在 零信任 架構中,基礎設施安全著重於保護承載多雲與本地環境應用與服務的基礎運算與平台資源。 此支柱並非盲目信任基礎設施,而是確保伺服器、容器、儲存與平台服務持續被評估、強化並監控,並以假設入侵的思維方式進行監控。
基礎架構支柱指引著重於管理安全態勢、在執行時保護工作負載、管理基礎設施配置、控制管理存取,以及將基礎設施訊號整合進安全作業。
工作坊實施
基礎建設工作坊涵蓋表中總結的實施領域。
| Area | 詳細資料 |
|---|---|
| 建立基礎設施安全態勢管理 | 持續評估基礎設施資源是否有錯誤配置、政策違規及風險。 利用態勢管理功能識別配置漂移、執行治理政策,並優先處理雲端與混合環境的修復。 |
| 保護跨虛擬機與容器的運算工作負載 | 利用工作負載保護功能,保護多雲虛擬機、容器環境及混合環境。 持續監控安全態勢,偵測威脅,並修復影響運算工作負載的漏洞。 |
| 保護並治理平台服務和控制平面 | 對平台服務如儲存、資料庫及應用服務套用安全控制。 管理平台資源的存取、設定與暴露,以降低跨雲端控制平面的風險。 |
| 評估並管理漏洞 | 持續掃描基礎設施資源中的漏洞與設定問題。 根據風險優先排序並修復發現,並調整警示以降低噪音同時保持可見性。 |
| 控制基礎設施資源的存取 | 使用基於角色的存取控制(RBAC)和即時存取(JIT)強制執行最低權限存取。 整合基於身份的存取控制,確保只有在必要時才授予管理員存取權限,且範圍適當。 |
| 強化配置並強制執行安全基線 | 定義並套用跨基礎設施資源的安全設定基線。 標準化運算、網路及平台服務的設定,以防止錯誤設定並確保保護一致。 |
| 監控工作負載並在執行時偵測威脅 | 持續監控基礎設施是否有可疑活動及安全威脅。 利用執行時保護與分析偵測針對虛擬機、容器及平台服務的攻擊。 |
| 將基礎設施訊號整合進安全作業(SecOps) | 將態勢發現、執行時警示與威脅訊號匯入集中監控與應變系統。 將基礎設施資料與身份、裝置、網路及資料訊號相關聯,以支援調查與回應。 |
下一步
開始基礎架構工作坊。