Sicheres Durchführen ihrer Cloudakzeptanz
Diese Einheit beschreibt Bereiche der Sicherheitsoptimierung, die Sie berücksichtigen sollten, während Sie die Einführungsmethode Phase Ihrer Reise durchlaufen.
Wenn Sie Ihre Cloud-Umgebung implementieren und Workloads migrieren, richten Sie von Anfang an robuste Sicherheitsmechanismen ein, um Lücken später zu vermeiden. Priorisieren Sie die Sicherheit während der Einführungsphase, um konsistente Workloads sicherzustellen. Um IT-Teams für Cloudvorgänge vorzubereiten, richten Sie gut gestaltete Richtlinien und Verfahren ein.
Die Adopt-Methode umfasst die Migrate, Modernize, Innovationund Verlagern Szenarien. Berücksichtigen Sie die Empfehlungen in dieser Einheit, um eine sichere Grundlage für Ihre Cloud-Umgebung zu schaffen.
Modernisieren Sie Ihren Sicherheitsstatus
Um Ihren Sicherheitsstatus während der Einführungsphase zu modernisieren, sollten Sie die folgenden Empfehlungen berücksichtigen:
Definieren von Sicherheitsgrundwerten, die Verfügbarkeitsanforderungen enthalten, um eine klare Grundlage zu schaffen. Verwenden Sie Tools, um Umgebungen zu analysieren und menschliche Fehler zu reduzieren.
Nutzen Sie Automatisierungs- für Routineaufgaben, um die Konsistenz zu verbessern und Fehler zu reduzieren. Automatisieren Sie Failover, Wiederherstellung, Infrastrukturbereitstellungen, Softwareentwicklung, Tests, Überwachung, Warnungen und Skalierung.
Implementieren Sie Zero Trust-Zugriffs- und Autorisierungskontrollen. Verwenden Sie die rollenbasierte Zugriffssteuerung (RBAC) und die mehrstufige Authentifizierung (MFA), um unbefugten Zugriff zu verhindern und die Verfügbarkeit von Diensten sicherzustellen.
Integrieren von ACM-Methoden
Effektive Einführungs- und Change Management(ACM)-Methoden sind für die Implementierung von Zugriffskontrollen von entscheidender Bedeutung. Zu den wichtigsten Methoden gehören:
Das Prosci ADKAR-Modell: Dieses Modell konzentriert sich auf Bewusstsein, Wunsch, Wissen, Fähigkeit und Verstärkung. Adressieren Sie jedes Element, um sicherzustellen, dass Mitarbeiter Zugriffssteuerungen verstehen und unterstützen.
Das 8-Schritt-Änderungsmodell von Kotter: Dieses Modell skizziert Schritte für Veränderungen, darunter die Schaffung von Dringlichkeit, die Bildung einer Koalition, die Entwicklung einer Vision und die Verankerung neuer Ansätze in der Kultur.
Das Change Management Model von Lewin: Dieses Modell besteht aus drei Phasen: Unfreeze (Vorbereitung auf Änderung), Change (implementieren neuer Prozesse) und Refreeze (festigen neue Methoden).
Das Microsoft 365 Adoption Framework: Dieses Framework bietet einen strukturierten Ansatz, der Erfolgskriterien, Engagement von Stakeholdern und Unterstützung umfasst, um eine effektive Einführung zu gewährleisten.
Azure-Erleichterung
Microsoft-Sicherheitsbewertung aus der Defender XDR-Suite hilft Ihnen beim Festlegen von Sicherheitsgrundwerten und bietet Verbesserungsempfehlungen.
Bicep, Terraform-oder Azure Resource Manager (ARM) Vorlagen stellen Infrastruktur als Code (IaC) bereit. Integrieren Sie sie in Azure-Pipelines oder GitHub-Aktionen CI/CD-Pipelines. Verwenden Sie Microsoft Defender für Cloud, um Fehlkonfigurationen in IaC-zuzu identifizieren.
Azure-Bereitstellungsumgebungen eine konsistente App-Infrastruktur über projektbasierte Vorlagen erstellen. Diese Vorlagen tragen dazu bei, Sicherheit, Compliance und Kosteneffizienz sicherzustellen.
Definieren Sie Bereitstellungsumgebungen als Katalogelemente in GitHub- oder Azure DevOps-Repositorys. Ein Katalogelement besteht aus einer IaC-Vorlage und einer manifest.yml Datei.
Azure Logic Apps und Power Automate Erstellen von Workflows für Aufgaben wie Genehmigungsflüsse oder ChatOps-Integrationen über integrierte Connectors und Vorlagen.
Die integrierten Skalierungsfunktionen von Azure-Technologien weisen Ressourcen dynamisch zu, um den Leistungsanforderungen zu entsprechen. Sie können auch andere Dienste programmieren, um automatisch über APIs zu skalieren.
Azure Monitor-Aktionsgruppen Self-Healing-Vorgänge automatisieren, wenn Warnungen ausgelöst werden. Sie können die Vorgänge über Runbooks, Azure-Funktionen oder Webhooks definieren.
Verwenden Sie für die Automatisierung von Routineaufgaben die folgenden Dienste:
Azure Functions automatisiert Aufgaben über serverlose Funktionen mit ereignisgesteuerten Triggern.
Azure Automation verwendet PowerShell und Python für operative Aufgaben. Die Automatisierung verfügt über Features wie Ausführungsverlauf, Protokollierung und Integration in geheime Speicher und Quellcodeverwaltung.
Azure Update Manager verwaltet Updates für virtuelle Computer, um Compliance- und Zeitplanupdates sicherzustellen.
Übernehmen der Bereitschaft und Reaktion auf Vorfälle
Um Ihre Cloud-Umgebung an geschäftsziele auszurichten, entwickeln Sie Bereitschafts- und Reaktionsmechanismen und einen Plan zur Reaktion auf Vorfälle. Behandeln Sie die Bereitschaft von Vorfällen aus zwei Perspektiven: Bedrohungsbereitschaft und Risikominderung sowie Infrastruktur- und Anwendungssicherheit.
Bedrohungserkennung und -entschärfung
Richten Sie Alarmsysteme ein, um ungewöhnliche Aktivitäten in Echtzeit zu erkennen, und integrieren Sie erweiterte Erkennungs- und Reaktionslösungen (XDR) sowie Sicherheitsinformations- und Ereignisverwaltungslösungen (SIEM).
Identifizieren und mindern Sie Sicherheitsrisiken regelmäßig durch Patchverwaltung und Sicherheitsupdates.
Entwickeln und verwalten Sie einen Plan zur Reaktion auf Vorfälle, der Über Erkennungs-, Analyse- und Korrekturschritte verfügt. Automatisieren Sie Entschärfungsaktivitäten, um die Effizienz zu verbessern und menschliche Fehler zu reduzieren. Verwenden Sie beispielsweise ein Runbook, um SQL-Verbindungen automatisch zu sperren, wenn eine SQL-Einfügung erkannt wird.
Infrastruktur- und Anwendungssicherheits-
Integrieren Sie Sicherheitsprüfungen in CI/CD-Pipelines, um eine sichere Entwicklung, Tests und Bereitstellung zu gewährleisten. Schließen Sie statische Codeanalyse, Sicherheitsrisikoüberprüfungen und Complianceprüfungen ein.
Stellen Sie alle Infrastruktur über Code bereit, um Fehlkonfigurationen und nicht autorisierte Bereitstellungen zu verhindern. Colocate IaC assets with application code, and apply the same deployment practices as software.
Azure-Erleichterung
Defender XDR automatisiert die Erkennung und Reaktion auf Bedrohungen.
Bereitstellungsstapel Azure-Ressourcen als einzelne, zusammenhängende Einheit verwalten. Sie können Einstellungen verweigern verwenden, um zu verhindern, dass Benutzer nicht autorisierte Änderungen vornehmen.
Annahme des Grundsatzes der Vertraulichkeit
Implementieren und institutionalisieren Sie Verschlüsselung und sichere Zugriffssteuerungen in Ihrer Unternehmenscloudumgebung effektiv. Implementieren Sie Dlp-Maßnahmen (Data Loss Prevention, Verhinderung von Datenverlust), um vertrauliche Daten während der Übertragung und ruhender Daten zu schützen.
Implementieren von Verschlüsselungs- und sicheren Zugriffssteuerungen zum Schutz vertraulicher Informationen. Schulen Sie Mitarbeiter hinsichtlich der Vertraulichkeit von Daten und DLP-Richtlinien.
Integrieren und Übernehmen von zugehörigen Standards für die Verschlüsselung, z. B. AES-256, und Zugriffssteuerungen, z. B. RBAC und bedingter Zugriff.
Aktivieren Sie die Verschlüsselung in Datenspeichern, und erwägen Sie die Verwaltung Ihrer eigenen Schlüssel. Verwenden Sie nach Möglichkeit zusätzliche Verschlüsselungsebenen.
Wenden Sie RBAC, bedingten Zugriff, Just-in-Time- und just-enough-Zugriffssteuerungen auf alle Datenspeicher an. Überprüfen Sie regelmäßig Berechtigungen, und beschränken Sie den Schreibzugriff auf Konfigurationssysteme.
Entwickeln Sie Standards, um den Datenschutz zu gewährleisten. Verschlüsseln Sie beispielsweise vertrauliche E-Mails mithilfe von Microsoft Purview Information Protection, um den Datenschutz während der Übertragung sicherzustellen.
Azure-Erleichterung
Microsoft Sentinel ist eine skalierbare, cloudeigene SIEM- und SOAR-Lösung für die Bedrohungserkennung, Untersuchung, Reaktion und proaktive Suche.
Azure-Verschlüsselungs- bietet Verschlüsselung für Dienste wie Azure SQL-Datenbank, Cosmos DB und Azure Data Lake. Es unterstützt serverseitige und clientseitige Verschlüsselungsmodelle.
vertraulichen Azure Computing- hilft beim Schutz von Daten, die mit hardwarebasierten vertrauenswürdigen Implementierungsumgebungen verwendet werden, wodurch die Datensicherheit sogar vom Cloudadministratorzugriff verbessert wird.
Microsoft Entra ID stellt die Identitäts- und Zugriffsverwaltung mit MFA, bedingtem Zugriff und einmaligem Anmelden bereit.
Microsoft Entra ID Protection verwendet maschinelles Lernen, um Anmelderisiken und ungewöhnliches Verhalten zu identifizieren, wodurch Identitätskompromittierung und Diebstahl von Anmeldeinformationen verhindert werden.
Microsoft Defender for Identity ist eine cloudbasierte Lösung zum Erkennen und Untersuchen erweiterter Identitätsbedrohungen.
Übernehmen des Grundsatzes der Integrität
Erstellen Sie Ihre Systeme gemäß den Standards, die Sie in früheren Phasen entwickelt haben, um sicherzustellen, dass Daten und Systemintegrität. Schulen Sie Ingenieure, Administratoren und Betreiber in den relevanten Protokollen und Verfahren.
Übernehmen der Datenintegrität.
Automatisieren Sie die Datenklassifizierung nach Möglichkeit. Kennzeichnen Sie Dokumente und Container bei Bedarf manuell. Verwenden Sie vorgefertigte Tools, um vertrauliche Informationen zu identifizieren und Datensätze mit Experteneingaben zu zusammenstellen.
Verwenden Sie integrierte Überprüfungsfeatures in Diensten wie Azure Data Factory. Um die Datenintegrität sicherzustellen und Hashes zum Nachverfolgen von Änderungen zu speichern, verwenden Sie SQL-Funktionen wie
CHECKSUMundBINARY_CHECKSUM.Überwachen Sie Datenspeicher auf Änderungen, und konfigurieren Sie Warnungen für Vorfälle, die sich auf die Datenintegrität auswirken.
Anwenden von Sicherungsrichtlinien auf alle Systeme. Verstehen und Konfigurieren von Sicherungsfunktionen in PaaS- und SaaS-Diensten, z. B. SQL-Datenbank.
Veröffentlichen Sie Anwendungsentwurfsstandards, die Datenintegritätsmechanismen umfassen, z. B. das Nachverfolgen von Konfigurations- und Datenänderungen innerhalb Ihres Datenschemas.
Übernehmen der Systemintegrität.
Verwenden Sie eine robuste Überwachungslösung, um automatisch alle Ressourcen zu registrieren und Warnungen für Vorfallbenachrichtigungen zu aktivieren.
Stellen Sie ein System bereit, das konfigurationen für neue Systeme kontinuierlich registriert und verwaltet.
Implementieren Sie ein Patch-Management-System, das automatisch neue Systeme registriert und Patching gemäß Ihren Richtlinien verwaltet, vorzugsweise mithilfe nativer Cloudplattformtools.
Azure-Erleichterung
Microsoft Purview bietet manuelle und automatische Datenklassifizierung und Vertraulichkeitsbezeichnungen, um Daten zu steuern, zu schützen und zu verwalten.
Azure Arc bietet eine zentrale Verwaltung für Cloud- und lokale Systeme, die Sicherheitsgrundwerte, Richtlinien und Überwachung erweitert.
Update-Manager unterstützt die einheitliche Updateverwaltung für Windows- und Linux-Computer in Azure-, lokalen und Multicloud-Umgebungen mit integrierter Unterstützung für Azure-Richtlinie und Azure Arc.
Annahme des Prinzips der Verfügbarkeit
Konzentrieren Sie sich auf die Einrichtung und Kodifizierung von Betriebspraktiken, die die Verfügbarkeit unterstützen.
Plan for continuous operations, auch unter Angriffsbedingungen. Stellen Sie schnelle Wiederherstellungsprozesse her und pflegen Sie kritische Dienste auf verringerter Ebene.
Implementieren Sie ein gut durchdachtes Überwachungs- und Warnsystem, um Sicherheitsvorfälle in Echtzeit zu erkennen und Reaktionspläne schnell zu initiieren.
Standardisieren Sie Systemupdates, planen Sie regelmäßige Wartungen und führen Sie Integritätsprüfungen durch, um ein optimales Funktionieren zu gewährleisten.
Erzwingen von Sicherheitsstandards durch toolsgestützte Richtlinien, um die Compliance und Auditierbarkeit zu gewährleisten.
Entwickeln und Testen von Notfallwiederherstellungsplänen. Automatisieren Sie Wiederherstellungsaktivitäten, z. B. automatisches Failover in der SQL-Datenbank.
Verwenden sie Vereinbarungen auf Service-Level-Vereinbarungen (Cloud Platform Service Level Agreements, SLAs), um Zielmetriken für Ihre eigenen SLAs zu entwickeln und eine garantierte Betriebszeit für Ihre Workloads sicherzustellen.
Einhaltung von Vorschriften wie der DSGVO und der HIPAA-, um sicherzustellen, dass Systeme hohe Standards erfüllen. Schulen Sie die Mitarbeiter regelmäßig im Compliance- und Risikomanagement.
Azure-Erleichterung
Azure Policy ist eine Richtlinienverwaltungslösung, mit der Organisationsstandards durchgesetzt und die Compliance im großen Maßstab bewertet werden kann.
Defender for Cloud bietet Sicherheitsrichtlinien, die die Einhaltung Ihrer Sicherheitsstandards automatisieren können.
Azure integrierte Wiederherstellungsfunktionen unterstützen Betriebskontinuitäts- und Notfallwiederherstellungspläne.
Übernehmen der Sicherheitserhaltung
Stellen Sie sicher, dass Ihre Arbeitsauslastung Ihre neuen Sicherheitsmechanismen und -praktiken aufrecht erhalten und kontinuierlich verbessern kann.
Erstellen Sie ein Sicherheitsprüfgremium. Überprüfen Sie kontinuierlich Projekte und mandatieren Sie Sicherheitskontrollen. Verbessern Sie die Prozesse regelmäßig, um die Sicherheit prioritätsmäßig zu behalten.
Implementieren Sie eine Lösung für die Sicherheitsrisikoverwaltung. Überwachen und reagieren Sie auf Sicherheitsrisikobewertungen, verfolgen Sie häufige Sicherheitsrisiken, und wenden Sie Maßnahmen regelmäßig an.
Härten Sie die Produktionsinfrastruktur. Befolgen Sie die bewährten Methoden der Branche wie Center for Internet Security (CIS)-Benchmarks, um Ihre Cloud-Umgebung zu sichern.
Verwenden Sie die MITRE ATT-&CK-Wissensdatenbank. Entwickeln Sie Bedrohungsmodelle und Methoden basierend auf realen Angriffstaktiken und -techniken.
Umschalt nach links. Verwenden Sie getrennte Umgebungen für Vorproduktion und Produktion, um Die Sicherheit in alle Entwicklungsphasen zu integrieren.
Azure-Erleichterung
Microsoft Defender Vulnerability Management ist eine umfassende risikobasierte Lösung für das Sicherheitsrisikomanagement. Es identifiziert, bewertet, korrigiert und verfolgt Ihre größten Sicherheitsrisiken in Ihren wichtigsten Ressourcen.