Sdílet prostřednictvím

Bezpečné řízení cloudových aktiv

  • Článek

Zásady správného řízení zabezpečení spojují vaše obchodní priority s technickými implementacemi, jako jsou architektura, standardy a zásady. Týmy zásad správného řízení poskytují dohled a monitorování pro udržení a zlepšení stavu zabezpečení v průběhu času. Tyto týmy také hlásí dodržování předpisů, které vyžadují regulační orgány.

Diagram znázorňující klíčové komponenty zásad správného řízení zabezpečení, včetně správy rizik, dodržování předpisů, vynucování zásad a průběžného monitorování

Obchodní cíle a rizika poskytují nejúčinnější pokyny pro zabezpečení. Tento přístup zajišťuje, že se úsilí o zabezpečení soustředí na klíčové priority organizace. Navíc pomáhá vlastníkům rizik pomocí známého jazyka a procesů v rámci správy rizik.

Diagram znázorňující metodologie zapojené do přechodu na cloud Diagram obsahuje pole pro každou fázi: týmy a role, strategii, plán, připravenost, přijetí, řízení a správu. Pole pro tento článek je zvýrazněné.

Tento článek je podpůrným průvodcem metodologií řízení . Poskytuje oblasti optimalizace zabezpečení, které byste měli zvážit při procházení této fáze vaší cesty.

Modernizace stavu zabezpečení

Použití pouze hlášení problémů není efektivní strategií pro udržování stavu zabezpečení. Zásady správného řízení v cloudové éře vyžadují aktivní přístup, který nepřetržitě spolupracuje s ostatními týmy. Správa stavu zabezpečení je nově vznikající a základní funkce. Tato role řeší kritickou otázku zabezpečení životního prostředí. Zahrnuje klíčové oblasti, jako jsou správa ohrožení zabezpečení a vytváření sestav dodržování předpisů zabezpečení.

V místním prostředí zásady správného řízení zabezpečení závisí na pravidelných datech, která jsou k dispozici pro dané prostředí. Tento přístup často vede k zastaralým informacím. Cloudová technologie tento proces transformuje tím, že poskytuje přehled o aktuálním stavu zabezpečení a pokrytí prostředků na vyžádání. Tento přehled v reálném čase transformuje zásady správného řízení do dynamičtější organizace. Podporuje užší spolupráci s dalšími bezpečnostními týmy za účelem monitorování standardů zabezpečení, poskytování pokynů a vylepšení procesů.

V ideálním stavu řídí zásady správného řízení průběžné vylepšování v celé organizaci. Tento probíhající proces se zabývá všemi částmi organizace, aby se zajistil konstantní pokrok v oblasti zabezpečení.

Toto jsou klíčové principy zásad správného řízení zabezpečení:

  • Průběžné zjišťování prostředků a typů prostředků: Statický inventář není možné v dynamickém cloudovém prostředí. Vaše organizace se musí soustředit na průběžné zjišťování prostředků a typů prostředků. V cloudu se pravidelně přidávají nové typy služeb. Vlastníci úloh dynamicky upravují počet instancí aplikací a služeb podle potřeby, což vytváří neustále se měnící prostředí. Díky této situaci je správa inventáře neustále se vyvíjející disciplínou. Týmy zásad správného řízení potřebují nepřetržitě identifikovat typy prostředků a instance, aby tento krok změny udržely krok.

  • Průběžné vylepšování stavu zabezpečení prostředků: Týmy zásad správného řízení by se měly zaměřit na vylepšení a vynucování standardů, aby udržely krok s cloudem a útočníky. Organizace informačních technologií (IT) musí rychle reagovat na nové hrozby a odpovídajícím způsobem se přizpůsobit. Útočníci neustále vyvíjejí své techniky, zatímco obrana neustále vylepšuje a může být potřeba je aktualizovat. Do počátečního nastavení nemůžete vždy začlenit všechna nezbytná bezpečnostní opatření.

  • Zásady správného řízení: Tyto zásady správného řízení zajišťují konzistentní implementaci, protože zásady definujete jednou a automaticky je použijete napříč prostředky. Tento proces omezuje čas a úsilí při opakovaných ručních úkolech. Často se implementuje pomocí azure Policy nebo jiných architektur automatizace zásad než Microsoftu.

Aby byla zachována flexibilita, osvědčené postupy jsou často iterativní. Přehled malých informací z více zdrojů za účelem vytvoření celého obrázku a průběžného provádění malých úprav.

Usnadnění azure

  • Microsoft Defender for Cloud vám může pomoct nepřetržitě zjišťovat a automaticky spravovat virtuální počítače ve vašem prostředí prostřednictvím automatického zřizování shromažďování dat.

  • Aplikace Microsoft Defender for Cloud vám můžou pomoct nepřetržitě zjišťovat a řídit software třetích stran a software jiných výrobců než Microsoft jako aplikace služby, které se používají ve vašich prostředích.

Připravenost a reakce na incidenty

Zásady správného řízení zabezpečení jsou důležité pro zachování připravenosti. Aby bylo nutné striktně vynucovat standardy, musí robustní mechanismy a postupy zásad správného řízení podporovat implementaci mechanismů připravenosti a reakcí a provozních postupů. Zvažte následující doporučení, která vám pomůžou řídit připravenost na incidenty a standardy reakce:

Zásady správného řízení připravenosti na incidenty

  • Automatizace zásad správného řízení: Využijte nástroje k co největší automatizaci zásad správného řízení. Nástroje můžete použít ke správě zásad pro nasazení infrastruktury, implementaci opatření posílení zabezpečení, ochraně dat a udržování standardů správy identit a přístupu. Automatizací zásad správného řízení těchto bezpečnostních opatření můžete zajistit, aby všechny prostředky ve vašem prostředí splňovaly vaše vlastní standardy zabezpečení a všechny architektury dodržování předpisů, které jsou pro vaši firmu potřeba. Další informace najdete v tématu Vynucení zásad správného řízení v cloudu.

  • Dodržování standardních hodnot zabezpečení od Microsoftu: Seznamte se s doporučeními týkajícími se zabezpečení od Microsoftu pro služby ve vašich cloudových aktivech, které jsou k dispozici jako standardní hodnoty zabezpečení. Tyto směrné plány vám můžou pomoct zajistit, aby vaše stávající nasazení byla správně zabezpečená a že nová nasazení jsou správně nakonfigurovaná od začátku. Tento přístup snižuje riziko chybných konfigurací.

Zásady správného řízení reakce na incidenty

  • Zásady správného řízení plánu reakce na incidenty: Plán reakce na incidenty by se měl udržovat se stejnou opatrností jako ostatní důležité dokumenty ve vašich aktivech. Váš plán reakce na incidenty by měl být následující:

    • Správa verzí, která zajišťuje, že týmy pracují s nejnovější verzí a že je možné auditovat správu verzí.

    • Uložené ve vysoce dostupném a zabezpečeném úložišti.

    • Pravidelně se kontrolují a aktualizují, když je vyžadují změny prostředí.

  • Zásady správného řízení školení reakce na incidenty: Školicí materiály pro reakci na incidenty by měly být řízeny verzí pro auditovatelnost a zajistit, aby se v daném okamžiku používala nejnovější verze. Měly by se také pravidelně kontrolovat a aktualizovat při aktualizaci plánu reakce na incidenty.

Usnadnění azure

  • Azure Policy je řešení správy zásad, které můžete použít k vynucování standardů organizace a k posouzení dodržování předpisů ve velkém. Pokud chcete automatizovat vynucování zásad pro mnoho služeb Azure, využijte výhod integrovaných definic zásad.

  • Defender for Cloud poskytuje zásady zabezpečení, které můžou automatizovat dodržování standardů zabezpečení.

Zásady správného řízení důvěrnosti

Efektivní zásady správného řízení jsou zásadní pro zachování zabezpečení a dodržování předpisů v podnikových cloudových prostředích. Zásady správného řízení zahrnují zásady, postupy a kontroly, které zajišťují bezpečnou správu dat a v souladu s zákonnými požadavky. Poskytuje rámec pro rozhodování, odpovědnost a průběžné zlepšování, což je nezbytné pro ochranu citlivých informací a zachování důvěry. Tento rámec je zásadní pro zachování zásady důvěrnosti od CIA Triád. Pomáhá zajistit, aby citlivá data byla přístupná jenom autorizovaným uživatelům a procesům.

  • Technické zásady: Mezi tyto zásady patří zásady řízení přístupu, zásady šifrování dat a zásady maskování nebo tokenizace dat. Cílem těchto zásad je vytvořit zabezpečené prostředí zachováním důvěrnosti dat prostřednictvím přísných řízení přístupu a robustních metod šifrování.

  • Písemné zásady: Písemné zásady slouží jako řídicí rámec pro celé podnikové prostředí. Stanoví požadavky a parametry pro zpracování dat, přístup a ochranu. Tyto dokumenty zajišťují konzistenci a dodržování předpisů v celé organizaci a poskytují jasné pokyny pro zaměstnance a pracovníky IT. Písemné zásady také slouží jako referenční bod pro audity a hodnocení, které pomáhají identifikovat a řešit případné mezery v postupech zabezpečení.

  • Ochrana před únikem informací: Je třeba provádět nepřetržité monitorování a auditování opatření ochrany před únikem informací, aby se zajistilo trvalé dodržování požadavků na důvěrnost. Součástí tohoto procesu je pravidelná kontrola a aktualizace zásad ochrany před únikem informací, provádění posouzení zabezpečení a reakce na všechny incidenty, které by mohly ohrozit důvěrnost dat. Programově vytvořte ochranu před únikem informací v celé organizaci, abyste zajistili konzistentní a škálovatelný přístup k ochraně citlivých dat.

Monitorování dodržování předpisů a metod vynucení

Je důležité monitorovat dodržování předpisů a vynucovat zásady pro zachování zásady důvěrnosti v podnikových cloudových prostředích. Tyto akce jsou nezbytné pro robustní standardy zabezpečení. Tyto procesy zajišťují, aby se všechna bezpečnostní opatření konzistentně používala a efektivně chránila citlivá data před neoprávněným přístupem a porušením zabezpečení. Pravidelné hodnocení, automatizované monitorování a komplexní školicí programy jsou nezbytné k zajištění dodržování zavedených zásad a postupů.

  • Pravidelné audity a hodnocení: Proveďte pravidelné audity a posouzení zabezpečení, abyste zajistili, že zásady budou dodržovat a identifikovat oblasti pro zlepšení. Tyto audity by měly zahrnovat regulační, oborové a organizační standardy a požadavky a mohou zahrnovat hodnotitelé třetích stran, aby poskytli nestranné hodnocení. Schválený program hodnocení a kontroly pomáhá udržovat vysoké standardy zabezpečení a dodržování předpisů a zajišťuje, aby byly důkladně zkontrolovány a vyřešeny všechny aspekty důvěrnosti údajů.

  • Automatizované monitorování dodržování předpisů: Nástroje, jako je Azure Policy , automatizují monitorování dodržování předpisů pomocí zásad zabezpečení a poskytují přehledy a výstrahy v reálném čase. Tato funkce pomáhá zajistit nepřetržité dodržování standardů zabezpečení. Automatizované monitorování pomáhá rychle zjišťovat porušení zásad a reagovat na ně, což snižuje riziko porušení zabezpečení dat. Zajišťuje také nepřetržité dodržování předpisů tím, že pravidelně kontroluje konfigurace a řízení přístupu proti zavedeným zásadám.

  • Školicí programy a programy pro informovanost: Informujte zaměstnance o zásadách důvěrnosti dat a osvědčených postupech pro podporu kultury s ohledem na zabezpečení. Pravidelné školení a programy pro zvyšování povědomí pomáhají zajistit, aby všichni zaměstnanci rozuměli svým rolím a zodpovědnostem při zachování důvěrnosti dat. Tyto programy by se měly pravidelně aktualizovat tak, aby odrážely změny zásad a vznikajících hrozeb. Tato strategie zajišťuje, že zaměstnanci jsou vždy vybaveni nejnovějšími znalostmi a dovednostmi.

Zásady správného řízení integrity

K efektivní údržbě ochrany integrity potřebujete dobře navrženou strategii zásad správného řízení. Tato strategie by měla zajistit, aby všechny zásady a postupy byly zdokumentované a vynucené a aby všechny systémy byly nepřetržitě auditovány kvůli dodržování předpisů.

Pokyny popsané výše v části Zásad správného řízení důvěrnosti platí také pro zásadu integrity. Následující doporučení jsou specifická pro integritu:

  • Automatizované zásady správného řízení kvality dat: Zvažte použití jednorázového řešení pro řízení vašich dat. Pomocí předem připraveného řešení můžete týmu zásad správného řízení dat zmírnit zatížení ručního ověřování kvality. Tato strategie také snižuje riziko neoprávněného přístupu a změn dat během procesu ověřování.

  • Automatizované zásady správného řízení integrity systému: Zvažte použití centralizovaného sjednoceného nástroje k automatizaci zásad správného řízení integrity systému. Azure Arc například umožňuje řídit systémy napříč několika cloudy, místními datovými centry a hraničními lokalitami. Pomocí podobného systému můžete zjednodušit odpovědnosti zásad správného řízení a snížit provozní zátěž.

Usnadnění azure

  • Kvalita dat Microsoft Purview umožňuje uživatelům vyhodnotit kvalitu dat pomocí pravidel bez kódu nebo s nízkým kódem, včetně předefinovaných pravidel (OOB) a vygenerovaných AI. Tato pravidla se použijí na úrovni sloupce a pak se agregují, aby poskytovala skóre datových prostředků, datových produktů a obchodních domén. Tento přístup zajišťuje komplexní přehled o kvalitě dat v každé doméně.

Zásady správného řízení dostupnosti

Návrhy architektury, které standardizujete ve svých cloudových aktivech, vyžadují zásady správného řízení, aby se zajistilo, že se nebudou lišit a že vaše dostupnost nebude ohrožena nekonformovanými vzory návrhu. Podobně musí být vaše plány zotavení po havárii také řízeny, aby se zajistilo, že jsou dobře udržované.

Zásady správného řízení návrhu dostupnosti

  • Udržujte standardizované vzory návrhu: Codify a přísně vynucujte vzory návrhu infrastruktury a aplikací. Řízení údržby standardů návrhu, aby zajistilo, že zůstanou aktuální a chráněné před neoprávněným přístupem nebo změnou. Zacházejte s těmito standardy se stejnou opatrností jako s jinými zásadami. Pokud je to možné, automatizujte vynucení údržby vzorů návrhu. Můžete například povolit zásady, které řídí, které typy prostředků je možné nasadit, a určit oblasti, ve kterých jsou povolená nasazení.

Zásady správného řízení zotavení po havárii

  • Zásady správného řízení plánů zotavení po havárii: Zacházejte s plány zotavení po havárii se stejnou úrovní důležitosti jako plány reakce na incidenty. Plány zotavení po havárii by měly být:

    • Správa verzí, která zajišťuje, že týmy vždy pracují s nejnovější verzí a že správa verzí je možné auditovat přesnost a dodržování předpisů.

    • Uložené ve vysoce dostupném a zabezpečeném úložišti.

    • Pravidelně se kontrolují a aktualizují, když jsou potřeba změny prostředí.

  • Postupy správného řízení zotavení po havárii: Postupy zotavení po havárii nejsou určené jenom pro trénování plánů, ale slouží také jako příležitosti ke zlepšení samotného plánu. Můžou také pomoct upřesnit provozní nebo návrhové standardy. Podrobné záznamy o postupu zotavení po havárii pomáhají identifikovat oblasti pro zlepšení a zajistit dodržování požadavků na auditování pro připravenost na havárii. Uložením těchto záznamů do stejného úložiště jako plány můžete zajistit uspořádání a zabezpečení všeho.

Udržování zabezpečených zásad správného řízení

Moderní správa služeb (MSM)

Moderní správa služeb (MSM) je sada postupů a nástrojů navržených pro správu a optimalizaci IT služeb v cloudovém prostředí. Cílem MSM je sladění IT služeb s obchodními potřebami. Tento přístup zajišťuje efektivní doručování služeb při zachování vysokých standardů zabezpečení a dodržování předpisů. MSM poskytuje strukturovaný přístup ke správě složitých cloudových prostředí. MSM také umožňuje organizacím rychle reagovat na změny, zmírnit rizika a zajistit průběžné vylepšování. MsM je navíc relevantní pro zásadu důvěrnosti, protože obsahuje nástroje a postupy, které vynucují ochranu dat a monitorují řízení přístupu.

  • Sjednocená správa zabezpečení: Nástroje MSM poskytují komplexní správu zabezpečení tím, že integrují různé funkce zabezpečení, aby poskytovaly ucelený pohled na cloudové prostředí. Tento přístup pomáhá vynucovat zásady zabezpečení a zjišťovat hrozby v reálném čase a reagovat na ně.

  • Správa zásad a dodržování předpisů: MSM usnadňuje vytváření, vynucování a monitorování zásad v cloudovém prostředí. Zajišťuje, že všechny prostředky vyhovují standardům organizace a zákonným požadavkům. Kromě toho poskytuje přehledy a výstrahy v reálném čase.

  • Průběžné monitorování a zlepšování: MSM klade důraz na průběžné monitorování cloudového prostředí, aby bylo možné aktivně identifikovat a řešit potenciální problémy. Tento přístup podporuje průběžnou optimalizaci a zlepšování IT služeb, což zajišťuje, že zůstanou v souladu s obchodními cíli.

Další krok

Správa cloudových aktiv s vylepšeným zabezpečením