Déterminer les conditions requises liées à la propriété
Cet article est tiré d’une série d’articles qui fournissent de l’aide lorsque vous concevez une solution de gestion de la posture de sécurité cloud (CSPM) et de protection des charges de travail cloud (CWP) sur l’ensemble des ressources multicloud avec Microsoft Defender pour le cloud.
Objectif
Identifiez les équipes impliquées dans votre solution de sécurité multicloud et planifiez leur façon de s’aligner les unes avec les autres et de collaborer.
Fonctions de sécurité
Selon la taille de votre organisation, les équipes distinctes gèrent les fonctions de sécurité. Dans une entreprise complexe, les fonctions peuvent être nombreuses.
| Fonction de sécurité | Détails |
|---|---|
| Opérations de sécurité (SecOps) | Réduire les risques organisationnels en réduisant le temps pendant lequel les mauvais acteurs ont accès aux ressources de l’entreprise. Détection réactive, analyse, réponse et correction des attaques. Chasse proactive aux menaces. |
| Architecture de la sécurité | Conception de sécurité récapitulant et documentant les composants, outils, processus, équipes et technologies qui protègent votre entreprise contre les risques. |
| Gestion de la conformité de la sécurité | Processus qui garantissent que l’organisation est conforme aux exigences réglementaires et aux stratégies internes. |
| Sécurité des personnes | Protection de l’organisation contre les risques humains en matière de sécurité. |
| Sécurité des applications et DevSecOps | Intégration de la sécurité dans les processus et applications DevOps. |
| Sécurité des données | Protection de vos données organisationnelles. |
| Sécurité d’infrastructure et de point de terminaison | Fournir une protection, une détection et une réponse pour l’infrastructure, les réseaux et les périphériques de point de terminaison utilisés par les applications et les utilisateurs. |
| Gestion des identités et des clés | Authentification et autorisation des utilisateurs, des services, des périphériques et des applications. Fournissez une distribution et un accès sécurisés pour les opérations de chiffrement. |
| Renseignement sur les menaces | Prendre des décisions et agir sur les renseignements sur les menaces de sécurité qui fournit des informations contextuelles et exploitables sur les attaques actives et les menaces potentielles. |
| Gestion de la posture | Rapports continus sur votre posture de sécurité organisationnelle et son amélioration. |
| Préparation aux incidents | Création d’outils, de processus et d’expertise pour répondre aux incidents de sécurité. |
Alignement de l’équipe
Malgré les nombreuses équipes qui gèrent la sécurité cloud, il est essentiel qu’elles travaillent ensemble pour déterminer qui est responsable de la prise de décision dans l’environnement multicloud. Le manque de propriété crée des frictions qui peuvent entraîner le blocage de projets et des déploiements non sécurisés qui n’ont pas pu attendre l’approbation de la sécurité.
Le leadership en matière de sécurité, le plus souvent attribué au responsable de la sécurité des systèmes d’information (CISO), doit spécifier qui est responsable de la prise de décisions de sécurité. En règle générale, les responsabilités s’alignent comme résumé dans le tableau.
| Category | Description | Équipe type |
|---|---|---|
| Sécurité des points de terminaison de serveur | Surveillance et correction de la sécurité du serveur, inclut la mise à jour corrective, la configuration, la sécurité des points de terminaison, etc. | Responsabilité conjointe des équipes des opérations informatiques centrales et de la sécurité d’infrastructure et de point de terminaison |
| Surveillance et traitement des incidents | Examinez et corrigez les incidents de sécurité dans la console SIEM ou source de votre organisation. | Équipe des opérations de sécurité. |
| Gestion des stratégies | Définir l’orientation de contrôle d’accès en fonction du rôle Azure (RBAC Azure), de Microsoft Defender pour le cloud, de la stratégie de protection de l’administrateur et d’Azure Policy afin de gouverner des ressources Azure, des suggestions AWS/GCP personnalisées, etc. | Responsabilité conjointe des équipes des stratégies et des normes et d’architecture de sécurité. |
| gestion des menaces et des vulnérabilités | Conservez une visibilité et un contrôle complets de l’infrastructure pour vous assurer que les problèmes critiques sont découverts et corrigés aussi efficacement que possible. | Responsabilité conjointe des équipes des opérations informatiques centrales et de la sécurité d’infrastructure et de point de terminaison |
| Charges de travail d’application | Concentrez-vous sur les contrôles de sécurité pour des charges de travail spécifiques. L’objectif est d’intégrer des garanties de sécurité dans les processus de développement et les applications métier (LOB) personnalisées. | Responsabilité conjointe des équipes du développement d’applications et des opérations informatiques centrales. |
| Sécurité et normes relatives aux identités | Comprendre l’index PCI (Permission Creep Index) pour les abonnements Azure, les comptes AWS et les projets GCP, afin d’identifier les risques associés à des autorisations inutilisées ou excessives entre les identités et les ressources. | Responsabilité conjointe des équipes de gestion des identités et des clés, des stratégies et normes et d’architecture de la sécurité. |
Meilleures pratiques
- Bien que la sécurité multicloud puisse être divisée entre différents domaines de l’entreprise, les équipes doivent gérer la sécurité sur l’ensemble de l’infrastructure multicloud. Il est préférable de disposer d’équipes différentes pour sécuriser différents environnements cloud. Par exemple, où une équipe gère Azure et une autre équipe gère AWS. Avoir des équipes travaillant dans des environnements multiclouds permet d’empêcher l’expansion au sein de l’organisation. Cela permet aussi de s’assurer que les stratégies de sécurité et les exigences de conformité sont appliquées dans chaque environnement.
- Souvent, les équipes qui gèrent Defender pour le cloud ne disposent pas des privilèges pour corriger les suggestions dans les charges de travail. Par exemple, l’équipe Defender pour le cloud peut ne pas être en mesure de corriger les vulnérabilités dans une instance AWS EC2. L’équipe de sécurité peut être responsable de l’amélioration de la posture de sécurité, mais elle ne peut pas corriger les suggestions de sécurité résultantes. Pour résoudre ce problème :
- Il est impératif d’impliquer les propriétaires de charge de travail AWS.
- L’attribution de propriétaires avec des dates d’échéance et la définition de règles de gouvernance créent une responsabilité et une transparence, car vous dirigez les processus pour améliorer la posture de sécurité.
- Il est impératif d’impliquer les propriétaires de charge de travail AWS.
- Selon les modèles d’organisation, nous voyons généralement ces options pour les équipes de sécurité centrales qui fonctionnent avec les propriétaires de charge de travail :
Option 1 : Modèle centralisé. Les contrôles de sécurité sont définis, déployés et surveillés par une équipe centrale.
- L’équipe de sécurité centrale décide quelles stratégies de sécurité seront implémentées dans l’organisation et qui dispose d’autorisations pour contrôler la stratégie définie.
- L’équipe peut également avoir le pouvoir de corriger les ressources non conformes et d’appliquer l’isolation des ressources en cas de problème de sécurité ou de configuration.
- En revanche, les propriétaires de charges de travail sont responsables de la gestion de leurs charges de travail cloud, mais doivent suivre les stratégies de sécurité que l’équipe centrale a déployées.
- Ce modèle convient le mieux aux entreprises disposant d’un niveau élevé d’automatisation, afin de garantir des processus de réponse automatisés aux vulnérabilités et aux menaces.
Option 2 : modèle décentralisé. – Les contrôles de sécurité sont définis, déployés et surveillés par les propriétaires de charge de travail.
- Le déploiement du contrôle de sécurité est effectué par les propriétaires de charge de travail, car ils possèdent l’ensemble des stratégies et peuvent donc décider quelles stratégies de sécurité sont applicables à leurs ressources.
- Les propriétaires doivent connaître, comprendre et agir sur les alertes et suggestions de sécurité pour leurs propres ressources.
- L’équipe de sécurité centrale d’autre part agit uniquement comme une entité de contrôle, sans accès en écriture à l’une des charges de travail.
- L’équipe de sécurité a généralement des insights sur la posture globale de sécurité de l’organisation et peut tenir les propriétaires de charge de travail responsables pour améliorer leur posture de sécurité.
- Ce modèle est le plus adapté aux organisations qui ont besoin de visibilité dans leur posture globale de sécurité, mais qui, en même temps, souhaitent laisser la responsabilité de la sécurité aux propriétaires de la charge de travail.
- Actuellement, la seule façon d’obtenir l’option 2 dans Defender pour le cloud consiste à affecter les propriétaires de charge de travail avec des autorisations de lecteur de sécurité à l’abonnement qui héberge la ressource de connecteur multicloud.
Étapes suivantes
Dans cet article, vous avez appris à déterminer les exigences liées à la propriété lors de la conception d’une solution de sécurité multicloud. Passez à l’étape suivante pour déterminer les exigences liées au contrôle d’accès.