開始使用:跨企業環境實作安全性
安全性可確保商務的機密性、完整性和可用性。 安全性工作的重點在於抵禦內部和外部惡意和意外行為所造成作業的潛在影響。
本入門指南概述可減輕或避免網路安全攻擊業務風險的重要步驟。 其可協助您在雲端中快速建立基本安全性做法,並將安全性整合到您的雲端採用程式中。
本指南中的步驟適用於支援雲端環境和登陸區域安全性保證的所有角色。 工作包括立即風險降低優先順序、建立新式安全性策略的指引、操作方法,以及在該策略上執行。
遵循本指南中的步驟可協助您在程式中的關鍵點整合安全性。 目標是避免雲端採用的障礙,並減少不必要的業務或營運中斷。
Microsoft 已建立功能和資源,可協助您在 Microsoft Azure 上加速此安全性指導的實作。 您將會看到本指南中參考的這些資源。 其設計目的是協助您建立、監視及強制執行安全性,並經常更新和檢閱它們。
下圖顯示使用安全性指導和平台工具,對您在 Azure 中的雲端資產建立安全性可見度和控制的整體方法。 我們建議採用此方法。
使用這些步驟來規劃和執行您的策略,以保護您的雲端資產,以及使用雲端將安全性作業現代化。
步驟 1:建立基本安全性做法
雲端中的安全性一開始會將最重要的安全性做法套用至系統的人員、程序和技術元素。 此外,某些架構決策是基本的,而且稍後很難變更,因此應謹慎套用。
無論您是在雲端中運作,或是正在規劃未來的採用,我們都建議您遵循這 11 個基本的安全性做法 (除了符合任何明確法規合規性需求以外)。
人員:
處理:
技術:
基礎結構決策:
注意
每個組織都應該定義自己的最低標準。 風險態勢和後續對該風險的容錯可能會根據產業、文化和其他因素而有很大的差異。 例如,銀行可能無法容忍任何可能對其信譽造成的損害,即使是對測試系統的次要攻擊亦是如此。 某些組織可能會樂於接受該相同的風險,前提是若其能夠將其數位轉型加速三到六個月。
步驟 2:現代化安全性策略
雲端中的有效安全性需要一個策略以反映目前的威脅環境,以及裝載企業資產的雲端平台本質。 明確的策略可改善所有小組的工作,以提供安全且永續的企業雲端環境。 安全性策略必須實現定義的業務成果、將風險降低至可接受的程度,同時提高員工的生產力。
雲端安全性策略提供指導方針,讓所有小組都能做好技術、流程和人員的準備以進行這項採用。 此策略應該會通知雲端架構和技術功能、引導安全性架構和功能,並影響小組的訓練和教育。
交付:
策略步驟應該會產生可輕易傳達給組織內許多專案關係人的文件。 專案關係人可能包含組織領導團隊的主管。
我們建議您在簡報中擷取策略,以簡化討論和更新。 文件可支援此簡報,視文化特性和喜好設定而定。
策略簡報: 您可能會有單一策略簡報,或者您也可以選擇為領導物件建立摘要版本。
完整簡報: 這應該包含主要簡報或選擇性參考投影片中安全性策略的完整元素集。
執行摘要: 與高管和董事會成員搭配使用的版本可能只包含與其角色相關的重要元素,例如風險偏好、最高優先順序或已接受的風險。
您也可以在策略和方案範本中記錄動機、成果和業務理由。
建置安全性策略的最佳做法:
成功的計畫會將這些元素併入其安全性策略流程中:
與業務策略緊密配合: 安全性的憲章是保護商業價值。 重要的是讓所有安全性工作符合該目的,並將內部衝突降道最低。
建置對商務、IT 和安全性需求的共享瞭解 。
儘早將安全性整合到雲端採用 ,以避免最後一分鐘的危機避免可避免的風險。
使用敏捷式方法來 立即建立最低安全性需求,並持續改善一段時間的安全性保證。
透過刻意主動式領導動作鼓勵安全性文化變更 。
如需詳細資訊,請參閱 轉換、思維和期望。
現代化安全性策略: 安全性策略應包含現代化技術環境、目前威脅環境和安全性社群資源所有層面的考慮。
- 適應雲端的共同責任模式。
- 包含所有雲端類型和多重雲端部署。
- 偏好原生雲端控制項,以避免不必要和有害的摩擦。
- 整合安全性社群以跟上攻擊者演進的步調。
其他內容的相關資源:
雲端採用架構 的策略考慮:
| 課責小組 | 負責和支援的小組 |
|---|---|
原則核准:
對於組織內的業務線成果或風險承擔責任的主管和業務領導人應核准此策略。 視組織而定,此群體可能包含董事會。
步驟 3:開發安全性計劃
規劃藉由定義結果、里程碑、時間表和工作擁有者,讓安全性策略付諸實行。 此計劃也會概述小組的角色和責任。
安全性規劃和雲端採用規劃不應分別完成。 務必及早邀請雲端安全性小組加入規劃週期,以避免因工作中斷或太晚發現安全性問題而增加風險。 若對於數位資產具有深入知識和意識,且現有的 IT 組合來自完全整合至雲端規劃的程序,則安全性規劃能夠達到最佳效果。
交付:
安全性計劃: 安全性計劃應該是雲端主要規劃檔的一部分。 其可能是使用策略和方案範本、詳細的投影片組或專案檔案的文件。 或者,其可能是這些格式的組合,視組織的大小、文化和標準做法而定。
安全性規劃應包含所有這些元素:
組織功能計劃,讓小組知道目前的安全性角色和責任隨著移至雲端而變更的方式。
在小組成員瀏覽技術、角色和責任的重大變更時,安全性技能計劃 支援小組成員。
技術安全性架構和功能藍圖 可引導技術小組。
Microsoft 提供參考架構和技術功能,協助您建置架構和藍圖,包括:
- 瞭解 Azure 元件和參考模型 ,以加速 Azure 安全性角色的規劃和設計。
Microsoft 網路安全性參考架構 ,為跨越內部部署和雲端資源的混合式企業建置網路安全架構。
安全性作業中心 (SOC) 參考架構 ,可將安全性偵測、回應和復原現代化。
零信任的使用者存取參考架構 ,可將雲端產生的訪問控制架構現代化。
適用於雲端的 Microsoft Defender 和 適用於雲端的 Microsoft Defender 應用程式,以協助保護雲端資產。
安全性意識和教育計劃,因此所有小組都有基本的重要安全性知識。
使用符合業務影響的分類法來指定敏感性資產的資產敏感度標記 。 分類法是由商務專案關係人、安全性小組和其他感興趣方共同建立。
雲端方案的安全性變更: 更新雲端採用計劃的其他區段,以反映安全性計劃所觸發的變更。
安全性規劃的最佳做法:
如果您的規劃採用下列方法,您的安全性規劃可能會更成功:
假設混合式環境: 其中包含軟體即服務 (SaaS) 應用程式和內部部署環境。 其還包含多個雲端基礎結構即服務 (IaaS) 和平台即服務 (PaaS) 提供者 (如適用)。
採用敏捷式安全性: 先建立最低安全性需求,並將所有非關鍵專案移至後續步驟的優先順序清單。 這應該不是傳統的 3-5 年詳細規劃。 雲端和威脅環境變更太快,無法讓該類型的計劃很有用。 您的規劃應著重於開發開始步驟和結束狀態:
快速贏得 未來,這將在長期計劃開始之前帶來很高的影響。 時間範圍可以是 3-12 個月,視組織文化、標準做法和其他因素而定。
清楚瞭解 所需的結束狀態,以引導每個小組的規劃程式(可能需要數年的時間才能達成)。
廣泛分享方案: 提高項目關係人對、意見反應和購買的認識。
符合策略成果: 確定您的計劃符合並完成安全性策略中所述的戰略成果。
設定擁有權、責任和期限: 確定已識別每個工作的擁有者,並承諾在特定時間範圍內完成該工作。
連線 與安全性的人類方面:在此轉型時期與新的期望期間,請洽詢人員:
積極支援小組成員轉換 ,並明確溝通和指導:
- 他們需要學習哪些技能。
- 為什麼他們需要學習技能 (以及這麼做的優點)。
- 如何取得此知識 (並提供資源以協助他們學習)。
您可以使用策略和計劃範本來記錄計劃。 您可以使用 在線 Microsoft 安全性訓練 來協助進行小組成員的教育。
讓安全性意識參與 ,協助人員真正與組織保持安全聯繫。
檢閱 Microsoft 學習和指引: Microsoft 已發佈深入解析和觀點,以協助您的組織規劃其雲端轉型和現代化安全性策略。 資料包含錄製的訓練、文件和安全性最佳做法,以及建議的標準。
如需協助建置方案和架構的技術指引,請參閱 Microsoft 安全性檔。
| 課責小組 | 負責和支援的小組 |
|---|---|
安全性計劃核准:
安全性領導小組 (CISO 或對等專案) 應核准計劃。
步驟 4:保護新的工作負載
在安全狀態下開始比稍後將安全性改造成環境要容易得多。 我們強烈建議從安全設定開始,以確保工作負載已移轉至安全環境,並在環境中開發和測試。
在登陸區域實作期間,許多決策可能會影響安全性和風險配置檔。 雲端安全性小組應檢閱登陸區域設定,以確保其符合組織安全性基準的安全性標準和需求。
交付:
- 確定新的登陸區域符合組織的合規性和安全性需求。
支援交付專案完成的指引:
混合現有的需求和雲端建議: 從建議的指引開始,然後調整這一點以符合您獨特的安全性需求。 我們看到了嘗試強制執行現有內部部署原則和標準的挑戰,因為這些原則通常是指過時的技術或安全性方法。
Microsoft 已發佈可協助您建置安全性基準的指引:
- 適用於策略和架構的 Azure 安全性標準:用來塑造環境安全性狀態的策略和架構建議。
- Azure 安全性效能評定:保護 Azure 環境的特定設定建議。
- Azure 安全性基準訓練。
提供護欄:保管庫 衛士應包括自動化原則稽核和強制執行。 針對這些新環境,小組應努力同時稽核並強制執行組織的安全性基準。 這些工作有助於將工作負載開發期間的安全性意外降到最低,以及工作負載的持續整合和持續部署 CI/CD。
Microsoft 在 Azure 中提供數個原生功能來啟用這項功能:
安全分數:使用 Azure 安全性狀態的評分評定來追蹤組織中的安全性工作和專案。
Azure 原則:這是其他服務使用的可見度和控制功能的基礎。 Azure 原則 已整合至Azure Resource Manager,因此您可以在 Azure 中建立之前、期間或之後,稽核變更並強制執行原則。
Azure 原則 即程式代碼:此方法會將您的原則定義保留在原始檔控制中,並結合DevOps、基礎結構即程式代碼 (IaC),以及 Azure 原則,以大規模部署原則、計劃(設定定義)、指派和原則豁免。
改善登陸區域作業:使用最佳做法來改善登陸區域內的安全性。
| 課責小組 | 負責和支援的小組 |
|---|---|
步驟 5:保護現有的雲端工作負載
許多組織已將資產部署至企業雲端環境,而不需要套用安全性最佳做法,就會增加業務風險。
確定新的應用程式和登陸區域遵循安全性最佳做法之後,您應該專注於將現有的環境提升到相同的標準。
交付:
確定所有現有的雲端環境和登陸區域都符合組織的合規性和安全性需求。
使用安全性基準的原則來測試生產部署的操作整備程度。
驗證遵循安全性基準的設計指導方針和安全性需求。
支援交付專案完成的指引:
使用您在步驟 4 中建置為理想狀態的相同安全性基準。 您可能必須調整某些原則設定,只進行稽核,而不是強制執行。
平衡作業和安全性風險。 由於這些環境可能會裝載可啟用重要商務程式的生產系統,因此您可能需要以累加方式實作安全性改善,以避免有作業停機時間的風險。
依業務關鍵性排定安全性風險的探索和補救優先順序。 首先,如果遭入侵且工作負載暴露在風險高,則具有高業務影響的工作負載。
如需詳細資訊,請參閱 識別和分類業務關鍵性應用程式。
| 課責小組 | 負責和支援的小組 |
|---|---|
步驟 6:管理及改善安全性狀態
與所有現代化專業領域一樣,安全性是一個反覆的程式,應該著重於持續改善。 如果組織在一段時間內不持續關注安全性狀態,安全性狀態也會衰落。
安全性需求的一致應用來自健全的治理專業領域和自動化解決方案。 在雲端安全性小組定義安全性基準之後,應稽核這些需求,以確保這些需求會一致套用至所有雲端環境(並在適用時強制執行)。
交付:
支援交付專案完成的指引:
使用您在步驟 4 中建置的安全性基準和稽核機制,作為監視基準的技術元件。 將這些基準與人員和程式控件補充,以確保一致性。
請確定所有工作負載和資源都遵循適當的 命名和標記慣例。 使用 Azure 原則 強制執行標記慣例,並特彆強調數據敏感度標記。
如果您不熟悉雲端治理,請使用治理方法建立 治理原則、流程和專業領域 。
| 課責小組 | 負責和支援的小組 |
|---|---|
下一步
本指南中的步驟可協助您實作持續管理企業安全性風險所需的策略、控件、流程、技能和文化。
當您繼續進入雲端安全性的作業模式時,請考慮下列後續步驟:
檢閱 Microsoft 安全性檔。 其提供技術指引,以協助安全性專業人員建置和改善網路安全策略、架構和優先順序的藍圖。
檢閱 Azure 服務內建安全性控制中的安全性資訊。
檢閱 Azure 上可用的安全性服務和技術中的 Azure 安全性工具和服務。
檢閱 Microsoft 信任中心。 其中包含廣泛的指引、報告和相關文件,可協助您在法規合規性程式中執行風險評估。
檢閱第三方工具,以利符合您的安全性需求。 如需詳細資訊,請參閱在 適用於雲端的 Microsoft Defender 中整合安全性解決方案。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: