Вместо того, чтобы иметь одно длинное видео для Azure Adent, я пытался сделать набор меньших видео, которые вы можете посмотреть в любом порядке. В этой серии видео я говорю о безопасности на Azure. Для прочего отличного содержания лазурного возмещения проверьте вклад в Azure Advent Event Отказ
Введение в безопасности
Что вы думаете о том, когда кто-то говорит о безопасности?
Минимальное определение, которое я бы дал за безопасность, будет устойчивость от вреда.
Часто чувствую, что мы говорим о безопасности как конечным состоянием. Например, это приложение или веб-сайт безопасны. Очень, как и другие области работоспособности, безопасность — это ума, и набор процессов и технологий, которые постоянно развиваются для реагирования на злонамеренные и случайные мероприятия, которые могут нанести вред нашей инфраструктуре, применению, данным и общему влиянию на ценность и доверие наши клиенты.
В 2015 году Gartner Inc. Выявили свои лучшие стратегические прогнозы на 2016 год и за его пределами. Одним из этих прогнозов было то, что «через 2020 год 95 процентов отказов облачных безопасников будут связаны с некоторым проблемным использованием клиентов, а не облачными провайдерами. В 2019 году Gartner Inc. Обновил этот прогноз до 2025 года увеличивает проблематичное использование до 99%! Вы можете сказать, что это конкурентное преимущество для улучшения навыков безопасности.
Глядя на различные виды инфраструктуры, в которой вы можете инвестировать от On-Prem Datacenters, инфраструктуру в качестве обслуживания, платформы как услугу, к программному обеспечению в качестве услуги, есть некоторые элементы безопасности, которые принимаются поставщику облака, а некоторые, которые ответственность клиента. Это является частью премиальной цены, которая исходит от провайдера, обрабатывающей часть устойчивости для вас. Независимо от того, на какой архитектуре выбран данные, данные и доступность, идентичность и управление доступом, а управление конечным пунктом является обязанностью клиента.
Важно говорить о том, как говорить о безопасности. Модели являются полезными способами вдохновления разговоров и создания контекста между людьми. Один из первых моделей, о которых я узнал, был Cia Triad: конфиденциальность, целостность и доступность. Конфиденциальность — это набор правил, которые ограничивают доступ к информации людям, которые должны иметь доступ к нему доступ. Целостность заключается в том, что информация о том, что информация верна и верна для ее первоначальной цели, и что только те, кто должен уметь изменить эту информацию. Доступность — это надежный доступ к информации и ресурсам лицам, которые нуждаются в этом, и когда им это нужно.
Новая модель — Умереть модель . Это помогает ориентировать архитектурные решения, обрамление на основе желаемых результатов. Когда мы можем выбрать распределенную архитектуру, мы можем лучше управлять вредом, который вызван распределенными атаками. Когда мы можем выбрать неизменной инфраструктуру, мы можем обнаружить изменения и ремонтировать эти изменения. Когда мы можем выбрать эфемерную инфраструктуру, то часто к тому времени, когда злоумышленник способна выяснить уязвимость в нашей инфраструктуре, она уже ушла, и ценность попыток компромисса инфраструктуры подходит к нулю.
Дополнительные ресурсы
- Введение в безопасность Azure
- Azure Center Center Security
- Проверьте, был ли аккаунт скомпрометирован в нарушении данных на https://haveibeenpwned.com.
- Отчет о нарушении данных Verizon
- Пример атаки.
Проектирование и архитектуру со фокусом безопасности
Дополнительные ресурсы
- AWASP Прикладная Безопасность Подтверждение Стандартный проект
- Инструмент моделирования угроз Microsoft
- Проект моделей угроз OWAPP
- Обнаружение риска безопасности Microsoft — тестирование FUZZ
Разработка с перспективой безопасности
Дополнительные ресурсы
- Пример проблемы, который мог быть предотвращен
- Соответствие как код
- Обнаружение риска безопасности Microsoft — тестирование FUZZ
- Узнайте все о тестировании с помощью университета тестирования
- Azure Key Vault.
Мониторинг с перспективой безопасности
Дополнительные ресурсы
- Минимальный жизнеспособный план ответа Джейсонской рукой
- Основные фонда Azure Foundations (Draft) Центр безопасности Azure имеет свободный уровень Это автоматически включается на всех подписках Azure и предоставляет политику безопасности, непрерывную оценку безопасности, а также реагированные рекомендации по безопасности, чтобы помочь вам защитить ваши лазурные ресурсы.
- Центральная документация для Центра безопасности Azure
- Azure Modure Module для Azure Security Center
- Лазурные модули изучения для операций безопасности
Твиттер
Есть много отраслевых дискуссий, которые случаются в Twitter. Если вы заинтересованы в том, чтобы узнать о текущих тенденциях и практиках, вот несколько интересных учетных записей:
- Варенье
- Ян Холод воды
- Tinker Fairy
- Тери Радичел
- Таня Янка
- Кариад
- Дженси Петерсен
- Сарай Розенберг
- Виктория Дрейк
- Йолонда Смит
- Луис Сайз Гимено
- Кристина Морильо
- Quiessence Phillips
- Элисон Джаноотто
- Pamela Dingle.
- Виктория Дрейк
- Келли Шоррдидридж
- Ana Oprea.
- CTF Circle
- Owasp.
- Wosec.
У вас есть ресурсы, которые вы порекомендуете? Пожалуйста, поделитесь ниже, и я буду обновлять эту страницу, чтобы включить их.
Оригинал: «https://dev.to/azure/examining-security-with-azure-4ghm»