Bagikan melalui

Mengintegrasikan keamanan ke dalam strategi adopsi cloud Anda

  • Artikel

Memindahkan organisasi Anda ke cloud menambah kompleksitas yang signifikan pada keamanan. Agar berhasil di cloud, strategi keamanan Anda perlu memenuhi tantangan modern yang melekat pada komputasi cloud. Dalam adopsi dan pengoperasian estat cloud, keamanan menjadi pertimbangan yang diperlukan di semua faset organisasi. Ini bukan fungsi terpisah yang secara sekunder diterapkan pada faset tertentu, seperti yang umum untuk organisasi yang menjalankan platform teknologi lokal. Saat Anda menentukan strategi adopsi cloud, pertimbangkan rekomendasi yang disediakan dalam artikel ini untuk memastikan bahwa keamanan adalah bagian integral dari strategi dan akan dibangun ke dalam rencana adopsi cloud Saat Anda bergerak maju.

Diagram memperlihatkan metodologi yang terlibat dalam adopsi cloud. Diagram memiliki kotak untuk setiap fase: tim dan peran, strategi, merencanakan, siap, mengadopsi, mengatur, dan mengelola. Kotak untuk artikel ini disorot.

Artikel ini adalah panduan pendukung metodologi Strategi . Ini menjelaskan area pengoptimalan keamanan yang harus Anda pertimbangkan saat Anda melewati fase tersebut dalam perjalanan Anda.

Modernisasi postur keamanan

Strategi modernisasi postur keamanan tidak hanya melibatkan adopsi teknologi baru dan praktik operasional baru. Biasanya juga melibatkan pergeseran pola pikir di seluruh organisasi. Tim dan peran baru mungkin perlu diisi, dan tim dan peran yang ada mungkin perlu terlibat dalam keamanan dengan cara yang tidak terbiasa. Perubahan ini, yang terkadang dapat menjadi monumental bagi organisasi, dapat menjadi sumber stres dan konflik internal, jadi penting untuk mempromosikan komunikasi yang sehat, jujur, dan bebas kesalahan di seluruh organisasi sepanjang proses adopsi.

Lihat panduan Tentukan strategi keamanan untuk gambaran umum komprehensif tentang pertimbangan ini.

Mengadopsi Zero Trust sebagai strategi

Mengadopsi Zero Trust sebagai strategi membantu Anda memulai perjalanan cloud dengan pendekatan modern untuk keamanan. Pendekatan Zero Trust didirikan pada tiga prinsip:

  • Memverifikasi secara eksplisit. Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia.

  • Gunakan hak istimewa minimum. Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data.

  • Anggap ada pelanggaran. Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi end-to-end, dan gunakan analitik untuk mendapatkan visibilitas ke dalam aktivitas yang terkait dengan sistem Anda, mendorong deteksi ancaman, dan meningkatkan pertahanan.

Jika Anda menerapkan prinsip-prinsip ini di seluruh proses adopsi cloud, transformasi ke keamanan modern dapat menjadi pengalaman yang lebih lancar bagi seluruh organisasi.

Microsoft menyediakan cetak biru modernisasi keamanan berbasis Zero Trust yang dapat digunakan organisasi sebagai panduan. Lihat fase Tentukan strategi untuk rekomendasi strategi.

Menentukan strategi untuk kesiapsiagaan dan respons insiden

Tetapkan visi yang jelas dan tujuan spesifik yang terdefinisi dengan baik untuk kesiapan keamanan cloud. Fokus pada pembuatan kapasitas keamanan dan pengembangan keterampilan keamanan. Selaraskan strategi kesiapsiagaan dan respons insiden Anda dengan strategi bisnis keseluruhan untuk memastikan bahwa strategi bisnis tidak terhambat oleh keamanan. Pahami persyaratan bisnis untuk keandalan dan performa untuk memastikan bahwa strategi Anda dapat mengakomodasi persyaratan tersebut sambil menciptakan fondasi teknologi yang diperlukan untuk mempersiapkan dan menanggapi insiden.

Menentukan strategi untuk kerahasiaan

Saat Anda menentukan strategi untuk mengadopsi kerahasiaan di lingkungan cloud perusahaan, Anda perlu mempertimbangkan beberapa poin utama:

  • Prioritaskan privasi dan perlindungan data. Tetapkan tujuan bisnis yang jelas yang menekankan pentingnya privasi dan perlindungan data. Tujuan ini termasuk kepatuhan terhadap peraturan yang relevan seperti GDPR, HIPAA, dan standar industri.

  • Rencanakan strategi manajemen risiko. Mengidentifikasi dan menilai potensi risiko terhadap kerahasiaan data dan mengembangkan strategi untuk mengurangi risiko ini.

  • Mengembangkan strategi perlindungan kehilangan data (DLP). DLP adalah serangkaian alat dan proses yang membantu memastikan bahwa data sensitif tidak hilang, disalahgunakan, atau diakses oleh pengguna yang tidak sah. Dalam hal prinsip kerahasiaan, ini melibatkan penentuan tujuan perlindungan data yang jelas dan menetapkan kerangka kerja untuk menerapkan enkripsi dan kontrol akses yang kuat. Selama fase strategi, DLP diintegrasikan ke dalam visi keamanan keseluruhan untuk membantu memastikan bahwa data sensitif dilindungi dari akses yang tidak sah.

Menentukan strategi untuk integritas

Mempertahankan integritas data dan sistem membutuhkan banyak strategi yang sama seperti yang disarankan untuk kerahasiaan, seperti kontrol perlindungan data dan manajemen risiko yang dirancang dengan baik. Strategi ini harus dilengkapi dengan pertimbangan tambahan untuk integritas data dan sistem:

  • Prioritaskan data dan integritas sistem. Mempertahankan integritas data dan sistem harus menjadi kunci penyewa dalam persyaratan dan tujuan bisnis. Untuk itu, prioritaskan kontrol keamanan dan praktik operasional yang mendukung tingkat integritas yang tinggi. Secara khusus, gunakan otomatisasi melalui alat untuk sebanyak mungkin data dan manajemen integritas sistem Anda seperti yang praktis. Automasi dapat digunakan untuk banyak fungsi yang terkait dengan integritas, seperti:

    • Manajemen kebijakan.

    • Klasifikasi dan manajemen data.

    • Penyebaran infrastruktur dan manajemen pembaruan.

Menentukan strategi untuk ketersediaan

Termasuk pertimbangan untuk ketersediaan dalam strategi adopsi cloud Anda membantu memastikan bahwa Anda siap untuk menerapkan estat cloud yang andal dan tangguh dan Anda dapat yakin memenuhi persyaratan bisnis Anda karena berkaitan dengan ketersediaan.

Persyaratan dan tujuan ketersediaan mencakup seluruh estat cloud, termasuk semua fungsi bisnis dan beban kerja dan platform cloud yang mendasar. Pastikan bahwa, saat Anda mengembangkan strategi adopsi cloud, Anda mulai dengan tujuan tingkat tinggi untuk menentukan kekritisan berbagai aspek estat cloud Anda dan memulai diskusi di antara pemangku kepentingan tentang tingkat ketersediaan yang tepat, sambil tetap menyeimbangkan persyaratan dan tujuan performa dan biaya. Pendekatan ini membantu menyusun rencana adopsi cloud Anda sehingga Anda dapat bekerja menuju target yang lebih ditentukan saat Anda maju ke fase berikutnya dalam perjalanan adopsi cloud Anda, meletakkan dasar untuk desain dan standar yang tercakup dengan tepat.

Menentukan strategi untuk mempertahankan postur keamanan

Perjalanan menuju postur keamanan modern dan kuat tidak berakhir dengan implementasi awal. Untuk mengikuti ancaman baru, Anda perlu terus meninjau dan menyempurnakan praktik keamanan Sambil mempertahankan kepatuhan yang ketat terhadap standar. Mempertahankan keamanan adalah upaya berkelanjutan untuk menjalankan operasi sehari-hari yang memenuhi harapan yang telah ditetapkan organisasi Anda untuk dirinya sendiri sambil mempersiapkan ancaman dan perubahan teknologi yang muncul. Adopsi prinsip ini mengkodifikasi pendekatan peningkatan berkelanjutan Anda. Ini memberi tim keamanan standar panduan untuk menjaga praktik keamanan yang waspada dan memberikan kepercayaan kepada pemangku kepentingan bahwa keamanan tetap menjadi landasan perjalanan adopsi cloud.

Ketika Anda mengembangkan strategi keberlanjutan, Anda fokus pada pembelajaran bagaimana strategi keamanan Anda secara keseluruhan berkinerja di dunia nyata dan menerapkan pelajaran untuk mengembangkannya terus menerus. Strategi keberlanjutan harus menggabungkan tujuan bisnis jangka panjang untuk memastikan bahwa tujuan keamanan jangka panjang selaras. Ketika tujuan ini diperhitungkan, strategi keberlanjutan menentukan bagaimana postur keamanan harus berkembang agar tetap selaras.

Contoh strategi

Organisasi Anda harus mengembangkan strategi adopsi cloud Anda dengan cara yang paling sesuai untuk organisasi. Contoh berikut menunjukkan bagaimana Anda dapat menggabungkan panduan yang ditawarkan dalam artikel ini ke dalam artefak narasi, seperti dokumen Word.

Motivasi

Motivasi untuk pindah ke cloud adalah untuk memodernisasi beban kerja lini bisnis (LOB) kami dan memanfaatkan infrastruktur cloud Microsoft di seluruh dunia untuk memperluas skala secara efisien di seluruh dunia saat basis pelanggan kami tumbuh.

Pertimbangan bisnis:

  • Pembelian dewan dan pimpinan senior. Kami harus menyajikan ringkasan eksekutif rencana adopsi cloud kami, dengan proyeksi keuangan, kepada dewan untuk disetujui. Ringkasan eksekutif harus dikembangkan bersama oleh kepemimpinan senior untuk memastikan bahwa tim kepemimpinan bersepakat tentang rencana tingkat tinggi.

Pertimbangan keamanan:

  • Kesiapan teknis. Tim TI dan Keamanan kami akan membutuhkan upskilling untuk berhasil menentukan rencana migrasi kami. Kita mungkin perlu menambahkan tim dan peran baru saat bersiap untuk pindah ke cloud.

Hasil bisnis: Jangkauan global

Saat ini kami hanya beroperasi di Amerika Utara. Rencana lima tahun kami adalah untuk memperluas ke Eropa dan Asia. Memanfaatkan cloud Azure global Microsoft akan memungkinkan kami membangun infrastruktur yang diperlukan untuk mengirimkan aplikasi LOB kami secara efisien di Eropa dan Asia.

  • Pemilik bisnis: COO

  • Pemilik teknis: CTO

  • Pemilik keamanan: CISO

Pertimbangan bisnis:

  • Prakiraan anggaran. Sebagai bagian dari pengembangan rencana migrasi cloud kami, IT, Keamanan, dan Penjualan harus mengembangkan bersama model prakiraan anggaran dengan departemen Keuangan untuk memastikan bahwa pemangku kepentingan memahami biaya potensial perluasan ke Eropa dan Asia.

Pertimbangan keamanan:

  • Peningkatan permukaan serangan. Memperluas seluruh dunia akan secara dramatis meningkatkan permukaan serangan kami dengan menempatkan sistem yang terekspos secara publik di beberapa wilayah. Kita perlu memodernisasi postur keamanan kita dengan cepat. Kami akan mengikuti panduan Zero Trust untuk memastikan bahwa kami mengikuti praktik terbaik.

  • Ancaman yang berfokus pada cloud. Perpindahan kami ke cloud akan membawa ancaman baru yang belum terekspos. Ancaman ini tidak terbatas pada serangan berbahaya pada sistem kita. Penyedia cloud juga merupakan target utama untuk ancaman, dan insiden yang memengaruhi penyedia dapat memiliki efek hilir pada sistem atau bisnis kami. Kami perlu meninjau kesiapsiagaan insiden dan proses respons kami dan menggabungkan peningkatan yang diperlukan sebagai bagian dari rencana kami.

Hasil bisnis: Inovasi data

Seiring perkembangan ekspansi global kami, data estate kami akan tumbuh secara eksponensial. Menangani data tersebut tidak akan dapat digunakan kecuali kami mengadopsi teknologi data dan analitik skala cloud.

  • Pemilik bisnis: CEO

  • Pemilik teknis: CTO

  • Pemilik keamanan: CISO

Pertimbangan bisnis:

  • Persyaratan kepatuhan lokal. Kita harus bekerja dengan para ahli tentang peraturan kepatuhan lokal untuk memastikan bahwa bisnis siap untuk mendukung tim teknis dengan menjaga kepatuhan. Ini mungkin berarti menyiapkan entitas bisnis di geografi tertentu atau menggunakan sovereign cloud di negara-negara seperti Jerman dan Tiongkok.

Pertimbangan keamanan:

  • Kerahasiaan dan integritas data dalam skala besar. Kami harus meninjau dan meningkatkan strategi dan mekanisme kerahasiaan dan integritas kami untuk memastikan bahwa, saat kami mengadopsi teknologi baru dan beralih ke geografi baru, kami tidak menempatkan data kami atau data pelanggan kami berisiko korupsi, pelanggaran, atau kehilangan, dan bahwa kami mematuhi kerangka kerja peraturan secara default.

  • Strategi akses dan otorisasi Zero Trust. Kita harus mengadopsi pendekatan Zero Trust untuk memastikan bahwa strategi akses dan otorisasi kita memenuhi praktik terbaik modern dan dapat dikelola saat kita berkembang secara global.

Hasil bisnis: Performa dan keandalan

Saat kami memperluas di seluruh dunia, beban kerja LOB kami harus mempertahankan performa tinggi dan ketersediaan waktu henti nol yang diandalkan pelanggan kami.

  • Pemilik bisnis: COO

  • Pemilik teknis: CTO

  • Pemilik keamanan: CISO

Pertimbangan bisnis:

  • Mempertahankan performa dan keandalan di seluruh migrasi. Pelanggan kami memiliki harapan tinggi untuk aplikasi LOB kami. Kami tidak mampu mengalami kerusakan reputasi dan keuangan jika aplikasi mengalami waktu henti atau layanan yang terdegradasi berkepanjangan selama migrasi ke cloud. Melibatkan tim dukungan Microsoft kami untuk membantu merancang rencana migrasi dan terlibat dalam migrasi akan meminimalkan risiko waktu henti atau layanan yang terdegradasi.

Pertimbangan keamanan:

  • Kita harus mengembangkan pola desain yang aman untuk memastikan bahwa kita dapat menyebarkan paket infrastruktur yang identik dan aman di setiap wilayah baru yang kita perluas. Strategi ketersediaan kami harus mempertimbangkan tradeoff yang perlu kami lakukan untuk memastikan bahwa keamanan tidak disusupi oleh desain performa kami dan bahwa target performa kami tidak terpengaruh oleh langkah-langkah keamanan kami.

    • Kita harus menyertakan proses dan mekanisme integritas sistem dalam pola desain kita untuk memastikan bahwa sistem kita dilindungi secara default ketika kita menyebarkan beban kerja kita di geografi baru.

Langkah selanjutnya

Merencanakan adopsi cloud yang aman