解決方案構想
本文說明解決方案概念。 您的雲端架構師可以使用本指南,協助視覺化此架構的一般實作的主要元件。 以本文為起點,設計符合您工作負載具體要求的完善解決方案。
本文概述如何將組織的核心 IT 環境圖解化,並建立威脅對應。 這些圖表是規劃和建立強大防禦安全性層的寶貴工具。 了解您的 IT 環境及其架構,對於辨識提供足夠保護所需的安全性服務至為重要。
電腦系統所擁有的資訊不僅對產生這些資訊的組織有價值,對惡意行為者而言也是如此。 這些執行者,不論是個人或團體,都會從事有害的活動,目的在於入侵或破壞公司的電腦、裝置、系統和網路。 他們的目標通常是利用惡意軟體或暴力攻擊等威脅竊取或損毀敏感資料。
在這篇文章中,我們將探討將威脅對應到 IT 環境的方法,讓您能夠規劃 Microsoft 安全服務的實施,作為安全性策略的一部分。 本篇文章是五篇系列文章中的第二篇,如前一篇所介紹。 使用 Azure 監控整合安全性元件
好消息是,您不需要從頭開始建立威脅對應。 MITRE ATT&CK 矩陣提供了絕佳的資源,可協助您建立威脅對應。 MITRE ATT&CK 是一個全域知識庫,可根據觀察到的策略和技巧來繪製真實世界的威脅。 MITRE Corporation 詳細記錄每個已知的威脅,提供寶貴的深入解析,讓您了解這些威脅如何運作,以及如何防禦它們。 此公開存取的資源可於 MITRE ATT&CK® 線上取得。
在本文中,我們使用這些威脅的子集來說明如何將威脅對應到您的 IT 環境。
潛在使用案例
有些威脅在所有產業中都很常見,例如贖金軟體、DDoS 攻擊、跨站指令碼攻擊和 SQL 注入。 然而,許多組織面對其產業獨有的特定威脅,或基於過去所遭遇的網路攻擊。 本文中的對應圖可協助您找出最有可能成為惡意行為者攻擊目標的區域,從而為您的組織對應這些威脅。 建立威脅對應圖可讓您規劃必要的防禦層,以建立更安全的環境。
您可以調整此圖表,以建立不同的攻擊組合模型,並更深入了解如何預防和緩解這些攻擊。 雖然 MITRE ATT&CK 架構是有用的參考,但並不是必需的。 Microsoft Sentinel 和其他 Microsoft 安全性服務也與 MITRE 合作,提供各種威脅的寶貴深入解析。
有些組織使用 Lockheed Martin 的 Cyber Kill Chain® 方法論來對應並了解針對 IT 環境的攻擊或一連串攻擊是如何進行的。 與 MITRE ATT&CK 架構相比,Cyber Kill Chain 以較少的策略和技術來組織威脅和攻擊。 然而,它仍能有效地協助您瞭解威脅及其可能的執行方式。 如需更多關於此方法的資訊,請參閱 Cyber Kill Chain。
架構
下載此架構的 Visio 檔案。
©2021 MITRE Corporation。 本作品經 MITRE Corporation 授權複製與散佈。
針對組織的 IT 環境,我們僅針對 Azure 和 Microsoft 365 指定元件。 您的特定 IT 環境可能包括來自不同技術供應商的裝置、設備和技術。
對於 Azure 環境,圖中顯示的元件如下表所列。
| 標籤 | 文件集 |
|---|---|
| VNET | 什麼是 Azure 虛擬網路? |
| LBS | 什麼是 Azure Load Balancer? |
| PIPS | 公用 IP 位址 |
| 伺服器 | 虛擬機器 |
| K8S | Azure Kubernetes Service |
| VDI | 什麼是 Azure 虛擬桌面? |
| Web 應用程式: | App Service 概觀 |
| Azure 儲存體 | Azure 儲存體簡介 |
| DB | 什麼是 Azure SQL Database? |
| Microsoft Entra ID | 什麼是 Microsoft Entra 識別碼? |
此圖透過下表所列的元件來表示 Microsoft 365。
| Label | 描述 | 文件 |
|---|---|---|
OFFICE 365 |
Microsoft 365 服務 (先前稱為 Office 365)。 Microsoft 365 提供的應用程式取決於授權類型。 | Microsoft 365 - Office 應用程式訂閱 |
Microsoft Entra ID |
Microsoft Entra ID,與 Azure 所使用的相同。 許多公司的 Azure 和 Microsoft 365 都使用相同的 Microsoft Entra 服務。 | 什麼是 Microsoft Entra 識別碼? |
工作流程
為了幫助您了解這些威脅可能會攻擊 IT 環境的哪個部分,本文的架構圖是以組織的典型 IT 環境為基礎,該組織擁有內部部署系統、Microsoft 365 訂閱和 Azure 訂閱。 每個層級中的資源都是許多公司常見的服務。 這些資源在圖表中依 Microsoft 零信任的支柱分類:網路、基礎結構、端點、應用程式、資料和識別。 如需零信任的更多資訊,請參閱使用零信任來接納主動安全性。
架構圖包括以下階層:
內部部署
圖中包括一些基本服務,例如伺服器 (VM)、網路設備和 DNS。 這些服務包括大多數 IT 環境中的常見應用程式,並在虛擬機器或實體伺服器上執行。 還包括各種類型的資料庫,包括 SQL 和非 SQL。 這些組織通常有一個檔案伺服器,在整個公司共用檔案。 最後,Active Directory 網域服務是一個廣泛使用的基礎結構元件,用來處理使用者認證。 圖中包含了內部部署環境中的所有這些元件。
Office 365 環境
此範例環境包含傳統辦公室應用程式,例如 Word、Excel、PowerPoint、Outlook 和 OneNote。視授權類型而定,也可能包含其他應用程式,例如 OneDrive、Exchange、Sharepoint 和 Teams。 視授權類型而定,也可能包含其他應用程式,例如 OneDrive、Exchange、Sharepoint 和 Teams。 在圖表中,Microsoft 365 (前身為 Office 365) 應用程式的圖示和 Microsoft Entra ID 的圖示代表這些應用程式。 使用者必須經過驗證才能存取 Microsoft 365 應用程式,而 Microsoft Entra ID 則扮演身分提供者的角色。 Microsoft 365 會根據 Azure 所使用的 Microsoft Entra ID 類型來驗證使用者。 在大多數組織中,Microsoft Entra ID 租用戶對於 Azure 和 Microsoft 365 都是一樣的。
Azure 環境
此階層代表 Azure 公用雲端服務,包括虛擬機器、虛擬網路、平台即服務、Web 應用程式、資料庫、儲存、識別服務等。 如需 Azure 的詳細資訊,請參閱 Azure 文件。
MITRE ATT&CK 策略和技術
根據 MITRE Corporation 公佈的策略與技術,本圖顯示前 16 大威脅。 在紅線中,您可以看到混合式攻擊的範例,這表示惡意行為者可能會同時協調多種攻擊。
如何使用 MITRE ATT&CK 架構
您可以從簡單的搜尋開始,在主網頁 MITRE ATT&CK® 上搜尋威脅名稱或攻擊代碼。
您也可以在策略或技巧頁面上瀏覽威脅:
您仍可使用 MITRE ATT&CK® Navigator,這是 MITRE 提供的直覺式工具,可協助您發現威脅的策略、技術和細節。
元件
本文中的範例架構使用下列 Azure 元件:
Microsoft Entra ID 是雲端身分識別和存取權管理服務。 Microsoft Entra ID 可協助您的使用者存取外部資源,例如 Microsoft 365、Azure 入口網站以及數以千計的其他 SaaS 應用程式。 也可協助他們存取內部資源,例如公司內部網路網路上的應用程式。
Azure 虛擬網路 是私人網路在 Azure 中的基本建置組塊。 虛擬網路可讓多種類型的 Azure 資源安全地彼此通訊,包括網際網路和內部部署網路。 虛擬網路提供可受益於 Azure 基礎結構的虛擬網路,例如規模、可用性和隔離。
Azure Load Balancer 是一種高效能、超低延遲第 4 層負載平衡服務 (傳入和傳出),適用於所有 UDP 和 TCP 通訊協定。 旨在每秒處理數百萬個要求,同時確保解決方案的高可用性。 Azure Load Balancer 是區域備援,可確保跨可用性區域的高可用性。
虛擬機器是由 Azure 所提供的隨選且可調整的數種運算資源類型之一。 Azure 虛擬機器 (VM) 讓您能夠有彈性地進行虛擬化,而不需購買並維護執行的實體硬體。
Azure Kubernetes Service (AKS) 是完全受控 Kubernetes 服務,可用來部署和管理容器化應用程式。 AKS 提供無伺服器 Kubernetes、持續整合/持續傳遞 (CI/CD) 以及企業級安全性與治理。
Azure 虛擬桌面是在雲端執行的桌面與應用程式虛擬化服務,可為遠端使用者提供桌面。
Web Apps 是 HTTP 型服務,用來裝載 Web 應用程式、REST API 和行動後端。 您可以使用自己喜歡的語言開發,應用程式可以在 Windows 和 Linux 環境中輕鬆執行和擴展。
Azure 儲存體是雲端中各種資料物件的高可用性、大規模擴充、耐用且安全性高的儲存空間,包括物件、blob、檔案、磁碟、佇列和表格儲存空間,遠端使用者。 所有寫入 Azure 帳戶儲存體的資料皆會由服務進行加密。 Azure 儲存體在存取您資料的人員控管上,提供更細微的控制。
Azure SQL 資料庫是完全受控的資料庫引擎,可處理大部分的資料庫管理功能,例如升級、修補、備份和監視。 該資料庫提供這些功能,無需使用者參與。 SQL 資料庫提供了各式各樣的內建安全性與合規性功能,協助您的應用程式符合安全性與合規性需求。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Rudnei Oliveira | 資深 Azure 安全性工程師
其他投稿人:
- Gary Moore | 程式設計師/作家
- Andrew Nathan | 資深客戶工程經理
下一步
本文件提及一些服務、技術和術語。 您可以在以下資源中找到更多相關資訊:
- MITRE ATT&CK®
- ATT&CK® Navigator)
- 公開預覽:Microsoft Sentinel 中的 MITRE ATT&CK Framework Blade,Azure 雲端與 AI 網域部落格的一篇文章
- Cyber Kill Chain®
- 採用零信任的主動式安全性
- 維基百科上的混合威脅
- Microsoft 數位防禦新報告指出網路攻擊如何改變,摘自 Microsoft 安全性部落格
相關資源
如需有關此參考架構的詳細資訊,請參閱本系列的其他文章:
- 第 1 部分:使用 Azure 監控整合安全性元件
- 第 3 部分:使用 Azure 安全性服務打造第一道防線
- 第 4 部分:使用 Microsoft Defender XDR 安全服務建立第二層防禦
- 第 5 部分:整合 Azure 與 Microsoft Defender XDR 安全服務