A biztonság integrálása a felhőbevezetési stratégiába
A szervezet felhőbe való áthelyezése jelentős összetettséggel jár a biztonság szempontjából. Ahhoz, hogy sikeres legyen a felhőben, a biztonsági stratégiának meg kell felelnie a felhőalapú számítástechnika velejárójaként felmerülő modern kihívásoknak. A felhővagyon bevezetése és üzemeltetése során a biztonság a szervezet minden aspektusában szükséges szemponttá válik. Ez nem egy különálló függvény, amelyet másodsorban alkalmazunk bizonyos aspektusokra, ahogyan az a helyszíni technológiai platformokat futtató szervezetek esetében is gyakori lehet. A felhőbevezetési stratégia meghatározásakor vegye figyelembe az ebben a cikkben szereplő javaslatokat annak érdekében, hogy a biztonság a stratégia szerves része legyen, és az előrehaladtával beépülhessen a felhőbevezetési tervbe.
Ez a cikk a stratégia módszertanának kiegészítő útmutatója. Ismerteti a biztonsági optimalizálás azon területeit, amelyeket érdemes figyelembe vennie, amikor végighalad az adott fázison az utazás során.
Biztonsági helyzet modernizálása
A biztonsági helyzet modernizálásának stratégiája nem csupán új technológiák és új üzemeltetési gyakorlatok bevezetését foglalja magában. Ez általában egy gondolkodásmódváltást is magában foglal a szervezeten belül. Előfordulhat, hogy új csapatokat és szerepköröket kell betölteni, és előfordulhat, hogy a meglévő csapatoknak és szerepköröknek olyan módon kell részt venniük a biztonságban, hogy azok ne legyenek kiosztva. Ezek a változások, amelyek néha jelentősek lehetnek a szervezetek számára, a stressz és a belső konfliktusok forrása lehet, ezért fontos, hogy a bevezetési folyamat során elősegítsük az egészséges, őszinte és ok nélküli kommunikációt a szervezetben.
A szempontok átfogó áttekintéséhez tekintse meg a Biztonsági stratégia meghatározása című útmutatót.
A Teljes felügyelet stratégiaként való bevezetése
A Teljes felügyelet stratégiaként való bevezetése segít a felhőbeli út elindításában a biztonság modern megközelítésével. A Teljes felügyelet megközelítés három alapelven alapul:
Ellenőrizze explicit módon. Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján.
Használjon minimális jogosultságot. Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel.
Feltételezzük, hogy megszegi a szabályt. Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a rendszerekkel kapcsolatos tevékenységek átláthatóságának, a fenyegetésészlelés ösztönzésének és a védelem javításának érdekében.
Ha ezeket az alapelveket a felhőbevezetési folyamat során alkalmazza, a modern biztonságra való átalakítás zökkenőmentesebb élményt jelenthet a teljes szervezet számára.
A Microsoft egy Teljes felügyelet-alapú biztonsági korszerűsítési tervet biztosít, amelyet a szervezetek útmutatóként használhatnak. Tekintse meg a stratégiai javaslatok stratégiai fázisának meghatározására vonatkozó szakaszt.
Incidensre való felkészültségre és reagálásra vonatkozó stratégia meghatározása
Világos jövőképet és jól meghatározott, konkrét célkitűzéseket fogalmaz meg a felhőbiztonsági felkészültséghez. Összpontosítson a biztonsági kapacitás létrehozására és a biztonsági készségek fejlesztésére. Az incidensek felkészültségi és válaszstratégiát az általános üzleti stratégiához igazíthatja, hogy az üzleti stratégiát ne akadályozza a biztonság. Ismerje meg a megbízhatóságra és a teljesítményre vonatkozó üzleti követelményeket, hogy a stratégia megfeleljen ezeknek a követelményeknek, miközben létrehozza a szükséges technológiai alapokat az incidensek előkészítéséhez és megválaszolásához.
Bizalmassági stratégia meghatározása
Amikor egy vállalati felhőkörnyezetben a bizalmasság bevezetésére vonatkozó stratégiát határoz meg, több fontos szempontot is figyelembe kell vennie:
Az adatok védelmének és védelmének rangsorolása. Egyértelmű üzleti célkitűzéseket fogalmaz meg, amelyek hangsúlyozzák az adatvédelem és az adatvédelem fontosságát. Ezek a célkitűzések magukban foglalják a vonatkozó szabályozásoknak, például a GDPR-nak, a HIPAA-nak és az iparági szabványoknak való megfelelést.
Tervezze meg a kockázatkezelési stratégiát. Az adattitkosítás lehetséges kockázatainak azonosítása és értékelése, valamint stratégiák kidolgozása a kockázatok mérséklésére.
Adatveszteség-védelmi (DLP) stratégia kidolgozása. A DLP olyan eszközök és folyamatok készlete, amelyek segítenek biztosítani, hogy a bizalmas adatok ne vesszenek el, ne legyenek visszaélve, és ne férhessenek hozzá jogosulatlan felhasználók. A bizalmasság elvét illetően magában foglalja az egyértelmű adatvédelmi célkitűzések meghatározását, valamint a robusztus titkosítási és hozzáférés-vezérlési keretrendszer kialakítását. A stratégiai fázisban a DLP integrálva van az átfogó biztonsági elképzelésbe, hogy a bizalmas adatok védettek legyenek a jogosulatlan hozzáféréssel.
Integritási stratégia meghatározása
Az adatok és a rendszer integritásának fenntartása számos olyan stratégiát igényel, mint a bizalmas kezelésre javasolt stratégiák, például a jól megtervezett adatvédelmi vezérlők és a kockázatkezelés. Ezeket a stratégiákat az adatok és a rendszerintegritás további szempontjaival kell kiegészíteni:
Rangsorolja az adatokat és a rendszerintegritást. Az adat- és rendszerintegritás fenntartásának alapvető követelménynek kell lennie az üzleti követelmények és célkitűzések szempontjából. Ennek érdekében rangsorolja a magas szintű integritást támogató biztonsági ellenőrzéseket és üzemeltetési gyakorlatokat. Az automatizálást különösen az adatok és a rendszer integritáskezelésének lehető legtöbb eszközével használhatja, a lehető legtöbb gyakorlatias módon. Az automatizálás számos, az integritáshoz kapcsolódó függvényhez használható, például:
Szabályzatkezelés.
Adatbesorolás és -kezelés.
Infrastruktúra-telepítések és frissítéskezelés.
Rendelkezésre állási stratégia meghatározása
A felhőbevezetési stratégiában a rendelkezésre állással kapcsolatos szempontokat is figyelembe véve biztosíthatja, hogy készen áll egy megbízható és rugalmas felhőtulajdon megvalósítására, és biztos lehet abban, hogy megfelel az üzleti követelményeknek a rendelkezésre állással kapcsolatban.
A rendelkezésre állási követelmények és célkitűzések a teljes felhőtulajdonra kiterjednek, beleértve az összes üzleti funkciót és számítási feladatot, valamint a mögöttes felhőplatformot. Győződjön meg arról, hogy a felhőbevezetési stratégia kidolgozása során magas szintű célokat tűz ki a felhőtulajdon különböző aspektusainak kritikusságának meghatározására, és megbeszéléseket kezdeményez az érdekelt felek között arról, hogy mi legyen a megfelelő rendelkezésre állási szint, miközben továbbra is kiegyensúlyozza a költség- és teljesítménykövetelményeket és célkitűzéseket. Ez a megközelítés segít strukturálni a felhőbevezetési terveket, hogy a felhőbevezetési folyamat következő szakaszaiban meghatározottabb célokra törekedjen, és a megfelelő hatókörű tervek és szabványok alapjait fektethesse le.
A biztonsági helyzet fenntartására vonatkozó stratégia meghatározása
A modern, robusztus biztonsági helyzet felé vezető út nem ér véget a kezdeti megvalósítással. Az új fenyegetések kezelése érdekében folyamatosan felül kell vizsgálnia és finomítania kell a biztonsági gyakorlatokat, és szigorúan be kell tartania a szabványokat. A biztonság fenntartása folyamatos erőfeszítéseket tesz a mindennapi műveletek futtatására, amelyek megfelelnek a szervezet elvárásainak, miközben felkészülnek a felmerülő fenyegetésekre és technológiai változásokra. Ennek az elvnek a elfogadása kodifikálta a folyamatos fejlesztési megközelítést. A biztonsági csapatokat a éber biztonsági gyakorlatok fenntartására vonatkozó irányelvekkel összhangban biztosítja, és bízik abban, hogy a biztonság továbbra is a felhőbevezetési folyamat egyik alappillére.
A fenntarthatósági stratégia kidolgozásakor arra összpontosít, hogy megtanulja, hogyan teljesít az általános biztonsági stratégia a valós világban, és hogyan alkalmazza a tanulságokat annak folyamatos fejlesztésére. A fenntarthatósági stratégiának hosszú távú üzleti célokat kell tartalmaznia annak biztosítása érdekében, hogy a hosszú távú biztonsági célok igazodjanak egymáshoz. Ha figyelembe vesszük ezeket a célokat, a fenntarthatósági stratégia határozza meg, hogyan kell fejlődnie a biztonsági helyzetnek ahhoz, hogy igazodjon.
Példastratégia
A szervezetnek úgy kell kialakítania a felhőbevezetési stratégiát, ahogyan a szervezet számára a legjobban működik. Az alábbi példa bemutatja, hogyan építheti be a cikkben kínált útmutatást egy elbeszélő összetevőbe, például egy Word-dokumentumba.
Motivációk
A felhőbe való áttérés motivációja az üzletági (LOB) számítási feladatok modernizálása és a Microsoft globális felhőinfrastruktúra előnyeinek kihasználása, hogy az ügyfélbázis növekedésével hatékonyan felskálázhassuk az egész világon.
Üzleti szempontok:
- Vezetőségi és vezető vezetőségi bevásárlás. A felhőbevezetési tervünk vezetői összefoglalóját pénzügyi előrejelzésekkel együtt be kell nyújtanunk a testületnek jóváhagyás céljából. A vezetői összefoglalót a felső vezetésnek kell közösen kidolgoznia annak biztosítása érdekében, hogy a vezetői csapat egyetért-e a magas szintű tervvel.
Biztonsági szempontok:
- Technikai felkészültség. A migrálási terv sikeres meghatározásához informatikai és biztonsági csapatainknak továbbképzésre lesz szükségük. Előfordulhat, hogy új csapatokat és szerepköröket kell hozzáadnunk, miközben felkészülünk a felhőbe való áttérésre.
Üzleti eredmény: Globális elérés
Jelenleg csak Észak-Amerika üzemelünk. Ötéves tervünk az, hogy Európába és Ázsiába terjeszkedünk. A Microsoft globális Azure-felhőjének előnyeinek kihasználásával kiépíthetjük a szükséges infrastruktúrát a LOB-alkalmazás hatékony biztosításához Európában és Ázsiában.
Üzlet tulajdonosa: COO
Műszaki tulajdonos: CTO
Biztonsági tulajdonos: CISO
Üzleti szempontok:
- Költségvetés-előrejelzés. A felhőbe való migrálási terv fejlesztésének részeként az informatikai, biztonsági és értékesítési részlegnek együtt kell kidolgoznia a költségvetési előrejelzési modelleket a pénzügyi részleggel annak érdekében, hogy az érdekelt felek tisztában legyenek az Európába és Ázsiába való bővítés lehetséges költségeivel.
Biztonsági szempontok:
Megnövekedett támadási felületek. A globális terjeszkedés jelentősen növeli a támadási felületeinket azáltal, hogy több régióban helyezi el a nyilvánosan közzétett rendszereket. Gyorsan modernizálnunk kell a biztonsági helyzetünket. A Teljes felügyelet útmutatást követve biztosítjuk, hogy betartsuk az ajánlott eljárásokat.
Felhőalapú fenyegetések. A felhőbe való migrálásunk olyan új fenyegetéseket fog eredményezni, amelyeket még nem fedtünk fel. Ezek a fenyegetések nem korlátozódnak a rendszereinkre irányuló rosszindulatú támadásokra. A felhőszolgáltató emellett a fenyegetések és a szolgáltatót érintő incidensek fő célpontja, amelyek alsóbb rétegbeli hatással lehetnek a rendszereinkre vagy az üzletünkre. Felül kell vizsgálnunk az incidensre való felkészültséget és a reagálási folyamatokat, és tervünk részeként be kell építenünk a szükséges fejlesztéseket.
Üzleti eredmény: Adatinnováció
A globális terjeszkedés előrehaladtával az adatvagyonunk exponenciálisan növekszik. Az adatok kezelése nem tartható meg, hacsak nem vezetünk be felhőalapú adat- és elemzési technológiákat.
Cégtulajdonos: vezérigazgató
Műszaki tulajdonos: CTO
Biztonsági tulajdonos: CISO
Üzleti szempontok:
- Helyi megfelelőségi követelmények. A helyi megfelelőségi szabályozások szakértőivel együtt kell működnünk annak biztosítása érdekében, hogy a vállalat készen álljon a műszaki csapatok megfelelőségének fenntartására. Ez azt jelentheti, hogy bizonyos földrajzi helyeken üzleti entitásokat állít be, vagy szuverén felhőket használ olyan országokban, mint Németország és Kína.
Biztonsági szempontok:
Az adatok bizalmassága és integritása nagy méretekben. Át kell vizsgálnunk és javítani kell a bizalmassági és integritási stratégiáinkat és mechanizmusainkat annak biztosítása érdekében, hogy az új technológiák bevezetése és az új földrajzi területekre való áttérés során ne tegyük az adatainkat vagy ügyfeleink adatait a sérülés, a jogsértés vagy a veszteség kockázatára, és hogy alapértelmezés szerint betartsuk a szabályozási keretrendszereket.
Teljes felügyelet hozzáférési és engedélyezési stratégiát. El kell fogadnunk a Teljes felügyelet megközelítést annak biztosítása érdekében, hogy hozzáférési és engedélyezési stratégiánk megfeleljen a modern ajánlott eljárásoknak, és kezelhető legyen a globális terjeszkedés során.
Üzleti eredmény: Teljesítmény és megbízhatóság
Ahogy világszerte bővülünk, a LOB számítási feladatnak fenn kell tartania az ügyfeleink által használt magas teljesítményt és állásidő nélküli rendelkezésre állást.
Üzlet tulajdonosa: COO
Műszaki tulajdonos: CTO
Biztonsági tulajdonos: CISO
Üzleti szempontok:
- A teljesítmény és a megbízhatóság fenntartása a migrálás során. Ügyfeleink nagy elvárásokat támasztanak a LOB alkalmazásunkkal kapcsolatban. Nem engedhetjük meg magunknak, hogy jó hírnevét és pénzügyi kárait szenvedjük el, ha az alkalmazás állásidőt vagy hosszan tartó, korlátozott szolgáltatást tapasztal a felhőbe való migrálás során. A Microsoft támogatási csapatának bevonása a migrálási terv megtervezéséhez és a migrálásba való részvételhez minimálisra csökkenti az állásidő vagy a szolgáltatás romlása kockázatát.
Biztonsági szempontok:
Biztonságos tervezési mintákat kell kialakítanunk, hogy hatékonyan és biztonságosan üzembe helyezhesse az azonos infrastruktúra-csomagokat minden új régióban, amelybe kiterjesztjük a bővítést. A rendelkezésre állási stratégiánknak figyelembe kell vennie azokat a kompromisszumokat, amelyeket meg kell hoznunk annak érdekében, hogy a teljesítménytervek ne veszélyeztessék a biztonságot, és hogy a teljesítménycéljainkra ne legyenek hatással a biztonsági intézkedések.
- Rendszerintegritási folyamatokat és mechanizmusokat kell beépítenünk a tervezési mintáinkba, hogy a rendszereink alapértelmezés szerint védve legyenek, amikor új földrajzi helyeken helyezünk üzembe számítási feladatokat.