Поделиться через

Интеграция безопасности в стратегию внедрения облака

  • Статья

Перемещение организации в облако значительно усложняет безопасность. Чтобы быть успешным в облаке, ваша стратегия безопасности должна соответствовать современным задачам, которые присущи облачным вычислениям. При внедрении и эксплуатации облачного имущества безопасность становится необходимым фактором во всех аспектах организации. Это не отдельная функция, которая во второй раз применяется к определенным аспектам, как это может быть распространено для организаций, работающих на локальных технологических платформах. Определив стратегию внедрения облака, рассмотрите рекомендации, приведенные в этой статье, чтобы обеспечить безопасность является неотъемлемой частью стратегии и будет встроена в план внедрения облака при переходе вперед.

Эта статья является вспомогательным руководством по методологии стратегии . В нем описываются области оптимизации безопасности, которые следует учитывать при переходе на этот этап в пути.

Модернизация системы безопасности

Стратегия модернизации системы безопасности не только включает внедрение новых технологий и новых операционных методик. Обычно это также включает смену мышления по всей организации. Новые команды и роли могут быть заполнены, а существующие команды и роли могут быть вовлечены в безопасность таким образом, чтобы они были непривычены. Эти изменения, которые иногда могут быть памятниками для организаций, могут быть источником стресса и внутренних конфликтов, поэтому важно продвигать здоровые, честные и безвинные коммуникации по всей организации на протяжении всего процесса внедрения.

Ознакомьтесь с руководством по определению стратегии безопасности, чтобы ознакомиться с общими сведениями об этих рекомендациях.

Внедрение нулевого доверия в качестве стратегии

Внедрение нулевого доверия в качестве стратегии помогает начать свое облачное путешествие с современным подходом к безопасности. Подход "Нулевое доверие" основан на трех принципах:

  • Выполнение проверки явным образом. Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных.

  • Принцип минимальных привилегий. Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных.

  • Предполагайте наличие нарушения защиты. Свести к минимуму радиус взрыва и доступ к сегменту. Проверьте сквозное шифрование и используйте аналитику для получения сведений о действиях, связанных с системами, обнаружением угроз и улучшением защиты.

При применении этих принципов в процессе внедрения облака преобразование в современную безопасность может быть более гладким для всей организации.

Корпорация Майкрософт предоставляет схему модернизации безопасности на основе нулевого доверия, которую организации могут использовать в качестве руководства. Ознакомьтесь с этапом определения стратегии для рекомендаций по стратегии.

Определение стратегии подготовки и реагирования на инциденты

Создайте четкое видение и четко определенные конкретные цели для готовности к облачной безопасности. Сосредоточьтесь на создании емкости безопасности и разработке навыков безопасности. Выравните стратегию готовности и реагирования на инциденты с общей бизнес-стратегией, чтобы гарантировать, что бизнес-стратегия не препятствует безопасности. Изучите бизнес-требования к надежности и производительности, чтобы обеспечить соответствие стратегии этим требованиям при создании необходимой технологической основы для подготовки и реагирования на инциденты.

Определение стратегии конфиденциальности

При определении стратегии внедрения конфиденциальности в корпоративной облачной среде необходимо учитывать несколько ключевых моментов:

  • Приоритет конфиденциальности и защиты данных. Определите четкие бизнес-цели, которые подчеркивают важность конфиденциальности и защиты данных. Эти цели включают соответствие соответствующим нормативным требованиям, таким как GDPR, HIPAA и отраслевые стандарты.

  • Планирование стратегии управления рисками. Выявление и оценка потенциальных рисков конфиденциальности данных и разработка стратегий для устранения этих рисков.

  • Разработка стратегии защиты от потери данных (DLP). Защита от потери данных — это набор средств и процессов, которые помогают гарантировать, что конфиденциальные данные не теряются, не используются или получают доступ к неавторизованным пользователям. С точки зрения принципа конфиденциальности он включает определение четких целей защиты данных и создание платформы для реализации надежных средств шифрования и контроля доступа. На этапе стратегии защита от потери данных интегрирована в общее видение безопасности, чтобы обеспечить защиту конфиденциальных данных от несанкционированного доступа.

Определение стратегии целостности

Для поддержания целостности данных и системы требуются многие из тех же стратегий, что и предлагаемые для конфиденциальности, такие как хорошо разработанные средства управления защитой данных и управление рисками. Эти стратегии следует дополнить дополнительными рекомендациями по обеспечению целостности данных и системы:

  • Приоритеты целостности данных и системы. Поддержание целостности данных и системы должно быть ключевым элементом в бизнес-требованиях и целях. В этом итоге приоритеты элементов управления безопасностью и операционных методик, которые поддерживают высокий уровень целостности. В частности, используйте автоматизацию с помощью инструментов для максимальной степени управления целостностью данных и системы, как это практически. Автоматизация может использоваться для многих функций, связанных с целостностью, например:

    • Управление политиками.

    • Классификация и управление данными.

    • Развертывания инфраструктуры и управление обновлениями.

Определение стратегии доступности

В том числе рекомендации по обеспечению доступности в стратегии внедрения облачных решений помогают обеспечить готовность к реализации надежного и устойчивого облачного актива, и что вы можете быть уверены в соответствии с вашими бизнес-требованиями, так как они связаны с доступностью.

Требования к доступности и цели охватывают весь облачный объект, включая все бизнес-функции и рабочие нагрузки и базовую облачную платформу. Убедитесь, что при разработке стратегии внедрения облака вы начинаете с высокоуровневых целей для определения важности различных аспектов облачных активов и начинаете обсуждение среди заинтересованных лиц о том, какой уровень доступности должен быть, при этом балансируя затраты и требования к производительности и цели. Этот подход помогает структурировать планы внедрения облака таким образом, чтобы вы могли работать над более определенными целевыми объектами по мере выполнения следующих этапов в пути внедрения облака, заложив основу для соответствующих проектов и стандартов.

Определение стратегии поддержания состояния безопасности

Путь к современному надежному положению безопасности не заканчивается начальной реализацией. Чтобы обеспечить соответствие новым угрозам, необходимо постоянно проверять и уточнять методики безопасности, сохраняя строгое соблюдение стандартов. Обеспечение безопасности — это постоянные усилия по выполнению повседневных операций, которые соответствуют ожиданиям, которые ваша организация установила для себя при подготовке к новым угрозам и технологическим изменениям. Внедрение этого принципа кодифицирует ваш непрерывный подход к улучшению. Он предоставляет группам безопасности руководящие стандарты для поддержания практики обеспечения безопасности и дает заинтересованным лицам уверенность в том, что безопасность остается краеугольным камнем пути внедрения облака.

При разработке стратегии поддержания основное внимание уделяется изучению того, как ваша общая стратегия безопасности выполняется в реальном мире и на применении уроков для непрерывного развития. Стратегия поддержания должна включать долгосрочные бизнес-цели, чтобы обеспечить соответствие долгосрочных целей безопасности. При учете этих целей стратегия поддержания определяет, как должна развиваться безопасность, чтобы оставаться в соответствии.

Пример стратегии

Ваша организация должна разработать стратегию внедрения облака таким образом, чтобы лучше всего работать в организации. В следующем примере показано, как включить рекомендации, предлагаемые в этой статье, в артефакт повествования, например документ Word.

Цели

Мотивация перехода в облако — модернизировать рабочую нагрузку бизнес-бизнес (LOB) и воспользоваться преимуществами глобальной облачной инфраструктуры Майкрософт для эффективного масштабирования по всему миру по мере роста клиентской базы.

Рекомендации по бизнесу:

  • Совет и старшие руководители покупки. Мы должны представить сводку по нашему плану внедрения облака, с финансовыми прогнозами, совету для утверждения. Сводка по исполнительной власти должна быть совместно разработана старшим руководством, чтобы убедиться, что команда руководства согласуется с планом высокого уровня.

Рекомендации по безопасности:

  • Техническая готовность. Нашим ит-специалистам и командам по безопасности потребуется обновление, чтобы успешно определить наш план миграции. Возможно, нам потребуется добавить новые команды и роли при подготовке к переходу в облако.

Бизнес-результат: глобальный охват

В настоящее время мы работаем только в Северная Америка. Наш пятилетний план заключается в расширении в Европе и Азии. Использование глобального облака Microsoft Azure позволит нам создать необходимую инфраструктуру для эффективной доставки бизнес-приложения в Европе и Азии.

  • Владелец бизнеса: COO

  • Технический владелец: CTO

  • Владелец безопасности: CISO

Рекомендации по бизнесу:

  • Прогнозирование бюджета. В рамках разработки плана миграции в облако, ИТ,безопасности и продаж должны совместно разрабатывать модели прогнозирования бюджета с отделом финансов, чтобы заинтересованные лица понимали потенциальные затраты на расширение в Европе и Азии.

Рекомендации по безопасности:

  • Повышение уровня атак. Расширение по всему миру значительно увеличит наши поверхности атаки путем размещения общедоступных систем в нескольких регионах. Нам необходимо быстро модернизировать наше состояние безопасности. Мы будем следовать рекомендациям по нулю доверия, чтобы убедиться, что мы следуйте рекомендациям.

  • Облачные угрозы. Наш переход в облако приведет к новым угрозам, которым мы не подвергались. Эти угрозы не ограничиваются вредоносными атаками на наши системы. Поставщик облачных служб также является основной целью для угроз, и инциденты, влияющие на поставщик, могут иметь подчиненные последствия для наших систем или бизнеса. Мы должны пересмотреть наши процессы подготовки и реагирования на инциденты и включить необходимые улучшения в рамках нашего плана.

Бизнес-результат: инновации данных

По мере прогресса глобального расширения наше пространство данных будет увеличиваться экспоненциально. Обработка данных будет неуправляемой, если мы не применяем технологии облачного масштабирования и аналитики.

  • Владелец бизнеса: генеральный директор

  • Технический владелец: CTO

  • Владелец безопасности: CISO

Рекомендации по бизнесу:

  • Требования к локальному соответствию. Мы должны работать с экспертами по местным нормативным требованиям, чтобы обеспечить готовность бизнеса к поддержке технических групп с обеспечением соответствия требованиям. Это может означать настройку бизнес-сущностей в определенных географических регионах или использование национальных облаков в таких странах, как Германия и Китай.

Рекомендации по безопасности:

  • Конфиденциальность и целостность данных в масштабе. Мы должны проверить и улучшить наши стратегии конфиденциальности и целостности , чтобы гарантировать, что при внедрении новых технологий и переходе в новые географические области мы не ставим данные или данные наших клиентов под угрозу повреждения, нарушения или потери, и что мы соблюдаем нормативные платформы по умолчанию.

  • Стратегия нулевого доверия к доступу и авторизации. Мы должны принять подход "Нулевое доверие", чтобы обеспечить соответствие нашей стратегии доступа и авторизации современным рекомендациям и управлять ими по мере глобального расширения.

Бизнес-результат: производительность и надежность

По мере расширения по всему миру наша бизнес-рабочая нагрузка должна поддерживать высокую производительность и доступность без простоя, которую используют наши клиенты.

  • Владелец бизнеса: COO

  • Технический владелец: CTO

  • Владелец безопасности: CISO

Рекомендации по бизнесу:

  • Поддержание производительности и надежности во время миграции. У наших клиентов есть высокие ожидания для нашего бизнес-приложения. Мы не можем позволить себе понести репутационный и финансовый ущерб, если приложение испытывает простой или длительный деградированный сервис в ходе миграции в облако. Привлекая нашу службу поддержки Майкрософт, чтобы помочь разработать план миграции и принять участие в миграции, свести к минимуму риски простоя или снижения производительности службы.

Рекомендации по безопасности:

  • Мы должны разработать шаблоны безопасного проектирования, чтобы обеспечить эффективное и безопасное развертывание идентичных пакетов инфраструктуры в каждом новом регионе, в который мы развертываемся. Наша стратегия доступности должна учитывать компромиссы, которые мы должны сделать, чтобы гарантировать, что безопасность не скомпрометирована нашими проектами производительности и что наши целевые показатели производительности не влияют на наши меры безопасности.

    • Мы должны включать процессы и механизмы целостности системы в наши шаблоны проектирования, чтобы обеспечить защиту наших систем по умолчанию при развертывании рабочей нагрузки в новых географических регионах.

Следующий шаг

Планирование безопасного внедрения облака