將安全性整合到雲端採用策略中
將組織移至雲端會增加安全性的顯著複雜性。 若要在雲端中取得成功,您的安全性策略必須滿足雲端運算固有的新式挑戰。 在雲端資產的採用和作業中,安全性會成為組織所有層面的必要考慮。 這不是第二次套用至特定 Facet 的個別函式,因為對於執行內部部署技術平臺的組織來說,這很常見。 當您定義雲端採用策略時,請考慮本文中提供的建議,以確保安全性是策略不可或缺的一部分,而且會在您前進時內建到您的雲端採用計劃中。
本文是策略方法的支援指南。 它描述您在旅程中經歷該階段時應考慮的安全性優化領域。
安全性狀態現代化
安全性狀態現代化策略不僅涉及採用新技術和新作業做法。 這通常也牽涉到整個組織的思維轉變。 可能需要填入新的 小組和角色 ,而現有的小組和角色可能需要以他們未習慣的方式參與安全性。 這些變更有時對於組織來說可能具有紀念性,可能是壓力和內部衝突的來源,因此在整個採用過程中,促進整個組織的健康、誠實和無責任溝通非常重要。
採用 零信任 作為策略
採用 零信任 做為策略,可協助您利用新式的安全性方法開始雲端旅程。 零信任 方法是建立在三個原則上:
明確驗證。 一律根據所有可用的資料點進行驗證及授權。
使用最低權限。 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。
假設可能遭到入侵。 將爆炸半徑和區段存取降至最低。 確認端對端加密,並使用分析來瞭解與系統相關的活動、驅動威脅偵測,以及改善防禦。
如果您將這些原則套用至雲端採用程式,則轉換至新式安全性對於整個組織來說可能是更順暢的體驗。
Microsoft提供以 零信任 為基礎的安全性現代化藍圖,讓組織可作為指南。 請參閱定義策略建議的策略階段。
定義事件準備和回應的策略
為雲端安全性整備建立清楚的願景和定義完善的特定目標。 專注於建立安全性容量並開發安全性技能。 將您的事件準備和回應策略與整體商務策略保持一致,以確保商務策略不會受到安全性的阻礙。 瞭解可靠性和效能的商務需求,以確保您的策略可以符合這些需求,同時建立必要的技術基礎來準備和回應事件。
定義機密性策略
當您定義在企業雲端環境中採用機密性的策略時,您必須考慮幾個重點:
排定數據隱私權和保護的優先順序。 建立明確的商務目標,強調數據隱私權和保護的重要性。 這些目標包括符合GDPR、HIPAA和業界標準等相關法規。
規劃風險管理策略。 找出並評估數據機密的潛在風險,並制定策略來降低這些風險。
開發數據外洩保護 (DLP) 策略。 DLP 是一組工具和程式,可協助確保未經授權的使用者不會遺失、濫用或存取敏感數據。 就機密性原則而言,它涉及定義明確的數據保護目標,並建立實作強固加密和訪問控制的架構。 在策略階段,DLP 會整合到整體安全性願景中,以協助確保敏感數據不受未經授權的存取保護。
定義完整性策略
維護數據和系統完整性需要許多與針對機密性建議的策略相同,例如設計良好的數據保護控件和風險管理。 這些策略應加總數據與系統完整性的其他考慮:
排定數據和系統完整性的優先順序。 維護數據和系統完整性應該是商務需求和目標的重要原則。 為此,優先處理支援高完整性的安全性控件和作業做法。 特別是,透過工具使用自動化,以盡可能多地進行數據與系統完整性管理。 自動化可用於許多與完整性相關的函式,例如:
原則管理。
數據分類和管理。
基礎結構部署和更新管理。
定義可用性策略
在雲端採用策略中包含可用性的考慮,有助於確保您已準備好實作可靠且具彈性的雲端資產,而且您可以確信自己符合商務需求,因為它們與可用性有關。
可用性需求和目標橫跨整個雲端資產,包括所有商務功能和工作負載,以及基礎雲端平臺。 請確定,當您開發雲端採用策略時,您會從高階目標開始,以判斷雲端資產各個層面的重要性,並在專案關係人之間開始討論可用性所需的適當層級,同時仍平衡成本和效能需求和目標。 這種方法可協助您建構雲端採用計劃,以便在您繼續進行雲端採用旅程的下一個階段時,針對更明確的目標工作,為適當範圍的設計和標準奠定基礎。
定義維持安全性狀態的策略
走向現代化、健全安全性狀態的旅程不會以初始實作結束。 若要跟上新的威脅,您必須持續檢閱和精簡您的安全性做法,同時維持嚴格遵循標準。 持續安全性是持續執行日常作業的工作,符合貴組織在準備新興威脅和技術變更時所設定的期望。 採用此原則可協調您的持續改進方法。 它為安全性小組提供指導標準,以維護警惕的安全性做法,並讓項目關係人相信安全性仍然是雲端採用旅程的基石。
當您開發持續策略時,您會專注於了解整體安全性策略在真實世界中的表現,以及套用課程以持續發展它。 持續策略應納入長期業務目標,以確保長期安全性目標一致。 將這些目標納入考慮時,持續策略會定義安全性狀態必須如何演進以保持一致。
範例策略
您的組織應該以最適合組織的方式開發雲端採用策略。 下列範例示範如何將本文中提供的指引納入敘述成品,例如 Word 檔。
動機
移至雲端的動機是將企業營運(LOB)工作負載現代化,並利用全球雲端基礎結構Microsoft,在客戶群成長時有效率地向外延展。
商務考慮:
- 董事會和高級領導收購。 我們必須向董事會提出雲端採用計劃的執行摘要,並透過財務預測向董事會提出核准。 執行摘要必須由高級領導共同開發,以確保領導小組已就高層計劃達成一致。
安全性考慮:
- 技術整備程度。 我們的IT和安全性小組需要熟練,才能成功定義我們的移轉計劃。 當我們準備移至雲端時,可能需要新增小組 和角色 。
業務成果:全球觸達
我們目前只在 北美洲 運作。 我們的五年計劃是擴展到歐洲和亞洲。 利用全球 Azure 雲端Microsoft,可讓我們建置必要的基礎結構,以有效率地在歐洲和亞洲提供 LOB 應用程式。
企業主: COO
技術擁有者: CTO
安全性擁有者: CISO
商務考慮:
- 預算預測。 作為開發雲端移轉計劃的一部分,IT、安全性和銷售部門必須與財務部門共同開發預算預測模型,以確保專案關係人瞭解擴大至歐洲和亞洲的潛在成本。
安全性考慮:
增加攻擊面。 在全球擴張將大幅增加我們的受攻擊面,方法是在多個區域中放置公開的系統。 我們需要快速 將安全性狀態現代化。 我們將遵循 零信任 指引,以確保我們遵循最佳做法。
以雲端為主的威脅。 我們移至雲端將帶來我們尚未暴露的新威脅。 這些威脅不限於我們系統上的惡意攻擊。 雲端提供者也是威脅的主要目標,而影響提供者的事件可能會對我們的系統或業務產生下游影響。 我們需要檢閱我們的 事件準備和回應 程式,並納入必要的改進作為計劃的一部分。
業務成果:數據創新
隨著全球擴張的進展,我們的數據資產會以指數方式成長。 除非我們採用雲端規模數據和分析技術,否則處理該數據是不可持續的。
企業主: CEO
技術擁有者: CTO
安全性擁有者: CISO
商務考慮:
- 本機合規性需求。 我們必須與當地合規性法規專家合作,以確保業務已準備好支持技術小組維護合規性。 這可能表示在特定地理位置設定商業實體,或在德國和中國等國家使用主權雲端。
安全性考慮:
大規模數據機密性和完整性。 我們必須檢閱和改善我們的機密性和完整性策略和機制,以確保,當我們採用新技術並移至新的地理位置時,我們不會將數據或客戶的數據置於損毀、缺口或遺失的風險,且我們預設遵守法規架構。
零信任 存取和授權策略。 我們必須採用 零信任 方法,以確保我們的存取和授權策略符合現代最佳做法,且可在全球擴展時管理。
業務成果:效能和可靠性
當我們在全球擴展時,LOB 工作負載必須維持客戶所依賴的高效能和零停機時間可用性。
企業主: COO
技術擁有者: CTO
安全性擁有者: CISO
商務考慮:
- 在整個移轉期間維護效能和可靠性。 我們的客戶對 LOB 應用程式有很高的期望。 如果應用程式在移轉至雲端的過程中發生停機或長時間降級的服務,我們就無法承受信譽和財務損失。 吸引我們的Microsoft支援小組來協助設計移轉計劃,並參與移轉,將停機時間或降級服務的風險降到最低。
安全性考慮:
我們必須開發安全的設計模式,以確保我們可以在擴充到的每個新區域中,有效率且安全地部署相同的基礎結構套件。 我們的 可用性 策略應該考慮需要權衡取捨,以確保安全性不會受到我們的效能設計危害,而且我們的效能目標不會受到我們的安全措施影響。
- 我們必須在設計模式中包含系統 完整性 程式和機制,以確保在新的地理位置部署工作負載時,系統預設會受到保護。