Giriş bölgesi güvenliğini geliştirme
Bir iş yükü veya onu barındıran giriş bölgeleri hassas verilere veya kritik sistemlere erişim gerektirdiğinde, verileri ve varlıkları korumak önemlidir.
Güvenli
Hazır durumundan çıkarken ortamınızın güvenliğini korumak için sürekli sorumluluk sahibisiniz. Bulut güvenliği aynı zamanda yalnızca statik bir hedef yerine artımlı bir işlemdir. Güvenlik bitiş durumu hayal ederken hedeflere ve önemli sonuçlara odaklanın. Kavramları, çerçeveleri ve standartları CAF güvenli metodolojisindeki disiplinlere eşlerken, insan disiplini için rollere ve sorumluluklara eşlenir. Güvenli metodoloji rehberlik sağlar.
Aşağıda, ayrıntıların bağlantılarını içeren bu kılavuza genel bir bakış sağlıyoruz.
Risk içgörüleri
İş operasyonlarının güvenlik riskleri vardır. Güvenlik ekibi, işletmeyi anlayarak ve güvenlik uygulamalarını kullanarak güvenlik risklerinin çerçevelerine nasıl uygun olduğu konusunda karar alıcıları bilgilendirmeli ve bu konuda önerilerde bulunmalıdır.
- Siber güvenlik riski nedir?: Para birimi, içeriden bilgi veya teknoloji çalmaya çalışan insan saldırganların neden olduğu tüm olası zararlar veya iş yıkımı.
- Güvenlik riski yönetiminizi uyumlu hale getirin: İş dostu terminolojiyi kullanarak güvenlik tehditlerini açıklamak, işletme genelindeki tüm kişileri etkin bir şekilde dinlemek ve iletişim kurmak için siber güvenlik ve kurumsal liderlik arasında köprü oluşturmaya yatırım yapın.
- Siber güvenlik riskini anlama: para, bilgi veya teknoloji çalmak ve farklı saldırı türlerinin olası etkisini belirlemek için insan saldırganlarının motivasyonlarını ve davranış kalıplarını kavrayın.
Güvenlik tümleştirmesi
Güvenliğin kurumsal bir sorun olduğundan ve tek bir gruba silolanmadığından emin olun. Güvenlik tümleştirmesi , iş süreçleriyle ilgili uyuşmaları en aza indirirken güvenliği herkesin rolüyle tümleştirme konusunda rehberlik sağlar. Belirli yönergeler şunları içerir:
- İlişkileri normalleştirme: Tüm ekiplerin güvenlik ekipleriyle tümleştirildiğinden ve güvenlik hedefleri konusunda ortak bir anlayışa sahip olduğundan emin olun. Ayrıca, denetimlerin iş değerinden daha ağır basmamasını sağlayarak doğru güvenlik denetimleri düzeyini bulmak için çalışın.
- BT ve iş operasyonlarıyla tümleştirme: Güvenlik güncelleştirmelerinin uygulanmasını dengeleyin ve tüm güvenlik süreçlerinin geçerli iş etkisini nasıl etkilediğini ve gelecekte olası güvenlik riskini nasıl etkilediğini haritalayın.
- Güvenlik ekiplerini tümleştirme: Etkin tehditlere yanıt vererek silolarda çalışmaktan kaçının ve dinamik bir disiplin olarak güvenlik uygulayarak kuruluşun güvenlik duruşunu sürekli geliştirin.
İş dayanıklılığı
Kuruluşlar hiçbir zaman mükemmel güvenliğe sahip olamaz ancak bir güvenlik riskinin tam yaşam döngüsüne olay öncesinde, sırasında ve sonrasında yatırım yapma konusunda İş dayanıklılığının pragmatik yaklaşımı hala vardır.
- Dayanıklılık hedefleri: İşletmenizin hızla yenilik yapmaya, etkiyi sınırlamasına ve teknolojiyi benimsemek için her zaman güvenli yollar aramasına olanak tanıyın.
- Güvenlik dayanıklılığı ve ihlali varsayın: Sıfır güven temel ilkesine uymak için ihlal veya güvenlik ihlali varsayın ve saldırıları önlemek, hasarı sınırlamak ve onlardan hızlı bir şekilde kurtarma yapmak için pragmatik güvenlik davranışları uygulayın.
Erişim denetimi
Hem kullanıcı deneyimini hem de güvenlik güvencelerini uyumlu hale getiren bir erişim denetimi stratejisi oluşturma.
- Güvenlik çevresinden sıfır güvene: Bulutta çalışırken ve yeni teknoloji kullanırken güvenlik güvencelerini oluşturmak ve iyileştirmek için erişim denetimi için sıfır güven yaklaşımını benimseyin.
- Modern erişim denetimi: Kapsamlı, tutarlı ve esnek bir erişim denetimi stratejisi yapın. Birden çok iş yükü, bulut ve çeşitli iş duyarlılığı düzeyleri için tek bir taktik veya teknolojinin ötesine geçin.
- Bilinen, güvenilen, izin verilen: Bilinen kimlik doğrulamasından emin olmak, kullanıcıya veya cihaza güvenmek ve uygulama, hizmet veya veriler için uygun hak ve ayrıcalıklara izin vermek için dinamik üç adımlı işlemi izleyin.
- Veri temelli erişim kararları: Açık doğrulamayı gerçekleştirmek için kullanıcılar ve cihazlardaki çeşitli verilerden bilinçli kararlar alın.
- Segmentasyon: Korumak için ayrı: Başarılı saldırıların zararlarını içermesi için iç ortamın ayrı kesimleri olarak sınırlar oluşturun.
- Yalıtım: Güvenlik duvarından kaçının ve unutun: İş açısından kritik varlıklar için insanlar, süreç ve teknolojiden oluşan aşırı bir segmentasyon biçimi tasarla.
Güvenlik işlemleri
Kuruluşunuzu korumak ve DevOps işleminin güvenlik disiplinini izlemek için riski azaltarak, hızla yanıt ve kurtarma yaparak güvenlik operasyonları oluşturun.
- Kişiler ve süreç: Adli araştırma rollerinde güçlü geçmişe sahip teknik olmayan kişileri dahil ederek ve eğiterek insanları en değerli varlığınız olarak etkinleştirmek için araçlarla güçlendirmek ve düşünce portföyünüzü çeşitlendirmek için bir kültür oluşturun.
- Güvenlik operasyonları modeli: Olay yönetimi, olay hazırlama ve tehdit bilgileri sonuçlarına odaklanın. Yüksek hacimli ve karmaşık olayları önceliklendirmek, araştırmak ve avlamak için alt birimler arasındaki sonuçları temsilci olarak belirleyin.
- SecOps iş temas noktaları: Önemli olayları bilgilendirmek ve kritik sistemlerin etkisini belirlemek için iş liderleriyle etkileşim kurun. Kurumsal riski azaltmak için sürekli ortak uygulama yanıtı.
- SecOps modernizasyonu: Platform kapsamı, kimlik odaklı güvenlik, IoT ve OT cihazları ve ilgili telemetri verilerini içeren eğilimleri izleyerek güvenlik operasyonlarını geliştirin.
Varlık koruması
Her varlık türüne özgü güvenlik denetimleri uygulayarak tüm fiziksel ve sanal öğeleri içeren iş açısından kritik varlıkların güvenliğini sağlayın. İlkeleri, standartları ve mimariyi karşılamak için sürekli olarak önleyici ve dedektif koruması yürütür.
- Güvenliği sağlama: Brownfield varlıklarına geçerli denetimleri uygulayarak ve yeşil alan varlıklarının en son standartlara ayarlandığından emin olarak kaynakları kuruluşunuzun en son güvenlik standartlarına ve ilkesine getirin.
- Güvenliğinizi koruyun: İş, teknoloji ve güvenlik gereksinimleri hızla değiştikçe sürekli bulut iyileştirmesi yapın ve yazılım yükseltme veya kullanımdan kaldırma planı yapın.
- Kullanmaya başlama: Önce iyi bilinen bulut kaynaklarına odaklanarak varlıkları korumaya başlayın ve güvenlik yapılandırmanız için iyi bilinen ve kanıtlanmış satıcı/sektör temellerini kullanın.
- Önemli bilgiler: Bulut esnekliği iş yükü gereksinimleri ve en iyi yöntemleri belirlemek üzere tasarım denetimleri gibi kurumsal ölçekli varlıkları yönetmek için sorumlu ve sorumlu ekiplerin temel öğelerini kullanın. Maliyet ve el ile yinelemeyi önlemek için varlık korumasının iş değerini ölçün ve otomatik ilkeyi tercih edin.
Güvenlik idaresi
Güvenlik için en iyi yönü belirlemek için iş hedeflerini ve riski kullanarak zaman içinde güvenlik duruşunu sürdürmek ve geliştirmek için güvenlik idaresi ile gözetim ve izleme gerçekleştirin.
- Uyumluluk ve raporlama: Hem dış hem de iç güvenlik ilkelerinin belirli bir sektördeki zorunlu gereksinimleri karşılaması gerekir.
- Mimari ve standartlar: Çoğu kuruluş hem şirket içi hem de bulut kaynaklarını içeren hibrit bir ortam olduğundan, kurumsal varlığınız genelinde birleşik bir görünüm oluşturun.
- Güvenlik duruşu yönetimi: Güvenlik standartlarını izlemek, rehberlik sağlamak ve süreçleri geliştirmek için idareyi planlayın. İlke ve sürekli iyileştirme yoluyla yönetime dayalı olarak çevikliği koruyun.
- İdare ve koruma uzmanlık alanları: En iyi çözümleri belirlemek için güvenlik denetimleri uygulayın ve geri bildirim sağlayın.
- İdare ve güvenlik operasyonları: Olaylardan alınan derslerin güvenlik operasyonları ve idareyle tümleştirildiğinden emin olun.
Yenilik güvenliği
Yenilik güvenliği göz önünde bulundurularak yeni uygulamalar geliştirildiğinden, yeniliklerin süreçlerini ve verilerini siber saldırılara karşı koruyun.
- DevSecOps nedir?: Yenilik sürecindeki riskleri azaltmak için DevOps'ta zaten birleştirilmiş geliştirme ve operasyon süreciyle tümleşik güvenlik.
- Tasarım ve sola kaydırarak güvenli: DevOps yaşam döngüsünün tüm aşamalarında güvenliği dahil edin ve ekiplerin yenilik hızı, güvenilirlik ve dayanıklılıkla uyumlu hale getirmesini sağlayın.
- Neden DevSecOps?: Kuruluşunuzdaki tüm BT altyapısındaki zayıflıklardan yararlanan saldırganlara karşı koruma sağlayan DevOps işleminin güvenliğini sağlamak ve bu da müşterilerinizi korur.
- DevSecOps Yolculuğu: Çoğu kuruluş gibi iki aşamalı bir işlem olarak fikir kuluçkasını ve DevOps'yi kullanın. MVP (en düşük uygulanabilir ürün) gereksinimlerini belirleyin, ekip çakışmalarını çözmek için liderlik tekniklerini kullanın ve mevcut süreç ve araçlarla güvenliği tümleştirin.
- Yolculuğunuza İpuçları: Güvenliğinizi dönüştürdükçe, yolculuk boyunca eğitim, zaman, kaynak oluşturma ve BT operasyonlarının genel olarak değişen doğasını kapsayan yaygın zorluklar olacaktır.
DevSecOps denetimleri
DevSecOps denetimleri yaparken sürekli tümleştirme ve sürekli teslimin (CI/CD) her aşamasına güvenlik ekleyin.
- Tasarımın güvenliğini sağlama: Tehdit modelleme, IDE güvenlik eklentileri/ön işleme ve eş gözden geçirme uygulamak için modern geliştirme yöntemlerinde planlama aşamasına güvenlik getirin.
- Kodun güvenliğini sağlama: Riskleri keşfetmek ve düzeltme gerçekleştirmek için merkezi depolarınıza güvenlik açığı tarama özelliğini değerlendirin ve uygulayın.
- İşlem hattının güvenliğini sağlama: Mevcut ortamları yeniden dağıtmak veya yükseltmek için büyük miktarda zaman harcamadan güvenli kod oluşturma ve dağıtma işlemleri için otomasyon ve standartlaştırma için derleme ve yayın işlem hatlarını kullanın.
- Güvenli işlemler: Çözüm üretime getirildiğinde güvenlik durumunu denetleyin ve yönetin. Ekiplerin ele alınması gereken riskleri ve güvenlik açıklarını bulmasını sağlamak için altyapı tarama araçlarını ve sızma testi uygulamalarını kullanın.
Test temelli geliştirme döngüsü
Herhangi bir güvenlik iyileştirmesine başlamadan önce" bitti tanımını" ve tüm "kabul ölçütlerini" anlamak önemlidir. Daha fazla bilgi için giriş bölgelerinin test temelli geliştirilmesi ve Azure'da test temelli geliştirme hakkındaki makalelere bakın.
Sonraki adımlar
Kritik uygulamaları desteklemek için giriş bölgesi işlemlerini geliştirmeyi öğrenin.