Säkerhet i Microsoft Cloud Adoption Framework för Azure

Precis som molnanpassning är en resa är molnsäkerhet också en pågående resa för inkrementell utveckling och mognad, inte ett statiskt mål.

Föreställ dig ett sluttillstånd för säkerhet

En resa utan ett mål blir bara ett planlöst irrande. Även om den här metoden så småningom kan leda till insikt, kräver affärsmål och begränsningar ofta fokus på mål och viktiga resultat.

Metoden Säker ger en vision om det fullständiga sluttillståndet som hjälper dig att förbättra ditt säkerhetsprogram över tid. Följande informationsgrafik innehåller en visuell mappning av de viktigaste sätten att integrera säkerhet med den större organisationen och säkerhetsdisciplinerna.

I Cloud Adoption Framework säkerhetsvägledning för den här säkerhetsresan genom att tillhandahålla tydlighet för processer, metodtips, modeller och upplevelser. Den här vägledningen baseras på erfarenheter och verkliga upplevelser från verkliga kunder, Microsofts säkerhetsresa och arbete med organisationer som NIST, The Open Group och Center for Internet Security (CIS).

Mappning till begrepp, ramverk och standarder

Själva säkerheten är både ett fristående organisationsdisciplin och ett kvalitets-/attribut som är integrerat eller överlagrat i andra discipliner, vilket gör det svårt att exakt definiera och mappa i detalj. Säkerhetsbranschen använder många olika ramverk för att fånga upp risker, planera kontroller och driva. Här är en snabb sammanfattning av hur disciplinerna i CAF Secure-metoden relaterar till andra säkerhetsbegrepp och vägledning:

• Noll förtroende: Microsoft anser att alla säkerhetsdiscipliner bör följa principerna för noll förtroende för förutsätter intrång,verifiera uttryckligenoch använda åtkomst med minsta behörighet. Dessa principer ligger till grund för en bra säkerhetsstrategi och måste även balanseras med målen för företagsutveckling. Den första och mest synliga delen av noll förtroende är i åtkomstkontroll, så den markeras i beskrivningen av säkerhetsdisciplin för åtkomstkontroll.

• Öppna gruppen: Dessa säkerhetsområden mappas nära till nollförtroendekomponenterna i huvudprinciperna white paper publicerats av The Open Group, där Microsoft aktivt deltar. Det enda viktiga undantaget är att Microsoft utökade innovationsområdet så att DevSecOps är ett toppnivåelement på grund av hur nytt, viktigt och transformerande detta område är för många organisationer.

• NIST-ramverket för cybersäkerhet: För organisationer som använder NIST-ramverket för cybersäkerhethar vi markerat fet text där ramverket bäst mappar. Modern åtkomstkontroll och DevSecOps mappas brett till hela spektrumet av ramverket, så dessa objekt anges inte individuellt.

Mappning till roller och ansvarsområden

Även om säkerhet är ett mycket tekniskt område är det först och främst ett mänskligt område som återspeglar den långa historiken för mänskliga konflikter (men uppdaterat för datorer och Internet). I följande diagram sammanfattas rollerna och ansvarsområdena i ett säkerhetsprogram.

Mer information finns i Molnsäkerhetsfunktioner.

Säkerhetsomvandling

När organisationer inför molnet upptäcker de snabbt att statiska säkerhetsprocesser inte kan hålla jämna steg med förändringar i molnplattformar, hotmiljön och utvecklingen av säkerhetstekniker. Säkerheten måste övergå till en ständigt växande metod för att matcha takten med den här ändringen som kommer att transformera organisationens kultur och dagliga processer i hela organisationen.

För att vägleda den här omvandlingen ger den här metoden vägledning om integrering av säkerhet med affärsprocesser (översta raden) och tekniska säkerhetsområden (nedersta raden). Dessa möjliggör tillsammans meningsfulla och hållbara framsteg på din säkerhetsresa för att minska organisationens risker. Få organisationer kan hantera alla dessa samtidigt, men alla organisationer bör stadigt mogna för varje process och disciplin.

Ändra drivrutiner

Säkerhetsorganisationer upplever två typer av större omvandlingar samtidigt

• Säkerhet som affärsrisk: Säkerheten har blivit allt större inom affärsriskhantering från ett rent tekniskt kvalitetsorienterat område. Detta drivs av dubbla styrkor av:
  • Digital omvandling: Ökningar i det digitala fotavtrycket ökar kontinuerligt organisationens potentiella angreppsyta
  • Hotlandskap: Ökning av attackvolym och sofistikerade angrepp som drivs av en industrialiserad attack ekonomi med särskilda kunskaper och kontinuerlig standardisering av attackverktyg och tekniker.
• Plattformsändring: Säkerheten fungerar också bra med en teknisk plattformsändring i molnet. Det här skiftet handlar om skalan för fabriker som övergår från att köra egna elektriska generatorer till att ansluta till ett elnät. Även om säkerhetsteam ofta har rätt grundläggande kunskaper, blir de överväldigade av ändringarna i nästan alla processer och tekniker som de använder varje dag.
• Skifta i förväntningar: Under de senaste tio åren har den digitala innovationen omdefinierat hela branscher. Affärsflexialitet, särskilt flexibilitet i samband med digital omvandling, kan snabbt ta bort en organisation som marknadsledare. På samma sätt kan förlust av konsumentförtroende ha en liknande inverkan på verksamheten. Även om det en gång var acceptabelt för säkerheten att börja med "nej" för att blockera ett projekt och skydda organisationen, måste angelägenheten med att använda digital omvandling ändra engagemangsmodellen till "låt oss prata om hur du ska vara säker samtidigt som du gör det som behövs för att hålla dig relevant".

Vägledande varaktig transformering

Att transformera hur affärs- och teknikteamen ser på säkerhet kräver att säkerheten anpassas nära prioriteringarna, processerna och riskramverket. Viktiga områden som driver framgång är

• Kultur: Säkerhetskulturen måste fokusera på att på ett säkert sätt uppfylla affärsverksamheten och inte på att göra det. Samtidigt måste säkerheten bli en normaliserad del av organisationens kultur eftersom internet som verksamheten verkar på är öppet, vilket gör att angripare kan försöka göra attacker när som helst. Den här kulturella förändringen kräver förbättrade processer, partnerskap och kontinuerligt ledningsstöd på alla nivåer för att kommunicera förändringen, modellera beteendet och stärka skiftet.
• Riskägarskap: Ansvaret för säkerhetsrisker bör tilldelas till samma roller som äger alla andra risker, vilket frigör säkerheten så att den blir en betrodd rådgivare och ämnesexpert i stället för en syndabock. Säkerheten bör vara ansvarig för goda och balanserade råd som förmedlas på språk av dessa ledare, men bör inte hållas ansvariga för beslut som de inte äger.
• Säkerhetsbegåvningar: Säkerhetstalanger är i en allt större bristning och organisationer bör alltid planera hur de bäst ska utveckla och distribuera säkerhetskunskaper och färdigheter. Förutom att öka säkerhetsteamen direkt med tekniska säkerhetsfärdighetsuppsättningar utökar mogna säkerhetsteam sin strategi genom att fokusera på
  • Växande säkerhetsfärdighetsuppsättningar och kunskap inom befintliga team inom IT och verksamheten. Detta är särskilt viktigt för DevOps-team med en DevSecOps-metod och kan ha många former (till exempel en säkerhetshjälpavdelning, identifiera och utbildare i communityn eller jobbväxlingsprogram).
  • Att rekrytera olika kompetensuppsättningar till säkerhetsteam för att få nya perspektiv och ramverk till problem (t.ex. företag, mänskliga relationer eller ekonomi) och skapa bättre relationer i organisationen. Alla problem ser ut som ett problem.

Anpassning av verksamheten

På grund av dessa förändringar bör molnanpassningsprogrammet fokusera mycket på affärsanpassning i tre kategorier

• Riskinsikter: Anpassa och integrera säkerhetsinsikter och risksignaler/källor till affärsinitiativen. Se till att repeterbara processer utbildar alla team i tillämpningen av dessa insikter och håll teamen ansvariga för förbättringar.
• Säkerhetsintegrering: Integrera säkerhetskunskaper, färdigheter och insikter djupare i den dagliga driften av verksamheten och IT-miljön via repeterbara processer och djup partnerskap på alla nivåer i organisationen.
• Operativ återhämtning: Fokusera på att säkerställa att organisationen är motståndskraftig genom att kunna fortsätta driften under en attack (även om den är i ett degraderat tillstånd) och att organisationen snabbt kommer tillbaka till full drift.

Säkerhetsområden

Den här omvandlingen påverkar varje säkerhetsdisciplin på olika sätt. Även om var och en av dessa spelare är mycket viktig och kräver investeringar, sorteras dessa (ungefär) efter vilka som har de mest omedelbara möjligheterna för snabba vinster när du använder molnet:

• Åtkomstkontroll: Tillämpning av nätverk och identitet skapar åtkomstgränser och segmentering för att minska frekvensen och räckvidden för eventuella säkerhetsöverträdelser
• Säkerhetsåtgärder: Övervaka IT-åtgärder för att identifiera, svara och återställa från intrång. Använda data för att kontinuerligt minska risken för intrång
• Tillgångsskydd: Maximera skyddet av alla tillgångar (infrastruktur, enheter, data, program, nätverk och identiteter) för att minimera risken för den övergripande miljön
• Säkerhetsstyrning: Delegerade beslut påskyndar innovationen och medför nya risker. Övervaka beslut, konfigurationer och data för att styra beslut som fattas i miljön och inom alla arbetsbelastningar i portföljen.
• Innovationssäkerhet: När en organisation inför DevOps-modeller för att öka innovationstakten måste säkerheten bli en viktig del av en DevSecOps-process och integrera säkerhetsexpertis och resurser direkt i den här höghastighetscykeln. Detta innebär att vissa beslut flyttas från centraliserade team för att ge arbetsbelastningsfokuserade team.

Riktlinjer

Alla säkerhetsaktiviteter bör anpassas till och formas av dubbel fokus på

• Företagsaktivering: Anpassa till organisationens affärsmål och riskramverk
• Säkerhetsgaranti: Fokuserar på att tillämpa noll förtroendeprinciper för
  • Anta intrång: När du utformar säkerheten för en komponent eller ett system minskar du risken för att angripare utökar åtkomsten genom att anta att andra resurser i organisationen komprometteras
  • Explicit verifiering: Verifiera förtroende explicit med hjälp av alla tillgängliga datapunkter i stället för att förutsätta förtroende. I åtkomstkontroll kan du till exempel verifiera användaridentitet, plats, enhetens hälsotillstånd, tjänst eller arbetsbelastning, dataklassificering och avvikelser, i stället för att helt enkelt tillåta åtkomst från ett implicit betrott internt nätverk.
  • Minst privilegierad åtkomst: Begränsa risken för en komprometterad användare eller resurs genom att tillhandahålla JIT/JEA (just-in-enough-access), riskbaserade anpassningsbara principer och dataskydd för att skydda både data och produktivitet.

Relaterade resurser

Metoden Säker är en del av en omfattande uppsättning säkerhetsvägledning som även omfattar:

• Azure Well-Architected Framework:Vägledning om hur du skyddar dina arbetsbelastningar i Azure.
• Prestandatest för Azure-säkerhet:Normativa metodtips och kontroller för Azure-säkerhet.
• Landningszon i företagsskala: Azure-referensarkitekturoch implementering med integrerad säkerhet.
• De 10 bästa säkerhetsmetodernaför Azure: De bästa säkerhetsmetoderna i Azure som Microsoft rekommenderar baserat på lärdomar från kunder och våra egna miljöer.