Sicherheitsüberlegungen für Ihre Cloudstrategie
Sie benötigen eine gut durchdachte Sicherheitsstrategie für eine erfolgreiche Cloudakzeptanz. Wenn Ihre Organisation herkömmliche lokale Umgebungen verwendet, sollten Sie Ihre Cloudkompetenz auswerten und sich speziell auf Cloudsicherheit konzentrieren. Um die Sicherheit in der Cloud zu verwalten, müssen Sie möglicherweise erhebliche Änderungen an der Struktur Ihres Sicherheitsteams und Ihrem allgemeinen Sicherheitsansatz vornehmen.
Mögliche Änderungen an Ihrer Organisation können Stress und Konflikte verursachen. Sorgen Sie bei der erfolgreichen Cloud-Einführung dafür, dass Ihre Managementteams Unterstützung bieten und Änderungen anderen Teams klar darstellen.
Bewältigung allgemeiner Herausforderungen
Entwickeln Sie Ihre Denkweise. Lokale Sicherheit ist in der Regel eine eng fokussierte Praxis, die ein kleines Team von Technikern und Betriebsadministratoren behandeln kann. Cloudsicherheit erfordert die Teilnahme aus der gesamten Organisation, und der Umfang der Sicherheitsteams wird erheblich erweitert. Die Angriffsfläche einer lokalen Umgebung befindet sich in erster Linie im Umkreis. In einer Cloudumgebung ist jede Ressource ein potenzieller Angriffsvektor, sodass Sicherheitsteams ihren Ansatz entsprechend anpassen müssen.
Passen Sie Teams und Rollen an. Cloudsicherheit, insbesondere für große Organisationen, umfasst spezielle Rollen. Um sicherzustellen, dass Sie keine Lücken in Ihrem Sicherheitsmanagement haben, müssen Sie möglicherweise neue Teams hinzufügen oder vorhandene Teams neu organisieren.
Empfehlungen:
Führen Sie Sicherheitsgespräche frühzeitig. Beginnen Sie frühzeitig in Ihrem Cloud-Adoptionsprozess mit den richtigen Projektbeteiligten Sicherheitsgespräche. Dieser Ansatz trägt dazu bei, dass Sie sich frühzeitig auf die Organisationsausrichtung vorbereiten können.
Grundlegendes zu modernen Sicherheitsteams, Rollen und Funktionen. Lesen Sie den Leitfaden zum Cloud Adoption Framework über Sicherheitsteams, Rollen und Funktionen. In diesem Leitfaden wird beschrieben, wie End-to-End-Sicherheit implementiert wird.
Nutzen Sie die Sichere Methodik des Cloud Adoption Framework. Verwenden Sie die Cloud Adoption Framework Secure-Methode, um bewährte Methoden für die Microsoft-Sicherheit in jeder Phase Ihrer Cloudakzeptanz-Reise anzuwenden. Die Anleitungen für jede Phase umfassen mehrere Sicherheitsansätze, einschließlich Modernisierung der Sicherheitslage, Vorbereitung und Reaktion auf Sicherheitsvorfälle, Sicherheitserhalt und Vertraulichkeit, Integrität und Verfügbarkeit (CIA) Triad.
Grundlegendes zur Microsoft Secure Future Initiative
Als weltweiter Cloudanbieter priorisiert Microsoft die Sicherheit vor allem anderen Bedenken und erkennt die kritische Notwendigkeit, Sicherheitsverletzungen zu verhindern. Die Microsoft Secure Future Initiative behandelt diese Bedenken und bietet einen allgemeinen Ansatz zum Erstellen und Verwalten von Microsoft-Produkten.
Der Umfang, in dem Sie sicherheit priorisieren, hängt von vielen Faktoren ab, z. B. Zuverlässigkeit, Leistung und Kosten. Sie definieren diese Faktoren, wenn Sie Ihre allgemeine Einführungsstrategie erstellen. Unabhängig von Ihren Prioritäten sollten Sie die Säulen der Microsoft Secure Future Initiative verstehen, um sich auf die wichtigsten Bereiche der Sicherheit Ihrer Cloud estate zu konzentrieren, die Sie stärken möchten.
Einführung einer Zero Trust-Strategie
Die Zero Trust-Prinzipien schaffen die Grundlage der Microsoft-Sicherheitsstrategie. Zero Trust ist eine cloudfähige Sicherheitsstrategie, die aus drei Hauptprinzipien besteht:
Explizit überprüfen: Immer authentifizieren und autorisieren, basierend auf allen verfügbaren Datenpunkten.
Verwenden des Zugriffs mit den geringsten Rechten: Beschränken Sie den Benutzerzugriff mit dem Just-In-Time-Modell, dem Just-Enough-Access-Ansatz, risikobasierten adaptiven Richtlinien und Datenschutz.
Ausgehen von Sicherheitsverletzungen: Minimieren Sie den Radius der Auswirkungen, und segmentieren Sie den Zugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und verwenden Sie Analysen, um Sichtbarkeit zu erhalten, Bedrohungserkennung zu fördern und Abwehrmaßnahmen zu verbessern.
Die Zero Trust-Prinzipien leiten Ihre Entscheidungen beim Entwerfen, Implementieren und Betreiben einer Cloud-Umgebung. Sie stellen einen eindeutigen Referenzpunkt für die Überprüfung bereit, wodurch sichergestellt wird, dass Ihre Auswahl keine Sicherheit beeinträchtigt.
Verwenden Sie die Microsoft Zero Trust-Anleitung, um die Integration eines Zero Trust-Ansatzes in Ihre Sicherheitsstrategie zu optimieren. Die Zero Trust-Anleitung:
Stellt ein eng fokussiertes und strukturiertes Einführungsrahmenwerk bereit, das sich an den Phasen der Einführungsreise des Cloud Adoption Frameworks für Azure orientiert. Verwenden Sie diese Anleitung, um Ihre allgemeine Cloudakzeptanz mit dem Zero Trust-Ansatz auszurichten.
Erläutert, wie Azure, Microsoft 365-und KI-Dienste Ihnen helfen können, Ihre Cloud-Umgebung an die Zero Trust-Prinzipien auszurichten.
Die Anleitung bietet Informationen zum Ausrichten Ihrer Entwicklungspraktiken an den Zero Trust-Prinzipien.
Empfehlungen:
- Übernehmen Sie Zero Trust. Verwenden Sie die Microsoft Zero Trust-Anleitung, um Zero Trust-Prinzipien zu implementieren, die dazu beitragen, eine sicherheitsorientierte Denkweise zu fördern.
Verwenden der CISO- und MCRA-Workshops
Microsoft bietet Workshops an, die Entscheidungsträgern und Architekten dabei helfen, bewährte Methoden auf ihre Cloudakzeptanz anzuwenden. Der Workshop Chief Information Security Officer (CISO) konzentriert sich auf einen gründlichen Ansatz zur Modernisierung von Cybersicherheitspraktiken aus der Perspektive des CISO und anderer Führungspositionen.
Der Microsoft Cybersecurity Reference Architecture (MCRA)-Workshop konzentriert sich auf die Anwendung von architekturbasierten bewährten Methoden auf Ihre Cloudumgebungsdesigns. Die Zero Trust-Prinzipien bilden die Grundlage für die Anleitungen in den CISO- und MCRA-Workshops. Die Workshops stimmen auch mit den bewährten Methoden von Microsoft im Cloud Adoption Framework, Azure Well-Architected Framework und den Zero Trust-Sicherheitsrichtlinien überein.
Empfehlungen:
- Wenden Sie sich an Teamleiter über die CISO- und MCRA-Workshops. Erwägen Sie, mindestens einen der von Microsoft geführten Workshops zu nutzen. Nutzen Sie insbesondere die CISO- und MCRA-Workshops. Informationen zum von Microsoft geführten Workshopmaterial finden Sie unter Ressourcen zur Einführung von Sicherheit.