Sûr
Vous pouvez utiliser la méthodologie Secure pour améliorer votre posture de sécurité. Ces conseils sont pertinents pour toutes les méthodologies du Cloud Adoption Framework, car vous devez implémenter la sécurité dans le cadre de chaque phase. Toutes les recommandations de la méthodologie sécurisée respectent les principes de confiance zéro de la compromission (ou de l’hypothèse d’une violation), du privilège minimum et de la vérification explicite de la confiance.
Tirer parti des conseils de sécurité
Ce guide sécurisé du Framework d’adoption du cloud est un composant d’un ensemble global plus large de conseils de sécurité Microsoft conçus pour aider différentes équipes à comprendre et à effectuer leurs responsabilités en matière de sécurité. L’ensemble complet comprend les instructions suivantes :
La méthodologie sécurisée Cloud Adoption Framework fournit des conseils de sécurité pour les équipes qui gèrent l’infrastructure technologique qui prend en charge tous les opérations et développement de charge de travail hébergés sur Azure.
conseils de sécurité d’Azure Well-Architected Framework fournit des conseils pour les propriétaires de charges de travail individuels sur la façon d’appliquer les meilleures pratiques de sécurité aux processus de développement d’applications et DevSecOps et DevSecOps. Microsoft fournit des conseils qui complètent cette documentation sur l’application des pratiques de sécurité et des contrôles DevSecOps dans un cycle de vie de développement de sécurité.
Le benchmark de sécurité cloud Microsoft fournit des conseils de bonnes pratiques pour les parties prenantes afin de garantir une sécurité cloud robuste. Cette aide inclut les bases de référence de sécurité qui décrivent les fonctionnalités de sécurité disponibles et les configurations optimales recommandées pour les services Azure.
conseils sur la confiance zéro fournit des conseils aux équipes de sécurité pour implémenter des fonctionnalités techniques pour prendre en charge une initiative de modernisation de Confiance Zéro.
Tout au long de votre parcours d’adoption du cloud, recherchez des opportunités pour améliorer votre posture de sécurité globale grâce à modernisation, préparation des incidentset réponse. Votre capacité à préparer et à répondre aux incidents peut affecter considérablement votre réussite dans le cloud. Les mécanismes de préparation et les pratiques opérationnelles bien conçus permettent de détecter rapidement les menaces et de réduire le rayon d’explosion des incidents.
Utiliser le modèle triad de LA CIA
La CIA Triad est un modèle fondamental dans la sécurité des informations qui représente trois principes fondamentaux : confidentialité, intégrité et disponibilité.
confidentialité garantit que seules les personnes autorisées peuvent accéder à des informations sensibles. Ce principe inclut des mesures telles que le chiffrement et les contrôles d’accès pour protéger les données contre les accès non autorisés.
Intégrité maintient la précision et l’exhaustivité des données. Ce principe signifie protéger les données contre les altérations ou les falsifications par des utilisateurs non autorisés, ce qui garantit que les informations restent fiables.
disponibilité garantit que les informations et les ressources sont accessibles aux utilisateurs autorisés si nécessaire. Ce principe inclut la maintenance des systèmes et des réseaux pour éviter les temps d’arrêt et garantir l’accès continu aux données.
Voici quelques façons dont les principes de triade peuvent vous aider à garantir la sécurité et la fiabilité :
protection des données : protéger les données sensibles contre les violations en tirant parti du Triad de la CIA, qui garantit la confidentialité et la conformité aux réglementations.
continuité d’activité : garantir l’intégrité et la disponibilité des données pour maintenir les opérations commerciales et éviter les temps d’arrêt.
confiance client : Implémenter le triad de la CIA pour établir une confiance avec les clients et les parties prenantes en démontrant un engagement à la sécurité des données.
Attribuer des rôles
Attribuer des rôles de sécurité appropriés pour vous assurer que votre équipe peut effectuer des fonctions de sécurité pendant chaque phase du cycle de vie du cloud, du développement à l’amélioration continue.
- Mapper vos rôles existants et les fonctions qu’ils couvrent.
- Vérifiez les lacunes.
- Évaluez si votre organisation peut et doit investir pour répondre à ces lacunes.
Vous devez vous assurer que tout le monde comprend son rôle dans la sécurité et comment travailler avec d’autres équipes. Pour atteindre cet objectif, documentez les processus de sécurité inter-équipes et un modèle de responsabilité partagée pour vos équipes techniques. Un modèle de responsabilité partagée est similaire à un modèle responsable, responsable, consulté, informé (RACI). Un modèle de responsabilité partagée permet d’illustrer une approche collaborative, notamment les personnes qui prennent des décisions et les équipes qui doivent travailler ensemble pour des éléments et des résultats particuliers.
Vous devez améliorer en permanence la sécurité pour maintenir une posture de sécurité robuste dans le cloud, car les cybermenaces évoluent en permanence et deviennent plus sophistiquées. Les rétrospectives et la surveillance peuvent vous aider à identifier les domaines susceptibles d’être améliorés. Veillez également à fournir une formation appropriée pour rester à jour avec les menaces et technologies en constante évolution.