Eigendomsvereisten bepalen
Dit artikel is een van de reeks richtlijnen voor het ontwerpen van een cloudbeveiligingspostuurbeheer (CSPM) en CWP-oplossing (Cloud Workload Protection) voor resources met meerdere clouds met Microsoft Defender voor Cloud.
Goal
Identificeer de teams die betrokken zijn bij uw beveiligingsoplossing voor meerdere clouds en plan hoe ze samenwerken.
Beveiligingsfuncties
Afhankelijk van de grootte van uw organisatie beheren afzonderlijke teams beveiligingsfuncties. In een complexe onderneming zijn functies mogelijk talrijk.
| Beveiligingsfunctie | DETAILS |
|---|---|
| Beveiligingsbewerkingen (SecOps) | Het risico van de organisatie verminderen door de tijd te verminderen waarin slechte actoren toegang hebben tot bedrijfsresources. Reactieve detectie, analyse, reactie en herstel van aanvallen. Proactieve opsporing van bedreigingen. |
| Beveiligingsarchitectuur | Beveiligingsontwerp waarin de onderdelen, hulpprogramma's, processen, teams en technologieën worden samengevat en gedocumentaliseerd die uw bedrijf beschermen tegen risico's. |
| Beveiligingsnalevingsbeheer | Processen die ervoor zorgen dat de organisatie voldoet aan wettelijke vereisten en intern beleid. |
| Beveiliging van personen | De organisatie beschermen tegen menselijk risico tot beveiliging. |
| Toepassingsbeveiliging en DevSecOps | Beveiliging integreren in DevOps-processen en -apps. |
| Gegevensbeveiliging | Uw organisatiegegevens beveiligen. |
| Infrastructuur- en eindpuntbeveiliging | Beveiliging, detectie en respons bieden voor infrastructuur-, netwerken- en eindpuntapparaten die worden gebruikt door apps en gebruikers. |
| Identiteits- en sleutelbeheer | Gebruikers, services, apparaten en apps verifiëren en autoriseren. Veilige distributie en toegang bieden voor cryptografische bewerkingen. |
| Bedreigingsinformatie | Beslissingen nemen en reageren op beveiligingsbedreigingsinformatie die context en bruikbare inzichten biedt over actieve aanvallen en mogelijke bedreigingen. |
| Postuurbeheer | Continu rapporteren over en verbeteren van de beveiligingspostuur van uw organisatie. |
| Incidentvoorbereiding | Hulpprogramma's, processen en expertise bouwen om te reageren op beveiligingsincidenten. |
Teamuitlijning
Ondanks de vele verschillende teams die cloudbeveiliging beheren, is het essentieel dat ze samenwerken om erachter te komen wie verantwoordelijk is voor besluitvorming in de omgeving met meerdere clouds. Gebrek aan eigendom creëert wrijving die kan leiden tot vastgelopen projecten en onveilige implementaties die niet konden wachten op goedkeuring van de beveiliging.
Beveiligingsbeheer, meestal onder ciso, moet aangeven wie verantwoordelijk is voor het nemen van beveiligingsbeslissing. Normaal gesproken worden verantwoordelijkheden uitgelijnd zoals samengevat in de tabel.
| Categorie | Beschrijving | Typisch team |
|---|---|---|
| Beveiliging van servereindpunt | Bewaak en herstel serverbeveiliging, omvat patching, configuratie, eindpuntbeveiliging, enzovoort. | Gezamenlijke verantwoordelijkheid van centrale IT-activiteiten en infrastructuur- en eindpuntbeveiligingsteams . |
| Incidentbewaking en -reactie | Onderzoek en herstel beveiligingsincidenten in de SIEM- of bronconsole van uw organisatie. | Beveiligingsteam . |
| Beleidsbeheer | Stel de richting in voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), Microsoft Defender voor Cloud, strategie voor beheerdersbeveiliging en Azure Policy om Azure-resources, aangepaste AWS/GCP-aanbevelingen, enzovoort te beheren. | Gezamenlijke verantwoordelijkheid van beleids- en standaarden - en beveiligingsarchitectuurteams . |
| beheer van bedreigingen en beveiligingsproblemen | Behoud volledige zichtbaarheid en controle van de infrastructuur om ervoor te zorgen dat kritieke problemen zo efficiënt mogelijk worden gedetecteerd en hersteld. | Gezamenlijke verantwoordelijkheid van centrale IT-activiteiten en infrastructuur- en eindpuntbeveiligingsteams . |
| Toepassingsworkloads | Richt u op beveiligingscontroles voor specifieke workloads. Het doel is om beveiligingsgaranties te integreren in ontwikkelingsprocessen en aangepaste LOB-toepassingen (Line-Of-Business). | Gezamenlijke verantwoordelijkheid voor toepassingsontwikkeling en centrale IT-operationele teams. |
| Identiteitsbeveiliging en -standaarden | Inzicht in Permission Creep Index (PCI) voor Azure-abonnementen, AWS-accounts en GCP-projecten om risico's te identificeren die zijn gekoppeld aan ongebruikte of overmatige machtigingen voor identiteiten en resources. | Gezamenlijke verantwoordelijkheid van identiteits- en sleutelbeheer, beleid en standaarden en beveiligingsarchitectuurteams . |
Aanbevolen procedures
- Hoewel de beveiliging met meerdere clouds kan worden verdeeld over verschillende gebieden van het bedrijf, moeten teams de beveiliging in meerdere cloudomgevingen beheren. Dit is beter dan dat verschillende teams verschillende cloudomgevingen beveiligen. Bijvoorbeeld wanneer één team Azure beheert en een ander team AWS beheert. Teams die in omgevingen met meerdere clouds werken, helpen bij het voorkomen van uitspraten binnen de organisatie. Het helpt er ook voor te zorgen dat beveiligingsbeleid en nalevingsvereisten in elke omgeving worden toegepast.
- Teams die Defender voor Cloud beheren, hebben vaak geen bevoegdheden voor het oplossen van aanbevelingen in workloads. Het Defender voor Cloud team kan bijvoorbeeld mogelijk geen beveiligingsproblemen oplossen in een AWS EC2-exemplaar. Het beveiligingsteam is mogelijk verantwoordelijk voor het verbeteren van het beveiligingspostuur, maar kan de resulterende beveiligingsaanaanveling niet oplossen. Ga als volgt te werk om dit probleem op te lossen:
- Het is noodzakelijk om de eigenaren van AWS-werkbelastingen te betrekken.
- Door eigenaren met vervaldatums toe te wijzen en governanceregels te definiëren, worden verantwoordingsplicht en transparantie gecreëerd, terwijl u processen aanzet om de beveiligingspostuur te verbeteren.
- Het is noodzakelijk om de eigenaren van AWS-werkbelastingen te betrekken.
- Afhankelijk van organisatiemodellen zien we vaak deze opties voor centrale beveiligingsteams die werken met workloadeigenaren:
Optie 1: Gecentraliseerd model. Beveiligingscontroles worden gedefinieerd, geïmplementeerd en bewaakt door een centraal team.
- Het centrale beveiligingsteam bepaalt welk beveiligingsbeleid wordt geïmplementeerd in de organisatie en wie machtigingen heeft om het ingestelde beleid te beheren.
- Het team kan ook de mogelijkheid hebben om niet-compatibele resources te herstellen en resource-isolatie af te dwingen in het geval van een beveiligingsrisico of configuratieprobleem.
- Eigenaren van workloads zijn daarentegen verantwoordelijk voor het beheren van hun cloudworkloads, maar moeten het beveiligingsbeleid volgen dat het centrale team heeft geïmplementeerd.
- Dit model is het meest geschikt voor bedrijven met een hoog automatiseringsniveau, om geautomatiseerde reactieprocessen op beveiligingsproblemen en bedreigingen te garanderen.
Optie 2: Gedecentraliseerd model.- Beveiligingscontroles worden gedefinieerd, geïmplementeerd en bewaakt door workloadeigenaren.
- Implementatie van beveiligingsbeheer wordt uitgevoerd door workloadeigenaren, omdat ze eigenaar zijn van de beleidsset en kunnen daarom bepalen welke beveiligingsbeleidsregels van toepassing zijn op hun resources.
- Eigenaren moeten op de hoogte zijn van beveiligingswaarschuwingen en aanbevelingen voor hun eigen resources, begrijpen en erop reageren.
- Het centrale beveiligingsteam daarentegen fungeert alleen als een controle-entiteit, zonder schrijftoegang tot een van de workloads.
- Het beveiligingsteam heeft meestal inzicht in de algehele beveiligingspostuur van de organisatie en ze kunnen de eigenaren van de workload verantwoordelijk houden voor het verbeteren van hun beveiligingspostuur.
- Dit model is het meest geschikt voor organisaties die inzicht in hun algehele beveiligingspostuur nodig hebben, maar tegelijkertijd de verantwoordelijkheid voor beveiliging willen behouden bij de eigenaren van de workload.
- Momenteel is de enige manier om optie 2 in Defender voor Cloud te bereiken, de eigenaren van de workload met machtigingen voor beveiligingslezer toe te wijzen aan het abonnement dat als host fungeert voor de resource van de multicloudconnector.
Volgende stappen
In dit artikel hebt u geleerd hoe u eigendomsvereisten kunt bepalen bij het ontwerpen van een multicloudbeveiligingsoplossing. Ga verder met de volgende stap om de vereisten voor toegangsbeheer te bepalen.