Panoramica sicura
La metodologia Cloud Adoption Framework per Azure Secure offre un approccio strutturato per proteggere il cloud estate di Azure.
Le indicazioni contenute in questa serie di articoli forniscono raccomandazioni rilevanti per tutte le metodologie all'interno di Cloud Adoption Framework, perché la sicurezza deve essere parte integrante di ogni fase del percorso di adozione del cloud. Di conseguenza, è possibile trovare articoli allineati a ogni metodologia che fornisca raccomandazioni sulla sicurezza da considerare durante ogni fase del percorso di adozione del cloud.
Tutte le raccomandazioni contenute in queste linee guida rispettano i principi Zero Trust di presupporre compromissione (o presupporre violazione), privilegi minimi e verifica esplicita dell'attendibilità che deve guidare la strategia di sicurezza, l'architettura e l'implementazione.
Linee guida per la sicurezza olistica
La sicurezza è una disciplina complessa e complessa da considerare in quasi tutti gli aspetti degli ambienti cloud e tecnologici. Considerare i punti chiave seguenti:
Qualsiasi elemento è un potenziale vettore di attacco o di destinazione: nel mondo attuale, gli utenti malintenzionati possono sfruttare qualsiasi debolezza nelle persone, nei processi e nelle tecnologie di un'organizzazione per raggiungere i propri obiettivi dannosi.
La sicurezza è uno sport di squadra: per difendersi da questi attacchi, è necessario un approccio coordinato tra team aziendali, tecnologici e di sicurezza. Ogni team deve contribuire alle attività di sicurezza e collaborare in modo efficace. Per informazioni sui vari ruoli necessari per proteggere le risorse di Azure, vedere Teams e ruoli.
Questa guida sicura di Cloud Adoption Framework è un componente di un set olistico più ampio di linee guida per la sicurezza Microsoft progettate per aiutare i vari team a comprendere ed eseguire le proprie responsabilità di sicurezza. Il set completo include le indicazioni seguenti:
La metodologia di sicurezza di Cloud Adoption Framework fornisce indicazioni sulla sicurezza per i team che gestiscono l'infrastruttura tecnologica che supporta tutte le operazioni e lo sviluppo del carico di lavoro ospitati in Azure.
Le linee guida per la sicurezza di Azure Well-Architected Framework forniscono indicazioni per i singoli proprietari del carico di lavoro su come applicare le procedure consigliate per la sicurezza ai processi di sviluppo di applicazioni e DevOps e DevSecOps. Microsoft fornisce indicazioni che integrano questa documentazione su come applicare le procedure di sicurezza e i controlli DevSecOps in un ciclo di vita di sviluppo della sicurezza.
Microsoft Cloud Security Benchmark fornisce indicazioni sulle procedure consigliate per gli stakeholder per garantire una sicurezza cloud solida. Queste linee guida includono le baseline di sicurezza che descrivono le funzionalità di sicurezza disponibili e le configurazioni ottimali consigliate per i servizi di Azure.
Il materiale sussidiario Zero Trust fornisce indicazioni per i team di sicurezza per implementare funzionalità tecniche per supportare un'iniziativa di modernizzazione Zero Trust.
Ogni articolo illustra diversi argomenti correlati alla metodologia allineata:
- Modernizzazione del comportamento di sicurezza
- Preparazione e risposta agli eventi imprevisti
- Triade riservatezza, integrità e disponibilità (CIA)
- Mantenimento della postura di sicurezza
Modernizzazione del comportamento di sicurezza
Durante il percorso di adozione del cloud, cercare opportunità per migliorare il comportamento di sicurezza complessivo attraverso la modernizzazione. Le linee guida contenute in questa metodologia sono allineate al framework di adozione di Microsoft Zero Trust. Questo framework offre un approccio dettagliato e dettagliato alla modernizzazione del comportamento di sicurezza. Quando si esaminano le raccomandazioni per ogni fase della metodologia di Cloud Adoption Framework, migliorarle usando le indicazioni fornite nel framework di adozione Zero Trust.
Preparazione e risposta agli eventi imprevisti
La preparazione e la risposta agli eventi imprevisti sono elementi fondamentali del comportamento di sicurezza complessivo. La possibilità di prepararsi e rispondere agli eventi imprevisti può influire significativamente sul successo nel funzionamento all'interno del cloud. I meccanismi di preparazione e le procedure operative ben progettate consentono un rilevamento più rapido delle minacce e consentono di ridurre al minimo il raggio di esplosione degli eventi imprevisti. Questo approccio facilita il ripristino più veloce. Analogamente, meccanismi di risposta ben strutturati e procedure operative garantiscono una navigazione efficiente attraverso le attività di ripristino e offrono opportunità chiare per il miglioramento continuo durante tutto il processo. Concentrandosi su questi elementi, è possibile migliorare la strategia di sicurezza complessiva, garantendo resilienza e continuità operativa nel cloud.
La triade cia
La triade cia è un modello fondamentale nella sicurezza delle informazioni che rappresenta tre principi fondamentali. Questi principi sono riservatezza, integrità e disponibilità.
La riservatezza garantisce che solo gli utenti autorizzati possano accedere alle informazioni riservate. Questo criterio include misure come la crittografia e i controlli di accesso per proteggere i dati da accessi non autorizzati.
L'integrità mantiene l'accuratezza e la completezza dei dati. Questo principio significa proteggere i dati da modifiche o manomissioni da utenti non autorizzati, che garantisce che le informazioni rimangano affidabili.
La disponibilità garantisce che le informazioni e le risorse siano accessibili agli utenti autorizzati quando necessario. Questa attività include la gestione di sistemi e reti per evitare tempi di inattività e garantire l'accesso continuo ai dati.
Adottare la CIA Triad per garantire che la tecnologia aziendale rimanga affidabile e sicura. Usarlo per applicare affidabilità e sicurezza nelle operazioni tramite procedure ben definite, rigorosamente seguite e comprovate. Alcuni modi in cui i principi di triade possono contribuire a garantire la sicurezza e l'affidabilità sono:
Protezione dei dati: proteggere i dati sensibili dalle violazioni sfruttando la triade della CIA, che garantisce la privacy e la conformità alle normative.
Continuità aziendale: garantire l'integrità e la disponibilità dei dati per mantenere le operazioni aziendali ed evitare tempi di inattività.
Fiducia dei clienti: implementare la triade CIA per creare fiducia con clienti e stakeholder dimostrando un impegno per la sicurezza dei dati.
Ogni articolo allineato alla metodologia fornisce raccomandazioni per i principi della triade cia. Questo approccio garantisce la riservatezza, l'integrità e la disponibilità. Queste linee guida consentono di considerare accuratamente questi aspetti in ogni fase del percorso di adozione del cloud.
Mantenimento della postura di sicurezza
Il miglioramento continuo è fondamentale per mantenere un comportamento di sicurezza affidabile nel cloud perché le minacce informatiche si evolvono continuamente e diventano più sofisticate. Per proteggersi da questi rischi in continua evoluzione, assicurarsi miglioramenti continui. Le linee guida contenute in queste sezioni consentono di configurare l'organizzazione per un successo a lungo termine identificando le opportunità di miglioramento continuo. Concentrarsi su queste strategie durante la definizione e l'evoluzione dell'ambiente cloud nel tempo.
Elenco di controllo per la sicurezza cloud
Usare l'elenco di controllo per la sicurezza cloud per visualizzare tutte le attività per ogni passaggio di sicurezza cloud. Passare rapidamente alle indicazioni necessarie.