你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全地执行云采用
实现云资产并迁移工作负载时,必须建立可靠的安全机制和做法。 此方法可确保工作负荷从一开始就安全,并防止需要在工作负荷处于生产环境中后解决安全漏洞。 在“采用”阶段确定安全性的优先级,以确保工作负荷始终如一地生成,并遵循最佳做法。 建立的安全做法还通过设计良好的策略和过程为云运营准备 IT 团队。
无论是将工作负载迁移到云中还是构建全新的云资产,都可以应用本文中的指南。 云采用框架采用的方法包括迁移、现代化、创新以及重新定位方案。 无论在云旅程采用阶段采用的路径如何,在建立云资产的基础元素并生成或迁移工作负载时,请务必考虑本文中的建议。
本文是采用方法的支持指南。 它提供在旅程中经历该阶段时应考虑的安全优化领域。
安全态势现代化采用
在采用阶段中努力实现安全状况现代化时,请考虑以下建议:
安全基线: 定义包含可用性要求的安全基线,以建立明确的可靠基础进行开发。 若要节省时间并降低分析环境中人为错误的风险,请使用现成的安全基线分析工具。
拥抱自动化: 使用自动化工具来管理日常任务,以减少人为错误的风险并提高一致性。 利用可自动执行故障转移和恢复过程的云服务。 可以考虑自动执行的任务包括:
- 基础结构部署和管理
- 软件开发生命周期活动
- 测试
- 监视和警报
- 缩放
零信任访问和授权控制:实施强大的访问控制和标识管理系统,以确保只有经过授权的人员才有权访问关键系统和数据。 此方法可降低可能会中断服务的恶意活动的风险。 严格强制实施基于角色的访问控制(RBAC),并要求多重身份验证,以防止未经授权的访问可能会中断服务可用性。 有关详细信息,请参阅使用 零信任 保护标识。
变更管理制度化
有效的采用和变更管理(ACM)方法对于确保访问控制的成功实施和制度化至关重要。 一些最佳做法和方法包括:
Prosci ADKAR 模型: 此模型侧重于成功更改的五个关键构建基块。 这些组件是 Awareness、Desire、Knowledge、Ability 和 Reinforcement。 通过解决每个元素问题,组织可以确保员工了解访问控制需求、支持更改、具备必要的知识和技能,并不断加强以维护更改。
Kotter 的 8 步更改模型: 此模型概述了前导更改的八个步骤。 这些步骤包括创造紧迫感、形成强大的联盟、制定愿景和战略、传达愿景、赋予员工广泛行动、创造短期胜利、巩固收益,并将新方法锚定到文化中。 通过执行这些步骤,组织可以有效地管理访问控制的采用。
Lewin 的变更管理模型: 此模型具有三个阶段,即“取消冻结”、“更改”和“重新冻结”。 在“解冻”阶段,组织通过确定访问控制的需求和创建紧迫感来准备变革。 在“更改”阶段,将实施新的流程和做法。 在重新冻结阶段,新做法被巩固并融入到组织文化中。
Microsoft采用和变更管理框架: 此框架通过定义成功标准、吸引利益干系人和准备组织,提供一种结构化方法来推动采用和变革。 此框架还衡量成功,以确保实现的有效性。 它强调沟通、培训和支持的重要性,以确保访问控制得到有效采用和制度化。
组织可以通过合并这些 ACM 方法和最佳做法来确保员工实施和接受访问控制。 此方法会导致更安全且合规的企业环境。
Azure 便利化
建立安全基线:Microsoft安全功能分数可帮助你建立具有切实改进建议的基线。 它作为 Microsoft Defender XDR 套件的一部分提供,可以分析许多 Microsoft和非Microsoft产品的安全性。
基础结构部署自动化:Azure 资源管理器模板(ARM 模板)和 Bicep 是使用声明性语法将基础结构部署为代码(IaC)的 Azure 本机工具。 ARM 模板采用 JSON 编写,而 Bicep 是特定于域的语言。 可以轻松集成到 Azure Pipelines 或 GitHub Actions 持续集成和持续交付(CI/CD)管道中。
Terraform 是 Azure 中完全支持的另一个声明性 IaC 工具。 可以使用 Terraform 部署和管理基础结构,并将其集成到 CI/CD 管道中。
可以使用 Microsoft Defender for Cloud 发现 IaC 中的错误配置。
Azure 部署环境:部署环境使开发团队能够使用基于项目的模板快速创建一致的应用基础结构。 这些模板将设置时间降至最低,并最大程度地提高安全性、合规性和成本效益。 部署环境是预定义订阅中部署的 Azure 资源的集合。 开发基础结构管理员可以强制实施企业安全策略,并提供一组精选的预定义 IaC 模板。
开发基础结构管理员将部署环境定义为目录项。 目录项托管在 GitHub 或 Azure DevOps 存储库中,称为 目录。 目录项由 IaC 模板和manifest.yml文件组成。
可以编写部署环境的创建脚本,并以编程方式管理环境。 有关以工作负荷为中心的详细指南,请参阅 Azure 精心构建的框架的 IaC 方法。
例程任务自动化:
Azure Functions:Azure Functions 是一种无服务器工具,可用于使用首选开发语言自动执行任务。 Functions 提供一组全面的事件驱动触发器和绑定,用于将函数连接到其他服务。 无需编写额外的代码。
Azure 自动化:PowerShell 和 Python 是用于自动执行操作任务的常用编程语言。 使用这些语言可以执行重启服务、在数据存储之间传输日志以及缩放基础结构以满足需求等操作。 可以在代码中表达这些操作,并按需运行这些操作。 单独来说,这些语言缺少用于集中管理、版本控制或跟踪运行历史记录的平台。 这些语言还缺乏响应监视驱动警报等事件的本机机制。 若要提供这些功能,需要一个自动化平台。 自动化 提供了一个 Azure 托管的平台,用于跨云和本地环境(包括 Azure 和非 Azure 系统)托管和运行 PowerShell 和 Python 代码。 PowerShell 和 Python 代码存储在自动化 Runbook 中。 可使用自动化:
按需、按计划或通过 Webhook 触发 Runbook。
运行历史记录和日志记录。
集成机密存储。
集成源代码管理。
Azure 更新管理器:更新管理器是一项统一服务,可用于管理和管理虚拟机的更新。 可以监视工作负载中的 Windows 和 Linux 更新符合性。 还可使用更新管理器进行实时更新或将更新计划在定义的维护时段内完成。 使用更新管理器可以:
监督整个计算机群的合规性。
计划定期更新。
部署关键更新。
Azure 逻辑应用和Microsoft Power Automate:生成自定义数字流程自动化(DPA)来处理工作负载任务(如审批流或构建 ChatOps 集成),请考虑使用逻辑应用或 Power Automate。 可以从内置连接器和模板构造工作流。 逻辑应用和 Power Automate 基于相同的基础技术构建,非常适合基于触发器的任务或基于时间的任务。
自动缩放: 许多 Azure 技术具有内置的自动缩放功能。 还可以使用 API 将其他服务编程为自动缩放。 有关详细信息,请参阅自动缩放。
Azure Monitor 操作组: 若要在触发警报时自动运行自我修复操作,请使用 Azure Monitor 操作组。 可以使用 Runbook、Azure 函数或 Webhook 来定义这些操作。
事件准备和响应采用
在建立登陆区域或其他平台设计与安全网络分段以及设计良好的订阅和资源组织后,你可以开始实施,重点介绍事件准备和响应。 在此阶段,开发准备和响应机制(包括事件响应计划)可确保云资产和运营实践符合业务目标。 这种一致性对于保持效率和实现战略目标至关重要。 采用阶段应从两个角度处理事件准备和响应。 这些观点包括威胁准备情况和缓解措施,以及基础结构和应用程序安全性。
威胁准备情况和缓解措施
威胁检测: 实施高级监视工具和做法,实时检测威胁。 此实现包括为异常活动设置警报系统,并集成扩展的检测和响应(XDR)和安全信息和事件管理(SIEM)解决方案。 有关详细信息,请参阅零信任威胁防护和 XDR。
漏洞管理: 通过修补程序管理和安全更新定期识别和缓解漏洞,以确保系统和应用程序免受已知威胁的保护。
事件响应: 制定和维护事件响应计划,其中包括检测、分析和修正步骤,以快速解决和恢复安全事件。 有关以工作负荷为中心的指南,请参阅 安全事件响应建议。 尽可能自动执行缓解活动,使这些活动更高效,更容易发生人为错误。 例如,如果检测到 SQL 注入,则可以有一个 Runbook 或工作流,该 Runbook 或工作流会自动锁定与 SQL 的所有连接以包含事件。
基础结构和应用程序安全性
安全部署管道: 生成具有集成安全检查的 CI/CD 管道,以确保应用程序经过安全开发、测试和部署。 此解决方案包括静态代码分析、漏洞扫描和合规性检查。 有关详细信息,请参阅零信任开发人员指南。
IaC 部署: 通过代码部署所有基础结构,不例外。 通过限制此标准,降低配置错误的基础结构和未经授权的部署的风险。 将所有 IaC 资产与应用程序代码资产并置,并应用与软件部署相同的 安全部署做法 。
Azure 便利化
威胁检测和响应自动化:使用 Microsoft Defender XDR 中的自动调查和响应功能自动执行威胁检测和响应。
IaC 部署安全性: 使用 部署堆栈 将 Azure 资源作为一个统一单元进行管理。 使用 拒绝设置防止用户执行未经授权的修改。
采用保密原则
在已经制定采用中情局三合会保密原则的总体策略和实施计划后,下一步是重点讨论 ACM。 此步骤包括确保在整个企业云环境中有效地实施和安全访问控制并将其制度化。 在采用阶段,实施数据丢失防护(DLP)措施来保护传输中的敏感数据和静态数据。 实现涉及部署加密解决方案、配置访问控制,以及就数据机密性的重要性和遵守 DLP 策略来培训所有员工。
实现加密和安全访问控制
为了保护敏感信息免受未经授权的访问,实施可靠的加密和安全访问控制至关重要。 加密可确保数据对未经授权的用户不可读,而访问控制可规范谁可以访问特定数据和资源。 了解部署的云服务的加密功能,并启用适当的加密机制来满足业务要求。
合并并采用相关标准
为了确保加密和访问控制的一致实现,开发和采用相关标准至关重要。 组织应建立明确的准则和最佳做法,以使用加密和访问控制,并确保将这些标准传达给所有员工。 例如,标准可能指定必须使用 AES-256 加密对所有敏感数据进行加密,并且只能将对此数据的访问权限限制为授权人员。 组织可以通过将这些标准纳入策略和过程,确保在整个企业中一致地应用加密和访问控制。 提供定期培训和支持进一步加强员工之间的这些做法。 其他示例包括:
强加密: 尽可能对数据存储启用加密,并考虑管理自己的密钥。 云提供商可能会为托管数据存储的存储提供静态加密,并提供在Azure SQL 数据库中启用数据库加密(例如透明数据加密)的选项。 尽可能应用额外的加密层。
访问控制: 应用 RBAC、条件访问控制、实时访问和对所有数据存储的足够访问权限。 规范定期评审权限的做法。 限制对配置系统的写入访问,仅允许通过指定的自动化帐户进行更改。 此帐户在经过彻底的评审过程后应用修改,这通常是 Azure Pipelines 的一部分。
标准采用:组织可能制定一个标准,要求使用 Microsoft Purview 信息保护 加密包含敏感信息的所有电子邮件。 此要求可确保敏感数据在传输期间受到保护,并且只能由授权收件人访问。
Azure 便利化
SIEM 和 SOAR 解决方案:Microsoft Sentinel 是一种可缩放的云原生 SIEM,它为 SIEM 和安全业务流程、自动化和响应(SOAR)提供智能且全面的解决方案。 Microsoft Sentinel 提供威胁检测、调查、响应和主动搜寻,并提供企业的高级概述。
Azure 加密:Azure 为Azure SQL 数据库、Azure Cosmos DB 和 Azure Data Lake 等服务提供加密。 支持的加密模型包括服务器端加密、服务管理的密钥、Azure 密钥库中的客户管理的密钥,以及客户控制的硬件上的客户管理的密钥。 客户端加密模型在发送到 Azure 之前支持应用程序的数据加密。 有关详细信息,请参阅 Azure 加密概述。
访问控制管理: 以前称为 Azure Active Directory,Microsoft Entra ID 提供全面的标识和访问管理功能。 它支持多重身份验证、条件访问策略和单一登录,以确保只有经过授权的用户才能访问敏感数据。
Microsoft Entra ID 保护使用高级机器学习来识别登录风险和异常用户行为,以阻止、质询、限制或授予访问权限。 它有助于防止标识泄露、防止凭据被盗,并提供对标识安全状况的见解。
Microsoft Defender for Identity 是一种基于云的安全标识威胁检测解决方案,可帮助保护整个组织中的标识监视。 它可以帮助你通过自动威胁检测和响应机制更好地识别、检测和调查针对组织的高级威胁。
Azure 机密计算: 此服务在处理数据时保护数据。 它使用基于硬件的受信任执行环境来隔离和保护正在使用的数据,确保即使是云管理员也无法访问数据。
采用完整性原则
在“采用”阶段,规划和设计变成了实际实现。 为了确保数据和系统完整性,请根据你在早期阶段开发的标准生成系统。 此外,根据相关协议和过程培训工程师、管理员和操作员。
数据完整性采用
数据分类: 尽可能通过自动化实现数据分类框架,并在必要时手动实施。 使用现成的工具自动执行数据分类和识别敏感信息。 手动标记文档和容器,以确保准确的分类。 利用知识渊博用户的专业知识来建立敏感度来策划用于分析的数据集。
数据验证和验证: 利用部署的服务中的内置验证和验证功能。 例如,Azure 数据工厂具有内置功能,用于在将数据从源移动到目标存储时验证数据一致性。 请考虑采用如下做法:
使用 SQL 中的 CHECKSUM 和 BINARY_CHECKSUM 函数来确保传输中的数据未损坏。
将哈希存储在表中并创建子例程,用于在上次修改日期更改时修改哈希。
监视和警报: 使用详细的更改历史记录信息监视数据存储,以帮助进行评审。 配置警报,以确保你具有适当的可见性,并且如果有任何可能影响数据完整性的事件,则可以采取有效操作。
备份策略: 在所有适当的系统上应用备份策略。 了解平台即服务和软件即服务服务的备份功能。 例如,Azure SQL 数据库包括自动备份,你可以根据需要配置保留策略。
共享设计标准: 发布和共享整个组织内合并数据完整性机制的应用程序设计标准。 设计标准应包含非功能要求,例如本机跟踪应用程序级别的配置和数据更改,并在数据架构中记录此历史记录。 此方法强制数据架构在数据存储中保留有关数据历史记录和配置历史记录的详细信息,此外还要求使用标准日志记录机制来加强完整性监视。
系统完整性采用
安全监视: 使用可靠的监视解决方案自动注册云资产中的所有资源,并确保启用警报并配置为在事件发生时通知相应的团队。
自动配置管理: 部署和配置配置管理系统,该系统会自动注册新系统并持续管理配置。
自动修补管理: 部署和配置修补程序管理系统,该系统会自动注册新系统,并根据策略管理修补。 首选本机工具与云平台。
Azure 便利化
数据分类和标记:Microsoft Purview 是一组强大的解决方案,可帮助组织管理、保护和管理数据,无论数据位于何处。 它提供手动和自动 数据分类 和 敏感度标签。
配置管理:Azure Arc 是一个集中统一的基础结构治理和管理平台,可用于管理基于云的和本地系统的配置。 通过使用 Azure Arc,可以从 Azure Policy、Defender for Cloud 策略和安全功能分数评估扩展安全基线,以及记录和监视一个位置中的所有资源。
修补程序管理:Azure 更新管理器是适用于 Windows 和 Linux 计算机的统一更新管理解决方案,可用于 Azure、本地和多云环境。 它内置了对 Azure Policy 和 Azure Arc 托管计算机的支持。
采用可用性原则
定义弹性设计模式后,你的组织可以继续进入采用阶段。 有关工作负荷可用性的详细指南,请参阅架构良好的框架 可靠性 支柱和 Azure 可靠性 文档。 在云采用的背景下,重点是建立和编码支持可用性的操作实践。
建立运营实践以支持可用性
为了维护高度可用的云资产,运营云系统的团队必须遵循标准化、成熟的做法。 这些做法应包括:
运营连续性: 组织必须在攻击条件下规划持续操作。 此方法包括建立快速恢复的过程,并在降级级别维护关键服务,直到完全恢复成为可能。
可靠且持续可观测性: 组织在发生安全事件时能够快速启动事件响应计划。 此策略有助于尽量减少业务影响。 事件检测只能通过设计良好的监视和警报系统进行,该系统遵循威胁检测的最佳做法。 有关详细信息,请参阅 可观测性指南 和安全 监视和安全威胁检测指南。
主动维护: 通过策略标准化和强制实施系统更新。 计划定期维护时段,将更新和修补程序应用到系统,而不会中断服务。 定期进行运行状况检查和维护活动,以确保所有组件都以最佳方式运行。
标准化治理策略: 通过支持工具的策略强制实施所有安全标准。 使用策略管理工具来确保默认情况下所有系统都符合业务要求,并且策略易于审核。
灾难恢复准备: 开发和定期测试工作负荷的灾难恢复计划,以确保在发生灾难时可恢复这些计划。 有关详细信息,请参阅 灾难恢复。 尽可能自动执行恢复活动。 例如,在Azure SQL 数据库等服务中使用自动故障转移功能。
服务级别协议: 云平台为其服务提供的服务级别协议(SLA)可帮助你了解工作负载组件保证的运行时间。 使用这些 SLA 作为基础,为提供给客户的 SLA 开发自己的目标指标。 Microsoft发布 sla for 联机服务 上所有云服务的 SLA。
符合性要求: 遵守一般数据保护条例(GDPR)和 HIPAA 等法规,确保系统设计和维护到高标准,包括与可用性相关的标准。 不合规可能导致法律诉讼和罚款,这可能会扰乱业务运营。 合规性通常不限于系统配置。 大多数合规性框架还需要风险管理和事件响应标准。 确保运营标准符合框架要求,并定期培训员工。
Azure 便利化
策略和合规性管理:
Azure Policy 是一种策略管理解决方案,可帮助强制实施组织标准并大规模评估合规性。 若要自动执行许多 Azure 服务的策略强制实施,请利用 内置策略定义。
Defender for Cloud 提供可自动遵守安全标准的安全策略。
运营连续性和灾难恢复: 许多 Azure 服务具有内置恢复功能,可将其纳入运营连续性和灾难恢复计划。 有关详细信息,请参阅 Azure 服务可靠性指南。
采用安全维持
请考虑以下建议,以帮助确保在继续旅程时,可以持续不断改进作为云采用一部分而实施的安全机制和做法:
建立安全审查委员会: 创建一个安全审查委员会,用于持续审查项目并强制实施安全控制。 定期查看流程,以查找改进领域。 制定流程,确保安全性始终是每个人的重中之重。
实现漏洞管理解决方案:使用漏洞管理解决方案来监视安全漏洞风险评分,并定义一个流程来应对最高风险分数至最低,以最大程度地降低风险。 跟踪最新的常见漏洞和风险。 制定策略,定期应用这些缓解措施进行修正。
强化生产基础结构: 通过强化基础结构来保护云资产。 若要根据行业最佳做法强化基础结构,请按照 Internet 安全中心(CIS)基准等 基准测试指南进行操作。
使用 MITRE ATT&CK 知识库:使用 MITRE ATT&CK 知识库来帮助开发常见实际攻击策略和技术的威胁模型和方法。
左移: 使用具有不同访问级别的隔离环境进行预生产与生产。 此方法有助于你向左转移,这为开发的所有阶段增添了安全问题,并在较低环境中提供灵活性。
Azure 便利化
漏洞管理:Microsoft Defender 漏洞管理是一种全面的基于风险的漏洞管理解决方案,可用于识别、评估、修正和跟踪所有最关键资产中最大的漏洞,所有这些漏洞都在单个解决方案中。