Beskriv dybdegående forsvar

  • 4 minutter

Formålet med dybdegående forsvar er at beskytte oplysninger og forhindre, at de bliver stjålet af dem, der ikke har tilladelse til at få adgang til dem.

En dybdegående forsvarsstrategi bruger en række mekanismer til at bremse et angreb, der har til formål at opnå uautoriseret adgang til data.

Lag af dybdegående forsvar

Du kan visualisere dybdegående forsvar som et sæt lag, hvor dataene skal sikres i midten, og alle de andre lag fungerer for at beskytte det centrale datalag.

Et diagram, der viser forsvaret i dybdelag. Fra midten: data, program, beregning, netværk, perimeter, identitet & adgang, fysisk sikkerhed.

Hvert lag yder beskyttelse, så hvis ét lag brydes, er der allerede et efterfølgende lag på plads for at forhindre yderligere eksponering. Denne fremgangsmåde fjerner afhængigheden af et enkelt beskyttelseslag. Det sinker et angreb og giver beskedoplysninger, som sikkerhedsteams kan reagere på, enten automatisk eller manuelt.

Her er en kort oversigt over de enkelte lags rolle:

  • Det fysiske sikkerhedslag er den første forsvarslinje til beskyttelse af databehandlingshardware i datacenteret.
  • Identitets- og adgangslag styrer adgangen til infrastruktur og ændringskontrol.
  • Perimeterlaget bruger DDoS-beskyttelse (Distributed Denial of Service) til at filtrere angreb i stor skala, før de kan forårsage en Denial of Service for brugerne.
  • Netværkslaget begrænser kommunikationen mellem ressourcer via segmenterings- og adgangskontrolelementer.
  • Beregningslaget sikrer adgang til virtuelle maskiner.
  • Programlaget hjælper med at sikre, at programmer er sikre og fri for sikkerhedsrisici.
  • Datalaget styrer adgangen til forretnings- og kundedata, som du skal beskytte.

Disse lag indeholder en retningslinje, som du kan bruge til at træffe beslutninger om sikkerhedskonfiguration i alle lagene i dine programmer.

Azure indeholder sikkerhedsværktøjer og -funktioner på alle niveauer i det dybdegående forsvarskoncept. Lad os se nærmere på hvert lag:

Fysisk sikkerhed

Fysisk sikring af adgang til bygninger og styring af adgang til databehandlingshardware i datacenteret er den første forsvarslinje.

Med fysisk sikkerhed er hensigten at give fysiske garantier mod adgang til aktiver. Disse sikkerhedsforanstaltninger sikrer, at andre lag ikke kan omgås, og at tab eller tyveri håndteres korrekt. Microsoft bruger forskellige fysiske sikkerhedsmekanismer i sine clouddatacentre.

Identitet og adgang

Identitets- og adgangslag handler om at sikre, at identiteter er sikre, at der kun gives adgang til det, der er nødvendigt, og at logonhændelser og ændringer logføres.

På dette lag er det vigtigt at:

  • Styr adgang til infrastruktur og ændringskontrol.
  • Brug enkeltlogon (SSO) og multifaktorgodkendelse.
  • Overvåg hændelser og ændringer.

Omkredsen

Netværksperimetret beskytter mod netværksbaserede angreb mod dine ressourcer. Identificering af disse angreb, eliminering af deres indvirkning og besked om, hvornår de opstår, er vigtige måder at holde dit netværk sikkert på.

På dette lag er det vigtigt at:

  • Brug DDoS-beskyttelse til at filtrere angreb i stor skala, før de kan påvirke tilgængeligheden af et system for brugerne.
  • Brug perimeterfirewalls til at identificere og advare om skadelige angreb på dit netværk.

Netværk

På dette lag er fokus på at begrænse netværksforbindelsen på tværs af alle dine ressourcer for kun at tillade, hvad der kræves. Ved at begrænse denne kommunikation reducerer du risikoen for et angreb, der spredes til andre systemer i dit netværk.

På dette lag er det vigtigt at:

  • Begræns kommunikationen mellem ressourcer.
  • Afvis som standard.
  • Begræns indgående internetadgang, og begræns udgående adgang, hvor det er relevant.
  • Implementer sikker forbindelse til netværk i det lokale miljø.

Beregne

Malware, upatchede systemer og forkert sikrede systemer åbner dit miljø for angreb. Fokus i dette lag er på at sikre, at dine beregningsressourcer er sikre, og at du har de korrekte kontrolelementer på plads for at minimere sikkerhedsproblemer.

På dette lag er det vigtigt at:

  • Sikker adgang til virtuelle maskiner.
  • Implementer slutpunktsbeskyttelse på enheder, og hold systemerne opdateret og opdateret.

Ansøgning

Integration af sikkerhed i programudviklingslivscyklussen hjælper med at reducere antallet af sikkerhedsrisici, der introduceres i kode. Alle udviklingsteams skal sikre, at deres programmer som standard er sikre.

På dette lag er det vigtigt at:

  • Sørg for, at programmer er sikre og fri for sikkerhedsrisici.
  • Gem følsomme programhemmeligheder i et sikkert lagermedie.
  • Gør sikkerhed til et designkrav for al programudvikling.

Data

De, der gemmer og styrer adgangen til data, er ansvarlige for at sikre, at de er sikret korrekt. Ofte dikterer lovmæssige krav de kontroller og processer, der skal være på plads for at sikre fortroligheden, integriteten og tilgængeligheden af dataene.

I næsten alle tilfælde er angribere efter data:

  • Gemt i en database.
  • Gemt på disken i virtuelle maskiner.
  • Gemt i SaaS-programmer (software as a service), f.eks. Office 365.
  • Administreret via cloudlager.