Antipatronen beheren
Er kunnen antipatronen optreden tijdens de governancefase van cloudimplementatie. Meer informatie over gedeelde verantwoordelijkheden en het bouwen van uw beveiligingsstrategie op bestaande frameworks om u te helpen deze antipatronen te voorkomen.
Antipatroon: Gedeelde verantwoordelijkheden verkeerd begrijpen
Wanneer u overstapt op de cloud, is het niet altijd duidelijk waar uw verantwoordelijkheid eindigt en de verantwoordelijkheid van de cloudprovider begint met betrekking tot de verschillende servicemodellen. Cloudvaardigheden en kennis zijn vereist voor het bouwen van processen en procedures voor werkitems die gebruikmaken van servicemodellen.
Voorbeeld: Stel dat de cloudprovider updates beheert
Leden van de HR-afdeling (Human Resources) van een bedrijf maken gebruik van IaaS (Infrastructure as a Service) om meerdere Windows-servers in de cloud in te stellen. Ze gaan ervan uit dat de cloudprovider updates beheert omdat de on-site IT meestal de installatie van updates afhandelt. De HR-afdeling configureert de updates niet omdat ze niet weten dat Azure standaard geen besturingssysteemupdates (OS) implementeert en installeert. Als gevolg hiervan zijn de servers niet-compatibel en vormen ze een beveiligingsrisico.
Voorkeursresultaat: Een gereedheidsplan maken
Inzicht in gedeelde verantwoordelijkheid in de cloud. Bouw en maak een gereedheidsplan. Een gereedheidsplan kan een doorlopende impuls geven voor het leren en ontwikkelen van expertise.
Antipatroon: Stel dat out-of-the-box-oplossingen beveiliging bieden
Bedrijven zien de beveiliging meestal als een functie die inherent is aan cloudservices. Hoewel deze aanname vaak juist is, moeten de meeste omgevingen voldoen aan de nalevingsframeworkvereisten, die kunnen verschillen van beveiligingsvereisten. Azure biedt basisbeveiliging en Azure Portal kan geavanceerdere beveiliging bieden via Microsoft Defender voor Cloud. Wanneer u een abonnement maakt, moet u uw oplossing aanpassen om een nalevings- en beveiligingsstandaard af te dwingen.
Voorbeeld: Cloudbeveiliging negeren
Een bedrijf ontwikkelt een nieuwe toepassing in de cloud. Het kiest een architectuur op basis van veel PaaS-services (Platform as a Service), plus sommige IaaS-onderdelen voor foutopsporing. Nadat de toepassing is vrijgegeven voor productie, realiseert het bedrijf zich dat een van de jumpservers is aangetast en gegevens heeft geëxtraheerd naar een onbekend IP-adres. Het bedrijf ontdekt dat het probleem het openbare IP-adres van de jumpserver is en een wachtwoord dat gemakkelijk te raden is. Het bedrijf had deze situatie kunnen voorkomen als het zich meer had gericht op cloudbeveiliging.
Voorkeursresultaat: Een strategie voor cloudbeveiliging definiëren
Definieer een juiste strategie voor cloudbeveiliging. Zie de handleiding voor ciso-cloudgereedheid voor meer informatie. Raadpleeg uw Chief Information Security Officer (CISO) naar deze handleiding. In de handleiding voor CISO-cloudgereedheid worden onderwerpen besproken, zoals resources voor beveiligingsplatformen, privacy en controles, naleving en transparantie.
Meer informatie over beveiligde cloudworkloads in de Azure Security Benchmark. Bouw voort op de CIS Controls v7.1 van het Center for Internet Security, samen met NIST SP800-53 van het National Institute of Standards and Technology, die de meeste beveiligingsrisico's en maatregelen aanpakken.
Gebruik Microsoft Defender voor Cloud om risico's te identificeren, best practices aan te passen en het beveiligingspostuur van uw bedrijf te verbeteren.
Implementeer of ondersteun bedrijfsspecifieke geautomatiseerde nalevings- en beveiligingsvereisten met behulp van Azure Policy en de Azure Policy als codeoplossing.
Antipatroon: een aangepast nalevings- of governanceframework gebruiken
Door een aangepast nalevings- en governanceframework te introduceren dat niet is gebaseerd op industriestandaarden, kan de overstap naar de cloud aanzienlijk toenemen. Dit komt doordat vertaling van het aangepaste framework naar cloudinstellingen complex kan zijn. Deze complexiteit kan de inspanning verhogen die nodig is om aangepaste metingen en vereisten om te zetten in implementeerbare beveiligingscontroles. Bedrijven moeten doorgaans voldoen aan vergelijkbare sets beveiligings- en nalevingsvereisten. Als gevolg hiervan verschillen de meeste aangepaste nalevings- en beveiligingsframeworks slechts enigszins van de huidige nalevingsframeworks. Bedrijven met extra beveiligingsvereisten kunnen overwegen om nieuwe frameworks te bouwen.
Voorbeeld: Een aangepast beveiligingsframework gebruiken
De CISO van een bedrijf wijst IT-beveiligingsmedewerkers de taak toe om een strategie en framework voor cloudbeveiliging te ontwikkelen. In plaats van voort te bouwen op industriestandaarden, maakt de IT-beveiligingsafdeling een nieuw framework dat voortbouwt op het huidige on-premises beveiligingsbeleid. Nadat het cloudbeveiligingsbeleid is voltooid, hebben de AppOps- en DevOps-teams problemen met het implementeren van het cloudbeveiligingsbeleid.
Azure biedt een uitgebreidere beveiligings- en nalevingsstructuur die verschilt van het eigen framework van het bedrijf. Het CISO-team denkt dat de Azure-besturingselementen niet compatibel zijn met de eigen nalevings- en beveiligingsregels. Als het haar framework had gebaseerd op gestandaardiseerde controles, zou het niet tot die conclusie zijn gekomen.
Voorkeursresultaat: Afhankelijk van bestaande frameworks
Gebruik of bouw voort op bestaande frameworks, zoals CIS-besturingselementen versie 7.1 of NIST SP 800-53, voordat u een aangepast nalevingsframework voor bedrijven tot stand brengt of introduceert. Bestaande frameworks maken de overgang naar cloudbeveiligingsinstellingen eenvoudiger en meetbaarer. Zie implementatieopties voor Azure-landingszones voor meer informatie over framework-implementaties.