你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
治理反模式
在云采用的治理阶段,可能会遇到反模式。 了解共同的责任以及如何在现有框架上构建安全策略,以帮助避免这些反模式。
反模式:误解共担责任
采用云时,就不同的服务模型而言,你和云提供商的职责范围的界限并非始终是清晰明了的。 围绕使用服务模型的工作项构建流程和做法需要云技能和知识。
示例:假设云提供商管理更新
公司人力资源(HR)部门的成员使用基础结构即服务(IaaS)在云中设置多个 Windows 服务器。 他们假设云提供商管理更新,因为现场 IT 通常会处理更新安装。 HR 部门不会配置更新,因为它们不知道 Azure 默认情况下不会部署和安装操作系统 (OS) 更新。 因此,服务器不符合要求,带来安全风险。
理想的解决方法:创建就绪计划
了解云中的共担责任。 生成并创建就绪计划。 就绪计划可以推动大家不断学习和培养专业技能。
反模式:假设现成的解决方案提供安全性
公司倾向于将安全性视为云服务固有的功能。 尽管这种假设通常是正确的,但大多数环境都需要遵守符合性框架要求,这与安全要求不同。 Azure 提供基本安全性,Azure 门户可以通过 Microsoft Defender for Cloud 提供更高级的安全性。 创建订阅时,必须自定义解决方案以强制实施合规性和安全标准。
示例:忽略云安全性
一家公司在云中开发新应用程序。 它选择了一个基于许多平台即服务 (PaaS) 式服务的体系结构,以及一些用于调试的 IaaS 组件。 将应用程序投入生产环境后,该公司意识到其跳转服务器之一已遭到入侵,正在将数据提取到一个未知的 IP 地址。 该公司发现问题在于跳转服务器的公共 IP 地址和易猜出的密码。 如果更注重云安全,该公司本可避免这种情况。
理想的解决方法:定义云安全策略
定义适当的云安全策略。 有关详细信息,请参阅 CISO 云就绪情况指南。 请参阅本指南,请参阅首席信息安全官(CISO)。 CISO 云就绪性指南讨论了安全平台资源、隐私和控制、合规性和透明度等主题。
阅读有关 Azure 安全基准中的安全云工作负载的内容。 该基准基于 Internet 安全中心的 CIS 控制 v7.1 以及美国国家标准与技术研究院的 NIST SP800-53,应对大多数安全风险并提出措施。
使用 Microsoft Defender for Cloud 来识别风险、调整最佳做法并改进公司的安全状况。
使用 Azure Policy 和 Azure Policy 作为代码解决方案实现或支持特定于公司的自动化合规性和安全要求。
反模式:使用自定义合规性或治理框架
引入不基于行业标准的自定义合规性和治理框架可以大大增加云采用时间。 这是因为从自定义框架转换为云设置可能很复杂。 这种复杂性可以增加将自定义度量值和要求转换为可实现的安全控制所需的工作量。 公司通常需要遵守类似的安全性和符合性要求集。 因此,大多数自定义合规和安全框架仅与当前合规性框架略有不同。 具有额外安全要求的公司可以考虑构建新的框架。
示例:使用自定义安全框架
公司的 CISO 向 IT 安全员工分配的任务是构建云安全策略和框架。 IT 安全部门基于当前的本地安全策略(而不是行业标准)创建新框架。 完成云安全策略后,AppOps 和 DevOps 团队在实现云安全策略方面存在困难。
Azure 提供了一个与公司自己的框架不同的安全与合规结构,该结构更全面。 CISO 团队认为 Azure 控制与其自身的合规与安全规则不兼容。 如果将框架基于标准化控件,就不会得出这一结论。
理想的解决方法:依靠现有框架
在建立或引入自定义公司合规性框架之前,在现有框架(如 CIS 控件版本 7.1 或 NIST SP 800-53)上使用或生成。 现有框架使向云安全设置的转换更轻松,更易衡量。 有关框架实现的详细信息,请参阅 Azure 登陆区域实现选项。