Condividi tramite


Migliorare la sicurezza delle zone di destinazione

Quando un carico di lavoro o le zone di destinazione che lo ospitano richiedono l'accesso a dati sensibili o ai sistemi critici, è importante proteggere i dati e gli asset.

Protezione

Quando si esce dallo stato Pronto, si ha la responsabilità costante di mantenere la sicurezza dell'ambiente. La sicurezza cloud è anche un processo incrementale anziché solo una destinazione statica. Concentrarsi sugli obiettivi e sui risultati chiave quando si prevede uno stato finale della sicurezza. Mappare concetti, framework e standard alle discipline nella metodologia di sicurezza di Cloud Adoption Framework insieme al mapping ai ruoli e alle responsabilità per la disciplina umana. La metodologia di sicurezza fornisce indicazioni.

Di seguito viene fornita una panoramica di queste linee guida con collegamenti ai dettagli.

Informazioni dettagliate sui rischi

Le operazioni aziendali presentano rischi per la sicurezza. Il team responsabile della sicurezza deve informare e consigliare ai decision maker il modo in cui i rischi per la sicurezza rientrano nei propri framework comprendendo l'azienda e usando le procedure di sicurezza per riconoscere il rischio da pianificare e intervenire in modo appropriato.

  • Rischi per la cybersecurity: tutti i potenziali danni o distruzione dell'azienda causati da utenti malintenzionati che tentano di rubare valuta, all'interno di informazioni o tecnologie.
  • Allineare la gestione dei rischi di sicurezza: investire nel bridging della cybersecurity e della leadership organizzativa per spiegare le minacce alla sicurezza usando la terminologia aziendale, ascoltando e comunicando attivamente a tutte le persone dell'azienda.
  • Comprendere il rischio di cybersecurity: comprendere le motivazioni e i modelli di comportamento degli utenti malintenzionati per rubare denaro, informazioni o tecnologia e identificare il potenziale impatto di diversi tipi di attacchi.

Integrazione della sicurezza

Assicurarsi che la sicurezza sia un problema dell'organizzazione e non silo in un singolo gruppo. L'integrazione della sicurezza fornisce indicazioni su come integrare la sicurezza nel ruolo di tutti, riducendo al minimo l'attrito con i processi aziendali. Indicazioni specifiche includono:

  • Normalizzazione delle relazioni: assicurarsi che tutti i team siano integrati con i team di sicurezza e abbiano una conoscenza condivisa degli obiettivi di sicurezza. Inoltre, lavorare per trovare il livello corretto di controlli di sicurezza, assicurandosi che i controlli non superino il valore aziendale.
  • Integrazione con le operazioni IT e aziendali: bilanciare l'implementazione degli aggiornamenti della sicurezza e il mapping del modo in cui tutti i processi di sicurezza influiscono sull'impatto aziendale corrente e sui potenziali rischi per la sicurezza in futuro.
  • Integrare i team di sicurezza: evitare di operare in silo rispondendo alle minacce attive e migliorando continuamente il comportamento di sicurezza dell'organizzazione praticando la sicurezza come disciplina dinamica.

Resilienza aziendale

Anche se le organizzazioni non possono mai avere una sicurezza perfetta, esiste ancora l'approccio pragmatico della resilienza aziendale nell'investire il ciclo di vita completo di un rischio di sicurezza prima, durante e dopo un evento imprevisto.

  • Obiettivi di resilienza: concentrarsi su come consentire all'azienda di innovare rapidamente, limitare l'impatto e cercare sempre modi sicuri per adottare la tecnologia.
  • Resilienza della sicurezza e presupporre violazioni: si supponga di violare o compromettere il principio chiave di Zero Trust e di praticare comportamenti di sicurezza pragmatici per prevenire attacchi, limitare i danni e ottenere un ripristino rapido da essi.

Controllo di accesso

Creare una strategia di controllo di accesso che allinea sia l'esperienza utente che le garanzie di sicurezza.

  • Dal perimetro di sicurezza a Zero Trust: adottare un approccio Zero Trust per il controllo di accesso per stabilire e migliorare le garanzie di sicurezza quando si lavora nel cloud e usando una nuova tecnologia.
  • Controllo di accesso moderno: rendere una strategia di controllo di accesso completa, coerente e flessibile. Andare oltre una singola tattica o tecnologia per più carichi di lavoro, cloud e vari livelli di riservatezza aziendale.
  • Nota, attendibile, consentita: seguire il processo in tre passaggi dinamico per garantire l'autenticazione nota, considerare attendibile l'utente o il dispositivo e consentire i diritti e i privilegi appropriati per l'applicazione, il servizio o i dati.
  • Decisioni di accesso basate sui dati: prendere decisioni informate dai diversi dati sugli utenti e sui dispositivi per soddisfare la convalida esplicita.
  • Segmentazione: separata da proteggere: creare limiti come segmenti separati di un ambiente interno per contenere danni di attacchi riusciti.
  • Isolamento: evitare firewall e dimenticare: progettare una forma estrema di segmentazione per asset critici per l'azienda costituiti da persone, processi e tecnologie.

Operazioni per la sicurezza

Stabilire operazioni di sicurezza riducendo i rischi, rispondendo rapidamente e eseguendo il ripristino per proteggere l'organizzazione e seguire la disciplina di sicurezza del processo DevOps.

  • Persone e processi: creare una cultura per consentire alle persone con strumenti di abilitarli come asset più prezioso e diversificare il portfolio di idee includendo e formare persone non tecniche con forti background nei ruoli di indagine forense.
  • Modello di operazioni di sicurezza: concentrarsi sui risultati della gestione degli eventi imprevisti, della preparazione degli eventi imprevisti e dell'intelligence sulle minacce. Delegare i risultati tra i sottoteam per valutare, analizzare e cercare eventi imprevisti complessi e volumi elevati.
  • Punti di contatto aziendali secOps: interagire con la leadership aziendale per informare gli eventi imprevisti principali e determinare l'impatto dei sistemi critici. Risposta congiunta continua alla pratica per ridurre i rischi dell'organizzazione.
  • Modernizzazione secOps: evolvere le operazioni di sicurezza seguendo le tendenze che coinvolgono la copertura della piattaforma, la sicurezza incentrata sulle identità, i dispositivi IoT e OT e i dati di telemetria pertinenti dal cloud.

Protezione degli asset

Proteggere gli asset business critical, che includono tutti gli elementi fisici e virtuali implementando controlli di sicurezza univoci per ogni tipo di asset. Eseguire costantemente la protezione preventiva e detective per soddisfare criteri, standard e architettura.

  • Ottieni sicurezza: portare le risorse agli standard e ai criteri di sicurezza più recenti dell'organizzazione applicando i controlli correnti agli asset brownfield e assicurando che gli asset greenfield siano impostati sugli standard più recenti.
  • Mantieni la sicurezza: praticare il miglioramento continuo del cloud e pianificare l'aggiornamento o il ritiro di software end-of-life come requisiti aziendali, tecnologici e di sicurezza cambiano rapidamente.
  • Introduzione: iniziare a proteggere gli asset concentrandosi prima sulle risorse cloud note e usare baseline di fornitori/settori noti e collaudati per la configurazione della sicurezza.
  • Informazioni chiave: usare gli elementi chiave dei team responsabili e responsabili per gestire asset a livello aziendale, ad esempio le esigenze del carico di lavoro per l'elasticità del cloud e i controlli di progettazione per identificare le procedure consigliate. Misurare il valore aziendale della protezione degli asset e favorire i criteri automatizzati per evitare costi e ripetizioni manuali.

Governance della sicurezza

Eseguire supervisione e monitoraggio con la governance della sicurezza per sostenere e migliorare il comportamento di sicurezza nel tempo usando obiettivi aziendali e rischi per determinare la direzione migliore per la sicurezza.

  • Conformità e creazione di report: i criteri di sicurezza esterni e interni soddisfano i requisiti obbligatori in un determinato settore.
  • Architettura e standard: creare una visualizzazione unificata nell'ambiente aziendale, perché la maggior parte delle aziende è un ambiente ibrido che include sia risorse locali che cloud.
  • Gestione del comportamento di sicurezza: pianificare la governance per monitorare gli standard di sicurezza, fornire indicazioni e migliorare i processi. Mantenere l'agilità grazie alla governance guidata tramite criteri e miglioramento continuo.
  • Discipline di governance e protezione: applicare i controlli di sicurezza e fornire feedback per identificare le soluzioni migliori.
  • Governance e operazioni di sicurezza: assicurarsi che le lezioni apprese dagli eventi imprevisti siano integrate nelle operazioni di sicurezza e nella governance.

Sicurezza dell'innovazione

Proteggere i processi e i dati dell'innovazione da attacchi informatici man mano che vengono sviluppate nuove applicazioni tenendo presente la sicurezza dell'innovazione.

  • DevSecOps: sicurezza integrata nel processo già combinato di sviluppo e operazioni in DevOps per attenuare i rischi nel processo di innovazione.
  • Sicurezza da progettazione e spostamento a sinistra: coinvolgere la sicurezza in tutte le fasi del ciclo di vita di DevOps e allineare i team alla velocità, all'affidabilità e alla resilienza dell'innovazione.
  • Perché DevSecOps: per proteggere il processo DevOps da utenti malintenzionati che sfruttano i punti deboli in tutta l'infrastruttura IT all'interno dell'organizzazione, che a sua volta protegge i clienti.
  • Il percorso DevSecOps: usare l'incubazione idea e DevOps come processo in due fasi come la maggior parte delle organizzazioni. Identificare i requisiti di MVP (prodotto minimo valido), usare le tecniche di leadership per risolvere i conflitti dei team e integrare la sicurezza nei processi e negli strumenti esistenti.
  • Suggerimenti per esplorare il percorso: man mano che si trasforma la sicurezza, ci saranno sfide comuni durante il percorso che coinvolgeranno l'istruzione, il tempo, il resourcing e la natura complessiva delle operazioni IT.

Controlli DevSecOps

Aggiungere sicurezza a ogni fase dell'integrazione continua e del recapito continuo (CI/CD) durante la creazione di controlli DevSecOps.

  • Proteggere la progettazione: portare la sicurezza alla fase di pianificazione nelle metodologie di sviluppo moderne per implementare la modellazione delle minacce, i plug-in di sicurezza dell'IDE/il pre-commit e la revisione peer.
  • Proteggere il codice: valutare e implementare la funzionalità di analisi delle vulnerabilità nei repository centralizzati per individuare i rischi ed eseguire la correzione.
  • Proteggere la pipeline: usare pipeline di compilazione e versione per l'automazione e la standardizzazione per i processi di compilazione e distribuzione di codice sicuro senza dedicare molto tempo alla ridistribuzione o all'aggiornamento degli ambienti esistenti.
  • Operazioni sicure: supervisionare e gestire lo stato di sicurezza quando la soluzione viene portata in produzione. Usare gli strumenti di analisi dell'infrastruttura e le procedure di test di penetrazione per consentire ai team di individuare rischi e vulnerabilità da affrontare.

Ciclo di sviluppo basato su test

Prima di iniziare qualsiasi miglioramento della sicurezza, è importante comprendere la "definizione di fatto" e tutti i "criteri di accettazione". Per altre informazioni, vedere gli articoli sullo sviluppo basato su test delle zone di destinazione e sullo sviluppo basato su test in Azure.

Passaggi successivi

Informazioni su come migliorare le operazioni delle zone di destinazione per supportare le applicazioni critiche.