Að ná NIST samræmi í skýinu: Aðferðir og íhuganir
Að sigla um sýndarvölundarhús samræmis í stafrænu rými er raunveruleg áskorun sem nútíma stofnanir standa frammi fyrir, sérstaklega varðandi National Institute of Standards and Technology (NIST) netöryggisrammi.
Þessi inngangshandbók mun hjálpa þér að öðlast betri skilning á NIST Netöryggi Rammi og hvernig á að ná NIST samræmi í skýinu. Við skulum hoppa inn.
Hvað er NIST netöryggisrammi?
NIST netöryggisramminn veitir yfirlit fyrir stofnanir til að þróa og bæta netöryggisáhættustýringaráætlanir sínar. Það er ætlað að vera sveigjanlegt, samanstendur af fjölbreyttu úrvali af forritum og aðferðum til að gera grein fyrir einstökum netöryggisþörfum hverrar stofnunar.
Ramminn er samsettur úr þremur hlutum - kjarnanum, innleiðingarþrepunum og sniðunum. Hér er yfirlit yfir hvert:
Framework Core
Rammakjarnan inniheldur fimm aðalaðgerðir til að veita skilvirka uppbyggingu til að stjórna netöryggisáhættum:
- Þekkja: Felur í sér að þróa og framfylgja a netöryggisstefnu sem útlistar netöryggisáhættu stofnunarinnar, aðferðir til að koma í veg fyrir og stjórna netárásum og hlutverk og ábyrgð einstaklinga með aðgang að viðkvæmum gögnum stofnunarinnar.
- Vernda: Felur í sér að þróa og innleiða reglulega alhliða verndaráætlun til að draga úr hættu á netöryggisárásum. Þetta felur oft í sér netöryggisþjálfun, strangar aðgangsstýringar, dulkóðun, skarpskyggni próf, og uppfærslu hugbúnaðar.
- Uppgötva: Felur í sér að þróa og innleiða reglulega viðeigandi aðgerðir til að viðurkenna netöryggisárás eins fljótt og auðið er.
- Svara: Felur í sér að þróa yfirgripsmikla áætlun þar sem gerð er grein fyrir þeim skrefum sem þarf að taka ef netöryggisárás verður.
- Endurheimta: Felur í sér að þróa og innleiða viðeigandi aðgerðir til að endurheimta það sem varð fyrir áhrifum af atvikinu, bæta öryggisvenjur og halda áfram að vernda gegn netöryggisárásum.
Innan þessara aðgerða eru flokkar sem tilgreina netöryggisstarfsemi, undirflokkar sem sundurliða starfsemina í nákvæmar niðurstöður og upplýsandi tilvísanir sem veita hagnýt dæmi fyrir hvern undirflokk.
Rammaútfærsluþrep
Rammaútfærsluþrep gefa til kynna hvernig stofnun lítur á og stjórnar netöryggisáhættum. Það eru fjögur stig:
- Stig 1: Hluti: Lítil meðvitund og innleiðir áhættustýringu netöryggis í hverju tilviki fyrir sig.
- Stig 2: Upplýst um áhættu: Áhættuvitund um netöryggi og stjórnunarhættir eru til en eru ekki staðlaðar.
- Þriðja stig: Endurtekið: Formlegar áhættustýringarstefnur um allt fyrirtæki og uppfæra þær reglulega út frá breytingum á viðskiptakröfum og ógnarlandslagi.
- Tier 4: Aðlögunarhæfni: Greinir og spáir fyrir um ógnir og bætir netöryggisaðferðir sem byggjast á fyrri og núverandi starfsemi stofnunarinnar og þróaðri netöryggisógnum, tækni og venjum.
Rammasnið
Rammasniðið lýsir framework Core samræmingu fyrirtækisins við viðskiptamarkmið hennar, netöryggisáhættuþol og úrræði. Hægt er að nota snið til að lýsa núverandi og miða netöryggisstjórnunarástandi.
Núverandi prófíllinn sýnir hvernig stofnun er að meðhöndla netöryggisáhættu, en Marksniðið sýnir niðurstöður sem stofnun þarf til að ná markmiðum um netöryggisáhættustýringu.
Fylgni NIST í skýinu á móti kerfum á staðnum
Þó að NIST netöryggisramma sé hægt að nota á alla tækni, ský computing er einstakt. Við skulum kanna nokkrar ástæður fyrir því að NIST samræmi í skýinu er frábrugðið hefðbundnum innviðum á staðnum:
Öryggisábyrgð
Með hefðbundnum kerfum á staðnum ber notandinn ábyrgð á öllu öryggi. Í tölvuskýi er öryggisábyrgð deilt á milli skýjaþjónustuveitunnar (CSP) og notandans.
Þannig að á meðan CSP er ábyrgur fyrir öryggi „á“ skýsins (td líkamlegum netþjónum, innviðum), er notandinn ábyrgur fyrir öryggi „í“ skýinu (td gögnum, forritum, aðgangsstjórnun).
Þetta breytir uppbyggingu NIST Framework, þar sem það krefst áætlunar sem tekur tillit til beggja aðila og treystir á öryggisstjórnun og kerfi CSP og getu þess til að viðhalda NIST samræmi.
Staðsetning gagna
Í hefðbundnum staðbundnum kerfum hefur stofnunin fulla stjórn á því hvar gögn þess eru geymd. Aftur á móti er hægt að geyma skýjagögn á ýmsum stöðum á heimsvísu, sem leiðir til mismunandi samræmiskröfur byggðar á staðbundnum lögum og reglugerðum. Stofnanir verða að taka tillit til þessa þegar þeir viðhalda NIST samræmi í skýinu.
Sveigjanleiki og mýkt
Skýumhverfi er hannað til að vera mjög skalanlegt og teygjanlegt. Kraftmikið eðli skýsins þýðir að öryggisstýringar og -stefnur þurfa einnig að vera sveigjanlegar og sjálfvirkar, sem gerir NIST samræmi í skýinu að flóknara verkefni.
Fjölbýli
Í skýinu getur CSP geymt gögn frá fjölmörgum stofnunum (fjöltengi) á sama netþjóni. Þó að þetta sé algeng venja fyrir opinbera skýjaþjóna, þá kynnir það viðbótaráhættu og margbreytileika til að viðhalda öryggi og samræmi.
Skýjaþjónustulíkön
Skipting öryggisábyrgðar breytist eftir því hvers konar skýjaþjónustulíkan er notað – Infrastructure as a Service (IaaS), Platform as a Service (PaaS) eða Software as a Service (SaaS). Þetta hefur áhrif á hvernig stofnunin innleiðir rammann.
Aðferðir til að ná NIST samræmi í skýinu
Í ljósi sérstöðu tölvuskýja þurfa stofnanir að beita sértækum ráðstöfunum til að ná NIST samræmi. Hér er listi yfir aðferðir til að hjálpa fyrirtækinu þínu að ná og viðhalda samræmi við NIST netöryggisramma:
1. Skildu ábyrgð þína
Gerðu greinarmun á ábyrgð CSP og þinnar eigin. Venjulega sjá CSPs um öryggi skýjainnviða á meðan þú stjórnar gögnum þínum, notendaaðgangi og forritum.
2. Framkvæma reglulega öryggismat
Metið skýjaöryggi þitt reglulega til að bera kennsl á möguleika Veikleika. Notaðu verkfæri veitt af CSP þínum og íhugaðu endurskoðun þriðja aðila fyrir óhlutdrægt sjónarhorn.
3. Tryggðu gögnin þín
Notaðu sterkar dulkóðunarsamskiptareglur fyrir gögn í hvíld og í flutningi. Rétt lykilstjórnun er nauðsynleg til að forðast óviðkomandi aðgang. Þú ættir líka setja upp VPN og eldveggi til að auka netvernd þína.
4. Innleiða traustar samskiptareglur um auðkenni og aðgangsstjórnun (IAM).
IAM kerfi, eins og fjölþátta auðkenning (MFA), gera þér kleift að veita aðgang að því sem þú þarft að vita og koma í veg fyrir að óviðkomandi notendur komist inn í hugbúnaðinn þinn og tæki.
5. Fylgstu stöðugt með netöryggisáhættu þinni
Nýttu Öryggisupplýsinga- og viðburðastjórnunarkerfi (SIEM). og Intrusion Detection Systems (IDS) fyrir áframhaldandi eftirlit. Þessi verkfæri gera þér kleift að bregðast strax við öllum viðvörunum eða brotum.
6. Þróaðu viðbragðsáætlun fyrir atvik
Þróaðu vel skilgreinda viðbragðsáætlun fyrir atvik og tryggðu að teymið þitt þekki ferlið. Skoðaðu og prófaðu áætlunina reglulega til að tryggja skilvirkni hennar.
7. Framkvæma reglubundnar úttektir og endurskoðun
Hegðun reglulegar öryggisúttektir gegn NIST stöðlum og stilltu stefnu þína og verklag í samræmi við það. Þetta mun tryggja að öryggisráðstafanir þínar séu núverandi og árangursríkar.
8. Þjálfa starfsfólk þitt
Búðu teymi þitt með nauðsynlegri þekkingu og færni um bestu starfsvenjur í skýjaöryggi og mikilvægi NIST-fylgni.
9. Vertu í samstarfi við CSP þinn reglulega
Vertu í reglulegu sambandi við CSP þinn um öryggisvenjur þeirra og íhugaðu öll viðbótaröryggisframboð sem þeir kunna að hafa.
10. Skjalaðu allar skýjaöryggisskrár
Haltu nákvæmar skrár yfir allar stefnur, ferla og verklagsreglur sem tengjast skýjaöryggi. Þetta getur aðstoðað við að sýna fram á samræmi við NIST við úttektir.
Nýttu HailBytes fyrir NIST samræmi í skýinu
Þó að fylgja NIST netöryggisramma er frábær leið til að verjast og stjórna netöryggisáhættum, það getur verið flókið að ná NIST samræmi í skýinu. Sem betur fer þarftu ekki að takast á við margbreytileika netöryggis skýja og samræmis við NIST eingöngu.
Sem sérfræðingar í skýjaöryggisinnviðum, HailBytes er hér til að hjálpa fyrirtækinu þínu að ná og viðhalda NIST samræmi. Við bjóðum upp á verkfæri, þjónustu og þjálfun til að styrkja netöryggisstöðu þína.
Markmið okkar er að gera opinn öryggishugbúnað auðvelt í uppsetningu og erfitt að síast inn. HailBytes býður upp á fjölda netöryggisvörur á AWS til að hjálpa fyrirtækinu þínu að bæta skýjaöryggi sitt. Við bjóðum einnig upp á ókeypis netöryggisfræðslu til að hjálpa þér og teymi þínu að rækta sterkan skilning á öryggisinnviðum og áhættustýringu.
Höfundur
Zach Norton er sérfræðingur í stafrænni markaðssetningu og sérfræðingur hjá Pentest-Tools.com, með margra ára reynslu í netöryggi, skrifum og efnissköpun.
