安全性設計原則
您必須使用零信任方法來建置 Well-Architected 工作負載。 安全工作負載可 復原攻擊 ,並納入 機密性、完整性和可用性 的相互關聯安全性原則, (也稱為 CIA 三角) ,同時符合商務目標。 任何安全性事件都可能會成為損害工作負載或組織品牌和信譽的重大缺口。 若要測量工作負載整體策略的安全性效力,請從下列問題開始:
您的防禦性投資是否提供有意義的成本和摩擦,以防止攻擊者危害您的工作負載?
您的安全性措施是否會有效限制事件的彈射半徑?
您是否瞭解控制工作負載對攻擊者而言有什麼價值? 如果工作負載及其數據遭竊、無法使用或遭竄改,您是否瞭解對企業的影響?
工作負載和作業是否可以快速偵測、回應和從中斷中復原?
當您設計系統時,請使用 Microsoft 零信任 模型作為指南針,以降低安全性風險:
請明確確認,只讓受信任的身分識別執行來自預期位置的預定和允許動作。 此防護可讓攻擊者更難模擬合法的用戶和帳戶。
針對正確的身分識別使用最低許可權存取權,並針對正確的許可權集、正確的持續時間和正確的資產使用。 限制許可權有助於防止攻擊者濫用合法使用者甚至不需要的許可權。
假設違反 安全性控制措施和設計補償控件,以在主要防禦層失敗時 限制風險和損害 。 這麼做可協助您更妥善地防禦工作負載,方法是考慮想要成功 (的攻擊者,不論他們如何取得工作負載) 。
安全性不是一次性的工作。 您必須定期實作本指南。 持續改善防禦和安全性知識,以協助保護工作負載安全,以免攻擊者在開發並新增至自動化攻擊工具包時持續取得創新攻擊媒介的存取權。
設計原則旨在建立持續的安全性思維,以協助您持續改善工作負載的安全性狀態,因為攻擊者嘗試持續演進。 這些原則應引導架構、設計選擇和作業程式的安全性。 從建議的方法開始,併 合理化一組安全性需求的優點。 設定策略之後,請使用 安全性檢查清單 作為下一個步驟來推動動作。
如果未正確套用這些原則,可能會對商務營運和營收產生負面影響。 某些結果可能很明顯,例如法規工作負載的懲罰。 其他人可能不太明顯,而且可能會導致在偵測到安全性問題之前發生。
在許多任務關鍵性工作負載中,安全性是主要考慮,以及可靠性,因為某些攻擊媒介,例如數據外流,不會影響可靠性。 安全性和可靠性可能會以相反的方向提取工作負載,因為以安全性為主的設計可能會造成失敗點並增加作業複雜度。 安全性對可靠性的影響通常是間接的,透過操作條件約束來引進。 仔細考慮安全性和可靠性之間的取捨。
藉由遵循這些原則,您可以改善安全性有效性、強化工作負載資產,以及與使用者建立信任。
規劃安全性整備程度
致力於在架構設計決策和作業中採用和實作安全性做法,並盡可能減少摩擦。 |
|---|
身為工作負載擁有者,您必須與組織共同負責保護資產。 建立符合商務優先順序 的安全性整備計劃 。 這會導致定義完善的程式、適當的投資,以及適當的責任。 此計劃應為組織提供工作負載需求,這也會共用保護資產的責任。 安全性計劃應將可靠性、健康情況模型化和自我保留的策略納入考慮。
除了組織資產之外,工作負載本身還需要受到保護,以免入侵和外洩攻擊。 零信任 和 CIA 三角的所有 Facet 都應該納入計劃中。
功能和非功能需求、預算條件約束和其他考慮不應限制安全性投資或保證不具彈性。 同時,您必須考慮這些條件約束和限制來設計和規劃安全性投資。
| 方法 | 優點 |
|---|---|
|
使用分割作為策略來規劃 工作負載環境、流程和小組結構中的安全性界限,以 隔離存取權和功能。 您的分割策略應由商務需求驅動。 您可以根據元件重要性、人力劃分、隱私權考慮和其他因素。 |
您可以藉由定義角色並建立清楚的責任線,將作業衝突降到最低。 此練習也可協助您識別每個角色 的存取層級 ,特別是對於重大影響帳戶。 隔離可讓您 將敏感性流程暴露 在只需要存取的角色和資產。 過度暴露可能會導致資訊流程洩漏。 總而言之,您將能夠根據每個區段的需求來 調整安全性工作的大小 。 |
| 透過符合組織需求和工作負載使用案例的角色型安全性訓練,持續建置技能。 | 高技能的小組可以設計、實作及監視 安全性控制措施,以針對攻擊者持續 尋找新的惡意探索系統方式。 整個組織的訓練通常著重於開發更廣泛的技能集,以保護通用元素。 不過,透過以角色為基礎的訓練,您會專注於開發平臺供應專案和安全性功能的 深入專業知識 ,以解決工作負載疑慮。 您必須實作這兩種方法,以透過 良好的設計和有效作業來防禦敵人。 |
|
請確定您的工作負載有事件回應計劃 。 使用業界架構來定義準備、偵測、內含專案、風險降低和事件後活動的標準作業程式。 |
在危機時,必須避免混淆。 如果您有妥善記載的計劃,負責任角色可以 專注於執行 ,而不需要浪費時間進行不確定的動作。 此外,完整的計劃可協助您確定 已滿足所有補救需求。 |
| 瞭解工作負載小組外部所施加的安全性合規性需求,例如組織原則、法規合規性和業界標準,以強化您的安全性狀態。 | Clarity 合規性需求可協助您設計正確的安全性保證,並防止不符合規範的問題,這可能會導致懲罰。 業界標準可以提供基準並影響您選擇的工具、原則、安全性保護措施、指導方針、風險管理方法和訓練。 如果您知道工作負載遵守合規性,您將能夠對使用者基底產生 信賴 度。 |
| 定義並強制執行整個工作負載生命週期和作業的小組層級安全性標準。 致力於撰寫程式代碼、閘道核准、發行管理和數據保護和保留等作業中的一致做法。 |
定義良好的安全性作法可將 可能錯誤的失失 和介面區降到最低。 小組會 優化工作,而且結果將會是可預測的 ,因為方法會變得更一致。 觀察一段時間的安全性標準可讓您 識別改善的機會,可能包括自動化,這可進一步簡化工作並增加一致性。 |
| 將您的事件回應與 安全性作業中心 (SOC) 集中功能 一致。 | 集中式事件回應函式可讓您利用可即時偵測事件的特殊IT專業人員,以儘快解決潛在威脅。 |
保護機密性的設計
|
透過存取限制和模糊化技術,防止暴露在隱私權、法規、應用程式和專屬資訊。 |
|---|
工作負載數據可以依使用者、使用方式、設定、合規性、智慧財產權等進行分類。 該數據無法共享或存取超過已建立的信任界限。 保護機密性的工作應著重於訪問控制、不透明度,以及保留與數據和系統相關的活動稽核線索。
| 方法 | 優點 |
|---|---|
| 實作 強式訪問控制 ,只根據需要知道來授與存取權。 |
最低許可權。 工作負載將會受到保護,以防止 未經授權的存取 和禁止的活動。 即使存取來自信任的身分識別, 訪問許可權和暴露時間也會最小化 ,因為通訊路徑已開啟一段有限的期間。 |
|
根據數據的類型、敏感度和潛在風險來分類數據。 為每個指派機密性層級。 包含已識別層級範圍內的系統元件。 |
明確驗證。 此評估可協助您調整安全性量值的大小。 您也可以識別具有 高度潛在影響 和/或暴露風險的數據和元件。 本練習可讓您的資訊保護策略 更加清楚 ,並協助確保 合約。 |
| 使用 加密來保護待用、傳輸中和處理期間的數據。 以指派的機密性層級為基礎的策略。 |
假設缺口。 即使攻擊者取得存取權,他們也無法 讀取正確加密的 敏感數據。 敏感數據包含組態資訊,可用來取得系統內部的進一步存取權。 數據加密可協助您 包含風險。 |
| 防範可能造成不必要資訊暴露的惡意探索。 |
明確驗證。 請務必將驗證和授權實作、程式代碼、設定、作業,以及源自系統使用者社交習慣的弱點降到最低。 最新的安全性措施可讓您 封鎖已知的安全性弱點 進入系統。 您也可以透過在開發週期內實作例行作業,持續改善安全性保證,來減輕一段時間可能會顯示 的新弱點 。 |
| 防範從惡意或意外存取數據所產生的數據外流。 |
假設缺口。 您可以 封鎖未經授權的數據傳輸,以包含快取半徑。 此外,套用至網路、身分識別和加密的控制件將會保護各種層級的數據。 |
| 當數據流流經系統的各種元件時,維護機密性層級。 |
假設缺口。 在整個系統中強制執行機密性層級可讓您提供一致的強化層級。 這樣做可防止可能導致數據移至較低安全性層級的 弱點 。 |
| 維護所有類型的存取活動的 稽核記錄 。 |
假設缺口。 稽核記錄支援在發生事件時 更快偵測和復原 ,並協助進行中的安全性監視。 |
保護完整性的設計
|
防止設計、實作、作業和數據損毀,以避免系統無法傳遞其預定公用程式,或使系統在指定的限制之外運作。 系統應該在整個工作負載生命週期中提供信息保證。 |
|---|
關鍵在於實作控件,以防止竄改商業規則、流程、部署程序、數據,甚至是較低的堆疊元件,例如操作系統和開機順序。 缺乏完整性可能會導致機密性和可用性缺口的弱點。
| 方法 | 優點 |
|---|---|
|
實作可驗證和授權系統存取權的強式訪問控制。 根據許可權、範圍和時間將存取降至最低。 |
最低許可權。 根據控件的強度,您將能夠 防止或降低未經核准修改的風險。 這有助於確保數據保持一致且值得信任。 將存取限制潛在損毀的範圍降到最低。 |
|
持續防止弱點,並偵測到供應鏈中的弱點 ,以防止攻擊者將軟體錯誤插入基礎結構、建置系統、工具、連結庫和其他相依性。 供應鏈應該會在 建置時間和運行時間期間掃描弱點。 |
假設缺口。 了解軟體的來源,並在整個生命週期中驗證其真確性,將 可提供可預測性。 您事先會 瞭解弱點 ,以便主動補救這些弱點,並讓系統在生產環境中保持安全。 |
| 使用證明、程式代碼簽署、憑證和加密等密碼編譯技術來建立信任和驗證。 藉由允許可信賴的解密來保護這些機制。 |
明確驗證 最低許可權。 您將知道對資料或系統存取的變更 是由受信任的來源驗證。 即使惡意執行者在傳輸時攔截加密的數據,動作專案也無法解除鎖定或解密內容。 您可以使用數位簽名來確保數據在傳輸期間不會遭到竄改。 |
| 確定備份數據在 復寫或傳輸時是不可變且加密的。 |
明確驗證。 您將能夠放心地復原備份 數據未在待用、不小心或惡意地變更。 |
| 避免或減輕系統實作,讓您的工作負載在預定的限制和用途之外運作。 |
明確驗證。 當系統具有強式保護措施,可檢查使用量是否符合其預定的限制和用途時,可能會降低計算、網路和數據存放區的潛在濫用或竄改範圍。 |
保護可用性的設計
|
使用強式安全性控制,防止或最小化系統與工作負載停機,並在發生安全性事件時降低。 您必須在事件期間和系統復原之後維護數據完整性。 |
|---|
您需要平衡可用性架構選擇與安全性架構選擇。 系統應該具有可用性保證,以確保用戶能夠存取數據,以及可連線到該數據。 從安全性觀點來看,用戶應該在允許的存取範圍內運作,而且數據必須受到信任。 安全性控制應該封鎖不良的動作專案,但不應該封鎖合法使用者存取系統和數據。
| 方法 | 優點 |
|---|---|
|
防止遭入侵的身分識別誤用存取 權,以取得系統的控制權。 檢查 過度普遍的範圍和時間限制 ,以將風險暴露降至最低。 |
最低許可權。 此策略 可降低重要資源上過度、不必要或誤用訪問許可權的風險 。 風險包括未經授權的修改,甚至是刪除資源。 利用平臺提供的 Just-In-Time (JIT) 、just-enough-access (JEA) ,以及時間型安全性模式,盡可能取代常設許可權。 |
| 使用安全性控制項和設計模式 來防止攻擊和程式代碼瑕疵造成資源耗盡 並封鎖存取。 |
明確驗證。 系統不會發生惡意動作所造成的停機時間,例如分散式阻斷服務 (DDoS) 攻擊。 |
| 針對利用應用程式程式代碼、網路協定、身分識別系統、惡意代碼保護和其他領域的 弱點的攻擊媒介,實作預防措施 。 |
假設缺口。 實作程式代碼掃描器、套用最新的安全性修補程式、更新軟體,並持續使用有效的反惡意代碼軟體保護您的系統。 您將能夠減少受攻擊面,以確保商務持續性。 |
| 優先 處理系統中容易遭受風險 的重要元件和流程 的安全性控制。 |
假設有缺口, 請明確驗證。 定期偵測和優先順序練習可協助您 將安全性專業知識套用至系統的重要層面 。 您將能夠專注於最可能且有害的威脅,並在需要最注意的領域開始風險降低。 |
| 在您的 復原資源和程式中 ,至少套用相同層級的安全性嚴謹度,如同您在主要環境中所做的一樣,包括安全性控制和備份頻率。 |
假設缺口。 您應該具有災害復原中可用的保留安全系統狀態。 如果您這麼做,您可以故障轉移至安全的次要系統或位置,並還原不會造成威脅的備份。 設計良好的程式可防止安全性事件阻礙復原程式。 無法譯碼的損毀備份數據或加密數據可能會使復原變慢。 |
維持並發展您的安全性狀態
|
納入持續改善並套用警覺,讓持續演進其攻擊策略的攻擊者前進。 |
|---|
您的安全性狀態不得隨著時間降低。 您必須持續改善安全性作業,以便更有效率地處理新的中斷。 致力於配合業界標準所定義的階段改善。 這麼做會導致更好的準備、縮短事件偵測的時間,以及有效的內含和緩和措施。 持續改善應該以過去事件所學到的課程為基礎。
請務必測量您的安全性狀態、強制執行原則來維護該狀態,並定期驗證您的安全性風險降低和補償控制措施,以在面對不斷演變的威脅時持續改善您的安全性狀態。
| 方法 | 優點 |
|---|---|
|
建立和維護完整的資產清查 ,其中包含與安全性相關的資源、位置、相依性、擁有者和其他元數據的分類資訊。 盡可能 自動 清查以從系統衍生數據。 |
井然有序的清查提供 環境的整體檢視,讓您在事件後活動期間更適合攻擊者。 它也會建立商務節奏來推動通訊、維護重要元件,以及解除委任孤立的資源。 |
| 執行威脅模型化 來識別並減輕潛在威脅。 | 您會收到依其嚴重性層級排定優先順序 的攻擊向量報告 。 您將能夠快速識別威脅和弱點,並設定因應措施。 |
| 定期擷取數據,根據已建立的安全性基準 量化您目前的狀態 ,並 設定補救的優先順序。 利用平臺提供的功能來管理 安全性狀態, 以及強制執行外部和內部組織所強制執行 的合規性 。 |
您需要精確的報告,才能讓焦點領域更加清楚和共識。 您可以從最高優先順序項目開始,立即 執行技術補救。 您也會 識別差距,以提供改善的機會。 實作強制執行有助於防止違規和回歸,以保留您的安全性狀態。 |
|
執行定期安全性測試 ,這些測試是由嘗試以道德方式入侵系統的工作負載小組外部專家所執行。 執行例行和整合 式弱點掃描 ,以偵測基礎結構、相依性和應用程式程式代碼中的惡意探索。 |
這些測試可讓您使用滲透測試等技術來 模擬真實世界攻擊 來驗證安全性防禦。 您可以在變更管理中引進威脅。 將掃描器整合到部署管線可讓您自動偵測弱點,甚至隔離使用量,直到移除弱點為止。 |
| 使用快速且有效的安全性作業來偵測、回應和復原。 | 此方法的主要優點是,它可讓您在攻擊期間和之後 保留或還原 CIA Triad 的安全性保證 。 您必須在偵測到威脅時立即發出警示,以便開始調查並採取適當的動作。 |
| 進行事件後活動 ,例如根本原因分析、事後和事件報告。 | 這些活動提供缺口影響和解決措施的深入解析,以推動防禦和作業的改善。 |
|
取得目前狀態,並保持最新狀態。 隨時掌握更新、修補和安全性修正。 持續評估系統,並根據測試活動的稽核報告、基準檢驗和課程來改善系統。 請視需要考慮自動化。 使用由安全性分析提供的威脅情報,以動態偵測威脅。 定期檢閱工作負載與安全性開發生命週期的一致性, (SDL) 最佳做法。 |
您將能夠確保 安全性狀態不會隨著時間降低。 藉由整合真實世界攻擊和測試活動的結果,您將能夠對抗持續改善和利用新類別弱點的攻擊者。 重複工作的自動化 可降低人為錯誤 可能會造成風險的機會。 SDL 檢閱可清楚了解安全性功能。 SDL 可協助您維護工作負載資產及其安全性報告的清查,這些報告涵蓋來源、使用方式、操作弱點和其他因素。 |