Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Un workload Well-Architected deve essere costruito con un approccio zero-trust. Un carico di lavoro sicuro è resiliente agli attacchi e incorpora i principi di sicurezza correlati di riservatezza, integrità e disponibilità (noti anche come triade cia) oltre a soddisfare gli obiettivi aziendali. Qualsiasi evento imprevisto di sicurezza può diventare una violazione importante che danneggia il marchio e la reputazione del carico di lavoro o dell'organizzazione. Per misurare l'efficacia della sicurezza della strategia complessiva per un carico di lavoro, iniziare con queste domande:
I tuoi investimenti difensivi forniscono costi e un'efficacia significativa per evitare che gli attaccanti compromettano i tuoi carichi di lavoro?
Le misure di sicurezza saranno efficaci per limitare il raggio di esplosione di un incidente?
Capisci come controllare il carico di lavoro potrebbe essere utile per un attaccante? È possibile comprendere l'impatto dell'azienda se il carico di lavoro e i relativi dati vengono rubati, non disponibili o manomessi?
Il carico di lavoro e le operazioni sono in grado di assicurare un rilevamento, una risposta e un recupero rapidi in caso di interruzioni?
Quando progetti il tuo sistema, utilizza il modello Microsoft Zero Trust come bussola per mitigare i rischi per la sicurezza:
Verificare in modo esplicito in modo che solo le identità attendibili eseguano azioni previste e consentite provenienti da posizioni previste. Questa salvaguardia rende più difficile per gli aggressori impersonare utenti e account legittimi.
Usare l'accesso con privilegi minimi per le identità corrette, con il set corretto di autorizzazioni, per la durata corretta e per gli asset corretti. La limitazione delle autorizzazioni aiuta a impedire agli aggressori di abusare di autorizzazioni di cui gli utenti legittimi non hanno nemmeno bisogno.
Si supponga di violare i controlli di sicurezza e progettare controlli di compensazione che limitano il rischio e i danni in caso di errore di un livello primario di difesa. Ciò ti aiuta a difendere meglio il tuo carico di lavoro pensando come un utente malintenzionato interessato al successo (indipendentemente da come lo ottiene).
La sicurezza non è uno sforzo una tantum. È necessario implementare queste indicazioni su base ricorrente. Migliorare continuamente le difese e le conoscenze sulla sicurezza per proteggere il carico di lavoro dagli utenti malintenzionati che ottengono costantemente l'accesso a vettori di attacco innovativi man mano che vengono sviluppati e aggiunti a kit di attacco automatizzati.
I principi di progettazione sono progettati per stabilire una mentalità di sicurezza continuativa che consenta di migliorare continuamente il comportamento di sicurezza del carico di lavoro man mano che i tentativi di utenti malintenzionati si evolvono continuamente. Questi principi dovrebbero guidare la sicurezza della tua architettura, delle scelte di progettazione e dei processi operativi. Iniziare con gli approcci consigliati e giustificare i vantaggi per un set di requisiti di sicurezza. Dopo aver impostato la strategia, guidare le azioni usando l'elenco di controllo sicurezza come passaggio successivo.
Se questi principi non vengono applicati correttamente, è prevedibile un impatto negativo sulle operazioni aziendali e sui ricavi. Alcune conseguenze potrebbero essere ovvie, come le sanzioni per i carichi di lavoro normativi. Altri potrebbero non essere così ovvi e potrebbero causare problemi di sicurezza continui prima che vengano rilevati.
In molti carichi di lavoro di importanza cruciale, la sicurezza è la preoccupazione principale, insieme all'affidabilità, dato che alcuni vettori di attacco, come l'esfiltrazione dei dati, non influiscono sull'affidabilità. Sicurezza e affidabilità possono spostare il carico di lavoro in direzioni opposte perché la progettazione incentrata sulla sicurezza può introdurre punti di errore e aumentare la complessità operativa. L'effetto della sicurezza sull'affidabilità è spesso indiretto, introdotto attraverso vincoli operativi. Considerare attentamente i compromessi tra sicurezza e affidabilità.
Seguendo questi principi, puoi migliorare l'efficacia della sicurezza, rafforzare le risorse del carico di lavoro e creare fiducia con i tuoi utenti.
Pianificare l'idoneità alla sicurezza
Sforzarsi di adottare e implementare procedure di sicurezza nelle decisioni e nelle operazioni di progettazione dell'architettura con un attrito minimo. |
|---|
Il proprietario del carico di lavoro ha la responsabilità condivisa con l'organizzazione di proteggere gli asset. Creare un piano di idoneità per la sicurezza allineato alle priorità aziendali. Porterà a processi ben definiti, investimenti adeguati e responsabilità appropriate. Il piano deve fornire i requisiti del carico di lavoro all'organizzazione, che condivide anche la responsabilità della protezione degli asset. I piani di sicurezza devono fare parte della strategia per l'affidabilità, la modellizzazione della salute e l'auto-conservazione.
Oltre agli asset dell'organizzazione, il carico di lavoro stesso deve essere protetto da attacchi di intrusione ed esfiltrazione. Tutti gli aspetti di Zero Trust e della triade CIA devono essere considerati nel piano.
I requisiti funzionali e non funzionali, i vincoli di budget e altre considerazioni non devono limitare gli investimenti per la sicurezza o ridurre le garanzie. Allo stesso tempo, è necessario progettare e pianificare investimenti in sicurezza con tali vincoli e restrizioni in mente.
| Avvicinarsi | Beneficio |
|---|---|
|
Usare la segmentazione come strategia per pianificare i limiti di sicurezza nell'ambiente del carico di lavoro, nei processi e nella struttura del team per isolare l'accesso e la funzione. La strategia di segmentazione deve essere guidata dai requisiti aziendali. È possibile basarla sulla criticità dei componenti, sulla divisione del lavoro, sulle preoccupazioni sulla privacy e su altri fattori. |
Sarà possibile ridurre al minimo l'attrito operativo definendo i ruoli e stabilendo linee chiare di responsabilità. Questo esercizio consente anche di identificare il livello di accesso per ogni ruolo, soprattutto per gli account di impatto critico. L'isolamento consente di limitare l'esposizione dei flussi sensibili solo ai ruoli e agli asset che richiedono l'accesso. Un'esposizione eccessiva potrebbe causare involontariamente la divulgazione del flusso di informazioni. Per riepilogare, sarà possibile eseguire operazioni di sicurezza di dimensioni appropriate in base alle esigenze di ogni segmento. |
| Creare continuamente competenze tramite formazione sulla sicurezza basata sui ruoli che soddisfi i requisiti dell'organizzazione e i casi d'uso del carico di lavoro. | Un team altamente esperto può progettare, implementare e monitorare i controlli di sicurezza che rimangono efficaci contro gli utenti malintenzionati, che cercano costantemente nuovi modi per sfruttare il sistema. La formazione a livello di organizzazione è in genere incentrata sullo sviluppo di un set di competenze più ampio per proteggere gli elementi comuni. Tuttavia, con la formazione basata sui ruoli, ci si concentra sullo sviluppo di competenze approfondite nelle offerte di piattaforma e nelle funzionalità di sicurezza che rispondono alle problematiche del carico di lavoro. È necessario implementare entrambi gli approcci per difendersi dagli avversari tramite una buona progettazione e operazioni efficaci. |
|
Assicurarsi che sia presente un piano di risposta agli eventi imprevisti per il carico di lavoro. Usare framework di settore che definiscono la procedura operativa standard per preparazione, rilevamento, contenimento, mitigazione e attività post-incidente. |
Al momento della crisi, è necessario evitare confusione. Se si dispone di un piano ben documentato, i ruoli responsabili possono concentrarsi sull'esecuzione senza perdere tempo sulle azioni incerte. Inoltre, un piano completo consente di garantire che tutti i requisiti di correzione siano soddisfatti. |
| Rafforzare il comportamento di sicurezza comprendendo i requisiti di conformità alla sicurezza imposti da influenze esterne al team del carico di lavoro, ad esempio criteri dell'organizzazione, conformità alle normative e standard del settore. | La chiarezza sui requisiti di conformità consente di progettare le garanzie di sicurezza appropriate e prevenire problemi di non conformità , che potrebbero causare sanzioni. Gli standard del settore possono fornire una baseline e influenzare la scelta di strumenti, criteri, misure di sicurezza, linee guida, approcci di gestione dei rischi e formazione. Se si sa che il carico di lavoro è conforme alla conformità, sarà possibile infondere fiducia nella base degli utenti. |
|
Definire e applicare standard di sicurezza a livello di team nel ciclo di vita e nelle operazioni del carico di lavoro. Cercare procedure coerenti in operazioni come la codifica, le approvazioni gestite, la gestione del rilascio e la protezione e la conservazione dei dati. |
Definire buone pratiche di sicurezza può ridurre al minimo la negligenza e la superficie per potenziali errori. Il team ottimizzerà gli sforzi e il risultato sarà prevedibile perché gli approcci sono resi più coerenti. L'osservazione degli standard di sicurezza nel tempo consentirà di identificare le opportunità di miglioramento, possibilmente includendo l'automazione, semplificando ulteriormente le attività e aumentando la coerenza. |
| Allineare la risposta agli eventi imprevisti con la funzione centralizzata del Centro operazioni di sicurezza (SOC) nell'organizzazione. | La centralizzazione delle funzioni di risposta agli eventi imprevisti consente di sfruttare i vantaggi di professionisti IT specializzati che possono rilevare gli eventi imprevisti in tempo reale per affrontare le potenziali minacce il più rapidamente possibile. |
Progettare per proteggere la riservatezza
|
Evitare l'esposizione a privacy, normative, applicazioni e informazioni proprietarie tramite restrizioni di accesso e tecniche di offuscamento. |
|---|
I dati del carico di lavoro possono essere classificati per utente, utilizzo, configurazione, conformità, proprietà intellettuale e altro ancora. Tali dati non possono essere condivisi o accessibili oltre i limiti di attendibilità stabiliti. Gli sforzi per proteggere la riservatezza devono concentrarsi su controlli di accesso, opacità e mantenere un audit trail delle attività relative ai dati e al sistema.
| Avvicinarsi | Beneficio |
|---|---|
| Implementare controlli di accesso sicuri che concedono l'accesso solo in base alle esigenze. |
Privilegi minimi. Il carico di lavoro sarà protetto da accessi non autorizzati e attività vietate. Anche quando l'accesso proviene da identità attendibili, le autorizzazioni di accesso e il tempo di esposizione verranno ridotti al minimo perché il percorso di comunicazione è aperto per un periodo limitato. |
|
Classificare i dati in base al tipo, alla sensibilità e al rischio potenziale. Assegnare un livello di riservatezza per ognuno di essi. Includere i componenti di sistema inclusi nell'ambito per il livello identificato. |
Verificare in modo esplicito. Questa valutazione consente di misurare le dimensioni corrette della sicurezza. Sarà anche possibile identificare i dati e i componenti che hanno un impatto potenziale elevato e/o esposizione al rischio. Questo esercizio aggiunge chiarezza alla strategia di protezione delle informazioni e contribuisce a garantire il contratto. |
| Proteggi i tuoi dati inattivi, in transito e durante l'elaborazione usando la crittografia. Basare la strategia sul livello di riservatezza assegnato. |
Presupporre la violazione. Anche se un utente malintenzionato ottiene l'accesso, non sarà in grado di leggere correttamente i dati sensibili crittografati correttamente . I dati sensibili includono le informazioni di configurazione usate per ottenere ulteriore accesso all'interno del sistema. La crittografia dei dati consente di contenere rischi. |
| Proteggersi da exploit che potrebbero causare un'esposizione involontaria delle informazioni. |
Verificare in modo esplicito. È fondamentale ridurre al minimo le vulnerabilità nelle implementazioni di autenticazione e autorizzazione, codice, configurazioni, operazioni e quelle che derivano dalle abitudini sociali degli utenti del sistema. Le misure di sicurezza aggiornate consentono di bloccare l'ingresso di vulnerabilità di sicurezza note nel sistema. È anche possibile attenuare le nuove vulnerabilità che possono apparire nel tempo implementando le operazioni di routine durante il ciclo di sviluppo, migliorando continuamente le garanzie di sicurezza. |
| Proteggersi dall'esfiltrazione di dati risultante dall'accesso dannoso o accidentale ai dati. |
Presupporre la violazione. Sarà possibile contenere il raggio di esplosione bloccando il trasferimento non autorizzato dei dati. Inoltre, i controlli applicati alla rete, all'identità e alla crittografia proteggeranno i dati a vari livelli. |
| Mantenere il livello di riservatezza man mano che i dati passano attraverso vari componenti del sistema. |
Presupporre la violazione. L'applicazione dei livelli di riservatezza in tutto il sistema consente di fornire un livello coerente di protezione avanzata. In questo modo è possibile evitare vulnerabilità che potrebbero causare lo spostamento dei dati in un livello di sicurezza inferiore. |
| Gestire un audit trail di tutti i tipi di attività di accesso. |
Presupporre la violazione. I log di controllo supportano il rilevamento e il ripristino più rapidi in caso di eventi imprevisti e consentono di monitorare la sicurezza in corso. |
Progettare per proteggere l'integrità
|
Impedire il danneggiamento della progettazione, dell'implementazione, delle operazioni e dei dati per evitare interruzioni che possono impedire al sistema di fornire l'utilità desiderata o causare il funzionamento al di fuori dei limiti previsti. Il sistema dovrebbe fornire la garanzia delle informazioni durante l'intero ciclo di vita del carico di lavoro. |
|---|
La chiave consiste nell'implementare controlli che impediscono la manomissione della logica di business, dei flussi, dei processi di distribuzione, dei dati e persino dei componenti dello stack inferiore, come il sistema operativo e la sequenza di avvio. La mancanza di integrità può introdurre vulnerabilità che possono causare violazioni della riservatezza e della disponibilità.
| Avvicinarsi | Beneficio |
|---|---|
|
Implementare controlli di accesso sicuro che autenticano e autorizzano l'accesso al sistema. Ridurre al minimo l'accesso in base ai privilegi, all'ambito e all'ora. |
Privilegi minimi. A seconda del livello di forza dei controlli, sarà possibile evitare o ridurre i rischi derivanti da modifiche non approvati. Ciò consente di garantire che i dati siano coerenti e affidabili. Ridurre al minimo l'accesso limita l'entità della potenziale corruzione. |
|
Proteggere continuamente dalle vulnerabilità e rilevarle nella supply chain per impedire agli utenti malintenzionati di inserire errori software nell'infrastruttura, compilare sistema, strumenti, librerie e altre dipendenze. La supply chain deve analizzare le vulnerabilità durante la fase di compilazione e il runtime. |
Presupporre la violazione. Conoscere l'origine del software e verificarne l'autenticità durante tutto il ciclo di vita fornirà prevedibilità. Si conosceranno in anticipo le vulnerabilità in modo che sia possibile correggerle in modo proattivo e mantenere il sistema sicuro nell'ambiente di produzione. |
|
Stabilire attendibilità e verifica usando tecniche di crittografia come attestazione, firma del codice, certificati e crittografia. Proteggere questi meccanismi consentendo la decrittografia affidabile. |
Verificare in modo esplicitoprivilegi minimi. Si sa che le modifiche apportate ai dati o all'accesso al sistema vengono verificate da un'origine attendibile. Anche se i dati crittografati vengono intercettati in transito da un attore malintenzionato, l'attore non sarà in grado di sbloccare o decifrare il contenuto. È possibile usare le firme digitali per assicurarsi che i dati non siano stati manomessi durante la trasmissione. |
| Assicurarsi che i dati di backup non siano modificabili e crittografati quando i dati vengono replicati o trasferiti. |
Verificare in modo esplicito. Sarà possibile recuperare i dati con la certezza che i dati di backup non siano stati modificati durante l'archiviazione, inavvertitamente o in modo malevolo. |
| Evitare o attenuare le implementazioni di sistema che consentono al carico di lavoro di operare al di fuori dei limiti e degli scopi previsti. |
Verificare in modo esplicito. Quando il sistema dispone di misure di sicurezza avanzate che controllano se l'utilizzo è allineato ai limiti e agli scopi previsti, l'ambito per potenziali abusi o manomissioni dell'ambiente di calcolo, della rete e degli archivi dati viene ridotto. |
Progettare per proteggere la disponibilità
|
Evitare o ridurre al minimo i tempi di inattività del sistema e del carico di lavoro in caso di evento imprevisto di sicurezza usando controlli di sicurezza avanzati. È necessario mantenere l'integrità dei dati durante l'evento imprevisto e dopo il ripristino del sistema. |
|---|
È necessario bilanciare le scelte di architettura di disponibilità con le scelte relative all'architettura di sicurezza. Il sistema deve avere garanzie di disponibilità per garantire che gli utenti abbiano accesso ai dati e che i dati siano raggiungibili. Dal punto di vista della sicurezza, gli utenti dovrebbero operare entro l'ambito di accesso consentito e i dati devono essere attendibili. I controlli di sicurezza devono bloccare gli attori malintenzionati, ma non dovrebbero impedire agli utenti legittimi di accedere al sistema e ai dati.
| Avvicinarsi | Beneficio |
|---|---|
|
Impedire alle identità compromesse di usare erroneamente l'accesso per ottenere il controllo del sistema. Verificare la presenza di limiti di tempo e ambito eccessivamente diffusi per ridurre al minimo l'esposizione ai rischi. |
Privilegi minimi. Questa strategia riduce i rischi di autorizzazioni di accesso eccessive, non necessarie o improprie per le risorse cruciali. I rischi includono modifiche non autorizzate e anche l'eliminazione delle risorse. Sfruttare le modalità di sicurezza fornite dalla piattaforma, tra cui il Just-In-Time (JIT), il Just-Enough-Access (JEA) e le modalità basate sul tempo, per sostituire le autorizzazioni permanenti laddove possibile. |
| Usare i controlli di sicurezza e i modelli di progettazione per impedire attacchi e difetti del codice di causare l'esaurimento delle risorse e bloccare l'accesso. |
Verificare in modo esplicito. Il sistema non verificherà tempi di inattività causati da azioni dannose, ad esempio attacchi DDoS (Distributed Denial of Service). |
| Implementare misure preventive per vettori di attacco che sfruttano le vulnerabilità nel codice dell'applicazione, protocolli di rete, sistemi di identità, protezione da malware e altre aree. |
Presupporre la violazione. Implementare scanner di codice, applicare le patch di sicurezza più recenti, aggiornare il software e proteggere il sistema con antimalware efficace su base continuativa. Sarà possibile ridurre la superficie di attacco per garantire la continuità aziendale. |
| Classificare in ordine di priorità i controlli di sicurezza sui componenti critici e i flussi nel sistema che sono soggetti a rischi. |
Presumere una violazione, verificare esplicitamente. Gli esercizi regolari di rilevamento e definizione delle priorità consentono di applicare competenze di sicurezza agli aspetti critici del sistema. Sarà possibile concentrarsi sulle minacce più probabili e dannose e avviare la mitigazione dei rischi in aree che richiedono maggiore attenzione. |
| Applicare almeno lo stesso livello di rigore di sicurezza nelle risorse e nei processi di ripristino dell'ambiente primario, inclusi i controlli di sicurezza e la frequenza di backup. |
Presupporre la violazione. È necessario disporre di uno stato del sistema sicuro preservato per il ripristino di emergenza. In questo caso, è possibile eseguire il failover in un sistema o una posizione secondaria sicura e ripristinare i backup che non introducono una minaccia. Un processo ben progettato può impedire a un evento imprevisto di sicurezza di ostacolare il processo di ripristino. I dati di backup danneggiati o i dati crittografati che non possono essere decifrati possono rallentare il ripristino. |
Sostenere ed evolvere la posizione in merito alla sicurezza
|
Incorporare un miglioramento continuo e applicare vigilanza per rimanere al passo con gli utenti malintenzionati che stanno evolvendo continuamente le loro strategie di attacco. |
|---|
La posizione di sicurezza non deve degradarsi nel tempo. È necessario migliorare continuamente le operazioni di sicurezza in modo che le nuove interruzioni vengano gestite in modo più efficiente. Cercare di allineare i miglioramenti alle fasi definite dagli standard del settore. In questo modo si ottiene una preparazione migliore, un tempo ridotto al rilevamento degli eventi imprevisti e un contenimento e una mitigazione efficaci. Il miglioramento continuo dovrebbe basarsi sulle lezioni apprese dagli incidenti passati.
È importante misurare il comportamento di sicurezza, applicare criteri per mantenere tale comportamento e convalidare regolarmente le mitigazioni della sicurezza e i controlli di compensazione per migliorare continuamente il comportamento di sicurezza in caso di minacce in continua evoluzione.
| Avvicinarsi | Beneficio |
|---|---|
|
Creare e gestire un inventario completo degli asset che include informazioni classificate su risorse, posizioni, dipendenze, proprietari e altri metadati rilevanti per la sicurezza. Il più possibile, automatizzare l'inventario per derivare i dati dal sistema. |
Un inventario ben organizzato offre una visione olistica dell'ambiente, che offre una posizione vantaggiosa contro gli utenti malintenzionati, soprattutto durante le attività post-evento imprevisto. Crea anche un ritmo aziendale per favorire la comunicazione, il backup dei componenti critici e la rimozione delle risorse orfane. |
| Eseguire la modellazione delle minacce per identificare e mitigare potenziali minacce. | Si avrà un report dei vettori di attacco classificati in ordine di priorità in base al livello di gravità. Sarà possibile identificare rapidamente minacce e vulnerabilità e configurare contromisure. |
| Acquisire regolarmente i dati per quantificare lo stato corrente rispetto alla baseline di sicurezza stabilita e impostare priorità per le correzioni. Sfruttare le funzionalità fornite dalla piattaforma per la gestione del comportamento di sicurezza e l'applicazione della conformità imposte dalle organizzazioni esterne e interne. |
Sono necessari report accurati che portano chiarezza e consenso alle aree di interesse. Sarà possibile eseguire immediatamente correzioni tecniche, a partire dagli elementi con priorità più alta. Verranno inoltre identificate le lacune, che offrono opportunità di miglioramento. L'implementazione dell'imposizione consente di evitare violazioni e regressioni, mantenendo il comportamento di sicurezza. |
|
Eseguire test di sicurezza periodici condotti da esperti esterni al team del carico di lavoro che tentano di violare eticamente il sistema. Eseguire l'analisi delle vulnerabilità di routine e integrata per rilevare gli exploit nell'infrastruttura, nelle dipendenze e nel codice dell'applicazione. |
Questi test consentono di convalidare le difese di sicurezza simulando attacchi reali usando tecniche come i test di penetrazione. Le minacce possono essere introdotte come parte della gestione delle modifiche. L'integrazione degli scanner nelle pipeline di distribuzione consente di rilevare automaticamente le vulnerabilità e persino di mettere in quarantena l'utilizzo fino a quando non vengono rimosse le vulnerabilità. |
| Rilevare, rispondere e ripristinare con operazioni di sicurezza rapide ed efficaci. | Il vantaggio principale di questo approccio è che consente di mantenere o ripristinare le garanzie di sicurezza della triade cia durante e dopo un attacco. È necessario ricevere un avviso non appena viene rilevata una minaccia in modo da poter avviare le indagini e intraprendere azioni appropriate. |
| Eseguire attività post-incidente come analisi della causa radice, analisi post mortem e relazioni sugli incidenti. | Queste attività forniscono informazioni dettagliate sull'impatto della violazione e sulle misure di risoluzione, che determinano miglioramenti nelle difese e nelle operazioni. |
|
Essere aggiornati e rimanere aggiornati. Rimanere aggiornati sugli aggiornamenti, l'applicazione di patch e le correzioni di sicurezza. Valutare continuamente il sistema e migliorarlo in base a report di controllo, benchmarking e lezioni dalle attività di test. Prendere in considerazione l'automazione, in base alle esigenze. Usare l'intelligence sulle minacce basata sull'analisi della sicurezza per il rilevamento dinamico delle minacce. A intervalli regolari, esaminare la conformità del carico di lavoro alle procedure consigliate sdl (Security Development Lifecycle). |
Sarà possibile assicurarsi che la posizione di sicurezza non si degradi nel tempo. Integrando i risultati di attacchi e attività di test reali, sarà possibile combattere gli utenti malintenzionati che migliorano e sfruttano continuamente nuove categorie di vulnerabilità. L'automazione delle attività ripetitive riduce la probabilità di errore umano che può creare rischi. Le revisioni SDL consentono di chiarire le funzionalità di sicurezza. SDL consente di gestire un inventario degli asset del carico di lavoro e dei relativi report di sicurezza, che riguardano l'origine, l'utilizzo, i punti deboli operativi e altri fattori. |