Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È necessaria una strategia di sicurezza ben progettata per una corretta adozione del cloud. Se l'organizzazione usa ambienti locali tradizionali, è consigliabile valutare le competenze del cloud e concentrarsi in modo specifico sulla sicurezza cloud. Per gestire la sicurezza nel cloud, potrebbe essere necessario modificare significativamente la struttura del team di sicurezza e l'approccio generale alla sicurezza.
Le potenziali modifiche apportate all'organizzazione potrebbero introdurre stress e conflitti. Per una corretta adozione del cloud, assicurarsi che i team di gestione forniscano supporto e presentino chiaramente le modifiche ad altri team.
Affrontare le problematiche comuni
Evolvere la mentalità. La sicurezza locale è in genere una pratica strettamente mirata che un piccolo team di tecnici e amministratori delle operazioni potrebbe gestire. La sicurezza del cloud richiede la partecipazione da tutta l'organizzazione e l'ambito dei team di sicurezza si espande in modo significativo. La superficie di attacco di un ambiente locale si trova principalmente nel perimetro. In un ambiente cloud ogni risorsa è un potenziale vettore di attacco, quindi i team di sicurezza devono adattare di conseguenza il loro approccio.
Modificare squadre e ruoli. La sicurezza del cloud, in particolare per le organizzazioni di grandi dimensioni, prevede ruoli specializzati. Per evitare lacune nella gestione della sicurezza, potrebbe essere necessario aggiungere nuovi team o riorganizzare i team esistenti.
Raccomandazioni:
Introdurre le conversazioni di sicurezza in anticipo. Iniziare le conversazioni di sicurezza con gli stakeholder appropriati all'inizio del processo di adozione del cloud. Questo approccio consente di allineare l'organizzazione all'inizio.
Comprendere i team di sicurezza, i ruoli e le funzioni moderni. Esaminare le linee guida del Cloud Adoption Framework riguardo a team di sicurezza, ruoli e funzioni. Questa guida descrive come implementare la sicurezza end-to-end.
Adottare la metodologia Cloud Adoption Framework Secure. Usare la metodologia Cloud Adoption Framework Secure per applicare le procedure consigliate per la sicurezza Microsoft in ogni fase del percorso di adozione del cloud. Le linee guida per ogni fase includono diversi approcci alla sicurezza, tra cui la modernizzazione della postura di sicurezza, la preparazione e la risposta agli incidenti, il sostentamento della sicurezza e la Triade CIA: riservatezza, integrità e disponibilità.
Informazioni sull'iniziativa Microsoft Secure Future
In qualità di provider di servizi cloud in tutto il mondo, Microsoft assegna priorità alla sicurezza soprattutto per tutti gli altri problemi e riconosce la necessità critica di prevenire violazioni della sicurezza. Microsoft Secure Future Initiative risolve questi problemi e fornisce indicazioni sulla creazione e la gestione di prodotti Microsoft.
La misura in cui si assegna la priorità alla sicurezza rispetto ad altri problemi, ad esempio affidabilità, prestazioni e costi, dipende da molti fattori. Questi fattori vengono definiti quando si crea la strategia di adozione complessiva. Indipendentemente dalle priorità, comprendere i pilastri dell'iniziativa Microsoft Secure Future per concentrarsi sulle aree di sicurezza chiave da rafforzare nel cloud.
Adottare una strategia di Zero Trust
I principi Zero Trust creano la base della strategia di sicurezza Microsoft. Zero Trust è una strategia di sicurezza pronta per il cloud costituita da tre principi principali:
Verifica in modo esplicito: Autenticare e autorizzare sempre in base a tutti i punti dati disponibili.
Utilizzare il principio del privilegio minimo: Limitare l'accesso degli utenti con accesso "just-in-time" e accesso "sufficiente", politiche adattive basate sul rischio e protezione dei dati.
Presupporre violazione: Ridurre al minimo il raggio di esplosione e l'accesso segmentato. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese.
I principi Zero Trust guidano le decisioni in fase di progettazione, implementazione e gestione di un ambiente cloud. Forniscono un punto di riferimento chiaro da controllare, che consente di garantire che le scelte non comprometteno la sicurezza.
Usare le linee guida di Microsoft Zero Trust per semplificare l'integrazione di un approccio Zero Trust nella strategia di sicurezza. Le linee guida Zero Trust:
Fornisce un framework adoption strettamente incentrato e strutturato che si allinea alle fasi del percorso di adozione del Cloud Adoption Framework per Azure. Usare queste linee guida per allineare l'adozione complessiva del cloud all'approccio Zero Trust.
Spiega in che modo Azure, Microsoft 365 e AI consente di allineare il patrimonio cloud ai principi Zero Trust.
Fornisce indicazioni sull'allineamento delle procedure di development ai principi di Zero Trust.
Raccomandazioni:
- Adottare Zero Trust. Usare le linee guida microsoft Zero Trust per implementare principi Zero Trust, che guidano una mentalità orientata alla sicurezza.
Utilizzare i workshop CISO e MCRA
Microsoft offre workshop per aiutare i decision maker e gli architetti ad applicare le procedure consigliate all'adozione del cloud. Il workshop Chief Information Security Officer (CISO) è incentrato sulla modernizzazione approfondita delle procedure di cybersecurity dal punto di vista del CISO e di altri ruoli di leadership senior.
Il workshop Microsoft Cybersecurity Reference Architecture (MCRA) è incentrato sull'applicazione delle procedure consigliate per l'architettura ai progetti dell'ambiente cloud. I principi Zero Trust creano le basi per le linee guida nei workshop CISO e MCRA. I workshop si allineano anche alle procedure consigliate di Microsoft nel Cloud Adoption Framework, nell'Azure Well-Architected Framework e nelle raccomandazioni sulla sicurezza Zero Trust.
Raccomandazioni:
- Rivolgersi ai responsabili del team sui workshop CISO e MCRA. Considerare l'investimento in uno o più workshop guidati da Microsoft . Sfruttare in particolare i workshop CISO e MCRA. Per il materiale del workshop guidato da Microsoft, vedere Risorse di adozione della sicurezza.
Passaggio successivo
considerazioni sulla sostenibilità