A felhőbevezetés biztonságos végrehajtása
A felhőbeli tulajdon megvalósítása és a számítási feladatok migrálása során elengedhetetlen a robusztus biztonsági mechanizmusok és eljárások kialakítása. Ez a megközelítés biztosítja, hogy a számítási feladatok a kezdetektől biztonságosak legyenek, és megakadályozza a biztonsági rések elhárítását a számítási feladatok éles környezetben való használata után. A biztonság rangsorolása az bevezetési fázisban annak biztosítása érdekében, hogy a számítási feladatok egységesen és az ajánlott eljárásoknak megfelelően legyenek felépítve. A bevált biztonsági eljárások jól megtervezett szabályzatokkal és eljárásokkal felkészítik az informatikai csapatokat a felhőműveletekre.
Akár számítási feladatokat migrál a felhőbe, akár teljesen új felhőtulajdont épít fel, a cikkben található útmutatást alkalmazhatja. Az felhőadaptálási keretrendszer Bevezetés módszertan magában foglalja a migrálási, modernizálási, újítási és áthelyezési forgatókönyveket. Függetlenül attól, hogy milyen utat jár be a felhőbevezetés bevezetési fázisában, fontos figyelembe vennie a jelen cikkben szereplő javaslatokat, amikor létrehozza a felhőtulajdon alapvető elemeit, és számítási feladatokat hoz létre vagy migrál.
Ez a cikk a bevezetési módszertan támogató útmutatója. Ez olyan biztonsági optimalizálási területeket biztosít, amelyeket érdemes figyelembe vennie, amikor végighalad az adott fázison az utazás során.
Biztonsági helyzet modernizálásának bevezetése
Az bevezetési fázis részeként vegye figyelembe az alábbi javaslatokat a biztonsági helyzet modernizálása érdekében:
Biztonsági alapkonfigurációk: Olyan biztonsági alapkonfigurációk meghatározása, amelyek rendelkezésre állási követelményeket tartalmaznak a fejlesztés egyértelmű és robusztus alapjainak létrehozásához. Ha időt szeretne megtakarítani, és csökkenteni szeretné az emberi hibák kockázatát a környezetek elemzésében, használjon egy használaton kívüli biztonsági alapkonfiguráció-elemző eszközt.
Az automatizálás használata: Az automatizálási eszközökkel rutinfeladatokat kezelhet az emberi hibák kockázatának csökkentése és a konzisztencia javítása érdekében. Használja ki a felhőszolgáltatások előnyeit, amelyek automatizálhatják a feladatátvételi és helyreállítási eljárásokat. Az automatizálható feladatok közé tartoznak a következők:
- Infrastruktúra üzembe helyezése és felügyelete
- Szoftverfejlesztési életciklus-tevékenységek
- Tesztelés
- Figyelés és riasztás
- Méretezés
Teljes felügyelet hozzáférési és engedélyezési vezérlők: Erős hozzáférés-vezérlési és identitáskezelési rendszerek implementálása annak biztosítása érdekében, hogy csak a jogosult személyzet férhessen hozzá a kritikus rendszerekhez és adatokhoz. Ez a megközelítés csökkenti a kártékony tevékenységek kockázatát, amelyek megzavarhatják a szolgáltatásokat. Szabványosítsa a szigorúan kikényszerített szerepköralapú hozzáférés-vezérléseket (RBAC-ket), és többtényezős hitelesítést igényel a szolgáltatás rendelkezésre állását megzavaró jogosulatlan hozzáférés megakadályozása érdekében. További információ: Identitás biztonságossá tétele Teljes felügyelet.
Változáskezelési intézményesítés
A hozzáférés-vezérlés sikeres végrehajtásának és intézményesítésének biztosításához elengedhetetlenek a hatékony bevezetési és változáskezelési (ACM) módszerek. Néhány ajánlott eljárás és módszertan:
Prosci ADKAR-modell: Ez a modell öt kulcsfontosságú építőelemre összpontosít a sikeres változáshoz. Ezek az összetevők a tudatosság, a vágy, a tudás, a képesség és a megerősítés. Az egyes elemek kezelése révén a szervezetek gondoskodhatnak arról, hogy az alkalmazottak megértsék a hozzáférés-vezérlés szükségességét, motiválva legyenek a változás támogatására, rendelkezzenek a szükséges ismeretekkel és készségekkel, és folyamatos megerősítést kapjanak a változás fenntartásához.
Kotter 8 lépéses változásmodellje: Ez a modell nyolc lépést vázol fel a vezető változáshoz. Ezek a lépések magukban foglalják a sürgősség érzésének megteremtését, a hatékony koalíció kialakítását, a jövőkép és a stratégia kialakítását, a jövőkép kommunikálását, az alkalmazottak széles körű cselekvésre való felkészítését, a rövid távú nyerések generálását, a nyereség konszolidálását és az új megközelítések a kultúrába való rögzítését. Az alábbi lépések végrehajtásával a szervezetek hatékonyan kezelhetik a hozzáférés-vezérlések bevezetését.
Lewin változáskezelési modellje: Ez a modell három fázisból áll, amelyek a Feloldás, a Módosítás és a Refreeze. A Feloldás szakaszában a szervezetek felkészülnek a változásra a hozzáférés-vezérlés szükségességének azonosításával és a sürgősség érzésének megteremtésével. A Változás szakaszban új folyamatokat és eljárásokat implementálunk. A Refreeze szakaszban az új eljárások szilárdulnak meg és integrálódnak a szervezeti kultúrába.
A Microsoft bevezetési és változáskezelési keretrendszere: Ez a keretrendszer strukturált megközelítést biztosít a bevezetés és a változás bevezetéséhez a sikerfeltételek meghatározásával, az érdekelt felek bevonásával és a szervezet előkészítésével. Ez a keretrendszer a végrehajtás hatékonyságának biztosítása érdekében a sikert is méri. Hangsúlyozza a kommunikáció, a képzés és a támogatás fontosságát annak biztosítása érdekében, hogy a hozzáférés-vezérlést hatékonyan fogadják el és intézményesíthessék.
A szervezetek ezeknek az ACM-módszereknek és ajánlott eljárásoknak a beépítésével biztosíthatják, hogy a hozzáférés-vezérlést az alkalmazottak implementálják és alkalmazzák. Ez a megközelítés biztonságosabb és megfelelőbb vállalati környezetet eredményez.
Az Azure megkönnyítése
Biztonsági alapkonfiguráció létrehozása: A Microsoft biztonságos pontszáma segíthet az alapkonfigurációk kialakításában kézzelfogható fejlesztési javaslatokkal. Ez a Microsoft Defender XDR csomag részeként érhető el, és számos Microsoft- és nem Microsoft-termék biztonságát elemezheti.
Infrastruktúra-üzembe helyezés automatizálása: Az Azure Resource Manager-sablonok (ARM-sablonok) és a Bicep azure-natív eszközök az infrastruktúra kódként (IaC) történő üzembe helyezéséhez deklaratív szintaxis használatával. Az ARM-sablonok JSON-ban vannak megírva, míg a Bicep egy tartományspecifikus nyelv. Könnyedén integrálhatja az Azure Pipelinesba vagy a GitHub Actionsbe a folyamatos integrációt és a folyamatos kézbesítési (CI/CD) folyamatokat.
A Terraform egy másik deklaratív IaC-eszköz, amely teljes mértékben támogatott az Azure-ban. A Terraform használatával üzembe helyezheti és kezelheti az infrastruktúrát, és integrálhatja azt a CI-/CD-folyamatba.
A Felhőhöz készült Microsoft Defender segítségével felderítheti a helytelen konfigurációkat az IaC-ben.
Azure Deployment Environments: Az üzembehelyezési környezetek lehetővé teszik a fejlesztői csapatok számára, hogy projektalapú sablonok használatával gyorsan konzisztens alkalmazásinfrastruktúrát hozzanak létre. Ezek a sablonok minimalizálják a beállítási időt, és maximalizálják a biztonságot, a megfelelőséget és a költséghatékonyságot. Az üzembehelyezési környezet olyan Azure-erőforrások gyűjteménye, amelyek előre meghatározott előfizetésekben vannak üzembe helyezve. A fejlesztési infrastruktúra rendszergazdái kikényszeríthetik a vállalati biztonsági szabályzatokat, és előre definiált IaC-sablonok válogatott készletét biztosíthatják.
A fejlesztési infrastruktúra rendszergazdái katalóguselemekként határozzák meg az üzembehelyezési környezeteket. A katalóguselemek egy GitHub- vagy Azure DevOps-adattárban, úgynevezett katalógusban találhatók. A katalóguselemek egy IaC-sablonból és egy manifest.yml fájlból állnak.
Szkriptelheti az üzembehelyezési környezetek létrehozását, és programozott módon kezelheti a környezeteket. Részletes, számítási feladatokra összpontosító útmutatásért tekintse meg az Azure Well-Architected Framework IaC-megközelítését.
Rutinfeladat-automatizálás:
Azure Functions: Az Azure Functions egy kiszolgáló nélküli eszköz, amellyel automatizálhatja a feladatokat az előnyben részesített fejlesztési nyelv használatával. A Functions eseményvezérelt eseményindítók és kötések átfogó készletét biztosítja, amelyek a függvényeket más szolgáltatásokhoz kötik. Nem kell külön kódot írnia.
Azure Automation: A PowerShell és a Python népszerű programozási nyelvek az üzemeltetési feladatok automatizálásához. Ezekkel a nyelvekkel olyan műveleteket hajthat végre, mint a szolgáltatások újraindítása, a naplók adattárak közötti átvitele és az infrastruktúra skálázása az igények kielégítése érdekében. Ezeket a műveleteket kódban fejezheti ki, és igény szerint futtathatja őket. Ezek a nyelvek nem rendelkeznek központosított felügyeletre, verziókövetésre vagy futtatási előzmények nyomon követésére szolgáló platformmal. A nyelvek nem rendelkeznek natív mechanizmussal az olyan eseményekre való reagáláshoz, mint a figyelési alapú riasztások. Ezeknek a képességeknek a biztosításához egy automatizálási platformra van szüksége. Az Automation egy Azure-beli platformot biztosít a PowerShell- és Python-kód felhőbeli és helyszíni környezetekben való üzemeltetéséhez és futtatásához, beleértve az Azure-t és a nem Azure-beli rendszereket is. A PowerShell- és Python-kódot egy Automation-runbook tárolja. Az Automation használata a következőhöz:
Runbookok aktiválása igény szerint, ütemezés szerint vagy webhookon keresztül.
Futtassa az előzményeket és a naplózást.
Titkos kulcstár integrálása.
Integrálja a forrásvezérlőt.
Azure Update Manager: Az Update Manager egy egységes szolgáltatás, amellyel kezelheti és szabályozhatja a virtuális gépek frissítéseit. A Windows és a Linux frissítési megfelelőségét a számítási feladat teljes területén figyelheti. Az Update Manager segítségével valós idejű frissítéseket is végezhet, és azokat egy meghatározott karbantartási időszakon belül ütemezheti. Az Update Manager használata a következőhöz:
Felügyelheti a teljes gépflotta megfelelőségét.
Ismétlődő frissítések ütemezése.
Kritikus frissítések üzembe helyezése.
Azure Logic Apps és Microsoft Power Automate: Ha egyéni digitális folyamatautomatizálást (DPA) hoz létre a számítási feladatok , például jóváhagyási folyamatok vagy ChatOps-integrációk létrehozásához, fontolja meg a Logic Apps vagy a Power Automate használatát. Munkafolyamatokat beépített összekötőkből és sablonokból hozhat létre. A Logic Apps és a Power Automate ugyanarra a mögöttes technológiára épülnek, és jól alkalmazhatók triggeralapú vagy időalapú feladatokhoz.
Automatikus skálázás: Számos Azure-technológia rendelkezik beépített automatikus skálázási képességekkel. Más szolgáltatásokat is programozhat automatikusan skálázásra API-k használatával. További információ: Automatikus skálázás.
Azure Monitor-műveletcsoportok: Ha automatikusan önjavító műveleteket szeretne futtatni egy riasztás aktiválásakor, használja az Azure Monitor műveleti csoportjait. Ezeket a műveleteket runbook, Azure-függvény vagy webhook használatával határozhatja meg.
Incidensre való felkészültség és reagálás bevezetése
Miután biztonságos hálózati szegmentálással, valamint jól megtervezett előfizetéssel és erőforrás-szervezéssel alakította ki a célzónát vagy más platformtervet, megkezdheti a megvalósítást az incidensek felkészültségére és válaszára összpontosítva. Ebben a fázisban a felkészültségi és válaszmechanizmusok fejlesztése, beleértve az incidenskezelési tervet is, biztosítja, hogy a felhőtulajdon és az üzemeltetési gyakorlatok összhangban legyenek az üzleti célokkal. Ez az összehangolás kulcsfontosságú a hatékonyság fenntartása és a stratégiai célkitűzések elérése szempontjából. A bevezetési fázisnak két szempontból kell megközelítenie az incidensek felkészültségét és válaszát. Ezek a perspektívák a fenyegetések felkészültsége és elhárítása, valamint az infrastruktúra és az alkalmazások biztonsága.
Veszélyforrások felkészültsége és elhárítás
Fenyegetésészlelés: Fejlett monitorozási eszközök és eljárások implementálása a fenyegetések valós idejű észleléséhez. Ez az implementáció magában foglalja a riasztási rendszerek beállítását a szokatlan tevékenységekhez, valamint a kiterjesztett észlelési és reagálási (XDR) és a biztonsági információk, valamint az eseménykezelési (SIEM) megoldások integrálását. További információ: Teljes felügyelet veszélyforrások elleni védelem és az XDR.
Sebezhetőségek kezelése: A biztonsági rések rendszeres azonosítása és elhárítása javításkezeléssel és biztonsági frissítésekkel annak biztosítása érdekében, hogy a rendszerek és alkalmazások védve legyenek az ismert fenyegetések ellen.
Incidenskezelés: Olyan incidenskezelési terv kidolgozása és karbantartása, amely magában foglalja az észlelési, elemzési és szervizelési lépéseket a biztonsági incidensek gyors kezeléséhez és helyreállításához. A számítási feladatokra vonatkozó útmutatásért tekintse meg a biztonsági incidensek elhárítására vonatkozó javaslatokat. A lehető legnagyobb mértékben automatizálja a kárenyhítési tevékenységeket, hogy ezek a tevékenységek hatékonyabbak és kevésbé hajlamosabbak legyenek az emberi hibákra. Ha például SQL-injektálást észlel, rendelkezhet olyan runbooktal vagy munkafolyamattal, amely automatikusan zárolja az SQL-hez való összes kapcsolatot, hogy az tartalmazza az incidenst.
Infrastruktúra és alkalmazásbiztonság
Biztonságos üzembehelyezési folyamatok: CI-/CD-folyamatokat hozhat létre integrált biztonsági ellenőrzésekkel az alkalmazások biztonságos fejlesztésének, tesztelésének és üzembe helyezésének biztosítása érdekében. Ez a megoldás magában foglalja a statikus kódelemzést, a biztonsági rések vizsgálatát és a megfelelőségi ellenőrzéseket. További információ: Teljes felügyelet fejlesztői útmutató.
IaC-üzemelő példányok: Az összes infrastruktúra üzembe helyezése kódon keresztül, kivétel nélkül. Ezzel a szabványsal csökkentheti a helytelenül konfigurált infrastruktúra és a jogosulatlan üzembe helyezés kockázatát. Helyezze át az összes IaC-eszközt alkalmazáskód-eszközökkel, és alkalmazza ugyanazokat a biztonságos üzembehelyezési eljárásokat , mint a szoftvertelepítések.
Az Azure megkönnyítése
Fenyegetésészlelés és -reagálás automatizálása: Automatizálhatja a fenyegetésészlelést és a reagálást a Microsoft Defender XDR automatizált vizsgálati és válaszfunkcióival.
IaC üzembehelyezési biztonság: Üzembehelyezési veremekkel kezelheti az Azure-erőforrásokat egyetlen, egységes egységként. Tiltási beállítások használatával megakadályozhatja, hogy a felhasználók jogosulatlan módosításokat hajtsanak végre.
A bizalmasság elvének elfogadása
Miután a CIA Triad bizalmassági elvének elfogadására vonatkozó átfogó stratégia és megvalósítási terv már létezik, a következő lépés az ACM-re való összpontosítás. Ez a lépés biztosítja a titkosítás és a biztonságos hozzáférés-vezérlés hatékony implementálását és intézményesítését a vállalati felhőkörnyezetben. A bevezetési fázisban adatveszteség-megelőzési (DLP) intézkedéseket vezetnek be a bizalmas adatok átvitele és az inaktív adatok védelme érdekében. A megvalósítás magában foglalja a titkosítási megoldások üzembe helyezését, a hozzáférés-vezérlés konfigurálását, valamint az összes alkalmazott betanítását az adattitkosítás fontosságára és a DLP-szabályzatok betartására.
Titkosítási és biztonságos hozzáférés-vezérlés implementálása
A bizalmas információk jogosulatlan hozzáféréssel szembeni védelme érdekében kulcsfontosságú, hogy robusztus titkosítást és biztonságos hozzáférés-vezérlést alkalmazzon. A titkosítás biztosítja, hogy az adatok olvashatatlanok a jogosulatlan felhasználók számára, míg a hozzáférés-vezérlés szabályozza, hogy ki férhet hozzá adott adatokhoz és erőforrásokhoz. Ismerje meg az üzembe helyezhető felhőszolgáltatások titkosítási képességeit, és engedélyezze a megfelelő titkosítási mechanizmusokat az üzleti követelményeknek való megfeleléshez.
Kapcsolódó szabványok beépítése és bevezetése
A titkosítás és a hozzáférés-vezérlés konzisztens implementációjának biztosítása érdekében elengedhetetlen a kapcsolódó szabványok kidolgozása és bevezetése. A szervezeteknek egyértelmű irányelveket és ajánlott eljárásokat kell kidolgozniuk a titkosítás és a hozzáférés-vezérlés használatára vonatkozóan, és gondoskodniuk kell arról, hogy ezek a szabványok minden alkalmazottkal kommunikáljanak. Egy szabvány például azt határozhatja meg, hogy az összes bizalmas adatot AES-256 titkosítással kell titkosítani, és hogy az adatokhoz való hozzáférést csak az arra jogosult személyzetre kell korlátozni. A szervezetek biztosíthatják, hogy a titkosítási és hozzáférési vezérlők következetesen érvényesüljenek a vállalaton belül azáltal, hogy ezeket a szabványokat beépítik a szabályzataikba és eljárásaikba. A rendszeres képzés és támogatás tovább erősíti ezeket a gyakorlatokat az alkalmazottak körében. További példák:
Erős titkosítás: Ha lehetséges, engedélyezze a titkosítást az adattárakban, és fontolja meg a saját kulcsok kezelését. Előfordulhat, hogy a felhőszolgáltatója inaktív állapotban titkosítást kínál az adattár által üzemeltetett tárolóhoz, és lehetővé teszi az adatbázistitkosítást, például az Azure SQL Database transzparens adattitkosítását . Ha lehetséges, alkalmazza a további titkosítási réteget.
Hozzáférés-vezérlők: RBAC alkalmazása, feltételes hozzáférés-vezérlés, igény szerint való hozzáférés és az összes adattárhoz való elég hozzáférés. Szabványosítsa az engedélyek rendszeres felülvizsgálatának gyakorlatát. Korlátozza a konfigurációs rendszerek írási hozzáférését, amely csak egy kijelölt automation-fiókon keresztül engedélyezi a módosításokat. Ez a fiók az alapos felülvizsgálati folyamatok után, általában az Azure Pipelines részeként alkalmazza a módosításokat.
Szabványok bevezetése: A szervezet olyan szabványt fejleszthet ki, amely megköveteli, hogy minden bizalmas információt tartalmazó e-mail titkosítva legyen Microsoft Purview információvédelem használatával. Ez a követelmény biztosítja, hogy a bizalmas adatok védettek legyenek az átvitel során, és csak a jogosult címzettek férnek hozzá.
Az Azure megkönnyítése
SIEM- és SOAR-megoldások: A Microsoft Sentinel egy méretezhető, natív felhőbeli SIEM, amely intelligens és átfogó megoldást kínál a SIEM és a biztonsági vezénylés, az automatizálás és a válasz (SOAR) számára. A Microsoft Sentinel fenyegetésészlelést, vizsgálatot, választ és proaktív vadászatot biztosít, és magas szintű áttekintést nyújt a vállalatról.
Azure-titkosítás: Az Azure titkosítást biztosít olyan szolgáltatásokhoz, mint az Azure SQL Database, az Azure Cosmos DB és az Azure Data Lake. A támogatott titkosítási modellek közé tartoznak a kiszolgálóoldali titkosítás szolgáltatás által felügyelt kulcsokkal, az Azure Key Vault ügyfél által felügyelt kulcsaival és az ügyfél által felügyelt hardveren lévő ügyfél által felügyelt kulcsokkal. Az ügyféloldali titkosítási modellek támogatják az alkalmazások adattitkosítását, mielőtt elküldené őket az Azure-ba. További információkért tekintse meg az Azure-titkosítás áttekintését.
Hozzáférés-vezérlés kezelése: Korábbi nevén Azure Active Directory, a Microsoft Entra ID átfogó identitás- és hozzáférés-kezelési képességeket biztosít. Támogatja a többtényezős hitelesítést, a feltételes hozzáférési szabályzatokat és az egyszeri bejelentkezést, hogy csak a jogosult felhasználók férjenek hozzá a bizalmas adatokhoz.
Microsoft Entra ID-védelem fejlett gépi tanulással azonosítja a bejelentkezési kockázatokat és a szokatlan felhasználói viselkedést a letiltás, a kihívás, a korlátozás vagy a hozzáférés biztosítása érdekében. Segít megelőzni az identitások sérülését, védelmet nyújt a hitelesítő adatok ellopása ellen, és betekintést nyújt az identitásbiztonsági helyzetébe.
A Microsoft Defender for Identity egy felhőalapú biztonsági identitásfenyegetési megoldás, amely segít a szervezet identitásmonitorozásának biztonságossá tételében. Az automatizált fenyegetésészlelési és -reagálási mechanizmusok segítségével hatékonyabban azonosíthatja, észlelheti és kivizsgálhatja a szervezetre irányított speciális fenyegetéseket.
Azure-beli bizalmas számítástechnika: Ez a szolgáltatás védi az adatokat a feldolgozásuk során. Hardveralapú megbízható végrehajtási környezeteket használ a használatban lévő adatok elkülönítésére és védelmére, így még a felhőgazdák sem férhetnek hozzá az adatokhoz.
Az integritás elvének elfogadása
Az Bevezetés fázisban a tervezés és a tervek valós implementációkká alakulnak. Az adatok és a rendszer integritásának biztosítása érdekében a korábbi fázisokban kifejlesztett szabványoknak megfelelően hozza létre a rendszereket. Emellett betanítsa a mérnököket, rendszergazdákat és operátorokat a vonatkozó protokollokra és eljárásokra.
Adatintegritás bevezetése
Adatbesorolás: Az adatbesorolási keretrendszer megvalósítása automatizálással, ha lehetséges, és szükség esetén manuálisan. A polcon kívüli eszközökkel automatizálhatja az adatbesorolást, és azonosíthatja a bizalmas információkat. Dokumentumok és tárolók manuális címkézése a pontos besorolás érdekében. Adatkészletek szűrése elemzéshez a hozzáértő felhasználók szakértelmének kihasználásával a bizalmasság megállapításához.
Adatellenőrzés és érvényesítés: Használja ki a beépített ellenőrzési és érvényesítési funkciókat a telepített szolgáltatásokban. Az Azure Data Factory beépített funkcióval rendelkezik például az adatok konzisztenciájának ellenőrzéséhez, amikor adatokat helyez át egy forrásból egy céltárolóba. Fontolja meg az olyan eljárások bevezetését, mint például:
Az SQL CHECKSUM és BINARY_CHECKSUM függvényeinek használatával biztosíthatja, hogy az adatok ne sérüljenek meg az átvitel során.
Kivonatok tárolása táblákban, és alrutinok létrehozása, amelyek módosítják a kivonatokat, amikor az utolsó módosítás dátuma megváltozik.
Figyelés és riasztás: Az adattárak változásainak monitorozása részletes változáselőzményekkel a felülvizsgálatok segítése érdekében. Konfigurálja a riasztást, hogy biztosítsa a megfelelő láthatóságot, és hatékony műveleteket hajthat végre, ha vannak olyan incidensek, amelyek befolyásolhatják az adatintegritást.
Biztonsági mentési szabályzatok: Biztonsági mentési szabályzatok alkalmazása minden megfelelő rendszeren. A platform szolgáltatásként és szoftverként nyújtott biztonsági mentési képességeinek megismerése. Az Azure SQL Database például automatikus biztonsági mentéseket is tartalmaz, és szükség szerint konfigurálhatja a megőrzési szabályzatot.
Tervezési szabványok megosztása: Olyan alkalmazástervezési szabványok közzététele és megosztása, amelyek adatintegritási mechanizmusokat tartalmaznak a szervezetben. A tervezési szabványoknak nem funkcionális követelményeket kell tartalmazniuk, például az alkalmazás szintjén natívan követik a konfigurációt és az adatváltozásokat, és rögzítik ezt az előzményt az adatsémán belül. Ez a megközelítés azt írja elő, hogy az adatséma az adatelőzményekkel és a konfigurációs előzményekkel kapcsolatos adatokat az adattár részeként tárolja, a szabványos naplózási mechanizmusok mellett, amelyek erősítik az integritás monitorozását.
Rendszerintegritás bevezetése
Biztonsági monitorozás: Robusztus monitorozási megoldással automatikusan regisztrálhatja a felhőbeli tulajdonban lévő összes erőforrást, és győződjön meg arról, hogy a riasztás engedélyezve van, és konfigurálva van a megfelelő csapatok értesítésére incidensek esetén.
Automatizált konfigurációkezelés: Olyan konfigurációkezelő rendszer üzembe helyezése és konfigurálása, amely automatikusan regisztrálja az új rendszereket, és folyamatosan kezeli a konfigurációkat.
Automatizált javításkezelés: Olyan javításkezelő rendszer üzembe helyezése és konfigurálása, amely automatikusan regisztrálja az új rendszereket, és a szabályzatoknak megfelelően kezeli a javításokat. Előnyben részesíti a natív eszközhasználatot a felhőplatformon.
Az Azure megkönnyítése
Adatbesorolás és -címkézés: A Microsoft Purview egy robusztus megoldáskészlet, amely segít a szervezetnek az adatok szabályozásában, védelmében és kezelésében, bárhol is él. Manuális és automatikus adatbesorolást és bizalmassági címkézést kínál.
Konfigurációkezelés: Az Azure Arc egy központosított és egységes infrastruktúra-szabályozási és felügyeleti platform, amellyel kezelheti a felhőalapú és helyszíni rendszerek konfigurációit. Az Azure Arc használatával kibővítheti a biztonsági alapkonfigurációkat az Azure Policyból, a Felhőhöz készült Defender szabályzatokból és a biztonsági pontszámok kiértékeléséből, valamint az összes erőforrás naplózását és monitorozását egy helyen.
Javításkezelés: Az Azure Update Manager egy egységes frissítéskezelési megoldás Windows és Linux rendszerű gépekhez, amelyeket azure-beli, helyszíni és többfelhős környezetekhez használhat. Beépített támogatást nyújt az Azure Policy és az Azure Arc által felügyelt gépekhez.
A rendelkezésre állás elvének elfogadása
A rugalmas tervezési minták definiálása után a szervezet továbbléphet a bevezetési fázisra. A számítási feladatok rendelkezésre állásával kapcsolatos részletes útmutatásért tekintse meg a well-architected framework megbízhatósági pillérét és az Azure megbízhatósági dokumentációját. A felhőbevezetés kontextusában a rendelkezésre állást támogató üzemeltetési gyakorlatok létrehozására és kodifikálására összpontosít.
Üzemeltetési eljárások létrehozása a rendelkezésre állás támogatásához
A magas rendelkezésre állású felhőtulajdon fenntartásához a felhőrendszereket üzemeltető csapatoknak be kell tartaniuk a szabványosított, kiforrott eljárásokat. Az alábbi eljárásoknak a következőkre kell kiterjednie:
Működési folytonosság: A szervezeteknek támadási körülmények között is folyamatos működésre kell tervezniük. Ez a megközelítés magában foglalja a gyors helyreállítás folyamatainak létrehozását és a kritikus szolgáltatások csökkentett szintű fenntartását, amíg a teljes helyreállítás nem lehetséges.
Robusztus és folyamatos megfigyelhetőség: A szervezet képes észlelni a biztonsági incidenseket, ahogy azok történnek, lehetővé teszi számukra, hogy gyorsan kezdeményezzék incidenskezelési terveiket. Ez a stratégia segít minimalizálni az üzleti hatásokat, amennyire csak lehetséges. Az incidensészlelés csak egy jól megtervezett monitorozási és riasztási rendszeren keresztül lehetséges, amely a fenyegetésészlelés ajánlott eljárásait követi. További információkért tekintse meg a megfigyelhetőségi útmutatót, valamint a biztonsági monitorozási és fenyegetésészlelési útmutatót.
Proaktív karbantartás: A rendszerfrissítések szabványosítása és kikényszerítése szabályzatokkal. Rendszeres karbantartási időszakokat ütemezhet, hogy frissítéseket és javításokat alkalmazzanak a rendszerekre a szolgáltatások megzavarása nélkül. Rendszeres állapotellenőrzési és karbantartási tevékenységek végzése annak érdekében, hogy minden összetevő optimálisan működjön.
Szabványosított szabályozási szabályzatok: Az eszközhasználat által támogatott szabályzatokkal kényszerítheti ki az összes biztonsági szabványt. Szabályzatkezelési eszköz használatával biztosíthatja, hogy az összes rendszer alapértelmezés szerint megfeleljen az üzleti követelményeknek, és hogy a szabályzatok könnyen naplózhatók legyenek.
Vészhelyreállítási felkészültség: A számítási feladatok vészhelyreállítási terveinek fejlesztése és rendszeres tesztelése annak biztosítása érdekében, hogy vészhelyzet esetén helyreállíthatók legyenek. További információ: Vészhelyreállítás. A lehető legnagyobb mértékben automatizálja a helyreállítási tevékenységeket. Használjon például automatikus feladatátvételi képességeket olyan szolgáltatásokban, mint az Azure SQL Database.
Szolgáltatási szintű szerződések: A felhőplatform által a szolgáltatásaikhoz biztosított szolgáltatásiszint-szerződések (SLA-k) segítenek megérteni a számítási feladatok összetevőinek garantált üzemidejét. Ezeket a SLA-kat használhatja alapként, hogy aztán saját célmetrikáit fejlessze ki az ügyfelek számára biztosított SLA-khoz. A Microsoft közzéteszi az SLA-kat az összes felhőszolgáltatáshoz a online szolgáltatások SLA-kban.
Megfelelőségi követelmények: Tartsa be az olyan szabályozásokat, mint az általános adatvédelmi rendelet (GDPR) és a HIPAA annak biztosítása érdekében, hogy a rendszerek magas szintű szabványoknak legyenek kialakítva és karbantartva, beleértve a rendelkezésre állással kapcsolatos szabványokat is. A meg nem felelőség olyan jogi lépéseket és bírságokat eredményezhet, amelyek megzavarhatják az üzleti műveleteket. A megfelelőség gyakran nem korlátozódik a rendszerkonfigurációra. A legtöbb megfelelőségi keretrendszer kockázatkezelési és incidenskezelési szabványokat is igényel. Győződjön meg arról, hogy a működési szabványok megfelelnek a keretkövetelményeknek, és hogy a személyzet rendszeresen betanított legyen.
Az Azure megkönnyítése
Szabályzat- és megfelelőségkezelés:
Az Azure Policy egy szabályzatkezelési megoldás, amely segít a szervezeti szabványok betartatásában és a megfelelőség nagy léptékű értékelésében. Számos Azure-szolgáltatás szabályzatkényszerítésének automatizálásához használja ki a beépített szabályzatdefiníciókat.
Felhőhöz készült Defender olyan biztonsági szabályzatokat biztosít, amelyek automatizálják a biztonsági szabványoknak való megfelelést.
Működési folytonosság és vészhelyreállítás: Számos Azure-szolgáltatás beépített helyreállítási képességekkel rendelkezik, amelyeket beépíthet az üzemeltetési folytonossági és vészhelyreállítási tervekbe. További információt az Azure-szolgáltatások megbízhatósági útmutatóiban talál.
Biztonsági fenntarthatóság elfogadása
Vegye figyelembe az alábbi ajánlásokat, amelyek segítenek biztosítani, hogy a felhőbevezetés részeként bevezetett biztonsági mechanizmusok és eljárások fenntarthatók és folyamatosan javuljanak az út során:
Biztonsági felülvizsgálati tábla létrehozása: Hozzon létre egy biztonsági felülvizsgálati táblát, amely folyamatosan felülvizsgálja a projekteket, és biztonsági ellenőrzéseket irányít. Rendszeresen tekintse át a folyamatokat, hogy megtalálja a fejlesztési területeket. Folyamatokat fejleszthet annak érdekében, hogy a biztonság mindig a legfontosabb legyen mindenki számára.
Biztonságirés-kezelés megoldás implementálása: A biztonsági rések kockázati pontszámának monitorozásához biztonságirés-kezelés megoldással, valamint a legmagasabb kockázati pontszámot a legalacsonyabb szintűre alakító folyamattal a kockázat minimalizálása érdekében. Kövesse nyomon a legújabb gyakori biztonsági réseket és expozíciós kockázatokat. Rendelkezik egy szabályzattal, amely rendszeresen alkalmazza ezeket a kockázatcsökkentéseket szervizelés céljából.
Éles infrastruktúra megkeményítése: Az infrastruktúra megerősítésével biztonságossá teheti a felhőtulajdont. Ha az iparági ajánlott eljárásoknak megfelelően szeretné megkeményíteni az infrastruktúrát, kövesse a teljesítményértékelési útmutatót, például a Center for Internet Security (CIS) teljesítményteszteket.
Használja a MITRE ATT&CK tudásbázis: A MITRE ATT&CK tudásbázis használatával fenyegetésmodelleket és módszereket fejleszthet a gyakori valós támadási taktikákhoz és technikákhoz.
Balra váltás: Eltérő hozzáférési szinttel rendelkező elkülönített környezetek használata az előgyártáshoz és az éles környezethez. Ez a megközelítés segít a balra tolódásban, ami biztonsági szempontokat ad hozzá a fejlesztés minden fázisához, és rugalmasságot biztosít az alacsonyabb környezetekben.
Az Azure megkönnyítése
Biztonságirés-kezelés: a Microsoft Defender biztonságirés-kezelés egy átfogó, kockázatalapú biztonságirés-kezelés megoldás, amellyel egyetlen megoldással azonosíthatja, értékelheti, kijavíthatja és nyomon követheti a legkritikusabb eszközök legnagyobb biztonsági réseit.