Güvenliği bulut benimseme stratejinizle tümleştirme
Kuruluşunuzu buluta taşımak, güvenliğe önemli ölçüde karmaşıklık katıyor. Bulutta başarılı olmak için güvenlik stratejinizin bulut bilişimin doğasında bulunan modern zorlukları karşılaması gerekir. Bir bulut varlığının benimsenmesi ve çalıştırılmasında güvenlik, kuruluşun tüm modellerinde dikkate alınması gereken bir konu haline gelir. Şirket içi teknoloji platformları çalıştıran kuruluşlarda yaygın olabileceği gibi, belirli modellere ikincil olarak uygulanan ayrı bir işlev değildir. Bulut benimseme stratejinizi tanımlarken, güvenliğin stratejinin ayrılmaz bir parçası olduğundan ve siz ilerledikçe bulut benimseme planınızda yerleşik olarak yer alacak olduğundan emin olmak için bu makalede sağlanan önerileri göz önünde bulundurun.
Bu makale, Strateji metodolojisi için destekleyici bir kılavuzdur. Yolculuğunuzda bu aşamada ilerlediğinizde göz önünde bulundurmanız gereken güvenlik iyileştirmesi alanlarını açıklar.
Güvenlik duruşu modernleştirmesi
Güvenlik duruşu modernleştirme stratejisi yalnızca yeni teknolojilerin ve yeni operasyonel uygulamaların benimsenmesini içermez. Genellikle kuruluş genelinde bir zihniyet değişikliği de içerir. Yeni ekiplerin ve rollerin doldurulması ve mevcut ekiplerin ve rollerin, alışık oldukları yollarla güvenlik içinde yer alması gerekebilir. Kuruluşlar için bazen anıtsal olabilecek bu değişiklikler stres ve iç çatışmaların kaynağı olabileceğinden, benimseme süreci boyunca kuruluş genelinde sağlıklı, dürüst ve suçsuz iletişimlerin teşvik edilmesi önemlidir.
Bu konulara kapsamlı bir genel bakış için güvenlik stratejisi tanımlama kılavuzuna bakın.
strateji olarak Sıfır Güven benimseme
Strateji olarak Sıfır Güven benimsemek, bulut yolculuğunuza modern bir güvenlik yaklaşımıyla başlamanıza yardımcı olur. Sıfır Güven yaklaşımı üç ilkeye dayalıdır:
Açıkça doğrulayın. Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme.
En az ayrıcalık kullanın. Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
İhlal olduğunu varsayalım. Patlama yarıçapını ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve sistemlerinizle ilgili etkinliklerin görünürlüğünü elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.
Bu ilkeleri bulut benimseme sürecine uygularsanız, modern güvenliğe dönüştürme tüm kuruluş için daha sorunsuz bir deneyim olabilir.
Microsoft, kuruluşların kılavuz olarak kullanabileceği Sıfır Güven tabanlı bir güvenlik modernleştirme şeması sağlar. Strateji önerileri için Strateji tanımlama aşamasına bakın.
Olay hazırlığı ve yanıtı için strateji tanımlama
Bulut güvenliği hazırlığı için net bir vizyon ve iyi tanımlanmış, belirli hedefler oluşturun. Güvenlik kapasitesi oluşturmaya ve güvenlik becerileri geliştirmeye odaklanın. İş stratejisinin güvenlik tarafından engellenmediğinden emin olmak için olay hazırlığınızı ve yanıt stratejinizi genel iş stratejisiyle uyumlu hale getirme. Güvenlik olaylarına hazırlanmak ve olaylara yanıt vermek için gerekli teknoloji temelini oluştururken stratejinizin bu gereksinimleri karşılayabilmesini sağlamak için güvenilirlik ve performans için iş gereksinimlerini anlayın.
Gizlilik stratejisi tanımlama
Kurumsal bulut ortamında gizliliği benimsemeye yönelik bir strateji tanımlarken birkaç önemli noktayı göz önünde bulundurmanız gerekir:
Veri gizliliğine ve korumasına öncelik ver. Veri gizliliği ve korumasının önemini vurgulayan net iş hedefleri oluşturun. Bu hedefler GDPR, HIPAA ve endüstri standartları gibi ilgili düzenlemelere uyumluluğu içerir.
Risk yönetimi stratejisi planlama. Veri gizliliğine yönelik olası riskleri belirleyin ve değerlendirin ve bu riskleri azaltmak için stratejiler geliştirin.
Veri kaybı koruması (DLP) stratejisi geliştirme. DLP, hassas verilerin kaybolmamasını, kötüye kullanılmamasını veya yetkisiz kullanıcılar tarafından erişilmesini sağlamaya yardımcı olan bir dizi araç ve işlemdir. Gizlilik ilkesi açısından, net veri koruma hedeflerini tanımlamayı ve güçlü şifreleme ve erişim denetimleri uygulamak için bir çerçeve oluşturmayı içerir. Strateji aşamasında DLP, hassas verilerin yetkisiz erişime karşı korunmasına yardımcı olmak için genel güvenlik vizyonuyla tümleştirilir.
Bütünlük için strateji tanımlama
Verilerin ve sistem bütünlüğünün korunması, iyi tasarlanmış veri koruma denetimleri ve risk yönetimi gibi gizlilik için önerilen stratejilerle aynı stratejilerin çoğunu gerektirir. Bu stratejiler, veri ve sistem bütünlüğü konusunda dikkat edilmesi gereken ek noktalar ile artırılmalıdır:
Verilerin ve sistem bütünlüğünün önceliğini belirleme. Verilerin ve sistem bütünlüğünün korunması, iş gereksinimlerinde ve hedeflerinde önemli bir ağ olmalıdır. Bu amaçla, yüksek bir bütünlük düzeyini destekleyen güvenlik denetimlerine ve operasyonel uygulamalara öncelik ver. Özellikle, pratik olduğu kadar veri ve sistem bütünlüğü yönetimi için araçlar aracılığıyla otomasyonu kullanın. Otomasyon, aşağıdakiler gibi bütünlükle ilgili birçok işlev için kullanılabilir:
İlke yönetimi.
Veri sınıflandırması ve yönetimi.
Altyapı dağıtımları ve güncelleştirme yönetimi.
Kullanılabilirlik stratejisi tanımlama
Bulut benimseme stratejinizde kullanılabilirlik konusunda dikkat edilmesi gerekenler de dahil olmak üzere, güvenilir ve dayanıklı bir bulut varlığı uygulamaya hazır olduğunuzdan ve kullanılabilirlik ile ilgili olarak iş gereksinimlerinizi karşılama konusunda güvenebileceğinizden emin olmanıza yardımcı olur.
Kullanılabilirlik gereksinimleri ve hedefleri, tüm iş işlevleri ve iş yükleri ile temel alınan bulut platformu da dahil olmak üzere bulut varlığının tamamına yayılmıştır. Bulut benimseme stratejinizi geliştirirken bulut varlığınızın çeşitli yönlerinin kritikliğini belirlemek için üst düzey hedeflerle başladığınızdan emin olun ve proje katılımcıları arasında uygun kullanılabilirlik düzeyinin ne olması gerektiği konusunda tartışmalara başlarken maliyet ve performans gereksinimlerini ve hedeflerini dengelemeye devam edin. Bu yaklaşım, bulut benimseme planlarınızı yapılandırarak bulut benimseme yolculuğunuzda sonraki aşamalara ilerledikçe daha tanımlı hedeflere doğru çalışabilmenize yardımcı olur ve uygun kapsamlı tasarımlar ve standartlar için temel oluşturur.
Güvenlik duruşlarını sürdürmek için bir strateji tanımlama
Modern ve sağlam bir güvenlik duruşu yolculuğu ilk uygulamayla bitmiyor. Yeni tehditlere ayak uydurmak için standartlara sıkı sıkıya bağlı kalarak güvenlik uygulamalarınızı sürekli gözden geçirmeniz ve iyileştirmeniz gerekir. Güvenliğin sürdürülmesi, kuruluşunuzun yeni ortaya çıkan tehditlere ve teknolojik değişikliklere hazırlanırken kendi başına belirlediği beklentileri karşılayan, sürekli olarak devam eden bir çalışmadır. Bu ilkenin benimsenmesi, sürekli iyileştirme yaklaşımınıza uyum gösterir. Güvenlik ekiplerine dikkatli güvenlik uygulamalarının sürdürülmesi için yol gösteren standartlar sunar ve paydaşlara güvenliğin bulut benimseme yolculuğunun temel taşı olduğu konusunda güven verir.
Bir sürdürülebilirlik stratejisi geliştirirken, genel güvenlik stratejinizin gerçek dünyada nasıl performans sergilediğinden ve sürekli geliştirmek için dersler uygulamaya odaklanırsınız. Bir sürdürülebilirlik stratejisi, uzun vadeli güvenlik hedeflerinin uyumlu olmasını sağlamak için uzun vadeli iş hedeflerini içermelidir. Bu hedefler dikkate alındığında, sürdürülebilirlik stratejisi, uyum içinde kalmak için güvenlik duruşunun nasıl gelişmesi gerektiğini tanımlar.
Örnek strateji
Kuruluşunuz, bulut benimseme stratejinizi kuruluş için en iyi şekilde geliştirmelidir. Aşağıdaki örnekte, bu makalede sunulan kılavuzu bir Word belgesi gibi bir anlatı yapıtına nasıl dahil edebileceğiniz gösterilmektedir.
Motivasyonlar
Buluta geçmenin motivasyonu, iş kolu (LOB) iş yükümüzü modernleştirmek ve müşteri tabanımız büyüdükçe dünya genelinde ölçeği verimli bir şekilde genişletmek için Microsoft dünya çapındaki bulut altyapısından yararlanmaktır.
İş konuları:
- Yönetim kurulu ve üst düzey liderlik satın alma. Bulut benimseme planımızın yönetim özetini finansal projeksiyonlarla birlikte onay için yönetim kuruluna sunmalıyız. Yönetim ekibinin üst düzey plan konusunda uyumlu olduğundan emin olmak için yönetici özeti üst düzey liderlik tarafından birlikte geliştirilmelidir.
Güvenlikle ilgili dikkat edilmesi gerekenler:
- Teknik açıdan hazır olma durumu. GEÇIŞ planımızı başarıyla tanımlamak için BT ve Güvenlik ekiplerimizin gerekli altyapıya sahip olması gerekir. Buluta geçmeye hazırlanırken yeni ekipler ve roller eklememiz gerekebilir.
İş sonucu: Genel erişim
Şu anda yalnızca Kuzey Amerika çalışıyoruz. Beş yıllık planımız Avrupa ve Asya'ya açılmaktır. Microsoft küresel Azure bulutunun avantajlarından yararlanmak, LoB uygulamamızı Avrupa ve Asya'da verimli bir şekilde sunmak için gerekli altyapıyı oluşturmamıza olanak sağlayacaktır.
İşletme sahibi: COO
Teknik sahip: CTO
Güvenlik sahibi: CISO
İş konuları:
- Bütçe tahmini. Bulut geçiş planımızı geliştirmenin bir parçası olarak BT, Güvenlik ve Satış, paydaşların Avrupa ve Asya'ya genişlemenin olası maliyetlerini anlamasını sağlamak için Finans departmanıyla birlikte bütçe tahmin modelleri geliştirmelidir.
Güvenlikle ilgili dikkat edilmesi gerekenler:
Artan saldırı yüzeyleri. Dünya genelinde genişlemek, genel kullanıma açık sistemleri birden çok bölgeye yerleştirerek saldırı yüzeylerimizi önemli ölçüde artıracaktır. Güvenlik duruşumuzu hızla modernleştirmemiz gerekiyor. En iyi yöntemleri izlediğimizden emin olmak için Sıfır Güven yönergelerini izleyeceğiz.
Bulut odaklı tehditler. Buluta geçişimiz henüz maruz kalmadığımız yeni tehditleri beraberinde getirecek. Bu tehditler sistemlerimize yapılan kötü amaçlı saldırılarla sınırlı değildir. Bulut sağlayıcısı tehditler için de önemli bir hedeftir ve sağlayıcıyı etkileyen olayların sistemlerimiz veya işletmemiz üzerinde aşağı akış etkileri olabilir. Olay hazırlık ve yanıt süreçlerimizi gözden geçirmemiz ve planımızın bir parçası olarak gerekli iyileştirmeleri dahil etmemiz gerekiyor.
İş sonucu: Veri yeniliği
Küresel genişlememiz ilerledikçe, veri varlığımız katlanarak artacaktır. Bulut ölçeğindeki veri ve analiz teknolojilerini benimsemediğimiz sürece bu verilerin işlenmesi sürdürülemez.
İşletme sahibi: CEO
Teknik sahip: CTO
Güvenlik sahibi: CISO
İş konuları:
- Yerel uyumluluk gereksinimleri. İşletmenin uyumluluğu sürdürmek için teknik ekipleri desteklemeye hazır olduğundan emin olmak için yerel uyumluluk düzenlemeleri konusunda uzmanlarla birlikte çalışmamız gerekir. Bu, belirli coğrafyalarda iş varlıkları ayarlamak veya Almanya ve Çin gibi ülkelerde bağımsız bulutlar kullanmak anlamına gelebilir.
Güvenlikle ilgili dikkat edilmesi gerekenler:
Büyük ölçekte veri gizliliği ve bütünlüğü. Yeni teknolojileri benimsedikçe ve yeni coğrafyalara geçtikçe verilerimizi veya müşterilerimizin verilerini bozulma, ihlal veya kayıp riskine sokmadığımız ve yasal çerçevelere varsayılan olarak uyacağımızdan emin olmak için gizlilik ve bütünlük stratejilerimizi ve mekanizmalarımızı gözden geçirip geliştirmeliyiz.
Erişim ve yetkilendirme stratejisini Sıfır Güven. Erişim ve yetkilendirme stratejimizin modern en iyi yöntemleri karşıladığından ve küresel olarak genişledikçe yönetilebilir olduğundan emin olmak için Sıfır Güven yaklaşımı benimsememiz gerekir.
İş sonucu: Performans ve güvenilirlik
Dünya genelinde genişledikçe, LOB iş yükümüzün müşterilerimizin güvendiği yüksek performansı ve sıfır kapalı kalma süresi kullanılabilirliğini koruması gerekir.
İşletme sahibi: COO
Teknik sahip: CTO
Güvenlik sahibi: CISO
İş konuları:
- Geçiş boyunca performans ve güvenilirliği koruma. Müşterilerimizin LOB uygulamamızdan beklentileri yüksektir. Uygulama, buluta geçiş sırasında kapalı kalma süresi veya uzun süreli hizmet düzeyi düşürülmüş durumdaysa itibar ve finansal zarara uğramayı göze alamayız. Geçiş planını tasarlamaya ve geçişe dahil olmaya yardımcı olmak için Microsoft destek ekibimizle etkileşime geçmek kapalı kalma süresi veya düşük hizmet riskini en aza indirir.
Güvenlikle ilgili dikkat edilmesi gerekenler:
Genişlettiğimiz her yeni bölgede aynı altyapı paketlerini verimli ve güvenli bir şekilde dağıtabildiğimiz için güvenli tasarım desenleri geliştirmemiz gerekir. Kullanılabilirlik stratejimiz, güvenliğin performans tasarımlarımız tarafından tehlikeye atılmasını ve performans hedeflerimizin güvenlik önlemlerimizden etkilenmemesini sağlamak için yapmamız gereken dengeleri dikkate almalıdır.
- İş yükümüzü yeni coğrafyalara dağıtırken sistemlerimizin varsayılan olarak korunduğundan emin olmak için tasarım desenlerimize sistem bütünlüğü süreçlerini ve mekanizmalarını eklemeliyiz.