Udostępnij za pośrednictwem


Ulepszanie zabezpieczeń strefy docelowej

Jeśli obciążenie lub strefy docelowe hostujące go wymagają dostępu do poufnych danych lub systemów krytycznych, ważne jest, aby chronić dane i zasoby.

Zabezpieczanie

Gdy opuszczasz stan Gotowe, masz ciągłą odpowiedzialność za utrzymanie bezpieczeństwa środowiska. Zabezpieczenia w chmurze są również procesem przyrostowym, a nie tylko statycznym miejscem docelowym. Skoncentruj się na celach i kluczowych wynikach, gdy wyobrażasz sobie stan zakończenia zabezpieczeń. Mapowanie pojęć, struktur i standardów na dyscypliny w bezpiecznej metodologii CAF wraz z mapowaniem ról i obowiązków dla dyscypliny ludzkiej. Metodologia bezpieczeństwa zawiera wskazówki.

Poniżej przedstawiono omówienie tych wskazówek z linkami do szczegółów.

Szczegółowe informacje o ryzyku

Operacje biznesowe mają zagrożenia bezpieczeństwa. Zespół ds. zabezpieczeń powinien poinformować i doradzać osobom podejmującym decyzje o tym, w jaki sposób zagrożenia bezpieczeństwa mieszczą się w swoich strukturach, rozumiejąc działalność biznesową i stosując praktyki zabezpieczeń, aby rozpoznać, które ryzyko należy odpowiednio zaplanować i podjąć działania.

  • Zagrożenia związane z cyberbezpieczeństwem: wszystkie potencjalne szkody lub zniszczenie firmy spowodowane przez osoby atakujące próbujące ukraść walutę, informacje wewnętrzne lub technologie.
  • Dostosuj zarządzanie ryzykiem bezpieczeństwa: zainwestuj w mostkowanie cyberbezpieczeństwa i przywództwa organizacyjnego, aby wyjaśnić zagrożenia bezpieczeństwa przy użyciu przyjaznej dla firmy terminologii, aktywnie słuchając i komunikując się ze wszystkimi osobami w całej firmie.
  • Zrozumienie ryzyka cyberbezpieczeństwa: Zrozumienie motywacji i wzorców zachowań ludzi atakujących do kradzieży pieniędzy, informacji lub technologii oraz identyfikowania potencjalnego wpływu różnych typów ataków.

Integracja z zabezpieczeniami

Upewnij się, że zabezpieczenia są problemem organizacyjnym i nie są silosowane w jednej grupie. Integracja z zabezpieczeniami zawiera wskazówki dotyczące integrowania zabezpieczeń z rolą wszystkich użytkowników przy jednoczesnym zminimalizowaniu problemów z procesami biznesowymi. Konkretne wskazówki obejmują:

  • Normalizacja relacji: upewnij się, że wszystkie zespoły są zintegrowane z zespołami ds. zabezpieczeń i mają wspólne zrozumienie celów zabezpieczeń. Ponadto należy pracować nad znalezieniem odpowiedniego poziomu mechanizmów kontroli zabezpieczeń, zapewniając, że mechanizmy kontroli nie przeważają nad wartością biznesową.
  • Integracja z działem IT i operacjami biznesowymi: zrównoważ wdrożenie aktualizacji zabezpieczeń i mapowanie sposobu, w jaki wszystkie procesy zabezpieczeń wpływają na bieżący wpływ na działalność biznesową i potencjalne zagrożenie bezpieczeństwa w przyszłości.
  • Integruj zespoły ds. zabezpieczeń: unikaj działania w silosach, reagując na aktywne zagrożenia i stale poprawiając poziom bezpieczeństwa organizacji, praktykując zabezpieczenia jako dynamiczną dyscyplinę.

Odporność biznesowa

Chociaż organizacje nigdy nie mogą mieć doskonałego bezpieczeństwa, nadal istnieje pragmatyczne podejście odporności biznesowej w inwestowanie w pełny cykl życia ryzyka bezpieczeństwa przed, podczas i po incydencie.

  • Cele odporności: skoncentruj się na umożliwieniu firmie szybkiego wprowadzania innowacji, ograniczeniu wpływu i zawsze szukaniu bezpiecznych sposobów wdrażania technologii.
  • Odporność na zabezpieczenia i zakładają naruszenie: przyjmij naruszenie lub naruszenie zabezpieczeń, aby postępować zgodnie z kluczową zasadą zerowego zaufania i praktykować pragmatyczne zachowania zabezpieczeń, aby zapobiec atakom, ograniczyć szkody i szybko je odzyskać.

Kontrola dostępu

Utwórz strategię kontroli dostępu, która jest zgodna zarówno ze środowiskiem użytkownika, jak i zabezpieczeniami.

  • Od obwodu zabezpieczeń do zerowego zaufania: przyjmij podejście zero trust do kontroli dostępu w celu ustanowienia i poprawy bezpieczeństwa podczas pracy w chmurze i korzystania z nowej technologii.
  • Nowoczesna kontrola dostępu: utwórz strategię kontroli dostępu, która jest kompleksowa, spójna i elastyczna. Wykracza poza jedną taktykę lub technologię dla wielu obciążeń, chmur i różnych poziomów poufności biznesowej.
  • Znane, zaufane, dozwolone: postępuj zgodnie z dynamicznym procesem trzyetapowym, aby zapewnić znane uwierzytelnianie, zaufanie użytkownikowi lub urządzeniu oraz zezwolenie na odpowiednie prawa i uprawnienia dla aplikacji, usługi lub danych.
  • Decyzje dotyczące dostępu oparte na danych: podejmij świadome decyzje na podstawie różnych danych dotyczących użytkowników i urządzeń w celu spełnienia jawnej weryfikacji.
  • Segmentacja: oddzielne w celu ochrony: utwórz granice jako oddzielne segmenty środowiska wewnętrznego, aby zawierać uszkodzenia udanych ataków.
  • Izolacja: Unikaj zapory i zapomnij: Projektowanie skrajnej formy segmentacji dla zasobów o krytycznym znaczeniu dla działania firmy, które składają się z: ludzi, procesów i technologii.

Operacje zabezpieczeń

Ustanów operacje zabezpieczeń, zmniejszając ryzyko, szybko reagując i odzyskując, aby chronić organizację i przestrzegać dyscypliny zabezpieczeń procesu DevOps.

  • Ludzie i procesy: Utwórz kulturę, aby umożliwić ludziom korzystanie z narzędzi, aby umożliwić im jako najcenniejszy zasób i zdywersyfikować swój portfel myślenia, włączając i szkoląc osoby nietechnistyczne z silnymi doświadczeniami w rolach badania kryminalistycznego.
  • Model operacji zabezpieczeń: skoncentruj się na wynikach zarządzania zdarzeniami, przygotowywania zdarzeń i analizy zagrożeń. Delegowanie wyników między podgrupami w celu klasyfikacji, badania i polowania na duże i złożone incydenty.
  • Punkty robocze SecOps: Interakcja z liderami biznesowymi w celu informowania głównych zdarzeń i określania wpływu krytycznych systemów. Ciągła wspólna praktyka w celu zmniejszenia ryzyka organizacyjnego.
  • Modernizacja secOps: Rozwijanie operacji zabezpieczeń przez obserwowanie trendów obejmujących pokrycie platformy, zabezpieczenia skoncentrowane na tożsamościach, urządzenia IoT i OT oraz odpowiednie dane telemetryczne z chmury.

Ochrona zasobów

Zabezpieczanie zasobów krytycznych dla działania firmy, które obejmują wszystkie elementy fizyczne i wirtualne, implementując mechanizmy kontroli zabezpieczeń, które są unikatowe dla każdego typu zasobu. Spójne wykonywanie ochrony prewencyjnej i detektywistycznej w celu spełnienia zasad, standardów i architektury.

  • Zabezpieczanie: zapewnianie bezpieczeństwa zasobów do najnowszych standardów i zasad zabezpieczeń organizacji przez zastosowanie bieżących mechanizmów kontroli do zasobów brownfield i zapewnienie, że zasoby greenfield są ustawione na najnowsze standardy.
  • Bądź bezpieczny: przećwicz ciągłe ulepszanie chmury i zaplanuj uaktualnienie lub wycofanie oprogramowania end-of-life, ponieważ wymagania biznesowe, technologiczne i wymagania dotyczące zabezpieczeń zmieniają się szybko.
  • Wprowadzenie: Rozpocznij ochronę zasobów, koncentrując się najpierw na dobrze znanych zasobach w chmurze i korzystaj z dobrze znanych i sprawdzonych punktów odniesienia dostawcy/branży na potrzeby konfiguracji zabezpieczeń.
  • Kluczowe informacje: Użyj kluczowych elementów odpowiedzialnych i odpowiedzialnych zespołów do zarządzania zasobami w całym przedsiębiorstwie, takimi jak potrzeby obciążeń elastyczności w chmurze i mechanizmy kontroli projektowej, aby zidentyfikować najlepsze rozwiązania. Mierzenie wartości biznesowej ochrony zasobów i faworyzowanie zautomatyzowanych zasad w celu uniknięcia kosztów i ręcznych powtórzeń.

Nadzór nad zabezpieczeniami

Przeprowadź nadzór i monitorowanie przy użyciu ładu w zakresie zabezpieczeń w celu utrzymania i poprawy stanu zabezpieczeń w czasie przy użyciu celów biznesowych i ryzyka w celu określenia najlepszego kierunku bezpieczeństwa.

  • Zgodność i raportowanie: zasady zabezpieczeń zewnętrznych i wewnętrznych spełniają obowiązkowe wymagania w danej branży.
  • Architektura i standardy: tworzenie ujednoliconego widoku w infrastrukturze przedsiębiorstwa, ponieważ większość przedsiębiorstw jest środowiskiem hybrydowym obejmującym zarówno zasoby lokalne, jak i w chmurze.
  • Zarządzanie stanem zabezpieczeń: Planowanie ładu w celu monitorowania standardów zabezpieczeń, dostarczania wskazówek i ulepszania procesów. Zachowaj elastyczność dzięki sterowaniu ładem za pomocą zasad i ciągłego ulepszania.
  • Dyscypliny ładu i ochrony: stosowanie mechanizmów kontroli zabezpieczeń i przekazywanie opinii w celu zidentyfikowania najlepszych rozwiązań.
  • Operacje ładu i zabezpieczeń: upewnij się, że wnioski wyciągnięte z zdarzeń są zintegrowane z operacjami zabezpieczeń i ładem.

Bezpieczeństwo innowacji

Ochrona procesów i danych innowacji przed cyberatakami, ponieważ nowe aplikacje są opracowywane z myślą o bezpieczeństwie innowacji.

  • DevSecOps: zintegrowane zabezpieczenia z już połączonym procesem programowania i operacji w metodyce DevOps w celu ograniczenia ryzyka w procesie innowacji.
  • Bezpieczne przez projekt i przesunięcie w lewo: Zaangażuj zabezpieczenia we wszystkich etapach cyklu życia metodyki DevOps i mają zespoły zgodne z szybkością innowacji, niezawodnością i odpornością.
  • Dlaczego devSecOps: aby zabezpieczyć proces DevOps chroniący przed osobami atakującymi wykorzystującymi słabe strony we wszystkich infrastrukturze IT w organizacji, co z kolei chroni klientów.
  • Podróż DevSecOps: użyj inkubacji pomysłu i metodyki DevOps jako dwufazowego procesu, takiego jak większość organizacji. Zidentyfikuj wymagania MVP (minimalny możliwy do użycia produkt), użyj technik przywództwa, aby rozwiązać konflikty zespołów i zintegrować zabezpieczenia w istniejących procesach i narzędziach.
  • Wskazówki dotyczące poruszania się po podróży: W miarę przekształcania zabezpieczeń w trakcie podróży będą występować typowe wyzwania, które będą obejmować edukację, czas, zasoby i ogólny charakter operacji IT.

Kontrolki DevSecOps

Dodaj zabezpieczenia do każdego etapu ciągłej integracji i ciągłego dostarczania (CI/CD) podczas tworzenia kontrolek DevSecOps.

  • Zabezpieczanie projektu: zapewnij bezpieczeństwo fazie planowania w nowoczesnych metodologiach programowania w celu zaimplementowania modelowania zagrożeń, wtyczek zabezpieczeń środowiska IDE/wstępnego zatwierdzania i przeglądu równorzędnego.
  • Zabezpieczanie kodu: ocenianie i implementowanie możliwości skanowania luk w zabezpieczeniach w scentralizowanych repozytoriach w celu odnajdywania zagrożeń i przeprowadzania korygowania.
  • Zabezpieczanie potoku: użyj potoków kompilacji i wydania na potrzeby automatyzacji i standaryzacji procesów tworzenia i wdrażania bezpiecznego kodu bez poświęcania dużych ilości czasu na ponowne wdrażanie lub uaktualnianie istniejących środowisk.
  • Bezpieczne operacje: nadzoruj stan zabezpieczeń i zarządzaj nim, gdy rozwiązanie zostanie przeniesione do środowiska produkcyjnego. Użyj narzędzi do skanowania infrastruktury i praktyk testowania penetracyjnego, aby umożliwić zespołom znajdowanie zagrożeń i luk w zabezpieczeniach.

Cykl programowania opartego na testach

Przed rozpoczęciem wszelkich ulepszeń zabezpieczeń ważne jest zrozumienie "definicji gotowej" i wszystkich "kryteriów akceptacji". Aby uzyskać więcej informacji, zobacz artykuły na temat testowania tworzenia stref docelowych i programowania opartego na testach na platformie Azure.

Następne kroki

Dowiedz się, jak ulepszyć operacje strefy docelowej w celu obsługi krytycznych aplikacji.