Dela via

Säkerhetsteam, roller och funktioner

  • Artikel

Den här artikeln beskriver de säkerhetsroller som krävs för molnsäkerhet och de funktioner som de utför relaterade till molninfrastruktur och plattformar. De här rollerna hjälper dig att säkerställa att säkerheten är en del av varje fas i molnlivscykeln, från utveckling till drift och kontinuerlig förbättring.

Diagram som visar de metoder som ingår i molnimplementeringen. Diagrammet innehåller rutor för varje fas: team och roller, strategi, plan, redo, anta, styra och hantera. Rutan för den här artikeln är markerad.

Kommentar

Cloud Adoption Framework för Azure fokuserar på molninfrastruktur och plattformar som stöder flera arbetsbelastningar. Säkerhetsvägledning för enskilda arbetsbelastningar finns i säkerhetsvägledningen i Azure Well-Architected Framework.

Beroende på organisationens storlek och andra faktorer kan de roller och funktioner som beskrivs i den här artikeln uppfyllas av personer som utför flera funktioner (roller) snarare än av en enda person eller ett team. Företag och stora organisationer tenderar att ha större team med mer specialiserade roller, medan mindre organisationer tenderar att konsolidera flera roller och funktioner bland ett mindre antal personer. Det specifika säkerhetsansvaret varierar också beroende på de tekniska plattformar och tjänster som organisationen använder.

Vissa säkerhetsuppgifter utförs direkt av teknik- och molnteam. Andra kan utföras av specialiserade säkerhetsteam som samarbetar med teknikteamen. Oavsett organisationens storlek och struktur måste intressenterna ha en tydlig förståelse för vilka säkerhetsjobb som behöver utföras. Alla måste också vara medvetna om organisationens affärskrav och säkerhetsrisktolerans så att de kan fatta bra beslut om molntjänster som tar hänsyn till och balanserar säkerheten som ett viktigt krav.

Använd vägledningen i den här artikeln för att förstå specifika funktioner som team och roller utför och hur olika team interagerar för att täcka hela en molnsäkerhetsorganisation.

Omvandling av säkerhetsroller

Säkerhetsarkitektur, teknik och driftsroller genomgår en betydande omvandling av sitt ansvar och sina processer. (Den här omvandlingen liknar den molndrivna omvandlingen av infrastruktur- och plattformsroller.) Den här omvandlingen av säkerhetsrollen har drivits av flera faktorer:

  • I takt med att säkerhetsverktygen i allt högre grad blir SaaS-baserade finns det mindre behov av att utforma, implementera, testa och använda infrastrukturer för säkerhetsverktyg. Dessa roller behöver fortfarande stödja hela livscykeln för att konfigurera molntjänster och lösningar (inklusive kontinuerlig förbättring) för att säkerställa att de uppfyller säkerhetskraven.

  • Erkännandet av att säkerhet är allas jobb är att driva en mer samarbetsinriktad och mogen metod som gör det möjligt för säkerhets- och teknikteam att arbeta tillsammans:

    • Tekniska teknikteam ansvarar för att se till att säkerhetsåtgärder tillämpas effektivt på deras arbetsbelastningar. Den här ändringen ökar deras behov av kontext och expertis från säkerhetsteam om hur de ska uppfylla dessa skyldigheter effektivt och effektivt.

    • Säkerhetsteamen övergår från en (något kontradiktorisk) roll för kvalitetskontroll till en roll som gör det möjligt för tekniska team: att göra den säkra vägen till den enklaste vägen. Säkerhetsteam minskar friktionen och hindren med hjälp av automatisering, dokumentation, utbildning och andra strategier.

  • Säkerhetsteamen utökar i allt högre grad sina färdigheter för att titta på säkerhetsproblem i flera tekniker och system. De hanterar hela angriparens livscykel i stället för att fokusera på smala tekniska områden (t.ex. nätverkssäkerhet, slutpunktssäkerhet, programsäkerhet och molnsäkerhet). Det faktum att molnplattformar integrerar olika tekniker nära tillsammans förstärker detta kompetensutvecklingsbehov.

  • Den ökade förändringstakten från både teknik- och säkerhetsmolntjänster kräver att säkerhetsprocesserna uppdateras kontinuerligt för att hålla synkroniseringen och hantera risker effektivt.

  • Säkerhetshot kringgår nu nätverksbaserade säkerhetskontroller på ett tillförlitligt sätt, så säkerhetsteamen måste använda en Nolltillit metod som omfattar identitet, programsäkerhet, slutpunktssäkerhet, molnsäkerhet, CI/CD, användarutbildning och andra kontroller.

  • Implementeringen av DevOps/DevSecOps-processer kräver att säkerhetsroller är mer flexibla för att integrera säkerheten internt i den resulterande accelererade livscykeln för lösningsutveckling.

Översikt över roller och team

Följande avsnitt innehåller vägledning om vilka team och roller som vanligtvis utför viktiga molnsäkerhetsfunktioner (när dessa funktioner finns i organisationen). Du bör kartlägga din befintliga metod, leta efter luckor och utvärdera om din organisation kan och bör investera för att åtgärda dessa luckor.

Rollerna som utför säkerhetsuppgifter inkluderar följande roller.

  • Molntjänstleverantör

  • Infrastruktur-/plattformsteam (arkitektur, teknik och drift)

  • Hanteringsteam för säkerhetsarkitektur, teknik och hållning:

    • Säkerhetsarkitekter och tekniker (datasäkerhet, identitets- och åtkomsthantering (IAM), nätverkssäkerhet, servrar och containersäkerhet, programsäkerhet och DevSecOps)

    • Programvarusäkerhetstekniker (programsäkerhet)

    • Hållningshantering (hantering av säkerhetsrisker/hantering av attackytan)

  • Säkerhetsåtgärder (SecOps/SOC):

    • Triage-analytiker (nivå 1)

    • Undersökningsanalytiker (nivå 2)

    • Jakt på hot

    • Hotinformation

    • Teknik för identifiering

  • Säkerhetsstyrning, risk och efterlevnad (GRC)

  • Säkerhetsutbildning och säkerhetsmedvetenhet

Det är viktigt att se till att alla förstår sin roll inom säkerhet och hur de arbetar med andra team. Du kan uppnå det här målet genom att dokumentera säkerhetsprocesser mellan team och en modell för delat ansvar för dina tekniska team. Detta hjälper dig att undvika risker och slöseri från täckningsluckor och från överlappande insatser. Det hjälper dig också att undvika vanliga misstag (antimönster), som att team väljer svaga autentiserings- och kryptografilösningar eller till och med försöker skapa sina egna.

Kommentar

En modell för delat ansvar liknar en RACI-modell (Responsible, Accountable, Consulted, Informed). Modellen med delat ansvar hjälper till att illustrera en samarbetsmetod för vem som fattar beslut och vad team måste göra för att arbeta tillsammans för specifika objekt och resultat.

Molntjänstleverantör

Molntjänstleverantörer är i praktiken virtuella teammedlemmar som tillhandahåller säkerhetsfunktioner och funktioner för den underliggande molnplattformen. Vissa molnleverantörer tillhandahåller även säkerhetsfunktioner och funktioner som dina team kan använda för att hantera din säkerhetsstatus och dina incidenter. Mer information om vad molntjänstleverantörer utför finns i modellen för delat ansvar i molnet.

Många molntjänstleverantörer tillhandahåller information om sina säkerhetsrutiner och kontroller på begäran eller via en portal som Microsoft Service Trust Portal.

Infrastruktur-/plattformsteam (arkitektur, teknik och drift)

Infrastruktur-/plattformsarkitektur-, teknik- och driftsteam implementerar och integrerar kontroller för molnsäkerhet, sekretess och efterlevnad i molninfrastrukturen och plattformsmiljöerna (mellan servrar, containrar, nätverk, identiteter och andra tekniska komponenter).

Teknik- och driftsrollerna kan främst fokusera på system för molnintegrering eller kontinuerlig integrering och kontinuerlig distribution (CI/CD), eller så kan de fungera i ett komplett utbud av moln, CI/CD, lokalt och andra infrastrukturer och plattformar.

De här teamen ansvarar för att uppfylla alla krav på tillgänglighet, skalbarhet, säkerhet, sekretess och andra krav för organisationens molntjänster som är värdar för affärsarbetsbelastningar. De samarbetar med säkerhets-, risk-, efterlevnads- och sekretessexperter för att driva resultat som blandar och balanserar alla dessa krav.

Hanteringsteam för säkerhetsarkitektur, teknik och hållning

Säkerhetsteam arbetar med infrastruktur- och plattformsroller (och andra) för att översätta säkerhetsstrategi, principer och standarder till användbara arkitekturer, lösningar och designmönster. De här teamen fokuserar på att möjliggöra säkerhetsframgångar för molnteam genom att utvärdera och påverka säkerheten för infrastrukturen och de processer och verktyg som används för att hantera den. Följande är några av de vanliga uppgifter som utförs av säkerhetsteam för infrastrukturen:

  • Säkerhetsarkitekter och tekniker anpassar säkerhetsprinciper, standarder och riktlinjer för molnmiljöer för att utforma och implementera kontroller i samarbete med sina infrastruktur-/plattformsmotsvarigheter. Säkerhetsarkitekter och tekniker hjälper till med ett brett spektrum av element, bland annat:

    • Klienter/prenumerationer. Säkerhetsarkitekter och tekniker samarbetar med infrastrukturarkitekter, ingenjörer och åtkomstarkitekter (identitet, nätverk, app och andra) för att hjälpa till att upprätta säkerhetskonfigurationer för molnklientorganisationer, prenumerationer och konton mellan molnleverantörer (som övervakas av hanteringsteam för säkerhetsstatus).

    • IAM. Åtkomstarkitekter (identitet, nätverk, appar och andra) samarbetar med identitetstekniker och drifts - och infrastruktur-/plattformsteam för att utforma, implementera och driva lösningar för åtkomsthantering. Dessa lösningar skyddar mot obehörig användning av organisationens affärstillgångar samtidigt som behöriga användare kan följa affärsprocesser för att enkelt och säkert få åtkomst till organisationens resurser. Dessa team arbetar med lösningar som identitetskataloger och lösningar för enkel inloggning (SSO), lösenordslös och multifaktorautentisering (MFA), riskbaserade lösningar för villkorlig åtkomst, arbetsbelastningsidentiteter, privilegierad identitets-/åtkomsthantering (PIM/PAM), molninfrastruktur och berättigandehantering (CIEM) med mera. Dessa team samarbetar också med nätverkstekniker och åtgärder för att utforma, implementera och driva SSE-lösningar (Security Service Edge). Arbetsbelastningsteam kan dra nytta av dessa funktioner för att ge sömlös och säkrare åtkomst till enskilda arbetsbelastnings- och programkomponenter.

    • Datasäkerhet. Säkerhetsarkitekter och tekniker samarbetar med data- och AI-arkitekter och tekniker för att hjälpa infrastruktur-/plattformsteam att upprätta grundläggande datasäkerhetsfunktioner för alla data och avancerade funktioner som kan användas för att klassificera och skydda data i enskilda arbetsbelastningar. Mer information om grundläggande datasäkerhet finns i Microsoft Security Data Protection benchmark. Mer information om hur du skyddar data i enskilda arbetsbelastningar finns i vägledningen för välarkitekterat ramverk.

    • Nätverkssäkerhet. Säkerhetsarkitekter och tekniker samarbetar med nätverksarkitekter och tekniker för att hjälpa infrastruktur-/plattformsteam att upprätta grundläggande nätverkssäkerhetsfunktioner som anslutning till molnet (privata/leasade linjer), strategier och lösningar för fjärråtkomst, brandväggar för inkommande och utgående trafik, brandväggar för webbprogram (WAFs) och nätverkssegmentering. De här teamen samarbetar också med identitetsarkitekter, tekniker och åtgärder för att utforma, implementera och driva SSE-lösningar. Arbetsbelastningsteam kan dra nytta av dessa funktioner för att ge diskret skydd eller isolering av enskilda arbetsbelastnings- och programkomponenter.

    • Servrar och containersäkerhet. Säkerhetsarkitekter och tekniker samarbetar med infrastrukturarkitekter och tekniker för att hjälpa infrastruktur-/plattformsteam att upprätta grundläggande säkerhetsfunktioner för servrar, virtuella datorer , containrar, orkestrering/hantering, CI/CD och relaterade system. De här teamen upprättar identifierings- och inventeringsprocesser, konfigurationer av säkerhetsbaslinje/benchmark,underhåll och korrigeringsprocesser, tillåtlistning för körbara binärfiler, mallbilder, hanteringsprocesser med mera. Arbetsbelastningsteam kan också dra nytta av dessa grundläggande infrastrukturfunktioner för att ge säkerhet för servrar och containrar för enskilda arbetsbelastnings- och programkomponenter.

    • Grunderna för programvarusäkerhet (för programsäkerhet och DevSecOps). Säkerhetsarkitekter och tekniker samarbetar med programvarusäkerhetstekniker för att hjälpa infrastruktur-/plattformsteam att upprätta programsäkerhetsfunktioner som kan användas av enskilda arbetsbelastningar, kodgenomsökning, verktyg för programvarufakturering av material (SBOM), WAF:er och programgenomsökning. Mer information om hur du upprättar en säkerhetsutvecklingslivscykel (SDL) finns i DevSecOps-kontroller . Mer information om hur arbetsbelastningsteam använder dessa funktioner finns i livscykelvägledningen för säkerhetsutveckling i well-architected Framework.

  • Programvarusäkerhetstekniker utvärderar kod, skript och annan automatiserad logik som används för att hantera infrastrukturen, inklusive infrastruktur som kod (IaC), CI/CD-arbetsflöden och andra specialbyggda verktyg eller program. Dessa tekniker bör vara engagerade för att skydda formell kod i kompilerade program, skript, konfigurationer av automatiseringsplattformar och andra former av körbar kod eller skript som kan göra det möjligt för angripare att manipulera systemets drift. Den här utvärderingen kan innebära att du bara utför en hotmodellanalys av ett system, eller så kan det omfatta verktyg för kodgranskning och säkerhetsgenomsökning. Mer information om hur du upprättar en SDL finns i vägledningen för SDL-metoder .

  • Hållningshantering (hantering av säkerhetsrisker/hantering av attackytan) är det operativa säkerhetsteamet som fokuserar på säkerhetsaktivering för tekniska driftsteam. Hållningshantering hjälper dessa team att prioritera och implementera kontroller för att blockera eller minimera attacktekniker. Hållningshanteringsteam arbetar i alla tekniska driftteam (inklusive molnteam) och fungerar ofta som deras främsta sätt att förstå säkerhetskrav, efterlevnadskrav och styrningsprocesser.

    Hållningshantering fungerar ofta som ett centrum för excellens (CoE) för säkerhetsinfrastrukturteam, ungefär som programvarutekniker ofta fungerar som säkerhets-CoE för programutvecklingsteam. Vanliga uppgifter för dessa team är följande.

    • Övervaka säkerhetsstatus. Övervaka alla tekniska system med hjälp av hållningshanteringsverktyg som Microsoft Security Exposure Management, Microsoft Entra – behörighetshantering, EASM-verktyg (External Attack Surface Management) och CIEM-verktyg och anpassade verktyg och instrumentpaneler för säkerhetsstatus. Dessutom utför hållningshantering analys för att ge insikter genom att:

      • Förutser mycket sannolika och skadliga attackvägar. Angripare "tänker i grafer" och söker efter vägar till affärskritiska system genom att länka samman flera tillgångar och sårbarheter i olika system (till exempel kompromettera användarslutpunkter, sedan använda hash/ticket för att samla in en administratörsautentiseringsuppgifter och sedan komma åt affärskritiska data). Hanteringsteam för hållning arbetar med säkerhetsarkitekter och tekniker för att identifiera och minimera dessa dolda risker, som inte alltid visas i tekniska listor och rapporter.

      • Utföra säkerhetsutvärderingar för att granska systemkonfigurationer och operativa processer för att få djupare förståelse och insikter utöver tekniska data från verktyg för säkerhetsstatus. Dessa utvärderingar kan ske i form av informella identifieringskonversationer eller formella hotmodelleringsövningar.

    • Hjälp med prioritering. Hjälp tekniska team att proaktivt övervaka sina tillgångar och prioritera säkerhetsarbete. Hållningshantering hjälper till att sätta riskreduceringsarbetet i sitt sammanhang genom att överväga säkerhetsriskpåverkan (informerad av erfarenhet, incidentrapporter för säkerhetsåtgärder och annan hotinformation, business intelligence och andra källor) utöver kraven på säkerhetsefterlevnad.

    • Träna, mentor och mästare. Öka säkerhetskunskaperna och färdigheterna i tekniska teknikteam genom utbildning, mentorskap för individer och informell kunskapsöverföring. Roller för hållningshantering kan också fungera med organisationsberedskap/utbildnings- och säkerhetsutbildnings- och engagemangsroller för formell säkerhetsutbildning och inrätta säkerhet inom tekniska team som evangelisera och utbilda sina kollegor om säkerhet.

    • Identifiera luckor och förespråka korrigeringar. Identifiera övergripande trender, processluckor, verktygsluckor och andra insikter om risker och åtgärder. Rollerna för hållningshantering samarbetar och kommunicerar med säkerhetsarkitekter och tekniker för att utveckla lösningar, skapa ett ärende för finansieringslösningar och hjälpa till med att lansera korrigeringar.

    • Samordna med säkerhetsåtgärder (SecOps). Hjälp tekniska team att arbeta med SecOps-roller som identifieringstekniker och team för hotjakt. Den här kontinuiteten i alla operativa roller säkerställer att identifieringar är på plats och implementeras korrekt, säkerhetsdata är tillgängliga för incidentundersökning och hotjakt, processer finns på plats för samarbete med mera.

    • Ange rapporter. Ge aktuella och korrekta rapporter om säkerhetsincidenter, trender och prestandamått till ledningen och intressenter för att uppdatera organisationens riskprocesser.

    Hanteringsteam för hållning utvecklas ofta från befintliga program hantering av säkerhetsrisker roller för att hantera alla typer av funktionella, konfigurationsmässiga och operativa säkerhetsrisker som beskrivs i Referensmodellen för Open Group Nolltillit. Varje typ av sårbarhet kan göra det möjligt för obehöriga användare (inklusive angripare) att ta kontroll över programvara eller system, vilket gör det möjligt för dem att orsaka skada på affärstillgångar.

    • Funktionella sårbarheter uppstår vid programvarudesign eller implementering. De kan tillåta obehörig kontroll över den berörda programvaran. Dessa sårbarheter kan vara brister i programvara som dina egna team har utvecklat eller brister i kommersiell eller öppen källkod programvara (spåras vanligtvis av en common vulnerabilities and exposures identifier).

    • Konfigurationssårbarheter är felkonfigurationer av system som tillåter obehörig åtkomst till systemfunktioner. Dessa sårbarheter kan introduceras under pågående åtgärder, även kallat konfigurationsavvikelse. De kan också introduceras under den inledande distributionen och konfigurationen av programvara och system, eller med svaga säkerhetsstandarder från en leverantör. Några vanliga anpassningar:

      • Överblivna objekt som tillåter obehörig åtkomst till objekt som DNS-poster och gruppmedlemskap.

      • Överdrivna administrativa roller eller behörigheter till resurser.

      • Användning av ett svagare autentiseringsprotokoll eller kryptografisk algoritm som har kända säkerhetsproblem.

      • Svaga standardkonfigurationer eller standardlösenord.

    • Driftssårbarheter är svagheter i standarddriftsprocesser och -metoder som tillåter obehörig åtkomst eller kontroll av system. Exempel:

      • Administratörer som använder delade konton i stället för sina egna enskilda konton för att utföra privilegierade uppgifter.

      • Användning av "bläddra upp"-konfigurationer som skapar utökade privilegier som kan missbrukas av angripare. Den här sårbarheten uppstår när högprivilegierade administrativa konton loggar in på användarenheter och arbetsstationer med lägre förtroende (t.ex. standardanvändararbetsstationer och användarägda enheter), ibland via hoppservrar som inte effektivt minskar dessa risker. Mer information finns i skydda privilegierad åtkomst och privilegierade åtkomstenheter.

Säkerhetsåtgärder (SecOps/SOC)

SecOps-teamet kallas ibland för ett Security Operations Center (SOC). SecOps-teamet fokuserar på att snabbt hitta och ta bort angripares åtkomst till organisationens tillgångar. De arbetar i nära samarbete med teknikdrifts- och teknikteam. SecOps-roller kan fungera i alla tekniker i organisationen, inklusive traditionell IT, driftteknik (OT) och Sakernas Internet (IoT). Följande är de SecOps-roller som oftast interagerar med molnteam:

  • Triage-analytiker (nivå 1). Svarar på incidentidentifieringar för välkända attacktekniker och följer dokumenterade procedurer för att snabbt lösa dem (eller eskalera dem till undersökningsanalytiker efter behov). Beroende på SecOps-omfång och mognadsnivå kan detta omfatta identifieringar och aviseringar från e-post, lösningar för program mot skadlig slutpunkt, molntjänster, nätverksidentifieringar eller andra tekniska system.

  • Undersökningsanalytiker (nivå 2). Svarar på incidentundersökningar med högre komplexitet och högre allvarlighetsgrad som kräver mer erfarenhet och expertis (utöver väldokumenterade lösningsförfaranden). Det här teamet undersöker vanligtvis attacker som utförs av levande mänskliga angripare och attacker som påverkar flera system. Det fungerar i nära samarbete med teknikdrifts- och teknikteam för att undersöka incidenter och lösa dem.

  • Jakt på hot. Söker proaktivt efter dolda hot inom den tekniska egendom som har undvikit standardidentifieringsmekanismer. Den här rollen använder avancerade analyser och hypotesdrivna undersökningar.

  • Hotinformation. Samlar in och sprider information om angripare och hot till alla intressenter, inklusive företag, teknik och säkerhet. Hotinformationsteam utför forskning, delar sina resultat (formellt eller informellt) och sprider dem till olika intressenter, inklusive molnsäkerhetsteamet. Den här säkerhetskontexten hjälper de här teamen att göra molntjänster mer motståndskraftiga mot attacker eftersom de använder verklig attackinformation i design, implementering, testning och drift och ständigt förbättras.

  • Identifieringstekniker. Skapar anpassade attackidentifieringar och anpassar attackidentifieringar som tillhandahålls av leverantörer och den bredare communityn. Dessa anpassade attackidentifieringar kompletterar identifieringar som tillhandahålls av leverantören för vanliga attacker som ofta finns i XDR-verktyg (extended detection and response) och vissa SIEM-verktyg (säkerhetsinformation och händelsehantering). Identifieringstekniker arbetar med molnsäkerhetsteam för att identifiera möjligheter att utforma och implementera identifieringar, de data som krävs för att stödja dem och svars-/återställningsprocedurerna för identifieringarna.

Säkerhetsstyrning, risk och efterlevnad

Säkerhetsstyrning, risk och efterlevnad (GRC) är en uppsättning relaterade områden som integrerar säkerhetsteamens tekniska arbete med organisationens mål och förväntningar. Dessa roller och team kan vara en hybrid av två eller flera discipliner eller vara diskreta roller. Molnteam interagerar med var och en av dessa områden under molnteknikens livscykel:

  • Styrningsområdet är en grundläggande funktion som fokuserar på att säkerställa att organisationen konsekvent implementerar alla säkerhetsaspekter. Styrningsteam fokuserar på beslutsrättigheter (vem som fattar vilka beslut) och processramverk som ansluter och vägleder team. Utan effektiv styrning kan en organisation med alla rätt kontroller, principer och teknik fortfarande brytas av angripare som hittade områden där det avsedda skyddet inte implementeras bra, fullständigt eller alls.

  • Riskhanteringsområdet fokuserar på att säkerställa att organisationen effektivt utvärderar, förstår och minimerar risker. Riskhanteringsroller fungerar med många team i organisationen för att skapa en tydlig representation av organisationens risk och hålla den aktuell. Eftersom många viktiga affärstjänster kan hanteras på molninfrastruktur och plattformar måste moln- och riskteam samarbeta för att utvärdera och hantera den här organisationsrisken. Dessutom fokuserar säkerhet i leveranskedjan på risker som är kopplade till externa leverantörer, öppen källkod komponenter och partner.

  • Efterlevnadsområdet säkerställer att system och processer är kompatibla med regelkrav och interna principer. Utan detta område kan organisationen utsättas för risker relaterade till inkompatibilitet med externa skyldigheter (böter, ansvar, förlust av intäkter från oförmåga att verka på vissa marknader med mera). Efterlevnadskrav kan vanligtvis inte hålla jämna steg med hastigheten för angriparens utveckling, men de är ändå en viktig kravkälla.

Alla dessa tre discipliner fungerar i alla tekniker och system för att driva organisationens resultat i alla team. Alla tre förlitar sig också på kontext som de får från varandra och drar stor nytta av aktuella data med hög återgivning om hot, företag och teknikmiljön. Dessa discipliner förlitar sig också på arkitektur för att uttrycka en handlingsbar vision som kan implementeras och säkerhetsutbildning och policy för att upprätta regler och vägleda team genom de många dagliga besluten.

Molnteknik- och driftteam kan arbeta med roller för hållningshantering , efterlevnads- och granskningsteam , säkerhetsarkitektur och teknik eller CISO-roller (Chief Information Security Officer) i GRC-ämnen.

Säkerhetsutbildning och policy

Organisationer måste se till att alla roller har grundläggande säkerhetskunskap och vägledning om vad de förväntas göra när det gäller säkerhet och hur de gör det. För att uppnå detta mål behöver du en kombination av skriftlig policy och utbildning. Utbildningen för molnteam kan vara informell mentorskap av säkerhetspersonal som arbetar direkt med dem, eller så kan det vara ett formellt program med dokumenterad läroplan och utsedda säkerhetsmästare.

I en större organisation arbetar säkerhetsteam med organisationsberedskap/utbildnings- och säkerhetsutbildnings- och engagemangsroller inom formell säkerhetsutbildning och konfigurerar säkerhetsmästare inom tekniska team för att evangelisera och utbilda sina kollegor om säkerhet.

Säkerhetsutbildning och säkerhetspolicy måste hjälpa varje roll att förstå:

  • Varför. Visa varje roll varför säkerhet är viktigt för dem och deras mål i samband med deras rollansvar. Om folk inte förstår varför säkerhet är viktigt för dem, kommer de att bedöma att det är oviktigt och gå vidare till något annat.

  • Vad. Sammanfatta vilka säkerhetsuppgifter de behöver göra på det språk som de redan förstår. Om människor inte vet vad de uppmanas att göra förutsätter de att säkerheten inte är viktig eller relevant för dem och går vidare till något annat.

  • Hur. Se till att varje roll har tydliga instruktioner om hur du tillämpar säkerhetsvägledning i deras roll. Om användarna inte vet hur de faktiskt gör det de uppmanas att göra (till exempel korrigeringsservrar, identifiera om en länk är en nätfiskelänk, rapportera ett meddelande korrekt, granska kod eller utföra en hotmodell) kommer de att misslyckas och gå vidare till något annat.

Exempelscenario: Typisk samverkan mellan team

När en organisation distribuerar och operationaliserar en WAF måste flera säkerhetsteam samarbeta för att säkerställa effektiv distribution, hantering och integrering i den befintliga säkerhetsinfrastrukturen. Så här kan samverkan mellan teamen se ut i en företagssäkerhetsorganisation:

  1. Planering och design
    1. Styrningsteamet identifierar behovet av förbättrad säkerhet för webbprogram och allokerar budget för en WAF.
    2. Nätverkssäkerhetsarkitekten utformar WAF-distributionsstrategin, vilket säkerställer att den integreras sömlöst med befintliga säkerhetskontroller och överensstämmer med organisationens säkerhetsarkitektur.
  2. Implementering
    1. Nätverkssäkerhetsteknikern distribuerar WAF enligt arkitektens design, konfigurerar den för att skydda specifika webbprogram och möjliggör övervakning.
    2. IAM-teknikern konfigurerar åtkomstkontroller, vilket säkerställer att endast auktoriserad personal kan hantera WAF.
  3. Övervakning och hantering
    1. Hanteringsteamet för hållning tillhandahåller instruktioner för SOC för att konfigurera övervakning och aviseringar för WAF och konfigurera instrumentpaneler för att spåra WAF-aktivitet.
    2. Teamen för hotinformation och identifiering hjälper till att utveckla svarsplaner för incidenter som involverar WAF och att genomföra simuleringar för att testa dessa planer.
  4. Efterlevnad och riskhantering
    1. Efterlevnads - och riskhanteringsansvariga granskar WAF-distributionen för att säkerställa att den uppfyller regelkraven och utför regelbundna granskningar.
    2. Datasäkerhetsteknikern ser till att WAF:s loggnings- och dataskyddsåtgärder följer reglerna för datasekretess.
  5. Kontinuerlig förbättring och utbildning
    1. DevSecOps-teknikern integrerar WAF-hantering i CI/CD-pipelinen, vilket säkerställer att uppdateringar och konfigurationer är automatiserade och konsekventa.
    2. Säkerhetsutbildnings - och engagemangsspecialisten utvecklar och levererar utbildningsprogram för att säkerställa att all relevant personal förstår hur man använder och hanterar WAF effektivt.
    3. Molnstyrningsteamet granskar WAF-distributions- och hanteringsprocesserna för att säkerställa att de överensstämmer med organisationens principer och standarder.

Genom att samarbeta effektivt säkerställer dessa roller att WAF distribueras korrekt och även kontinuerligt övervakas, hanteras och förbättras för att skydda organisationens webbprogram från att utveckla hot.

Gå vidare

Integrera säkerhet i din strategi för molnimplementering