Поделиться через

Безопасное внедрение облака

  • Статья

При реализации облачных активов и миграции рабочих нагрузок необходимо установить надежные механизмы и методики безопасности. Этот подход гарантирует безопасность рабочих нагрузок с самого начала и предотвращает необходимость устранения пробелов в безопасности после того, как рабочие нагрузки находятся в рабочей среде. Определите приоритеты безопасности на этапе принятия, чтобы обеспечить согласованность создания рабочих нагрузок и в соответствии с рекомендациями. Установленные методики безопасности также подготавливают ИТ-группы для облачных операций с помощью хорошо разработанных политик и процедур.

Независимо от того, переносите ли вы рабочие нагрузки в облако или создаете совершенно новое облачное пространство, вы можете применить инструкции в этой статье. Методология внедрения Cloud Adoption Framework включает в себя сценарии миграции, модернизации, инноваций и перемещения. Независимо от того, какой путь вы занимаете во время этапа внедрения пути к облаку, важно рассмотреть рекомендации, приведенные в этой статье, так как вы устанавливаете базовые элементы облачных активов и создаете или переносите рабочие нагрузки.

Эта статья является вспомогательным руководством по методологии принятия . Он предоставляет области оптимизации безопасности, которые следует учитывать при переходе на этот этап в пути.

Внедрение модернизации системы безопасности

Рассмотрите следующие рекомендации по мере модернизации состояния безопасности в рамках этапа внедрения:

  • Базовые показатели безопасности. Определите базовые показатели безопасности, включающие требования к доступности для создания четкой и надежной основы для разработки. Чтобы сэкономить время и снизить риск человеческой ошибки в анализе сред, используйте средство анализа базовых показателей безопасности вне полки.

  • Обнимает автоматизацию: используйте средства автоматизации для управления обычными задачами, чтобы снизить риск человеческой ошибки и повысить согласованность. Воспользуйтесь преимуществами облачных служб, которые могут автоматизировать процедуры отработки отказа и восстановления. К задачам, которые можно рассмотреть при автоматизации, относятся:

    • Развертывания инфраструктуры и управление ими
    • Действия жизненного цикла разработки программного обеспечения
    • Тестирование
    • Мониторинг и оповещения
    • Масштабирование

  • Управление доступом и авторизацией нулевого доверия: реализуйте строгие средства управления доступом и системы управления удостоверениями, чтобы обеспечить доступ только авторизованным сотрудникам к критически важным системам и данным. Такой подход снижает риск вредоносных действий, которые могут нарушить службы. Стандартизируйте строго примененные элементы управления доступом на основе ролей (RBACs) и требуют многофакторной проверки подлинности, чтобы предотвратить несанкционированный доступ, который может нарушить доступность службы. Дополнительные сведения см. в разделе "Защита удостоверения с использованием нулевого доверия".

Институционализация управления изменениями

Эффективные методики внедрения и управления изменениями (ACM) важны для обеспечения успешной реализации и институционализации контроля доступа. Ниже приведены некоторые рекомендации и методологии.

  • Модель Prosci ADKAR: эта модель сосредоточена на пяти ключевых стандартных блоках для успешного изменения. Эти компоненты : "Осведомленность", "Желание", "Знание", "Способность" и "Подкрепление". Обращаясь к каждому элементу, организации могут гарантировать, что сотрудники понимают необходимость контроля доступа, мотивированы для поддержки изменений, обладают необходимыми знаниями и навыками и получают постоянное подкрепление для поддержания изменения.

  • Модель изменений на 8 шаге Коттера: эта модель описывает восемь шагов для ведущих изменений. Эти шаги включают создание чувства срочности, формирование мощной коалиции, разработка визуального зрения и стратегии, взаимодействие с видением, предоставление сотрудникам возможностей для широких действий, создание краткосрочных побед, консолидация выигрышей и привязка новых подходов к культуре. Следуя этим инструкциям, организации могут эффективно управлять внедрением средств управления доступом.

  • Модель управления изменениями Lewin: эта модель имеет три этапа, которые являются unfreeze, Change и Refreeze. На этапе отмены разморозки организации готовятся к изменению, определяя необходимость контроля доступа и создавая ощущение срочности. На этапе изменения реализуются новые процессы и методики. На этапе повторного разморозки новые методики объединяются и интегрируются в культуру организации.

  • Платформа управления внедрением и изменением Майкрософт. Эта платформа обеспечивает структурированный подход к внедрению и изменению путем определения критериев успеха, привлечения заинтересованных лиц и подготовки организации. Эта платформа также измеряет успех, чтобы обеспечить эффективность реализации. Она подчеркивает важность коммуникации, обучения и поддержки, чтобы обеспечить эффективное внедрение и институциональное управление доступом.

Организации могут обеспечить реализацию и прием контроля доступа сотрудниками, включив эти методологии ИКМ и рекомендации. Такой подход приводит к более безопасной и соответствующей корпоративной среде.

Упрощение функций Azure

  • Создайте базовые показатели безопасности: Оценка безопасности Майкрософт поможет вам установить базовые показатели с реальными рекомендациями по улучшению. Он предоставляется в составе набора XDR в Microsoft Defender и может анализировать безопасность многих продуктов Майкрософт и других продуктов.

  • Автоматизация развертывания инфраструктуры: шаблоны Azure Resource Manager (шаблоны ARM) и Bicep — это собственные средства Azure для развертывания инфраструктуры в виде кода (IaC) с помощью декларативного синтаксиса. Шаблоны ARM записываются в формате JSON, а Bicep — это язык, зависящий от домена. Вы можете легко интегрировать как в конвейеры Azure Pipelines, так и в GitHub Actions непрерывную интеграцию и непрерывную доставку (CI/CD).

    • Terraform — это еще одно декларативное средство IaC, которое полностью поддерживается в Azure. С помощью Terraform можно развернуть инфраструктуру и управлять ею, а также интегрировать ее в конвейер CI/CD.

    • Вы можете использовать Microsoft Defender для облака для обнаружения неправильных конфигураций в IaC.

    • Среды развертывания Azure: среды развертывания позволяют группам разработчиков быстро создавать согласованную инфраструктуру приложений с помощью шаблонов на основе проектов. Эти шаблоны свести к минимуму время установки и максимально повысить безопасность, соответствие требованиям и эффективность затрат. Среда развертывания — это коллекция ресурсов Azure, развернутых в предопределенных подписках. Администраторы инфраструктуры разработки могут применять корпоративные политики безопасности и предоставлять готовый набор стандартных шаблонов IaC.

      Администраторы инфраструктуры разработки определяют среды развертывания как элементы каталога. Элементы каталога размещаются в репозитории GitHub или Azure DevOps, который называется каталогом. Элемент каталога состоит из шаблона IaC и файла manifest.yml.

      Вы можете создать среды развертывания и программно управлять средами. Подробные рекомендации, ориентированные на рабочую нагрузку, см. в подходе IaC в Azure Well-Architected Framework.

  • Автоматизация рутинных задач:

    • Функции Azure: Функции Azure — это бессерверное средство, которое можно использовать для автоматизации задач с помощью предпочитаемого языка разработки. Функции предоставляют полный набор триггеров, управляемых событиями, и привязок, которые подключают функции к другим службам. Вам не нужно писать дополнительный код.

    • служба автоматизации Azure: PowerShell и Python — это популярные языки программирования для автоматизации операционных задач. Используйте эти языки для выполнения таких операций, как перезапуск служб, передача журналов между хранилищами данных и масштабирование инфраструктуры для удовлетворения спроса. Вы можете выразить эти операции в коде и запустить их по запросу. По отдельности эти языки не имеют платформы для централизованного управления, управления версиями или журнала выполнения отслеживания. Языки также не имеют собственного механизма реагирования на события, такие как оповещения на основе мониторинга. Для предоставления этих возможностей требуется платформа автоматизации. Автоматизация предоставляет размещенную в Azure платформу для размещения и запуска кода PowerShell и Python в облачных и локальных средах, включая Azure и системы, отличные от Azure. Код PowerShell и Python хранятся в runbook службы автоматизации. Использовать автоматизацию для:

      • Активируйте модули Runbook по запросу, по расписанию или через веб-перехватчик.

      • Журнал выполнения и ведение журнала.

      • Интеграция хранилища секретов.

      • Интеграция системы управления версиями.

    • Диспетчер обновлений Azure. Update Manager — это единая служба, которую можно использовать для управления обновлениями виртуальных машин и управления ими. Вы можете отслеживать соответствие обновлений Windows и Linux в рабочей нагрузке. Вы также можете использовать Диспетчер обновлений, чтобы устанавливать обновления в реальном времени или планировать их в течение определенного периода обслуживания. Используйте диспетчер обновлений для:

      • Следите за соответствием по всему флоту машин.

      • Планирование повторяющихся обновлений.

      • Развертывание критических обновлений.

  • Azure Logic Apps и Microsoft Power Automate. При создании пользовательской службы автоматизации цифровых процессов (DPA) для обработки задач рабочей нагрузки, таких как потоки утверждения или создание интеграции ChatOps, рассмотрите возможность использования Logic Apps или Power Automate. Рабочие процессы можно создавать из встроенных соединителей и шаблонов. Logic Apps и Power Automate основаны на одной и той же базовой технологии и хорошо подходят для задач на основе триггеров или времени.

  • Автоматическое масштабирование. Многие технологии Azure имеют встроенные возможности автоматического масштабирования. Вы также можете программировать другие службы для автоматического масштабирования с помощью API. Дополнительные сведения см. в разделе Автомасштабирование.

  • Группы действий Azure Monitor. Для автоматического запуска самовосстановления оповещений используйте группы действий Azure Monitor. Эти операции можно определить с помощью модуля Runbook, функции Azure или веб-перехватчика.

Готовность к инцидентам и принятие ответов

После создания целевой зоны или другой платформы с безопасным сегментированием сети и хорошо разработанной подпиской и организацией ресурсов можно начать реализацию с акцентом на готовность и реагирование на инциденты. На этом этапе разработка механизмов подготовки и реагирования, включая план реагирования на инциденты, гарантирует, что облачные ресурсы и операционные методики соответствуют бизнес-целям. Это согласование имеет решающее значение для поддержания эффективности и достижения стратегических целей. Этап внедрения должен подходить к готовности и реагированию на инциденты с двумя точками зрения. Эти перспективы — готовность к угрозам и устранение рисков, а также инфраструктура и безопасность приложений.

Готовность к угрозам и устранение рисков

  • Обнаружение угроз. Реализуйте расширенные средства мониторинга и методики для обнаружения угроз в режиме реального времени. Эта реализация включает настройку систем оповещений для необычных действий и интеграцию расширенных решений обнаружения и реагирования (XDR) и сведений о безопасности и управления событиями (SIEM). Дополнительные сведения см. в разделе "Защита от угроз нулевого доверия" и XDR.

  • Управление уязвимостями: регулярно выявляйте и устраняйте уязвимости с помощью системы и обновления системы и системы безопасности, чтобы обеспечить защиту систем и приложений от известных угроз.

  • Реагирование на инциденты: разработка и обслуживание плана реагирования на инциденты, включая действия по обнаружению, анализу и исправлению для быстрого решения и восстановления от инцидентов безопасности. Рекомендации, ориентированные на рабочую нагрузку, см . в рекомендациях по реагированию на инциденты безопасности. Автоматизируйте действия по устранению рисков как можно больше, чтобы сделать эти действия более эффективными и менее склонными к человеческой ошибке. Например, при обнаружении внедрения SQL можно создать модуль Runbook или рабочий процесс, который автоматически блокирует все подключения к SQL, чтобы он содержал инцидент.

Инфраструктура и безопасность приложений

  • Безопасные конвейеры развертывания: создавайте конвейеры CI/CD с интегрированными проверками безопасности, чтобы обеспечить безопасное разработку, тестирование и развертывание приложений. Это решение включает статический анализ кода, сканирование уязвимостей и проверки соответствия требованиям. Дополнительные сведения см. в руководстве разработчика zero Trust.

  • Развертывания IaC: развертывание всей инфраструктуры с помощью кода без исключения. Уменьшите риск неправильно настроенной инфраструктуры и несанкционированных развертываний путем применения этого стандарта. Составьте все ресурсы IaC с ресурсами кода приложения и применяйте те же методы безопасного развертывания, что и развертывания программного обеспечения.

Упрощение функций Azure

  • Автоматизация обнаружения угроз и реагирования: автоматизация обнаружения угроз и реагирования с помощью автоматизированного исследования и реагирования в XDR в Microsoft Defender.

  • Безопасность развертывания IaC: используйте стеки развертывания для управления ресурсами Azure в качестве единого единого подразделения. Запретить пользователям выполнять несанкционированные изменения с помощью параметров запрета.

Принятие принципа конфиденциальности

После того, как на месте уже существует стратегия и план реализации для принятия принципа конфиденциальности ЦРУ Triad, следующий шаг — сосредоточиться на ACM. Этот шаг включает в себя обеспечение эффективного внедрения и обеспечения безопасности управления доступом в корпоративной облачной среде. На этапе внедрения меры защиты от потери данных (DLP) реализуются для защиты конфиденциальных данных при передаче и хранении данных. Реализация включает развертывание решений шифрования, настройку управления доступом и обучение всех сотрудников по важности конфиденциальности данных и соблюдения политик защиты от потери данных.

Реализация шифрования и безопасных элементов управления доступом

Для защиты конфиденциальной информации от несанкционированного доступа важно реализовать надежное шифрование и безопасные элементы управления доступом. Шифрование гарантирует, что данные недоступны для несанкционированных пользователей, а элементы управления доступом регулируют доступ к определенным данным и ресурсам. Ознакомьтесь с возможностями шифрования облачных служб, которые развертываются, и включите соответствующие механизмы шифрования в соответствии с вашими бизнес-требованиями.

Внедрение и внедрение связанных стандартов

Чтобы обеспечить согласованную реализацию средств управления шифрованием и доступом, необходимо разработать и внедрить соответствующие стандарты. Организации должны установить четкие рекомендации и рекомендации по использованию средств управления шифрованием и доступом, а также обеспечить передачу этих стандартов всем сотрудникам. Например, стандарт может указать, что все конфиденциальные данные должны быть зашифрованы с помощью шифрования AES-256, и доступ к этим данным должен быть ограничен только авторизованным персоналом. Организации могут обеспечить согласованное применение средств управления шифрованием и доступом на предприятии, включив эти стандарты в свои политики и процедуры. Предоставление регулярного обучения и поддержки еще больше усиливает эти методики среди сотрудников. К другим примерам относятся:

  • Строгое шифрование. Включите шифрование в хранилищах данных, когда это возможно, и рассмотрите возможность управления собственными ключами. Поставщик облачных служб может предложить шифрование неактивных данных для хранилища, в котором размещено хранилище данных, и предоставить возможность включения шифрования базы данных, например прозрачного шифрования данных в База данных SQL Azure. При возможности примените дополнительный уровень шифрования.

  • Элементы управления доступом: применение RBAC, элементов управления условным доступом, JIT-доступа и JIT-доступа ко всем хранилищам данных. Стандартизируйте практику регулярного просмотра разрешений. Ограничить доступ на запись к системам конфигурации, что позволяет изменять только с помощью указанной учетной записи службы автоматизации. Эта учетная запись применяет изменения после тщательной проверки процессов, как правило, в составе Azure Pipelines.

  • Внедрение стандартов: организация может разработать стандарт, который требует, чтобы все сообщения электронной почты, содержащие конфиденциальную информацию, шифрулись с помощью Защита информации Microsoft Purview. Это требование гарантирует, что конфиденциальные данные защищены во время передачи и доступны только авторизованным получателям.

Упрощение функций Azure

  • Решения SIEM и SOAR: Microsoft Sentinel — это масштабируемое облачное РЕШЕНИЕ SIEM, которое предоставляет интеллектуальное и комплексное решение для SIEM и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel предоставляет общие сведения об обнаружении угроз, расследовании, ответе и упреждающем поиске.

  • Шифрование Azure: Azure предоставляет шифрование для таких служб, как База данных SQL Azure, Azure Cosmos DB и Azure Data Lake. Поддерживаемые модели шифрования включают шифрование на стороне сервера с ключами, управляемыми службой, ключами, управляемыми клиентом в Azure Key Vault, и ключами, управляемыми клиентом, на оборудовании, управляемом клиентом. Модели шифрования на стороне клиента поддерживают шифрование данных приложением перед отправкой в Azure. Дополнительные сведения см. в обзоре шифрования Azure.

  • Управление доступом: прежнее название — Azure Active Directory, идентификатор Microsoft Entra ID предоставляет комплексные возможности управления удостоверениями и доступом. Она поддерживает многофакторную проверку подлинности, политики условного доступа и единый вход, чтобы обеспечить доступ только авторизованных пользователей к конфиденциальным данным.

    • Защита идентификации Microsoft Entra использует расширенное машинное обучение для выявления рисков входа и необычного поведения пользователя для блокировки, вызова, ограничения или предоставления доступа. Это помогает предотвратить компрометацию удостоверений, защитить от кражи учетных данных и получить аналитические сведения о безопасности удостоверений.

    • Microsoft Defender для удостоверений — это облачное решение для обнаружения угроз безопасности, которое помогает защитить мониторинг удостоверений в организации. Это поможет вам лучше выявлять, обнаруживать и исследовать расширенные угрозы, направленные на вашу организацию, с помощью автоматизированных механизмов обнаружения угроз и реагирования.

  • Конфиденциальные вычисления Azure: эта служба защищает данные во время обработки. В нем используются доверенные среды выполнения на основе оборудования для изоляции и защиты используемых данных, что гарантирует, что даже администраторы облака не могут получить доступ к данным.

Принятие принципа целостности

На этапе принятия планирование и проекты превратятся в реальные реализации. Чтобы обеспечить целостность данных и системы, создайте системы в соответствии с стандартами, разработанными на предыдущих этапах. Кроме того, обучение инженеров, администраторов и операторов в соответствующих протоколах и процедурах.

Внедрение целостности данных

  • Классификация данных. Реализуйте платформу классификации данных с помощью автоматизации, когда это возможно и вручную. Используйте готовые средства для автоматизации классификации данных и идентификации конфиденциальной информации. Вручную наклеивать документы и контейнеры для обеспечения точной классификации. Курировать наборы данных для аналитики, используя опыт знаний пользователей для установления конфиденциальности.

  • Проверка и проверка данных. Воспользуйтесь встроенными функциями проверки и проверки в развернутых службах. Например, Фабрика данных Azure имеет встроенные функции для проверки согласованности данных при перемещении данных из источника в целевое хранилище. Рассмотрите возможность внедрения таких методов:

    • Использование функций CHECKSUM и BINARY_CHECKSUM в SQL, чтобы гарантировать, что данные не повреждены при передаче.

    • Хранение хэшей в таблицах и создание подзаголовок, которые изменяют хэши при изменении даты последнего изменения.

  • Мониторинг и оповещение. Мониторинг хранилищ данных для изменений с подробными сведениями журнала изменений, которые помогают с проверками. Настройте оповещение, чтобы убедиться, что у вас есть соответствующая видимость и может предпринять эффективные действия, если есть какие-либо инциденты, которые могут повлиять на целостность данных.

  • Политики резервного копирования: применение политик резервного копирования ко всем соответствующим системам. Узнайте о возможностях резервного копирования платформы как службы и программного обеспечения в качестве службы. Например, База данных SQL Azure включает в себя автоматические резервные копии, и при необходимости можно настроить политику хранения.

  • Совместное использование стандартов проектирования: публикация и совместное использование стандартов проектирования приложений, которые включают механизмы целостности данных в организации. Стандарты проектирования должны охватывать нефункциональные требования, такие как собственные изменения конфигурации и данных отслеживания на уровне приложения и записи этой истории в схеме данных. Этот подход предписывает, что схема данных сохраняет сведения об журнале данных и журнале конфигурации в рамках хранилища данных в дополнение к стандартным механизмам ведения журнала для укрепления мониторинга целостности.

Внедрение целостности системы

  • Мониторинг безопасности. Используйте надежное решение мониторинга для автоматической регистрации всех ресурсов в облачном пространстве и убедитесь, что оповещения включены и настроены для уведомления соответствующих команд при возникновении инцидентов.

  • Автоматическое управление конфигурацией. Развертывание и настройка системы управления конфигурацией, которая автоматически регистрирует новые системы и постоянно управляет конфигурациями.

  • Автоматическое управление исправлениями: развертывание и настройка системы управления исправлениями, которая автоматически регистрирует новые системы и управляет исправлениями в соответствии с политиками. Предпочитайте собственные инструменты для облачной платформы.

Упрощение функций Azure

  • Классификация и маркировка данных: Microsoft Purview — это надежный набор решений, которые помогут вашей организации управлять, защищать и управлять данными, где бы она ни находились. Она предлагает ручную и автоматическую классификацию данных и метку конфиденциальности.

  • Управление конфигурацией. Azure Arc — это централизованная и унифицированная платформа управления инфраструктурой и управлением, которую можно использовать для управления конфигурациями для облачных и локальных систем. С помощью Azure Arc можно расширить базовые показатели безопасности от Политика Azure, политик Defender для облака и оценки оценки безопасности, а также ведения журнала и мониторинга всех ресурсов в одном месте.

  • Управление исправлениями. Диспетчер обновлений Azure — это единое решение для управления обновлениями для компьютеров Windows и Linux, которые можно использовать для azure, локальных и многооблачных сред. Она имеет встроенную поддержку Политика Azure и управляемых компьютеров Azure Arc.

Принятие принципа доступности

После определения устойчивых шаблонов проектирования ваша организация может перейти к этапу внедрения. Подробные рекомендации по доступности рабочей нагрузки см. в разделе "Надежность Хорошо архитекторированной платформы" и документации по надежности Azure. В контексте внедрения облака основное внимание уделяется созданию и кодификации операционных методик, поддерживающих доступность.

Создание операционных методик для поддержки доступности

Чтобы поддерживать высокодоступную облачную недвижимость, команды, работающие в облачных системах, должны соответствовать стандартизованным, зрелым методикам. Эти методики должны включать:

  • Непрерывность операций. Организации должны планировать непрерывные операции даже в условиях атаки. Этот подход включает в себя создание процессов быстрого восстановления и обслуживание критически важных служб на сниженном уровне до тех пор, пока не будет возможно полное восстановление.

  • Надежная и непрерывная наблюдаемость: способность организации обнаруживать инциденты безопасности по мере их выполнения позволяет им быстро инициировать планы реагирования на инциденты. Эта стратегия помогает максимально свести к минимуму бизнес-эффекты. Обнаружение инцидентов возможно только с помощью хорошо разработанной системы мониторинга и оповещения, которая соответствует рекомендациям по обнаружению угроз. Дополнительные сведения см. в руководстве по мониторингу наблюдаемости и мониторингу безопасности и обнаружению угроз.

  • Упреждающее обслуживание: стандартизация и применение обновлений системы с помощью политик. Планирование регулярных периодов обслуживания для применения обновлений и исправлений к системам без нарушения служб. Проводите регулярные проверки работоспособности и действия по обслуживанию, чтобы обеспечить оптимальное функционирование всех компонентов.

  • Стандартизованные политики управления. Применение всех стандартов безопасности с помощью поддерживаемых инструментов политик. Используйте средство управления политиками, чтобы убедиться, что все системы соответствуют вашим бизнес-требованиям по умолчанию, и что политики легко проверяются.

  • Готовность к аварийному восстановлению. Разработайте и регулярно тестируйте планы аварийного восстановления для рабочих нагрузок, чтобы обеспечить их восстановление в случае аварии. Дополнительные сведения см. в разделе "Аварийное восстановление". Автоматизируйте действия восстановления как можно больше. Например, используйте возможности автоматической отработки отказа в таких службах, как База данных SQL Azure.

  • Соглашения об уровне обслуживания: соглашения об уровне обслуживания ( соглашения об уровне обслуживания), предоставляемые облачной платформой для своих служб, помогают понять гарантированное время простоя для компонентов рабочих нагрузок. Используйте эти соглашения об уровне обслуживания в качестве основы для разработки собственных целевых метрик для соглашений об уровне обслуживания, предоставляемых клиентам. Корпорация Майкрософт публикует соглашения об уровне обслуживания для всех облачных служб в соглашениях об уровне обслуживания для веб-службы.

  • Требования к соответствию требованиям. Соблюдайте такие правила, как Общие правила защиты данных (GDPR) и HIPAA, чтобы гарантировать, что системы разработаны и поддерживаются в соответствии с высокими стандартами, включая стандарты, связанные с доступностью. Несоответствие может привести к судебным действиям и штрафам, которые могут нарушить бизнес-операции. Соответствие часто не ограничивается конфигурацией системы. Большинство платформ соответствия требованиям также требуют стандартов управления рисками и реагирования на инциденты. Убедитесь, что операционные стандарты соответствуют требованиям к платформе и что сотрудники регулярно обучаются.

Упрощение функций Azure

Управление политиками и соответствием:

  • Политика Azure — это решение для управления политиками, которое помогает применять стандарты организации и оценивать соответствие в масштабе. Чтобы автоматизировать применение политик для многих служб Azure, воспользуйтесь встроенными определениями политик.

  • Defender для облака предоставляет политики безопасности, которые могут автоматизировать соответствие стандартам безопасности.

  • Непрерывность работы и аварийное восстановление. Многие службы Azure имеют встроенные возможности восстановления, которые можно включить в планы непрерывности операций и аварийного восстановления. Дополнительные сведения см . в руководствах по надежности служб Azure.

Внедрение поддержки безопасности

Ознакомьтесь со следующими рекомендациями, чтобы гарантировать, что механизмы и методики безопасности, которые вы внедряете в рамках внедрения облака, могут быть устойчивы и непрерывно улучшены при продолжении своего пути.

  • Институт совета по проверке безопасности: создайте совет по проверке безопасности, который постоянно проверяет проекты и предписывает контроль безопасности. Регулярно просматривайте процессы, чтобы найти области улучшения. Разработка процессов, чтобы обеспечить безопасность всегда лучше всего для всех.

  • Реализуйте решение управление уязвимостями. Используйте решение управление уязвимостями для отслеживания оценки рисков уязвимостей безопасности и определения процесса, чтобы действовать на самой низкой оценке риска, чтобы свести к минимуму риск. Отслеживайте последние распространенные уязвимости и риски воздействия. Политика регулярно применяет эти меры для исправления.

  • Защита производственной инфраструктуры: защита облачных активов путем ужесточения инфраструктуры. Чтобы ужесточить инфраструктуру в соответствии с отраслевыми рекомендациями, следуйте рекомендациям по эталонным тестам, таким как Центр безопасности Интернета (CIS).

  • Используйте mitRE ATT&CK база знаний: используйте MITRE ATT&CK база знаний для разработки моделей угроз и методологий для распространенных тактик и методов атак в реальном мире.

  • Shift влево: используйте разделенные среды с различными уровнями доступа для предварительной версии и рабочей среды. Этот подход помогает перейти влево, что добавляет проблемы безопасности ко всем этапам разработки и обеспечивает гибкость в более низких средах.

Упрощение функций Azure

Управление уязвимостями: Управление уязвимостями Microsoft Defender — это комплексное решение управление уязвимостями на основе рисков, которое можно использовать для выявления, оценки, исправления и отслеживания всех наиболее важных уязвимостей в наиболее важных ресурсах, всех в одном решении.

Следующий шаг

Безопасное управление облачным имуществом