İdare, risk ve uyum

  • Makale
  • Okumak için 3 dakika
  • İş yükü için bir giriş bölgesi oluşturun. Altyapı uygun denetimlere sahip olmalı ve her dağıtımda yinelenebilir olmalıdır.
  • Hizmetleri ve yapılandırmalarını Azure Ilkeleri aracılığıyla oluşturmayı ve silmeyi zorunlu tutun.
  • Kök yönetim grubunun dikkatle uygulanması sayesinde tüm aboneliklerde ilkeler, izinler ve Etiketler uygulayarak kuruluş genelinde tutarlılık sağlayın.
  • Denetimler için kullanılabilecek mevzuat gereksinimlerini ve işletimsel verileri anlayın.
  • İş yükünüzün uyumluluğunu sürekli olarak izleyip değerlendirin. Fines 'yi önlemek için normal belirlediğimizi karşıladığımızı gerçekleştirin.
  • Azure 'daki önerileri gözden geçirin ve uygulayın.
  • Saldırgan maliyetlerini yüksek tutmak için temel güvenlik açıklarını düzeltin.

Bu bölümde

Daha derin bir düzeyde iş yükünü değerlendirmek için bu soruları izleyin.

Değerlendirme Description
Bu iş yükü için herhangi bir düzenleme gereksinimi var mı? Tüm mevzuat gereksinimlerini anlayın. Güvenlik, gizlilik ve uyumlulukla ilgili en son bilgiler, Haberler ve en iyi uygulamalar için Microsoft Güven Merkezi ' ne bakın.
Kuruluş bu iş yükü için bir giriş bölgesi kullanıyor mu? İş yükünün dağıtılacağı altyapıya yerleştirilmiş güvenlik denetimlerini göz önünde bulundurun.
Bir segmentasyon stratejiniz var İşlevlerin ve takımların nasıl bölümlenebilir olduğu başvuru modeli ve stratejileri.
Segmentleme stratejinizin bir parçası olarak Yönetim gruplarını kullanıyor musunuz? Kaynakları sürekli ve verimli bir şekilde yönetmek için Yönetim gruplarını kullanan stratejiler.
Azure altyapısına erişim için hangi güvenlik denetimlerini kullanıyorsunuz? Yöneticiler gibi kritik etki hesaplarını yapılandırırken kapsamda ve zamanda risk etkilenme riskini azaltmaya yönelik yönergeler.

Azure Güvenlik kıyaslaması

Azure Güvenlik kıyaslaması, Azure 'da kullandığınız hizmetlerin güvenliğini sağlamaya yardımcı olmak için kullanabileceğiniz yüksek etkili güvenlik önerileri koleksiyonu içerir:

Güvenlik kıyaslaması Bu bölümdeki sorular şu denetimlere hizalanır:

Başvuru mimarisi

İdare ile ilgili bazı başvuru mimarileri aşağıda verilmiştir:

Bulut benimseme çerçevesi kurumsal ölçekli giriş Bölgesi mimarisi

Sonraki adımlar

Kimlik doğrulaması yapmak ve kullanıcılara, iş ortakları, müşteriler, uygulamalar, hizmetler ve diğer varlıklar için izin vermek üzere kimlik yönetimi aracılığıyla güvenlik güvencesi sağlayın.

Kimlik ve erişim yönetimi

Ana makaleye geri dönün: güvenlik

Genel tasarımın bir parçası olarak, kullanılabilir kaynakların nereye yatıracağını önceliklendirin; Finans, kişiler ve zaman. Bu kaynaklardaki kısıtlamalar Ayrıca kuruluş genelinde güvenlik uygulamasını da etkiler. Güvenlik konusunda uygun bir yatırım getirisi elde etmek için kuruluşun öncelikle güvenlik önceliklerini anlaması ve tanımlanması gerekir.

  • İdare: Kuruluşun güvenliği izlenecek, denetlenen ve bildirilecek. Kuruluş içindeki güvenlik denetimlerinin tasarımı ve uygulanması yalnızca hikayenin başlangıcıdır. Kuruluş işlerin gerçekten çalıştığını nasıl bilir? Şunları geliştirsin mi? Yeni gereksinimler var mı? Zorunlu raporlama var mı? Uyumluluğa benzer şekilde, göz önünde bulundurulması gereken harici sektör, kamu veya yönetmelik standartları olabilir.

  • Risk: Kuruluş, tanımlanabilen bilgileri, fikri mülkiyet (IP) ve finansal bilgileri korumaya çalışırken ne tür riskler sağlar? Who, dış ve iç tehditler ve yanlışlıkla ya da kötü amaçlı olarak çalınırsa bu bilgileri ilgileniyor veya kullanabilir mi? Yaygın olarak unutulmuş ancak risk içinde önemli bir göz önüne alınması, olağanüstü durum kurtarma ve Iş devamlılığını ele alıyor.

  • Uyumluluk: Kuruluşunuzun güvenlik denetimlerinin karşılaması gereken ölçütlere göre öneri sağlayan belirli bir sektör, devlet veya yasal gereksinim var mı? Bu standartlar, kuruluşlar, denetimler ve yasalların örnekleri ISO27001, NIST, PCI-DSS' dir.

Kuruluşun toplu rolü, kuruluşun güvenlik standartlarını yaşam döngülerinde yönetdir:

  • Tanımla: İşlemler, teknolojiler ve yapılandırmalara yönelik kurumsal ilkeleri, iç faktörlere (iş gereksinimleri, riskler, varlık değerlendirmesi) ve dış faktörleri (kıyaslamalar, mevzuat standartları, tehdit ortamı) temel alarak ayarlayın.

  • Geliştirme: Sürekli risk azaltmayı sağlamak için bu standartları sürekli olarak ideal duruma doğru bir şekilde gönderin.

  • Dayana: Güvenlik duruşun, kurumsal standartlarla instituting denetleme ve izleme uyumluluğu ile zaman içinde doğal olarak azalmayacağından emin olun.

En iyi güvenlik uygulamaları yatırımlarının önceliklerini belirleme

En iyi güvenlik uygulamaları, bulut programınızı oluşturduğunuz sürece ideal ve tamamen tüm sistemlere uygulanır, ancak bu, kurumsal kuruluşların çoğu için gerçeksiz değildir. İş hedefleri, proje kısıtlamaları ve diğer faktörler genellikle kuruluşların diğer risklere karşı güvenlik riskini dengeleyebilmesinin yanı sıra verilen herhangi bir noktada en iyi yöntemlerin bir alt kümesini uygular.

En iyi uygulamalardan olabildiğince erken uygulanması önerilir ve daha sonra, bulut kaynaklarına en iyi uygulamaları gözden geçirme, öncelik verme ve proaktif uygulamalar dahil olmak üzere güvenlik programınızı bulundurmadığımızda zaman içindeki boşlukları geriye doğru sığdırmayı öneririz. İlk olarak hangi işlemleri izleyeceğinizi önceliklendirmede aşağıdaki noktalara dikkat etmeniz önerilir:

  • Yüksek iş etkisi ve yüksek oranda sunulan sistemler: Bunlar, doğrudan iç değer içeren sistemleri ve saldırganlar için bir yol sağlayan sistemleri içerir. Daha fazla bilgi için bkz. iş açısından kritik uygulamaları tanımlayarak ve sınıflandırın.

  • Azaltıcı etkenleri uygulamak Için en kolay: Kuruluşunuzun hızla yürütebileceği en iyi yöntemleri önceliklendirerek hızlı WINS 'i belirleme (örneğin, eski bir uygulamayı korumak için bir Web uygulaması güvenlik duvarı (WAF) uygulama). Bu kısa dönem öncelik belirleme yöntemini (veya aşırı kullanım) özel olarak kullanmamaya dikkat edin. Bunun yapılması, programınızın genişletilmiş dönemler için sunulan kritik riskleri büyütmesini ve bu riskleri aşmasını önlemek için riskinizi artırabilir.

Microsoft, kuruluşların kendi ortamlarımızda ve müşterilerimiz genelinde tehditler ve risk azaltma girişimleri konusunda deneyimimizi temel alarak bu kararlarla başlamasını sağlamak için bazı önceliklendirilmiş güvenlik girişimleri listeleri sağladı. Bkz. Microsoft CISO atölyünModül 4A .

Denetim Listesi

Uyumluluk ve idare için hangi noktalara dikkat etmeniz gerekir?