sedan arbetar för att efteranpassa eventuella luckor över tid när du mognar ditt säkerhetsprogram så att det omfattar granskning, prioritering och proaktiv tillämpning av bästa praxis för molnresurser. Vi rekommenderar att du utvärderar följande överväganden när du prioriterar vilka du ska följa först:
Stor påverkan på verksamheten och hög exponerade system: Dessa omfattar system med direkt inbyggda värden samt de system som ger angripare en väg till dem. Mer information finns i Identifiera och klassificera affärskritiska program.
Enklast att implementera åtgärder: Identifiera snabba vinster genom att prioritera bästa praxis som din organisation kan köra snabbt eftersom du redan har de kunskaper som krävs för att göra det (till exempel implementera en brandvägg för webbaserade appar (WAF) för att skydda ett äldre program). Var noga med att inte enbart använda (eller överanvända) den här kortsiktiga prioriteringsmetoden. Om du gör det kan du öka risken genom att förhindra att programmet växer och att kritiska risker exponeras under längre perioder.
Microsoft har angett några prioriterade listor med säkerhetsinitiativ som hjälper organisationer att börja med dessa beslut baserat på vår erfarenhet av hot och åtgärdsinitiativ i våra egna miljöer och bland våra kunder. Se Modul 4a i Microsoft CISO Workshop.
Checklista
Vilka överväganden för efterlevnad och styrning har du gjort?