您可以跨越的安全性障礙— 一位架構設計師的觀點

在本文中，Microsoft 網路安全性架構師 Kozeta Garrett說明她在企業組織遇到的主要安全性挑戰，並建議克服這些障礙的方法。

關於作者

在身為雲端安全性架構設計師的角色中，我曾與多個組織合作，提供策略性和技術指引，著重于為移轉至 Microsoft 365 和 Azure 的客戶設計和實作安全性架構、開發企業安全性解決方案，以及協助轉換安全性架構和文化來恢復業務能力。 我的經驗包括事件偵測和回應、惡意程式碼分析、滲透測試，以及建議 IT 安全性和防禦狀態的改善。 我熱衷前置轉型，這些轉換可讓安全性成為企業的啟用者，包括現代化工作。

瞭解過去幾年採用安全性現代化思維的組織，無論最近發生 COVID-19 的情況，如何以安全的方式繼續從遠端運作，都是最令人滿意的。 可惜的是，這些情況也給某些客戶提供喚醒電話，這些客戶尚未準備好立即需要。 許多組織都意識到他們必須快速現代化、淘汰累積的 IT 安全性債務，並在一夜改善其安全性狀態，以便在這些非常不尋常的情況下運作。

好消息是 Microsoft 策劃了一些絕佳的資源，以協助組織快速提升其安全性狀態。 除了這些資源之外，我還想要分享每天與客戶一起遇到的主要挑戰，希望您可以克服這些障礙。

我目前位於北維吉尼亞州，靠近我們國家/地區的華盛頓特區。 我幾乎喜歡各種形式的室外活動和練習，例如執行、自行車、運動和運動。 為了對抗這些，我享受的就像是一樣多的食物、食物和旅行。

從雲端採用開始與安全性小組合作

首先，我無法充分強調組織中的小組從一開始就協調的重要性。 在雲端採用和設計的早期階段，安全性小組必須被視為重要的合作夥伴。 這表示讓安全性小組上線以支援雲端採用，不僅適用于商務 (的新增功能，例如來自安全行動裝置、完整功能應用程式的絕佳使用者體驗，或在公司資料上創造超越有限功能電子郵件和生產力應用程式的價值) ，也可利用儲存體、AI 和運算分析功能來協助解決新的和舊版安全性挑戰。 安全性小組必須納入管理此轉變的所有層面，包括人員 (文化) 、程式 (訓練) ，以及技術才能成功。 這也表示投資資訊安全營運中心 (SOC) 的現代化和持續改進。 共同合作，讓您的安全性策略與您的商務策略和環境趨勢保持一致，以確保數位轉型安全地完成。 當此作業順利完成時，組織會開發能夠更快速地適應變更的功能，包括對商務、IT 和安全性的變更。

我發現客戶最常遇到障礙的地方是營運與 SOC 小組之間沒有真正的合作關係。 雖然營運小組正受到壓力，並受限於採用雲端的嚴格期限，但安全性小組不一定會提早納入修訂和規劃完整安全性策略的程式中。 這牽涉到整合不同的雲端元件和內部部署元件。 這種缺乏合作關係會進一步降低到似乎在定址接收器中運作的不同小組，以針對其特定元件實作控制項，進而增加實作、疑難排解和整合的複雜度。

跨越這些障礙的客戶，在營運與治理與安全性與風險管理小組之間有良好的合作關係，以改進保護混合式雲端工作負載的安全性原則和需求。 它們會將焦點放在最終的安全性目標和結果上：資料保護，以及根據網路安全性治理、風險和合規性需求的系統和服務可用性。 這些組織會在其營運和治理小組與 SOC 之間開發早期合作關係，這對安全性設計方法至關重要，並將投資的價值最大化。

建置以身分識別為基礎的新式 () 安全性周邊

接下來，採用零信任架構方法。 這會從建置以身分識別為基礎的新式安全性周邊開始。 設計安全性架構，其中每次存取嘗試，無論是內部部署或雲端，都會被視為不受信任，直到驗證為止—「永不信任，永遠驗證」。 此設計方法不僅可提高安全性和生產力，還可讓使用者從任何裝置類型隨處工作。 Microsoft 365 隨附的複雜雲端控制項可協助您保護使用者的身分識別，同時根據使用者風險層級控制對寶貴資源的存取。

如需建議的設定，請參閱 身分識別和裝置存取設定。

將安全性控制轉換至雲端

許多安全性小組仍在使用針對所有內部部署世界建置的傳統安全性最佳做法，包括維護「網路周邊安全性」，以及嘗試將內部部署安全性工具和控制措施「強制」至雲端解決方案。 這類控制項並非針對雲端而設計、無效，而且會阻礙採用新式雲端功能。 適用于網路周邊安全性方法的程式和工具已證明沒有效率、阻礙雲端功能，而且不允許利用現代化和自動化的安全性功能。

您可以藉由將防禦策略轉移到雲端管理的保護、自動化調查和補救、自動化手寫筆測試、適用於 Office 365 的 Defender和事件分析，來跨越這個障礙。 使用新式裝置管理解決方案的客戶已在所有裝置上實作自動化管理、標準化修補、防毒軟體、原則強制執行和應用程式保護， (智慧型手機、個人電腦、膝上型電腦或平板電腦) 。 這樣就不需要 VPN、Microsoft System Center Configuration Manager (SCCM) 和 Active Directory 群組原則。 這結合了條件式存取原則，可提供強大的控制和可見度，以及簡化資源的存取，而不論其使用者從何處運作。

致力於「最佳搭配」安全性工具

我看到客戶對安全性工具採取「最佳」方法的另一個障礙。 持續分層處理「最佳的培養」點解決方案，以解決新興的安全性需求，會導致企業安全性細分。 即使有最佳意圖，大部分環境中的工具也不會整合，因為它變得過於昂貴且複雜。 這接著會在可見度上建立落差，因為分級的警示比小組所能處理的還要多。 在新的工具上重新訓練 SecOps 小組也成為一個持續的挑戰。

「簡單更好」的方法也適用于安全性。 請採用「最佳搭配」策略與預設一起運作的工具，而不要去處理「最適合的種種」工具，而要跨越這個障礙。 Microsoft 安全性功能可透過跨應用程式、使用者和雲端的整合式威脅防護來保護整個組織。 整合可讓組織在進入時包含攻擊者並快速補救攻擊，以更具復原能力並降低風險。

平衡安全性與功能

由於我來自長期的網路安全性背景和經驗，因此我偏好從現成最安全的設定開始，並允許組織根據其作業和安全性需求放寬安全性設定。 不過，這可能會因為功能遺失和使用者體驗不佳而付出代價。 許多組織已瞭解，如果對使用者而言安全性太困難，他們會找到解決您的問題的方法，包括使用非受控雲端服務。 雖然我很難接受，但我已經意識到必須達成精細的功能-安全性平衡。

瞭解使用者會採取任何動作來完成工作的組織，確認「影子 IT 對抗」不值得對抗。 他們發現 IT 員工在影子 IT 和使用未經核准的 SaaS 應用程式來進行工作時，是最大的希望。 他們已轉移策略以鼓勵其使用 (，而非抑制) ，並專注于降低可能造成的風險。 這些組織的安全性小組並不認為所有專案都會遭到封鎖、記錄，並透過反向 Proxy 或 VPN 傳送。 相反地，這些安全性小組會加倍努力來保護重要和敏感性資料，以免暴露給錯誤的一方或惡意應用程式。 它們可保護資料的完整性。 他們充分利用更進階的雲端資訊保護功能，包括加密、安全的多重要素驗證、自動化的風險和合規性，以及雲端存取安全性訊息代理程式 (CASB) 功能，同時允許甚至鼓勵跨多個平臺的受保護共用。 他們正將影子 IT 轉型為更具吸引力的創意、生產力和共同作業，讓企業保持在競爭優勢上。

採用有條理的方法

無論產業為何，我在不同組織實作雲端安全性時遇到的大部分挑戰都非常類似。 首先，雖然有許多關於特定功能和功能的絕佳檔，但組織層級對於套用的內容、安全性功能重迭的位置，以及如何整合功能，會有一層混淆。 還有一層不確定哪些安全性功能已預先設定，且需要組織進行設定。 此外，SOC 小組很抱歉，沒有針對其組織正在進行之快速雲端採用和數位轉型準備所需的完整曝光、訓練或預算配置。

為了協助您清除這些障礙，Microsoft 已策劃數個資源，其設計目的是協助您採取有條理的方法來進行安全性原則和實作。

資源	其他相關資訊
安全性團隊支援在家工作的最常見工作	如果您發現自己突然支援大部分在家工作的員工，本文可協助您快速提高安全性。 其中包含以您的授權方案為基礎的建議工作。
Microsoft 365 零信任部署計劃	本文提供使用 Microsoft 365 建置零信任安全性的部署計劃。 其中包含可下載的海報，可用來追蹤進度。
零信任指引中心	瞭解零信任安全性模型、其原則，以及如何使用部署計畫實作零信任架構。
docs.security.com/security	來自 Microsoft 的安全性策略和架構技術指引。

這些資源全都設計為作為起點，並根據組織的需求進行調整。