Ulepszanie zabezpieczeń strefy docelowej
Jeśli obciążenie lub strefy docelowe hostujące go wymagają dostępu do poufnych danych lub systemów krytycznych, ważne jest, aby chronić dane i zasoby.
Zabezpieczanie
Gdy opuszczasz stan Gotowe, masz ciągłą odpowiedzialność za utrzymanie bezpieczeństwa środowiska. Zabezpieczenia w chmurze są również procesem przyrostowym, a nie tylko statycznym miejscem docelowym. Skoncentruj się na celach i kluczowych wynikach, gdy wyobrażasz sobie stan zakończenia zabezpieczeń. Mapowanie pojęć, struktur i standardów na dyscypliny w bezpiecznej metodologii CAF wraz z mapowaniem ról i obowiązków dla dyscypliny ludzkiej. Metodologia bezpieczeństwa zawiera wskazówki.
Poniżej przedstawiono omówienie tych wskazówek z linkami do szczegółów.
Szczegółowe informacje o ryzyku
Operacje biznesowe mają zagrożenia bezpieczeństwa. Zespół ds. zabezpieczeń powinien poinformować i doradzać osobom podejmującym decyzje o tym, w jaki sposób zagrożenia bezpieczeństwa mieszczą się w swoich strukturach, rozumiejąc działalność biznesową i stosując praktyki zabezpieczeń, aby rozpoznać, które ryzyko należy odpowiednio zaplanować i podjąć działania.
- Zagrożenia związane z cyberbezpieczeństwem: wszystkie potencjalne szkody lub zniszczenie firmy spowodowane przez osoby atakujące próbujące ukraść walutę, informacje wewnętrzne lub technologie.
- Dostosuj zarządzanie ryzykiem bezpieczeństwa: zainwestuj w mostkowanie cyberbezpieczeństwa i przywództwa organizacyjnego, aby wyjaśnić zagrożenia bezpieczeństwa przy użyciu przyjaznej dla firmy terminologii, aktywnie słuchając i komunikując się ze wszystkimi osobami w całej firmie.
- Zrozumienie ryzyka cyberbezpieczeństwa: Zrozumienie motywacji i wzorców zachowań ludzi atakujących do kradzieży pieniędzy, informacji lub technologii oraz identyfikowania potencjalnego wpływu różnych typów ataków.
Integracja z zabezpieczeniami
Upewnij się, że zabezpieczenia są problemem organizacyjnym i nie są silosowane w jednej grupie. Integracja z zabezpieczeniami zawiera wskazówki dotyczące integrowania zabezpieczeń z rolą wszystkich użytkowników przy jednoczesnym zminimalizowaniu problemów z procesami biznesowymi. Konkretne wskazówki obejmują:
- Normalizacja relacji: upewnij się, że wszystkie zespoły są zintegrowane z zespołami ds. zabezpieczeń i mają wspólne zrozumienie celów zabezpieczeń. Ponadto należy pracować nad znalezieniem odpowiedniego poziomu mechanizmów kontroli zabezpieczeń, zapewniając, że mechanizmy kontroli nie przeważają nad wartością biznesową.
- Integracja z działem IT i operacjami biznesowymi: zrównoważ wdrożenie aktualizacji zabezpieczeń i mapowanie sposobu, w jaki wszystkie procesy zabezpieczeń wpływają na bieżący wpływ na działalność biznesową i potencjalne zagrożenie bezpieczeństwa w przyszłości.
- Integruj zespoły ds. zabezpieczeń: unikaj działania w silosach, reagując na aktywne zagrożenia i stale poprawiając poziom bezpieczeństwa organizacji, praktykując zabezpieczenia jako dynamiczną dyscyplinę.
Odporność biznesowa
Chociaż organizacje nigdy nie mogą mieć doskonałego bezpieczeństwa, nadal istnieje pragmatyczne podejście odporności biznesowej w inwestowanie w pełny cykl życia ryzyka bezpieczeństwa przed, podczas i po incydencie.
- Cele odporności: skoncentruj się na umożliwieniu firmie szybkiego wprowadzania innowacji, ograniczeniu wpływu i zawsze szukaniu bezpiecznych sposobów wdrażania technologii.
- Odporność na zabezpieczenia i zakładają naruszenie: przyjmij naruszenie lub naruszenie zabezpieczeń, aby postępować zgodnie z kluczową zasadą zerowego zaufania i praktykować pragmatyczne zachowania zabezpieczeń, aby zapobiec atakom, ograniczyć szkody i szybko je odzyskać.
Kontrola dostępu
Utwórz strategię kontroli dostępu, która jest zgodna zarówno ze środowiskiem użytkownika, jak i zabezpieczeniami.
- Od obwodu zabezpieczeń do zerowego zaufania: przyjmij podejście zero trust do kontroli dostępu w celu ustanowienia i poprawy bezpieczeństwa podczas pracy w chmurze i korzystania z nowej technologii.
- Nowoczesna kontrola dostępu: utwórz strategię kontroli dostępu, która jest kompleksowa, spójna i elastyczna. Wykracza poza jedną taktykę lub technologię dla wielu obciążeń, chmur i różnych poziomów poufności biznesowej.
- Znane, zaufane, dozwolone: postępuj zgodnie z dynamicznym procesem trzyetapowym, aby zapewnić znane uwierzytelnianie, zaufanie użytkownikowi lub urządzeniu oraz zezwolenie na odpowiednie prawa i uprawnienia dla aplikacji, usługi lub danych.
- Decyzje dotyczące dostępu oparte na danych: podejmij świadome decyzje na podstawie różnych danych dotyczących użytkowników i urządzeń w celu spełnienia jawnej weryfikacji.
- Segmentacja: oddzielne w celu ochrony: utwórz granice jako oddzielne segmenty środowiska wewnętrznego, aby zawierać uszkodzenia udanych ataków.
- Izolacja: Unikaj zapory i zapomnij: Projektowanie skrajnej formy segmentacji dla zasobów o krytycznym znaczeniu dla działania firmy, które składają się z: ludzi, procesów i technologii.
Operacje zabezpieczeń
Ustanów operacje zabezpieczeń, zmniejszając ryzyko, szybko reagując i odzyskując, aby chronić organizację i przestrzegać dyscypliny zabezpieczeń procesu DevOps.
- Ludzie i procesy: Utwórz kulturę, aby umożliwić ludziom korzystanie z narzędzi, aby umożliwić im jako najcenniejszy zasób i zdywersyfikować swój portfel myślenia, włączając i szkoląc osoby nietechnistyczne z silnymi doświadczeniami w rolach badania kryminalistycznego.
- Model operacji zabezpieczeń: skoncentruj się na wynikach zarządzania zdarzeniami, przygotowywania zdarzeń i analizy zagrożeń. Delegowanie wyników między podgrupami w celu klasyfikacji, badania i polowania na duże i złożone incydenty.
- Punkty robocze SecOps: Interakcja z liderami biznesowymi w celu informowania głównych zdarzeń i określania wpływu krytycznych systemów. Ciągła wspólna praktyka w celu zmniejszenia ryzyka organizacyjnego.
- Modernizacja secOps: Rozwijanie operacji zabezpieczeń przez obserwowanie trendów obejmujących pokrycie platformy, zabezpieczenia skoncentrowane na tożsamościach, urządzenia IoT i OT oraz odpowiednie dane telemetryczne z chmury.
Ochrona zasobów
Zabezpieczanie zasobów krytycznych dla działania firmy, które obejmują wszystkie elementy fizyczne i wirtualne, implementując mechanizmy kontroli zabezpieczeń, które są unikatowe dla każdego typu zasobu. Spójne wykonywanie ochrony prewencyjnej i detektywistycznej w celu spełnienia zasad, standardów i architektury.
- Zabezpieczanie: zapewnianie bezpieczeństwa zasobów do najnowszych standardów i zasad zabezpieczeń organizacji przez zastosowanie bieżących mechanizmów kontroli do zasobów brownfield i zapewnienie, że zasoby greenfield są ustawione na najnowsze standardy.
- Bądź bezpieczny: przećwicz ciągłe ulepszanie chmury i zaplanuj uaktualnienie lub wycofanie oprogramowania end-of-life, ponieważ wymagania biznesowe, technologiczne i wymagania dotyczące zabezpieczeń zmieniają się szybko.
- Wprowadzenie: Rozpocznij ochronę zasobów, koncentrując się najpierw na dobrze znanych zasobach w chmurze i korzystaj z dobrze znanych i sprawdzonych punktów odniesienia dostawcy/branży na potrzeby konfiguracji zabezpieczeń.
- Kluczowe informacje: Użyj kluczowych elementów odpowiedzialnych i odpowiedzialnych zespołów do zarządzania zasobami w całym przedsiębiorstwie, takimi jak potrzeby obciążeń elastyczności w chmurze i mechanizmy kontroli projektowej, aby zidentyfikować najlepsze rozwiązania. Mierzenie wartości biznesowej ochrony zasobów i faworyzowanie zautomatyzowanych zasad w celu uniknięcia kosztów i ręcznych powtórzeń.
Nadzór nad zabezpieczeniami
Przeprowadź nadzór i monitorowanie przy użyciu ładu w zakresie zabezpieczeń w celu utrzymania i poprawy stanu zabezpieczeń w czasie przy użyciu celów biznesowych i ryzyka w celu określenia najlepszego kierunku bezpieczeństwa.
- Zgodność i raportowanie: zasady zabezpieczeń zewnętrznych i wewnętrznych spełniają obowiązkowe wymagania w danej branży.
- Architektura i standardy: tworzenie ujednoliconego widoku w infrastrukturze przedsiębiorstwa, ponieważ większość przedsiębiorstw jest środowiskiem hybrydowym obejmującym zarówno zasoby lokalne, jak i w chmurze.
- Zarządzanie stanem zabezpieczeń: Planowanie ładu w celu monitorowania standardów zabezpieczeń, dostarczania wskazówek i ulepszania procesów. Zachowaj elastyczność dzięki sterowaniu ładem za pomocą zasad i ciągłego ulepszania.
- Dyscypliny ładu i ochrony: stosowanie mechanizmów kontroli zabezpieczeń i przekazywanie opinii w celu zidentyfikowania najlepszych rozwiązań.
- Operacje ładu i zabezpieczeń: upewnij się, że wnioski wyciągnięte z zdarzeń są zintegrowane z operacjami zabezpieczeń i ładem.
Bezpieczeństwo innowacji
Ochrona procesów i danych innowacji przed cyberatakami, ponieważ nowe aplikacje są opracowywane z myślą o bezpieczeństwie innowacji.
- DevSecOps: zintegrowane zabezpieczenia z już połączonym procesem programowania i operacji w metodyce DevOps w celu ograniczenia ryzyka w procesie innowacji.
- Bezpieczne przez projekt i przesunięcie w lewo: Zaangażuj zabezpieczenia we wszystkich etapach cyklu życia metodyki DevOps i mają zespoły zgodne z szybkością innowacji, niezawodnością i odpornością.
- Dlaczego devSecOps: aby zabezpieczyć proces DevOps chroniący przed osobami atakującymi wykorzystującymi słabe strony we wszystkich infrastrukturze IT w organizacji, co z kolei chroni klientów.
- Podróż DevSecOps: użyj inkubacji pomysłu i metodyki DevOps jako dwufazowego procesu, takiego jak większość organizacji. Zidentyfikuj wymagania MVP (minimalny możliwy do użycia produkt), użyj technik przywództwa, aby rozwiązać konflikty zespołów i zintegrować zabezpieczenia w istniejących procesach i narzędziach.
- Wskazówki dotyczące poruszania się po podróży: W miarę przekształcania zabezpieczeń w trakcie podróży będą występować typowe wyzwania, które będą obejmować edukację, czas, zasoby i ogólny charakter operacji IT.
Kontrolki DevSecOps
Dodaj zabezpieczenia do każdego etapu ciągłej integracji i ciągłego dostarczania (CI/CD) podczas tworzenia kontrolek DevSecOps.
- Zabezpieczanie projektu: zapewnij bezpieczeństwo fazie planowania w nowoczesnych metodologiach programowania w celu zaimplementowania modelowania zagrożeń, wtyczek zabezpieczeń środowiska IDE/wstępnego zatwierdzania i przeglądu równorzędnego.
- Zabezpieczanie kodu: ocenianie i implementowanie możliwości skanowania luk w zabezpieczeniach w scentralizowanych repozytoriach w celu odnajdywania zagrożeń i przeprowadzania korygowania.
- Zabezpieczanie potoku: użyj potoków kompilacji i wydania na potrzeby automatyzacji i standaryzacji procesów tworzenia i wdrażania bezpiecznego kodu bez poświęcania dużych ilości czasu na ponowne wdrażanie lub uaktualnianie istniejących środowisk.
- Bezpieczne operacje: nadzoruj stan zabezpieczeń i zarządzaj nim, gdy rozwiązanie zostanie przeniesione do środowiska produkcyjnego. Użyj narzędzi do skanowania infrastruktury i praktyk testowania penetracyjnego, aby umożliwić zespołom znajdowanie zagrożeń i luk w zabezpieczeniach.
Cykl programowania opartego na testach
Przed rozpoczęciem wszelkich ulepszeń zabezpieczeń ważne jest zrozumienie "definicji gotowej" i wszystkich "kryteriów akceptacji". Aby uzyskać więcej informacji, zobacz artykuły na temat testowania tworzenia stref docelowych i programowania opartego na testach na platformie Azure.
Następne kroki
Dowiedz się, jak ulepszyć operacje strefy docelowej w celu obsługi krytycznych aplikacji.