Zarządzanie antywzorzecami
W fazie rządzenia wdrażania chmury mogą wystąpić antywzorce. Zapoznaj się ze wspólnymi obowiązkami i sposobem tworzenia strategii zabezpieczeń w istniejących strukturach, aby uniknąć tych antywzorzeców.
Antywzorzec: Błędnie zrozumieć wspólne obowiązki
Podczas wdrażania chmury nie zawsze jest jasne, gdzie kończy się Twoja odpowiedzialność, a odpowiedzialność dostawcy usług rozpoczyna się od różnych modeli usług. Umiejętności i wiedza na temat chmury są wymagane do tworzenia procesów i praktyk dotyczących elementów roboczych korzystających z modeli usług.
Przykład: Załóżmy, że dostawca usług w chmurze zarządza aktualizacjami
Członkowie działu kadr (HR) firmy używają infrastruktury jako usługi (IaaS) do konfigurowania wielu serwerów z systemem Windows w chmurze. Zakładają oni, że dostawca usług w chmurze zarządza aktualizacjami, ponieważ w lokacji it zwykle obsługuje instalację aktualizacji. Dział kadr nie konfiguruje aktualizacji, ponieważ nie wie, że platforma Azure domyślnie nie wdraża ani nie instaluje aktualizacji systemu operacyjnego. W związku z tym serwery są niezgodne i stanowią zagrożenie bezpieczeństwa.
Preferowany wynik: Tworzenie planu gotowości
Zrozumienie wspólnej odpowiedzialności w chmurze. Tworzenie i tworzenie planu gotowości. Plan gotowości może stworzyć ciągły impuls do nauki i rozwijania wiedzy.
Antywzorzec: Załóżmy, że gotowe rozwiązania zapewniają bezpieczeństwo
Firmy zwykle postrzegają zabezpieczenia jako funkcję związaną z usługami w chmurze. Chociaż to założenie jest często poprawne, większość środowisk musi przestrzegać wymagań dotyczących struktury zgodności, które mogą różnić się od wymagań dotyczących zabezpieczeń. Platforma Azure zapewnia podstawowe zabezpieczenia, a witryna Azure Portal może zapewnić bardziej zaawansowane zabezpieczenia za pośrednictwem Microsoft Defender dla Chmury. Podczas tworzenia subskrypcji należy dostosować rozwiązanie, aby wymusić zgodność i standard zabezpieczeń.
Przykład: Zaniedbanie zabezpieczeń w chmurze
Firma opracowuje nową aplikację w chmurze. Wybiera architekturę opartą na wielu usługach platformy jako usługi (PaaS), a także niektóre składniki IaaS na potrzeby debugowania. Po wydaniu aplikacji do środowiska produkcyjnego firma zdaje sobie sprawę, że jeden z jego serwerów przesiadkowych został naruszony i wyodrębniał dane z nieznanego adresu IP. Firma odkrywa, że problemem jest publiczny adres IP serwera przesiadkowego i hasło, które można łatwo odgadnąć. Firma mogłaby uniknąć takiej sytuacji, gdyby bardziej skoncentrowała się na zabezpieczeniach chmury.
Preferowany wynik: Definiowanie strategii zabezpieczeń w chmurze
Zdefiniuj właściwą strategię zabezpieczeń w chmurze. Aby uzyskać więcej informacji, zobacz przewodnik dotyczący gotowości do chmury CISO. Zapoznaj się z głównym oficerem ds. zabezpieczeń informacji (CISO) w tym przewodniku. W przewodniku gotowości do chmury CISO omówiono tematy, takie jak zasoby platformy zabezpieczeń, prywatność i mechanizmy kontroli, zgodność i przejrzystość.
Przeczytaj o bezpiecznych obciążeniach w chmurze w teściu porównawczym zabezpieczeń platformy Azure. Oparte na mechanizmach KONTROLI CIS w wersji 7.1 z Centrum zabezpieczeń internetowych, wraz z NIST SP800-53 z Narodowego Instytutu Standardów i Technologii, które dotyczą większości zagrożeń i środków bezpieczeństwa.
Użyj Microsoft Defender dla Chmury, aby zidentyfikować zagrożenia, dostosować najlepsze rozwiązania i poprawić poziom bezpieczeństwa firmy.
Implementowanie lub obsługa wymagań dotyczących zgodności i zabezpieczeń specyficznych dla firmy przy użyciu usługi Azure Policy i rozwiązania Azure Policy jako kodu.
Antywzorzec: używanie niestandardowej struktury zgodności lub ładu
Wprowadzenie niestandardowej struktury zgodności i ładu, która nie jest oparta na standardach branżowych, może znacznie zwiększyć czas wdrażania chmury. Dzieje się tak, ponieważ tłumaczenie z niestandardowej platformy na ustawienia chmury może być złożone. Ta złożoność może zwiększyć nakład pracy wymagany do tłumaczenia niestandardowych miar i wymagań na zaimplementowane mechanizmy kontroli zabezpieczeń. Firmy zwykle muszą spełniać podobne zestawy wymagań dotyczących zabezpieczeń i zgodności. W związku z tym większość niestandardowych struktur zgodności i zabezpieczeń różni się tylko nieznacznie od bieżących struktur zgodności. Firmy z dodatkowymi wymaganiami dotyczącymi zabezpieczeń mogą rozważyć utworzenie nowych struktur.
Przykład: używanie niestandardowej struktury zabezpieczeń
CiSO firmy przypisuje pracownikom ds. zabezpieczeń IT zadanie utworzenia strategii i struktury zabezpieczeń w chmurze. Zamiast opierać się na standardach branżowych, dział zabezpieczeń IT tworzy nową strukturę, która opiera się na bieżących lokalnych zasadach zabezpieczeń. Po ukończeniu zasad zabezpieczeń w chmurze zespoły AppOps i DevOps mają trudności z implementacją zasad zabezpieczeń w chmurze.
Platforma Azure oferuje bardziej kompleksową strukturę zabezpieczeń i zgodności, która różni się od własnej struktury firmy. Zespół CISO uważa, że mechanizmy kontroli platformy Azure są niezgodne z własnymi regułami zgodności i zabezpieczeń. Gdyby opierała się na ustandaryzowanych kontrolach, nie doszłaby do tego wniosku.
Preferowany wynik: polegaj na istniejących strukturach
Użyj lub skompiluj istniejące struktury, takie jak CIS Controls w wersji 7.1 lub NIST SP 800-53, przed ustanowieniem lub wprowadzeniem niestandardowej struktury zgodności firmy. Istniejące struktury ułatwiają przechodzenie do ustawień zabezpieczeń w chmurze i są łatwiejsze i bardziej wymierne. Aby uzyskać więcej informacji na temat implementacji platformy, zobacz Opcje implementacji stref docelowych platformy Azure.