Microsoft Cloud 风险评估指南
云风险评估的目标是确保存在于 或 考虑迁移到云中的系统和数据不会给组织带来任何新的或无法识别的风险。 重点是确保信息处理的机密性、完整性、可用性和隐私性,并将识别的风险保持在可接受的内部风险阈值以下。
在共担责任模型中,云服务提供商 (CSP) 负责作为提供商管理 云 的安全性和合规性。 客户仍负责根据其需求和风险容忍度管理和配置 云中的 安全性和合规性。
本指南分享了如何有效评估供应商风险以及如何使用Microsoft提供的资源和工具的最佳做法。
了解云中的共同责任
云部署可分为基础结构即服务 (IaaS) 、平台即服务 (PaaS) 或 SaaS) (软件即服务。 根据适用的云服务模型,解决方案安全控制的责任级别在 CSP 和客户之间转移。 在传统的本地模型中,客户负责整个堆栈。 迁移到云时,所有物理安全责任都转移到 CSP。 根据组织的云服务模型,其他责任将转移到 CSP。 但是,在大多数云服务模型中,组织仍负责用于访问云的设备、网络连接、帐户和标识以及数据。 Microsoft在创建服务方面投入了大量资金,使客户能够在整个生命周期内控制其数据。
Microsoft云以超大规模方式运行,依赖于 DevSecOps 和自动化的组合来标准化操作模型。 与传统的本地操作模型相比,Microsoft操作模型改变了风险处理方式,导致实施不同的(有时甚至是不熟悉的控制措施)来管理风险。 执行云风险评估时,请记住,Microsoft的目标是确保所有风险都得到解决,但不一定实施组织所做的相同控制。 Microsoft可以通过一组不同的控制措施解决相同的风险,这些风险应反映在云风险评估中。 此外,传统本地设计中的一些风险在云环境中严重性较低,反之亦然。 设计和实施强有力的预防性控制可以减少检测和纠正控制所需的大量工作。 例如,Microsoft实现 零长期访问 (ZSA) 。
采用框架
Microsoft建议客户将其内部风险和控制框架映射到以标准化方式解决云风险的独立框架。 如果现有的内部风险评估模型不能解决云计算带来的特定挑战,你将从这些广泛采用的标准化框架中受益。 内部控制框架可能已经是多个标准化框架的集团,将这些控制映射到其相应框架将有助于评估。
第二个好处是,Microsoft在文档和工具中提供针对这些框架的映射,从而加速风险评估。 这些框架的示例包括 ISO 27001 信息安全标准、 CIS 基准和 NIST SP 800-53。 Microsoft提供任何 CSP 中最全面的一组合规性产品/ 服务。 有关详细信息,请参阅 Microsoft合规性产品/服务。
使用 Microsoft Purview 合规性管理器 创建自己的评估,以评估适用于组织的行业和区域法规的合规性。 评估基于评估模板框架,其中包含必要的控制措施、改进操作,并在适用的情况下Microsoft完成评估的操作。 对于Microsoft操作,提供了详细的实施计划和最近的审核结果。 这样,可以在事实查找、映射和研究Microsoft实现特定控件时节省时间。 有关详细信息,请参阅 Microsoft Purview 合规性管理器一文。
了解Microsoft如何操作来保护数据
虽然客户负责管理和配置 云中的安全性和合规性,但 CSP 负责管理 云的安全性和合规性。 验证 CSP 是否有效履行职责并履行承诺的一种方法是查看其外部审核报告,例如 ISO 和 SOC。 Microsoft服务 信任门户 (STP) 上向经过身份验证的受众提供外部审核报告。
除了外部审核报告,Microsoft还强烈建议客户利用以下资源来帮助了解Microsoft如何深入运行:
按需学习路径:Microsoft Learn 提供数百种不同主题的学习路径和模块。 其中, 了解Microsoft如何保护客户数据 ,以了解Microsoft的基本安全和隐私做法。
有关Microsoft合规性的服务保障:有关Microsoft做法的文章分为 14 个域,以便更轻松地查看。 每个域都包含一个概述,用于解决每个领域的常见风险方案。 提供的审核表包含 STP 上存储的最新报表链接、相关部分以及针对联机服务Microsoft进行审核报告的日期。 如果可用,则会提供指向演示控制实现的项目的链接,例如第三方漏洞评估和业务连续性计划验证报告。 与审核报告一样,这些项目托管在 STP 上,需要进行身份验证才能访问。
| 域 | 说明 |
|---|---|
| 体系结构 | Microsoft联机服务的设计以及充当其基础的安全原则。 |
| 审核日志记录和监视 | Microsoft如何捕获、处理、存储、保护和分析日志以检测未经授权的活动并监视性能。 使安全和性能监视成为可能。 |
| 数据中心安全 | Microsoft如何安全地运营数据中心,这些数据中心提供全球Microsoft联机服务运营方式。 |
| 加密和密钥管理 | 对云中存储和处理的客户通信和数据的加密保护。 |
| 治理、风险和合规性 | Microsoft如何强制执行它创建的安全策略和管理风险,以满足客户的承诺和合规性要求。 |
| 标识和访问管理 | 保护Microsoft联机服务和客户数据免受未经授权的或恶意访问。 |
| 安全事件管理 | Microsoft用于准备、检测、响应和传达所有安全事件的过程。 |
| 网络安全性 | Microsoft如何保护其网络边界免受外部攻击,以及如何管理其内部网络以限制其传播。 |
| 人事管理 | 在Microsoft期间,对人员进行筛选、培训和安全管理。 |
| 隐私和数据管理 | Microsoft如何处理和保护客户数据以保留其数据权限。 |
| 弹性和连续性 | 用于维护服务可用性并确保业务连续性和恢复的流程和技术。 |
| 安全开发和运营 | Microsoft如何确保其服务的整个生命周期都设计、运行和管理。 |
| 供应商管理 | 如何Microsoft筛选和管理协助Microsoft联机服务的第三方公司。 |
| 威胁和漏洞管理 | Microsoft用于扫描、检测和解决漏洞和恶意软件的进程。 |
Microsoft Cloud 合规性计划 (CPMC)
Microsoft齐心协力发布信息(如此网站上的文章),以帮助客户了解我们如何确保其数据安全并满足其合规性要求。 但是,可能很难随时了解全球监管环境、应对复杂的合规性和风险方案,并达到可接受的保证级别。 为了克服这些挑战,Microsoft推出了Microsoft Cloud 合规性计划 (CPMC) 。 CPMC 是一项基于费用的高级计划,提供个性化的法规和行业特定合规性支持、教育和网络机会。 有关 CPMC 特定产品/服务的详细信息,检查 CPMC 网站。