Seguro
Puede usar el de metodología segura de para mejorar la posición de seguridad. Esta guía es relevante para todas las metodologías de Cloud Adoption Framework, ya que debe implementar la seguridad como parte integral de cada fase. Todas las recomendaciones de la metodología de seguridad cumplen los principios de confianza cero de asumir el riesgo (o asumir vulneración), el privilegio mínimo y la comprobación explícita de la confianza.
Aprovechar las instrucciones de seguridad
Esta guía segura de Cloud Adoption Framework es un componente de un conjunto integral más amplio de instrucciones de seguridad de Microsoft diseñadas para ayudar a varios equipos a comprender y realizar sus responsabilidades de seguridad. El conjunto completo incluye las instrucciones siguientes:
La metodología segura de Cloud Adoption Framework proporciona instrucciones de seguridad para los equipos que administran la infraestructura tecnológica que admite todas las operaciones y desarrollo de cargas de trabajo hospedadas en Azure.
guía de seguridad de Azure Well-Architected Framework proporciona instrucciones para los propietarios de cargas de trabajo individuales sobre cómo aplicar procedimientos recomendados de seguridad al desarrollo de aplicaciones y a los procesos de DevOps y DevSecOps. Microsoft proporciona instrucciones que complementan esta documentación sobre cómo aplicar prácticas de seguridad y controles de DevSecOps en un ciclo de vida de desarrollo de seguridad.
El de pruebas comparativas de seguridad en la nube de Microsoft proporciona instrucciones de procedimientos recomendados para las partes interesadas para garantizar una sólida seguridad en la nube. Esta guía incluye líneas base de seguridad que describen las características de seguridad disponibles y las configuraciones óptimas recomendadas para los servicios de Azure.
guía de confianza cero proporciona instrucciones para que los equipos de seguridad implementen funcionalidades técnicas para admitir una iniciativa de modernización de confianza cero.
A lo largo del recorrido de adopción de la nube, busque oportunidades para mejorar la posición general de seguridad a través de modernización, preparación de incidentesy respuesta. La capacidad de prepararse y responder a incidentes puede afectar significativamente al éxito en la nube. Los mecanismos de preparación bien diseñados y las prácticas operativas permiten la detección rápida de amenazas y ayudan a minimizar el radio de explosión de incidentes.
Uso del modelo triad de la CIA
El triad de la CIA es un modelo fundamental en la seguridad de la información que representa tres principios básicos: confidencialidad, integridad y disponibilidad.
de confidencialidad garantiza que solo las personas autorizadas puedan acceder a la información confidencial. Este principio incluye medidas como el cifrado y los controles de acceso para proteger los datos contra el acceso no autorizado.
integridad mantiene la precisión y la integridad de los datos. Este principio significa proteger los datos de alteraciones o alteraciones por parte de usuarios no autorizados, lo que garantiza que la información siga siendo confiable.
Disponibilidad garantiza que la información y los recursos sean accesibles para los usuarios autorizados cuando sea necesario. Este principio incluye el mantenimiento de sistemas y redes para evitar el tiempo de inactividad y garantizar el acceso continuo a los datos.
Algunas maneras en que los principios de la triad pueden ayudar a garantizar la seguridad y la confiabilidad incluyen:
Protección de datos: Proteger datos confidenciales frente a infracciones aprovechando la Triad de la CIA, lo que garantiza la privacidad y el cumplimiento de las normativas.
Continuidad empresarial: Garantizar la integridad y la disponibilidad de los datos para mantener las operaciones empresariales y evitar el tiempo de inactividad.
confianza del cliente: Implementar la Triad de la CIA para crear confianza con los clientes y las partes interesadas al demostrar un compromiso con la seguridad de los datos.
Asignación de roles
Asignar roles de seguridad adecuados para ayudar a garantizar que el equipo pueda llevar a cabo funciones de seguridad durante cada fase del ciclo de vida de la nube, desde el desarrollo hasta la mejora continua.
- Asigne los roles existentes y las funciones que cubren.
- Compruebe si hay huecos.
- Evalúe si su organización puede e invertir para abordar esas brechas.
Debe asegurarse de que todos comprendan su rol en la seguridad y cómo trabajar con otros equipos. Para lograr este objetivo, documente los procesos de seguridad entre equipos y un modelo de responsabilidad compartida para los equipos técnicos. Un modelo de responsabilidad compartida es similar a un modelo responsable, responsable, consultado, informado (RACI). Un modelo de responsabilidad compartida ayuda a ilustrar un enfoque colaborativo, incluido quién toma decisiones y qué equipos deben hacer para trabajar juntos para determinados elementos y resultados.
Debe mejorar continuamente la seguridad para mantener una posición de seguridad sólida en la nube, ya que las ciberamenazas evolucionan continuamente y se vuelven más sofisticadas. Las retrospectivas y la supervisión pueden ayudarle a identificar áreas que podrían beneficiarse de la mejora. Asegúrese también de proporcionar un entrenamiento adecuado para mantenerse al día con las amenazas y tecnologías en evolución.