Säkerhet i Microsoft Cloud Adoption Framework för Azure

Precis som molnimplementering är en resa är molnsäkerhet en pågående resa med inkrementell utveckling och mognad, inte ett statiskt mål.

Föreställ dig ett säkerhetssluttillstånd

En resa utan ett mål blir bara ett planlöst irrande. Den här metoden kan så småningom leda till upplysning, men affärsmål och begränsningar kräver ofta fokus på mål och viktiga resultat.

Metoden Säker ger en vision om det fullständiga sluttillståndet, som vägleder förbättringen av ditt säkerhetsprogram över tid. Följande visuella objekt mappar de viktigaste sätten som säkerhet integrerar med en större organisation och visar säkerhetsområdet.

Visuellt objekt som visar CAF Secure-metodikens affärsjustering och säkerhetsdiscipliner.

Den Cloud Adoption Framework vägleder den här säkerhetsresan genom att ge klarhet i processerna, metodtipsen, modellerna och upplevelserna. Den här vägledningen baseras på lärdomar och verkliga upplevelser för verkliga kunder, Microsofts säkerhetsresa och arbete med organisationer som NIST, The Open Group och Center for Internet Security (CIS).

Följande video visar hur metoden Säker hjälper till att vägleda säkerhetsförbättringar över tid.

Mappa till begrepp, ramverk och standarder

Säkerhet är ett fristående organisationsområde och ett attribut som är integrerat eller överlagrat i andra områden. Det är svårt att exakt definiera och mappa i detalj. Säkerhetsbranschen använder olika ramverk för att hantera, fånga upp risker och planera kontroller. Områdena i CAF Secure-metoden relaterar till andra säkerhetsbegrepp och vägledning på följande sätt:

  • Nolltillit: Microsoft anser att alla säkerhetsdiscipliner bör följa Nolltillit principer, som förutsätter intrång, verifierar uttryckligen och använder åtkomst med lägsta behörighet. Dessa principer ligger till grund för alla sunda säkerhetsstrategier och måste balanseras med målen för affärsaktivering . Den första och mest synliga delen av Nolltillit är i åtkomstkontroll, så den är markerad i beskrivningen av säkerhetsområdet för åtkomstkontroll.

  • Den öppna gruppen: Dessa säkerhetsdiscipliner mappar nära de Nolltillit komponenterna i vitboken grundprinciper som publicerats av The Open Group där Microsoft aktivt deltar. Ett viktigt undantag är att Microsoft har utökat innovationssäkerheten så att DevSecOps är en viktig del på grund av hur nytt, viktigt och omvälvande det här området är för många organisationer.

  • NIST-ramverket för cybersäkerhet: För organisationer som använder NIST-cybersäkerhetsramverket har vi markerat fet text där ramverket bäst mappar. Modern åtkomstkontroll och DevSecOps mappar brett till hela spektrumet av ramverket, så dessa objekt noteras inte individuellt.

Mappa till roller och ansvarsområden

I följande diagram sammanfattas roller och ansvarsområden i ett säkerhetsprogram.

Diagram över ett företags säkerhetsteams ansvarsområden och funktioner.

Mer information finns i Molnsäkerhetsfunktioner.

Säkerhetstransformering

När organisationer implementerar molnet upptäcker de snabbt att statiska säkerhetsprocesser inte kan hålla jämna steg med förändringstakten i molnplattformar, hotmiljön och utvecklingen av säkerhetstekniker. Säkerheten måste övergå till en ständigt växande metod för att matcha takt med den här ändringen. Den transformerar organisationens kultur och dagliga processer i hela organisationen.

Den här metoden vägleder integreringen av säkerhet med affärsprocesser och tekniska säkerhetsdiscipliner. Dessa processer och discipliner möjliggör meningsfulla och hållbara framsteg på din säkerhetsresa för att minska organisationens risker. Få organisationer kan fullända alla dessa metoder på en gång, men alla organisationer bör stadigt mogna varje process och disciplin.

Ändra drivrutiner

Säkerhetsorganisationer upplever två typer av större omvandlingar samtidigt.

  • Säkerhet som en affärsrisk: Säkerheten har drivits in i verksamhetens riskhantering från ett rent tekniskt kvalitetsorienterat område. De dubbla krafter som driver säkerhet är:
    • Digital omvandling: Det digitala fotavtrycket ökar kontinuerligt organisationens potentiella attackyta.
    • Hotlandskap: Ökningar av attackvolym och sofistikering som drivs av en industrialiserad attackekonomi med specialiserade färdigheter och kontinuerlig råvaruanpassning av attackverktyg och -tekniker.
  • Plattformsändring: Säkerheten brottas med en teknisk plattformsändring i molnet. Detta skifte är på skalan av fabriker som skiftar från att köra sina egna elektriska generatorer till att ansluta till ett elnät. Säkerhetsteam har ofta rätt grundläggande färdigheter, men de blir överväldigade av förändringarna i nästan alla processer och tekniker de använder varje dag.
  • Förskjutning i förväntningar: Under det senaste decenniet har digital innovation omdefinierat hela branscher. Affärsflexialitet, särskilt flexibilitet i samband med digital omvandling, kan snabbt ta bort en organisation som marknadsledare. Förlust av konsumentförtroende kan ha en liknande effekt på verksamheten. Det var en gång acceptabelt att säkerheten började med "nej" för att blockera ett projekt och skydda organisationen. Nu måste brådskan med att omfamna digital omvandling ändra engagemangsmodellen till "låt oss prata om hur man håller sig säker medan du gör vad som behövs för att hålla dig relevant.".

Guide för varaktig omvandling

För att transformera hur affärs- och teknikteamen ser på säkerheten måste säkerheten anpassas till prioriterings-, process- och riskramverket. Viktiga områden som driver framgång är:

  • Kultur: Säkerhetskulturen måste fokuseras på att på ett säkert sätt uppfylla affärsuppdraget, inte hindra det. Säkerheten måste bli en normaliserad del av organisationens kultur. Internet, där företaget är verksamt, är öppet och tillåter angripare att när som helst försöka attackera. Detta kulturella skifte kräver förbättrade processer, partnerskap och kontinuerligt ledarskapsstöd på alla nivåer för att kommunicera förändringen, modellera beteendet och förstärka skiftet.
  • Riskägarskap: Ansvarstagandet för säkerhetsrisker bör tilldelas till samma roller som äger alla andra risker. Detta ansvar frigör säkerhet för att vara en betrodd rådgivare och ämnesexpert snarare än en syndabock. Säkerhet bör ansvara för sunda och balanserade råd som kommuniceras på dessa ledares språk, men som inte bör hållas ansvariga för beslut som de inte äger.
  • Säkerhetstalanger: Säkerhetstalanger är i kronisk brist och organisationer bör planera hur man bäst utvecklar och distribuerar säkerhetskunskaper och färdigheter. Förutom att utöka säkerhetsteamen direkt med tekniska säkerhetskunskaper diversifierar mogna säkerhetsteam sin strategi genom att fokusera på:
    • Växande säkerhetskunskaper och kunskap inom befintliga team inom IT och inom verksamheten. Dessa kunskaper är särskilt viktiga för DevOps-team med en DevSecOps-metod. Färdigheterna kan ta många former, till exempel en säkerhetshjälpavdelning, identifiera och utbilda mästare i samhället eller jobbbytesprogram.
    • Att rekrytera olika kompetensuppsättningar till säkerhetsteam för att ge nya perspektiv och ramverk till problem (som affärer, mänsklig psykologi eller ekonomi) och bygga bättre relationer inom organisationen.

Anpassning av verksamheten

På grund av dessa förändringar bör molnimplementeringsprogrammet fokusera mycket på affärsanpassning i tre kategorier:

  • Riskinsikter: Anpassa och integrera säkerhetsinsikter och risksignaler eller källor i affärsinitiativen. Se till att repeterbara processer utbildar team om tillämpningen av dessa insikter och håll teamen ansvariga för förbättringar.
  • Säkerhetsintegrering: Integrera säkerhetskunskaper, färdigheter och insikter i verksamhetens och IT-miljöns dagliga drift. Införliva repeterbara processer och djup partnerskap på alla nivåer i organisationen.
  • Operativ återhämtning: Se till att organisationen är motståndskraftig genom att fortsätta åtgärder under en attack (även om den är i ett degraderat tillstånd). Organisationen bör snabbt återgå till full drift.

Säkerhetsområden

Den här omvandlingen påverkar varje säkerhetsområde på olika sätt. Var och en av dessa discipliner är viktig och kräver investeringar. Följande områden är ordnade (ungefär) efter vilka som har de mest omedelbara möjligheterna till snabba vinster när du börjar använda molnet:

  • Åtkomstkontroll: Tillämpningen av nätverk och identitet skapar åtkomstgränser och segmentering för att minska frekvensen och räckvidden för säkerhetsöverträdelser.
  • Säkerhetsåtgärder: Övervaka IT-åtgärder för att identifiera, svara och återställa efter ett intrång. Använd data för att kontinuerligt minska risken för ett intrång.
  • Tillgångsskydd: Maximera skyddet av tillgångar, till exempel infrastruktur, enheter, data, program, nätverk och identiteter, för att minimera risken för den övergripande miljön.
  • Säkerhetsstyrning: Delegerade beslut påskyndar innovationen och medför nya risker. Övervaka beslut, konfigurationer och data för att styra beslut som fattas i miljön och inom arbetsbelastningar i hela portföljen.
  • Innovationssäkerhet: När en organisation implementerar DevOps-modeller för att öka innovationstakten måste säkerheten bli en integrerad del av en DevSecOps-process. Integrera säkerhetsexpertis och resurser direkt i den här höghastighetscykeln. Den här processen innebär att vissa beslut flyttas från centraliserade team till att ge arbetsbelastningsfokuserade team möjlighet.

Riktlinjer

Säkerhetsaktiviteter bör anpassas till och formas av ett dubbelt fokus på:

  • Affärsaktivering: Anpassa till organisationens affärsmål och riskramverk.
  • Säkerhetsgarantier: Fokusera på att tillämpa Nolltillit principer, som är:
    • Anta intrång: När du utformar säkerhet för en komponent eller ett system minskar du risken för att en angripare utökar åtkomsten genom att anta att andra resurser i organisationen komprometteras.
    • Explicit verifiering: Verifiera förtroendet explicit med hjälp av alla tillgängliga datapunkter i stället för att anta förtroende. I åtkomstkontroll verifierar du till exempel användaridentitet, plats, enhetens hälsa, tjänst eller arbetsbelastning, dataklassificering och avvikelser, i stället för att tillåta åtkomst från ett implicit betrott internt nätverk.
    • Minst privilegierad åtkomst: Begränsa risken för en komprometterad användare eller resurs genom att tillhandahålla just-in-time och just-enough-access (JIT/JEA), riskbaserade anpassningsbara principer och dataskydd för att skydda data och produktivitet.

Nästa steg

Metoden Säker ingår i en omfattande uppsättning säkerhetsvägledning som även omfattar: