你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用增强的安全性管理云资产

云采用旅程的管理阶段侧重于云资产的持续运营。 持续维护和加强安全态势对于成功管理资产至关重要，应被视为管理实践的基石。 如果你忽视了安全性，而有利于成本节省或性能改进，则可能会使业务面临威胁，这些威胁可能会严重损害业务，并扭转这样做带来的任何短期利益。 投资安全机制和做法可最大程度地降低有害攻击的风险，从而为企业带来长期成功。

本文是“管理”方法的支持指南。 它描述了在旅程中经历该阶段时应考虑的安全优化领域。

安全状况现代化

在云采用旅程的管理阶段，你应该拥有一个可靠的可观测性平台，并且已经设置了彻底的监视和智能警报，但现代化此平台可能需要一种新的思维模式，该思维模式侧重于主动措施并采用零信任原则。

• 假设违反： 假设一个或多个系统中存在漏洞，这是主动检测的关键原则，也是威胁搜寻和检测工程的驱动因素。 威胁搜寻 使用基于假设的方法（即漏洞已经以某种特定形式发生）通过工具智能地分析系统，以试图证明或反驳该假设。 检测工程 是开发专门的检测机制，以增强无法检测新和新型网络攻击的可观测性平台的做法。

• 显式验证： 从“默认信任”到“异常信任”的思维模式意味着你需要能够通过可见性验证受信任的活动。 使用智能标识和访问监视增强可观测性平台可帮助你实时检测异常行为。

Azure 便利化

• Microsoft Defender XDR 跨多个域（例如终结点、云应用和标识）提供高级威胁搜寻。

管理事件准备和响应

• 事件准备：

  • 实现安全信息和事件管理（SIEM）和安全业务流程、自动化和安全响应（SOAR）解决方案，以增强基础结构监视和警报系统，以检测和响应安全事件。

  • 主动扫描云系统是否存在漏洞。 使用可与 SIEM 系统集成的漏洞扫描程序整合来自整个环境的安全数据，这有助于有效地检测和响应多种类型的安全风险和事件。

  • 通过实施扩展的检测和响应（XDR）解决方案，提高对环境中安全风险的可见性。 将此数据馈送到 SIEM 系统中，将安全监视统一到一个管理窗格中，并优化 安全运营 团队的效率。

• 事件响应规划： 将可观测性平台现代化对于事件检测至关重要。 这也是维护事件响应计划的基础。 事件响应计划必须是定期更新的活文档。 它需要随时了解威胁搜寻和检测工程工作，以及 MITRE ATT&CK 知识库等公开可用的风险信息。

  除了维护事件响应计划之外，还需要完全开发事件响应和灾难恢复计划。

• 业务连续性和灾难恢复： 开发和测试灾难恢复计划，以确保云环境具有复原能力，并且可以从事件中快速恢复。 包括支持业务连续性的备份和恢复策略。 在许多情况下，环境中的单个工作负荷具有独特的恢复目标和流程，因此具有基于工作负荷的计划，而不是涵盖业务所有方面的单一计划是一个很好的策略。 有关本主题中以工作负荷为中心的指南，请参阅架构良好的框架 灾难恢复指南 。

Azure 便利化

• Microsoft Defender for Cloud 提供了监视和保护许多工作负荷资源（例如服务器、存储、容器、SQL 数据库和 DNS）的计划。 通过这些计划，可以发现你可能无法通过现有监视解决方案找到的深入见解。

  • Defender for Servers 包括针对基于 Azure 或已启用 Azure Arc 的 VM 进行漏洞扫描的Microsoft Defender 漏洞管理。

• Microsoft Sentinel 是Microsoft云原生 SIEM 和 SOAR 解决方案。 可以将它用作独立解决方案。 它还与 Microsoft Defender 集成以提供统一 的安全操作平台。

• Defender XDR 中的自动调查和响应通过为许多方案提供自动检测和自我修复功能，帮助安全运营团队更有效地解决威胁问题。

管理机密性

安全状况的持续管理，因为它与保密有关，涉及定期执行设计良好的监视和审核做法，维护编码的审核过程，并寻找持续改进的机会。

• 定期监视和审核： 为了确保保密策略的完整性，需要建立定期的监视和审核节奏。 持续监视有助于提前检测潜在的安全威胁和异常。 但是，仅监视是不够的。 你需要进行定期审核，以验证策略和控制是否有效，以及它们是否得到遵守。 审核提供对安全状况的全面审查，并帮助你识别需要解决的任何漏洞或弱点。

• 记录和制度化审核程序： 记录审核程序对于一致性和问责至关重要。 使这些程序制度化，可确保有系统、定期地进行审计。 详细文档应包括审核范围、方法、所用工具和审核频率。 这种做法有助于保持高标准的安全性。 它还为合规性和法规目的提供了明确的线索。

• 增强机密性的最佳做法包括：

  • 职责分离（SoD）： 实施 SoD 有助于防止利益冲突并降低欺诈风险。 在不同个人之间划分职责可确保没有人能够控制关键流程的所有方面。

  • 主动用户生命周期维护： 需要定期更新和管理用户帐户。 这种做法包括立即撤消不再需要权限的用户的访问权限，在角色更改时更新权限，并确保禁用非活动帐户。 主动维护有助于防止未经授权的访问，并帮助确保只有当前授权用户有权访问敏感数据。 访问架构师应在其标准操作过程中包括这些措施。

Azure 便利化

• Microsoft Purview 数据丢失防护（DLP）可以帮助你检测和防止攻击者使用的常见进程外泄。 Purview DLP 可以检测首次使用或云应用程序从终结点设备外泄敏感数据的攻击者。 当攻击者重命名这些工具以保持未检测到状态时，Purview DLP 还可以识别这些工具的执行。

• Microsoft Purview 内部风险管理可以帮助你检测和防止潜在的恶意或无意内部风险，例如 IP 盗窃、数据泄露和安全违规。

管理完整性

管理数据和系统完整性需要通过特定配置进行可靠的监视，以检测对资产的未经授权的更改。 管理阶段的其他关键原则是采用持续改进和培训做法。

• 数据完整性监视： 有效地监视数据完整性是一项复杂的任务。 智能工具可以减轻配置适当监视机制的负担。 如果将智能数据管理与 SIEM 和 SOAR 解决方案相结合，可以深入了解与数据相关的活动，并自动执行事件响应计划的各个部分。 监视应检测异常行为，包括未经授权访问数据存储和对数据存储所做的更改。 自动事件响应（如即时锁定）有助于最大程度地减少恶意活动的爆炸半径。

• 系统完整性监视： 有效地监视系统完整性比监视数据完整性更简单。 大多数新式监视和警报平台都具备检测系统更改的装备。 在部署周围提供适当的防护措施（例如仅允许通过 IaC 更改环境）和设计良好的身份验证和访问平台时，可以确保立即检测和调查在批准的协议之外发生的更改。

Azure 便利化

数据完整性监视

• Microsoft Purview 运行状况管理 可以帮助你编编数据标准并衡量资产中的数据随时间推移遵守这些标准的方式。 它提供报告来跟踪数据运行状况，并帮助数据所有者修正出现的问题。

管理可用性

管理云资产的可用性需要通过测试验证的可靠主动可用性监视。

• 可用性监视： 确保所有基础结构和应用程序都配置为监视，并将警报配置为通知相应的团队。 使用云原生日志记录和 应用程序检测 功能简化监视设计并减少操作负担。

• 可用性测试： 所有基础结构和应用程序都必须定期测试可用性，作为总体测试策略的一部分。 故障注入和混乱测试 是测试可用性和安全性的优秀策略，旨在引入故障。

Azure 便利化

除了前面讨论的 Defender for Cloud 解决方案之外，请考虑以下解决方案：

• 使用 Azure Monitor Application Insights 的自动检测，可以轻松检测应用程序，以便通过 Application Insights 进行丰富的遥测监视。 自动检测支持许多基于 Azure 的托管类型和本地托管类型。

• Azure Chaos Studio 是一项托管服务，它使用混沌工程来帮助度量、了解和改进云应用程序和服务的复原能力。

管理安全维持

持续教育

鼓励云安全实践中的持续教育和认证，以跟上不断演变的威胁和技术。 此培训应涵盖：

• 威胁检测。 使用高级分析和监视工具（如 Microsoft Sentinel）提前检测威胁，强调持续监视和主动识别威胁。 通过高级分析可以识别可能指示潜在安全威胁的异常模式和行为。 集成的威胁情报提供有关已知威胁的最新信息，这增强了系统检测新兴风险的能力。 包括对预计划响应（例如自动控制操作）的培训，以确保对检测到的威胁做出快速反应。

• 事件响应。 根据集成零信任原则的可靠事件响应策略训练安全运营团队，假设威胁可能来自内部和外部源。 此活动包括对标识的持续验证和保护对资源的访问。 培训还应涵盖使用决策树和流程图来指导基于特定事件场景的响应操作。

  • 可用性。 使用 Azure 服务提供有关部署高可用性和灾难恢复解决方案的培训，以确保在需要时仍可访问数据和资源。 此培训包括维护预计划响应，这些响应概述了在事件期间保留可用性的步骤。 培训还应涵盖确保持续访问关键资源的策略，即使面临中断，还包括有关设置和管理 Azure 高可用性和灾难恢复工具的动手培训。

• 模拟练习： 定期进行安全演练和模拟，为实际方案准备团队。 这些练习应评估组织应对零信任框架内事件的能力，并将所有网络段视为潜在泄露，直到它们被验证为安全为止。 应模拟网络钓鱼攻击、数据泄露和勒索软件等方案，以识别响应策略中的差距，并提供处理事件的实践体验。 演习应通过快速隔离泄露的系统来强调遏制策略，防止进一步传播、快速通信，通过建立清晰高效的传播渠道和证据保存，确保收集并存储所有相关数据，以支持后续分析和调查。 使用预计划响应（如事件 playbook 和通信协议）来确保在这些演练期间执行的操作是一致的且系统化的。

• 事件响应演练： 通过模拟各种威胁方案的现实演练定期测试事件响应计划。 这些演练应涉及所有相关利益干系人，包括安全运营中心（SOC）团队、事件响应协调员、治理主管、事件控制者、调查主管、基础结构主管和云治理团队，以确保整个组织的全面准备。 将中情局三合会和零信任原则的元素合并到这些演练中，例如测试访问控制（机密性）、实现关键数据的完整性检查，以及实施在事件期间维护服务可用性的过程。 通过利用预定义角色和职责等预先计划响应，确保跨团队进行明确的沟通和协作工作，并通过快速隔离受影响的系统和威胁缓解来快速遏制，从而强调有效协调。 记录为事后评审和持续改进提供明确的记录。

保密性和完整性的持续改进策略

持续改进对于在企业云环境中维护和增强机密性和完整性至关重要。 记录配置管理和审核和检查的结果至关重要。 本文档提供了一条历史记录，可进行分析，以确定趋势、定期问题和改进方面。

• 保密策略：

  • 从过去学习。 实施以往检查吸取的教训是持续改进的关键原则。 通过分析以前的审核和检查结果，组织可以识别弱点并实施纠正措施，以防止将来出现类似问题。 这种主动方法可确保组织持续发展并提高其安全态势。

  • 使用实时数据。 实时监视在持续改进方面起着关键作用。 通过使用实时数据，组织可以快速识别和响应潜在威胁，确保安全措施始终保持最新且有效。 这种动态方法可帮助组织避免重复过去的错误，并确保组织能够抵御新兴威胁。

  • 保密培训。 作为总体培训策略的一部分，请确保员工接受保密策略和程序的培训。 对于新员工来说，这种培训应该是强制性的，并且应定期对所有员工重复培训。 对于安全团队的员工，它应包括更深入的培训，这些培训特定于其角色。 教授实施加密和严格的访问控制的重要性，以保护敏感信息免受未经授权的访问。 培训还应涵盖数据加密技术和访问管理工具方面的最佳做法，以帮助确保只有授权人员才能访问敏感数据。

• 完整性策略：

  • 定期审核数据。 定期对数据执行手动审核，以确保数据治理和监视工具按预期执行。 寻找改进机会。

    • 数据卫生。 采用良好的数据卫生习惯，如下所示。

      • 手动审核数据的质量、准确性和一致性。 发现错误时更正错误。

      • 使用规范化等策略来减少不一致和冗余。

      • 在生产环境中不再需要历史数据时，在冷存储或脱机存储中存档历史数据。 清除不需要存档的数据。

      • 定期查看加密配置，以确保所有敏感数据都静态和传输中加密。 定期查看行业标准进行加密，并确保系统符合这些标准。

    • 备份。 定期查看备份配置，以确保备份包含敏感数据或其他关键数据的所有数据存储。 执行还原测试，确保备份数据有效。 定期测试还原，以确保系统符合组织的恢复时间目标（RTO）和恢复点目标（RPO）。

  • 定期评审对系统和数据的访问。 应定期审查对系统和数据存储的访问权限，以确保访问控制和策略中没有任何差距。

  • 进行完整性培训。 作为整体培训策略的一部分，请确保员工根据数据和系统完整性策略和过程进行培训。 对于新员工，此培训应强制进行，并定期对所有员工重复培训。 对于安全团队的员工，请提供更深入的培训，这些培训特定于其角色。 为基础结构即代码 （IaC） 使用 DevOps 流程提供培训，以帮助确保数据准确性和可靠性。 DevOps 做法（如版本控制、持续集成和自动测试）有助于在部署之前跟踪、审核和验证对云环境的基础结构的更改。 DevOps 做法对于维护登陆区域尤其重要，因为这些做法通过提供系统的方式来处理基础结构更改来确保配置中的一致性和完整性。

下一步

查看零信任采用框架，了解如何在整个云采用过程中集成零信任方法。

查看架构良好的框架 安全 支柱，以获取以工作负荷为中心的安全指南。