Considérations relatives à la sécurité pour votre stratégie cloud
Vous avez besoin d’une stratégie de sécurité bien conçue pour une adoption réussie du cloud. Si votre organisation utilise des environnements locaux traditionnels, vous devez évaluer votre expertise cloud et vous concentrer spécifiquement sur la sécurité cloud. Pour gérer la sécurité dans le cloud, vous devrez peut-être apporter des modifications significatives à la structure de votre équipe de sécurité et à votre approche globale de sécurité.
Les modifications potentielles apportées à votre organisation peuvent introduire un stress et un conflit. Pour une adoption réussie du cloud, assurez-vous que vos équipes de gestion fournissent un support et présentent clairement les modifications apportées à d’autres équipes.
Résoudre les problèmes courants
Faites évoluer votre mentalité. La sécurité locale est généralement une pratique étroitement axée sur laquelle une petite équipe d’ingénieurs et d’administrateurs d’opérations peut gérer. La sécurité cloud nécessite une participation de l’ensemble de l’organisation et l’étendue des équipes de sécurité s’étend de manière significative. La surface d’attaque d’un environnement local est principalement au niveau du périmètre. Dans un environnement cloud, chaque ressource est un vecteur d’attaque potentiel, de sorte que les équipes de sécurité doivent adapter leur approche en conséquence.
Ajustez les équipes et les rôles. La sécurité cloud, en particulier pour les grandes organisations, implique des rôles spécialisés. Pour vous assurer que vous n’avez pas de lacunes dans votre gestion de la sécurité, vous devrez peut-être ajouter de nouvelles équipes ou réorganiser des équipes existantes.
Recommandations :
Introduisez les conversations de sécurité dès le début. Démarrez des conversations de sécurité avec les bonnes parties prenantes au début de votre processus d’adoption du cloud. Cette approche vous permet de vous assurer que vous pouvez préparer l’alignement de l’organisation dès le début.
Comprendre les équipes de sécurité modernes, les rôles et les fonctions. Passez en revue les conseils du Framework d’adoption du cloud sur les équipes de sécurité, les rôles et les fonctions . Ces instructions expliquent comment implémenter la sécurité de bout en bout.
Adoptez la méthodologie sécurisée du Framework d’adoption du cloud. Utilisez la méthodologie Cloud Adoption Framework Secure pour appliquer les meilleures pratiques de sécurité Microsoft à chaque étape de votre parcours d’adoption du cloud. Les conseils pour chaque phase incluent plusieurs approches de sécurité, notamment la modernisation de la posture de sécurité, la préparation et la réponse aux incidents, le maintien de la sécurité et la confidentialité, l’intégrité et la disponibilité (CIA).
Comprendre l’initiative Microsoft Secure Future
En tant que fournisseur de cloud mondial, Microsoft hiérarchise la sécurité au-dessus de toutes les autres préoccupations et reconnaît le besoin essentiel d’empêcher les violations de sécurité. L'Microsoft Secure Future Initiative répond à ces préoccupations et fournit une approche globale pour créer et gérer des produits Microsoft.
La mesure dans laquelle vous hiérarchiser la sécurité par rapport à d’autres préoccupations, telles que la fiabilité, les performances et les coûts, dépend de nombreux facteurs. Vous définissez ces facteurs lorsque vous créez votre stratégie d’adoption globale. Quelles que soient vos priorités, vous devez comprendre les piliers de l’initiative Microsoft Secure Future pour vous concentrer sur les domaines clés de la sécurité de votre patrimoine cloud que vous souhaitez renforcer.
Adopter une stratégie confiance zéro
Les principes de confiance zéro créent la base de la stratégie de sécurité Microsoft. Zero Trust est une stratégie de sécurité prête pour le cloud qui se compose de trois principes principaux :
Vérifier explicitement : toujours authentifier et autoriser en fonction de tous les points de données disponibles.
Utilisez le principe du moindre privilège : limitez l’accès utilisateur avec un accès juste-à-temps et un accès juste-suffisant, des stratégies adaptatives basées sur les risques et la protection des données.
Présumez une violation : réduisez la portée d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir une visibilité, générer la détection des menaces et améliorer les défenses.
Les principes de confiance zéro guident vos décisions lorsque vous concevez, implémentez et exploitez un patrimoine cloud. Ils fournissent un point de référence clair à vérifier, ce qui permet de s’assurer que vos choix ne compromettent pas la sécurité.
Utilisez les conseils de Microsoft Confiance Zéro pour simplifier l’intégration d’une approche Confiance Zéro à votre stratégie de sécurité. Conseils sur la confiance zéro :
Fournit un framework d’adoption étroitement axé et structuré qui s’aligne sur les phases de parcours d’adoption du Framework d’adoption du cloud pour Azure. Utilisez ces conseils pour aligner votre adoption globale du cloud avec l’approche Confiance Zéro.
Explique comment azure, Microsoft 365et services IA peuvent vous aider à aligner votre patrimoine cloud sur les principes de confiance Zéro.
Fournit des conseils sur l’alignement de vos pratiques de développement aux principes de confiance Zéro.
Recommandations :
- Adoptez la confiance zéro. Utilisez les conseils de Microsoft Confiance Zéro pour implémenter des principes de confiance Zéro, ce qui contribue à favoriser un état d’esprit de sécurité d’abord.
Utiliser les ateliers CISO et MCRA
Microsoft propose des ateliers pour aider les décideurs et les architectes à appliquer les meilleures pratiques à leur adoption du cloud. L’atelier directeur de la sécurité de l’information (CISO) se concentre sur une approche approfondie de la modernisation des pratiques de cybersécurité du point de vue du CISO et d’autres rôles de haut niveau.
L’atelier Microsoft Cybersecurity Reference Architecture (MCRA) se concentre sur la façon d’appliquer les meilleures pratiques architecturales à vos conceptions d’environnement cloud. Les principes de confiance zéro créent la base des conseils des ateliers CISO et MCRA. Les ateliers s’alignent également sur les meilleures pratiques Microsoft dans le Cloud Adoption Framework, Azure Well-Architected Framework et les recommandations de sécurité Confiance Zéro.
Recommandations :
- Consultez les responsables de l’équipe sur les ateliers CISO et MCRA. Envisagez d’investir dans un ou plusieurs ateliers dirigés par Microsoft. Tirez parti des ateliers CISO et MCRA en particulier. Pour le matériel de l’atelier dirigé par Microsoft, consultez les ressources d’adoption de la sécurité.