ランディング ゾーンのセキュリティの向上
ワークロードまたはそれらがホストされているランディング ゾーンで、機密データや重要なシステムにアクセスする必要がある場合は、データと資産を保護することが重要です。
セキュリティで保護
準備完了状態を抜けると、環境のセキュリティを維持する現在進行形の責任があります。 クラウド セキュリティは、単なる静的な目的地ではなく、増分プロセスでもあります。 セキュリティの最終的な状態を想定するときは、目標と主要な結果に焦点をあてます。 人間の規範に対する役割と責任へのマッピングと並行して、CAF のセキュリティ保護手法の規範に概念、フレームワーク、標準をマップします。 セキュリティ保護手法によって、ガイダンスが示されます。
以下に、このガイダンスの概要と、詳細へのリンクを示します。
リスクの分析情報
ビジネス運用にはセキュリティ上のリスクがあります。 セキュリティ チームは、ビジネスを理解し、アクションを適切に計画して実行するリスクを認識するためのセキュリティ プラクティスを使用して、セキュリティ リスクがフレームワークにどのように適合するかを意思決定者に伝え、助言する必要があります。
- サイバーセキュリティ リスク: 通貨、内部情報、またはテクノロジを盗もうとする人間の攻撃者によって引き起こされるビジネスの潜在的な損害または破壊。
- セキュリティ リスク管理を調整する: サイバーセキュリティと組織のリーダーシップの橋渡しに投資して、ビジネス向けの用語を使用してセキュリティの脅威を説明し、ビジネス全体のすべてのユーザーに積極的に耳を傾け、対話します。
- サイバーセキュリティのリスクを理解する: 金銭、情報、またはテクノロジを盗む人間の攻撃者の動機と行動パターンを理解し、さまざまな種類の攻撃の潜在的な影響を特定します。
セキュリティの統合
セキュリティが組織の関心事であり、1 つのグループにサイロ化されていないことを確認します。 セキュリティの統合により、ビジネス プロセスとの摩擦を最小限に抑えながら、セキュリティをすべてのユーザーの役割に統合する方法に関するガイダンスが提供されます。 具体的なガイダンスには、次のものが含まれます。
- 関係を正規化する: すべてのチームがセキュリティ チームと統合され、セキュリティ目標に対する共通の理解があることを確認します。 さらに、適切なレベルのセキュリティ制御を探り出し、その制御がビジネス価値より優先されることがないようにします。
- IT およびビジネス運用と統合する: セキュリティ更新プログラムの実装、すべてのセキュリティ プロセスによる現在のビジネスへの影響のマッピング、および将来の潜在的なセキュリティ リスクのバランスを取ります。
- セキュリティ チームを統合する: アクティブな脅威に対応し、動的な規範としてセキュリティを実践することで組織のセキュリティ体制を継続的に改善することで、サイロ化された運用を回避します。
ビジネスの回復力
組織が完全なセキュリティを持つことは不可能ですが、それでもインシデントの前、中、および後で、セキュリティ リスクの全ライフサイクルを投資するという、ビジネスの回復力の実用的なアプローチがあります。
- 回復性の目標: ビジネスが迅速にイノベーションを行い、影響を限定し、常に安全な方法でテクノロジを採用できるようにすることに集中します。
- セキュリティの回復性と侵害の想定: 侵害または侵害を想定して、ゼロ トラストの主要な原則に従い、実用的なセキュリティ動作を実践して、攻撃を防ぎ、損害を制限し、それらから迅速に復旧します。
アクセス制御
ユーザー エクスペリエンスとセキュリティ保証の両方を調整するアクセス制御戦略を作成します。
- セキュリティ境界からゼロ トラストまで:クラウドで作業し、新しいテクノロジを使用する際にセキュリティ保証を確立および改善するためのアクセス制御のためのゼロ トラストアプローチを採用します。
- 最新のアクセス制御: 包括的で一貫性があり、柔軟なアクセス制御戦略を作成します。 複数のワークロード、クラウド、およびさまざまなビジネスの機密レベルに対する戦術やテクノロジは 1 つにとどまりません。
- 既知、信頼、許可: 動的な 3 段階のプロセスに従って、既知の認証を確認し、ユーザーまたはデバイスを信頼し、アプリケーション、サービス、またはデータに対する適切な権限と特権を許可します。
- データドリブンアクセスの決定: 明示的な検証を実現するために、ユーザーとデバイス上の多様なデータの情報に基づいた意思決定を行います。
- セグメント化: 分離と保護: 内部環境の個別のセグメントとして境界を作成し、成功した攻撃による損害を阻止します。
- 分離: ファイアウォールを避け、後は放置: 人、プロセス、テクノロジで構成されるビジネス クリティカルな資産のセグメント化の極端な形を設計します。
セキュリティ運用
リスクを軽減し、迅速に対応して、復旧させるというセキュリティ運用を確立して、組織を保護し、DevOps プロセスのセキュリティ規範に従います。
- 人とプロセス:フォレンジック調査の役割に強固なバックグラウンドを持つ非技術系の人々を含めてトレーニングすることで、ツールにより、人々が最も貴重な資産になり、思考ポートフォリオが多様化される文化を醸成します。
- セキュリティ運用のモデル: インシデントの管理、インシデントに対する準備、脅威に関するインテリジェンスの成果に集中します。 サブチーム間で成果を分担して、大量および複雑なインシデントのトリアージ、調査、および検出を行います。
- SecOps のビジネス タッチポイント: 主要なインシデントを通知し、重要なシステムの影響を判別するために、ビジネス リーダーと対話します。 継続的に共同で対応し、組織のリスクを軽減します。
- SecOps の最新化: プラットフォームのカバレッジ、ID 中心のセキュリティ、IoT および OT デバイス、およびクラウドからの関連テレメトリなどの傾向に従って、セキュリティ運用を進化させます。
資産の保護
各資産の種類に固有のセキュリティ制御を実装することで、すべての物理項目と仮想項目が含まれるビジネス クリティカルな資産をセキュリティで保護します。 ポリシー、標準、アーキテクチャを満たすために、予防的保護と検出保護を一貫して実行します。
- セキュリティを確保する: ブラウンフィールド資産に現在の制御を適用し、グリーンフィールド資産が最新の標準に設定されていることを確認することで、組織の最新のセキュリティ標準とポリシーにリソースを引き上げます。
- セキュリティを維持する: 継続的なクラウドの改善を実践し、ビジネス、テクノロジ、セキュリティの要件が急速に変化するのに合わせて、サポート終了のソフトウェアのアップグレードまたは廃止を計画します。
- 作業の開始: まず、よく知られているクラウド リソースに集中して資産の保護を開始し、よく知られている実績のあるベンダー/業界ベースラインをセキュリティ構成に使用します。
- 重要な情報: 説明と実行の責任を負うチームの重要な要素を使用して、クラウドの弾力性ワークロードなどのエンタープライズ全体の資産のニーズを管理し、ベスト プラクティスを特定するための制御を設計します。 資産保護のビジネス価値を測定し、コストと手動の繰り返しを回避するために自動ポリシーを優先します。
セキュリティ ガバナンス
ビジネス目標とリスクを使用してセキュリティの最適な方向性を決定することで、セキュリティ ガバナンスを使用して監督と監視を実行し、一定期間にわたってセキュリティ体制を維持および改善します。
- コンプライアンスとレポート: 外部と内部の両方のセキュリティ ポリシーが、特定の業界の必須要件を満たしていることを確認します。
- アーキテクチャと標準: ほとんどの企業はオンプレミスとクラウドの両方のリソースを含むハイブリッド環境であるため、エンタープライズ資産全体で統一された見解を作成します。
- セキュリティ体制管理: セキュリティ標準を監視し、ガイダンスを提供し、プロセスを改善するためのガバナンスを計画します。 ポリシーと継続的な改善によって主導されるガバナンスで機敏性を維持します。
- ガバナンスと保護の規範: セキュリティ制御を適用し、フィードバックを提供して最適なソリューションを特定します。
- ガバナンスとセキュリティの運用: インシデントから学んだ教訓が、セキュリティ運用とガバナンスに統合されていることを確認します。
イノベーションのセキュリティ
イノベーションのセキュリティを念頭に置いて新しいアプリケーションを開発するときに、サイバー攻撃からイノベーションのプロセスとデータを保護します。
- DevSecOps: DevOps の開発と運用の既に結合されたプロセスにセキュリティを統合し、イノベーション プロセスのリスクを軽減します。
- 設計と移行によってセキュリティを確保する: DevOps ライフサイクルのすべての段階でセキュリティを関与させ、チームがイノベーションのスピード、信頼性、回復性に合わせます。
- DevSecOps の理由: 組織内のすべての IT インフラストラクチャの弱点を悪用する攻撃者から DevOps プロセスを保護し、顧客を保護します。
- DevSecOps の推移: アイデア培養と DevOps を、ほとんどの組織と同様の 2 フェーズ プロセスとして使用します。 MVP (実用最小限の製品) 要件を特定し、リーダーシップ手法を使用してチームの競合を解決し、既存のプロセスとツールにセキュリティを統合します。
- 取り組みのナビゲートに関するヒント: セキュリティを変革するときは、教育、時間、リソース、IT 運用の全体的な性質のシフトなどの一般的な課題があります。
DevSecOps の制御
DevSecOps の制御を作成するときは、継続的インテグレーションと継続的デリバリー (CI/CD) の各ステージにセキュリティを追加します。
- 設計をセキュリティで保護する: 脅威モデル化、IDE セキュリティ プラグイン/プリコミット、およびピア レビューを実装するための最新の開発手法の計画フェーズにセキュリティを導入します。
- コードをセキュリティで保護する: 脆弱性スキャン機能を評価して一元化されたリポジトリに実装することで、リスクを検出し、修復を実行できます。
- パイプラインをセキュリティで保護する: ビルド パイプラインとリリース パイプラインを使用すれば、既存の環境の再デプロイやアップグレードに大量の時間を費やさなくても、セキュリティで保護されたコードを構築してデプロイするプロセスを自動化および標準化できます。
- 運用をセキュリティで保護する: ソリューションが実稼働環境に移行されたときに、セキュリティの状態を監視および管理します。 インフラストラクチャ スキャン ツールと侵入テスト方法を使用して、チームが対処するリスクと脆弱性を検出できるようにします。
テスト駆動開発サイクル
セキュリティの強化を開始する前に、"完了の定義" とすべての "受け入れ基準" を理解することが重要です。詳細については、 ランディング ゾーンのテスト駆動型開発 および Azure でのテスト駆動型開発 に関する記事を参照。
次のステップ
重要なアプリケーションをサポートするためにランディング ゾーンの運用の改善方法について説明します。