你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
确定所有权要求
本文是一系列教程的一部分,在你使用 Microsoft Defender for Cloud 跨多云资源设计云安全态势管理 (CSPM) 和云工作负载保护 (CWP) 解决方案时提供指导。
目标
确定参与多云安全解决方案的团队,并规划他们应如何协调与合作。
安全函数
根据组织的规模,将由不同的团队管理安全职能。 在复杂的企业中,可能存在多种多样的功能。
| 安全职能 | 详细信息 |
|---|---|
| 安全运营 (SecOps) | 通过减少恶意行动者获取企业资源访问权限所需的时间来降低组织风险。 对攻击进行反应式检测、分析、响应和修正。 主动威胁搜寻。 |
| 安全体系结构 | 在安全设计中汇总和阐述用于防止企业遭受风险的组件、工具、流程、团队和技术。 |
| 安全性和符合性管理 | 通过流程来确保组织符合法规要求和内部策略。 |
| 人员安全性 | 防止组织遭受人为安全风险的影响。 |
| 应用程序安全性和 DevSecOps | 将安全性集成到 DevOps 流程和应用中。 |
| 数据安全性 | 保护组织的数据。 |
| 基础结构和终结点安全性 | 为应用和用户使用的基础结构、网络和终结点设备提供保护、检测和响应。 |
| 标识和密钥管理 | 对用户、服务、设备和应用进行身份验证和授权。 为加密操作提供安全的分发和访问。 |
| 威胁情报 | 做出决策,并根据针对主动攻击和潜在威胁提供上下文和可操作见解的安全威胁情报采取措施。 |
| 状况管理 | 持续报告并改善组织的安全态势。 |
| 事件准备 | 建立工具、流程和专业手段来响应安全事件。 |
团队协调
尽管有许多不同的团队在管理云安全性,但他们必须相互合作,以确定谁负责在多云环境中做出决策。 缺乏所有权会产生摩擦,导致项目停滞不前,使不安全的部署无法等待安全批准。
安全领导层(往往隶属于 CISO)应该指定由谁负责做出安全决策。 通常,职责与下表中汇总的职责一致。
| 类别 | 说明 | 典型团队 |
|---|---|---|
| 服务器终结点安全性 | 监视和修正服务器安全性,包括修补、配置、终结点安全性等。 | 中心 IT 运营及基础结构和终结点安全性团队的共同职责。 |
| 事件监视和响应 | 在组织的 SIEM 或来源控制台中调查和修正安全事件。 | 安全运营团队。 |
| 策略管理 | 为基于角色的访问控制 (RBAC)、Microsoft Defender for Cloud、管理员保护策略和 Azure Policy 设定方向,以治理 Azure 资源、自定义 AWS/GCP 建议等。 | 策略和标准及安全体系结构团队的共同职责。 |
| 威胁和漏洞管理 | 维护基础结构的完全可见性和控制,以确保尽可能有效地发现和修正关键问题。 | 中心 IT 运营及基础结构和终结点安全性团队的共同职责。 |
| 应用程序工作负载 | 专注于特定工作负载的安全控制。 目标是将安全保证集成到开发流程和自定义业务线 (LOB) 应用程序中。 | 应用程序开发和中心 IT 运营团队的共同职责。 |
| 标识安全和标准 | 了解 Azure 订阅、AWS 帐户和 GCP 项目的权限蠕变指数 (PCI),以识别对不同标识和资源的未使用权限或过高权限相关的风险。 | 标识和密钥管理、策略和标准及安全体系结构团队的共同职责。 |
最佳做法
- 尽管多云安全性可以划分到不同的业务领域,但团队应管理整个多云产业的安全性。 这比不同的团队保护不同的云环境要好。 例如,一个团队管理 Azure,另一个团队管理 AWS。 团队跨多云环境协作有助于防止组织中的无序状况。 这还有助于确保在每个环境中应用安全策略和合规性要求。
- 通常,管理 Defender for Cloud 的团队无权修正工作负载中的建议。 例如,Defender for Cloud 团队可能无法修正 AWS EC2 实例中的漏洞。 安全团队可能负责改善安全态势,但无法修复得出的安全建议。 若要解决此问题:
- 必须让 AWS 工作负载所有者参与进来。
- 为所有者分配截止日期并定义治理规则可以在推动改善安全态势的流程时建立问责制和透明度。
- 必须让 AWS 工作负载所有者参与进来。
- 根据组织模型,通常会为与工作负载所有者配合工作的中心安全团队提供以下选项:
选项 1:集中式模型。 安全控制由中心团队定义、部署和监视。
- 中心安全团队确定要在组织中实施哪些安全策略,以及谁有权控制设置的策略。
- 如果出现安全威胁或配置问题,该团队还可能有权修正不合规的资源并强制实施资源隔离。
- 另一方面,工作负载所有者负责管理其云工作负载,但需要遵循中心团队部署的安全策略。
- 此模型最适合自动化程度较高的公司,可确保对漏洞和威胁采用自动化响应流程。
选项 2:分散模型。- 安全控制由工作负载所有者定义、部署和监视。
- 安全控制部署由工作负载所有者完成,因为他们拥有设置的策略,因此可以确定哪些安全策略适用于他们的资源。
- 所有者需要知道、理解其自身资源的安全警报和建议并采取相应的措施。
- 另一方面,中心安全团队仅充当控制实体,对任何工作负载不拥有写访问权限。
- 安全团队通常对组织的整体安全态势有深入的了解,他们可能会要求工作负载所有者负责改善其安全态势。
- 此模型最适合需要了解其整体安全态势,但同时希望工作负载所有者承担安全责任的组织。
- 目前,在 Defender for Cloud 中实现选项 2 的唯一方法是将拥有“安全读取者”权限的工作负载所有者分配到托管多云连接器资源的订阅。
后续步骤
在本文中,你已了解在设计多云安全解决方案时如何确定所有权要求。 请继续执行下一步以确定访问控制要求。