實作安全性外洩防護和復原基礎結構
作為 零信任 採用指引的一部分,本文是防止或減少來自外泄商務案例的業務損害的一部分,並說明如何保護貴組織免於網路攻擊。 本文著重於如何部署額外的安全性措施,以防止缺口並限制其散佈,並建立及測試商務持續性和災害復原 (BCDR) 基礎結構,以更快速地從破壞性缺口復原。
假設缺口的元素 零信任 指導原則:
最小化爆炸半徑和區段存取
本文所述。
驗證端對端加密
本文所述。
使用分析來取得可見度、推動威脅偵測,以及改善防禦
實作 威脅防護和 XDR 一文中所述。
本文假設您已 將安全性狀態現代化。
如需Microsoft Azure 資源的詳細資訊,請參閱 保護您的 Azure 資源免於破壞性網路攻擊。
實作安全性外洩防護和復原基礎結構的採用週期
本文會逐步解說如何使用與 Azure 雲端採用架構 相同的生命週期階段,實作安全性外洩防護和復原基礎結構,以防止或減少來自外泄業務案例的業務損失—定義策略、計劃、就緒、採用及治理和管理,但已針對 零信任 進行調整。
下表是圖例的可存取版本。
定義策略 | 計畫 | 就緒 | 採用 | 治理和管理 |
---|---|---|---|---|
結果 組織對齊 戰略目標 |
項目關係人小組 技術計劃 技能整備程度 |
評價 測試 試驗 |
以累加方式在您的數字資產中實作 | 追蹤和測量 監視和偵測 反覆運算成熟度 |
在 零信任 採用架構概觀中深入瞭解 零信任 採用週期。
如需有關「防止或減少違反商務損害」商務案例的詳細資訊,請參閱:
- 概 觀
- 實作 威脅防護和 XDR 的其他元素
定義策略階段
定義策略階段對於定義和正式化我們的工作至關重要,它會正式化此案例的「原因」。 在此階段中,您會透過商務、IT、營運和策略觀點來瞭解案例。 您可以定義在案例中測量成功的結果,瞭解安全性是累加式和反覆的旅程。
本文建議與許多組織相關的動機和結果。 使用這些建議來根據您獨特的需求來磨練組織的策略。
實作安全性外洩防護和復原基礎結構的動機
安全性外洩防護和復原基礎結構的動機很簡單,但貴組織的不同部分對於執行這項工作有不同的獎勵。 下表摘要說明其中一些動機。
區域 | 動機 |
---|---|
商務需求 | 若要以外洩防護和復原狀態作為安全性延伸模塊運作您的業務。 您的企業可以從包含一或多個區域內損毀的缺口中復原,同時繼續正常業務。 |
IT 需求 | 若要實作技術和專業領域來降低缺口的可能性,例如更新內部部署系統和端點,以及部署 Honeypot 資源來分散和欺騙攻擊者的注意力,同時維持對身分識別安全性和布建的不妥協方法。 |
作業需求 | 實作入侵防護和復原作為標準作業程式。 預期會發生缺口,而不想要的可能會降低業務垂直的風險。 |
策略需求 | 以累加方式提高企業從缺口中復原的能力,這可能會降低對網路攻擊者的投資報酬率,同時提高作業復原能力。 假設違反 零信任 原則會強制您規劃和執行變更和更新,以確保業務生存、將缺口降到最低,並減少缺口復原時間。 |
實作安全性外洩防護和復原基礎結構的結果
將 零信任的整體目標套用至「永不信任,永遠驗證」到您的入侵損害防護和縮減基礎結構,為您的環境增添了重要的保護層。 請務必清楚預期取得的結果,讓您可以為所有相關團隊提供適當的保護平衡。 下表提供建議的目標和結果。
目標 | 結果 |
---|---|
業務成果 | 外洩防護和復原做法會導致與缺口和商務程式快速復原相關聯的最低成本。 |
治理 | 系統會部署入侵防護和復原工具和系統,並測試內部程式並準備好進行缺口。 |
組織復原能力 | 在安全性外洩防護與復原和 主動式威脅防護之間,您的組織可以快速從攻擊中復原,並防止其類型的未來攻擊。 |
安全性 | 入侵防護和復原已整合到整體安全性需求和原則中。 |
計劃階段
採用計劃會將 零信任 策略的原則轉換為可採取動作的計劃。 您的集體小組可以使用採用計劃來引導其技術工作,並配合貴組織的商務策略。
您定義動機和成果,與您的企業領導者和團隊一起,為您的組織支援「為什麼?」,並成為您策略的北星。 接下來是實現目標的技術規劃。
實作入侵防護和復原的技術採用涉及:
- 設定 Microsoft Entra Privileged Identity Management (PIM) 來保護系統管理員和其他特殊許可權帳戶以進行 Just-In-Time (JIT) 存取。
- 增加網路基礎結構的安全性。
- 在您的網路上部署 honeypot 資源,以吸引攻擊者並提前偵測其存在。
- 實作完整的修補基礎結構,讓伺服器和裝置保持最新狀態。
- 開始使用 Microsoft Purview 內部風險管理。
- 部署BCDR基礎結構以從破壞性網路攻擊中快速復原。
下表摘要說明許多組織可以針對這些部署目標採取四個階段的方法。
階段 1 | 階段 2 | 階段 3 | 階段 4 |
---|---|---|---|
保護特殊許可權帳戶 分割您的網路 針對重大工作負載持續性實作 Azure Site Recovery 加密網路通訊 |
針對重要的商務數據實作 Microsoft 365 備份和 Azure 備份 實作修補計劃 建立 honeypot 資源 開始使用 Microsoft Purview 內部風險管理 |
針對所有商務數據實作 Microsoft 365 備份和 Azure 備份 為所有工作負載實作 Azure Site Recovery 取得網路流量的可見度 設計威脅和商務持續性/災害復原 (BCDR) 回應 |
停止舊版網路安全性技術 練習威脅和BCDR回應 |
如果這個分段方法適用於您的組織,您可以使用:
這個 可下載的PowerPoint投影片組 ,可讓您透過這些階段和目標,呈現及追蹤商務領導者和其他專案關係人進度。 以下是此商務案例的投影片。
此 Excel 活頁簿 可指派擁有者,並追蹤這些階段、目標和其工作的進度。 以下是此商務案例的工作表。
瞭解您的組織
這個適用於技術實作的建議分段方法有助於提供內容,讓您了解組織。
每個商務案例 零信任 採用生命週期中的基本步驟包括清查並判斷基礎結構的目前狀態。 針對此商務案例,您必須收集目前的資訊:
- 特殊許可權身分識別安全策略和需求。
- 網路安全性做法和技術。
- 內部風險和管理它們的優先順序。
- 伺服器和裝置修補原則和需求。
- BCDR 系統和原則。
組織規劃和對齊
防止外洩和實作復原基礎結構的技術工作跨越數個重疊的區域和角色:
- 特殊許可權身分識別
- 網路
- 內部風險管理
- 裝置修補
- BCDR
下表摘要說明建置贊助計劃和專案管理階層時建議的角色,以判斷並推動結果。
計劃領導者和技術擁有者 | 當責 |
---|---|
CISO、CIO 或數據安全性主管 | 執行贊助 |
安全性的程式潛在客戶 | 推動結果和跨小組共同作業 |
安全性架構師 | 建議設定和標準,特別是關於特殊許可權身分識別、網路功能及 Honeypot 資源設計 |
IT 潛在客戶 | 維護 honeypot 資源、實作修補和系統更新需求和原則,以及實作和練習 BCDR 程式 |
網路架構師 | 建議並實作網路安全性標準和做法 |
合規性人員 | 將合規性需求和風險對應至特定控件和可用技術,並建議偵測及管理內部風險 |
安全性治理和/或IT潛在客戶 | 監視以確保符合已定義的原則和需求 |
此採用內容的PowerPoint檔組包含下列投影片,其中包含專案關係人檢視,您可以為自己的組織自定義。
技術規劃和技能整備
在您開始進行技術工作之前,Microsoft建議您先了解這些功能、其運作方式,以及處理這項工作的最佳做法。 下表包含數個訓練資源,可協助小組獲得技能。
資源 | 描述 |
---|---|
模組: 規劃和實作特殊許可權存取 | 瞭解如何使用 PIM 來保護您的數據和資源。 |
模組: 設計備份和災害復原的解決方案 | 了解如何針對 Azure 工作負載選取適當的備份解決方案和災害復原解決方案。 |
模組: 使用 Azure Site Recovery 保護您的內部部署基礎結構免於遭受災害 | 瞭解如何使用 Azure Site Recovery 為您的內部部署基礎結構提供災害復原。 |
課程模組: 使用 Azure Site Recovery 保護您的 Azure 基礎結構 | 瞭解如何藉由自定義 Azure 虛擬機的複寫、故障轉移和容錯回復,為您的 Azure 基礎結構提供災害復原。 |
模組: 設計和實作網路安全性 | 瞭解如何設計和實作網路安全性解決方案,例如 Azure DDoS、網路安全組、Azure 防火牆 和 Web 應用程式防火牆。 |
模組: 使用網路安全組和服務端點保護及隔離對 Azure 資源的存取 | 瞭解如何使用網路安全組和服務端點來保護虛擬機和服務端點,以防止未經授權的網路存取。 |
模組: Windows Server 更新管理 | 了解如何使用Windows Server Update Services將作業系統更新部署至網路上的電腦。 |
階段 1
階段 1 部署目標包括鎖定系統管理員和其他特殊許可權存取帳戶,使用Microsoft雲端產品來備份重要的商務數據,並確保所有網路流量都會加密。
保護特殊許可權帳戶
網路安全事件通常從某種認證竊取開始。 攻擊者會探索帳戶名稱,這可以是已知或容易探索到的電子郵件地址,然後繼續判斷帳戶的密碼。 在大部分情況下,多重要素驗證 (MFA) 可能會挫敗這種類型的攻擊。 不過,假設入侵 零信任 原則表示攻擊者可以使用身分識別來存取您的網路。
一旦進入您的網路,攻擊者會嘗試藉由入侵具有更多存取權的帳戶來提升其許可權層級。 目標是入侵具有廣泛敏感數據存取權的具特殊許可權帳戶,以及系統管理設定。 因此,您必須防止此層級的攻擊者存取。
首先,對於混合式身分識別組織,您必須確定用於雲端服務的系統管理員帳戶或帳戶不會與 內部部署的 Active Directory Domain Services (AD DS) 同步處理並儲存。 如果儲存在內部部署和 AD DS 或 Microsoft Entra Connect 遭到入侵,攻擊者就可以對Microsoft雲端服務進行系統管理控制。 檢閱您的同步處理設定,以防止並測試您的雲端系統管理員帳戶是否存在於您的 AD DS 中。
具有Microsoft雲端訂用帳戶的所有組織都有一個Microsoft Entra ID 租使用者,其中包含雲端帳戶,其中包括用戶和系統管理帳戶。 系統管理員必須在 Microsoft Entra ID、Azure、Microsoft 365 或 SaaS 應用程式中執行特殊許可權作業。
保護特殊許可權帳戶的第一個步驟是需要強密碼和 MFA。 此外,根據使用最低許可權存取 零信任 原則,在您的 Microsoft Entra 生產環境中使用 Microsoft Entra PIM,以提供額外的保護層。 Microsoft Entra PIM 提供以時間為基礎的和核准型角色啟用,以降低過度、不必要或誤用訪問許可權的風險。
Microsoft Entra PIM 的功能包括:
- JIT 特殊許可權存取Microsoft Entra ID 和 Azure 資源
- 使用開始和結束日期對資源的時間限制存取
- 需要核准才能啟用特殊權限角色
- 強制執行 MFA 以啟用任何角色
- 需要理由來了解用戶啟用的原因
- 在啟用特殊權限角色時獲得通知
- 進行存取權檢閱以確保使用者仍然需要角色
資源 | 描述 |
---|---|
什麼是具有 Microsoft Entra 識別碼的混合式身分識別? | 開始使用 Microsoft Entra ID Connect 的檔集。 |
Microsoft Entra Privileged Identity Management 是什麼? (部分機器翻譯) | 開始使用 Microsoft Entra PIM 的文件集。 |
規劃Microsoft Entra PIM 部署 | 逐步執行針對特殊許可權帳戶部署 PIM 的規劃程式。 |
模組: 規劃和實作特殊許可權存取 | 瞭解如何使用 PIM 來保護您的數據和資源。 |
分割您的網路
此目標是在您的網路上建立界限,讓中繼分析和篩選可以保護敏感性伺服器、應用程式和數據。 例如,內部部署伺服器或雲端中可能會發生網路分割,而虛擬機裝載於 Azure IaaS 中的虛擬網路(VNet)。
建議 | 資源 |
---|---|
使用許多輸入/輸出雲端微周邊搭配一些微分割。 | 使用零信任保護網路 |
使用多個子網和網路安全組來裝載應用程式的多層並限制流量。 | 將 零信任 原則套用至 Azure 中的輪輻 VNet 使用 Azure PaaS 服務將 零信任 原則套用至輪輻 VNet |
如需有關 Azure 環境中分割的其他資訊,請參閱 分割以 Azure 為基礎的網路通訊。
針對重大工作負載持續性實作 Site Recovery
Azure Site Recovery 是原生災害復原即服務 (DRaaS),可提供輕鬆的部署、成本效益和可靠性。 透過 Site Recovery 部署複寫、故障轉移和復原程式,以協助您的應用程式在計畫性和非計畫性中斷期間保持執行,例如根據網路攻擊中斷。
Azure Site Recovery 有兩個主要元件:
- Site Recovery 服務:Site Recovery 可協助確保商務持續性,方法是在中斷期間讓商務應用程式和工作負載保持執行狀態。 Site Recovery 會將實體和虛擬機器 (VM) 上執行的工作負載從主要站台複寫到次要位置。 當您的主要站台發生中斷時,您會容錯移轉到次要位置,並且從該處存取應用程式。 在主要位置再次執行之後,您就可以容錯回復。
- 備份服務:Azure 備份服務可讓您的資料保持安全且可復原。 如需詳細資訊,請參閱上一節。
Site Recovery 可以管理複寫:
- 在 Azure 區域間複寫 Azure VM
- 從 Azure 公用多接取邊緣運算 (MEC) 到區域的複寫
- 兩個 Azure 公用 MEC 之間的複寫
- 內部部署 VM、Azure Stack VM 和實體伺服器
使用 Azure Site Recovery 作為 BCDR 解決方案的一部分。
資源 | 描述 |
---|---|
Site Recovery 概觀 | 開始使用檔集。 |
模組: 使用 Azure Site Recovery 保護您的內部部署基礎結構免於遭受災害 | 瞭解如何使用 Azure Site Recovery 為您的內部部署基礎結構提供災害復原。 |
課程模組: 使用 Azure Site Recovery 保護您的 Azure 基礎結構 | 瞭解如何藉由自定義 Azure 虛擬機的複寫、故障轉移和容錯回復,為您的 Azure 基礎結構提供災害復原。 |
加密網路通訊
此目標是檢查以確定您的網路流量已加密。 請洽詢您的網路小組,以確定已滿足這些建議。
建議 | 資源 |
---|---|
確定使用者對應用程式內部流量已加密: - 為您的因特網面向 Web 應用程式強制執行僅限 HTTPS 的通訊。 - 使用 Azure VPN 閘道 將遠端員工和合作夥伴連線到 Azure Microsoft。 - 使用透過 Azure Bastion 的加密通訊安全地存取您的 Azure 虛擬機。 |
使用 零信任-Objective 3 保護網路:使用者對應用程式內部流量已加密 |
加密虛擬網路之間的應用程式後端流量。 加密內部部署與雲端之間的流量。 |
使用 零信任-Objective 6 保護網路:所有流量都會加密 |
對於網路架構設計人員,本文有助於將建議的網路概念納入觀點。 Microsoft的 Ed Fisher,安全性與合規性架構師,描述如何藉由避免最常見的陷阱來優化您的網路以進行雲端連線。 | 網路功能 (到雲端)-一位架構師的觀點 |
如需 Azure 環境中加密的其他資訊,請參閱 加密以 Azure 為基礎的網路通訊。
階段 2
階段 2 部署目標包括分割您的網路,以進一步控制敏感性資源的流量、確保伺服器和裝置及時修補更新、建立蜜罐資源來欺騙和分散攻擊者,以及開始管理內部風險。
針對重要的商務數據實作Microsoft 365 和 Azure 備份
BCDR 是入侵風險降低的重要元素,BCDR 基礎結構的重要部分是備份和還原。 針對網路攻擊,您也需要保護您的備份,以防止故意清除、損毀或加密。 在勒索軟體攻擊中,攻擊者可以加密、損毀或終結實時數據和備份,讓您的組織容易遭受贖金,以還原您的商務作業。 若要解決此弱點,備份數據的複本必須是固定的。
Microsoft提供Microsoft 365 備份和 Azure 備份 進行原生備份和還原功能。
Microsoft 365 備份是新的供應專案(目前為預覽版),可大規模備份 Exchange、OneDrive 和 SharePoint 工作負載的 Microsoft 365 租用戶數據,並提供快速還原。 Microsoft 365 備份或建置在 Microsoft 365 備份記憶體平臺之上的應用程式,不論租使用者的大小或規模為何,都能提供下列優點:
- 在數小時內快速且不可變的備份
- 在數小時內快速還原
- 完整 SharePoint 網站和 OneDrive 帳戶還原逼真度,這表示網站和 OneDrive 會透過回復作業還原至特定先前時間點的確切狀態
- 使用搜尋來還原完整 Exchange 信箱專案或細微的專案還原
- 合併的安全性與合規性網域管理
如需詳細資訊,請參閱 Microsoft 365 備份概觀。
Azure 備份服務提供簡單、安全且符合成本效益的解決方案來備份您的資料,並從 Microsoft Azure 雲端進行復原。 Azure 備份 可以備份:
- 內部部署檔案、資料夾、系統狀態、內部部署 VM(Hyper-V 和 VMware)和其他內部部署工作負載。
- Azure VM 或檔案、資料夾和系統狀態。
- Azure 受控磁碟
- Azure 檔案儲存體共用
- Azure VM 中的 SQL Server
- Azure 虛擬機器中的 SAP Hana 資料庫
- 適用於 PostgreSQL 的 Azure 資料庫伺服器
- Azure Blob
資源 | 描述 |
---|---|
模組: 設計備份和災害復原的解決方案 | 了解如何針對 Azure 工作負載選取適當的備份解決方案和災害復原解決方案。 |
Microsoft 365 備份概觀 | 開始使用 Microsoft 365 備份的檔集。 |
Azure 備份 服務概觀 | 開始使用適用於 Azure 備份的檔集。 |
備份和還原計劃以防範勒索軟體 | 瞭解 Azure 備份 如何防止勒索軟體攻擊。 |
您可以使用 Microsoft 365 備份和 Azure 備份 作為 BCDR 解決方案的一部分。
您也可以在 Azure 中使用累加快照集,在外泄之後進行鑑識調查。 增量快照集是受控磁碟的時間點備份,其建立時只會包含自上次快照集之後的變更。 快照集可讓您在發生缺口之前建立最後一個時間點,並將它還原至該狀態。
用來管理備份之用戶帳戶的身分識別保護必須搭配 MFA 使用強式驗證,而且應該使用 PIM 進行 JIT 存取。 也請確定您的備份基礎結構會使用來自其他識別提供者的次要身分識別來保護,例如本機身分識別或本機系統身分識別。 這些稱為打破玻璃帳戶。
例如,如果網路攻擊已危害您的Microsoft Entra ID 租使用者,而您現在已鎖定使用 Microsoft Entra ID 系統管理員帳戶來存取備份,則備份基礎結構必須允許與遭入侵Microsoft Entra ID 租使用者分開的登入。
實作修補計劃
修補計劃包括設定整個操作系統資產的自動更新,以便快速推出修補程式,以避免依賴未修補系統作為攻擊媒介的攻擊者。
資源 | 描述 |
---|---|
Microsoft 的端點管理 | 從Microsoft開始使用端點管理解決方案的概觀。 |
端點管理 | 開始使用檔來管理您的端點。 |
將 零信任 套用至 Azure IaaS:自動化虛擬機更新 | 設定 Windows 和 Linux 型虛擬機的自動更新。 |
您可以透過 Intune 原則管理的 Windows Update 設定 | 使用 Microsoft Intune 管理 Windows 10 和 Windows 11 的 Windows Update 設定。 |
也請考慮其他裝置所需的更新和修補程式,特別是那些:
提供安全性。
範例包括因特網存取路由器、防火牆、封包篩選裝置,以及其他中繼安全性分析裝置。
屬於 BCDR 基礎結構的一部分。
範例包括內部部署或在線第三方備份服務。
建立 honeypot 資源
您刻意建立 Honeypot 資源,例如 身分識別、檔案共用、應用程式和服務帳戶,讓攻擊者可以探索它們。 這些資源專門用來吸引和欺騙攻擊者,且不屬於您一般IT基礎結構的一部分。
您的 honeypot 資源應該反映攻擊者的典型目標。 例如:
- 代表系統管理員存取權但除了 honeypot 資源之外沒有許可權的用戶帳戶名稱。
- 具有檔名的檔案共享資源表示敏感數據,例如 CustomerDatabase.xlxs,但數據是虛構的。
部署 Honeypot 資源之後,請使用威脅防護基礎結構來監視這些資源,並提早偵測攻擊。 在理想情況下,偵測會在攻擊者判斷蜜罐資源是假的,並使用橫向傳輸技術來生存在土地外,攻擊者會使用自己的應用程式和工具來攻擊您的資產。 在對 honeypot 資源的攻擊期間,您也可以收集攻擊者身分識別、方法和動機的相關信息。
有了 Microsoft Defender 全面偵測回應 中新的欺騙功能,您可以啟用和設定看起來正向的欺騙帳戶、主機和誘餌。 Defender XDR 所產生的假資產接著會自動部署到特定用戶端。 當攻擊者與欺騙或誘餌互動時,欺騙功能會引發高信賴警示,協助安全性小組的調查,並允許他們觀察攻擊者的方法和策略。
如需詳細資訊,請參閱概觀。
開始使用 Microsoft Purview 內部風險管理
Microsoft Purview 內部風險管理 可協助您快速識別、分級及處理潛在風險活動。 透過使用來自 Microsoft 365 和 Microsoft Graph 的記錄,測試人員風險管理可讓您定義特定原則來識別風險指標。 使用者內部風險的範例包括:
- 敏感性資料洩漏和資料外洩
- 機密性違規
- 智慧財產權 (IP) 遭竊
- 詐騙
- 內線交易
- 法規合規性違規
識別風險之後,您可以採取動作來降低這些風險,並在必要時開啟調查案例並採取適當的法律行動。
資源 | 描述 |
---|---|
測試人員風險管理 | 開始使用檔集。 |
課程模組: 在 Purview 中管理Microsoft測試人員風險 | 了解內部風險管理,以及Microsoft技術如何協助您偵測、調查及處理組織中有風險的活動。 |
模組:實作 Microsoft Purview 內部風險管理 | 瞭解如何使用 Microsoft Purview 內部風險管理 來規劃內部風險解決方案、建立內部風險管理原則,以及管理內部風險管理警示和案例。 |
階段 3
在此階段中,您可以擴充備份和月臺復原範圍,以包含所有商務數據和工作負載、進一步防止網路型攻擊的能力,以及為您的威脅和 BCDR 回應建立更正式的設計和計劃。
針對所有商務數據實作 Microsoft 365 備份和 Azure 備份
一旦您滿意Microsoft 365 備份和 Azure 備份 適用於您的重要數據,並在復原練習中進行測試,您現在可以擴充它以包含所有商務數據。
為所有工作負載實作 Azure Site Recovery
一旦您滿意 Azure Site Recovery 正在處理重要數據,且已在復原練習中進行測試,您現在可以擴充它以包含所有商務數據。
取得網路流量的可見度
已開啟外部環境端點的雲端應用程式,例如因特網或內部部署,都面臨來自這些環境的攻擊風險。 若要防止這些攻擊,您必須掃描流量是否有惡意承載或邏輯。
如需詳細資訊,請參閱 已知威脅的雲端原生篩選和保護。
如需在 Azure 環境中取得網路流量可見度的其他資訊,請參閱 深入瞭解您的網路流量。
設計威脅和BCDR回應
外洩的後果可能會執行攻擊者感染惡意代碼裝置的頻譜,這些惡意代碼可能相對容易被偵測到並加以包含,以勒索軟體攻擊攻擊者已經外洩、加密或終結了部分或所有貴組織的敏感數據,並正在贖回其暴露或還原。
在嚴重勒索軟體攻擊中,您的組織可能會遭受長期業務中斷,這在許多方面都與危機或自然災害類似。 將缺口及其產生的破壞性網路攻擊視為人為的危機或災難。
因此,請務必在BCDR規劃中包含缺口和高度破壞性網路攻擊的可能性。 您用來在危機中或自然災害之後繼續執行業務作業的相同基礎結構,而且應該用來從攻擊中復原。
如果您已經有 BCDR 計劃,請檢閱它,以確保其包含可能會受到網路攻擊影響的數據、裝置、應用程式和程式。
如果沒有,請開始一般BCDR的規劃程式,並納入網路攻擊作為危機或災害的來源。 請注意:
BC 計劃可確保企業在危機發生時正常運作。
DR 計劃包括透過數據備份從資料遺失或基礎結構中復原的應變措施,以及取代或復原基礎結構。
DR 計劃應包含復原IT系統和還原商務作業程序的詳細程式。 這些方案應該有離線備份,例如儲存在實體安全性所在位置的可攜式媒體上。 攻擊者可以在內部部署和雲端位置搜尋這些類型的IT復原計劃,並將其終結為勒索軟體攻擊的一部分。 由於這些計劃的破壞會使您還原商務作業的成本更高,因此攻擊者可以要求更多贖金。
本文所述的Microsoft 365 備份、Azure 備份 和 Azure Site Recovery 是 BCDR 技術的範例。
資源 | 描述 |
---|---|
模組: 設計備份和災害復原的解決方案 | 了解如何針對 Azure 工作負載選取適當的備份解決方案和災害復原解決方案。 |
階段 4
在這個階段中,您會進一步保護您的網路,並確保BCDR計劃和程序的運作方式是針對破壞性網路攻擊情況進行練習。
停止舊版網路安全性技術
檢查貴組織用來提供網路安全性的一組技術和產品,並判斷它們是否為必要或多餘的其他網路安全性功能。 每個網路安全性技術也可以是攻擊者的目標。 例如,如果技術或產品未及時更新,請考慮將其移除。
如需詳細資訊,請參閱 中止舊版網路安全性技術,其中說明您可能不再需要的網路安全性技術類型。
如需有關在 Azure 環境中停止舊版網路安全性技術的其他資訊,請參閱 停止舊版網路安全性技術。
練習威脅和BCDR回應
為了確保您的商務營運能夠從毀滅性的網路攻擊中快速復原,您應該定期與您的 SecOps 小組一起練習 BCDR 計劃。 請考慮針對一個月或四分之一的網路攻擊執行 BCDR 練習,以及 BCDR 基礎結構的元素變更時,例如使用不同的備份產品或方法。
雲端採用方案
採用方案是成功採用雲端的重要需求。 實作安全性外洩防護和復原的成功採用計劃的主要屬性包括:
- 策略和規劃一致: 當您在數字資產中制定測試、試驗和推出入侵防護和攻擊復原功能的計劃時,請務必重新審視您的策略和目標,以確保您的計劃一致。 這包括入侵預防和復原目標的優先順序和目標里程碑。
- 方案是反覆的: 當您開始推出方案時,您將瞭解您的環境和您使用的功能。 在推出的每個階段,重新瀏覽結果與目標比較,並微調計劃。 例如,您可以重新流覽先前的工作,以微調您的原則。
- 訓練您的員工和使用者已妥善規劃: 從您的安全性架構設計人員到 IT 專家,以取得網路、裝置和 BCDR 的訓練,每個人都已接受訓練,以成功履行其缺口預防和復原責任。
如需 Azure 雲端採用架構 的詳細資訊,請參閱規劃雲端採用。
就緒階段
使用本文所列的資源來排定方案的優先順序。 實作入侵防護和復原的工作代表多層式 零信任 部署策略中的其中一個層級。
本文中建議的分段方法包括跨數字資產以有條不紊的方式進行串連入侵防護和復原工作。 在這個階段,請重新瀏覽計畫的這些元素,以確定所有專案都已準備就緒:
- 使用 Microsoft Entra PIM 已經過系統管理員帳戶的測試,且您的 IT 系統管理員已定型使用它
- 您的網路基礎結構已視需要測試數據加密、已測試篩選存取區隔,並已判斷並測試執行備援舊版網路技術,以確保移除作業
- 您的系統修補做法已經過測試,以成功安裝更新和偵測失敗的更新
- 您已開始分析內部風險,以及如何管理風險
- 您的 honeypot 資源已部署並經過測試,以及威脅防護基礎結構以偵測存取
- 您的BCDR基礎結構和做法已針對數據子集進行測試
採用階段
Microsoft建議實作入侵預防和復原的串聯式反覆方法。 這可讓您在調整策略和原則時提高結果的正確性。 在開始下一個階段之前,不需要等到一個階段完成。 如果您一路反覆運算,您的結果會更有效率。
貴組織採用階段的主要元素應包括:
- 為所有系統管理員和其他特殊許可權帳戶啟用 Microsoft Entra PIM
- 實作網路流量加密、分割和移除舊版系統
- 部署 honeypot 資源
- 部署修補程式管理基礎結構
- 分析內部風險,並將其對應至測試人員風險管理
- 針對重要資料 (階段 1) 或所有商務資料部署和練習 BCDR 基礎結構 (第 3 階段)
控管和管理階段
治理貴組織實作入侵防護和復原的能力是反覆的程式。 透過深思熟慮地建立您的實作計劃,並在整個數字資產中推出,您已建立基礎。 使用下列工作可協助您開始為此基礎建置初始治理計劃。
目標 | 工作 |
---|---|
追蹤和測量 | 為重要動作和專案指派擁有者,例如IT系統管理員教育和 Honeypot 資源管理、修補程式管理、網路安全性和 BCDR 程式。 使用每個動作和專案的日期建立可採取動作的計劃,並使用報表和儀錶板檢測進度。 |
監視器 | - 追蹤 PIM 要求和產生的動作。 - 監視 honeypot 資源的存取。 - 監視要修補的系統以進行更新安裝失敗。 - 測試 BCDR 程式,以取得完整性和還原完整性。 |
反覆運算成熟度 | - 針對可移除的其他舊版系統,調查網路基礎結構。 - 針對新的資源和功能調整 BCDR 基礎結構。 |
後續步驟
針對此商務案例:
零信任 採用架構中的其他文章:
進度追蹤資源
針對任何 零信任 商務案例,您可以使用下列進度追蹤資源。
進度追蹤資源 | 這有助於您... | 設計用途 |
---|---|---|
採用案例方案階段方格可 下載的 Visio 檔案 或 PDF |
輕鬆瞭解每個商務案例的安全性增強功能,以及規劃階段階段和目標的工作層級。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
零信任 採用追蹤器可下載的PowerPoint投影片組 |
透過計畫階段和目標追蹤進度。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
商務案例目標和工作可下載的 Excel 活頁簿 |
指派擁有權並追蹤進度,並完成計劃階段的階段、目標和工作。 | 商務案例專案潛在客戶、IT 潛在客戶和IT實作者。 |
如需其他資源,請參閱 零信任 評量和進度追蹤資源。