Najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure

W tym artykule opisano zalecane najlepsze rozwiązania w zakresie zabezpieczeń, które są oparte na doświadczeniach klientów i doświadczeniach w naszych środowiskach.

Aby zapoznać się z prezentacją wideo, zobacz najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure.

1. Osoby: Informowanie zespołów o podróży zabezpieczeń w chmurze

Zespół musi zrozumieć podróż, na której się znajduje.

Co?

Edukuj swoje zespoły ds. zabezpieczeń i IT na temat podróży po zabezpieczeniach w chmurze i zmian, które będą nawigować, w tym:

• Zagrożenia w chmurze
• Model wspólnej odpowiedzialności i wpływ na zabezpieczenia
• Zmiany kultury i ról i obowiązków, które zwykle są związane z wdrażaniem chmury

Dlaczego?

Zabezpieczenia w chmurze wymagają zmiany podejścia i myślenia. Chociaż wyniki zapewniane przez bezpieczeństwo organizacji nie zmieniają się, najlepszym sposobem osiągnięcia tych wyników w chmurze może się znacząco zmienić.

Przejście do chmury jest podobne do przejścia z autonomicznego domu do wieżowca. Nadal masz podstawową infrastrukturę, taką jak instalacja wodno-elektryczna, i wykonujesz podobne działania, takie jak towarzyskie, gotowanie, telewizja i internet itd. Jednak często istnieje dość różnica w tym, co pochodzi z budynku, kto zapewnia i utrzymuje go, a także codzienną rutynę.

Kto?

Wszyscy w organizacji ds. zabezpieczeń i IT z jakąkolwiek odpowiedzialnością, od CIO lub CISO do praktyków technicznych, muszą zapoznać się ze zmianami.

W jaki sposób?

Zapewnij zespołom kontekst wymagany do pomyślnego wdrożenia i działania podczas przejścia do środowiska chmury.

Firma Microsoft opublikowała następujące wnioski, które klienci i organizacja IT poznali w swoich podróżach do chmury.

• Jak zmieniają się role zabezpieczeń i obowiązki w organizacji zabezpieczeń.
• Ewolucja środowiska zagrożeń, ról i strategii cyfrowych.
• Przekształcanie zabezpieczeń, strategii, narzędzi i zagrożeń.
• Edukacja z doświadczenia firmy Microsoft w zabezpieczaniu środowiska chmury w hiperskala.

Aby uzyskać więcej informacji, zobacz Role, obowiązki i zobowiązania dotyczące testów porównawczych zabezpieczeń platformy Azure.

2. Osoby: Informowanie zespołów o technologii zabezpieczeń w chmurze

Osoby muszą zrozumieć, gdzie idą.

Co?

Upewnij się, że zespoły mają czas na edukację techniczną dotyczącą zabezpieczania zasobów w chmurze, w tym:

• Technologia chmury i technologia zabezpieczeń w chmurze
• Zalecane konfiguracje i najlepsze rozwiązania
• Gdzie dowiedzieć się więcej szczegółów technicznych

Dlaczego?

Zespoły techniczne potrzebują dostępu do informacji technicznych, aby podejmować świadome decyzje dotyczące zabezpieczeń. Zespoły techniczne są dobre w uczeniu się nowych technologii w pracy, ale ilość szczegółów w chmurze często przytłocza ich zdolność do uczenia się w ich codziennej rutynie.

Odkładanie dedykowanego czasu na naukę techniczną. Edukacja pomaga zapewnić, że ludzie mają czas na budowanie zaufania do możliwości oceny zabezpieczeń chmury. Pomaga im to myśleć, jak dostosować swoje istniejące umiejętności i procesy.

Kto?

Wszystkie role zabezpieczeń i IT, które bezpośrednio wchodzą w interakcje z technologią chmury, muszą poświęcić czas na uczenie techniczne na platformach w chmurze i sposób ich zabezpieczania.

Zabezpieczeń, menedżerów technicznych IT i menedżerów projektów można zapoznać się z pewnymi szczegółami technicznymi dotyczącymi zabezpieczania zasobów w chmurze. Ta znajomość pomaga im skuteczniej prowadzić i koordynować inicjatywy w chmurze.

W jaki sposób?

Upewnij się, że specjaliści ds. zabezpieczeń technicznych mają czas na samodzielne szkolenie dotyczące zabezpieczania zasobów w chmurze. Chociaż nie zawsze jest to możliwe, zapewnij dostęp do formalnego szkolenia z doświadczonym instruktorem i praktycznymi laboratoriami.

Ważne

Protokoły tożsamości mają kluczowe znaczenie dla kontroli dostępu w chmurze, ale często nie mają priorytetów w zabezpieczeniach lokalnych. Zespoły ds. zabezpieczeń muszą skupić się na opracowaniu znajomości tych protokołów i dzienników.

Firma Microsoft udostępnia obszerne zasoby ułatwiające specjalistom technicznym zwiększenie możliwości. Te zasoby obejmują:

• Zabezpieczenia platformy Azure
  • Ścieżka szkoleniowa Az-500 i certyfikacja
  • Test porównawczy zabezpieczeń platformy Azure
    • Punkty odniesienia zabezpieczeń dla platformy Azure
  • Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft
• Zgodność platformy Azure
  • Zgodność
• Protokoły tożsamości i zabezpieczenia
  • Witryna dokumentacji zabezpieczeń platformy Azure
  • Seria YouTube uwierzytelniania firmy Microsoft Entra
  • Zabezpieczanie środowisk platformy Azure przy użyciu identyfikatora Entra firmy Microsoft

3. Proces: Przypisywanie odpowiedzialności za decyzje dotyczące zabezpieczeń w chmurze

Decyzje dotyczące zabezpieczeń nie będą podejmowane, jeśli nikt nie jest odpowiedzialny za ich podejmowanie.

Co?

Wybierz, kto jest odpowiedzialny za podejmowanie każdej decyzji dotyczącej zabezpieczeń dla środowiska platformy Azure przedsiębiorstwa.

Dlaczego?

Jasne posiadanie decyzji dotyczących zabezpieczeń przyspiesza wdrażanie chmury i zwiększa bezpieczeństwo. Brak własności zwykle tworzy tarcie, ponieważ nikt nie czuje się uprawniony do podejmowania decyzji. Nikt nie wie, kto prosi o decyzję i nikt nie jest motywowany do badania dobrze świadomej decyzji. Tarcie często utrudnia:

• Cele biznesowe
• Osie czasu deweloperów
• Cele IT
• Zabezpieczenia

Tarcie może spowodować:

• Wstrzymane projekty oczekujące na zatwierdzenie zabezpieczeń
• Niezabezpieczone wdrożenia, których nie można oczekiwać na zatwierdzenie zabezpieczeń

Kto?

Kierownictwo ds. zabezpieczeń wybiera, które zespoły lub osoby są odpowiedzialny za podejmowanie decyzji dotyczących zabezpieczeń w chmurze.

W jaki sposób?

Wybierz grupy lub osoby, które mają być odpowiedzialne za podejmowanie kluczowych decyzji dotyczących zabezpieczeń.

Udokumentuj tych właścicieli, informacje kontaktowe oraz uspołeczniają informacje szeroko w zespołach ds. zabezpieczeń, IT i w chmurze. Socialization zapewnia, że wszystkie role mogą się z nimi skontaktować.

Zazwyczaj są to obszary, w których są potrzebne decyzje dotyczące zabezpieczeń. W poniższej tabeli przedstawiono kategorię decyzyjną, opis kategorii i często podejmowane decyzje przez zespoły.

Decyzja	opis	Typowy zespół
Bezpieczeństwo sieci	Konfigurowanie i obsługa usługi Azure Firewall, wirtualnych urządzeń sieciowych i skojarzonych routingów, zapór aplikacji internetowych (WAFs), sieciowych grup zabezpieczeń, grup asg itd.	Zespół ds. zabezpieczeń infrastruktury i punktów końcowych koncentruje się na zabezpieczeniach sieci
Zarządzanie siecią	Zarządzanie siecią wirtualną w całym przedsiębiorstwie i alokacją podsieci.	Istniejący zespół operacyjny sieci w centralnych operacjach IT
Zabezpieczenia punktu końcowego serwera	Monitoruj i koryguj zabezpieczenia serwera, w tym stosowanie poprawek, konfigurację, zabezpieczenia punktu końcowego itd.	Centralne zespoły ds. operacji IT i infrastruktury i zabezpieczeń punktów końcowych wspólnie
Monitorowanie i reagowanie na zdarzenia	Zbadaj i koryguj zdarzenia zabezpieczeń w rozwiązaniu SIEM lub konsoli źródłowej, w tym Microsoft Defender dla Chmury, Ochrona tożsamości Microsoft Entra itd.	Zespół ds. operacji zabezpieczeń
Zarządzanie zasadami	Ustaw kierunek korzystania z kontroli dostępu opartej na rolach platformy Azure (Azure RBAC), Defender dla Chmury, strategii ochrony administratora i usługi Azure Policy, aby zarządzać zasobami platformy Azure.	Zespoły ds. architektury zasad i standardów i zabezpieczeń wspólnie
Zabezpieczenia i standardy dotyczące tożsamości	Ustaw kierunek katalogów firmy Microsoft, użycia PIM/pam, uwierzytelniania wieloskładnikowego, konfiguracji haseł/synchronizacji, standardów tożsamości aplikacji.	Zespoły ds. zarządzania tożsamościami i kluczami, zasadami i standardami oraz architekturą zabezpieczeń wspólnie

Uwaga

• Upewnij się, że osoby podejmujące decyzje mają odpowiednią edukację w swojej dziedzinie chmury, aby towarzyszyć tej odpowiedzialności.
• Upewnij się, że decyzje są udokumentowane w zasadach i standardach, aby zapewnić rekord i kierować organizacją w dłuższej perspektywie.

4. Proces: aktualizowanie procesów reagowania na zdarzenia dla chmury

Planować. Nie masz czasu, aby zaplanować kryzys podczas kryzysu.

Co?

Przygotuj się na zdarzenia zabezpieczeń na platformie Azure w chmurze. To przygotowanie obejmuje wszystkie natywne narzędzia do wykrywania zagrożeń, które zostały przyjęte. Zaktualizuj procesy, przygotuj swój zespół i przećwicz symulowane ataki, aby mogły one działać najlepiej podczas badania, korygowania i wyszukiwania zagrożeń.

Dlaczego?

Aktywni atakujący stanowią natychmiastowe zagrożenie dla organizacji. Sytuacja może szybko stać się trudna do kontrolowania. Szybkie i skuteczne reagowanie na ataki. Ten proces reagowania na zdarzenia (IR) musi być skuteczny dla całego majątku, w tym wszystkich platform w chmurze hostowania danych, systemów i kont przedsiębiorstwa.

Chociaż platforma w chmurze jest podobna pod wieloma względami, różni się technicznie od systemów lokalnych. Systemy lokalne mogą przerywać istniejące procesy, zazwyczaj dlatego, że informacje są dostępne w innej formie. Analitycy zabezpieczeń mogą mieć wyzwania szybko reagujące na nieznane środowisko, które może je spowolnić. Ta instrukcja jest szczególnie prawdziwa, jeśli są one trenowane tylko w klasycznych architekturach lokalnych i podejściach śledczego sieci/dysku.

Kto?

Modernizacja procesów IR jest zwykle prowadzona przez operacje zabezpieczeń. Wysiłki te często są obsługiwane przez inne grupy na potrzeby wiedzy i wiedzy.

• Sponsoring: dyrektor operacyjny ds. zabezpieczeń lub odpowiednik zwykle sponsoruje modernizację procesów.

• Wykonanie: Dostosowanie istniejących procesów lub zapisanie ich po raz pierwszy jest nakładem pracy zespołowej obejmującej:

  • Operacje zabezpieczeń: zespół zarządzający zdarzeniami lub kierownictwo prowadzi proces i aktualizacje integracji kluczowych zewnętrznych uczestników projektu. Zespoły te obejmują zespoły prawne i komunikacyjne lub public relations.
  • Operacje zabezpieczeń: Analitycy zabezpieczeń zapewniają wiedzę na temat badania i klasyfikacji zdarzeń technicznych.
  • Centralne operacje IT: ten zespół zapewnia wiedzę na temat platformy w chmurze bezpośrednio, za pośrednictwem centrum doskonałości chmury lub za pośrednictwem zewnętrznych konsultantów.

W jaki sposób?

Zaktualizuj procesy i przygotuj swój zespół, aby wiedzieć, co zrobić, gdy znajdzie aktywnego atakującego.

• Procesy i podręczniki: Dostosuj istniejące badania, korygowanie i procesy wyszukiwania zagrożeń do różnic w sposobie działania platform w chmurze. Różnice obejmują nowe lub różne narzędzia, źródła danych, protokoły tożsamości itd.
• Edukacja: Edukuj analityków na temat ogólnej transformacji chmury, szczegółów technicznych dotyczących działania platformy oraz nowych lub zaktualizowanych procesów. Te informacje pozwalają im dowiedzieć się, co może się zmienić i gdzie przejść do tego, czego potrzebują.
• Kluczowe obszary fokusu: Chociaż w linkach do zasobów opisano wiele szczegółów, te obszary koncentrują się na edukacji i planowaniu wysiłków:
  • Model wspólnej odpowiedzialności i architektury chmury: dla analityka zabezpieczeń platforma Azure to centrum danych zdefiniowane programowo, które zapewnia wiele usług. Te usługi obejmują maszyny wirtualne i inne, które różnią się od środowiska lokalnego, takie jak Azure SQL Database Azure Functions. Najlepsze dane są dostępne w dziennikach usługi lub wyspecjalizowanych usługach wykrywania zagrożeń. Nie znajduje się on w dziennikach dla bazowych maszyn operacyjnych/maszyn wirtualnych, które są obsługiwane przez firmę Microsoft i obsługują wielu klientów. Analitycy muszą zrozumieć i zintegrować ten kontekst z codziennymi przepływami pracy. W ten sposób wiedzą, jakich danych można oczekiwać, gdzie je uzyskać i w jakim formacie są.
  • Źródła danych punktu końcowego: Uzyskiwanie szczegółowych informacji i danych dotyczących ataków i złośliwego oprogramowania na serwerach hostowanych w chmurze jest często szybsze, łatwiejsze i bardziej precyzyjne dzięki natywnym narzędziom do wykrywania chmury. Narzędzia takie jak Microsoft Defender dla Chmury i wykrywanie i reagowanie w punktach końcowych (EDR) zapewniają bardziej precyzyjne dane niż tradycyjne podejścia do bezpośredniego dostępu do dysków. Bezpośrednie śledcze śledcze są dostępne w scenariuszach, w których jest to możliwe i wymagane do postępowania sądowego. Aby uzyskać więcej informacji, zobacz śledcze śledcze komputery na platformie Azure. Często jednak takie podejście jest najbardziej nieefektywnym sposobem wykrywania i badania ataków.
  • Źródła danych sieci i tożsamości: wiele funkcji platform w chmurze używa głównie tożsamości do kontroli dostępu. Ta kontrola dostępu obejmuje dostęp do witryny Azure Portal, chociaż również są szeroko używane mechanizmy kontroli dostępu do sieci. Ta kontrola dostępu wymaga od analityków opracowania wiedzy na temat protokołów tożsamości w chmurze w celu uzyskania pełnego, rozbudowanego obrazu aktywności osoby atakującej i prawidłowej aktywności użytkownika w celu wspierania badania i korygowania zdarzeń. Katalogi tożsamości i protokoły różnią się od katalogów lokalnych. Są one zwykle oparte na katalogach SAML, OAuth i OpenID Połączenie i katalogach w chmurze, a nie ldap, Kerberos, NTLM i Active Directory.
  • Ćwiczenia praktyczne: Symulowany atak i reagowanie mogą pomóc w budowaniu organizacyjnej pamięci mięśniowej i gotowości technicznej. Zapewniają one przygotowanie analityków zabezpieczeń, łowców zagrożeń, menedżerów zdarzeń i innych uczestników projektu w organizacji. Edukacja pracy i adaptacji jest naturalną częścią reagowania na zdarzenia, ale możesz pracować, aby zminimalizować, ile trzeba nauczyć się w kryzysie.

Kluczowe zasoby

• Przewodnik informacyjny dotyczący reagowania na zdarzenia
• Wskazówki dotyczące tworzenia własnego procesu reagowania na zdarzenia zabezpieczeń
• Rejestrowanie i alerty platformy Azure
• Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft
  • Przekształcanie zabezpieczeń, strategii, narzędzi i zagrożeń
  • Operacje zabezpieczeń
• Firma Microsoft uczy się z Witryny Cyber Defense Operations Center (CDOC)
  • Ogólne wnioski wyciągnięte
  • Badanie zdarzeń
  • Korygowanie zdarzeń

Aby uzyskać więcej informacji, zobacz proces reagowania na zdarzenia testu porównawczego zabezpieczeń platformy Azure dla platformy Azure.

5. Proces: ustanawianie zarządzania stanem zabezpieczeń

Po pierwsze, poznaj siebie.

Co?

Upewnij się, że aktywnie zarządzasz stanem zabezpieczeń środowiska platformy Azure, wykonując następujące działania:

• Przypisywanie jasnej własności obowiązków do:
  • Monitorowanie stanu zabezpieczeń
  • Ograniczanie ryzyka dla zasobów
• Automatyzowanie i upraszczanie tych zadań

Dlaczego?

Szybkie identyfikowanie i korygowanie typowych zagrożeń związanych z higieną zabezpieczeń znacznie zmniejsza ryzyko organizacyjne.

Zdefiniowany programowo charakter centrów danych w chmurze umożliwia ciągłe monitorowanie zagrożeń bezpieczeństwa, takich jak luki w zabezpieczeniach oprogramowania lub błędy konfiguracji zabezpieczeń, z rozbudowaną instrumentacją zasobów. Szybkość, z jaką deweloperzy i zespół IT mogą wdrażać maszyny wirtualne, bazy danych i inne zasoby, tworzy potrzebę zapewnienia, że zasoby są skonfigurowane bezpiecznie i aktywnie monitorowane.

Te nowe możliwości oferują nowe możliwości, ale realizacja ich wartości wymaga przypisania odpowiedzialności za ich używanie. Wykonywanie spójnie z szybko zmieniającymi się operacjami w chmurze wymaga jak największego uproszczenia i zautomatyzowania procesów ludzkich. Zobacz zasadę zabezpieczeń "prostota dysków".

Uwaga

Celem uproszczenia i automatyzacji nie jest pozbycie się zadań, ale usunięcie obciążenia powtarzających się zadań od ludzi, dzięki czemu mogą skupić się na wyższej wartości działań ludzkich, takich jak angażowanie się w zespoły IT i DevOps i edukowanie ich.

Kto?

Ta praktyka jest zwykle podzielona na dwa zestawy obowiązków:

• Zarządzanie stanem zabezpieczeń: Ta funkcja jest często ewolucją istniejących funkcji zarządzanie lukami w zabezpieczeniach lub ładu. Wynik obejmuje monitorowanie ogólnego stanu zabezpieczeń przy użyciu Microsoft Defender dla Chmury wskaźnika bezpieczeństwa i innych źródeł danych. Obejmuje ona aktywną współpracę z właścicielami zasobów w celu ograniczenia ryzyka i raportowania ryzyka do kierownictwa ds. zabezpieczeń.

• Korygowanie zabezpieczeń: przypisz odpowiedzialność za rozwiązywanie tych zagrożeń do zespołów odpowiedzialnych za zarządzanie tymi zasobami. Ta odpowiedzialność należy do zespołów DevOps zarządzających własnymi zasobami aplikacji lub zespołami specyficznymi dla technologii w centralnych operacjach IT:

  • Zasoby obliczeniowe i zasoby aplikacji
    • App Services: Zespoły ds. tworzenia aplikacji i zabezpieczeń
    • Kontenery: programowanie aplikacji lub infrastruktura/operacje IT
    • Maszyny wirtualne, zestawy skalowania, obliczenia: operacje IT/infrastruktury
  • Zasoby dotyczące danych i magazynowania
    • SQL, Redis, Data Lake Analytics, data lake store: zespół bazy danych
    • Konta magazynu: zespół ds. magazynu i infrastruktury
  • Tożsamość i dostęp do zasobów
    • Subskrypcje: Zespoły tożsamości
    • Magazyn kluczy: tożsamość lub informacje/zespół ds. zabezpieczeń danych
  • Zasoby sieciowe: Zespół ds. zabezpieczeń sieci
  • Zabezpieczenia IoT: zespół operacyjny IoT

W jaki sposób?

Bezpieczeństwo to praca wszystkich. Nie wszyscy wiedzą jednak, jak ważne jest, co zrobić i jak to zrobić.

• Pociągnięcie właścicieli zasobów do odpowiedzialności za ryzyko bezpieczeństwa, tak samo jak są pociągnięci do odpowiedzialności za dostępność, wydajność, koszt i inne czynniki sukcesu.
• Obsługa właścicieli zasobów dzięki jasnemu zrozumieniu, dlaczego ryzyko bezpieczeństwa ma znaczenie dla swoich zasobów, co mogą zrobić, aby ograniczyć ryzyko i jak wdrożyć je przy minimalnej utracie produktywności.

Ważne

Wyjaśnienia, dlaczego, co i jak zabezpieczyć zasoby są często podobne w różnych typach zasobów i aplikacjach, ale ważne jest, aby powiązać je z tym, co każdy zespół już zna i dba o to. Zespoły ds. zabezpieczeń mogą współpracować ze swoimi odpowiednikami IT i DevOps jako zaufanym doradcą i partnerem, koncentrując się na umożliwieniu tym zespołom pomyślnego działania.

Narzędzia: wskaźnik bezpieczeństwa w Microsoft Defender dla Chmury zapewnia ocenę najważniejszych informacji o zabezpieczeniach na platformie Azure dla szerokiej gamy zasobów. Ta ocena może być punktem wyjścia do zarządzania stanem i może zostać uzupełniona o niestandardowe zasady platformy Azure i inne mechanizmy zgodnie z potrzebami.

Częstotliwość: skonfiguruj regularne cykle, zwykle co miesiąc, aby przejrzeć inicjatywy wskaźnika bezpieczeństwa i planu platformy Azure z określonymi celami poprawy. Częstotliwość można zwiększyć w razie potrzeby.

Napiwek

Gamify działania, jeśli to możliwe, aby zwiększyć zaangażowanie, takie jak tworzenie zabawnych konkursów i nagród dla zespołów DevOps, które poprawią swój wynik najbardziej.

Aby uzyskać więcej informacji, zobacz strategię zarządzania stanem zabezpieczeń testu porównawczego zabezpieczeń platformy Azure.

6. Technologia: Wymagaj uwierzytelniania bez hasła lub uwierzytelniania wieloskładnikowego

Czy chcesz założyć bezpieczeństwo przedsiębiorstwa, którego profesjonalni atakujący nie mogą odgadnąć ani ukraść hasła administratora?

Co?

Wymagaj od wszystkich administratorów o krytycznym wpływie na korzystanie z uwierzytelniania bez hasła lub uwierzytelniania wieloskładnikowego.

Dlaczego?

Podobnie jak zabytkowe klucze szkieletowe nie chronią domu przed współczesnym włamaniem, hasła nie mogą chronić kont przed typowymi atakami. Aby uzyskać szczegółowe informacje techniczne, zobacz Twoja $word pa$, nie ma znaczenia.

Uwierzytelnianie wieloskładnikowe było kiedyś uciążliwym dodatkowym krokiem. Podejścia bez hasła zwiększają dziś sposób logowania użytkowników przy użyciu metod biometrycznych, takich jak rozpoznawanie twarzy w usłudze Windows Hello i urządzeniach przenośnych. Ponadto metody zerowego zaufania pamiętają zaufane urządzenia. Ta metoda zmniejsza monitowanie o irytujące akcje uwierzytelniania wieloskładnikowego poza pasmem. Aby uzyskać więcej informacji, zobacz częstotliwość logowania użytkownika.

Kto?

Inicjatywa haseł i wieloskładnikowych jest zwykle prowadzona przez zarządzanie tożsamościami i kluczami lub architekturę zabezpieczeń.

• Sponsoring: CISO, CIO lub dyrektor tożsamości zwykle sponsoruje tę pracę.
• Wykonanie: Wykonanie to nakład pracy zespołowej obejmujący:
  • Zespół ds. zasad i standardów: ustanów jasne wymagania.
  • Zarządzanie tożsamościami i kluczami lub centralne operacje IT: zaimplementuj zasady.
  • Zarządzanie zgodnością z zabezpieczeniami: monitoruj, aby zapewnić zgodność.

W jaki sposób?

Zaimplementuj uwierzytelnianie bez hasła lub uwierzytelnianie wieloskładnikowe. Trenowanie administratorów na temat używania go w miarę ich potrzeb i wymaganie od administratorów przestrzegania zapisanych zasad. Użyj co najmniej jednej z następujących technologii:

• Funkcja Windows Hello bez hasła
• Aplikacja wystawcy uwierzytelniającego bez hasła
• Uwierzytelnianie wieloskładnikowe firmy Microsoft
• Rozwiązanie do uwierzytelniania wieloskładnikowego innej firmy

Uwaga

Uwierzytelnianie wieloskładnikowe oparte na wiadomościach tekstowych jest teraz stosunkowo niedrogie dla osób atakujących w celu obejścia, więc skoncentruj się na bezskładnikowym i silniejszym uwierzytelnianiu wieloskładnikowym.

Aby uzyskać więcej informacji, zobacz Mechanizmy kontroli silnego uwierzytelniania testu porównawczego zabezpieczeń platformy Azure dla wszystkich dostępu opartego na identyfikatorze Entra firmy Microsoft.

7. Technologia: Integracja natywnej zapory i zabezpieczeń sieci

Uproszczenie ochrony systemów i danych przed atakami sieciowymi.

Co?

Uprość strategię zabezpieczeń sieci i konserwację, integrując usługę Azure Firewall, zaporę aplikacji internetowej platformy Azure i rozproszone środki zaradcze typu "odmowa usługi" (DDoS) do podejścia zabezpieczeń sieci.

Dlaczego?

Prostota ma kluczowe znaczenie dla bezpieczeństwa, ponieważ zmniejsza prawdopodobieństwo wystąpienia nieporozumień, błędów konfiguracji i innych błędów ludzkich. Zobacz zasadę zabezpieczeń "prostota dysków".

Zapory i funkcje WAF są ważnymi podstawowymi mechanizmami kontroli zabezpieczeń, które chronią aplikacje przed złośliwym ruchem, ale ich instalacja i konserwacja mogą być złożone i zużywają znaczną ilość czasu i uwagi zespołu ds. zabezpieczeń (podobnie jak dodawanie niestandardowych części po rynku do samochodu). Natywne możliwości platformy Azure mogą uprościć implementację i działanie zapór, zapór aplikacji internetowych, środków zaradczych związanych z rozproszoną odmową usługi (DDoS) i nie tylko.

Takie rozwiązanie może zwolnić czas zespołu i zwrócić uwagę na zadania zabezpieczeń o większej wartości, takie jak:

• Ocenianie zabezpieczeń usług platformy Azure
• Automatyzowanie operacji zabezpieczeń
• Integrowanie zabezpieczeń z aplikacjami i rozwiązaniami IT

Kto?

• Dostęp sponsorowany: kierownictwo ds. zabezpieczeń lub kierownictwo IT zwykle sponsoruje aktualizację strategii zabezpieczeń sieci.
• Wykonanie: Integrowanie strategii z strategią zabezpieczeń sieci w chmurze to współpraca obejmująca:
  • Architektura zabezpieczeń: Ustanów architekturę zabezpieczeń sieci w chmurze za pomocą sieci w chmurze i potencjalnych klientów zabezpieczeń sieci w chmurze.
  • Sieć w chmurze prowadzi centralne operacje IT i zabezpieczenia sieci w chmurze prowadzi zespół ds. zabezpieczeń infrastruktury
    • Ustanów architekturę zabezpieczeń sieci w chmurze za pomocą architektów zabezpieczeń.
    • Skonfiguruj zaporę, sieciową grupę zabezpieczeń i zaporę aplikacji internetowych oraz współpracuj z architektami aplikacji w regułach zapory aplikacji internetowej.
  • Architekci aplikacji: praca z zabezpieczeniami sieci w celu tworzenia i uściślinia zestawów reguł zapory aplikacji internetowej oraz konfiguracji DDoS w celu ochrony aplikacji bez zakłócania dostępności

W jaki sposób?

Organizacje, które chcą uprościć operacje, mają dwie opcje:

• Rozszerzanie istniejących możliwości i architektur: Wiele organizacji często decyduje się na rozszerzenie korzystania z istniejących funkcji zapory, aby mogły wykorzystać istniejące inwestycje w umiejętności i integrację procesów, szczególnie w przypadku pierwszego wdrożenia chmury.
• Obsługa natywnych mechanizmów kontroli zabezpieczeń: więcej organizacji zaczyna preferować używanie natywnych mechanizmów kontroli, aby uniknąć złożoności integrowania możliwości innych firm. Organizacje te zwykle starają się uniknąć ryzyka błędnej konfiguracji w równoważeniu obciążenia, trasach zdefiniowanych przez użytkownika, zaporze lub zaporze internetowej oraz opóźnieniach przekazywania między różnymi zespołami technicznymi. Ta opcja jest atrakcyjna dla organizacji, które korzystają z infrastruktury jako podejścia do kodu, ponieważ mogą automatyzować i instrumentować wbudowane możliwości łatwiej niż możliwości innych firm.

Dokumentację dotyczącą natywnych funkcji zabezpieczeń sieci platformy Azure można znaleźć na stronie:

• Azure Firewall
• Zapora aplikacji internetowej platformy Azure (WAF)
• Ochrona przed atakami DDoS na platformie Azure

Witryna Azure Marketplace obejmuje wielu dostawców zapory innych firm.

Aby uzyskać więcej informacji, zobacz Ochrona przed atakami DDOS testów porównawczych zabezpieczeń platformy Azure i ochrona zapory aplikacji internetowej.

8. Technologia: integrowanie natywnego wykrywania zagrożeń

Uproszczenie wykrywania i reagowania na ataki na systemy i dane platformy Azure.

Co?

Uprość strategię wykrywania zagrożeń i reagowania na nie, włączając natywne możliwości wykrywania zagrożeń do operacji zabezpieczeń i rozwiązania SIEM.

Dlaczego?

Celem operacji zabezpieczeń jest zmniejszenie wpływu aktywnych atakujących, którzy uzyskują dostęp do środowiska. Wpływ jest mierzony przez średni czas w celu potwierdzenia (MTTA) i skorygowania zdarzeń (MTTR). Ta praktyka wymaga zarówno dokładności, jak i szybkości we wszystkich elementach reagowania na zdarzenia. Wynik pomaga zapewnić jakość narzędzi i wydajność wykonywania procesów są najważniejsze.

Wykrywanie zagrożeń o wysokim poziomie jest trudne przy użyciu istniejących narzędzi i metod. Narzędzia i podejścia są przeznaczone do lokalnego wykrywania zagrożeń ze względu na różnice w technologii chmury i szybkie tempo zmian. Natywnie zintegrowane wykrywanie zapewnia rozwiązania do skalowania przemysłowego obsługiwane przez dostawców chmury, które mogą nadążyć za bieżącymi zagrożeniami i zmianami platformy w chmurze.

Te rozwiązania natywne umożliwiają zespołom ds. operacji zabezpieczeń skoncentrowanie się na dochodzeniu i korygowaniu zdarzeń. Skoncentruj się na tych elementach zamiast marnować czas, tworząc alerty z nieznanych danych dziennika, integrując narzędzia i zadania konserwacji.

Kto?

Zazwyczaj jest to spowodowane przez zespół ds. operacji zabezpieczeń.

• Dostęp sponsorowany: ta praca jest zwykle sponsorowana przez dyrektora ds. operacji zabezpieczeń lub równoważnej roli.
• Wykonanie: Integracja natywnego wykrywania zagrożeń to nakład pracy zespołowej obejmujący te rozwiązania:
  • Operacje zabezpieczeń: integrowanie alertów z procesami SIEM i badaniem zdarzeń. Operacje zabezpieczeń mogą edukować analityków na temat alertów w chmurze i ich znaczenia oraz sposobu korzystania z natywnych narzędzi w chmurze.
  • Przygotowywanie zdarzeń: integrowanie zdarzeń w chmurze w ćwiczeniach praktycznych i zapewnienie, że ćwiczenia praktyczne są przeprowadzane w celu zapewnienia gotowości zespołu.
  • Analiza zagrożeń: badania i integrowanie informacji na temat ataków w chmurze w celu informowania zespołów o kontekście i inteligencji.
  • Architektura zabezpieczeń: integrowanie natywnych narzędzi z dokumentacją architektury zabezpieczeń.
  • Zasady i standardy: ustaw standardy i zasady umożliwiające natywne narzędzia w całej organizacji. Monitorowanie pod kątem zgodności.
  • Infrastruktura i punkty końcowe oraz centralne operacje IT: konfigurowanie i włączanie wykrywania, integrowanie się z automatyzacją i infrastrukturą jako rozwiązaniami kodu.

W jaki sposób?

Włącz wykrywanie zagrożeń w Microsoft Defender dla Chmury dla wszystkich używanych zasobów i zintegrować te zasoby z ich procesami zgodnie z powyższym opisem.

Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń testu porównawczego zabezpieczeń platformy Azure dla zasobów platformy Azure.

9. Architektura: standaryzacja w jednym katalogu i tożsamości

Nikt nie chce zajmować się wieloma tożsamościami i katalogami.

Co?

Standaryzacja w jednym katalogu Microsoft Entra. Można standandaryzować jedną tożsamość dla każdej aplikacji i użytkownika na platformie Azure.

Uwaga

To najlepsze rozwiązanie dotyczy konkretnie zasobów przedsiębiorstwa. W przypadku kont partnerów użyj usługi Microsoft Entra B2B , aby nie trzeba było tworzyć i obsługiwać kont w katalogu. W przypadku kont klientów lub obywateli użyj usługi Azure AD B2C do zarządzania nimi.

Dlaczego?

Wiele kont i katalogów tożsamości tworzy niepotrzebne tarcie, co powoduje zamieszanie w codziennych przepływach pracy dla:

• Użytkownicy zwiększający produktywność
• Deweloperzy
• Administratorzy IT i tożsamości
• Analitycy zabezpieczeń
• Inne role

Zarządzanie wieloma kontami i katalogami tworzy zachętę dla słabych praktyk w zakresie zabezpieczeń. Te rozwiązania obejmują takie elementy jak ponowne używanie haseł na kontach. Zwiększa prawdopodobieństwo nieaktualnych lub porzuconych kont, których mogą kierować osoby atakujące.

Chociaż czasami łatwiej jest szybko wstać niestandardowy katalog LDAP dla określonej aplikacji lub obciążenia, ta akcja tworzy znacznie więcej pracy w celu zintegrowania i zarządzania nim. Ta praca jest podobna do wyboru w celu skonfigurowania dodatkowej dzierżawy platformy Azure lub lasu lokalna usługa Active Directory zamiast używania istniejącej dzierżawy przedsiębiorstwa. Aby uzyskać więcej informacji, zobacz zasadę bezpieczeństwa kierowania prostotą.

Kto?

Standaryzacja pojedynczego katalogu Microsoft Entra jest często nakładem pracy między zespołami. Nakład pracy jest napędzany przez architekturę zabezpieczeń lub zespoły zarządzania tożsamościami i kluczami .

• Dostęp sponsorowany: Zarządzanie tożsamościami i kluczami oraz architektura zabezpieczeń zwykle sponsoruje tę pracę, choć niektóre organizacje mogą wymagać dostępu sponsorowanego przez CISO lub CIO.
• Wykonanie: Wykonanie to nakład pracy zespołowej obejmujący:
  • Architektura zabezpieczeń: ten zespół uwzględnia proces w dokumentach i diagramach dotyczących architektury zabezpieczeń i IT.
  • Zasady i standardy: ten zespół dokumentuje zasady i monitoruje zgodność.
  • Zarządzanie tożsamościami i kluczami lub centralne operacje IT: te zespoły implementują zasady, włączając funkcje i wspierając deweloperów przy użyciu kont, edukacji itd.
  • Deweloperzy aplikacji lub centralne operacje IT: te zespoły używają tożsamości w aplikacjach i konfiguracjach usług platformy Azure. Obowiązki różnią się w zależności od poziomu wdrażania metodyki DevOps.

W jaki sposób?

Przyjęcie pragmatycznego podejścia, które zaczyna się od nowych możliwości greenfield. Następnie wyczyść wyzwania związane z polem działania istniejących aplikacji i usług w ramach wykonywania działań następczych:

• Greenfield: Ustanów i zaimplementuj jasne zasady, które mogą używać pojedynczego katalogu microsoft Entra z jednym kontem dla każdego użytkownika.

• Brownfield: Wiele organizacji często ma wiele starszych katalogów i systemów tożsamości. Rozwiąż te starsze elementy, gdy koszt bieżących problemów z zarządzaniem przekracza inwestycję, aby go oczyścić. Chociaż rozwiązania do zarządzania tożsamościami i synchronizacji mogą rozwiązać niektóre z tych problemów, nie mają głębokiej integracji funkcji zabezpieczeń i produktywności. Te funkcje umożliwiają bezproblemowe środowisko dla użytkowników, administratorów i deweloperów.

Idealny czas na połączenie korzystania z tożsamości odbywa się podczas cykli tworzenia aplikacji w następujący sposób:

• Modernizuj aplikacje dla chmury.
• Aktualizowanie aplikacji w chmurze za pomocą procesów DevOps.

Chociaż istnieją ważne przyczyny oddzielnego katalogu dla niezależnych jednostek biznesowych lub wymagań prawnych, należy unikać wielu katalogów we wszystkich innych okolicznościach.

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure system tożsamości i uwierzytelniania firmy Microsoft Entra central.

Ważne

Jedynym wyjątkiem od reguły pojedynczego konta jest to, że uprzywilejowani użytkownicy, w tym administratorzy IT i analitycy zabezpieczeń, mogą mieć oddzielne konta dla standardowych zadań użytkownika w porównaniu z zadaniami administracyjnymi.

Aby uzyskać więcej informacji, zobacz Dostęp uprzywilejowany testu porównawczego zabezpieczeń platformy Azure.

10. Architektura: używanie kontroli dostępu opartej na tożsamościach zamiast kluczy

Co?

W miarę możliwości używaj tożsamości firmy Microsoft zamiast uwierzytelniania opartego na kluczach. Na przykład usługi platformy Azure, aplikacje, interfejsy API.

Dlaczego?

Uwierzytelnianie oparte na kluczach może służyć do uwierzytelniania w usługach i interfejsach API w chmurze. Jednak wymaga bezpiecznego zarządzania kluczami, co jest trudne do zrobienia, zwłaszcza na dużą skalę. Bezpieczne zarządzanie kluczami jest trudne dla specjalistów niezwiązanych z zabezpieczeniami, takich jak deweloperzy i specjaliści ds. infrastruktury, i często nie robią tego bezpiecznie, często tworząc poważne zagrożenia bezpieczeństwa dla organizacji.

Uwierzytelnianie oparte na tożsamościach pozwala przezwyciężyć wiele z tych wyzwań z dojrzałymi możliwościami. Możliwości obejmują rotację wpisów tajnych, zarządzanie cyklem życia, delegowanie administracyjne i nie tylko.

Kto?

Implementacja kontroli dostępu opartej na tożsamościach często wymaga wysiłku między zespołami. Nakład pracy jest napędzany przez architekturę zabezpieczeń lub zespoły zarządzania tożsamościami i kluczami .

• Dostęp sponsorowany: Ten wysiłek jest zwykle sponsorowany przez architekturę zabezpieczeń lub zarządzanie tożsamościami i kluczami, choć niektóre organizacje mogą wymagać dostępu sponsorowanego przez CISO lub CIO.
• Wykonanie: wspólne wysiłki związane z:
  • Architektura zabezpieczeń: ten zespół zawiera najlepsze rozwiązania dotyczące diagramów i dokumentów dotyczących zabezpieczeń i architektury IT.
  • Zasady i standardy: ten zespół dokumentuje zasady i monitoruje zgodność.
  • Zarządzanie tożsamościami i kluczami lub centralne operacje IT: te zespoły implementują zasady, włączając funkcje i wspierając deweloperów przy użyciu kont, edukacji itd.
  • Deweloperzy aplikacji lub centralne operacje IT: użyj tożsamości w aplikacjach i konfiguracjach usługi platformy Azure. Obowiązki różnią się w zależności od poziomu wdrożenia metodyki DevOps.

W jaki sposób?

Ustawienie preferencji organizacyjnych i zwyczaju korzystania z uwierzytelniania opartego na tożsamościach wymaga wykonania procesu i włączenia technologii.

Proces

1. Ustanów zasady i standardy, które wyraźnie przedstawiają domyślne uwierzytelnianie oparte na tożsamościach i dopuszczalne wyjątki.
2. Edukuj deweloperów i zespoły ds. infrastruktury, dlaczego należy używać nowego podejścia, co należy zrobić i jak to zrobić.
3. Zaimplementuj zmiany w pragmatyczny sposób, zaczynając od nowych możliwości, które są teraz i w przyszłości wdrażane, takie jak nowe usługi platformy Azure i nowe aplikacje, a następnie po oczyszczeniu istniejących konfiguracji pola brownfield.
4. Monitoruj zgodność i postępuj zgodnie z instrukcjami w zespołach deweloperów i infrastruktury w celu skorygowania.

Technologie

W przypadku kont innych niż ludzkie, takich jak usługi lub automatyzacja, użyj tożsamości zarządzanych. Tożsamości zarządzane platformy Azure mogą uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie firmy Microsoft Entra. Uwierzytelnianie jest włączane za pomocą wstępnie zdefiniowanych reguł udzielania dostępu, unikając zakodowanych na sztywno poświadczeń w kodzie źródłowym lub plikach konfiguracji.

W przypadku usług, które nie obsługują tożsamości zarządzanych, użyj identyfikatora Entra firmy Microsoft, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Należy skonfigurować jednostki usługi przy użyciu poświadczeń certyfikatu i powrót do wpisów tajnych klienta. W obu przypadkach usługa Azure Key Vault może być używana z tożsamościami zarządzanymi platformy Azure, dzięki czemu środowisko uruchomieniowe, takie jak funkcja platformy Azure, może pobrać poświadczenia z magazynu kluczy.

Aby uzyskać więcej informacji, zobacz Tożsamości aplikacji testu porównawczego zabezpieczeń platformy Azure.

11. Architektura: Ustanowienie jednej ujednoliconej strategii zabezpieczeń

Każdy musi wiosłować w tym samym kierunku, aby łódź poszła do przodu.

Co?

Upewnij się, że wszystkie zespoły są dostosowane do jednej strategii, która umożliwia i zabezpiecza systemy i dane przedsiębiorstwa.

Dlaczego?

Gdy zespoły pracują w izolacji bez dostosowania do wspólnej strategii, ich poszczególne działania mogą przypadkowo osłabić swoje wysiłki. Niezgodność może powodować niepotrzebne tarcie, które spowalnia postępy w stosunku do celów wszystkich.

Jednym z przykładów zespołów pracujących w izolacji, które konsekwentnie rozgrywały się w wielu organizacjach, jest segmentacja zasobów:

• Zabezpieczenia sieci: rozwija strategię segmentowania sieci płaskiej. Strategia zwiększa bezpieczeństwo, często oparte na lokacjach fizycznych, przypisanych adresach IP/zakresach lub podobnych elementach.
• Zespół ds. tożsamości: opracowuje strategię dla grup i jednostek organizacyjnych usługi Active Directory w oparciu o ich zrozumienie i wiedzę na temat organizacji.
• Zespoły aplikacji: trudno jest pracować z tymi systemami. Jest to trudne, ponieważ zostały one zaprojektowane z ograniczonymi danymi wejściowymi i zrozumieniem operacji biznesowych, celów i czynników ryzyka.

W organizacjach, w których występuje to ograniczenie, zespoły często występują konflikty z wyjątkami zapory. Konflikty mogą negatywnie wpływać na zabezpieczenia, ponieważ zespoły zatwierdzają wyjątki. Wydajność negatywnie wpływa na bezpieczeństwo, ponieważ wdrożenia spowalniają funkcjonalność aplikacji potrzeb biznesowych.

Chociaż bezpieczeństwo może stworzyć zdrowe tarcie, zmuszając krytyczne myślenie, konflikt ten tworzy tylko złe tarcie, które utrudnia cele. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące strategii zabezpieczeń.

Kto?

• Sponsoring: Ujednolicona strategia jest zwykle współporządkowana przez dyrektorów ds. systemów informatycznych, CISO i CTO. Sponsoring często wiąże się z wsparciem kierownictwa biznesowego dla niektórych elementów wysokiego poziomu i jest broniony przez przedstawicieli każdego zespołu.
• Wykonanie: Strategia zabezpieczeń musi być implementowana przez wszystkich. Integruje dane z różnych zespołów, aby zwiększyć własność, zakup i prawdopodobieństwo sukcesu.
  • Architektura zabezpieczeń: Ten zespół prowadzi wysiłek w zakresie tworzenia strategii zabezpieczeń i wynikowej architektury. Architektura zabezpieczeń aktywnie zbiera opinie zespołów i dokumentów w prezentacjach, dokumentach i diagramach dla różnych odbiorców.
  • Zasady i standardy: ten zespół przechwytuje odpowiednie elementy do standardów i zasad, a następnie monitoruje zgodność.
  • Wszystkie techniczne zespoły IT i zespoły ds. zabezpieczeń: te zespoły zapewniają wymagania wejściowe, a następnie dopasowują się do strategii przedsiębiorstwa i wdrażają ją.
  • Właściciele aplikacji i deweloperzy: te zespoły odczytują i rozumieją dokumentację strategii, która ma zastosowanie do nich. Najlepiej, aby dostosować wskazówki do swojej roli.

W jaki sposób?

Utwórz i zaimplementuj strategię zabezpieczeń dla chmury, która obejmuje dane wejściowe i aktywne współudział wszystkich zespołów. Chociaż format dokumentacji procesu może się różnić, zawsze zawiera następujące elementy:

• Aktywne dane wejściowe od zespołów: strategie zwykle kończą się niepowodzeniem, jeśli ludzie w organizacji nie kupują w nich. Najlepiej, aby wszystkie zespoły w tym samym pokoju mogły wspólnie tworzyć strategię. W warsztatach, które prowadzimy z klientami, często uważamy, że organizacje działają w de facto silosach, a te spotkania często powodują, że ludzie spotykają się ze sobą po raz pierwszy. Uważamy, że inkluzywność jest wymaganiem. Jeśli niektóre zespoły nie są zapraszane, to spotkanie zwykle musi być powtarzane do momentu dołączenia do niego wszystkich uczestników. Jeśli nie dołączą, projekt nie przejdzie do przodu.
• Udokumentowane i przekazane jasno: Wszystkie zespoły muszą mieć świadomość strategii zabezpieczeń. Najlepiej, aby strategia zabezpieczeń stanowiła składnik zabezpieczeń ogólnej strategii technologicznej. Ta strategia obejmuje, dlaczego należy zintegrować zabezpieczenia, co jest ważne w zabezpieczeniach i jak wygląda powodzenie zabezpieczeń. Ta strategia obejmuje konkretne wskazówki dla zespołów ds. aplikacji i programowania, dzięki czemu mogą uzyskać jasne, zorganizowane wskazówki bez konieczności odczytywania informacji nieistotnych.
• Stabilne, ale elastyczne: Zachowaj strategie stosunkowo spójne i stabilne, ale architektury i dokumentacja mogą wymagać zwiększenia przejrzystości i dostosowania dynamicznego charakteru chmury. Na przykład filtrowanie złośliwego ruchu zewnętrznego byłoby spójne jako strategiczne imperatywne, nawet jeśli nastąpi przejście od korzystania z zapory nowej generacji innej firmy do usługi Azure Firewall i dostosowania diagramów i wskazówek dotyczących tego, jak to zrobić.
• Zacznij od segmentacji: Istnieją problemy ze strategią zarówno duże, jak i małe, aby rozwiązać problem, ale musisz zacząć gdzieś. Rozpocznij strategię zabezpieczeń przy użyciu segmentacji zasobów przedsiębiorstwa. Ta segmentacja jest podstawową decyzją, która byłaby trudna do późniejszej zmiany i wymaga zarówno danych wejściowych biznesowych, jak i wielu zespołów technicznych.

Firma Microsoft opublikowała wskazówki dotyczące stosowania strategii segmentacji na platformie Azure. Istnieją dokumenty publikowane na temat segmentacji przedsiębiorstwa i dopasowywania zabezpieczeń sieci do niego.

Przewodnik Cloud Adoption Framework zawiera wskazówki ułatwiające zespołom:

• Tworzenie zespołu strategicznego ds. chmury: najlepiej zintegrować zabezpieczenia z istniejącą strategią chmury.
• Tworzenie lub modernizacja strategii zabezpieczeń: spełnianie celów biznesowych i zabezpieczeń w bieżącym wieku usług w chmurze i nowoczesnych zagrożeń.

Aby uzyskać więcej informacji, zobacz strategię zapewniania ładu testu porównawczego zabezpieczeń platformy Azure.