Säker för molnimplementering av försvar

Den säkra metoden är ett viktigt steg i molnimplementeringens verksamhetsdomän.

Bild 1: Domänspårare – uppdragsdomän

Säkerhet avser cybersäkerhetstriaden för konfidentialitet, integritet och tillgänglighet. Även om säkerheten faller inom uppdragsdomänen är det viktigt att tänka på i varje steg i molnimplementeringsresan. Säkerheten misslyckas utan en korrekt strategi och plan. Landningszoner och styrning vacklar utan lämpliga säkerhetsöverväganden. Moderniseringar försvagar säkerhetsstatusen om säkerheten inte är inbyggd i utveckling- och driftsprocesserna.

Säkerhet är inte mindre viktigt för en arbetsbelastning. Arbetsbelastningar ärver säkerhetskontroller från plattformen men måste fortfarande tillämpa säkerhetskontroller över plattformsnivå. Här följer några säkerhetsrekommendationer att tänka på när du skapar och hanterar försvarsarbetsbelastningar.

Implementera Nolltillit

Nolltillit är en säkerhetsmetod, inte en produkt. Implementeringarna av Nolltillit skiljer sig åt, men det gemensamma är ett försök att eliminera förtroendet.

Tre huvudprinciper för Nolltillit adresserade är (1) verifiera varje session explicit, (2) framtvinga minsta behörighet för varje identitet och (3) övervaka, söka och skydda kontinuerligt. Låt oss gå vidare med dessa principer.

Verifiera varje session explicit – Verifiera refererar till autentisering och auktorisering. Du måste autentisera och auktorisera varje enhet oavsett plats. Multifaktorautentisering är en vanlig försvarsstandard där användningen av en säkerhetstoken kompletterar autentiseringsprocessen.

Vi rekommenderar att du använder ett attributbaserat system för åtkomstkontroll (ABAC). ABAC bygger på rollbaserad åtkomstkontroll (RBAC) och kräver att enheter uppfyller extra villkor innan de får åtkomst till en resurs. Säkerhetspersonal konfigurerar villkoren för att begränsa åtkomsten och minimera antalet rolltilldelningar som behöver hanteras. Microsoft Entra ID tillhandahåller inbyggda ABAC-funktioner så att molnidentiteter endast får åtkomst till auktoriserad information. Mer information finns i attributbaserad åtkomstkontroll.

Framtvinga minsta behörigheter för varje identitet – Begreppet åtkomst med minst privilegier är ett välbekant begrepp i försvarsmiljöer. Den visas på makronivå i det obligatoriska åtkomstkontrollsystem som många försvarsorganisationer använder. Data tar emot klassificeringsetiketter baserat på dess känslighet (konfidentiell, hemlig, topphemlig) och enskilda personer får åtkomst till data som behövs för att slutföra en uppgift. När uppgiften har slutförts tas åtkomsten bort. Åtkomst till känsliga data när de inte behövs är ett brott mot den minst privilegierade modellen.

RBAC och ABAC är de viktigaste funktionerna i minsta möjliga behörighet. Personer ändrar roller och arkitekturändringar, så det är viktigt att granska åtkomsten regelbundet för att undvika privilegier. RBAC och ABAC gör det möjligt för team att skapa ett detaljerad åtkomstkontrollsystem som uppfyller behoven i en miljö när åtkomstkraven ändras övertid.

Azure förenklar åtkomstgranskningar med RBAC och ABAC som automatiserar aspekter av åtkomstkontroll. Principer för villkorlig åtkomst kan kopplas till roller, avdelningar, projekt och platser för försvarspersonal. När personer ändrar roller eller platser ändras deras åtkomst till resurser när de uppdateras i sin identitet. Säkerhetsteam kan utföra manuella granskningar av valfri resurs i Azure när som helst. Med Azure kan användarna se resurser från flera nivåer, vilket gör manuell granskning enklare.

Att bevilja förhöjd behörighet för en definierad period är en metod för säkerhet. Microsoft Entra ID förenklar användningen av utökade privilegier med Privileged Identity Management (PIM). PIM beviljar utökade privilegier när den begärs av en legitim användare och beviljar endast dessa privilegier under en definierad period. Den här processen representerar just-in-time-access och minskar antalet vilande konton som har privilegierad åtkomst. Mer information finns i:

• PIM för just-in-time-åtkomst
• Metodtips för azure-identitetshantering och åtkomstkontroll
• Skydda identitet med Nolltillit

Övervaka, skanna och förbättra kontinuerligt – Säkerheten ska inte vara statisk. Hotlandskapet förändras ständigt, och säkerheten måste förändras med det. Försvarssäkerhetsteam bör övervaka, genomsöka och förbättra molnmiljöer för att minska riskerna. Försvarsorganisationer har ofta nödvändiga säkerhetsverktyg som molnbaserade verktyg kan komplettera för omfattande säkerhetsidentifiering och analys. Vi rekommenderar Microsoft Defender för molnet som ett baslinjeverktyg för hantering av molnsäkerhetsstatus som kontinuerligt utvärderar miljöns säkerhetsstatus. Mer information finns i Vad är Microsoft Defender för molnet?.

Här är några verktyg som lägger till värde i försvarsdistributioner:

• Hotinformation: Molnmiljöer bör ha ett beständigt flöde och identifieringsverktyg för hotinformation som utvärderar nätverkssäkerhetsstatus. Det här verktyget bör genomsöka din miljö och generera aviseringar för de sårbarheter som identifieras. Mer information finns i feeds för hotinformation.

• Distribuerad denial of service (DDoS): Säkerhetsverktyg bör skydda mot skadliga eller icke-skadliga distribuerade överbelastningsattacker.

• Säkerhetsinformation och händelsehantering (SIEM): En SIEM är en nödvändig hotidentifiering och kriminaltekniska funktioner som analyserar, aggregerar och identifierar hot i loggar som genereras i en molnmiljö. En lista över tillgängliga säkerhetsverktyg finns i Azure Government-säkerhet.

Mer information finns i Nolltillit i Azure.

Automatisera säkerhetsefterlevnad

Säkerhetsstandarder för försvar kräver att skyddspersonal underhåller hundratals säkerhetskontroller. Den manuella körningen av den här processen är arbetsintensiv och utsatt för mänskliga fel. Det är möjligt att automatisera efterlevnaden av ledande säkerhetsstandarder och automatisera reparationen av molnresurser för att uppfylla dessa standarder. Med Azure kan uppdragsägare automatisera efterlevnaden för, Nolltillit, CMMC och NIST 800-53

Microsoft Defender för molnet kan skapa en visuell rapport med alla icke-kompatibla resurser mot en viss säkerhetsstandard. Det kan generera åtgärdsförslag för säkerhetskontroller som inte är kompatibla med standarden. Microsoft Defender för molnet kan även säkerhetspersonal ladda ned rapporter om efterlevnadsbedömningar som fungerar som säkerhetsbaslinjer. Mer information finns i:

• Automatisera efterlevnad
• Visualisera efterlevnad

Allmän säkerhetsinformation finns i:

• Säkerhetsdokumentation
• Säkerhetsgrunder
• Checklista för driftsäkerhet
• Referensarkitekturer för cybersäkerhet
• CAF-säkerhet

Gå vidare

Den sista metoden i uppdragsdomänen är hanteringsmetodiken. Hanteringsmetoden har rekommendationer för att driva driftseffektivitet.

Hantera