Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья помогает командам по безопасности и технологиям устанавливать и модернизировать дисциплину "Безопасность инфраструктуры" в компании. Эта дисциплина посвящена защите базовых систем и платформ, которые обеспечивают безопасность систем и данных в организации.
Дисциплины безопасности — это группировки связанных работ по обеспечению безопасности, которые помогают организациям последовательно предоставлять результаты безопасности во всем технологическом активе. В модели внедрения безопасности дисциплины помогают обеспечить мост между бизнес-сценариями и технической реализацией, гарантируя, что инвестиции в безопасность преобразуются в реальные измеримые результаты в рамках модели внедрения безопасности.
Почему эта дисциплина?
Дисциплина "Безопасность инфраструктуры" помогает организациям снизить риск от крупномасштабных компрометации путем предотвращения и ограничения ущерба центрам обработки данных, серверам, контейнерам, сетям, хранилищу, облачным службам и другим ресурсам, которые хранят конфиденциальные данные и рабочие нагрузки.
Это ключевой стратегический приоритет, который часто предназначен для субъектов угроз, так как компромисс позволяет им одновременно получать доступ ко многим системам. Современный, дисциплинированный подход к обеспечению безопасности инфраструктуры ограничивает радиус поражения, повышает устойчивость и обеспечивает безопасную работу в крупном масштабе.
Инфраструктура лежит в основе каждого результата безопасности. Если облако, контейнеры, виртуализация или другие платформы инфраструктуры скомпрометируются, злоумышленники могут быстро получать доступ к рабочим нагрузкам, данным и удостоверениям в организации.
Без эффективной инфраструктуры и сетевой безопасности организации могут столкнуться:
- Атаки программ-вымогателей и вымогательства
- Крупномасштабные нарушения данных
- Несоответствие нормативным требованиям
- Операционные сбои и нарушение работы служб
Эти последствия напрямую приводят к финансовым потерям, репутационному ущербу и ущербу клиентам и критически важным службам. Поэтому безопасность инфраструктуры является стратегическим приоритетом, а не только технической проблемой.
Миссия и результаты
Задача дисциплины "Безопасность инфраструктуры" заключается в защите базовых систем, поддерживающих рабочие нагрузки и данные в локальных, гибридных и многооблачных средах. Результаты миссии включают:
- Уменьшение радиуса взрыва от компрометации инфраструктуры
- Согласованные элементы управления безопасностью в средах
- Повышена устойчивость к программам-вымогателям и перебоям в работе служб
- Более надежная защита для конфиденциальных рабочих нагрузок и данных
- Выравнивание безопасности инфраструктуры с бизнес-рисками
Безопасность инфраструктуры снижает риск за счет предотвращения, обнаружения и ограничения ущерба центрам обработки данных, серверам, контейнерам, сетям, хранилищу и облачным службам на протяжении всего жизненного цикла.
Как применить эту дисциплину
Чтобы эффективно применять дисциплину "Инфраструктура и сетевая безопасность", сосредоточьтесь на создании согласованного подхода к защите платформ и подключений, поддерживающих вашу организацию:
-
Определение стратегии безопасности инфраструктуры, согласованной с бизнес-рисками
Создайте четкий подход к защите платформ, рабочих нагрузок и сетевых сред таким образом, чтобы защитить критически важные системы и снизить наиболее значительные риски.
-
Обеспечение согласованной защиты в гибридных и многооблачных средах
Применение единого подхода к защите инфраструктуры в локальных, облачных и пограничных средах для снижения пробелов и несоответствий. -
Создание стандартных конфигураций и методик безопасности
Предоставьте четкие рекомендации, чтобы обеспечить согласованность реализации инфраструктуры и сетевых элементов управления в средах и рабочих нагрузках. -
Согласуйте безопасность инфраструктуры с критически важными для бизнеса службами и сценариями
Приоритеты защиты систем и служб, поддерживающих критически важные бизнес-операции и ключевые сценарии, такие как безопасная удаленная работа и защита критически важных ресурсов. -
Непрерывно отслеживайте и повышайте уровень безопасности инфраструктуры
Используйте аналитические сведения об уязвимостях, неправильной настройке и операционных сигналах для укрепления защиты и снижения риска с течением времени.
Управление изменением
Стратегия технологии безопасности инфраструктуры определяет, как организация применяет современные инструменты и архитектуры для защиты своих базовых систем, где находятся критически важные данные.
- Стратегия ориентирована на реализацию принципов "Никому не доверяй", расширенной защиты от угроз, автоматического исправления и непрерывного мониторинга для обеспечения конфиденциальности, целостности и доступности данных в гибридных средах.
- Стратегия сопоставляет инвестиции в технологии с целями снижения риска, обеспечивая безопасное подключение, устойчивость к кибератакам и соответствие нормативным стандартам.
- Без четкой стратегии организации сталкиваются с фрагментированных средств контроля безопасности, повышенными уязвимостями и более высокими рисками нарушений данных, сбоями служб и нормативными наказаниями.
Модернизация этой дисциплины сосредоточена на:
- Непрерывное улучшение безопасности инфраструктуры на протяжении всего жизненного цикла управления, идентификации, защиты, обнаружения, реагирования и восстановления.
- Реализация таких элементов управления безопасностью, как архитектура "Никому не доверяй", автоматическое исправление и непрерывный мониторинг для повышения видимости и устранения изменяющихся требований к угрозам и соответствию требованиям.
Эти усилия обеспечивают конфиденциальность, целостность и доступность данных путем сокращения поверхностей атак, предотвращения несанкционированного доступа и обеспечения устойчивости к нарушениям.
Инфраструктура технологий является очень сложной, имеет множество движущихся частей, постоянно развивается и должен оставаться в безопасности от постоянных и развивающихся угроз. Это означает, что эффективная безопасность инфраструктуры должна быть следующей:
- Полный набор элементов управления должен решать различные технические элементы инфраструктуры, включая сети, конечные точки (серверы, контейнеры и многое другое), данные, приложения и многое другое, чтобы избежать предоставления субъектам угроз незащищенного пути доступа, который они могут использовать. Для этого требуется использование сочетания хорошо известных методов безопасности и интеграции расширенной автоматизации и технологий по мере его доступности.
- Последовательные и строгие средства управления безопасностью должны применяться последовательно и строго во всех экземплярах каждой технологии, чтобы избежать предоставления субъектам угроз возможности использовать уязвимости в пропущенных или неокрытых ресурсах.
- Непрерывно улучшено — как сама инфраструктура, так и субъекты угроз постоянно развиваются, поэтому все аспекты безопасности должны постоянно развиваться, включая модели угроз, архитектуры безопасности и элементы управления, как безопасность интегрирована в управление инфраструктурой и автоматизацию, и многое другое.
Управление изменениями имеет решающее значение. Операторы инфраструктуры должны быть вовлечены с самого начала и на постоянной основе — меры безопасности, которые игнорируют реальные условия эксплуатации, не работают или их обходят.
Роли по дисциплинам и соавторы
Дисциплина "Безопасность инфраструктуры" обычно требует тесного взаимодействия между техническими и группами безопасности. Эти роли должны:
- Совместная работа, чтобы обеспечить внедрение элементов управления безопасностью на уровнях инфраструктуры для обеспечения конфиденциальности, целостности и доступности данных.
- Отвечают за планирование, проектирование и эксплуатацию безопасных базовых систем (сетей, вычислений, хранилищ и облачных платформ), где находятся критически важные данные.
В крупных организациях выделенные специалисты обычно имеют обязанности по обеспечению безопасности инфраструктуры. В небольших организациях роли могут сочетаться с другими техническими ролями.
Основные роли:
- Security Architect — разрабатывает безопасные архитектуры для локальной и облачной инфраструктуры, применяя принципы "Никому не доверяй" и интегрируя безопасность удостоверений, сети и платформы.
- Инженерия инфраструктуры и операции — реализует и управляет безопасными конфигурациями, исправлениями, мониторингом и соответствием для серверов, сетей и облачных рабочих нагрузок. Сохраняйте безопасные конфигурации и применяйте соответствие между компонентами инфраструктуры.
- Сетевой инженер — основное внимание уделяется безопасному подключению, сегментации и защите передаваемых данных в гибридных средах.
К ключевым внутренним участникам совместной работы относятся:
- Архитекторы корпоративных и решений — обеспечение интеграции требований безопасности в проекты инфраструктуры и инициативы модернизации.
- Стратегия безопасности, интеграция и управление — обеспечивает управление и надзор за средствами управления безопасностью, выравнивание безопасности инфраструктуры с управлением рисками организации. Помогает определять приоритеты проектов и уязвимостей на основе риска и влияния организации.
- Разработчики и команды приложений — сотрудничают, чтобы обеспечить поддержку инфраструктурой безопасного развертывания приложений и защиты данных.
- CISO и руководство службы безопасности — определение стратегических приоритетов, допустимого уровня риска и целей соответствия требованиям в области безопасности инфраструктуры.
Архитекторы инфраструктуры должны понять, как безопасность удостоверений, сети и платформы пересекаются для эффективной защиты рабочих нагрузок.
Выравнивание с другими дисциплинами
Инфраструктура и сетевая безопасность работают совместно с другими дисциплинами SAF:
- Доступ и удостоверения — обеспечивает привилегированный доступ к инфраструктуре и доступ к службе
- Операции безопасности (SecOps) — обнаружение и реагирование на атаки на основе инфраструктуры
- Безопасность данных — защищает конфиденциальные данные, размещенные и обработанные в инфраструктуре
- Архитектура безопасности и управление. Выравнивание элементов управления с приоритетами риска и бизнеса
Такое согласование гарантирует, что безопасность инфраструктуры способствует достижению сквозных результатов в области безопасности, а не функционирует как изолированный компонент.
Соответствие технологическим направлениям
Основы безопасности инфраструктуры и технологий
Для выполнения стратегии безопасности инфраструктуры требуются средства управления безопасностью в нескольких технологических принципах:
Согласование с технологическими столпами включает в себя:
-
Удостоверения: элементы управления удостоверениями формируют основу всех элементов управления доступом.
- Так же, как вы не можете сформировать предложение без субъекта и объекта, вы не можете установить надежные политики доступа, которые определяют, кто может получить доступ, если у вас нет учетных записей и удостоверений, назначенных сотрудникам, партнерам, клиентам, агентам ИИ, компьютерам, приложениям, микрослужбам и т. д.
- Злоумышленники регулярно пытаются компрометировать учетные записи, учетные данные, токены и другие артефакты идентификации, чтобы получить доступ к бизнес-ресурсам организации (часто в первую очередь нацеливаясь на привилегированные учетные записи, такие как учетные записи ИТ-администраторов, чтобы получить доступ ко многим или ко всем цифровым ресурсам организации).
- Конечные точки: гарантии контроля доступа зависят от безопасности конечных точек, чтобы быть эффективным. Злоумышленники, получившие контроль над конечной точкой, могут выдавать себя за пользователей учетных записей, выполняющих вход на этой конечной точке, а также красть учетные данные, токены и другие артефакты идентификации для последующих атак. Для удаления устаревших протоколов проверки подлинности и криптографии часто требуется обновление и перенастройка конечных точек.
- Инфраструктура: инфраструктура организации включает системы идентификации (например, контроллеры домена Active Directory, серверы LDAP, серверы федерации и другие), поэтому компрометация любого из этих ресурсов может привести к компрометации многих или всех учетных записей и цифровых удостоверений в организации. Кроме того, ИТ-администраторы должны следовать рекомендациям по идентификации и доступу к привилегированным учетным записям, используемым для управления ресурсами инфраструктуры (включая инфраструктуру как код (IAC) и другую автоматизацию. Для удаления устаревших протоколов проверки подлинности и криптографии часто требуется обновление и перенастройка инфраструктуры.
- Приложения: приложения являются ключевым хранилищем ценности для организации и обычно используются в качестве точек входа субъектами угроз для получения доступа к другим ресурсам. Все приложения должны соответствовать рекомендациям по обеспечению безопасности доступа и идентификационных данных, включая коммерческие SaaS-решения и мобильные приложения, приложения, разработанные на заказ, процессы CI/CD для разработки и многое другое.
- Данные: данные являются ключевым активом, представляющим ценность для организации, и часто становятся целью злоумышленников для кражи интеллектуальной собственности, шифрования с целью вымогательства или проведения атак с использованием программ-вымогателей, планирования будущих атак и других целей. Рекомендации по обеспечению безопасности должны соблюдаться строго, так как доступ и идентификация являются основным средством защиты данных.
- Сеть. Сетевые элементы управления являются основными для управления доступом. Хотя сетевые технологии долгое время были основным средством контроля доступа, а соответствующие компетенции — ключевыми, практическая ценность и важность сетевых средств контроля снизились, поскольку активы всё чаще размещаются у облачных провайдеров, на мобильных устройствах и в других средах вне сети организации. Средства контроля доступа и управления идентификацией больше не могут в основном полагаться только на сетевые меры контроля, но должны сохранять базовые меры защиты для блокирования давно известных атак и интегрировать механизмы применения сетевых политик в современные средства контроля, такие как Security Service Edge (SSE).
- ИИ: приложения и агенты ИИ должны иметь идентификаторы, чтобы контролировать, к чему у них есть доступ. Удостоверения должны быть тщательно разработаны для применения принципа наименьших привилегий и отслеживания аномальных действий. ИИ также увеличивает масштаб и качество всех атак, ещё больше усиливая необходимость соблюдать передовые практики безопасности, такие как фишингоустойчивая аутентификация и другие меры. Управление доступом и идентификацией также может использовать ИИ для автоматического обнаружения ошибок конфигурации политик и других проблем.
Ресурсы Майкрософт
Семинар
Microsoft Unified предлагает семинары под руководством экспертов, которые помогают организациям модернизировать стратегию, архитектуру и технологии инфраструктурной безопасности. К этим семинарам относятся следующие:
- Семинары по архитектуре и стратегии — Платформа внедрения безопасности (SAF) — сеанс проектирования архитектуры: семинар по обеспечению безопасности инфраструктуры и развития сосредоточен на ускорении модернизации безопасности разработки и интеграции с безопасностью инфраструктуры. Этот семинар доступен в формате обзора и обсуждения продолжительностью менее четырёх часов, посвящённых ключевым выводам и лучшим практикам.
- Семинары по внедрению технологий — Microsoft Unified предлагает семинары, которые помогают организациям изучать, планировать, внедрять и оптимизировать использование инфраструктурных и сетевых технологий Microsoft, включая Microsoft Entra и Microsoft Intune.
Технология
Microsoft предлагает технологические решения, которые обеспечивают и ускоряют модернизацию безопасности инфраструктуры.
| Technology | Сведения |
|---|---|
| Microsoft Defender для облака | Предоставляет расширенные возможности обнаружения и реагирования (XDR), а также управления состоянием безопасности для мониторинга и защиты вашей гибридной ИТ-инфраструктуры в Azure, AWS, GCP и локальной среде, включая виртуальные машины, сети, Kubernetes/контейнеры, SQL, хранилища, IoT/OT и многое другое. Ключевые возможности в Microsoft Defender для облака включают: - Defender для серверов — предоставляет рекомендации по улучшению и исправлению состояния безопасности, защите компьютеров от угроз и атак в режиме реального времени с помощью Defender для интеграции конечных точек и предлагает бессагентное сканирование уязвимостей. - Defender для контейнеров — облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеров Kubernetes, узлов, рабочих нагрузок, реестров, образов и многое другое) и приложений в многооблачных и локальных средах. - Защитник для SQL — помогает выявлять и снижать риски, связанные с потенциальными уязвимостями баз данных, с помощью оценки уязвимостей и оповещает об аномальной активности, которая может указывать на угрозы для ваших баз данных. - Defender для хранилища — обнаруживает потенциальные угрозы для учетных записей хранения с помощью сканирования вредоносных программ и обнаружения угроз конфиденциальных данных в Хранилище BLOB-объектов Azure, Файлы Azure и Azure Data Lake Storage. - Defender для баз данных — помогает защитить активы баз данных от угроз и уязвимостей с помощью управления защитой от угроз и безопасности для Azure SQL, баз данных с открытым кодом и Cosmos DB. - Управление безопасностью ИИ — обнаруживает созданные приложения ИИ, определяет уязвимости и снижает риски с помощью встроенных рекомендаций и анализа путей атаки для рабочих нагрузок ИИ. |
| Microsoft Sentinel | Облачное решение SIEM + SOAR + Озеро данных, включающее обнаружение и реагирование на компоненты инфраструктуры. |
| Azure Arc | Обеспечивает единое управление и администрирование в локальных центрах обработки данных, нескольких облаках и на периферии за счет представления существующих ресурсов, не относящихся к Azure, и (или) локальных ресурсов в Azure Resource Manager. |
| Microsoft Entra | Поддерживает надежные идентификационные данные для разработчиков и приложения, а также позволяет избежать создания собственных механизмов идентификации и криптографии |
| Microsoft Intune | Поддерживается с помощью облачного решения для управления конечными точками для защиты рабочих станций разработчиков с помощью управления мобильными устройствами (MDM) и управления мобильными приложениями (MAM) |
| Microsoft Defender XDR | Поддерживает возможности обнаружения и реагирования на рабочие станции разработчиков, системы CI/CD, серверы, контейнеры и многое другое, необходимые для безопасной среды разработки. |
| Microsoft Azure | Поддерживает возможности безопасности в облачной инфраструктуре, которая должна использоваться для разработки программного обеспечения и реализации, включая |
Дальнейшие действия
Узнайте, как Безопасность OT/IoT интегрируется в дисциплину "Инфраструктура и сеть".