Поделиться через

Управление облачными недвижимостью с помощью повышенной безопасности

  • Статья

Этап управления путешествием по внедрению облака фокусируется на текущей работе вашего облачного имущества. Поддержание и укрепление вашей системы безопасности постоянно важно для успешного управления своим имуществом и должно считаться краеугольным камнем ваших методик управления. Если вы игнорируете безопасность в пользу экономии затрат или улучшений производительности, вы рискуете разоблачить ваш бизнес угрозам, которые могут серьезно повредить вашему бизнесу и отменить любые краткосрочные преимущества, которые делают это. Инвестиции в механизмы и методики безопасности настраивают ваш бизнес на долгосрочный успех путем минимизации рисков вредных атак.

Эта статья является вспомогательным руководством по методологии управления . В нем описываются области оптимизации безопасности, которые следует учитывать при переходе на этот этап в пути.

Модернизация системы безопасности

На этапе управления процессом внедрения облака необходимо иметь надежную платформу наблюдения с тщательной настройкой мониторинга и интеллектуальным оповещением, но модернизация этой платформы может потребовать нового мышления, которое в значительной степени ориентировано на упреждающие меры и принятие принципов нулевого доверия.

  • Предположим, нарушение. Предположим, что в одной или нескольких системах существует нарушение, является ключевым принципом упреждающего обнаружения и драйвера поиска угроз и обнаружения угроз. Охота на угрозы использует подход на основе гипотезы - что нарушение уже произошло в какой-то определенной форме - для интеллектуального анализа ваших систем с помощью инструментов в попытке доказать или опровергнуть эта гипотеза. Проектирование обнаружения — это практика разработки специализированных механизмов обнаружения для расширения платформ наблюдения, которые не оснащены для обнаружения новых и новых кибератак.

  • Убедитесь явно: переход от менталитет "доверие по умолчанию" на "доверие по исключению" означает, что необходимо иметь возможность проверять доверенные действия с помощью видимости. Расширение платформы наблюдаемости с помощью интеллектуального мониторинга удостоверений и доступа помогает обнаруживать аномальное поведение в реальном времени.

Упрощение функций Azure

  • XDR в Microsoft Defender обеспечивает расширенную охоту на угрозы в нескольких доменах, таких как конечные точки, облачные приложения и удостоверения.

Управление готовностью и реагированием на инциденты

  • Готовность к инциденту:

    • Реализуйте решение для управления информационной безопасностью и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR) для расширения систем мониторинга и оповещения инфраструктуры для обнаружения и реагирования на инциденты безопасности.

    • Упреждающее сканирование облачных систем на наличие уязвимостей. Использование сканера уязвимостей, который можно интегрировать с системой SIEM, объединяет данные безопасности из всей среды, что помогает эффективно обнаруживать и реагировать на различные типы рисков безопасности и инцидентов.

    • Увеличьте глубину видимости рисков безопасности в вашей среде, реализуя расширенное решение обнаружения и ответа (XDR). Передача этих данных в систему SIEM объединяет мониторинг безопасности в одной области стекла и оптимизирует эффективность команды по операциям безопасности.

  • Планирование реагирования на инциденты. Модернизация платформы наблюдаемости необходима для обнаружения инцидентов. Это также основа для поддержания плана реагирования на инциденты. План реагирования на инциденты должен быть живым документом, который регулярно обновляется. Он должен оставаться в курсе ваших усилий по поиску угроз и обнаружению угроз и с общедоступными сведениями о рисках, таких как MITRE ATT&CK база знаний.

    Помимо обслуживания планов реагирования на инциденты, необходимо также иметь полностью разработанные планы реагирования на инциденты и аварийного восстановления.

  • Непрерывность бизнес-процессов и аварийное восстановление. Разработка и тестирование планов аварийного восстановления для обеспечения устойчивости облачной среды и быстрого восстановления от инцидентов. Включите стратегии резервного копирования и восстановления, поддерживающие непрерывность бизнес-процессов. Во многих случаях отдельные рабочие нагрузки в вашей среде имеют уникальные целевые объекты и процессы восстановления, поэтому наличие планов на основе рабочих нагрузок, а не одного плана, охватывающего все аспекты бизнеса, является хорошей стратегией. Дополнительные сведения см. в руководстве по аварийному восстановлению хорошо спроектированной платформы для рабочей нагрузки.

Упрощение функций Azure

  • Microsoft Defender для облака предлагает планы, которые отслеживают и защищают множество ресурсов рабочей нагрузки, таких как серверы, хранилище, контейнеры, базы данных SQL и DNS. Эти планы позволяют обнаруживать глубокие аналитические сведения, которые в противном случае не удается найти в существующем решении мониторинга.

  • Microsoft Sentinel — это облачное решение SIEM и SOAR майкрософт. Его можно использовать в качестве автономного решения. Она также интегрируется с Microsoft Defender для обеспечения единой платформы операций безопасности.

  • Автоматическое исследование и реагирование в XDR Defender помогает группе операций безопасности более эффективно и эффективно устранять угрозы, предоставляя автоматизированное обнаружение и возможность самостоятельного восстановления для многих сценариев.

Управление конфиденциальностью

Непрерывное управление состоянием безопасности, связанное с конфиденциальностью, включает регулярное выполнение хорошо разработанных методик мониторинга и аудита, поддержание кодифицированных процедур аудита и поиск возможностей непрерывного улучшения.

  • Регулярный мониторинг и аудит. Чтобы обеспечить целостность политик конфиденциальности, необходимо установить регулярное время для мониторинга и аудита. Непрерывный мониторинг помогает выявлять потенциальные угрозы безопасности и аномалии. Однако мониторинг недостаточно. Необходимо проводить регулярные аудиты, чтобы убедиться, что политики и элементы управления на месте эффективны, и что они соответствуют. Аудиты предоставляют комплексный обзор состояния безопасности и помогают выявить все пробелы или недостатки, которые необходимо устранить.

  • Документирование и институционализация процедур аудита: документирование процедур аудита имеет решающее значение для согласованности и подотчетности. Институционализация этих процедур гарантирует, что аудит проводится систематически и регулярно. Подробная документация должна включать область аудита, методологий, используемых средств и частоту аудита. Эта практика помогает поддерживать высокий уровень безопасности. Он также предоставляет четкий след для соответствия и нормативных целей.

  • Ниже приведены рекомендации по повышению конфиденциальности:

    • Разделение обязанностей (SoD): Реализация SoD помогает предотвратить конфликты интересов и снижает риск мошенничества. Разделение обязанностей между различными лицами гарантирует, что ни один человек не контролирует все аспекты критического процесса.

    • Упреждающее обслуживание жизненного цикла пользователей: необходимо регулярно обновлять учетные записи пользователей и управлять ими. Эта практика включает в себя оперативное отзыв доступа для пользователей, которые больше не нуждаются в нем, обновления разрешений при изменении ролей и обеспечения отключения неактивных учетных записей. Упреждающее обслуживание помогает предотвратить несанкционированный доступ и помогает обеспечить доступ только текущих авторизованных пользователей к конфиденциальным данным. Архитекторы доступа должны включать эти меры в стандартные операционные процедуры.

Упрощение функций Azure

  • Защита от потери данных Microsoft Purview (DLP) помогает обнаруживать и предотвращать кражу через распространенные процессы, используемые злоумышленниками. Защита от потери данных Purview может обнаруживать злоумышленников, использующих любое время использования или облачное приложение для получения конфиденциальных данных с устройств конечных точек. Защита от потери данных Purview также может определить выполнение этих средств, когда злоумышленники переименовывают их, чтобы остаться незамеченными.

  • Управление внутренними рисками Microsoft Purview помогает обнаруживать и предотвращать потенциальные вредоносные или непреднамеренные внутренние риски, такие как кража IP-адресов, утечка данных и нарушения безопасности.

Управление целостностью

Для управления целостностью данных и системы требуется надежный мониторинг с определенными конфигурациями для обнаружения несанкционированных изменений в ресурсах. Другие ключевые аспекты этапа "Управление" принимают непрерывные рекомендации по улучшению и обучению.

  • Мониторинг целостности данных. Эффективное мониторинг целостности данных является сложной задачей. Интеллектуальные средства могут упростить настройку соответствующих механизмов мониторинга. При объединении интеллектуального управления данными с решениями SIEM и SOAR вы можете получить подробные сведения о действиях, связанных с данными, и автоматизировать части плана реагирования на инциденты. Мониторинг должен обнаруживать аномальное поведение, включая несанкционированный доступ к хранилищам данных и изменениям в хранилищах данных. Автоматические ответы на инциденты, такие как немедленные блокировки, могут помочь свести к минимуму радиус взрыва вредоносных действий.

  • Мониторинг целостности системы. Эффективное мониторинг целостности системы проще, чем мониторинг целостности данных. Большинство современных платформ мониторинга и оповещений хорошо оснащены для обнаружения изменений в системах. При наличии надлежащих мер защиты вокруг развертываний, таких как только разрешение изменений в среде через IaC, а также хорошо разработанная платформа проверки подлинности и доступа, вы можете убедиться, что изменения, происходящие за пределами утвержденных протоколов, обнаруживаются и расследуются немедленно.

Упрощение функций Azure

Мониторинг целостности данных

  • Управление работоспособностью Microsoft Purview помогает кодифицировать стандарты данных и измерять, как данные в вашем активе соответствуют этим стандартам с течением времени. Он предоставляет отчеты для отслеживания работоспособности данных и помогает владельцам данных устранять возникающие проблемы.

управление доступностью;

Для управления доступностью облачной недвижимости требуется надежный, упреждающий мониторинг доступности, проверенный с помощью тестирования.

  • Мониторинг доступности. Убедитесь, что все инфраструктуры и приложения настроены для мониторинга, а оповещения настроены для уведомления соответствующих команд. Используйте функции ведения журналов в облаке и инструментирования приложений, чтобы упростить проектирование мониторинга и уменьшить рабочее бремя.

  • Тестирование доступности. Все инфраструктуры и приложения должны регулярно тестироваться для доступности в рамках общей стратегии тестирования. Внедрение ошибок и тестирование хаоса являются отличными стратегиями для тестирования доступности и безопасности путем намеренного внедрения сбоев.

Упрощение функций Azure

Помимо Defender для облака решений, описанных ранее, рассмотрите следующие решения:

  • Автоматическое инструментирование для Azure Monitor Application Insights позволяет легко инструментировать приложение для расширенного мониторинга телеметрии с помощью Application Insights. Многие типы размещения на основе Azure и локального размещения поддерживаются для автоматического инструментирования.

  • Azure Chaos Studio — это управляемая служба, которая использует инженерию хаоса для измерения, понимания и улучшения устойчивости облачных приложений и служб.

Управление обеспечением безопасности

Непрерывное образование

Поощряйте непрерывное образование и сертификацию в практике облачной безопасности, чтобы поддерживать актуальность эволюционных угроз и технологий. Этот учебный курс должен охватывать следующее:

  • Обнаружение угроз. Используйте средства расширенной аналитики и мониторинга, такие как Microsoft Sentinel, для раннего обнаружения угроз, подчеркивая непрерывный мониторинг и упреждающую идентификацию угроз. Расширенная аналитика позволяет выявлять необычные шаблоны и поведение, которые могут указывать на потенциальные угрозы безопасности. Встроенная аналитика угроз предоставляет актуальные сведения о известных угрозах, что повышает способность системы обнаруживать возникающие риски. Включите обучение по предварительнопланированным ответам, таким как автоматизированные действия для сдерживания, чтобы обеспечить быструю реакцию на обнаруженные угрозы.

  • Реагирование на инциденты. Обучите свою команду по операциям безопасности на надежные стратегии реагирования на инциденты, которые интегрируют принципы нулевого доверия, предполагая, что угрозы могут поступать как из внутренних, так и внешних источников. Это действие включает непрерывную проверку удостоверений и защиту доступа к ресурсам. Обучение также должно охватывать использование деревьев принятия решений и блок-схем для управления действиями реагирования на основе конкретных сценариев инцидентов.

    • Доступность Предоставьте учебный курс по развертыванию решений высокого уровня доступности и аварийного восстановления с помощью служб Azure, чтобы гарантировать, что данные и ресурсы остаются доступными при необходимости. Это обучение включает в себя обслуживание предварительнопланированных ответов, которые описывают шаги по сохранению доступности во время инцидента. Учебные курсы также должны охватывать стратегии обеспечения непрерывного доступа к критически важным ресурсам, даже в условиях нарушений, а также практическую подготовку по настройке и управлению средствами высокого уровня доступности и аварийного восстановления Azure.

  • Упражнения по имитации: проведение регулярных детализаций и имитаций безопасности для подготовки команды к реальным сценариям. Эти упражнения должны оценить способность организации реагировать на инциденты в рамках платформы "Нулевое доверие", рассматривая все сегменты сети как потенциально скомпрометированные до тех пор, пока они не будут проверены как безопасные. Такие сценарии, как фишинговые атаки, нарушения данных и программ-шантажистов, следует имитировать, чтобы выявить пробелы в стратегиях реагирования и обеспечить практический опыт обработки инцидентов. Детализация должна подчеркнуть стратегии сдерживания путем быстрой изоляции скомпрометированных систем, чтобы предотвратить дальнейшее распространение, быструю связь путем создания четких и эффективных каналов распространения информации и сохранения доказательств, обеспечивая безопасное сбор и хранение всех соответствующих данных для поддержки последующего анализа и расследования. Используйте предварительнопланированные ответы, такие как сборники схем инцидентов и протоколы связи, чтобы обеспечить согласованность и систематические действия во время этих детализаций.

  • Детализация реагирования на инциденты: регулярно тестируют планы реагирования на инциденты с помощью реалистичных детализаций, которые имитируют различные сценарии угроз. Эти детализации должны включать всех соответствующих заинтересованных лиц, включая команду Центра управления безопасностью (SOC), координаторов реагирования на инциденты, руководителя управления, контроллера инцидентов, руководителя исследования, руководителя инфраструктуры и группы управления облаком, чтобы обеспечить полную готовность по всей организации. Включите элементы триад и принципов нулевого доверия ЦРУ в эти детализации, такие как тестирование эффективности контроля доступа (конфиденциальности), реализация проверок целостности критически важных данных и реализация процедур для поддержания доступности служб во время инцидента. Подчеркивайте эффективную координацию, обеспечивая четкое взаимодействие и совместную работу между командами с помощью предварительнопланированных ответов, таких как предопределенные роли и обязанности, а также быстрое сдерживание путем быстрой изоляции затронутых систем и устранения угроз. Действия по документу, принятые для предоставления четкой записи для проверки после инцидента и непрерывного улучшения.

Стратегии непрерывного улучшения конфиденциальности и целостности

Непрерывное улучшение является важным для поддержания и повышения конфиденциальности и целостности в корпоративных облачных средах. Документирование результатов управления конфигурацией и аудита и проверок имеет решающее значение. Эта документация содержит историческую запись, которую можно проанализировать для выявления тенденций, повторяющихся проблем и областей для улучшения.

  • Стратегии конфиденциальности:

    • Узнайте из прошлого. Реализация уроков, извлеченных из прошлых проверок, является ключевым принципом непрерывного улучшения. Анализируя результаты предыдущих аудитов и проверок, организации могут выявлять слабые места и реализовывать корректирующие действия, чтобы предотвратить аналогичные проблемы в будущем. Этот упреждающий подход гарантирует, что организация постоянно развивается и повышает уровень безопасности.

    • Используйте данные в режиме реального времени. Мониторинг в режиме реального времени играет важную роль в непрерывном улучшении. Используя данные в режиме реального времени, организации могут быстро выявлять и реагировать на потенциальные угрозы, что гарантирует, что меры безопасности всегда актуальны и эффективны. Этот динамический подход помогает организациям избегать повторяющихся прошлых ошибок и гарантирует, что организации остаются устойчивыми к возникающим угрозам.

    • Обучение конфиденциальности. В рамках общей стратегии обучения убедитесь, что сотрудники обучены политике и процедурам конфиденциальности. Это обучение должно быть обязательным для новых сотрудников и должно регулярно повторяться для всех сотрудников. Для сотрудников группы безопасности она должна включать более глубокую подготовку, которая относится к их ролям. Сведения о важности реализации шифрования и строгих элементов управления доступом для защиты конфиденциальной информации от несанкционированного доступа. Учебные курсы также должны охватывать рекомендации в области технологий шифрования данных и средств управления доступом, чтобы обеспечить доступ только авторизованных сотрудников к конфиденциальным данным.

  • Стратегии целостности:

    • Регулярно проверяйте данные. Регулярно выполняйте аудит данных вручную, чтобы убедиться, что средства управления данными и мониторинга выполняются должным образом. Ищите возможности для улучшения.

      • Гигиена данных. Изучить хорошие привычки гигиены данных, как показано ниже.

        • Аудит данных вручную для обеспечения качества, точности и согласованности. Исправьте ошибки при обнаружении.

        • Используйте такие стратегии, как нормализация, чтобы уменьшить несоответствия и избыточность.

        • Архивируйте исторические данные в холодном или автономном хранилище, если оно больше не требуется в рабочей среде. Очистка данных, которые не нужно архивировать.

        • Регулярно просматривайте конфигурации шифрования, чтобы убедиться, что все конфиденциальные данные шифруются неактивных и передаваемых данных. Регулярно просматривайте отраслевые стандарты шифрования и убедитесь, что ваши системы соответствуют этим стандартам.

      • Резервное копирование. Регулярно просматривайте конфигурации резервного копирования, чтобы обеспечить резервное копирование всех хранилищ данных, содержащих конфиденциальные данные или другие критически важные данные. Выполните тесты восстановления, чтобы убедиться, что данные резервного копирования действительны. Регулярно тестирует восстановление, чтобы обеспечить соответствие систем целевым целям времени восстановления вашей организации (RTO) и целевой точке восстановления (RPO).

    • Регулярно просматривайте доступ к системам и данным. Проверки разрешений на доступ к системам и хранилищам данных должны выполняться регулярно, чтобы гарантировать отсутствие пробелов в элементах управления доступом и политиках.

    • Обучение целостности. В рамках общей стратегии обучения убедитесь, что сотрудники обучены политикам и процедурам целостности данных и системы. Это обучение должно быть обязательным для новых сотрудников и регулярно повторяться для всех сотрудников. Для сотрудников группы безопасности предоставьте более глубокое обучение, относящееся к их ролям. Обучение использованию процессов DevOps для инфраструктуры в качестве кода (IaC) для обеспечения точности и надежности данных. Методы DevOps, такие как управление версиями, непрерывная интеграция и автоматизированное тестирование, помогают отслеживать, проверять и проверять изменения инфраструктуры облачной среды перед развертыванием. Рекомендации DevOps особенно важны для обслуживания целевых зон, так как эти методики обеспечивают согласованность и целостность в конфигурации, предоставляя систематический способ обработки изменений инфраструктуры.

Следующий шаг

Ознакомьтесь с платформой внедрения нулевого доверия, чтобы узнать об интеграции подходов нулевого доверия на протяжении всего процесса внедрения облака.

Ознакомьтесь со статьей "Хорошо разработанная платформа безопасности", чтобы получить рекомендации по безопасности, ориентированные на рабочую нагрузку.