Considerazioni sulla sicurezza per la strategia cloud
È necessaria una strategia di sicurezza ben progettata per una corretta adozione del cloud. Se l'organizzazione usa ambienti locali tradizionali, è consigliabile valutare le competenze del cloud e concentrarsi in modo specifico sulla sicurezza cloud. Per gestire la sicurezza nel cloud, potrebbe essere necessario apportare modifiche significative alla struttura del team di sicurezza e all'approccio generale alla sicurezza.
Le potenziali modifiche apportate all'organizzazione potrebbero introdurre stress e conflitti. Per una corretta adozione del cloud, assicurarsi che i team di gestione forniscano supporto e presentino chiaramente le modifiche ad altri team.
Affrontare le problematiche comuni
Evolvere la mentalità. La sicurezza locale è in genere una pratica strettamente mirata che un piccolo team di tecnici e amministratori delle operazioni potrebbe gestire. La sicurezza del cloud richiede la partecipazione da tutta l'organizzazione e l'ambito dei team di sicurezza si espande in modo significativo. La superficie di attacco di un ambiente locale si trova principalmente nel perimetro. In un ambiente cloud ogni risorsa è un potenziale vettore di attacco, quindi i team di sicurezza devono adattare di conseguenza il loro approccio.
Modificare squadre e ruoli. La sicurezza del cloud, in particolare per le organizzazioni di grandi dimensioni, prevede ruoli specializzati. Per assicurarsi di non avere lacune nella gestione della sicurezza, potrebbe essere necessario aggiungere nuovi team o riorganizzare i team esistenti.
Raccomandazioni :
Introdurre le conversazioni di sicurezza in anticipo. Iniziare le conversazioni di sicurezza con gli stakeholder appropriati all'inizio del processo di adozione del cloud. Questo approccio consente di assicurarsi che sia possibile prepararsi per l'allineamento dell'organizzazione nelle prime fasi.
Comprendere i team di sicurezza, i ruoli e le funzioni moderni. Esaminare le linee guida di Cloud Adoption Framework su team di sicurezza, ruoli e funzioni. Questa guida descrive come implementare la sicurezza end-to-end.
Adottare la metodologia di sicurezza di Cloud Adoption Framework. Usare la metodologia di sicurezza Cloud Adoption Framework per applicare le procedure consigliate per la sicurezza Microsoft in ogni fase del percorso di adozione del cloud. Le linee guida per ogni fase includono diversi approcci alla sicurezza, tra cui la modernizzazione della postura di sicurezza, la preparazione e la risposta agli incidenti, il sostentamento della sicurezza e la Triade CIA: riservatezza, integrità e disponibilità.
Informazioni sull'iniziativa Microsoft Secure Future
In qualità di provider di servizi cloud in tutto il mondo, Microsoft assegna priorità alla sicurezza soprattutto per tutti gli altri problemi e riconosce la necessità critica di prevenire violazioni della sicurezza. L'Microsoft Secure Future Initiative risolve questi problemi e fornisce un approccio generale per creare e gestire i prodotti Microsoft.
La misura in cui si assegna la priorità alla sicurezza rispetto ad altri problemi, ad esempio affidabilità, prestazioni e costi, dipende da molti fattori. Questi fattori vengono definiti quando si crea la strategia di adozione complessiva. Indipendentemente dalle priorità, è necessario comprendere i pilastri dell'iniziativa Microsoft Secure Future per concentrarsi sulle aree chiave della sicurezza del cloud che si vuole rafforzare.
Adottare una strategia zero trust
I principi Zero Trust creano la base della strategia di sicurezza Microsoft. Zero Trust è una strategia di sicurezza pronta per il cloud costituita da tre principi principali:
Verifica in modo esplicito: Autenticare e autorizzare sempre in base a tutti i punti dati disponibili.
Utilizzare il principio del privilegio minimo: Limitare l'accesso degli utenti con accesso "just-in-time" e accesso "sufficiente", politiche adattive basate sul rischio e protezione dei dati.
Presupporre violazione: Ridurre al minimo il raggio di esplosione e l'accesso segmentato. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese.
I principi Zero Trust guidano le decisioni quando si progetta, implementano e gestiscono un ambiente cloud. Forniscono un punto di riferimento chiaro da controllare, che consente di garantire che le scelte non comprometteno la sicurezza.
Usare le linee guida di Microsoft Zero Trust per semplificare l'integrazione di un approccio Zero Trust nella strategia di sicurezza. Le linee guida zero trust:
Fornisce un framework di adozione strettamente incentrato e strutturato allineato alle fasi di adozione di Cloud Adoption Framework per Azure. Usare queste linee guida per allineare l'adozione complessiva del cloud con l'approccio Zero Trust.
Spiega in che modo Azure, Microsoft 365e i servizi di intelligenza artificiale consentono di allineare il cloud estate ai principi Zero Trust.
Fornisce indicazioni sull'allineamento delle procedure di sviluppo ai principi Zero Trust.
Raccomandazioni:
- Adottare Zero Trust. Usare le linee guida di Microsoft Zero Trust per implementare i principi Zero Trust, che aiutano a promuovere una mentalità orientata alla sicurezza.
Utilizzare i workshop CISO e MCRA
Microsoft offre workshop per aiutare i decision maker e gli architetti ad applicare le procedure consigliate all'adozione del cloud. Il workshop Chief Information Security Officer (CISO) è incentrato su un approccio completo per modernizzare le procedure di cybersecurity dal punto di vista del CISO e di altri ruoli di leadership senior.
Il workshop Microsoft Cybersecurity Reference Architecture (MCRA) è incentrato su come applicare le procedure consigliate per l'architettura alle progettazioni dell'ambiente cloud. I principi Zero Trust creano le basi per le linee guida nei workshop CISO e MCRA. I workshop si allineano anche alle procedure consigliate Microsoft in Cloud Adoption Framework, Azure Well-Architected Framework e alle raccomandazioni di sicurezza Zero Trust.
Raccomandazioni:
- Rivolgersi ai responsabili del team sui workshop CISO e MCRA. Considerare l'investimento in uno o più workshop guidati da Microsoft . Sfruttare in particolare i workshop CISO e MCRA. Per il materiale del workshop guidato da Microsoft, vedere Risorse di adozione della sicurezza.