Informazioni sulle strategie efficaci per la sicurezza e la conformità

Un approccio di sicurezza e compliance comprende tre strategie chiave: progettazione, monitoraggio e ottimizzazione. Queste strategie sono applicate iterativamente e ognuna può alimentarsi di nuovo negli altri.

Crea una strategia di progettazione

Una strategia completa di progettazione della sicurezza fornisce garanzia di sicurezza tramite Identity Management: il processo di autenticazione e autorizzazione dei principal di sicurezza. Utilizzare i servizi di gestione delle identità per autenticare e concedere l'autorizzazione a utenti, partner, clienti, applicazioni, servizi e altre entità.

Incoraggia inoltre la protezione degli asset posizionando i controlli sul traffico di rete originario di Oracle Cloud Infrastructure, tra le risorse locali e Oracle Cloud Infrastructure ospitate e il traffico da e per Oracle Cloud Infrastructure. Se le misure di sicurezza non sono in atto, gli aggressori possono accedere; ad esempio, scansionando tra gli intervalli IP pubblici. I controlli di sicurezza di rete corretti possono fornire elementi approfonditi di difesa che aiutano a rilevare, contenere e arrestare gli aggressori che tentano di accedere alle distribuzioni cloud.

Una strategia di progettazione riuscita cercherà inoltre di classificare, proteggere e monitorare gli asset di dati sensibili utilizzando il controllo dell'accesso, la cifratura e il login a Oracle Cloud Infrastructure. Disporrà inoltre di controlli sui dati a riposo e in transito.

Le applicazioni e i dati ad esse associati fungono da archivio primario del valore aziendale su una piattaforma cloud. Le applicazioni possono svolgere un ruolo nei rischi per l'azienda perché racchiudono ed eseguono processi aziendali che devono essere disponibili e dotati di elevata integrità. Le applicazioni inoltre memorizzano ed elaborano i dati aziendali che richiedono elevate garanzie di riservatezza, integrità e disponibilità. Pertanto, una strategia di successo dovrebbe concentrarsi e abilitare l'applicazione e la sicurezza dei dati.

Creare una strategia di monitoraggio e audit

Una strategia di monitoraggio efficace si concentrerà sulla modellazione sanitaria.

La modellazione dello stato si riferisce alle attività che mantengono la postura di sicurezza di un carico di lavoro attraverso il monitoraggio. Queste attività possono indicare se le pratiche di sicurezza attuali sono efficaci o se esistono nuovi requisiti. La modellazione dello stato può includere le seguenti categorie:

• Monitorare il carico di lavoro e l'infrastruttura in cui viene eseguito.
• Esecuzione dei controlli.
• Abilitare, acquisire e memorizzare i log di audit.
• Aggiornare e correggere le patch di sicurezza.
• Rispondere agli incidenti.
• Simula gli attacchi in base a incidenti reali.

Crea strategia ottimizzazione

Una volta stabilita una baseline sicura per le operazioni di sicurezza nel cloud, i team di sicurezza dovranno indagare continuamente sui processi di sicurezza specifici del cloud e sui controlli che possono portare a progressi e ottimizzazioni rispetto alle pratiche di sicurezza esistenti.

Migliaia di aziende utilizzano con successo e sicurezza i servizi cloud per raggiungere gli obiettivi aziendali per aumentare l'agilità e ridurre i costi dei servizi IT. Questo framework di best practice fornisce suggerimenti per i pattern tra le organizzazioni delle operazioni di sicurezza che forniranno le architetture, i processi e i controlli di sicurezza necessari per consentire un uso sicuro dei servizi cloud da parte del business. Oltre a iniziare con una distribuzione sicura, è necessario implementare una strategia di miglioramento continuo.

Segui i principi di progettazione della sicurezza

Gli articoli di questo pilastro descrivono come implementare le tre strategie di progettazione, monitoraggio e ottimizzazione e offrono suggerimenti su come implementarle in Oracle Cloud Infrastructure. Ciascuna di queste raccomandazioni implementa uno o più dei seguenti principi di progettazione della sicurezza.

Questi principi supportano queste tre strategie chiave e descrivono un sistema architettato in modo sicuro ospitato su data center cloud o on-premise (o una combinazione ibrida di entrambi). L'applicazione di questi principi aumenterà drasticamente la probabilità che l'architettura di sicurezza mantenga le garanzie di riservatezza, integrità e disponibilità.

Le migliori pratiche di sicurezza e conformità implementano questi principi di progettazione:

• Progettazione per gli aggressori: il tuo design di sicurezza e la priorità dovrebbero essere focalizzati sul modo in cui gli aggressori vedono il tuo ambiente, che spesso non è il modo in cui IT e team di applicazioni vedono. Informare il vostro design di sicurezza e testarlo con test di penetrazione per simulare attacchi una tantum. Usa squadre rosse per simulare gruppi di attacco persistenti a lungo termine. Progetta la tua strategia di segmentazione aziendale e altri controlli di sicurezza per contenere movimenti laterali aggressivi all'interno dell'ambiente. Misurare e ridurre attivamente la superficie di attacco potenziale che attacca bersaglio per lo sfruttamento delle risorse all'interno dell'ambiente.
  • Limita autorizzazioni in base ai requisiti. Scrivere criteri il più granulare possibile in termini di risorse di destinazione e dei privilegi di accesso richiesti.
  • Applica segmentazione di rete. Limitare il traffico per isolare le distribuzioni di applicazioni l'una dall'altra a livello di rete e utilizzare una lista di allocazioni per tutti i flussi di rete richiesti. Ridurre al minimo il traffico eccessivamente permissivo.
• Sfrutta i controlli nativi: favorisci i controlli di sicurezza nativi incorporati nei servizi cloud su controlli esterni di terze parti. I controlli di sicurezza nativi sono gestiti e supportati dal provider di servizi, eliminando o riducendo gli sforzi necessari per integrare strumenti di sicurezza esterni e aggiornare tali integrazioni nel tempo.
• Usa identità come controllo dell'accesso primario: l'accesso alle risorse nelle architetture cloud è principalmente disciplinato dall'autenticazione e dall'autorizzazione basate sull'identità per i controlli dell'accesso. La strategia di controllo dell'account dovrebbe basarsi sui sistemi di identità per controllare l'accesso piuttosto che fare affidamento sui controlli di rete o sull'uso diretto delle chiavi crittografiche.
• Responsabilità: designare una chiara titolarità delle attività e delle responsabilità in materia di sicurezza e garantire che le azioni siano tracciabili per il mancato udito. È inoltre necessario assicurarsi che alle entità sia stato concesso il privilegio minimo richiesto (a un livello gestibile di granularità).
• Embrace Automation: L'automazione dei compiti riduce la possibilità di errori umani che possono creare rischi, quindi sia le operazioni IT che le best practice di sicurezza dovrebbero essere automatizzate il più possibile per ridurre gli errori umani (assicurando al contempo che gli esseri umani qualificati governano e controllano l'automazione).
• Focus on Information Protection: La proprietà intellettuale è spesso uno dei più grandi repository di valore organizzativo e questi dati dovrebbero essere protetti ovunque si trovino, inclusi i servizi cloud, i dispositivi mobili, le workstation e le piattaforme di collaborazione (senza ostacolare la collaborazione che consente la creazione di valore aziendale). La strategia di sicurezza deve essere basata sulla classificazione delle informazioni e degli asset per consentire la definizione delle priorità di sicurezza, sfruttare una forte tecnologia di controllo degli accessi e crittografia e soddisfare le esigenze aziendali quali produttività, usabilità e flessibilità.
• Progettazione per la resilienza: la strategia di sicurezza dovrebbe assumere che i controlli falliscano e progettano di conseguenza. Rendere la tua posizione di sicurezza più resiliente richiede diversi approcci che lavorano insieme:
  • Vigilanza in corso: Assicurarsi che le anomalie e le potenziali minacce che potrebbero rappresentare rischi per l'organizzazione siano affrontate tempestivamente.
  • Difesa in profondità: prendere in considerazione controlli aggiuntivi nella progettazione per mitigare il rischio per l'organizzazione nel caso in cui un controllo di sicurezza primario non riesca. Questo progetto dovrebbe considerare la probabilità che il controllo primario fallisca, il rischio organizzativo potenziale se lo fa, e l'efficacia del controllo aggiuntivo (soprattutto nei casi probabili che causerebbero il fallimento del controllo primario).
  • Difendi a Edge: considera la sicurezza integrata efficace dei bordi per controllare le minacce prima che abbiano un impatto sulle tue applicazioni. Ciò è fondamentale per la conformità ai criteri di sicurezza delle informazioni.
  • Privilegio minimo: si tratta di una forma di difesa in profondità per limitare i danni che possono essere fatti da qualsiasi account. Agli account deve essere concesso il privilegio minimo necessario per eseguire i task assegnati. Limitare l'accesso per livello di autorizzazione e per tempo. Questo aiuta a mitigare i danni di un aggressore esterno che ottiene l'accesso al conto, o di un dipendente interno che inavvertitamente (o deliberatamente, come con un attacco insider) compromette le garanzie di sicurezza.
• Supponiamo Zero Trust: durante la valutazione delle richieste di accesso, tutti gli utenti, i dispositivi e le applicazioni richiedenti devono essere considerati non attendibili fino a quando la loro integrità non può essere convalidata in modo sufficiente. Le richieste di accesso devono essere concesse in modo condizionale in base al livello di sicurezza del richiedente e alla sensibilità della risorsa target. Dovrebbero essere fatti ragionevoli tentativi di offrire mezzi per aumentare la convalida della fiducia (ad esempio, richiedere l'autenticazione multi-fattore) e porre rimedio ai rischi noti (modificare la password con perdita di conoscenza, correggere l'infezione da malware) per supportare gli obiettivi di produttività.