通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

安全地管理云资产

  • 项目

安全治理将业务优先级与技术实现(例如体系结构、标准和策略)连接起来。 治理团队提供监管与监视,以随着时间的推移维持和改进安全状况。 这些团队还报告监管机构要求的合规性。

此图显示了安全治理的关键组件,包括风险管理、合规性、策略实施和持续监视。

业务目标和风险 为安全性提供了最有效的指导。 此方法可确保安全工作集中在组织的关键优先级上。 此外,它还通过在风险管理框架中使用熟悉的语言和流程来帮助风险所有者。

显示云采用所涉及的方法的关系图。该图包含每个阶段的框:团队和角色、策略、计划、就绪、采用、治理和管理。本文的框突出显示。

本文是治理方法的支持指南。 它提供安全优化领域,让你在旅程中经历该阶段时考虑这一点。

安全状况现代化

仅使用问题报告并不是维护安全状况的有效策略。 在云时代,治理需要一种积极的方法,能够与其他团队持续协作。 安全状况管理是一项新兴的基本功能。 此角色解决了环境安全的关键问题。 它包含关键领域,例如漏洞管理和安全合规性报告。

在本地环境中,安全治理依赖于有关环境的定期数据。 此方法通常会导致过时的信息。 云技术通过提供对当前安全状况和资产覆盖范围的按需可见性来彻底改变此过程。 此实时见解将治理转换为更动态的组织。 它促进与其他安全团队的更紧密协作,以监视安全标准、提供指导和改进流程。

在其理想状态中,治理可推动整个组织的持续改进。 此正在进行的过程使组织的所有部分都参与,以确保不断提高安全性。

以下是安全治理的关键原则:

  • 持续发现资产和资产类型:动态云环境中无法提供静态清单。 你的组织必须专注于持续发现资产和资产类型。 在云中,会定期添加新类型的服务。 工作负荷所有者根据需要动态调整应用程序和服务实例的数量,从而创建不断变化的环境。 这种情况使库存管理成为不断发展的纪律。 治理团队需要持续识别资产类型和实例,以跟上这种变化步伐。

  • 资产安全状况的持续改进: 治理团队应专注于改进和执行标准,以跟上云和攻击者。 信息技术 (IT) 组织必须对新的威胁迅速做出反应并进行相应调整。 攻击者不断改进其技术,同时防御不断改进,可能需要更新。 不能始终在初始设置中合并所有必要的安全措施。

  • 策略驱动的治理: 此治理可确保实现一致,因为定义策略一次,并自动跨资源应用它们。 此过程限制了重复手动任务的浪费时间和精力。 它通常通过使用 Azure Policy 或非Microsoft策略自动化框架来实现。

为了保持敏捷性,最佳做法指导通常是迭代的。 它从多个源中摘出一段的信息来创建完整的画面,并不断进行小调整。

Azure 便利化

事件准备和响应

安全治理对于维护准备至关重要。 为了严格执行标准,可靠的治理机制和做法必须支持实施准备和响应机制和操作实践。 请考虑以下建议来帮助控制事件准备和响应标准:

事件准备治理

  • 自动化治理: 使用工具尽可能自动执行治理。 可以使用工具管理基础结构部署的策略、实施强化措施、保护数据和维护标识和访问管理标准。 通过自动管理这些安全措施,可以确保环境中的所有资源都符合自己的安全标准和业务所需的所有合规性框架。 有关详细信息,请参阅 “强制实施云治理策略”。

  • 遵循来自Microsoft的安全基线: 了解云资产中服务Microsoft提供的安全建议,这些服务可用作 安全基线。 这些基线可帮助你确保现有部署得到适当的保护,以及从一开始就正确配置新部署。 此方法可降低配置错误的风险。

事件响应治理

  • 事件响应计划的治理: 事件响应计划应与资产中的其他关键文档保持一致。 事件响应计划应为:

    • 版本控制,以确保团队正在处理最新版本,并且可以审核版本控制。

    • 存储在高度可用和安全存储中。

    • 在环境更改需要时定期查看和更新。

  • 事件响应培训的治理: 事件响应的培训材料应以版本控制,以确保在任何给定时间使用最新版本。 在对事件响应计划的更新进行更新时,还应定期审查和更新它们。

Azure 便利化

  • Azure Policy 是一种策略管理解决方案,可用于帮助实施组织标准并大规模评估合规性。 若要自动执行许多 Azure 服务的策略强制实施,请利用 内置策略定义

  • Defender for Cloud 提供可自动遵守安全标准的安全策略。

机密性治理

有效的治理对于在企业云环境中保持安全性和合规性至关重要。 治理包括策略、过程和控制,这些策略、过程和控制确保数据安全管理,并符合法规要求。 它提供了一个框架,用于决策、问责和持续改进,这对于保护敏感信息和维护信任至关重要。 这一框架对于维护中情局三合会的保密原则至关重要。 它有助于确保敏感数据仅可供授权用户和进程访问。

  • 技术策略: 这些策略包括访问控制策略、数据加密策略以及数据掩码或令牌化策略。 这些策略的目标是通过严格的访问控制和可靠的加密方法维护数据机密性来创建安全环境。

  • 书面策略: 书面策略充当整个企业环境的治理框架。 它们确定了数据处理、访问和保护的要求和参数。 这些文档确保整个组织的一致性和合规性,并为员工和 IT 员工提供明确的准则。 书面策略还充当审核和评估的参考点,这有助于识别和解决安全做法中的任何差距。

  • 数据丢失保护: 应持续监视和审核数据丢失防护(DLP)措施,以确保持续遵守保密要求。 此过程包括定期审查和更新 DLP 策略、执行安全评估,以及响应可能损害数据机密性的任何事件。 在整个组织中以编程方式建立 DLP,确保采用一致且可缩放的方法来保护敏感数据。

监视合规性和强制方法

监视合规性并强制实施策略,以在企业云环境中保持机密性原则至关重要。 这些操作对于可靠的安全标准至关重要。 这些流程可确保一致地应用所有安全措施,并有效帮助保护敏感数据免受未经授权的访问和泄露。 定期评估、自动监视和全面的培训计划对于确保遵守既定政策和程序至关重要。

  • 定期审核和评估: 定期执行安全审核和评估,确保遵循策略并确定改进领域。 这些审核应涵盖法规、行业和组织标准和要求,并可能涉及第三方评估员提供无偏见的评估。 批准的评估和检查计划有助于保持高标准的安全性和合规性,并确保全面审查和处理数据保密的所有方面。

  • 自动化合规性监视:Azure Policy工具自动监视符合性策略,并提供实时见解和警报。 此功能有助于确保持续遵守安全标准。 自动监视可帮助你快速检测和响应策略冲突,从而降低数据泄露的风险。 它还通过定期检查针对已建立策略的配置和访问控制来确保持续符合性。

  • 培训和意识计划: 让员工了解数据保密策略和最佳做法,以培养安全意识的文化。 定期培训课程和意识计划有助于确保所有员工都了解其维护数据机密性的角色和职责。 应定期更新这些计划,以反映策略和新兴威胁的变化。 此策略可确保员工始终具备最新的知识和技能。

完整性治理

为了有效维护完整性保护,需要一个设计良好的治理策略。 此策略应确保记录并强制执行所有策略和过程,并持续审核所有系统的符合性。

机密性治理部分前面介绍的指导也适用于完整性原则。 以下建议特定于完整性:

  • 自动化数据质量治理: 请考虑使用现成的解决方案来管理数据。 使用预生成解决方案缓解数据治理团队手动质量验证的负担。 此策略还降低了在验证过程中未经授权访问和更改数据的风险。

  • 自动化系统完整性治理: 考虑使用集中式统一工具自动执行系统完整性治理。 例如, Azure Arc 允许跨多个云、本地数据中心和边缘站点管理系统。 通过使用此类系统,可以简化治理责任并减轻运营负担。

Azure 便利化

  • Microsoft Purview 数据质量允许用户使用无代码/低代码规则(包括现用的(OOB)规则和 AI 生成的规则来评估数据质量。 这些规则在列级别应用,然后聚合以提供数据资产、数据产品和业务域的分数。 此方法可确保跨每个域全面了解数据质量。

可用性治理

在云资产中标准化的体系结构设计需要治理,以确保它们不会偏离,并且可用性不会受到不符合设计模式的影响。 同样,还必须管理灾难恢复计划,以确保它们得到很好的维护。

可用性设计治理

  • 维护标准化的设计模式: Codify 并严格强制实施基础结构和应用程序设计模式。 控制设计标准的维护,以确保它们保持最新状态,并受到未经授权的访问或更改的保护。 将这些标准与其他策略一样谨慎对待。 如果可能,请自动执行维护设计模式。 例如,可以启用策略来控制可以部署的资源类型,并指定允许部署的区域。

灾难恢复治理

  • 灾难恢复计划的治理: 将灾难恢复计划的重要性级别视为事件响应计划。 灾难恢复计划应为:

    • 版本控制,以确保团队始终使用最新版本,并且可以审核版本控制,以确保准确性和符合性。

    • 存储在高度可用和安全存储中。

    • 需要更改环境时定期查看和更新。

  • 灾难恢复演练的治理: 灾难恢复演练不仅用于计划培训,而且还可用作改进计划本身的学习机会。 它们还可以帮助优化操作或设计标准。 灾难恢复演练的细致记录有助于确定改进领域,并确保符合灾难准备的审核要求。 通过将这些记录存储在与计划相同的存储库中,有助于保持一切有序和安全。

持续安全治理

新式服务管理(MSM)

新式服务管理(MSM)是一组旨在管理和优化云环境中的 IT 服务的做法和工具。 MSM 的目标是使 IT 服务符合业务需求。 此方法可确保高效的服务交付,同时保持高标准的安全性和合规性。 MSM 提供了一种结构化方法来管理复杂的云环境。 MSM 还允许组织快速响应更改、降低风险并确保持续改进。 此外,MSM 与保密原则相关,因为它包括强制实施数据保护和监视访问控制的工具和做法。

  • 统一安全管理: MSM 工具通过集成各种安全功能来提供全面的安全管理,以提供云环境的整体视图。 此方法有助于强制实施安全策略并实时检测和响应威胁。

  • 策略管理和符合性: MSM 有助于在整个云环境中创建、强制执行和监视策略。 它确保所有资源都符合组织标准和法规要求。 此外,它还提供实时见解和警报。

  • 持续监视和改进: MSM 强调持续监视云环境,以主动识别和解决潜在问题。 此方法支持持续优化和改进 IT 服务,确保它们与业务目标保持一致。

下一步

使用增强的安全性管理云资产