Dela via

Säker översikt

  • Artikel

Metoden Cloud Adoption Framework för Azure Secure är en strukturerad metod för att skydda din Azure-molnegendom.

Vägledningen i den här serien med artiklar ger rekommendationer som är relevanta för alla metoder inom Cloud Adoption Framework eftersom säkerhet bör vara en integrerad del av varje fas i molnimplementeringsresan. Därför kan du hitta artiklar som är anpassade till varje metod som ger säkerhetsrekommendationer som du kan överväga när du går igenom varje fas i molnimplementeringsresan.

Diagram som visar de metoder som ingår i molnimplementeringen. Diagrammet innehåller rutor för varje fas: team och roller, strategi, plan, redo, anta, styra och hantera.

Alla rekommendationer i den här vägledningen följer Nolltillit principer för att anta kompromiss (eller anta intrång), minsta behörighet och explicit verifiering av förtroende som ska vägleda din säkerhetsstrategi, arkitektur och implementering.

Holistisk säkerhetsvägledning

Säkerhet är ett komplext och utmanande område som du behöver tänka på i nästan alla aspekter av dina moln- och teknikmiljöer. Tänk på följande viktiga punkter:

  • Allt är ett potentiellt mål eller en attackvektor: I dagens värld kan angripare utnyttja eventuella svagheter i en organisations personer, processer och tekniker för att uppnå sina skadliga mål.

  • Säkerhet är en lagsport: För att försvara sig mot dessa attacker krävs en samordnad strategi för affärs-, teknik- och säkerhetsteam. Varje team måste bidra till säkerhetsinsatser och samarbeta effektivt. Information om de olika roller som krävs för att skydda Azure-resurser finns i Teams och roller.

Den här säkra vägledningen för Cloud Adoption Framework är en del av en större holistisk uppsättning microsofts säkerhetsvägledning som är utformad för att hjälpa olika team att förstå och utföra sina säkerhetsansvar. Den fullständiga uppsättningen innehåller följande vägledning:

  • Cloud Adoption Framework Secure-metoden ger säkerhetsvägledning för team som hanterar den teknikinfrastruktur som stöder all arbetsbelastningsutveckling och alla åtgärder som finns i Azure.

  • Säkerhetsvägledning för Azure Well-Architected Framework ger vägledning för enskilda arbetsbelastningsägare om hur du tillämpar rekommenderade säkerhetsmetoder för programutveckling och DevOps- och DevSecOps-processer. Microsoft tillhandahåller vägledning som kompletterar den här dokumentationen om hur du tillämpar säkerhetsrutiner och DevSecOps-kontroller i en livscykel för säkerhetsutveckling.

  • Microsoft Cloud Security Benchmark ger vägledning om bästa praxis för intressenter för att säkerställa robust molnsäkerhet. Den här vägledningen omfattar säkerhetsbaslinjer som beskriver tillgängliga säkerhetsfunktioner och rekommenderade optimala konfigurationer för Azure-tjänster.

  • Nolltillit vägledning ger vägledning för säkerhetsteam för att implementera tekniska funktioner för att stödja ett Nolltillit moderniseringsinitiativ.

Varje artikel beskriver flera ämnen som rör dess anpassade metodik:

  • Modernisering av säkerhetsstatus
  • Förberedelse och svar av incidenter
  • Cia-triaden (Confidentiality, Integrity, and Availability)
  • Upprätthållande av säkerhetsstatus

Modernisering av säkerhetsstatus

Under hela molnimplementeringsresan letar du efter möjligheter att förbättra din övergripande säkerhetsstatus genom modernisering. Vägledningen i den här metoden är anpassad till Microsoft Nolltillit adoptionsramverk. Det här ramverket innehåller en detaljerad stegvis metod för att modernisera din säkerhetsstatus. När du granskar rekommendationerna för varje fas i Cloud Adoption Framework-metoden kan du förbättra dem med hjälp av vägledningen i Nolltillit implementeringsramverket.

Förberedelse och svar av incidenter

Förberedelse och svar av incidenter är hörnstenar i din övergripande säkerhetsstatus. Din förmåga att förbereda dig för och svara på incidenter kan avsevärt påverka din framgång med att arbeta i molnet. Väl utformade förberedelsemekanismer och operativa metoder möjliggör snabbare hotidentifiering och hjälper till att minimera explosionsradien för incidenter. Den här metoden underlättar snabbare återställning. På samma sätt säkerställer välstrukturerade svarsmekanismer och operativa metoder effektiv navigering genom återställningsaktiviteter och ger tydliga möjligheter till kontinuerlig förbättring under hela processen. Genom att fokusera på dessa element kan du förbättra din övergripande säkerhetsstrategi, som säkerställer motståndskraft och driftkontinuitet i molnet.

CIA-triaden

CIA Triad är en grundläggande modell inom informationssäkerhet som representerar tre grundläggande principer. Dessa principer är konfidentialitet, integritet och tillgänglighet.

  • Konfidentialitet säkerställer att endast behöriga personer kan komma åt känslig information. Den här principen innehåller åtgärder som kryptering och åtkomstkontroller för att skydda data från obehörig åtkomst.

  • Integriteten bibehåller datans noggrannhet och fullständighet. Den här principen innebär att skydda data från ändringar eller manipulering av obehöriga användare, vilket säkerställer att informationen förblir tillförlitlig.

  • Tillgänglighet säkerställer att information och resurser är tillgängliga för behöriga användare när det behövs. Den här uppgiften omfattar underhåll av system och nätverk för att förhindra stilleståndstid och säkerställa kontinuerlig åtkomst till data.

Anta CIA Triad för att säkerställa att din affärsteknik förblir tillförlitlig och säker. Använd den för att framtvinga tillförlitlighet och säkerhet i dina åtgärder genom väldefinierade, strikt följta och beprövade metoder. Några sätt som triadprinciperna kan bidra till att säkerställa säkerhet och tillförlitlighet är:

  • Dataskydd: Skydda känsliga data från överträdelser genom att dra nytta av CIA Triad, vilket säkerställer sekretess och efterlevnad av regler.

  • Affärskontinuitet: Säkerställ dataintegritet och tillgänglighet för att upprätthålla verksamheten och undvika driftstopp.

  • Kundförtroende: Implementera CIA Triad för att skapa förtroende med kunder och intressenter genom att visa ett engagemang för datasäkerhet.

Varje metodanpassad artikel innehåller rekommendationer för principerna i CIA Triad. Den här metoden säkerställer att du kan hantera konfidentialitet, integritet och tillgänglighet. Den här vägledningen hjälper dig att noggrant överväga dessa aspekter i varje fas av molnimplementeringsresan.

Upprätthållande av säkerhetsstatus

Kontinuerlig förbättring är avgörande för att upprätthålla en robust säkerhetsstatus i molnet eftersom cyberhot kontinuerligt utvecklas och blir mer avancerade. För att skydda mot dessa ständigt föränderliga risker kan du säkerställa kontinuerliga förbättringar. Vägledningen i de här avsnitten kan hjälpa dig att konfigurera din organisation för långsiktig framgång genom att identifiera möjligheter till kontinuerlig förbättring. Fokusera på dessa strategier när du etablerar och utvecklar din molnmiljö över tid.

Checklista för molnsäkerhet

Använd checklistan för molnsäkerhet för att se alla uppgifter för varje molnsäkerhetssteg. Navigera snabbt till den vägledning som du behöver.

  Molnsäkerhetssteg Molnsäkerhetsuppgifter
Förstå säkerhetsteam och roller. Förstå molntjänstleverantörens roll.
Förstå rollerna för infrastruktur- och plattformsteam.
Förstå rollerna för säkerhetsarkitektur, teknik, hållningshanteringsteam.
Förstå rollerna för Security Operations-teamen (SecOps och SOC).
Förstå rollerna för GRC-team (Security Governance, Risk och Compliance).
Lär dig mer om säkerhetsutbildning och policy.
Integrera säkerhet i din molnimplementeringsstrategi. Strategi för modernisering av säkerhetsstatus.
Strategi för incidentberedskap och incidenthantering.
Strategi för konfidentialitet.
Integritetsstrategi.
Tillgänglighetsstrategi.
Strategi för upprätthållande av säkerhetsstatus
Planera för en säker molnimplementering. Planera för införande av landningszon.
Planering av modernisering av säkerhetsstatus.
Incidentberedskap och åtgärdsplanering.
Konfidentialitetsplanering.
Integritetsplanering
Tillgänglighetsplanering
Planering för underhåll av säkerhetsstatus
Förbered din säkra molnegendom. Redo för modernisering av säkerhetsstatus.
Redo för incidentberedskap och incidenthantering.
Redo för konfidentialitet.
Redo för integritet.
Redo för tillgänglighet
Redo för underhåll av säkerhetsstatus
Utför molnimplementeringen på ett säkert sätt. Modernisering av säkerhetsstatus.
Anta incidentberedskap och åtgärder.
Anta konfidentialitet.
Anta integritet.
Anta tillgänglighet.
Anta upprätthållande av säkerhetsstatus
Styr molnegendomen på ett säkert sätt. Modernisering av säkerhetsstatus.
Incidentberedskap och hantering av åtgärder
Konfidentialitetsstyrning.
Integritetsstyrning.
Tillgänglighetsstyrning.
Upprätthålla säkerhetsstyrning
Hantera din molnegendom på ett säkert sätt. Modernisering av säkerhetsstatus.
Hantera incidentberedskap och åtgärder
Hantera konfidentialitet.
Hantera integritet.
Hantera tillgänglighet.
Hantera säkerhetsförstrygghet

Gå vidare

Säkerhetsteam, roller och funktioner