資產保護

資產包括實體和虛擬項目，例如膝上型電腦、資料庫、檔案和虛擬儲存體帳戶。 保護商務關鍵資產往往有賴基礎系統的安全性，例如儲存體、資料、端點裝置和應用程式元件。 最有價值的技術資產通常是資料和應用程式的可用性，例如商務網站、生產線和通訊。

資產保護會實作支援安全性架構、標準和原則的控制項。 每個資產類型和安全性需求都是獨一無二的。 任何資產類型的安全性標準都應該一致適用於所有情況。

資產保護的重點是所有控制類型的一致執行。 預防性、偵測性，及其他各方面都必須一致，以符合原則、標準和架構。

資產保護的角色為資產的技術主題專家， 與其他專業領域合作，例如治理、架構、安全性作業和工作負載小組。 資產保護能確保原則和標準是可行的，並讓控制項的實作可支援原則和標準。 資產保護可為持續改善提供意見反應。

注意

資產保護通常是由負責維護資產的 IT 作業小組執行，輔以安全性小組的專業知識。 如需詳細資訊，請參閱小組協作設計控制項。

威脅執行者會持續尋找標準和原則應用的落差所造成的弱點。 攻擊者可直接以商務關鍵資料或應用程式為目標。 他們也可以將目標設為授與存取商務關鍵資料和應用程式權限的基礎結構。 存取控制的重點是管理資源存取的授權。 資產保護可因應所有其他可能取得資源存取或控制的頻外方式。 這兩個專業領域是互補的，應該共同設計以符合您的架構、原則和標準。 如需詳細資訊，請參閱存取控制。

觀看下列影片，以瞭解資產保護的歷程記錄，以及如何保護舊資產和新資產的安全。

取得保護

取得保護的重點是讓資源符合組織目前的安全性標準、原則和架構。 活動可分為兩種：

• 棕地：改造現有資產目前的安全性標準和控制。 組織在設計並操作 IT 環境時，可能會將安全性設為低優先等級。 這種方法會造成「技術債務」：薄弱的安全性設定、未升級的軟體、未加密的通訊或儲存體、舊版軟體和通訊協定等。 讓安全性控制項升級至最新的方法。 這項改善對降低風險至關重要，因為攻擊者會持續提升惡意探索這些機會的能力。
• 綠地：確定新資產和新資產類型的設定符合標準。 為避免持續造成立即的舊版或棕地，或不符合目前標準的系統，此程序非常重要。 這項技術債務在日後會必須付出更大的代價來解決，在完成前會導致風險暴露增加。

在財務上，「取得保護」通常對應於一次性投資的資本支出 (CAPEX) 動態。 安全性的「綠地預算」應盡量與資產的建立相對應，並為每個新軟體專案、主要軟體升級或整體雲端採用方案保留一定比例的安全性預算。 很多組織會保留大約 10% 的安全性預算。 棕地預算通常是特殊的專案，建立的目的是讓安全性控制項升級至目前的標準和合規性。

保持安全性

所有事物都會隨著時間的推移而退化。 實體項目逐漸不堪使用。軟體、安全性控制項和安全性等虛擬項目的環境也發生變化。 它們可能不再符合不斷變化的需求。 現今這種轉移發生的很快，因為有下列的快速變化：

• 商務需求：由數位轉型所推動。
• 技術需求：由快速雲端平台演進和功能版本所推動。
• 安全性需求：由攻擊者創新和原生雲端安全性功能的快速演進所推動。

這種變革動力會影響安全性的所有層面，包括安全性作業、存取控制，特別是創新安全性中的 DevSecOps。

保持安全性包含很多元素。 以這兩個特定的資產保護區域為重：

• 持續的雲端改善：採用雲端帶來的安全性功能持續改善。 例如，Azure 中 Azure 儲存體和 Azure SQL Database 等許多服務，都新增了隨著時間阻擋攻擊者的安全性功能。
• 軟體生命週期結束：包括作業系統的任何軟體都會到達生命週期結束，也就是不再提供安全性更新。 這種情況可能讓商務關鍵資料和應用程式面臨低劣簡單的攻擊。 雖然軟體即服務 (SaaS) 和雲端基礎結構與平台是由雲端提供者維護，但企業通常有大量自行安裝、撰寫的軟體必須維護。

規劃升級或淘汰生命週期結束的軟體。 投資安全性態勢可減少重大安全性事件的風險。 「保持安全性」是定期持續投資的營運支出 (OPEX) 動態的一部分。

修補的難題

支援 IT 和安全性負責人和小組對企業負責人而言很重要。 在敵意環境執行複雜的軟體有內在的風險。 安全性和 IT 負責人須不斷對作業性和安全性風險做出困難的決策。

• 作業性風險：系統執行的軟體變更可能會中斷商務程序。 這種變化會影響到為組織自訂系統時所用的假設。 這項事實會帶來避免變更系統的壓力。
• 安全性風險：攻擊會帶來停機的商務風險。 攻擊者會分析每次重大安全性更新版本的發布。 他們會在 24-48 小時內開發可用的惡意探索程式，攻擊尚未套用安全性更新的組織。

因為推陳出新的技術和持續演進的攻擊技術，貴組織可能經常面臨這類難題。 企業負責人必須知道使用複雜軟體執行商務的風險。 支援更新商務程序，例如下列範例：

• 將軟體維修整合至商務營運假設、排程、預測和其他商務程序。
• 投資架構可簡化維修，並降低對商務營運的影響。 遷移至雲端服務或服務導向架構時，這種方法可能牽涉更新現有架構，或轉移至新架構。

如果沒有企業領導人的支援，安全性和 IT 負責人會疏於支援重要的商務目標。 他們必須持續管理注定失敗的政策。

網路隔離

網路隔離可能會是有效的選擇，可以保護不再受保護，但無法立即淘汰的舊資產。 這種案例通常會發生在生命週期結束的作業系統和應用程式， 並常見於作業技術 (OT) 環境和舊版系統。

隔離本身被視為存取控制，即使無法保護的資產也會被識別為資產保護的一部分。 如需詳細資訊，請參閱避免使用防火牆並忘記它。

部分處於生命週期結束的系統很難完全中斷連線和隔離。 我們不建議讓這些不安全的系統完全連線至生產網路。 這項設定會讓攻擊者入侵系統，並獲得組織資產的存取權。

升級或更換十年以上運作良好的電腦技術向來不便宜也不簡單。 關於其相關功能的文件紀載可能也很有限。 失去對多個商務關鍵資產控制所帶來的潛在商務影響，往往超過升級或更換的成本。 對於這些無法隔離的資產，組織常發現若透過雲端技術和分析，將工作負載現代化，便可以創造新的商業價值，從而抵銷或合理化升級或更換的成本。

在不斷變化的世界中，保持安全性是一大挑戰。 盡其所能持續決定要現代化和保護的資產是其中的關鍵。 使用商務風險和商務優先項目來加以評估。

開始使用

若要開始使用資產保護，我們建議組織採取下列步驟。

• 先集中在熟知的資源：考慮小組已熟悉的雲端虛擬機器、網路和身分識別。 透過這個方式技術您便可取得立即的進展，而且通常可以透過適用於雲端的 Microsoft Defender 等原生雲端工具，更輕鬆地予以管理與保護。

• 從廠商/產業基準開始：使用已知和經過證實的解決方案，著手進行安全性設定，例如：

  • Azure 安全性效能評定的安全性基準。 Microsoft 提供針對個別 Azure 服務量身打造的安全性設定指導。 這些基準會套用 Azure 安全性基準至每個服務的獨特屬性。 這種方法讓安全性小組能夠確保每項服務的安全性，並可視需要調整設定。 如需詳細資訊，請參閱 Azure 安全性基準。
  • Microsoft 安全性基準。 Microsoft 為常用技術提供安全性設定指導方針，包括 Windows、Microsoft Office 和 Microsoft Edge。 如需詳細資訊，請參閱 Microsoft 安全性基準 (英文)。
  • CIS 效能評定。 網際網路安全性中心 (CIS) 為許多產品和廠商提供特定的設定指導。 如需詳細資訊，請參閱 CIS 效能評定 (英文)。

重要資訊

這些重要元素有助引導資產保護程序：

責任小組

安全性責任應一律由企業中擁有所有其他風險和權益的終極資源擁有者來承擔。 安全性小組和主題專家則共同負責就風險、任何風險降低措施，及執行實際實作，為責任擁有者提供建議。

資產保護責任可能由管理企業級資產的 IT 營運部門、負責 IT 工作負載資產的 DevOps 和 DevSecOps 小組，或與 IT 或 DevOps 與 DevSecOps 小組合作的安全性小組執行。

隨著組織移至雲端，許多責任可以轉移至雲端提供者，例如更新韌體和虛擬化解決方案，或更輕鬆地執行安全性設定掃描和補救等工作。

如需共同責任模型的詳細資訊，請參閱雲端上的共同責任。

雲端彈性

不同於內部部署資源，雲端資源可能只存在很短的時間。 根據需要，工作負載可以建立更多伺服器、Azure Functions 和其他資源的執行個體來執行工作。 Azure 之後會移除這些資源。 此案例會在幾個月內發生，但有時會在幾分鐘或幾小時內。 請在資產保護程序和測量時考量這種可能性。

雲端彈性需要調整許多程序。 雲端彈性使用隨選詳細目錄取代靜態報表，改善了您的可見度。 雲端彈性也可改善修正問題的能力。 例如，基於安全性理由所需的虛擬機器可以快速建立完成。

例外狀況管理

識別資產的最佳做法後，請一致套用至資產的所有執行個體。 您可能需要暫時的例外狀況，並透過特定的到期日來管理例外狀況。 請確保暫時的例外狀況不會成為永久性的商務風險。

衡量價值的挑戰

衡量資產保護的商業價值可能很困難。 因為在實際災害發生前，一個問題會造成的影響並不明顯。 不更新安全性漏洞的風險是無聲無息且看不見的。

建議使用自動化原則

改用自動化強制和補救機制，例如資產保護 Azure 原則。 這種方法可避免重複執行手動工作所導致的成本和士氣問題， 同時也降低人為錯誤的風險。

Azure 原則讓中央小組可以指定用於跨雲端資產的設定。

小組協作設計控制措施

所有控制措施都應做為與重要利害關係人的合作關係來設計：

• 資產保護提供資產、這些資產適用的控制項，及實作控制措施的主題專業知識。
• 治理小組提供控制措施如何符合安全性架構、原則和標準，及法規合規性要求的內容。
• 安全性作業就偵測控制提供建議。 他們會整合警示和記錄至安全性作業工具、程序和訓練。
• 廠商和雲端提供者可提供系統和元件的深度主題專業知識，以避免在其客戶群看到的已知問題。

後續步驟

下一個要檢閱的專業領域是安全性治理