Поделиться через


Обзор безопасности

Методология Cloud Adoption Framework для Azure Secure обеспечивает структурированный подход к защите облачных ресурсов Azure.

Руководство в этой серии статей содержит рекомендации, относящиеся ко всем методологиям в Cloud Adoption Framework, так как безопасность должна быть неотъемлемой частью каждого этапа внедрения облака. Таким образом, вы можете найти статьи, соответствующие каждой методологии, которые предоставляют рекомендации по обеспечению безопасности, которые по мере выполнения каждого этапа внедрения облака.

Все рекомендации, приведенные в этом руководстве, соответствуют принципам "нулевого доверия", предполагающим компрометацию (или предполагать нарушение), наименьшую привилегию и явную проверку доверия, которая должна руководствоваться вашей стратегией безопасности, архитектурой и реализацией.

Комплексное руководство по безопасности

Безопасность — это сложная и сложная дисциплина, которую необходимо учитывать практически во всех аспектах облачных и технологических сред. Рассмотрим следующие ключевые моменты:

  • Что-либо является потенциальным целевым объектом или вектором атаки: в современном мире злоумышленники могут использовать любые слабые места в людях, процессах и технологиях организации для достижения своих вредоносных целей.

  • Безопасность является командным спортом: для защиты от этих атак координируемый подход необходим для бизнеса, технологий и групп безопасности. Каждая команда должна эффективно участвовать в усилиях по обеспечению безопасности и эффективно сотрудничать. Сведения о различных ролях, необходимых для защиты ресурсов Azure, см. в разделе Teams и роли.

Это руководство Cloud Adoption Framework Secure является одним из компонентов более широкого комплексного набора рекомендаций по безопасности Майкрософт, предназначенных для того, чтобы помочь различным командам понять и выполнить свои обязанности по безопасности. Полный набор содержит следующие рекомендации:

  • Методология Cloud Adoption Framework Secure предоставляет рекомендации по безопасности для команд, которые управляют инфраструктурой технологий, которая поддерживает все операции разработки рабочих нагрузок и операций, размещенных в Azure.

  • Руководство по безопасности Azure Well-Architected Framework предоставляет рекомендации для отдельных владельцев рабочих нагрузок о том, как применять рекомендации по обеспечению безопасности к процессам разработки приложений и DevSecOps и DevSecOps. Корпорация Майкрософт предоставляет рекомендации, которые дополняют эту документацию по применению методов безопасности и элементов управления DevSecOps в жизненном цикле разработки безопасности.

  • Microsoft Cloud Security Benchmark предоставляет рекомендации для заинтересованных лиц, чтобы обеспечить надежную облачную безопасность. Это руководство включает базовые показатели безопасности, описывающие доступные функции безопасности и рекомендуемые оптимальные конфигурации для служб Azure.

  • Руководство по нулевому доверию предоставляет рекомендации для групп безопасности для реализации технических возможностей для поддержки инициативы модернизации нулевого доверия.

Каждая статья охватывает несколько разделов, связанных с согласованной методологией:

  • Модернизация системы безопасности
  • Подготовка и реагирование на инциденты
  • Триад конфиденциальности, целостности и доступности (ЦРУ)
  • Поддержание состояния безопасности

Модернизация системы безопасности

На протяжении всего процесса внедрения облака ищите возможности для повышения общего уровня безопасности путем модернизации. Рекомендации, приведенные в этой методологии, соответствуют платформе внедрения Microsoft Zero Trust. Эта платформа предоставляет подробный пошаговый подход к модернизации системы безопасности. По мере просмотра рекомендаций для каждого этапа методологии внедрения Cloud Adoption Framework используйте рекомендации, предоставленные в рамках внедрения нулевого доверия.

Подготовка и реагирование на инциденты

Подготовка и реагирование на инциденты являются ключевыми элементами общего состояния безопасности. Ваша способность подготовиться к инцидентам и реагировать на них может значительно повлиять на успешное выполнение работы в облаке. Хорошо разработанные механизмы подготовки и операционные методики обеспечивают быстрое обнаружение угроз и помогают свести к минимуму радиус взрыва инцидентов. Такой подход упрощает быстрое восстановление. Аналогичным образом, хорошо структурированные механизмы реагирования и операционные методики обеспечивают эффективную навигацию по действиям восстановления и обеспечивают четкие возможности для непрерывного улучшения всего процесса. Сосредоточив внимание на этих элементах, вы можете улучшить общую стратегию безопасности, которая обеспечивает устойчивость и непрерывность работы в облаке.

ЦРУ Триад

Триад ЦРУ — это фундаментальная модель в информационной безопасности, представляющая три основных принципа. Эти принципы являются конфиденциальностью, целостностью и доступностью.

  • Конфиденциальность гарантирует, что только авторизованные лица могут получить доступ к конфиденциальной информации. Эта политика включает такие меры, как шифрование и управление доступом для защиты данных от несанкционированного доступа.

  • Целостность обеспечивает точность и полноту данных. Этот принцип означает защиту данных от изменений или изменения несанкционированными пользователями, что гарантирует, что информация остается надежной.

  • Доступность гарантирует, что информация и ресурсы доступны авторизованным пользователям при необходимости. Эта задача включает обслуживание систем и сетей для предотвращения простоя и обеспечения непрерывного доступа к данным.

Выполните триад ЦРУ, чтобы гарантировать, что ваша бизнес-технология остается надежной и безопасной. Используйте его для обеспечения надежности и безопасности в операциях с помощью четко определенных, строго следовать и проверенных методик. Некоторые способы, которые могут помочь обеспечить безопасность и надежность:

  • Защита данных: защита конфиденциальных данных от нарушений путем использования цру Triad, который обеспечивает конфиденциальность и соответствие нормативным требованиям.

  • Непрерывность бизнес-процессов. Обеспечение целостности и доступности данных для поддержания бизнес-операций и предотвращения простоя.

  • Доверие клиентов: реализуйте триад ЦРУ для создания доверия с клиентами и заинтересованными лицами, демонстрируя приверженность безопасности данных.

Каждая статья, согласованная с методологией, содержит рекомендации по принципам ЦРУ Triad. Этот подход гарантирует, что вы можете решать вопросы конфиденциальности, целостности и доступности. Это руководство поможет вам тщательно рассмотреть эти аспекты на каждом этапе процесса внедрения облака.

Поддержание состояния безопасности

Непрерывное улучшение имеет решающее значение для поддержания надежной системы безопасности в облаке, так как кибер-угрозы постоянно развиваются и становятся более сложными. Чтобы защитить от этих постоянно изменяющихся рисков, убедитесь в постоянном улучшении. Рекомендации в этих разделах помогут вам настроить организацию для долгосрочного успеха, определив возможности непрерывного улучшения. Сосредоточьтесь на этих стратегиях при создании и развитии облачной среды с течением времени.

Контрольный список облачной безопасности

Используйте контрольный список облачной безопасности, чтобы просмотреть все задачи для каждого шага облачной безопасности. Быстро перейдите к нужному руководству.

  Шаг облачной безопасности Задачи облачной безопасности
Общие сведения о командах безопасности и ролях. Сведения о роли поставщика облачных служб.
Общие сведения о ролях команд инфраструктуры и платформы.
Узнайте о ролях архитектуры безопасности, инженеров, групп управления состоянием.
Общие сведения о ролях команд по операциям безопасности (SecOps и SOC).
Общие сведения о ролях команд по управлению безопасностью, рискам и соответствию требованиям (GRC).
Узнайте о образовании и политике безопасности.
Интегрируйте безопасность в стратегию внедрения облака. Стратегия модернизации системы безопасности.
Стратегия готовности и реагирования на инциденты.
Стратегия конфиденциальности.
Стратегия целостности.
Стратегия доступности.
Стратегия поддержания состояния безопасности
Планирование безопасного внедрения облака. Планирование внедрения целевой зоны.
Планирование модернизации системы безопасности.
Подготовка и планирование реагирования на инциденты.
Планирование конфиденциальности.
Планирование целостности
Планирование доступности
Планирование поддержания состояния безопасности
Подготовьте безопасное облачное пространство. Готов к модернизации состояния безопасности.
Готов к готовности и реагированию на инциденты.
Готов к конфиденциальности.
Готов к целостности.
Готово к доступности
Подготовка к поддержанию состояния безопасности
Безопасное внедрение облака. Внедрение модернизации системы безопасности.
Принятие готовности и реагирования на инциденты.
Принятие конфиденциальности.
Внедрение целостности.
Внедрение доступности.
Внедрение поддержания состояния безопасности
Безопасное управление облачным имуществом. Модернизация системы безопасности.
Подготовка инцидентов и управление реагированием на инциденты
Управление конфиденциальностью.
Управление целостностью.
Управление доступностью.
Поддержание системы управления безопасностью
Безопасное управление облачным имуществом. Модернизация системы безопасности.
Управление готовностью и реагированием на инциденты
Управление конфиденциальностью.
Управление целостностью.
Управление доступностью.
Управление обеспечением безопасности

Следующий шаг