Steuern von Antimustern
Während der Steuerphase der Cloudeinführung könnten Sie mit Antimustern konfrontiert sein. Lernen Sie gemeinsame Zuständigkeiten kennen und erfahren Sie, wie Sie Ihre Sicherheitsstrategie auf vorhandenen Frameworks aufbauen können, um solche Antimuster zu vermeiden.
Antimuster: Falsches Verständnis gemeinsamer Zuständigkeiten
Wenn Sie die Cloud einführen, ist nicht immer klar ersichtlich, wo Ihre Zuständigkeit hinsichtlich der verschiedenen Dienstmodelle endet und die Zuständigkeit des Dienstanbieters beginnt. Cloudfertigkeiten und -kenntnisse sind erforderlich, um Prozesse und Praktiken rund um Arbeitselemente zu erstellen, die Dienstmodelle verwenden.
Beispiel: Annahme, dass Updates vom Cloudanbieter verwaltet werden
Mitglieder der Personalabteilung eines Unternehmens richten mithilfe von Infrastructure-as-a-Service (IaaS) zahlreiche Windows-Server in der Cloud ein. Sie gehen davon aus, dass der Cloudanbieter sich um Updates kümmert, da die IT-Abteilung vor Ort normalerweise die Installation von Updates übernimmt. Die Personalabteilung konfiguriert die Updates nicht, da ihr nicht bewusst ist, dass Azure standardmäßig keine Updates des Betriebssystems (OS) bereitstellt und installiert. Das hat zur Folge, dass die Server die Compliance-Anforderungen nicht erfüllen und ein Sicherheitsrisiko darstellen.
Bevorzugtes Ergebnis: Erstellen eines Bereitschaftsplans
Verstehen der gemeinsamen Zuständigkeit in der Cloud. Entwickeln und Erstellen eines Bereitschaftsplans. Mit einem Bereitschaftsplan können fortlaufend Impulse für das Erlernen und Entwickeln von Fachkenntnissen geschaffen werden.
Antimuster: Annahme, dass Standardlösungen Sicherheit bereitstellen
Unternehmen neigen dazu, die Sicherheit als ein inhärentes Feature von Clouddiensten zu betrachten. Diese Annahme ist zwar oft richtig, die meisten Umgebungen müssen aber Anforderungen eines Compliance-Frameworks einhalten, die sich von Sicherheitsanforderungen unterscheiden können. Azure bietet grundlegende Sicherheit, und das Azure-Portal kann noch stärker erweiterte Sicherheit über Microsoft Defender für Cloud bereitstellen. Wenn Sie ein Abonnement erstellen, müssen Sie Ihre Lösung so anpassen, dass ein Compliance- und Sicherheitsstandard durchgesetzt wird.
Beispiel: Vernachlässigen der Cloudsicherheit
Ein Unternehmen entwickelt eine neue Anwendung in der Cloud. Es wählt eine Architektur, die auf vielen Platform-as-a-Service-Diensten (PaaS) aufbaut, sowie einigen IaaS-Komponenten für Debugzwecke. Nach der Veröffentlichung der Anwendung in der Produktion erkennt das Unternehmen, dass einer seiner Jumpserver kompromittiert wurde und Daten an eine unbekannte IP-Adresse extrahiert hat. Das Unternehmen erkennt, dass das Problem in der öffentlichen IP-Adresse des Jumpservers und einem leicht zu erratenden Kennwort liegt. Das Unternehmen hätte diese Situation vermeiden können, wenn es sich mehr auf Cloudsicherheit konzentriert hätte.
Bevorzugtes Ergebnis: Definieren einer Cloudsicherheitsstrategie
Definieren Sie eine geeignete Cloudsicherheitsstrategie. Weitere Informationen finden Sie im Leitfaden für die CISO-Cloudbereitschaft. Verweisen Sie Ihren Chief Information Security Officer (CISO) auf diesen Leitfaden. Im Leitfaden für die CISO-Cloudbereitschaft werden Themen wie die Ressourcen der Sicherheitsplattform, Datenschutz und Kontrollen, Compliance und Transparenz erörtert.
Erfahren Sie mehr über sichere Cloudworkloads im Azure Security Benchmark. Bauen Sie auf CIS Controls v7.1 des Center for Internet Security und dem NIST SP800-53 des National Institute of Standards and Technology auf, die die meisten Sicherheitsrisiken und -maßnahmen berücksichtigen.
Verwenden Sie Microsoft Defender für Cloud, um Risiken zu identifizieren, bewährte Methoden umzusetzen und den Sicherheitsstatus ihres Unternehmens zu verbessern.
Implementieren oder unterstützen Sie unternehmensspezifische, automatisierte Kompatibilitäts-und Sicherheitsanforderungen mithilfe von Azure Policy und der Azure Policy-as-Code-Lösung.
Antimuster: Verwenden eines benutzerdefinierten Kompatibilitäts- oder Governance-Frameworks
Die Einführung eines benutzerdefinierten Compliance- und Governance-Frameworks, das nicht auf Branchenstandards basiert, kann die für die Cloudeinführung erforderliche Zeit erheblich verlängern. Dies liegt daran, dass das Übersetzen aus dem benutzerdefinierten Framework in Cloudeinstellungen eine komplexe Sache sein kann. Diese Komplexität kann den Aufwand erhöhen, der erforderlich ist, um benutzerdefinierte Maßnahmen und Anforderungen in implementierbare Sicherheitskontrollen zu übersetzen. Unternehmen müssen im Allgemeine ähnliche Sets von Sicherheits- und Complianceanforderungen einhalten. Daher unterscheiden sich die meisten benutzerdefinierten Compliance- und Sicherheitsframeworks nur geringfügig von aktuellen Compliance-Frameworks. Unternehmen mit zusätzlichen Sicherheitsanforderungen können das Entwickeln neuer Frameworks in Erwägung ziehen.
Beispiel: Verwenden eines benutzerdefinierten Sicherheitsframeworks
Das CISO eines Unternehmens weist der IT-Abteilung die Aufgabe zu, eine Cloudsicherheitsstrategie und ein entsprechendes Framework zu entwickeln. Anstatt von Branchenstandards auszugehen, erstellt die IT-Sicherheitsabteilung ein neues Framework, das auf der aktuellen lokalen Sicherheitsrichtlinie aufbaut. Nach der Fertigstellung der Cloud-Sicherheitsrichtlinie haben die AppOps- und DevOps-Teams Schwierigkeiten beim Implementieren der Cloud-Sicherheitsrichtlinie.
Azure bietet eine umfassendere Sicherheits- und Compliancestruktur, die sich vom eigenen Framework des Unternehmens unterscheidet. Das CISO-Team ist der Meinung, dass die Azure-Kontrollen nicht mit seinen eigenen Compliance- und Sicherheitsregeln kompatibel sind. Hätte es sein Framework auf standardisierten Kontrollen aufgebaut, wäre es nicht zu dieser Schlussfolgerung gelangt.
Bevorzugtes Ergebnis: Aufbauen auf vorhandenen Frameworks
Verwenden Sie vorhandene Frameworks, oder bauen Sie auf diesen auf, wie beispielsweise CIS Controls Version 7.1 oder NIST SP 800-53, statt ein benutzerdefiniertes Compliance-Framework für das Unternehmen zu entwickeln oder einzuführen. Vorhandene Frameworks machen den Übergang zu Cloudsicherheitseinstellungen einfacher und besser messbar. Weitere Informationen zu Frameworkimplementierungen finden Sie unter Azure-Zielzonen Implementierungsoptionen.