Określanie wymagań dotyczących własności
Ten artykuł jest jedną z serii, która zawiera wskazówki dotyczące projektowania rozwiązania do zarządzania stanem zabezpieczeń w chmurze (CSPM) i ochrony obciążeń w chmurze (CWP) w zasobach wielochmurowych przy użyciu Microsoft Defender dla Chmury.
Goal
Zidentyfikuj zespoły zaangażowane w rozwiązanie zabezpieczeń w wielu chmurach i zaplanuj ich dopasowanie i pracę ze sobą.
Funkcje zabezpieczeń
W zależności od rozmiaru organizacji oddzielne zespoły będą zarządzać funkcjami zabezpieczeń. W złożonym przedsiębiorstwie funkcje mogą być liczne.
| Funkcja zabezpieczeń | Szczegóły |
|---|---|
| Operacje zabezpieczeń (SecOps) | Zmniejszenie ryzyka organizacyjnego przez skrócenie czasu, w którym zły aktorzy mają dostęp do zasobów firmy. Wykrywanie reaktywne, analiza, reagowanie i korygowanie ataków. Proaktywne wyszukiwanie zagrożeń. |
| Architektura zabezpieczeń | Projekt zabezpieczeń podsumowuje i dokumentuje składniki, narzędzia, procesy, zespoły i technologie, które chronią firmę przed ryzykiem. |
| Zarządzanie zgodnością z zabezpieczeniami | Procesy zapewniające zgodność organizacji z wymaganiami prawnymi i zasadami wewnętrznymi. |
| Zabezpieczenia osób | Ochrona organizacji przed ryzykiem ludzkim i bezpieczeństwem. |
| Zabezpieczenia aplikacji i metodyka DevSecOps | Integrowanie zabezpieczeń z procesami i aplikacjami DevOps. |
| Bezpieczeństwo danych | Ochrona danych organizacji. |
| Zabezpieczenia infrastruktury i punktu końcowego | Zapewnianie ochrony, wykrywania i reagowania na urządzenia infrastruktury, sieci i punktów końcowych używane przez aplikacje i użytkowników. |
| Zarządzanie tożsamościami i kluczami | Uwierzytelnianie i autoryzowanie użytkowników, usług, urządzeń i aplikacji. Zapewnij bezpieczną dystrybucję i dostęp do operacji kryptograficznych. |
| Analiza zagrożeń | Podejmowanie decyzji i podejmowanie działań na temat analizy zagrożeń zabezpieczeń, która zapewnia kontekst i praktyczne informacje na temat aktywnych ataków i potencjalnych zagrożeń. |
| Zarządzanie stanem | Ciągłe raportowanie i ulepszanie stanu zabezpieczeń organizacji. |
| Przygotowywanie zdarzenia | Tworzenie narzędzi, procesów i wiedzy w celu reagowania na zdarzenia związane z bezpieczeństwem. |
Wyrównanie zespołu
Pomimo wielu różnych zespołów, które zarządzają zabezpieczeniami w chmurze, ważne jest, aby wspólnie ustalić, kto jest odpowiedzialny za podejmowanie decyzji w środowisku wielochmurowym. Brak własności powoduje tarcie, które może spowodować wstrzymanie projektów i niezabezpieczonych wdrożeń, które nie mogą czekać na zatwierdzenie zabezpieczeń.
Kierownictwo ds. zabezpieczeń, najczęściej w ramach CISO, powinno określać, kto jest odpowiedzialny za podejmowanie decyzji dotyczących zabezpieczeń. Zazwyczaj obowiązki są zgodne z podsumowaniem w tabeli.
| Kategoria | opis | Typowy zespół |
|---|---|---|
| Zabezpieczenia punktu końcowego serwera | Monitorowanie i korygowanie zabezpieczeń serwera, obejmuje stosowanie poprawek, konfigurację, zabezpieczenia punktu końcowego itp. | Wspólna odpowiedzialność za centralne zespoły ds. operacji IT i infrastruktury i zabezpieczeń punktów końcowych. |
| Monitorowanie i reagowanie na zdarzenia | Zbadaj i koryguj zdarzenia zabezpieczeń w rozwiązaniu SIEM lub konsoli źródłowej organizacji. | Zespół ds. operacji zabezpieczeń . |
| Zarządzanie zasadami | Ustaw kierunek kontroli dostępu opartej na rolach platformy Azure (Azure RBAC), Microsoft Defender dla Chmury, strategii ochrony administratora i usługi Azure Policy, aby zarządzać zasobami platformy Azure, niestandardowymi zaleceniami platformy AWS/GCP itp. | Wspólna odpowiedzialność zespołów ds. zasad i standardów i architektury zabezpieczeń. |
| Zarządzanie zagrożeniami i lukami | Zachowaj pełną widoczność i kontrolę nad infrastrukturą, aby upewnić się, że krytyczne problemy są wykrywane i korygowane tak wydajnie, jak to możliwe. | Wspólna odpowiedzialność za centralne zespoły ds. operacji IT i infrastruktury i zabezpieczeń punktów końcowych. |
| Obciążenia aplikacji | Skoncentruj się na mechanizmach kontroli zabezpieczeń dla określonych obciążeń. Celem jest zintegrowanie gwarancji zabezpieczeń z procesami programistycznymi i niestandardowymi aplikacjami biznesowymi (LOB). | Wspólna odpowiedzialność za tworzenie aplikacji i centralne zespoły ds. operacji IT. |
| Zabezpieczenia i standardy dotyczące tożsamości | Zapoznaj się z indeksem pełzania uprawnień (PCI) dla subskrypcji platformy Azure, kont platformy AWS i projektów GCP, aby zidentyfikować zagrożenia związane z nieużywanymi lub nadmiernymi uprawnieniami w tożsamościach i zasobach. | Wspólna odpowiedzialność za zarządzanie tożsamościami i kluczami, zasadami i standardami oraz zespołami ds. architektury zabezpieczeń. |
Najlepsze rozwiązania
- Mimo że zabezpieczenia wielochmurowe mogą być podzielone między różne obszary działalności, zespoły powinny zarządzać zabezpieczeniami w infrastrukturze wielochmurowej. Jest to lepsze niż zabezpieczanie różnych środowisk chmury przez różne zespoły. Na przykład gdy jeden zespół zarządza platformą Azure, a inny zespół zarządza platformą AWS. Zespoły pracujące w środowiskach wielochmurowych pomagają zapobiegać rozrastaniu się w organizacji. Pomaga również zapewnić stosowanie zasad zabezpieczeń i wymagań dotyczących zgodności w każdym środowisku.
- Często zespoły zarządzające Defender dla Chmury nie mają uprawnień do korygowania zaleceń w obciążeniach. Na przykład zespół Defender dla Chmury może nie być w stanie skorygować luk w zabezpieczeniach w wystąpieniu usługi AWS EC2. Zespół ds. zabezpieczeń może być odpowiedzialny za poprawę stanu zabezpieczeń, ale nie może naprawić wynikowych zaleceń dotyczących zabezpieczeń. Aby rozwiązać ten problem:
- Konieczne jest zaangażowanie właścicieli obciążeń platformy AWS.
- Przypisywanie właścicieli z terminami ukończenia i definiowanie reguł ładu powoduje tworzenie odpowiedzialności i przejrzystości podczas kierowania procesami w celu poprawy stanu zabezpieczeń.
- Konieczne jest zaangażowanie właścicieli obciążeń platformy AWS.
- W zależności od modeli organizacyjnych często widzimy te opcje dla centralnych zespołów ds. zabezpieczeń działających z właścicielami obciążeń:
Opcja 1. Model scentralizowany. Mechanizmy kontroli zabezpieczeń są definiowane, wdrażane i monitorowane przez centralny zespół.
- Centralny zespół ds. zabezpieczeń decyduje, które zasady zabezpieczeń zostaną zaimplementowane w organizacji i kto ma uprawnienia do kontrolowania ustawionych zasad.
- Zespół może również mieć uprawnienia do korygowania niezgodnych zasobów i wymuszania izolacji zasobów w przypadku zagrożenia bezpieczeństwa lub problemu z konfiguracją.
- Z drugiej strony właściciele obciążeń są odpowiedzialni za zarządzanie obciążeniami w chmurze, ale muszą przestrzegać zasad zabezpieczeń wdrożonych przez centralny zespół.
- Ten model jest najbardziej odpowiedni dla firm o wysokim poziomie automatyzacji, aby zapewnić zautomatyzowane procesy reagowania na luki w zabezpieczeniach i zagrożeniach.
Opcja 2. Model zdecentralizowany.— Mechanizmy kontroli zabezpieczeń są definiowane, wdrażane i monitorowane przez właścicieli obciążeń.
- Wdrażanie kontroli zabezpieczeń odbywa się przez właścicieli obciążeń, ponieważ są właścicielami zestawów zasad i w związku z tym mogą zdecydować, które zasady zabezpieczeń mają zastosowanie do ich zasobów.
- Właściciele muszą być świadomi, rozumieć i działać na alertach zabezpieczeń i zaleceniach dotyczących własnych zasobów.
- Z drugiej strony centralny zespół ds. zabezpieczeń działa tylko jako jednostka kontrolująca bez dostępu do zapisu do żadnego z obciążeń.
- Zespół ds. zabezpieczeń zwykle ma wgląd w ogólną postawę zabezpieczeń organizacji i może pociągnąć właścicieli obciążeń do odpowiedzialności za poprawę stanu zabezpieczeń.
- Ten model jest najbardziej odpowiedni dla organizacji, które potrzebują wglądu w ogólny stan zabezpieczeń, ale jednocześnie chcą zachować odpowiedzialność za zabezpieczenia z właścicielami obciążeń.
- Obecnie jedynym sposobem osiągnięcia opcji 2 w Defender dla Chmury jest przypisanie właścicieli obciążeń z uprawnieniami Czytelnik zabezpieczeń do subskrypcji, która hostuje zasób łącznika wielochmurowego.
Następne kroki
W tym artykule przedstawiono sposób określania wymagań dotyczących własności podczas projektowania rozwiązania zabezpieczeń w wielu chmurach. Przejdź do następnego kroku, aby określić wymagania dotyczące kontroli dostępu.