Azure için Microsoft Bulut benimseme çerçevesindeki güvenlik

Bulut benimseme bir yolculukta olduğu gibi, bulut güvenliği de bir statik hedef değil, artımlı ilerleme ve vadede devam eden bir yolculuktu.

Güvenlik uç durumunu zenginedin

Hedefi olmayan bir yolculuk amaçsızca gezinmektir. Bu yaklaşım sonunda, iş amaçları ve kısıtlamaları genellikle amaçlar ve önemli sonuçlar üzerinde yoğunlaşmayı gerektirir.

Güvenli metodoloji, güvenlik programınızın zaman içinde gelişmesini sağlayan, tüm son durumu gösterir. Aşağıdaki Infographic, güvenliğin daha büyük bir kuruluşla ve güvenlik içindeki disiplinlerle tümleştiği önemli yollarla ilgili görsel eşleme sağlar.

Bulut benimseme çerçevesi, süreçler, en iyi uygulamalar, modeller ve deneyimler için açıklık sunarak bu güvenlik yolculuğuna yönelik güvenlik kılavuzu sağlar. Bu kılavuz, gerçek müşterilerin karşılaştığı ve gerçek dünya deneyimlerine, Microsoft 'un güvenlik yolculuğuna ve NıST, açık grup ve Internet güvenliği Için Merkez (CIS)gibi kuruluşlarla birlikte çalışan derslere dayalıdır.

Kavramlar, çerçeveler ve standartlara eşleme

Güvenlik, hem tek başına bir kurumsal disiplin hem de diğer disiplinlere entegre veya üzerine yerleştirilmiş bir kalite/özniteliktir Güvenlik sektörü, riskleri yakalamak, denetimleri planlamak ve çalıştırmak için birçok farklı çerçeve kullanır. CAF güvenli metodolojisinin diğer güvenlik kavramlarıyla ve kılavuzlarıyla nasıl ilişkilendirilebileceğine ilişkin hızlı bir özet aşağıda verilmiştir:

• Sıfır güveni: Microsoft tüm güvenlik disiplinler, ihlal varsaymak, açıkça doğrulamakve en az ayrıcalık erişimi kullanmakiçin sıfır-güven ilkelerini izlemelidir. Bu ilkeler herhangi bir ses güvenlik stratejisini sabitleyebilir ve ayrıca iş etkinleştirme hedefleri ile dengelenmesi gerekir. Sıfır güveninin ilk ve en görünür bölümü Access Control ' de olduğundan erişim denetimi güvenlik disiplini açıklamasında vurgulanır.

• Açık Grup: Bu güvenlik disiplinler, Microsoft 'un etkin olarak katıldığı açık grup tarafından yayınlanan temel ilkeler teknik incelemesindeki sıfır güvenle benzer bileşenlere yakın şekilde eşlenir. Tek bir önemli özel durumu, Microsoft 'un yenilik güvenlik disiplinini yükselttiğinden, bu disiplin yeni, önemli ve dönüştürülebilir birçok kuruluşa ait olduğu için, devsecops 'nin en üst düzey bir öğe olması gerekir.

• NIST siber güvenlik çerçevesi:NIST siber güvenlik çerçevesinikullanan kuruluşlar için, çerçevenin en yakından eşlendiği kalın metni vurguladık. Modern erişim denetimi ve DevSecOps, bu öğelerin ayrı ayrı belirtilmediği bir şekilde çerçeve için eksiksiz bir şekilde.

Rollere ve sorumluluklara eşleme

Güvenlik, yüksek düzeyde teknik bir uzmanlık alanı olsa da, bu ilk olarak, insan 'nin uzun vadede (bilgisayarlar ve internet için güncelleştirilmiş) insan disiplinini yansıtıcı bir şekilde yansıtasıdır. Aşağıdaki diyagramda bir güvenlik programındaki roller ve sorumluluklar özetlenmektedir.

Daha fazla bilgi için bkz. bulut güvenlik işlevleri.

Güvenlik dönüştürmesi

Kuruluşlar bulutu benimsediklerinde, statik güvenlik işlemlerinin bulut platformları, tehdit ortamı ve güvenlik teknolojilerinin gelişiminde değişiklik hızlarıyla birlikte kalamazlar. Güvenlik, kuruluş genelinde kurumsal kültür ve günlük süreçler dönüştüren bu değişiklik ile bir adım eşleşmesi için sürekli olarak gelişen bir yaklaşıma uymalıdır.

Bu dönüşüme kılavuzluk etmek için, bu metodolojide iş süreçleriyle (üst satır) ve güvenlik teknik disiplinlerine (alt satır) güvenlik tümleştirmesi hakkında rehberlik sağlanır. Bunlar toplu olarak, kurumsal riski azaltmak için güvenlik yolculuğunda anlamlı ve sürdürülebilir bir ilerlemeyi etkinleştirir. Birkaç kuruluş bunların tümünü tek seferde bir kez oluşturabilir, ancak tüm kuruluşların her işlem ve disiplin artmasıyla olması gerekir.

Sürücüleri değiştirme

Güvenlik kuruluşları, aynı anda iki tür ana dönüşümte karşılaşıyor

• İş riski olarak güvenlik: Güvenlik, yalnızca teknik kalite odaklı bir disiplin iş risk yönetimi bölgesine eklenmiştir. Bu, ' nin ikili güçleri tarafından çalıştırılır:
  • Dijital dönüşüm: Dijital parmak izindeki artışlar, kuruluşun olası saldırı yüzeyini sürekli olarak arttırır
  • Tehdit yatay: , Özel yetenekler ve sürekli saldırı araçları ve teknikleri sayesinde bir industrialized saldırısı ekonomisi tarafından gerçekleştirilen saldırı hacminde ve gelişmiş algoritmaların mümkündür artar.
• Platform değişikliği: Güvenlik, buluta yönelik bir teknik Platform değişikliğine de sahiptir. Bu kaydırma, bir elektrik kılavuzuna takmak üzere kendi elektrik oluşturucularını çalıştırmaya geçiş yaparak değişen fabrikaların ölçeğini aşacak. Güvenlik ekipleri genellikle doğru temel becerilerle karşılaşsa da, neredeyse her işlem ve teknolojide her gün kullandıkları değişikliklere göre çok daha fazla hale geliyor.
• Beklentiler halinde kaydırma: Son yılda, dijital yenilik sektörlerin tamamını yeniden tanımlamıştır. Özellikle dijital dönüşüme ilişkin çeviklik iş çevikliği, bir kuruluşun pazara lideri olarak hızlı bir şekilde yeniden kullanılabilir. Benzer şekilde, tüketici güveni kaybı da işletmeden benzer bir etkiye sahip olabilir. "Hayır" seçeneğiyle bir projeyi engellemek ve organizasyonu korumak için güvenlik için bir kez daha kabul edilebilir olsa da, dijital dönüşüm kullanmanın aciliyet 'i, katılım modelini "ilgili kalmak için gerekli olduğunda nasıl güvende kalacağız?" olarak değiştirmeniz gerekir.

Temel geçiş dönüştürmesi

İş ve teknoloji takımları görünüm güvenliğinin, güvenliğin önceliklere, süreçlerine ve risk çerçevesine yakından hizalanması gerekir. Başarılı olan anahtar alanların

• Kültür: Güvenlik kültürünün, iş görevi için güvenli bir şekilde toplantıya odaklanılmış olması gerekir. Aynı zamanda, güvenlik, kuruluşun iş üzerinde çalıştığı internet olarak kuruluşun kültürünün normalleştirilmiş bir parçası olmalıdır. bu sayede, her zaman saldırıları denemesine izin verilir. Bu kültürel vardiyası, değişikliği iletmek, davranışı modellemek ve kaydırma işlemini yeniden zorlamak için tüm düzeylerde iyileştirilmiş süreçler, ortaklıklar ve devam eden liderlik desteği gerektirir.
• Risk sahipliği: Güvenlik riskine yönelik sorumluluk, diğer tüm risklere sahip olan aynı rollere atanmalıdır, bu da bir scapegoat yerine güvenilir bir danışman ve konu uzmanı olacak şekilde güvenliği serbest bırakır. Güvenlik, bu liderlerin dilinde iletilen, ancak sahip olmadıkları kararların tutulmaması gereken ses ve dengelenmiş önerilerle sorumlu olmalıdır.
• Güvenlik tatatçi: Güvenlik, bir zaman hatası ve kuruluşların en iyi şekilde güvenlik bilgisi ve becerileri geliştirme ve dağıtma işlemlerinin planlanmasından kaynaklanır. Doğrudan teknik güvenlik yetenek kümeleriyle büyüyen güvenlik ekiplerine ek olarak, yetişkinlere yönelik güvenlik ekipleri Ayrıca
  • Bu ve işletmekte olan mevcut takımlar dahilinde büyüyen güvenlik yetenek kümeleri ve bilgi . bu, özellikle bir devsecops yaklaşımına sahip DevOps ekipler için önemlidir ve birçok form (örneğin, bir güvenlik yardım masası, topluluk içindeki şkelerin belirlenmesi ve eğitimi veya iş takas programları) alabilir.
  • Yeni perspektif ve çerçeveleri sorunlara (iş, insan booloji veya ekonomikler gibi) getirmek ve kuruluş içinde daha iyi ilişkiler oluşturmak için güvenlik ekiplerine çeşitli beceri kümeleri oluşturun. Bir hayoa, tüm sorunlar NAILS gibi görünür.

İş uyumluluğu

Bu vardiyalar nedeniyle, bulut benimseme programınız üç kategoride iş hizalamasına çok fazla odaklanmalıdır

• Risk öngörüleri: Güvenlik öngörülerini ve risk sinyallerini/kaynaklarını hizalayın ve iş girişimleriyle tümleştirin. Tekrarlanabilir işlemlerin, bu öngörülerin uygulamasındaki tüm ekipleri bilgilendirmelerini ve takımlar için ekiplere sahip olduğunu doğrulayın.
• Güvenlik Tümleştirmesi: Kuruluşunuzun tüm düzeylerinde tekrarlanabilir süreçler ve derin ortaklık aracılığıyla güvenlik bilgilerini, becerileri ve öngörüleri, iş ve BT ortamının günlük işlemleriyle daha ayrıntılı bir şekilde tümleştirin.
• İşletimsel dayanıklılık: Bir saldırı sırasında işlemlere (düşürülmüş bir durumda olsa bile) devam edebilmeleri ve kuruluşun tam işlemlere hızlı bir şekilde geri dönmesi için kuruluşun dayanıklı olduğundan emin olmaya odaklanın.

Güvenlik disiplinleri

Bu dönüşüm her güvenlik disiplini farklı etkileyecek. Bu disiplinlerin her biri son derece önemlidir ve yatırım gerektirirken, bu, bulutu benimsediğinizde hızlı WINS için en dolaysız fırsatlara sahip oldukları sıralanmıştır (kabaca).

• Erişim denetimi: Ağ ve kimlik uygulaması, güvenlik ihlallerinin sıklığını ve erişimini azaltmak için erişim sınırları ve segmentasyon oluşturma
• Güvenlik işlemleri: İhlalin algılanması, yanıtlaması ve kurtarılmasını sağlamak için BT işlemlerini izleyin. İhlal riskini sürekli olarak azaltmak için verileri kullanın
• Varlık koruması: Genel ortam riskini en aza indirmek için tüm varlıkların korumasını (altyapı, cihazlar, veriler, uygulamalar, ağlar ve kimlikler) en üst düzeye çıkarın
• Güvenlik yönetimi: Temsilci atanan kararlar yeniliklere hızlanmaktadır ve yeni riskler sunar. Ortamda ve portföydeki tüm iş yüklerinde yapılan kararları yönetmek için kararları, konfigürasyonları ve verileri izleyin.
• Yenilik güvenliği: bir kuruluş, yeniliklerin hızını artırmak için DevOps modeller benimsemiştir. güvenlik, bir devsecops işleminin ayrılmaz bir parçası olmalıdır ve güvenlik uzmanlığını ve kaynaklarını doğrudan bu yüksek hızlı döngüde tümleştirmelidir. Bunun yapılması, merkezi ekiplerden bazı kararların, iş yükünün odaklı ekiplere güç kazanmasını sağlar.

Temel ilkeler

Tüm güvenlik etkinlikleri, Çift odağa göre hizalanmalıdır ve

• İş etkinleştirme: Kuruluşun iş hedefi ve risk çerçevesini hizalayın
• Güvenlik kesintileri: Sıfır güven ilkelerine uygulama odaklı
  • Ihlal varsay: Herhangi bir bileşen veya sistem için güvenlik tasarlarken, kuruluştaki diğer kaynakların tehlikeye girdiği varsayılarak, saldırganların erişimi genişletmesinin riskini azaltın
  • Açık doğrulama: Güveni kabul etmek yerine tüm kullanılabilir veri noktalarını kullanarak güveni kesin olarak doğrulayın. Örneğin, Access Control 'ta, örtük bir güvenilen iç ağdan erişime izin vermek yerine Kullanıcı kimliği, konum, cihaz durumu, hizmet veya iş yükü, veri sınıflandırması ve bozukluklar olduğunu doğrulayın.
  • En az ayrıcalıklı erişim: Hem veri hem de verimliliğin güvenliğini sağlamaya yardımcı olmak için tam zamanında ve tam erişim (JıT/JEA), risk tabanlı Uyarlamalı ilkeler ve veri koruması sağlayarak güvenliği aşılmış bir kullanıcı veya kaynak riskini sınırlayın.

İlgili kaynaklar

Güvenli metodoloji, ayrıca şunları da içeren kapsamlı bir güvenlik kılavuzu kümesinin parçasıdır:

• Azure Well-Architected Framework: Azure 'da iş yüklerinizi güvenli hale getirme Kılavuzu.
• Azure Güvenlik kıyaslamaları: Azure güvenliği için en iyi uygulamalar ve denetimler.
• Enterprise ölçekli giriş bölgesi: Azure reference mimarisi ve tümleşik güvenlik ile uygulama.
• Azure Için ilk 10 güvenlik en iyiuygulaması: Microsoft 'un müşteriler ve kendi ortamlarımız tarafından öğrenilen derslere göre önerdiği en iyi Azure güvenlik uygulamaları.