Udostępnij za pośrednictwem

Omówienie zabezpieczeń

  • Artykuł

Metodologia Cloud Adoption Framework for Azure Secure zapewnia ustrukturyzowane podejście do zabezpieczania majątku w chmurze platformy Azure.

Wskazówki zawarte w tej serii artykułów zawierają zalecenia dotyczące wszystkich metodologii w przewodniku Cloud Adoption Framework, ponieważ bezpieczeństwo powinno być integralną częścią każdej fazy procesu wdrażania chmury. W związku z tym można znaleźć artykuły dostosowane do każdej metodologii, która udostępnia zalecenia dotyczące zabezpieczeń, które należy wziąć pod uwagę podczas każdej fazy procesu wdrażania chmury.

Diagram przedstawiający metodologie związane z wdrażaniem chmury. Diagram zawiera pola dla każdej fazy: zespoły i role, strategia, planowanie, gotowość, wdrażanie, zarządzanie i zarządzanie.

Wszystkie zalecenia zawarte w tych wskazówkach są zgodne z zasadami zerowego zaufania dotyczącymi naruszenia zabezpieczeń (lub zakładania naruszenia), najniższymi uprawnieniami i jawną weryfikacją zaufania, która powinna kierować się strategią zabezpieczeń, architekturą i implementacją.

Holistyczne wskazówki dotyczące zabezpieczeń

Bezpieczeństwo to złożona i trudna dyscyplina, którą należy wziąć pod uwagę w prawie wszystkich aspektach środowisk chmurowych i technologicznych. Weź pod uwagę następujące kluczowe kwestie:

  • Wszystko jest potencjalnym celem lub wektorem ataku: w dzisiejszym świecie osoby atakujące mogą wykorzystać wszelkie słabe strony w osobach, procesach i technologiach organizacji, aby osiągnąć swoje złośliwe cele.

  • Bezpieczeństwo jest sportem zespołowym: aby bronić się przed tymi atakami, wymagane jest skoordynowane podejście w zespołach biznesowych, technologicznych i bezpieczeństwa. Każdy zespół musi przyczyniać się do wysiłków związanych z bezpieczeństwem i skutecznie współpracować. Aby uzyskać informacje o różnych rolach wymaganych do zabezpieczenia zasobów platformy Azure, zobacz Teams and roles (Zespoły i role).

Te wskazówki dotyczące zabezpieczeń przewodnika Cloud Adoption Framework są jednym ze składników większego całościowego zestawu wskazówek dotyczących zabezpieczeń firmy Microsoft zaprojektowanych w celu ułatwienia różnym zespołom zrozumienia i wykonania obowiązków związanych z zabezpieczeniami. Kompletny zestaw zawiera następujące wskazówki:

  • Metodologia Secure przewodnika Cloud Adoption Framework zawiera wskazówki dotyczące zabezpieczeń dla zespołów, które zarządzają infrastrukturą technologiczną, która obsługuje wszystkie operacje i programowanie obciążeń hostowanych na platformie Azure.

  • Wskazówki dotyczące zabezpieczeń platformy Azure Well-Architected Framework zawierają wskazówki dla poszczególnych właścicieli obciążeń dotyczące stosowania najlepszych rozwiązań w zakresie zabezpieczeń do procesów tworzenia aplikacji oraz devOps i DevSecOps. Firma Microsoft udostępnia wskazówki, które uzupełniają tę dokumentację dotyczącą stosowania praktyk zabezpieczeń i mechanizmów kontroli DevSecOps w cyklu projektowania zabezpieczeń.

  • Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera wskazówki dotyczące najlepszych rozwiązań dla uczestników projektu w celu zapewnienia niezawodnych zabezpieczeń w chmurze. Te wskazówki obejmują punkty odniesienia zabezpieczeń, które opisują dostępne funkcje zabezpieczeń i zalecane optymalne konfiguracje dla usług platformy Azure.

  • Wskazówki dotyczące zerowego zaufania zawierają wskazówki dla zespołów ds. zabezpieczeń w celu zaimplementowania możliwości technicznych w celu obsługi inicjatywy modernizacji Zero Trust.

W każdym artykule opisano kilka tematów związanych z jego dostosowaną metodologią:

  • Modernizacja stanu zabezpieczeń
  • Przygotowywanie i reagowanie na zdarzenia
  • Triad poufności, integralności i dostępności (CIA)
  • Utrzymanie stanu zabezpieczeń

Modernizacja stanu zabezpieczeń

W całej podróży po wdrożeniu chmury poszukaj możliwości zwiększenia ogólnego poziomu zabezpieczeń poprzez modernizację. Wskazówki zawarte w tej metodologii są zgodne z platformą wdrażania firmy Microsoft Zero Trust. Ta struktura zapewnia szczegółowe, krok po kroku podejście do modernizacji stanu zabezpieczeń. Podczas przeglądania zaleceń dotyczących każdej fazy metodologii przewodnika Cloud Adoption Framework ulepszysz je, korzystając ze wskazówek podanych w strukturze wdrażania zero trust.

Przygotowywanie i reagowanie na zdarzenia

Przygotowywanie i reagowanie na zdarzenia to podstawowe elementy ogólnego stanu zabezpieczeń. Możliwość przygotowania się do zdarzeń i reagowania na nie może znacząco wpłynąć na powodzenie działania w chmurze. Dobrze zaprojektowane mechanizmy przygotowywania i praktyki operacyjne umożliwiają szybsze wykrywanie zagrożeń i pomagają zminimalizować promień wybuchu zdarzeń. Takie podejście ułatwia szybsze odzyskiwanie. Podobnie dobrze ustrukturyzowane mechanizmy reagowania i praktyki operacyjne zapewniają wydajną nawigację przez działania odzyskiwania i zapewniają jasne możliwości ciągłego ulepszania w całym procesie. Koncentrując się na tych elementach, możesz zwiększyć ogólną strategię zabezpieczeń, która zapewnia odporność i ciągłość operacyjną w chmurze.

The CIA Triad

CIA Triad jest podstawowym modelem bezpieczeństwa informacji, który reprezentuje trzy podstawowe zasady. Te zasady to poufność, integralność i dostępność.

  • Poufność zapewnia, że tylko autoryzowane osoby mogą uzyskiwać dostęp do poufnych informacji. Te zasady obejmują miary, takie jak szyfrowanie i mechanizmy kontroli dostępu w celu ochrony danych przed nieautoryzowanym dostępem.

  • Integralność utrzymuje dokładność i kompletność danych. Zasada ta oznacza ochronę danych przed zmianami lub manipulowaniem przez nieautoryzowanych użytkowników, co gwarantuje, że informacje pozostają wiarygodne.

  • Dostępność zapewnia, że informacje i zasoby są dostępne dla autoryzowanych użytkowników w razie potrzeby. To zadanie obejmuje utrzymywanie systemów i sieci w celu zapobiegania przestojom i zapewnienia ciągłego dostępu do danych.

Przyjęcie CIA Triad w celu zapewnienia, że technologia biznesowa pozostaje niezawodna i bezpieczna. Służy do wymuszania niezawodności i zabezpieczeń w operacjach za pomocą dobrze zdefiniowanych, ściśle przestrzeganych i sprawdzonych rozwiązań. Niektóre sposoby, w jaki zasady triady mogą pomóc zapewnić bezpieczeństwo i niezawodność:

  • Ochrona danych: ochrona poufnych danych przed naruszeniami, korzystając z triadu CIA, która zapewnia prywatność i zgodność z przepisami.

  • Ciągłość działalności biznesowej: zapewnianie integralności danych i dostępności w celu utrzymania operacji biznesowych i uniknięcia przestojów.

  • Zaufanie klientów: Zaimplementuj triad CIA, aby budować zaufanie klientom i uczestnikom projektu, wykazując zaangażowanie w bezpieczeństwo danych.

Każdy artykuł dostosowany do metodologii zawiera zalecenia dotyczące zasad CIA Triad. Takie podejście gwarantuje, że można rozwiązać problem z poufnością, integralnością i dostępnością. Te wskazówki pomagają dokładnie rozważyć te aspekty w każdej fazie procesu wdrażania chmury.

Utrzymanie stanu zabezpieczeń

Ciągłe ulepszanie ma kluczowe znaczenie dla utrzymania niezawodnego stanu zabezpieczeń w chmurze, ponieważ zagrożenia cybernetyczne stale ewoluują i stają się bardziej zaawansowane. Aby chronić przed stale zmieniającymi się zagrożeniami, należy zapewnić ciągłe ulepszenia. Wskazówki zawarte w tych sekcjach mogą pomóc w skonfigurowaniu organizacji pod kątem długoterminowego sukcesu, identyfikując możliwości ciągłego ulepszania. Skoncentruj się na tych strategiach podczas ustanawiania i rozwoju środowiska chmury w czasie.

Lista kontrolna zabezpieczeń w chmurze

Lista kontrolna zabezpieczeń w chmurze umożliwia wyświetlanie wszystkich zadań dla każdego kroku zabezpieczeń w chmurze. Szybko przejdź do potrzebnych wskazówek.

  Krok zabezpieczeń chmury Zadania zabezpieczeń w chmurze
Omówienie zespołów ds. zabezpieczeń i ról. Omówienie roli dostawcy usług w chmurze.
Omówienie ról zespołów infrastruktury i platformy.
Poznaj role architektury zabezpieczeń, inżynierii, zespołów zarządzania stanem.
Poznaj role zespołów ds. operacji zabezpieczeń (SecOps i SOC).
Poznaj role zespołów ds. ładu, ryzyka i zgodności (GRC, Security Governance, Security Governance, Risk, And Compliance).
Dowiedz się więcej o edukacji i zasadach dotyczących zabezpieczeń.
Integrowanie zabezpieczeń ze strategią wdrażania chmury. Strategia modernizacji stanu zabezpieczeń.
Strategia gotowości i reagowania na zdarzenia.
Strategia poufności.
Strategia integralności.
Strategia dostępności.
Strategia utrzymania stanu zabezpieczeń
Planowanie bezpiecznego wdrożenia chmury. Planowanie wdrożenia strefy docelowej.
Planowanie modernizacji stanu zabezpieczeń.
Gotowość i planowanie reagowania na zdarzenia.
Planowanie poufności.
Planowanie integralności
Planowanie dostępności
Planowanie utrzymania stanu zabezpieczeń
Przygotuj bezpieczny majątek w chmurze. Gotowość do modernizacji stanu zabezpieczeń.
Gotowość na przygotowanie i reagowanie na zdarzenia.
Gotowość do zachowania poufności.
Gotowe do integralności.
Gotowość do dostępności
Gotowość do utrzymania stanu zabezpieczeń
Bezpieczne wdrażanie chmury. Wdrażanie modernizacji stanu zabezpieczeń.
Wdrażanie gotowości i reagowania na zdarzenia.
Przyjęcie poufności.
Przyjmij integralność.
Wdrażanie dostępności.
Wdrażanie utrzymania stanu zabezpieczeń
Bezpieczne zarządzanie infrastrukturą w chmurze. Modernizacja stanu zabezpieczeń.
Gotowość i ład reagowania na zdarzenia
Nadzór nad poufnością.
Nadzór nad integralnością.
Nadzór nad dostępnością.
Utrzymanie ładu w zakresie zabezpieczeń
Bezpieczne zarządzanie infrastrukturą w chmurze. Modernizacja stanu zabezpieczeń.
Zarządzanie gotowością i reagowaniem na zdarzenia
Zarządzanie poufnością.
Zarządzanie integralnością.
Zarządzanie dostępnością.
Zarządzanie utrzymaniem zabezpieczeń

Następny krok

Zespoły ds. zabezpieczeń, role i funkcje