在整个组织内采用零信任安全是一项复杂且历时多年的工作,涵盖业务战略与规划、技术设计与体系结构、部署和运营。
如果没有采用结构化的方法,安全现代化计划可能会变得分散、反应和难以维持。
我们的 *结构化安全采用模型提供标准化、可重复、可识别角色的流程,可帮助你跨混合、多云和多平台环境规划、确定优先级和实施端到端安全现代化。
采用模型符合关键业务成果、安全规则和解决方案实现,使业务主管、安全经理、架构师和从业者能够在整个组织中以受控且可持续的速度共同前进。
Tip
Microsoft提供了一套丰富的安全采用研讨会 - 安全采用框架(SAF)研讨会。 我们的结构化采用模型指南与这些研讨会中Microsoft统一提供的专家指导保持一致。 详细了解 SAF 研讨会。
为什么使用采用模型?
结构化采用模型可帮助你:
- 符合安全最佳做法 - 符合 零信任 原则Microsoft安全未来计划(SFI)模式、开放标准和指南和其他安全最佳做法。
- 最大化现有投资 - 在引入新功能之前,从现有工具获取价值。
- 提供端到端安全策略 - 将业务优先级连接到安全体系结构、控制、流程和操作。
- 不断适应 - 随着威胁、业务需求和技术的变化,不断改进安全态势和策略。
- 确定操作优先级 - 为团队和利益干系人提供特定于角色的实际指导,以最佳做法、吸取的教训和实际示例为基础。
此图说明了这些元素在采用模型中是如何组合在一起的。
采用模型如何集成现有指南
此采用模型汇集了历来跨多个框架和资源发布的Microsoft安全指南,使其与单个可操作结构保持一致。
它基于已建立的指南进行集成和构建,并包括这些内容源:
通过围绕常见业务场景、规则和实施步骤组织本指南,该模型可帮助你从独立建议转向一种协调方法,用于规划、实施和衡量安全改进。 我们将随着时间的推移进一步丰富采用模型内容。
采用模型结构
采用模型基于三个核心组件构建,可帮助组织从业务意图迁移到详细实现:
- 业务方案 定义典型的业务成果,以及必须如何调整安全性才能实现这些结果。
- 安全规则 定义团队如何组织、规划和运营以现代化安全性并实现业务成果。
- 技术支柱 描述了我们想要保护的组织资产和资源。 例如标识、设备和数据。
采用模型的每个组件都面向特定的受众和角色。
| 章节 | 主要受众 | 目的 |
|---|---|---|
| 业务方案 | 业务领导者 | 确定、定义和传达安全必须支持的关键业务成果。 将业务优先级转化为指导规划和决策的可操作安全目标。 为业务成果提供实用、可重复的指导,并提供提供结果所涉及的角色和规则的明确路径。 |
| 安全规则 | 安全主管和团队、IT 主管、设计师、架构师。 | 衔接业务场景与安全部署/实施。 确保安全投资和优先级通过明确的规划、体系结构和运营实践转化为可衡量的结果。 业务方案通常映射到多个安全规则。 |
| 技术支柱 | 技术和安全实施者和合作伙伴。 | 定义必须保护哪些类型的资产,以及必须应用零信任原则和安全控制的位置。 通过将相关技术、控件和功能分组,将安全策略连接到实现。 业务方案可能跨越多个技术支柱。 例如,如果我们的业务成果是改善整个企业的安全状况,则必须改善设备、数据、基础结构、网络等的态势。 |
采用指南
结构化采用指南重点介绍:
- 针对常见业务关键型场景的端到端指导。
- 基于零信任原则、Microsoft 最佳实践和外部框架提出的不针对特定产品的建议。
- 使用Microsoft安全产品和服务的详细实施指南。
后续步骤
查看开启安全采用之旅的相关选项。