Планирование готовности к безопасности

  • 10 мин
Старайтесь внедрять и реализовывать методики безопасности в архитектурных решениях и операциях с минимальными трениями.

Как владелец рабочей нагрузки, вы несете общую ответственность за защиту ресурсов в организации. Создайте план готовности к безопасности, который соответствует бизнес-приоритетам. Это приведет к четко определенным процессам, адекватным инвестициям и соответствующим подотчетностям. План должен предоставить требования к рабочей нагрузке организации, которые также несут ответственность за защиту ресурсов. Планы безопасности должны учитывать стратегию надежности, моделирования работоспособности и самосохранения.

В дополнение к ресурсам организации сама рабочая нагрузка должна быть защищена от вторжений и кражи атак. Все аспекты нулевого доверия и триад ЦРУ должны быть факторы в плане.

Функциональные и нефункциональный требования, ограничения бюджета и другие аспекты не должны ограничивать инвестиции в безопасность или разбавлять гарантии. В то же время необходимо инженер и планирование инвестиций в безопасность с учетом этих ограничений и ограничений.

Пример сценария

Супермаркет Contoso никогда не имел программы лояльности клиентов раньше, но решил, что он имеет смысл создать один. Функции NFC на клиентских телефонах будут использоваться в качестве решения в точке продажи как для самостоятельного заказа, так и для кассового обслуживания. Киоск самостоятельной регистрации на входе и выходе из магазина позволит клиентам зарегистрироваться в программе. Серверное решение обработки будет размещено в облаке, но проект еще не завершен.

Оптимизация безопасности с помощью сегментации

Используйте сегментацию в качестве стратегии для планирования границ безопасности в среде рабочей нагрузки, процессах и структуре команды для изоляции доступа и функции.

Стратегия сегментации должна определяться бизнес-требованиями. Вы можете опираться на критически важные компоненты, разделение труда, проблемы конфиденциальности и другие факторы.

Вы сможете свести к минимуму операционные трения, определив роли и установив четкие линии ответственности. Это упражнение также помогает определить уровень доступа для каждой роли, особенно для учетных записей, влияющих на критически важные последствия.

Изоляция позволяет ограничить подверженность конфиденциальных потоков только ролям и ресурсам, которым требуется доступ. Чрезмерное воздействие может непреднамеренно привести к раскрытию информации.

Задача Компании Contoso

  • В духе простоты команда исторически благоприязала к низким затратам. Эти подходы включали совместное размещение разрозненных компонентов рабочей нагрузки для уменьшения области управления и организации разрозненных лиц в группы безопасности для упрощения управления доступом.
  • К сожалению, специалист по вопросам качества обслуживания, которому предоставлен широкий доступ к новой среде развертывания из-за их членства в группе безопасности, подвергался атаке социальной инженерии, которая привела к компрометации своей учетной записи.
  • Злоумышленник смог скомпрометировать конфиденциальность не только этого развертывания, но и всех остальных, работающих на одной платформе приложений.

Применение подхода и результатов

  • К счастью, скомпрометированная среда размещала ранний прототип рабочей нагрузки; в то время как они разрабатывают новую систему лояльности клиентов для системы точки продажи, поэтому производственные системы не были нарушены.
  • Группа безопасности рабочей нагрузки планирует инвестировать время и деньги для разработки рабочей нагрузки для изоляции систем, обрабатывающих личную информацию (PII), например адрес и электронную почту клиентов, от этих компонентов, которые не (например, купоны для продуктов); проектирование элементов управления доступом, которые необходимо знать и jit-time (JIT), где это возможно; изолируйте сети как в рабочей нагрузке, так и для защиты других компонентов и обратно в Contoso для защиты организации.
  • Благодаря сегментации компрометация может по-прежнему влиять на аспекты рабочей нагрузки, но радиус взрыва будет содержаться.

Эффективное реагирование на инциденты

Убедитесь, что для рабочей нагрузки существует план реагирования на инциденты. Используйте отраслевые платформы, определяющие стандартную операционную процедуру для подготовки, обнаружения, сдерживания, устранения рисков и действий после инцидента.

В момент кризиса необходимо избежать путаницы. Если у вас есть хорошо документированные планы, ответственные роли могут сосредоточиться на выполнении, не тратя времени на неопределенные действия. Кроме того, комплексный план поможет вам обеспечить выполнение всех требований по исправлению.

Задача Компании Contoso

  • Группа рабочей нагрузки начинает формализировать каналы поддержки розничной торговли, каналы поддержки клиентов и технические смены по вызову для эскалации поддержки и сбоя.
  • Они не касались безопасности специально в этих планах. Они также не знают, что компания Contoso предлагает для поддержки.

Применение подхода и результатов

  • Команда рабочей нагрузки работает с командой безопасности Contoso, чтобы понять требования соответствия требованиям для работы с персональными данными этой природы, как с точки зрения организации, так и с точки зрения внешнего соответствия требованиям.
  • Команда создает план обнаружения безопасности, устранения рисков и эскалации, включая стандартные требования к обмену данными для инцидентов.
  • Теперь команда рабочей нагрузки чувствует себя так же комфортно с готовностью к инцидентам безопасности, как и с их поддержкой надежности. Они планируют бурение по инцидентам безопасности для сухого запуска и уточнения плана, прежде чем они живут с системой.

Кодифицировать безопасные операции и методики разработки

Определите и примените стандарты безопасности на уровне команды в течение жизненного цикла и операций рабочей нагрузки. Стремитесь к согласованным методикам в операциях, таких как кодирование, закрытые утверждения, управление выпусками и защита данных и хранение.

Определение рекомендаций по обеспечению безопасности может свести к минимуму халатность и область поверхности для потенциальных ошибок. Команда оптимизирует усилия, и результат будет предсказуемым, так как подходы делаются более согласованными.

Наблюдение за стандартами безопасности с течением времени позволит определить возможности для улучшения, возможно, включая автоматизацию, которая позволит оптимизировать усилия и повысить согласованность.

Задача Компании Contoso

  • После подготовки к реагированию на инциденты команда рабочей нагрузки решает, что им нужно инвестировать время и усилия, чтобы предотвратить проблемы в первую очередь.
  • В настоящее время они не имеют определенного жизненного цикла безопасной разработки и планируют использовать те же процессы, которые они использовали в предыдущих проектах.

Применение подхода и результатов

  • Хотя эта рабочая нагрузка не будет содержать конфиденциальные данные, такие как сведения о кредитной карте, команда обрабатывает данные своих клиентов с уважением и знает, что существуют местные и федеральные правила, которые должны следовать за типами данных, которые будут храниться.
  • Команда инвестирует в изучение текущих отраслевых стандартов безопасного развития и эксплуатации и принимает меры, которые они ранее не имели.
  • Команда также делится своими учебными сведениями с группой безопасности Contoso, чтобы убедиться, что рекомендации принимаются на предприятии.