Megosztás a következőn keresztül:

A felhővagyon biztonságos szabályozása

  • Cikk

A biztonsági szabályozás összekapcsolja az üzleti prioritásokat a műszaki megvalósításokkal, például az architektúrával, a szabványokkal és a szabályzatokkal. A szabályozási csapatok felügyeletet és monitorozást biztosítanak a biztonsági helyzet fenntartása és javítása érdekében az idő múlásával. Ezek a csapatok a szabályozó szervek által megkövetelt megfelelőségről is beszámolnak.

A biztonsági szabályozás főbb összetevőit bemutató ábra, beleértve a kockázatkezelést, a megfelelőséget, a szabályzatkényszerítést és a folyamatos monitorozást.

Az üzleti célok és kockázatok biztosítják a leghatékonyabb útmutatást a biztonsághoz. Ez a megközelítés biztosítja, hogy a biztonsági erőfeszítések a szervezet fő prioritásaira összpontosítanak. Emellett a kockázattulajdonosokat is segíti a kockázatkezelési keretrendszerben ismert nyelv és folyamatok használatával.

A felhőbevezetés módszertanát bemutató ábra. A diagramon minden fázishoz vannak mezők: csapatok és szerepkörök, stratégia, tervezés, készenlét, bevezetés, szabályozás és kezelés. A cikk mezője ki van emelve.

Ez a cikk a szabályozási módszertan támogató útmutatója. Ez olyan biztonsági optimalizálási területeket biztosít, amelyeket figyelembe kell vennie, amikor végighalad az adott fázison az utazás során.

Biztonsági helyzet modernizálása

A csak a problémajelentés használata nem hatékony stratégia a biztonsági helyzet fenntartásához. A felhőkorszakban a szabályozás olyan aktív megközelítést igényel, amely folyamatosan együttműködik más csapatokkal. A biztonsági testtartás kezelése egy új és alapvető funkció. Ez a szerepkör a környezeti biztonság kritikus kérdésével foglalkozik. Olyan kulcsfontosságú területeket foglal magában, mint a biztonságirés-kezelés és a biztonsági megfelelőségi jelentések.

Helyszíni környezetben a biztonsági szabályozás a környezetről rendelkezésre álló rendszeres adatokra támaszkodik. Ez a megközelítés gyakran elavult információkat eredményez. A felhőtechnológia forradalmasítja ezt a folyamatot azáltal, hogy igény szerint áttekinti az aktuális biztonsági helyzetet és az eszközök lefedettségét. Ez a valós idejű megállapítás dinamikusabb szervezetté alakítja a vállalatirányítást. A biztonsági szabványok monitorozása, útmutatás nyújtása és a folyamatok továbbfejlesztése érdekében elősegíti a többi biztonsági csapattal való szorosabb együttműködést.

Ideális állapotában a cégirányítás folyamatos fejlődést eredményez a szervezet egészében. Ez a folyamatban lévő folyamat a szervezet minden részét bevonja, hogy biztosítsa a folyamatos biztonsági fejlődést.

A biztonság szabályozásának legfontosabb alapelvei a következők:

  • Eszközök és eszköztípusok folyamatos felderítése: Dinamikus felhőkörnyezetben nem lehetséges statikus leltár. A szervezetnek az eszközök és az eszköztípusok folyamatos felderítésére kell összpontosítania. A felhőben rendszeresen új típusú szolgáltatások jelennek meg. A számítási feladatok tulajdonosai szükség szerint dinamikusan módosítják az alkalmazás- és szolgáltatáspéldányok számát, ami folyamatosan változó környezetet hoz létre. Ez a helyzet folyamatosan fejlődő szemléletet tesz lehetővé a leltárkezelésben. A szabályozási csapatoknak folyamatosan azonosítaniuk kell az eszköztípusokat és -példányokat, hogy lépést tudjanak tartani a változás ütemével.

  • Az eszközbiztonsági helyzet folyamatos javítása: A szabályozási csapatoknak a szabványok javítására és betartatására kell összpontosítaniuk, hogy lépést tartsanak a felhővel és a támadókkal. Az informatikai szervezeteknek gyorsan reagálniuk kell az új fenyegetésekre, és ennek megfelelően kell alkalmazkodniuk. A támadók folyamatosan fejlesztik technikáikat, miközben a védelem folyamatosan fejlődik, és előfordulhat, hogy frissíteni kell őket. A kezdeti beállításban nem mindig lehet minden szükséges biztonsági intézkedést beépíteni.

  • Szabályzatalapú irányítás: Ez a szabályozás egységes implementációt biztosít, mivel egyszer definiálja a szabályzatokat, és automatikusan alkalmazza őket az erőforrások között. Ez a folyamat korlátozza az ismétlődő manuális feladatokra fordított időt és erőfeszítést. Gyakran azure policy vagy nem Microsoft-alapú szabályzatautomatizálási keretrendszerek használatával implementálják.

Az agilitás fenntartása érdekében az ajánlott eljárásokra vonatkozó útmutatás gyakran iteratív. Több forrásból származó kis mennyiségű információt emészt fel a teljes kép létrehozásához, és folyamatosan kis módosításokat hajt végre.

Az Azure megkönnyítése

  • Felhőhöz készült Microsoft Defender segítségével folyamatosan felderítheti és automatikusan kezelheti a környezetében lévő virtuális gépeket az automatikus adatgyűjtés kiépítésén keresztül.

  • Felhőhöz készült Microsoft Defender alkalmazások segítségével folyamatosan felfedezheti és szabályozhatja a környezetekben használt külső és nem Microsoft-szoftvereket.

Incidensre való felkészültség és reagálás

A biztonsági szabályozás kritikus fontosságú a felkészültség fenntartásához. A szabványok szigorú érvényesítése érdekében a robusztus irányítási mechanizmusoknak és eljárásoknak támogatniuk kell a felkészültségi és válaszmechanizmusok, valamint az üzemeltetési gyakorlatok végrehajtását. Vegye figyelembe az alábbi ajánlásokat az incidensek felkészültségi és reagálási szabványainak szabályozásához:

Incidensre való felkészültség szabályozása

  • Irányítás automatizálása: Az eszközök használatával a lehető legnagyobb mértékben automatizálhatja a szabályozást. Az eszközökkel kezelheti az infrastruktúra-üzemelő példányokra vonatkozó szabályzatokat, korlátozási intézkedéseket implementálhat, adatokat védhet, valamint identitás- és hozzáférés-kezelési szabványokat tarthat fenn. A biztonsági intézkedések szabályozásának automatizálásával biztosíthatja, hogy a környezetében lévő összes erőforrás megfeleljen a saját biztonsági szabványainak és az üzletmenetéhez szükséges összes megfelelőségi keretrendszernek. További információ: Felhőszabályozási szabályzatok kényszerítése.

  • A Microsoft biztonsági alapkonfigurációinak betartása: Ismerje meg a Microsoft által a felhőtulajdonban lévő szolgáltatásokra vonatkozó biztonsági javaslatokat, amelyek biztonsági alapkonfigurációként érhetők el. Ezek az alapkonfigurációk segítenek biztosítani, hogy a meglévő üzemelő példányok megfelelően legyenek védve, és hogy az új üzemelő példányok megfelelően legyenek konfigurálva a kezdetektől fogva. Ez a megközelítés csökkenti a helytelen konfigurációk kockázatát.

Incidenskezelés szabályozása

  • Az incidenskezelési terv szabályozása: Az incidenskezelési tervet ugyanolyan gondossággal kell fenntartani, mint a tulajdonban lévő többi kritikus dokumentumot. Az incidenskezelési tervnek a következőnek kell lennie:

    • A verzió szabályozásával biztosítható, hogy a csapatok a legújabb verzióval működjenek, és hogy a verziószámozás ellenőrizhető legyen.

    • Magas rendelkezésre állású és biztonságos tárolóban tárolva.

    • Rendszeresen áttekintjük és frissítjük, ha a környezet változásai megkövetelik.

  • Incidenskezelési képzés szabályozása: Az incidenskezeléshez szükséges képzési anyagokat verzióalapúan kell szabályozni az auditáláshoz, és biztosítani kell, hogy a legújabb verziót használják bármikor. Ezeket rendszeresen felül kell vizsgálni és frissíteni kell az incidenskezelési terv frissítésekor.

Az Azure megkönnyítése

  • Az Azure Policy egy szabályzatkezelési megoldás, amellyel érvényesítheti a szervezeti szabványokat, és felmérheti a megfelelőséget. Számos Azure-szolgáltatás szabályzatkényszerítésének automatizálásához használja ki a beépített szabályzatdefiníciókat.

  • Felhőhöz készült Defender olyan biztonsági szabályzatokat biztosít, amelyek automatizálják a biztonsági szabványoknak való megfelelést.

Bizalmasság szabályozása

A hatékony irányítás elengedhetetlen a vállalati felhőkörnyezetek biztonságának és megfelelőségének fenntartásához. Az irányítás magában foglalja azokat a szabályzatokat, eljárásokat és vezérlőket, amelyek biztosítják az adatok biztonságos kezelését a jogszabályi követelményeknek megfelelően. Keretet biztosít a döntéshozatalhoz, az elszámoltathatósághoz és a folyamatos fejlődéshez, ami elengedhetetlen a bizalmas információk védelméhez és a bizalom fenntartásához. Ez a keretrendszer elengedhetetlen a CIA Triád bizalmassági elvének fenntartásához. Segít biztosítani, hogy a bizalmas adatok csak a jogosult felhasználók és folyamatok számára legyenek elérhetők.

  • Technikai szabályzatok: Ezek a szabályzatok közé tartoznak a hozzáférés-vezérlési szabályzatok, az adattitkosítási szabályzatok, valamint az adatmaszkolási vagy jogkivonat-készítési szabályzatok. Ezeknek a szabályzatoknak a célja egy biztonságos környezet létrehozása az adatok bizalmasságának szigorú hozzáférés-vezérléssel és robusztus titkosítási módszerekkel történő fenntartásával.

  • Írott szabályzatok: Az írott szabályzatok a teljes vállalati környezet szabályozási keretrendszereként szolgálnak. Ezek határozzák meg az adatkezelésre, a hozzáférésre és a védelemre vonatkozó követelményeket és paramétereket. Ezek a dokumentumok biztosítják a szervezet konzisztenciáját és megfelelőségét, és világos irányelveket biztosítanak az alkalmazottak és az informatikai személyzet számára. Az írott szabályzatok referenciapontként szolgálnak az auditokhoz és értékelésekhez is, amely segít azonosítani és kezelni a biztonsági gyakorlatok hiányosságait.

  • Adatveszteség-védelem: Az adatveszteség-megelőzési (DLP) intézkedések folyamatos monitorozását és naplózását kell elvégezni a bizalmassági követelmények folyamatos betartásának biztosítása érdekében. Ez a folyamat magában foglalja a DLP-szabályzatok rendszeres felülvizsgálatát és frissítését, a biztonsági értékelések elvégzését, valamint az adatok bizalmasságát veszélyeztető incidensekre való reagálást. A DLP programozott módon történő létrehozása a szervezetben, hogy egységes és skálázható megközelítést biztosítson a bizalmas adatok védelméhez.

A megfelelőség és a kényszerítési módszerek monitorozása

Kritikus fontosságú a megfelelőség monitorozása és a szabályzatok kikényszerítése a vállalati felhőkörnyezetekben a bizalmasság elvének fenntartása érdekében. Ezek a műveletek nélkülözhetetlenek a robusztus biztonsági szabványokhoz. Ezek a folyamatok biztosítják, hogy minden biztonsági intézkedést következetesen alkalmazzanak, és hatékonyan védjék meg a bizalmas adatokat a jogosulatlan hozzáféréssel és illetéktelen behatolásokkal szemben. A rendszeres értékelések, az automatizált monitorozás és az átfogó képzési programok elengedhetetlenek a megállapított szabályzatok és eljárások betartásának biztosításához.

  • Rendszeres ellenőrzések és értékelések: Rendszeres biztonsági ellenőrzések és értékelések végrehajtása annak biztosítása érdekében, hogy a szabályzatok betartva legyenek, és azonosítsák a fejlesztési területeket. Ezeknek az ellenőrzéseknek ki kell terjedniük a szabályozási, iparági és szervezeti szabványokra és követelményekre, és külső értékelőket is bevonhatnak az elfogulatlan értékelésre. A jóváhagyott értékelési és ellenőrzési program segít fenntartani a magas szintű biztonságot és megfelelőséget, és biztosítja, hogy az adatok bizalmasságának minden aspektusát alaposan felülvizsgálják és kezelik.

  • Automatizált megfelelőség-monitorozás: Az Azure Policyhoz hasonló eszközök automatizálják a biztonsági szabályzatoknak való megfelelés monitorozását, és valós idejű elemzéseket és riasztásokat biztosítanak. Ez a funkció biztosítja a biztonsági szabványok folyamatos betartását. Az automatizált monitorozással gyorsan észlelheti és megválaszolhatja a szabályzatsértéseket, ami csökkenti az adatsértések kockázatát. Emellett a konfigurálások és a hozzáférés-vezérlések rendszeres ellenőrzésével biztosítja a folyamatos megfelelőséget a létrehozott szabályzatokkal szemben.

  • Képzési és tudatossági programok: Az alkalmazottak tájékoztatása az adatbiztonsági szabályzatokról és az ajánlott eljárásokról a biztonságtudatos kultúra előmozdítása érdekében. A rendszeres képzések és a figyelemfelkeltő programok segítenek annak biztosításában, hogy a személyzet minden tagja tisztában legyen az adatok bizalmas kezelésével kapcsolatos szerepköreivel és feladataival. Ezeket a programokat rendszeresen frissíteni kell, hogy tükrözzék a szabályzatok változásait és a felmerülő fenyegetéseket. Ez a stratégia biztosítja, hogy az alkalmazottak mindig a legújabb ismeretekkel és készségekkel legyenek felvértezve.

Integritás szabályozása

Az integritásvédelem hatékony fenntartása érdekében jól megtervezett szabályozási stratégiára van szükség. Ennek a stratégiának biztosítania kell az összes szabályzat és eljárás dokumentálását és kikényszerítését, valamint azt, hogy minden rendszert folyamatosan naplóznak a megfelelőség érdekében.

A Bizalmasság szabályozása szakaszban korábban ismertetett útmutatás az integritás elvére is vonatkozik. Az alábbi javaslatok az integritásra vonatkoznak:

  • Automatizált adatminőség-szabályozás: Fontolja meg egy polcon kívüli megoldás használatát az adatok szabályozásához. Egy előre összeállított megoldással enyhítheti az adatszabályozási csapat manuális minőségi ellenőrzéssel járó terheit. Ez a stratégia emellett csökkenti az adatok jogosulatlan hozzáférésének és módosításának kockázatát az érvényesítési folyamat során.

  • Automatizált rendszerintegritás-szabályozás: Fontolja meg egy központosított, egységes eszköz használatát a rendszerintegritási szabályozás automatizálásához. Az Azure Arc például lehetővé teszi a rendszerek szabályozását több felhőben, helyszíni adatközpontokban és peremhálózati helyeken. Egy ehhez hasonló rendszer használatával egyszerűsítheti irányítási feladatait, és csökkentheti a működési terheket.

Az Azure megkönnyítése

  • Microsoft Purview Adatminőség lehetővé teszi, hogy a felhasználók kód nélküli/alacsony kódszámú szabályokkal mérhessék fel az adatminőséget, beleértve a beépített (OOB) szabályokat és az AI által létrehozott szabályokat. Ezek a szabályok az oszlop szintjén lesznek alkalmazva, majd összesítve jelennek meg az adategységek, adattermékek és üzleti tartományok pontszámai. Ez a megközelítés biztosítja az adatminőség átfogó láthatóságát az egyes tartományokban.

Rendelkezésre állás szabályozása

A felhőtulajdonban szabványosított architektúratervek szabályozást igényelnek annak biztosításához, hogy ne térjenek el tőlük, és hogy a rendelkezésre állását ne veszélyeztessék a nem konformáló tervezési minták. Hasonlóképpen, a vészhelyreállítási terveket is szabályozni kell, hogy azok megfelelően legyenek karbantartva.

Rendelkezésre állási terv szabályozása

  • Szabványosított tervezési minták fenntartása: Az infrastruktúra- és alkalmazástervezési minták kódolása és szigorú kényszerítése. A tervezési szabványok karbantartásának szabályozása annak biztosítása érdekében, hogy azok naprakészek maradjanak, és védve legyenek a jogosulatlan hozzáféréssel vagy módosítással. Ezeket a szabványokat ugyanúgy kezelje, mint a többi szabályzatot. Ha lehetséges, automatizálja a tervezési minták fenntartásának kényszerítését. Engedélyezheti például, hogy a szabályzatok szabályozhassák, hogy mely típusú erőforrások helyezhetők üzembe, és megadhatja azokat a régiókat, ahol az üzembe helyezés engedélyezett.

Vészhelyreállítás szabályozása

  • A vészhelyreállítási tervek szabályozása: A vészhelyreállítási tervek ugyanolyan fontossággal bírnak, mint az incidenskezelési tervek. A vészhelyreállítási terveknek a következőnek kell lenniük:

    • A verziókövetés biztosítja, hogy a csapatok mindig a legújabb verzióval dolgozhassanak, és hogy a verziószámozás ellenőrizhető legyen a pontosság és a megfelelőség érdekében.

    • Magas rendelkezésre állású és biztonságos tárolóban tárolva.

    • Rendszeresen áttekintjük és frissítjük, amikor a környezet változásaira van szükség.

  • Vészhelyreállítási gyakorlatok szabályozása: A vészhelyreállítási gyakorlatok nem csak a tervek betanítására szolgálnak, hanem tanulási lehetőségekként is szolgálnak a terv javítására. Emellett segíthetnek az üzemeltetési vagy tervezési szabványok finomításában is. A vészhelyreállítási gyakorlatok aprólékos nyilvántartása segít azonosítani a fejlesztési területeket, és biztosítja a katasztrófa-felkészültség naplózási követelményeinek való megfelelést. Ha ezeket a rekordokat ugyanabban az adattárban tárolja, mint a tervek, mindent rendszerezetten és biztonságosan tárolhat.

A biztonságos szabályozás fenntartása

Modern szolgáltatáskezelés (MSM)

A Modern Szolgáltatáskezelés (MSM) olyan eljárások és eszközök készlete, amelyek az informatikai szolgáltatások felhőkörnyezetben történő kezelésére és optimalizálására szolgálnak. Az MSM célja, hogy az informatikai szolgáltatásokat az üzleti igényekhez igazítsa. Ez a megközelítés biztosítja a hatékony szolgáltatásnyújtást a magas szintű biztonság és megfelelőség fenntartása mellett. Az MSM strukturált megközelítést biztosít az összetett felhőkörnyezetek kezeléséhez. Az MSM lehetővé teszi a szervezetek számára, hogy gyorsan reagáljanak a változásokra, mérsékeljék a kockázatokat, és biztosítsák a folyamatos javulást. Emellett az MSM a bizalmasság elve szempontjából is lényeges, mivel olyan eszközöket és gyakorlatokat tartalmaz, amelyek az adatvédelem kikényszerítésére és a hozzáférés-vezérlés monitorozására használhatók.

  • Egységes biztonságkezelés: Az MSM-eszközök átfogó biztonsági felügyeletet biztosítanak különböző biztonsági funkciók integrálásával, hogy átfogó képet nyújtsanak a felhőkörnyezetről. Ez a megközelítés segít érvényesíteni a biztonsági szabályzatokat, és valós időben észleli és reagál a fenyegetésekre.

  • Szabályzatkezelés és -megfelelőség: Az MSM megkönnyíti a szabályzatok létrehozását, érvényesítését és monitorozását a felhőkörnyezetben. Biztosítja, hogy minden erőforrás megfeleljen a szervezeti szabványoknak és a szabályozási követelményeknek. Emellett valós idejű elemzéseket és riasztásokat is biztosít.

  • Folyamatos monitorozás és fejlesztés: Az MSM a felhőkörnyezet folyamatos monitorozását hangsúlyozza a lehetséges problémák proaktív azonosítása és kezelése érdekében. Ez a megközelítés támogatja az informatikai szolgáltatások folyamatos optimalizálását és fejlesztését, ami biztosítja, hogy továbbra is igazodjanak az üzleti célkitűzésekhez.

Következő lépés

Felhőtulajdon kezelése fokozott biztonsággal