Consideraciones de seguridad para la estrategia en la nube
Necesita una estrategia de seguridad bien diseñada para una adopción correcta de la nube. Si su organización usa entornos locales tradicionales, debe evaluar su experiencia en la nube y centrarse específicamente en la seguridad en la nube. Para administrar la seguridad en la nube, es posible que tenga que realizar cambios significativos en la estructura del equipo de seguridad y en el enfoque general de seguridad.
Los posibles cambios en su organización podrían introducir estrés y conflictos. Para una adopción correcta de la nube, asegúrese de que los equipos de administración proporcionan soporte técnico y presentan claramente cambios en otros equipos.
Abordar los desafíos comunes
Evoluciona tu mentalidad. La seguridad local suele ser una práctica estrechamente centrada en que un pequeño equipo de ingenieros y administradores de operaciones pueda controlar. La seguridad en la nube requiere la participación de toda la organización y el ámbito de los equipos de seguridad se expande significativamente. La superficie expuesta a ataques de un entorno local se encuentra principalmente en el perímetro. En un entorno de nube, cada recurso es un vector de ataque potencial, por lo que los equipos de seguridad deben adaptar su enfoque en consecuencia.
Ajuste los equipos y los roles. La seguridad en la nube, especialmente para organizaciones grandes, implica roles especializados. Para asegurarse de que no tiene brechas en la administración de seguridad, es posible que tenga que agregar nuevos equipos o reorganizar los equipos existentes.
Recomendaciones:
Introducir conversaciones de seguridad al principio. Inicie conversaciones de seguridad con las partes interesadas adecuadas al principio del proceso de adopción de la nube. Este enfoque ayuda a asegurarse de que puede prepararse para la alineación organizativa desde el principio.
Comprender los equipos de seguridad, los roles y las funciones modernos. Consulta la guía de Cloud Adoption Framework sobre equipos de seguridad, roles y funciones. En esta guía se describe cómo implementar la seguridad de un extremo a otro.
Adopte la metodología segura de Cloud Adoption Framework. Use la metodología segura de Cloud Adoption Framework para aplicar los procedimientos recomendados de seguridad de Microsoft en cada fase del recorrido de adopción de la nube. La guía para cada fase incluye varios enfoques de seguridad, como la modernización del estado de seguridad, la preparación y respuesta ante incidentes, el mantenimiento de la seguridad y la Confidencialidad, Integridad y Tríada de Disponibilidad (CIA).
Descripción de la iniciativa de futuro seguro de Microsoft
Como proveedor de nube mundial, Microsoft prioriza la seguridad por encima de todos los demás problemas y reconoce la necesidad crítica de evitar infracciones de seguridad. La Microsoft Secure Future Initiative aborda estos problemas y proporciona un enfoque general para crear y mantener productos de Microsoft.
La medida en la que priorice la seguridad sobre otros problemas, como la confiabilidad, el rendimiento y los costos, depende de muchos factores. Estos factores se definen al crear la estrategia general de adopción. Independientemente de sus prioridades, debe comprender los pilares de la Iniciativa de futuro seguro de Microsoft para ayudar a centrarse en las áreas clave de la seguridad de su patrimonio en la nube que desea reforzar.
Adopción de una estrategia de confianza cero
Los principios de confianza cero crean la base de la estrategia de seguridad de Microsoft. Confianza cero es una estrategia de seguridad lista para la nube que consta de tres principios principales:
Comprobar explícitamente: realiza siempre las operaciones de autorización y autenticación en función de todos los puntos de datos disponibles.
Usar privilegios mínimos: limita el acceso de los usuarios con acceso Just-In-Time y Just-Enough, directivas adaptables basadas en riesgos y protección de datos.
Asumir la existencia de brechas: minimiza el radio de expansión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.
Los principios de confianza cero guían sus decisiones al diseñar, implementar y operar un patrimonio en la nube. Proporcionan un punto de referencia claro con el que comprobar, lo que ayuda a garantizar que las opciones no pongan en peligro la seguridad.
Use la guía de Confianza cero de Microsoft para simplificar la integración de un enfoque de confianza cero en su estrategia de seguridad. Guía de confianza cero:
Proporciona un marco de adopción estrechamente centrado y estructurado que se alinea con las fases del recorrido de adopción de Cloud Adoption Framework para Azure. Use esta guía para alinear la adopción general de la nube con el enfoque confianza cero.
Explica cómo Azure, Microsoft 365y los servicios de inteligencia artificial pueden ayudarle a alinear su entorno de la nube con los principios de Zero Trust.
Proporciona instrucciones sobre cómo alinear los procedimientos de desarrollo de a los principios de confianza cero.
Recomendaciones:
- Adoptar confianza cero. Use la guía de Confianza cero de Microsoft para implementar principios de confianza cero, lo que ayuda a impulsar una mentalidad de seguridad primero.
Uso de los talleres CISO y MCRA
Microsoft ofrece talleres para ayudar a los responsables de la toma de decisiones y a los arquitectos a aplicar los procedimientos recomendados a su adopción de la nube. El taller director de seguridad de la información (CISO) se centra en un enfoque exhaustivo para modernizar las prácticas de ciberseguridad desde la perspectiva del CISO y otros roles de liderazgo sénior.
El taller de Arquitectura de referencia de ciberseguridad de Microsoft (MCRA) se centra en cómo aplicar los procedimientos recomendados de arquitectura a los diseños de entorno en la nube. Los principios de confianza cero crean la base para las instrucciones de los talleres CISO y MCRA. Los talleres también se alinean con los procedimientos recomendados de Microsoft en Cloud Adoption Framework, Azure Well-Architected Framework y recomendaciones de seguridad de Confianza cero.
Recomendaciones:
- Consulte con los líderes del equipo sobre los talleres de CISO y MCRA. Considera la posibilidad de invertir en uno o más talleres impartidos por Microsoft. Aproveche las ventajas de los talleres CISO y MCRA en particular. Para obtener material de taller dirigido por Microsoft, consulte Recursos de adopción de seguridad.