Bagikan melalui

Mengatur estat cloud Anda dengan aman

  • Artikel

Tata kelola keamanan menghubungkan prioritas bisnis Anda dengan implementasi teknis, seperti arsitektur, standar, dan kebijakan. Tim tata kelola memberikan pengawasan dan pemantauan untuk mempertahankan dan meningkatkan postur keamanan dari waktu ke waktu. Tim-tim ini juga melaporkan kepatuhan yang diperlukan badan peraturan.

Diagram yang menunjukkan komponen utama tata kelola keamanan, termasuk manajemen risiko, kepatuhan, penegakan kebijakan, dan pemantauan berkelanjutan.

Tujuan dan risiko bisnis memberikan panduan paling efektif untuk keamanan. Pendekatan ini memastikan bahwa upaya keamanan terkonsentrasi pada prioritas utama organisasi. Selain itu, ini membantu pemilik risiko dengan menggunakan bahasa dan proses yang familier dalam kerangka kerja manajemen risiko.

Diagram memperlihatkan metodologi yang terlibat dalam adopsi cloud. Diagram memiliki kotak untuk setiap fase: tim dan peran, strategi, merencanakan, siap, mengadopsi, mengatur, dan mengelola. Kotak untuk artikel ini disorot.

Artikel ini adalah panduan pendukung untuk metodologi Tata Kelola . Ini menyediakan area pengoptimalan keamanan untuk Anda pertimbangkan saat Anda melewati fase tersebut dalam perjalanan Anda.

Modernisasi postur keamanan

Hanya menggunakan pelaporan masalah bukanlah strategi yang efektif untuk mempertahankan postur keamanan Anda. Di era cloud, tata kelola memerlukan pendekatan aktif yang terus berkolaborasi dengan tim lain. Manajemen postur keamanan adalah fungsi yang muncul dan penting. Peran ini membahas pertanyaan penting tentang keamanan lingkungan. Ini mencakup area utama seperti pengelolaan kerentanan dan pelaporan kepatuhan keamanan.

Di lingkungan lokal, tata kelola keamanan bergantung pada data berkala yang tersedia tentang lingkungan. Pendekatan ini sering menghasilkan informasi yang kedaluarsa. Teknologi cloud merevolusi proses ini dengan memberikan visibilitas sesuai permintaan ke dalam postur keamanan dan cakupan aset saat ini. Wawasan real-time ini mengubah tata kelola menjadi organisasi yang lebih dinamis. Ini menumbuhkan kolaborasi yang lebih dekat dengan tim keamanan lainnya untuk memantau standar keamanan, memberikan panduan, dan meningkatkan proses.

Dalam keadaan idealnya, tata kelola mendorong peningkatan berkelanjutan di seluruh organisasi. Proses yang sedang berlangsung ini melibatkan semua bagian organisasi untuk memastikan kemajuan keamanan yang konstan.

Berikut ini adalah prinsip-prinsip utama untuk tata kelola keamanan:

  • Penemuan aset dan jenis aset berkelanjutan: Inventaris statis tidak dimungkinkan di lingkungan cloud dinamis. Organisasi Anda harus fokus pada penemuan aset dan jenis aset yang berkelanjutan. Di {i>cloud

  • Peningkatan postur keamanan aset yang berkelanjutan: Tim tata kelola harus fokus pada peningkatan dan penegakan standar untuk mengikuti cloud dan penyerang. Organisasi teknologi informasi (TI) harus bereaksi cepat terhadap ancaman baru dan beradaptasi sesuai dengan teknologi itu. Penyerang terus mengembangkan teknik mereka, sementara pertahanan terus meningkat dan mungkin perlu diperbarui. Anda tidak selalu dapat menggabungkan semua langkah keamanan yang diperlukan dalam penyiapan awal.

  • Tata kelola berbasis kebijakan: Tata kelola ini memastikan implementasi yang konsisten karena Anda menentukan kebijakan sekali dan menerapkannya secara otomatis di seluruh sumber daya. Proses ini membatasi waktu dan upaya yang terbuang pada tugas manual berulang. Ini sering diimplementasikan dengan menggunakan Azure Policy atau kerangka kerja otomatisasi kebijakan non-Microsoft.

Untuk mempertahankan kelincahan, panduan praktik terbaik seringkali bersifat berulang. Panduan ini mencerna potongan-potongan kecil informasi dari berbagai sumber untuk menyusun keseluruhan informasi dan terus membuat penyesuaian kecil.

Fasilitasi Azure

  • Microsoft Defender untuk Cloud dapat membantu Anda terus menemukan dan mengelola komputer virtual secara otomatis di lingkungan Anda melalui provisi pengumpulan data otomatis.

  • Microsoft Defender untuk Cloud aplikasi dapat membantu Anda terus menemukan dan mengatur perangkat lunak pihak pertama dan non-Microsoft sebagai aplikasi layanan yang digunakan di lingkungan Anda.

Kesiapsiagaan dan respons insiden

Tata kelola keamanan sangat penting untuk menjaga kesiapsiagaan Anda. Untuk menerapkan standar secara ketat, mekanisme dan praktik tata kelola yang kuat harus mendukung implementasi mekanisme kesiapsiagaan dan respons serta praktik operasional. Pertimbangkan rekomendasi berikut untuk membantu mengatur kesiapsiagaan insiden dan standar respons:

Tata kelola kesiapsiagaan insiden

  • Mengotomatiskan tata kelola: Gunakan alat untuk mengotomatiskan tata kelola sebanyak mungkin. Anda dapat menggunakan alat untuk mengelola kebijakan untuk penyebaran infrastruktur, menerapkan langkah-langkah pengerasan, melindungi data, dan mempertahankan standar manajemen identitas dan akses. Dengan mengotomatiskan tata kelola langkah-langkah keamanan ini, Anda dapat memastikan bahwa semua sumber daya di lingkungan Anda mematuhi standar keamanan Anda sendiri dan semua kerangka kerja kepatuhan yang diperlukan untuk bisnis Anda. Untuk informasi selengkapnya, lihat Menerapkan kebijakan tata kelola cloud.

  • Mematuhi garis besar keamanan dari Microsoft: Memahami rekomendasi keamanan dari Microsoft untuk layanan di estat cloud Anda, yang tersedia sebagai garis besar keamanan. Garis besar ini dapat membantu Anda memastikan bahwa penyebaran yang ada diamankan dengan benar dan bahwa penyebaran baru dikonfigurasi dengan benar sejak awal. Pendekatan ini mengurangi risiko kesalahan konfigurasi.

Tata kelola respons insiden

  • Tata kelola rencana respons insiden: Rencana respons insiden harus dipertahankan dengan perawatan yang sama dengan dokumen penting lainnya di properti Anda. Rencana respons insiden Anda harus:

    • Versi dikontrol untuk memastikan bahwa tim bekerja dari versi terbaru, dan bahwa penerapan versi dapat diaudit.

    • Disimpan dalam penyimpanan yang sangat tersedia dan aman.

    • Ditinjau secara teratur dan diperbarui saat perubahan pada lingkungan memerlukannya.

  • Tata kelola pelatihan respons insiden: Materi pelatihan untuk respons insiden harus dikontrol versinya untuk auditabilitas dan untuk memastikan bahwa versi terbaru digunakan pada waktu tertentu. Mereka juga harus ditinjau secara teratur dan diperbarui saat pembaruan pada rencana respons insiden dibuat.

Fasilitasi Azure

  • Azure Policy adalah solusi manajemen kebijakan yang dapat Anda gunakan untuk membantu menegakkan standar organisasi dan menilai kepatuhan dalam skala besar. Untuk mengotomatiskan penegakan kebijakan untuk banyak layanan Azure, manfaatkan definisi kebijakan bawaan.

  • Defender untuk Cloud menyediakan kebijakan keamanan yang dapat mengotomatiskan kepatuhan dengan standar keamanan Anda.

Tata kelola kerahasiaan

Tata kelola yang efektif sangat penting untuk menjaga keamanan dan kepatuhan di lingkungan cloud perusahaan. Tata kelola mencakup kebijakan, prosedur, dan kontrol yang memastikan data dikelola dengan aman dan sesuai dengan persyaratan peraturan. Ini menyediakan kerangka kerja untuk pengambilan keputusan, akuntabilitas, dan peningkatan berkelanjutan, yang penting untuk melindungi informasi sensitif dan mempertahankan kepercayaan. Kerangka kerja ini sangat penting untuk menjunjung tinggi prinsip kerahasiaan dari Triad CIA. Ini membantu Anda memastikan bahwa data sensitif hanya dapat diakses oleh pengguna dan proses yang berwenang.

  • Kebijakan teknis: Kebijakan ini mencakup kebijakan kontrol akses, kebijakan enkripsi data, dan kebijakan masking atau tokenisasi data. Tujuan dari kebijakan ini adalah untuk menciptakan lingkungan yang aman dengan menjaga kerahasiaan data melalui kontrol akses yang ketat dan metode enkripsi yang kuat.

  • Kebijakan tertulis: Kebijakan tertulis berfungsi sebagai kerangka kerja yang mengatur untuk seluruh lingkungan perusahaan. Mereka menetapkan persyaratan dan parameter untuk penanganan, akses, dan perlindungan data. Dokumen-dokumen ini memastikan konsistensi dan kepatuhan di seluruh organisasi dan memberikan pedoman yang jelas untuk karyawan dan staf TI. Kebijakan tertulis juga berfungsi sebagai titik referensi untuk audit dan penilaian, yang membantu mengidentifikasi dan mengatasi kesenjangan dalam praktik keamanan.

  • Perlindungan kehilangan data: Pemantauan berkelanjutan dan audit tindakan pencegahan kehilangan data (DLP) harus dilakukan untuk memastikan kepatuhan berkelanjutan terhadap persyaratan kerahasiaan. Proses ini termasuk meninjau dan memperbarui kebijakan DLP secara teratur, melakukan penilaian keamanan, dan menanggapi insiden apa pun yang mungkin membahayakan kerahasiaan data. Tetapkan DLP secara terprogram di seluruh organisasi untuk memastikan pendekatan yang konsisten dan dapat diskalakan untuk melindungi data sensitif.

Memantau kepatuhan dan metode penegakan

Sangat penting untuk memantau kepatuhan dan menerapkan kebijakan untuk menjaga prinsip kerahasiaan di lingkungan cloud perusahaan. Tindakan ini sangat penting untuk standar keamanan yang kuat. Proses ini memastikan bahwa semua langkah keamanan diterapkan secara konsisten dan efektif untuk membantu melindungi data sensitif dari akses dan pelanggaran yang tidak sah. Penilaian reguler, pemantauan otomatis, dan program pelatihan komprehensif sangat penting untuk memastikan kepatuhan terhadap kebijakan dan prosedur yang ditetapkan.

  • Audit dan penilaian reguler: Lakukan audit dan penilaian keamanan reguler untuk memastikan bahwa kebijakan diikuti dan mengidentifikasi area untuk perbaikan. Audit ini harus mencakup standar dan persyaratan peraturan, industri, dan organisasi, dan mungkin melibatkan penilai pihak ketiga untuk memberikan evaluasi yang tidak bias. Program penilaian dan inspeksi yang disetujui membantu menjaga standar keamanan dan kepatuhan yang tinggi, dan memastikan bahwa semua aspek kerahasiaan data ditinjau dan ditangani secara menyeluruh.

  • Pemantauan kepatuhan otomatis: Alat seperti Azure Policy mengotomatiskan pemantauan kepatuhan terhadap kebijakan keamanan dan memberikan wawasan dan pemberitahuan real time. Fungsionalitas ini membantu memastikan kepatuhan berkelanjutan terhadap standar keamanan. Pemantauan otomatis membantu Anda mendeteksi dan merespons pelanggaran kebijakan dengan cepat, yang mengurangi risiko pelanggaran data. Ini juga memastikan kepatuhan berkelanjutan dengan secara teratur memeriksa konfigurasi dan kontrol akses terhadap kebijakan yang ditetapkan.

  • Program pelatihan dan kesadaran: Mendidik karyawan tentang kebijakan kerahasiaan data dan praktik terbaik untuk menumbuhkan budaya sadar keamanan. Sesi pelatihan dan program kesadaran rutin membantu memastikan bahwa semua anggota staf memahami peran dan tanggung jawab mereka dalam menjaga kerahasiaan data. Program-program ini harus diperbarui secara berkala untuk mencerminkan perubahan kebijakan dan ancaman yang muncul. Strategi ini memastikan bahwa karyawan selalu dilengkapi dengan pengetahuan dan keterampilan terbaru.

Tata kelola integritas

Untuk menjaga perlindungan integritas Anda secara efektif, Anda memerlukan strategi tata kelola yang dirancang dengan baik. Strategi ini harus memastikan bahwa semua kebijakan dan prosedur didokumenkan dan diberlakukan, dan bahwa semua sistem terus diaudit untuk kepatuhan.

Panduan yang dijelaskan sebelumnya di bagian Tata kelola Kerahasiaan juga berlaku untuk prinsip integritas. Rekomendasi berikut khusus untuk integritas:

  • Tata kelola kualitas data otomatis: Pertimbangkan untuk menggunakan solusi di luar rak untuk mengatur data Anda. Gunakan solusi bawaan untuk meringankan beban tim tata kelola data Anda dari validasi kualitas manual. Strategi ini juga mengurangi risiko akses dan perubahan data yang tidak sah selama proses validasi.

  • Tata kelola integritas sistem otomatis: Pertimbangkan untuk menggunakan alat terpusat dan terpadu untuk mengotomatiskan tata kelola integritas sistem Anda. Misalnya, Azure Arc memungkinkan Anda mengatur sistem di beberapa cloud, pusat data lokal, dan situs tepi. Dengan menggunakan sistem seperti ini, Anda dapat menyederhanakan tanggung jawab tata kelola Anda dan mengurangi beban operasional.

Fasilitasi Azure

  • Kualitas Data Microsoft Purview memungkinkan pengguna menilai kualitas data dengan menggunakan aturan tanpa kode/kode rendah, termasuk aturan out-of-the-box (OOB) dan aturan yang dihasilkan AI. Aturan ini diterapkan di tingkat kolom lalu diagregasi untuk memberikan skor untuk aset data, produk data, dan domain bisnis. Pendekatan ini memastikan visibilitas kualitas data yang komprehensif di setiap domain.

Tata kelola ketersediaan

Desain arsitektur yang Anda standarkan di estat cloud Anda memerlukan tata kelola untuk memastikan bahwa desain tersebut tidak menyimpang dan ketersediaan Anda tidak disusupi oleh pola desain yang tidak sesuai. Demikian juga, rencana pemulihan bencana Anda juga harus diatur untuk memastikan bahwa rencana pemulihan tersebut terawat dengan baik.

Tata kelola desain ketersediaan

  • Pertahankan pola desain standar: Kodifikasi dan terapkan infrastruktur dan pola desain aplikasi secara ketat. Mengatur pemeliharaan standar desain untuk memastikan bahwa standar tersebut tetap terbaru dan terlindungi dari akses atau perubahan yang tidak sah. Perlakukan standar ini dengan perawatan yang sama dengan kebijakan lain. Jika memungkinkan, otomatiskan penegakan mempertahankan pola desain. Misalnya, Anda dapat mengaktifkan kebijakan untuk mengontrol jenis sumber daya mana yang dapat disebarkan dan menentukan wilayah tempat penyebaran diizinkan.

Tata kelola pemulihan bencana

  • Tata kelola rencana pemulihan bencana: Perlakukan rencana pemulihan bencana dengan tingkat kepentingan yang sama dengan rencana respons insiden. Rencana pemulihan bencana harus:

    • Dikontrol versi untuk memastikan bahwa tim selalu bekerja dengan versi terbaru dan penerapan versi tersebut dapat diaudit untuk akurasi dan kepatuhan.

    • Disimpan dalam penyimpanan yang sangat tersedia dan aman.

    • Ditinjau secara teratur dan diperbarui saat perubahan pada lingkungan diperlukan.

  • Tata kelola latihan pemulihan bencana: Latihan pemulihan bencana tidak hanya untuk pelatihan tentang rencana tetapi juga berfungsi sebagai peluang pembelajaran untuk meningkatkan rencana itu sendiri. Mereka juga dapat membantu menyempurnakan standar operasional atau desain. Catatan cermat menjaga latihan pemulihan bencana membantu mengidentifikasi area untuk perbaikan dan memastikan kepatuhan terhadap persyaratan audit untuk kesiapsiagaan bencana. Dengan menyimpan catatan ini di repositori yang sama dengan paket, Anda dapat membantu menjaga semuanya tetap terorganisir dan aman.

Mempertahankan tata kelola yang aman

Manajemen Layanan Modern (MSM)

Manajemen Layanan Modern (MSM) adalah serangkaian praktik dan alat yang dirancang untuk mengelola dan mengoptimalkan layanan TI di lingkungan cloud. Tujuan dari MSM adalah untuk menyelaraskan layanan IT dengan kebutuhan bisnis. Pendekatan ini memastikan pengiriman layanan yang efisien sambil mempertahankan standar keamanan dan kepatuhan yang tinggi. MSM menyediakan pendekatan terstruktur untuk mengelola lingkungan cloud yang kompleks. MSM juga memungkinkan organisasi merespons perubahan dengan cepat, mengurangi risiko, dan memastikan peningkatan berkelanjutan. Selain itu, MSM relevan dengan prinsip kerahasiaan karena mencakup alat dan praktik yang menegakkan perlindungan data dan memantau kontrol akses.

  • Manajemen keamanan terpadu: Alat MSM menyediakan manajemen keamanan yang komprehensif dengan mengintegrasikan berbagai fungsi keamanan untuk memberikan tampilan holistik lingkungan cloud. Pendekatan ini membantu memberlakukan kebijakan keamanan dan mendeteksi serta merespons ancaman secara real time.

  • Manajemen dan kepatuhan kebijakan: MSM memfasilitasi pembuatan, penegakan, dan pemantauan kebijakan di seluruh lingkungan cloud. Ini memastikan bahwa semua sumber daya mematuhi standar organisasi dan persyaratan peraturan. Selain itu, ini memberikan wawasan dan pemberitahuan real-time.

  • Pemantauan dan peningkatan berkelanjutan: MSM menekankan pemantauan berkelanjutan terhadap lingkungan cloud untuk mengidentifikasi dan mengatasi potensi masalah secara proaktif. Pendekatan ini mendukung pengoptimalan dan peningkatan layanan IT yang berkelanjutan, yang memastikan bahwa layanan tersebut tetap selaras dengan tujuan bisnis.

Langkah selanjutnya

Mengelola estat cloud Anda dengan keamanan yang ditingkatkan