Ermitteln der Anforderungen hinsichtlich des Eigentums
Dieser Artikel ist der erste Teil einer Serie, die Sie bei der Entwicklung einer Lösung für Cloud Security Posture Management (CSPM) und Cloud-Workloadschutz (CWP) für Multicloud-Ressourcen mit Microsoft Defender for Cloud unterstützt.
Zielsetzung
Bestimmen Sie die Teams, die an Ihrer Multicloud-Sicherheitslösung beteiligt sind, und planen Sie, wie sie sich abstimmen und zusammenarbeiten werden.
Sicherheitsfunktionen
Je nach Größe Ihrer Organisation verwalteten verschiedene Teams Sicherheitsfunktionen. In einem komplexen Unternehmen kann es zahlreiche Funktionen geben.
| Sicherheitsfunktion | Details |
|---|---|
| Security Operations (SecOps) | Reduzieren Sie das Risiko für die Organisation, indem Sie die Zeit verringern, in der Angreifer Zugriff auf Unternehmensressourcen haben. Reaktive Erkennung, Analyse, Reaktion und Wartung von Angriffen. Proaktive Bedrohungssuche. |
| Sicherheitsarchitektur | Sicherheitsdesign, das die Komponenten, Tools, Prozesse, Teams und Technologien zusammenfasst und dokumentiert, die Ihr Unternehmen vor Risiken schützen. |
| Sicherheitscomplianceverwaltung | Prozesse, die sicherstellen, dass die Organisation die gesetzlichen Vorschriften und internen Richtlinien einhält. |
| Personensicherheit | Schutz der Organisation vor menschlichen Risiken für die Sicherheit. |
| Anwendungssicherheit und DevSecOps | Integration der Sicherheit in DevOps-Prozesse und -Anwendungen. |
| Datensicherheit | Schutz Ihrer Organisationsdaten. |
| Infrastruktur- und Endpunktsicherheit | Schutz, Erkennung und Reaktion für Infrastruktur, Netzwerke und Endgeräte, die von Anwendungen und Benutzern verwendet werden. |
| Funktion von Identitäts- und Schlüsselverwaltung in der Cloud | Authentifizierung und Autorisierung von Benutzern, Diensten, Geräten und Anwendungen. Sichere Verteilung und sicherer Zugang für kryptografische Operationen. |
| Threat Intelligence | Treffen von Entscheidungen und Handeln auf der Grundlage von Informationen über Sicherheitsbedrohungen, die Kontext und verwertbare Erkenntnisse über aktive Angriffe und potenzielle Bedrohungen liefern. |
| Statusverwaltung | Kontinuierliche Berichterstattung über die Sicherheitslage in Ihrem Unternehmen und Verbesserung derselben. |
| Vorbereitung auf Vorfälle | Aufbau von Werkzeugen, Prozessen und Fachwissen zur Reaktion auf Sicherheitsvorfälle. |
Teamausrichtung
Trotz der vielen verschiedenen Teams, die die Cloud-Sicherheit verwalten, ist es wichtig, dass sie zusammenarbeiten, um herauszufinden, wer für die Entscheidungsfindung in der Multicloud-Umgebung verantwortlich ist. Mangelnde Eigenverantwortung führt zu Reibungsverlusten, die wiederum zum Stillstand von Projekten und unsicheren Implementierungen führen können, die nicht auf die Sicherheitsgenehmigung warten konnten.
Die Sicherheitsleitung, in der Regel die CISO, sollte festlegen, wer für Sicherheitsentscheidungen verantwortlich ist. In der Regel sind die Zuständigkeiten wie in der Tabelle zusammengefasst.
| Category | BESCHREIBUNG | Typisches Team |
|---|---|---|
| Serverendpunktsicherheit | Überwachen und Korrigieren der Serversicherheit, einschließlich Patching, Konfiguration, Endpunktsicherheit usw. | Gemeinsame Verantwortlichkeit für das Team der zentralen IT-Abteilung und das Team für Infrastruktur- und Endpunktsicherheit. |
| Überwachung und Reaktion auf Vorfälle | Untersuchen und beheben Sie Sicherheitsvorfälle in der SIEM- oder Quellkonsole Ihrer Organisation. | Sicherheitsvorgangsteam |
| Richtlinienverwaltung | Legen Sie die Richtung für die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), Microsoft Defender for Cloud, die Schutzstrategie für Administratoren und Azure-Richtlinien fest, um Azure-Ressourcen, benutzerdefinierte AWS/GCP-Empfehlungen usw. zu steuern. | Gemeinsame Verantwortlichkeit des Teams für Richtlinien und Standards und des Teams für Sicherheitsarchitektur . |
| Bedrohungs- und Sicherheitsrisikomanagement | Vollständige Transparenz und Kontrolle der Infrastruktur, um sicherzustellen, dass kritische Probleme so effizient wie möglich entdeckt und behoben werden. | Gemeinsame Verantwortlichkeit für das Team der zentralen IT-Abteilung und das Team für Infrastruktur- und Endpunktsicherheit. |
| Anwendungsworkloads | Konzentration auf Sicherheitskontrollen für bestimmte Workloads. Ziel ist die Integration von Sicherheitsvorkehrungen in Entwicklungsprozesse und benutzerdefinierte Geschäftsbereichsanwendungen (LOB). | Gemeinsame Verantwortlichkeit des Teams für Anwendungsentwicklung und des Teams für zentrale IT-Vorgänge. |
| Identitätssicherheit und -standards | Verstehen Sie den Permission Creep Index (PCI) für Azure-Abonnements, AWS-Konten und GCP-Projekte, um Risiken im Zusammenhang mit ungenutzten oder übermäßigen Berechtigungen über Identitäten und Ressourcen hinweg zu erkennen. | Gemeinsame Verantwortlichkeit des Teams für Identitäts- und Schlüsselverwaltung, des Teams für Richtlinien und Standards sowie des Teams für Sicherheitsarchitektur . |
Bewährte Methoden
- Auch wenn die Multicloud-Sicherheit auf verschiedene Unternehmensbereiche aufgeteilt sein kann, sollten die Teams die Sicherheit im gesamten Multicloud-Bereich verwalten. Das ist besser, als wenn verschiedene Teams verschiedene Cloud-Umgebungen sichern. Zum Beispiel verwaltet ein Team Azure und ein anderes AWS. Teams, die über mehrere Cloud-Umgebungen hinweg arbeiten, helfen, die Ausbreitung innerhalb des Unternehmens zu verhindern. Außerdem wird sichergestellt, dass Sicherheitsrichtlinien und Compliance-Anforderungen in jeder Umgebung eingehalten werden.
- Oft haben die Teams, die Defender for Cloud verwalten, keine Berechtigung, Empfehlungen in Workloads zu korrigieren. So kann das Defender for Cloud-Team beispielsweise keine Schwachstellen in einer AWS EC2-Instanz beheben. Das Sicherheitsteam kann für die Verbesserung der Sicherheitslage verantwortlich sein, ist aber nicht in der Lage, die daraus resultierenden Sicherheitsempfehlungen umzusetzen. So beheben Sie dieses Problem:
- Die Eigentümer der AWS-Workload müssen unbedingt einbezogen werden.
- Das Zuweisen von Besitzern mit Fälligkeitsdatum und Definieren von Governanceregeln schafft Verantwortlichkeit und Transparenz, während Sie Prozesse zur Verbesserung der Sicherheitslage vorantreiben.
- Die Eigentümer der AWS-Workload müssen unbedingt einbezogen werden.
- Je nach Organisationsmodell sehen wir diese Optionen häufig für zentrale Sicherheitsteams, die mit Workload-Eigentümern zusammenarbeiten:
Option 1: Zentralisiertes Modell. Die Sicherheitskontrollen werden von einem zentralen Team definiert, implementiert und überwacht.
- Das zentrale Sicherheitsteam entscheidet, welche Sicherheitsrichtlinien in der Organisation umgesetzt werden und wer die Berechtigung hat, die festgelegten Richtlinien zu kontrollieren.
- Das Team könnte auch die Befugnis haben, nicht konforme Ressourcen zu beseitigen und die Isolierung von Ressourcen im Falle einer Sicherheitsbedrohung oder eines Konfigurationsproblems durchzusetzen.
- Die Workload-Eigentümer hingegen sind für die Verwaltung ihrer Cloud-Workloads verantwortlich, müssen sich aber an die Sicherheitsrichtlinien halten, die das zentrale Team aufgestellt hat.
- Dieses Modell eignet sich besonders für Unternehmen mit einem hohen Automatisierungsgrad, um automatisierte Reaktionsprozesse auf Schwachstellen und Bedrohungen zu gewährleisten.
Option 2: Dezentrales Modell. - Sicherheitskontrollen werden definiert, bereitgestellt und von Workload-Besitzern überwacht.
- Die Bereitstellung von Sicherheitskontrollen erfolgt durch die Workload-Besitzer, da sie Eigentümer des Richtliniensatzes sind und daher entscheiden können, welche Sicherheitsrichtlinien auf ihre Ressourcen anwendbar sind.
- Besitzer müssen Sicherheitswarnungen und -empfehlungen für ihre eigenen Ressourcen kennen, verstehen und danach handeln.
- Das zentrale Sicherheitsteam fungiert dagegen nur als Kontrollinstanz, ohne Schreibzugriff auf die Workloads.
- Das Sicherheitsteam hat in der Regel Einblick in die allgemeine Sicherheitslage des Unternehmens und kann die Workload-Eigentümer für die Verbesserung ihrer Sicherheitslage zur Verantwortung ziehen.
- Dieses Modell eignet sich am besten für Unternehmen, die einen Überblick über ihre gesamte Sicherheitslage benötigen, aber gleichzeitig die Verantwortung für die Sicherheit bei den Eigentümern der Workloads belassen wollen.
- Derzeit besteht die einzige Möglichkeit, Option 2 in Defender for Cloud zu erreichen, darin, die Workload-Besitzer mit Security Reader-Berechtigungen dem Abonnement zuzuweisen, das die Multicloud-Connector-Ressource hostet.
Nächste Schritte
In diesem Artikel haben Sie erfahren, wie Sie bei der Entwicklung einer Multicloud-Sicherheitslösung die Anforderungen an die Eigentümerschaft festlegen. Im nächsten Schritt erfahren Sie, wie Sie Zugriffssteuerungsanforderungen ermitteln.