Obsah skrýt
1 Google Cloud CISO průvodce transformací zabezpečení cloudu
2 Zavedení
3 Připravte svou firemní kulturu na cloudové zabezpečení
4 Rozvíjejte, jak vaše společnost funguje
5 Rozvíjejte klíčové bezpečnostní role a odpovědnosti
6 Navrhněte svůj bezpečnostní operační model
7 Identifikujte osvědčené postupy zabezpečení cloudu
8 Závěr
9 Dokumenty / zdroje
9.1 Reference

Google-Cloud-Logo

Google Cloud CISO průvodce transformací zabezpečení cloudu

Google-Cloud-CISO's-Guide-to-Cloud-Security-Transformation-Product

Zavedení

Tento dokument je zaměřen na hlavní úředníky pro bezpečnost informací (CISO), kteří hledají cloud, aby zlepšili své zabezpečení, a na CISO, kteří zjistili, že přecházejí do cloudu se zbytkem své společnosti. Ať už jste CISO, který aktivně usiluje o transformaci zabezpečení cloudu, nebo CISO, který je tlačen směrem ke cloudu, jste odpovědní za zabezpečení informací pro svou společnost, své partnery a zákazníky. S tím, jak se informační ekosystémy stávají složitějšími a každým dnem se objevují nové bezpečnostní hrozby, je vaše práce udržet tyto informace v bezpečí – a udržet důvěru ve vaši společnost – stále obtížnější. Tváří v tvář těmto výzvám mnoho společností a mnoho CISO hledá zabezpečení v cloudu. Poskytovatelé cloudových služeb mohou více investovat do lidí a procesů, aby mohli poskytovat zabezpečenou infrastrukturu a aplikace, mohou vám pomoci zefektivnit a modernizovat vaše bezpečnostní přístupy a mohou pomoci udržet vaše informace ve větším zabezpečení.

Zefektivnění a modernizace vašeho zabezpečení v cloudu znamená víc než jen změnu technologií a implementací zabezpečení. Jde o to změnit způsob myšlení a fungování vaší společnosti. Tyto změny mohou být skličující, když jste v cloudu nováčkem. Google je však již léta lídrem a inovátorem v cloudovém zabezpečení. Víme, jak se připravit na digitální transformaci, jak vybudovat efektivní a udržitelný cloudový bezpečnostní provoz a jak spolupracovat s poskytovateli cloudového zabezpečení. Tento dokument vysvětluje, jak Google přemýšlí o zabezpečení cloudu, a poskytuje vám konkrétní kroky k řešení kulturních, organizačních a provozních změn, které jsou nutné pro hladký a úspěšný přechod na zabezpečení cloudu.

Při přípravě přesunu zabezpečení do cloudu pamatujte, že cloud není jen shluk serverů. Cloud je nový způsob, jak přemýšlet o svém podnikání a nový způsob práce. Cloud je nový – a lepší – způsob, jak přistupovat k zabezpečení.

Zřeknutí se odpovědnosti
Obsah zde obsažený je správný k únoru 2021 a představuje status quo v době, kdy byl napsán. Bezpečnostní zásady a systémy Google Cloud se mohou v budoucnu změnit, protože neustále zlepšujeme ochranu našich zákazníků.

Připravte svou firemní kulturu na cloudové zabezpečení

Organizace, které uspějí prostřednictvím jakéhokoli typu velkých změn, mají silné základní kultury a hodnoty, které pomáhají řídit jejich transformaci. Aby vaše podnikání a vaše bezpečnostní operace prosperovaly díky digitální transformaci, musíte zajistit, že jste v celé společnosti vštípili silnou kulturu zabezpečení.

Jak vypadá silná bezpečnostní kultura? Každá společnost je jiná, ale společnosti se silnou kulturou zabezpečení obvykle sdílejí následující hodnoty:

  • Kultura zabezpečení ve výchozím nastavení: Zabezpečení není dodatečný nápad, „příjemné mít“ nebo funkce, která je přidána na konci vývojového cyklu. Místo toho je zabezpečení očekávanou součástí veškeré práce v oblasti IT již od prvních lettages. Za example, Google vyžaduje bezpečnostní review pro veškerý vývoj stages, od počátečních konstrukčních dokumentů až po spuštění.
  • Kultura odpovědnosti: Zabezpečení není „problém někoho jiného“ nebo práce navíc, kterou bezpečnostní tým nutí vývojový tým. Místo toho všichni sdílejí odpovědnost za vývoj bezpečných produktů a funkcí.
  • Kultura uvědomění: Vzdělávání, dokumentace a sdílení informací o zabezpečení jsou všudypřítomné v celé vaší společnosti. Členové týmu pravidelně sdílejí osvědčené postupy pro zabezpečení. NapřampBezpečnostní týmy Google vedou celofiremní a týmová bezpečnostní školení.
  • Kultura nevyhnutelnosti: Jste připraveni na nejhorší scénáře a připraveni jednat, pokud nastanou. Očekávají se scénáře selhání a plány reakce jsou široce diskutovány a chápány. Google má dlouhou tradici v simulování scénářů katastrof, aby se připravil přesně na tyto typy nevyhnutelných událostí.
  • Kultura review: Otevřený, transparentní a konstruktivní kód a designviews jsou normou v celé společnosti. Bezpečnost je oceňována a zahrnuta v těchto reviews.
  • Kultura udržitelnosti: Práce IT je dobře vyvážena mezi každodenními operacemi a vylepšeními pro budoucnost.

Google-Cloud-CISO's-Guide-to-Cloud-Security-Transformation-Fig- (1)

Myslete na bezpečnost jinak
S tím, jak se informační ekosystémy stávají složitějšími, denně se objevují nové hrozby a zranitelná místa. Jako CISO nemůže vaše myšlení o bezpečnosti uvíznout v minulosti. Musíte porozumět moderním hrozbám a moderním bezpečnostním řešením, abyste udrželi své informace v bezpečí. Metody cloudového zabezpečení řízené daty podporují tato moderní řešení a umožňují vám efektivně zabezpečit vaše informace, efektivně zmírňovat rizika a rychle škálovat služby vaší společnosti a uživatelskou základnu.

Přijměte filozofii nulové důvěry
Tradiční bezpečnostní přístupy se zaměřují na posílení bezpečného perimetru a udržení hrozeb mimo tento perimetr. Tento perimetrický model může vést k výrazným nedostatečným investicím do konfigurace a zabezpečení interních aplikací a infrastruktury a neodráží realitu moderních bezpečnostních hrozeb. Cloudová bezpečnost – veškeré moderní zabezpečení – znamená uvažovat jinak, protože perimetry v moderních informačních ekosystémech nejsou dobře definovány a nejsou snadno zabezpečeny tradičními prostředky.

Abyste uspěli s cloudovým zabezpečením, měli byste odmítnout perimetrický model a přijmout filozofii nulové důvěry. Nulová důvěra znamená, že místo toho, abyste důvěřovali datům a transakcím poté, co vyčistí váš bezpečnostní perimetr, ověříte každý kus dat a každou operaci vně i uvnitř vašeho systému. Neustálé ověřování řízené automatizací zvyšuje zabezpečení vašich informací proti moderním hrozbám a umožňuje vám navrhovat informační systémy bez omezení neflexibilního perimetru.

Zaujměte přístup založený na riziku
Cloudové zabezpečení vám také umožňuje přemýšlet o riziku jinak. Tradiční bezpečnostní přístupy často využívají přístup averze k riziku a opatrně se vyhýbají hrozbám, zejména hrozbám, které stávající bezpečnostní infrastruktura nedokáže zmírnit. V současném bezpečnostním prostředí se však neustále objevují nové hrozby, vaše plocha se neustále zvětšuje a mnoha hrozbám se nelze vyhnout.

Cloudové zabezpečení si uvědomuje, že tyto nevyhnutelné hrozby existují, a zaujímá k zabezpečení vašich informací přístup založený na rizicích. Zabezpečení informované o rizicích je založeno na analýze a hodnocení rizik a následném informovaném řízení těchto rizik. Napřample, můžete vytvořit taxonomii rizik, která podrobně popisuje rizika, která se vás a vaší společnosti nejvíce týkají, a poté zmapovat rizika ve vaší taxonomii ke kontrolám pro zmírnění těchto rizik. Přístup informovaný o rizicích vám může pomoci řešit nejdůležitější bezpečnostní rizika namísto toho, abyste se zabývali riziky, která již víte, jak je zmírnit. Poskytovatelé cloudových služeb vám tento přístup založený na rizicích usnadňují a zefektivňují tím, že vyvíjejí a udržují mnoho ovládacích prvků a nástrojů, které potřebujete ke zmírnění moderních bezpečnostních hrozeb. NapřampPoskytovatelé cloudových služeb podporují klíčovou bezpečnostní telemetrii, jako jsou protokoly přístupu a protokoly brány firewall, jejichž vývoj v místním prostředí může být obtížný a nákladný. Poskytovatelé cloudových služeb také neustále aktualizují robustní bezpečnostní procesy týkající se autentizačních a autorizačních klíčů.

Nakonec nezapomeňte, že s cloudem jsou spojeny vlastnosti, které vám poskytují příležitosti ke správě zabezpečení a dalších rizik spojených s cloudem různými a vylepšenými způsoby. Dobře provedená migrace do cloudu jako taková může vést k čistému snížení bezpečnostních, technologických a dalších provozních rizik1.

Změňte svůj bezpečnostní model
Tradiční bezpečnostní přístupy mohou omezit rozsah systémů, které chtějí chránit. Koneckonců, menší a jednodušší systémy jsou vystaveny méně hrozbám a rizikům, že? Cloudové zabezpečení, které je škálovatelné a založené na datech, vám umožňuje přehodnotit tyto předpoklady a škálovat vaše systémy na miliony uživatelů a petabajty zabezpečených dat. Napřampmůžete spravovat správu identit a přístupu (IAM) v masivním měřítku pomocí zabezpečených služeb, které vyvinuli poskytovatelé cloudových služeb.

Tradiční bezpečnostní přístupy mohou také omezit nebo narušit rozsah bezpečnostních ovládacích prvků, které vytvoříte. NapřampTradiční bezpečnostní infrastruktura může být založena na neúplných nebo nepřesných databázích aktiv IT, spoléhá se do značné míry na ručníview (vedoucí k sample-based assurance modely namísto kompletního bezpečnostního pokrytí), nebo předpokládají malou a relativně statickou IT stopu. Cloudové zabezpečení může nabídnout podstatně větší rozsah bezpečnostního pokrytí a větší flexibilitu pomocí přístupů založených na datech k zabezpečení všech relevantních aktiv.

Google-Cloud-CISO's-Guide-to-Cloud-Security-Transformation-Fig- (2)

Posílení provozní odolnosti ve finančních službách migrací na Google Cloud

Rozvíjejte, jak vaše společnost funguje

Když se vaše firma přesune do cloudu, způsob, jakým funguje celá vaše společnost – nejen jak funguje bezpečnostní tým – se vyvíjí. Jako CISO musíte těmto novým způsobům práce porozumět a připravit se na ně, abyste se mohli integrovat a spolupracovat se svými partnery a zbytkem vaší společnosti a aby se zabezpečení informací mohlo dařit v novém, vyvíjejícím se obchodním prostředí.

Urychlit časové osy vývoje
Vývoj a nasazení v cloudu může výrazně zkrátit dobu mezi vydáními, což často vytváří nepřetržitý, iterativní cyklus vydávání. Posun k tomuto vývojovému procesu, ať už se jmenuje Agile, DevOps nebo něco jiného, ​​pro vás také představuje příležitost k urychlení vývoje a vydávání nových bezpečnostních funkcí. Aby bezpečnostní týmy využily této příležitosti a prosperovaly ve zrychleném vývojovém prostředí, musí porozumět – nebo dokonce řídit – proces a časovou osu nového vydání, úzce spolupracovat nebo se integrovat s vývojovými týmy a zaujmout iterativní přístup k vývoji zabezpečení. Tyto imperativy představují zásadní změnu oproti roli bezpečnostních týmů v tradičním cyklu vývoje softwaru. Implementace těchto změn však může mít obrovské výhody pro vývoj zabezpečení a rychlost, s jakou můžete nasadit nové bezpečnostní funkce a opravy.

Nasaďte a spravujte infrastrukturu jako kód
Přechod na cloud znamená změnu způsobu, jakým vaše společnost přemýšlí o infrastruktuře, jak ji nasazuje a spravuje. Když jsou servery, stojany a datová centra spravovány za vás v cloudu, váš kód se stane vaší infrastrukturou. Nasazení a správa infrastruktury jako kódu představuje jasnou příležitost pro vaši bezpečnostní organizaci zlepšit své procesy a efektivněji se integrovat do procesu vývoje softwaru.

Když nasadíte infrastrukturu jako kód, můžete své zásady zabezpečení integrovat přímo do kódu, čímž se zabezpečení stane ústředním bodem jak procesu vývoje vaší společnosti, tak jakéhokoli softwaru, který vaše společnost vyvíjí, a také minimalizujete bezpečnostní rizika. NapřampVaše společnost pravděpodobně spravuje stovky nebo tisíce zásad konfigurace zabezpečení. Mnoho z těchto zásad může vyžadovat dodržování příruček nebo lidskou manipulaci s bezpečnostní infrastrukturou a konzolami. Správa a aktualizace bezpečnostních politik pomocí tradičních bezpečnostních přístupů může být pracná a náchylná k chybám. Naproti tomu nasazení a správa těchto zásad zabezpečení jako kódu vám umožní minimalizovat lidské chyby, snížit nekonzistence a porušení zásad a zajistit, aby aktualizace byly správně znovu aktualizovány.viewed před nasazením. Napřampmůžete použít spravované skripty k nasazení a aktualizaci bezpečnostních politik předvídatelným a testovatelným způsobem, místo abyste se spoléhali na možná nekonzistentní lidské zásahy. Můžete také použít vyzrálé procesy správy změn pro vývoj softwaru, abyste zajistili, že citlivé aspekty vaší bezpečnostní infrastruktury budou dokonale rovnocenné.viewpřed nasazením a že vaše bezpečnostní infrastruktura zůstane synchronizovaná se softwarem vaší společnosti.

Rozvíjejte klíčové bezpečnostní role a odpovědnosti

Transformace do cloudu také změní způsob, jakým vaše bezpečnostní organizace funguje. NapřampPráce s ručním zabezpečením bude automatizována, objeví se nové role a odpovědnosti a bezpečnostní experti budou těsněji spolupracovat s vývojovými týmy. Vaše organizace bude mít také nového spolupracovníka, se kterým bude spolupracovat: vaše poskytovatele cloudových služeb. Jako u každé organizační změny je vaší rolí vedoucího tyto změny jasně komunikovat a pomáhat členům vašeho týmu hladce se přizpůsobit novému způsobu práce.

Google-Cloud-CISO's-Guide-to-Cloud-Security-Transformation-Fig- (3)

Spolupracujte se svým poskytovatelem cloudových služeb
Jedna z hlavních výhodtagZákladem transformace na cloud je, že se váš poskytovatel cloudových služeb stane klíčovým spolupracovníkem. Kromě vývoje bezpečnostních a monitorovacích nástrojů a dokumentování osvědčených cloudových postupů se váš poskytovatel cloudových služeb stará o mnoho klíčových bezpečnostních povinností vaší organizace.

Cloudový model sdílené odpovědnosti přiděluje odpovědnost následovně:

  • Váš poskytovatel cloudových služeb je odpovědný za zabezpečení cloudu nebo zabezpečení cloudové infrastruktury, včetně hardwaru a sítí.
  • Jste odpovědní za zabezpečení v cloudu nebo zabezpečení svých dat a výběr modelu zabezpečení.Google-Cloud-CISO's-Guide-to-Cloud-Security-Transformation-Fig- (4)

Obrázek 1. Vaše povinnosti v oblasti zabezpečení a povinnosti vašeho poskytovatele cloudových služeb v oblasti zabezpečení v rámci modelu sdílené odpovědnosti v cloudu.

Jak je znázorněno na obrázku 1, mnoho povinností závisí na tom, zda přijmete architekturu Infrastructure as a Service (IaaS), Platform as a Service (PaaS) nebo Software as a Service (SaaS). Napřample, v architektuře PaaS jste zodpovědní vy web zabezpečení aplikací, ale v architektuře SaaS je za to odpovědný váš poskytovatel cloudových služeb web zabezpečení aplikace. Ať už si vyberete jakoukoli architekturu, spolupráce s poskytovatelem cloudových služeb je zásadní. Vybudujte si sdílené chápání toho, kdo je za co zodpovědný, vyvíjejte silné komunikační protokoly pro řešení bezpečnostních problémů a zaveďte dohled, abyste zajistili, že váš poskytovatel cloudových služeb plní své bezpečnostní povinnosti.

Změňte způsob provádění rolí zabezpečení
Kromě práce s novým spolupracovníkem v cloudu změní vaše bezpečnostní organizace také to, jak funguje zevnitř. I když je každá organizace jiná, Google identifikoval některé typické změny bezpečnostních rolí a odpovědností, které můžete očekávat, když vaše organizace přejde do cloudu. Následující tabulka podrobně popisuje typ práce provedené v těchto rolích během transformace na cloud a nové povinnosti v těchto rolích.

Role

Odpovědnosti v cloudu
Politika a řízení rizik Identifikujte cíle politiky a řízení rizik nezávisle na již existujících rámcích a implementacích. Refaktorujte bezpečnostní zásady a standardy, abyste se zaměřili na správné ovládací prvky a používali cloudové bezpečnostní modely.
Bezpečnostní architektura a design Definujte celkový přístup organizace k zabezpečení v cloudu. Umožněte svižnou a efektivní implementaci cloudového zabezpečení poskytnutím plánů, které zahrnují zábradlí.
Bezpečnostní testování Přibližte se vývojovému týmu a pevně se integrujte během životního cyklu vývoje softwaru. Provádějte testování zaměřené na zabezpečení pro častá iterativní vydání.
Bezpečnostní operace Rozšiřte monitorování na cloud pomocí cloudové nativní telemetrie k detekci a reakci na události, incidenty a zpravodajství o hrozbách.
Zajištění bezpečnosti Implementujte monitorování nepřetržitých kontrol (CCM), které využívá cloudovou konfiguraci a využívá datově orientovaný přístup k ověřování, zda jsou dodržovány architektury a zda jsou ovládací prvky funkční.
Bezpečnostní inženýrství Vyvíjejte cloudové nativní sady nástrojů pro zabezpečení. Spolupracujte s Infrastructure Engineering a definujte bezpečnostní politiku přímo v kódu.
Inženýrství infrastruktury Vytvářejte a provozujte cloudovou infrastrukturu a podpůrné služby pomocí přístupu infrastruktura jako kód. Tento přístup, který integruje zásady přímo do kódu a minimalizuje ruční chyby, je pro úspěch v cloudu zásadní. Vaše bezpečnostní organizace nemusí mít nikoho s těmito specializovanými dovednostmi, takže školení a zvyšování kvalifikace jsou pro tuto roli obzvláště důležité.
Vývoj aplikací Vyvíjejte aplikace pro nasazení v cloudové infrastruktuře. Přijměte zrychlené časové osy vývoje a spouštějte iterativně. Užší spolupráce s bezpečnostními týmy během životního cyklu vývoje softwaru.

Každá z těchto rolí se výrazně změní v přístupu a používaných nástrojích a technologiích, takže školení je zvláště důležité během vaší transformace do cloudu. Součástí vaší role jako CISO je zajistit, aby se vaše bezpečnostní organizace naučila pracovat v cloudu, věděla, jak plnit nové role a odpovědnosti, jako je Infrastructure Engineering, a pochopila, jak se integrovat do životního cyklu vývoje softwaru. Plánujte investovat značný čas do vzdělávání vaší organizace. Počáteční investice se vám vyplatí, jakmile začnete implementovat své zásady zabezpečení v cloudu.

Navrhněte svůj bezpečnostní operační model

Vaše transformace na cloudové zabezpečení je příležitostí k přehodnocení vašeho bezpečnostního provozního modelu. Jak by měly bezpečnostní týmy spolupracovat s vývojovými týmy? Měly by být bezpečnostní funkce a operace centralizované nebo federované? Jako CISO byste si měli odpovědět na tyto otázky a navrhnout svůj operační model zabezpečení, než se pustíte do cloudu. Tato část vám pomůže vybrat provozní model zabezpečení vhodný pro cloud tím, že popíše výhody a nevýhody tří modelů: centralizovaného, ​​federovaného a hybridního.

Operační model centralizované bezpečnosti
Operační model centralizovaného zabezpečení lze považovat za tradiční nebo klasický model. V tomto modelu poskytuje centrální bezpečnostní tým ostatním týmům ve společnosti kompletní bezpečnostní řešení, včetně bezpečnostních politik, bezpečnostních řešení a správy incidentů. Bezpečnostní tým komunikuje s těmito dalšími týmy, jako jsou vývojové týmy, prostřednictvím dobře definovaných procesů, které ke správě pracovních postupů často využívají systémy pro vydávání lístků. Obrázek 2 ukazuje, jak jsou bezpečnostní role a odpovědnosti rozděleny v operačním modelu centralizovaného zabezpečení.

Google-Cloud-CISO's-Guide-to-Cloud-Security-Transformation-Fig- (5)

Obrázek 2. Rozdělení rolí a odpovědností v modelu centralizovaného zabezpečení.

V tomto modelu většinu práce na zabezpečení provádí centralizovaná bezpečnostní funkce, která spolupracuje s inženýrskými a vývojovými týmy v celé společnosti.

  • Pro: Využití centralizovaného modelu vám pomůže udržet silnou a konzistentní kontrolu zabezpečení ve vaší společnosti. Můžete také využít určité úspory nákladů díky centrálnímu vývoji bezpečnostních politik a řešení a jejich nasazení v celé společnosti.
  • nevýhody: Centralizovaný model nejlépe vyhovuje pomalejším časovým plánům poskytování IT souvisejícím s kaskádovým vývojem, ale obvykle není dostatečně rychlý nebo svižný pro zrychlené vývojové časové osy, které jsou běžné u cloudového vývoje. Centralizovaný model může také vést ke kultuře „Za bezpečnost nese odpovědnost někdo jiný“ mimo tým centrální bezpečnosti.

Federovaný operační model zabezpečení
Provozní model federovaného zabezpečení přesouvá většinu funkcí zabezpečení mimo centrální bezpečnostní tým a do jednotlivých inženýrských a vývojových týmů. Tento federovaný model se často používá v konglomerátních organizacích, kde centrální tým nemůže adekvátně sloužit všem týmům v organizaci. Tento model je také využíván v malých organizacích, které se chtějí rychle pohybovat a integrovat bezpečnostní expertizy do inženýrských a vývojových týmů. Obrázek 3 ukazuje, jak jsou role a odpovědnosti zabezpečení rozděleny v operačním modelu federovaného zabezpečení.

Google-Cloud-CISO's-Guide-to-Cloud-Security-Transformation-Fig- (6)

Obrázek 3. Rozdělení rolí a odpovědností ve federovaném bezpečnostním provozním modelu.

V tomto modelu se většina bezpečnostní práce provádí v rámci jednotlivých inženýrských a vývojových týmů.

  • Pro: Použití federovaného modelu umožňuje týmům rychle se pohybovat a zabezpečení je integrovanou součástí zrychleného vývojového procesu. Bezpečnostní experti dokážou porozumět detailům týmů, se kterými jsou integrováni, a poskytnout „právě dostatečné“ zabezpečení pro potřeby těchto týmů.
  • nevýhody: Federovaný model zvyšuje riziko, protože centrální, nezávislý bezpečnostní tým neposkytuje záruku zabezpečení a nevyvíjí robustní bezpečnostní řešení pro široké bezpečnostní hrozby. Místo toho týmy vyvíjejí přizpůsobená bezpečnostní řešení, která řeší konkrétní problémy, ale často ignorují jiné bezpečnostní hrozby.

Hybridní bezpečnostní operační model
Třetí bezpečnostní operační model, hybridní model, představuje střední cestu. V hybridním modelu velikost, rozsah a složitost příslušných vývojových týmů určují míru centralizace nebo federace bezpečnostních funkcí. Obrázek 4 ukazuje dva typy hybridních modelů.

Tým inženýrů infrastruktury a první tým vývoje aplikací používají lehký hybridní model, což je typ, který používá většina organizací, které používají hybridní model. V lehkém hybridním modelu využívá inženýrský nebo vývojový tým standardizované nástroje, procesy a metody vytvořené týmem centrální bezpečnosti. Bezpečnostní koordinátor v technickém nebo vývojovém týmu působí jako rozhraní s bezpečnostním týmem. Bezpečnostním koordinátorem může být oddaná osoba nebo někdo, kdo také pracuje na jiných aspektech vývoje. Druhý tým pro vývoj aplikací používá těžký hybridní model, který častěji používají velké týmy se složitými bezpečnostními ekosystémy. V těžkém hybridním modelu využívá inženýrský nebo vývojový tým mnoho standardizovaných nástrojů, procesů a metod centrálního bezpečnostního týmu. Inženýrský nebo vývojový tým však také navrhuje a staví některá svá bezpečnostní řešení a zároveň komunikuje s týmem centrální ochrany. V těžkém hybridním modelu inženýrský nebo vývojový tým začlení některé schopnosti bezpečnostního týmu přímo do svého týmu, a to jak pro udržení tempa, tak pro rozvoj odborných znalostí v bezpečnostním ekosystému pro produkt tohoto týmu.

Google-Cloud-CISO's-Guide-to-Cloud-Security-Transformation-Fig- (7)

Obrázek 4. Rozdělení rolí a odpovědností v hybridním bezpečnostním provozním modelu. V tomto modelu závisí centralizace nebo federace bezpečnostních funkcí na potřebách vývojových nebo inženýrských týmů a na složitosti zabezpečení jejich produktů.

  • Pro: Hybridní model je vysoce přizpůsobivý. Vzhledem k tomu, že tento model zaměstnává centrální bezpečnostní tým, mohou inženýrské a vývojové týmy používat standardizovaná bezpečnostní řešení, ale mají také flexibilitu při vytváření některých přizpůsobených řešení pro jejich specifické potřeby. Centrální bezpečnostní tým v hybridním modelu také poskytuje nezávislé ujištění, ale může se spolehnout na bezpečnostní expertizy specifické pro daný produkt, aby zlepšil bezpečnostní pokrytí a efektivitu.
  • nevýhody: Hybridní model vyžaduje silnou, nepřetržitou komunikaci a spolupráci, aby vývojové a inženýrské týmy a tým centrální bezpečnosti věděly, kdo je za co zodpovědný. Role bezpečnostního koordinátora a bezpečnostní specialisté, kteří jsou integrováni do vývojových a inženýrských týmů, jsou pro tuto spolupráci zvláště důležité a musí být silnými komunikátory, aby hybridní model uspěl.

Identifikujte osvědčené postupy zabezpečení cloudu

Častou chybou při transformaci na cloud je spoléhat se na existující bezpečnostní postupy a zásady v cloudovém prostředí. Bezpečnostní přístupy, které fungují lokálně a v jiných tradičních prostředích, však nemusí nutně fungovat dobře v cloudu.

Jako CISO berte transformaci své společnosti na cloud jako příležitost změnit svůj přístup k zabezpečení. Nechte stranou předpoklady, které jste vytvořili na základě vaší stávající bezpečnostní infrastruktury, a promyslete si své bezpečnostní cíle. Čeho chcete dosáhnout? A jak to může rozsah a rychlost cloudu umožnit?

Při pokládání těchto otázek o transformaci vaší bezpečnostní infrastruktury se vyhněte běžným anti-vzorcům založeným na tradičních implementacích zabezpečení a identifikujte osvědčené postupy pro cloudové zabezpečení, jak je popsáno v následující tabulce.

Anti-vzory

✓  Nejlepší postupy
Předpokládejme, že stávající implementace řízení jsou účinné. Review řízení cíle první. Poté implementujte, abyste dosáhli těchto cílů.
Předpokládejme, že stávající procesy – zejména centralizované procesy – budou fungovat v cloudu. Umožněte týmům implementovat flexibilní cloudové procesy namísto hledání náhradních řešení pro stávající procesy.
Pro kontroly zabezpečení v cloudu používejte místní modely, jako je virtuální bezpečnostní zařízení, jako je systém prevence narušení (IPS). Použijte cloudové nativní přístupy, jako je monitorování protokolů a správa přístupu.
Spolehněte se na historické přístupy k zajištění souladu se zásadami a standardy. Přijměte přístupy založené na datech, abyste dosáhli rozsahu a rychlosti potřebné pro nepřetržité monitorování řízení.

Závěr

Přechod do cloudu představuje obrovskou příležitost změnit přístup vaší společnosti k zabezpečení. Abyste svou bezpečnostní organizaci a svou společnost provedli touto transformací, musíte jinak přemýšlet o tom, jak pracujete, jak řídíte rizika a jak nasazujete svou bezpečnostní infrastrukturu. Jako CISO musíte v celé společnosti vštípit kulturu bezpečnosti a řídit změny v tom, jak vaše společnost přemýšlí o bezpečnosti a jak je vaše společnost organizována.

Aby byla vaše transformace úspěšná, doporučujeme ve společnosti Google zapamatovat si tyto klíčové body pro zabezpečení v cloudu:

  • Zapojte se včas do bezpečnostního plánování.
  • Zaujměte přístup informovaný o rizicích, nikoli o vyhýbání se riziku.
  • Přijměte nulovou důvěru a zapomeňte na perimetr.
  • Upřednostněte automatizaci, abyste snížili manuální zátěž a zvýšili rychlost.
  • Naplánujte si rekvalifikaci, rekvalifikaci a reorganizaci vašich bezpečnostních pracovníků.
  • Spolupracujte s poskytovateli cloudových služeb na základě sdíleného chápání rizik a cílů.
  • Vyzkoušejte stávající bezpečnostní předpoklady a implementujte osvědčené postupy specifické pro cloud.

Tyto klíčové body a doporučení v této bílé knize pocházejí z let vedoucích a inovací společnosti Google v oblasti zabezpečení cloudu. Jsme nadšeni, že můžeme odpovědět na vaše otázky týkající se zabezpečení cloudu a spolupracovat s vámi na vaší transformaci zabezpečení cloudu.

Dokumenty / zdroje

Google Cloud CISO průvodce transformací zabezpečení cloudu [pdfUživatelská příručka
Průvodce CISO po transformaci zabezpečení cloudu, transformaci zabezpečení cloudu, transformaci zabezpečení

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *