安全设计原则
Well-Architected 工作负载必须采用零信任安全方法构建。 安全工作负载对攻击具有弹性,除了满足业务目标外,还结合了机密性、完整性和可用性(也称为 CIA 三元组)等相互关联的安全原则。 任何安全事件都有可能成为损害您的品牌和声誉的重大漏洞。 要评估您的安全策略对工作负载的适用程度,请问自己以下问题:
- 您的安全措施在多大程度上减慢或阻止攻击者侵入您的工作负载?
- 如果发生攻击,您的安全措施在多大程度上限制了攻击的损害或传播?
- 您的工作负载对攻击者有多大价值? 如果您的工作负载或其数据被盗、不可用或被篡改,对您的业务会造成多大的伤害?
- 您能以多快的速度检测、响应工作负载中断并从中断中恢复?
在设计系统时,请使用 Microsoft Zero Trust 模型作为缓解安全风险的指南针:
显式验证,以便只有可信身份执行源自预期位置的预期和允许的操作。 此保护措施让攻击者更难冒充合法用户和帐户。
对正确的身份、正确的权限集、正确的持续时间和正确的资产使用最低权限访问。 限制权限可帮助防止攻击者滥用合法用户实际不需要的权限。
假设违反安全控制措施,并设计补偿控制措施,以便在主要防御图层失效时限制风险和损害。 这样做可以让您像一个对成功感兴趣的攻击者一样思考(无论他们如何获得成功),从而帮助更好地保护您的工作负荷。
安全性不是一次努力就能实现的。 您必须定期实施本指南的方法。 不断改进您的防御和安全知识,以保护您的工作负载免受攻击者的攻击,这些攻击者擅长寻找新的创新攻击媒介,通常使用自动攻击工具包。
这些设计原则基于 Microsoft Azure Well-Architected Framework,旨在培养持续的安全思维方式,以帮助您在威胁演变时改善工作负载的安全状况。 这些原则应会指导您的体系结构、设计选择和操作过程的安全性。 从推荐的方法开始,并证明一组安全要求的好处。 设置策略后,使用 Security checklist(安全检查清单 )作为下一个步骤来推动操作。
如果这些原则应用不当,会对业务运营和收入产生负面影响。 一些后果可能是显而易见的,比如针对监管工作负荷的处罚。 但是,其他问题可能不太明显,并且可能会在检测到之前导致持续的安全问题。
在很多关键任务工作负荷中,安全性和可靠性是首要考虑因素,因为一些攻击途径(如数据外泄)不会影响可靠性。 安全性和可靠性可能会将工作负荷拉向相反的方向,因为关注安全性的设计可能会引入故障点并增加操作复杂性。 安全性对可靠性的影响往往是间接的,是由操作约束引起的。 认真考虑安全性和可靠性之间的权衡问题。
遵循这些原则,您可以提高安全性,强化工作负荷资产,并建立用户信任。
规划您的安全就绪情况
 旨在以最小的摩擦在架构设计决策和运营中采用和实施安全实践。 |
|---|
作为工作负载所有者,您共享组织负责保护资产。 制定与您的业务优先级相匹配的安全就绪计划。 它将帮助您建立明确的流程、足够的投资和适当的责任。 该计划应将工作负载要求传达给组织,组织也分担保护资产的责任。 安全计划应该是您的可靠性、health 建模和自我保护策略的一部分。
详细了解如何在 Azure Well-Architected Framework 中规划安全就绪情况 。
设计以保护机密性
| 通过使用访问限制和混淆技术,防止泄露隐私、法规、应用程序和专有信息。 |
|---|
工作负荷数据可以按用户、使用情况、配置、合规性、知识产权等进行分类。 您不应在已建立的信任边界之外共享或访问该数据。 为了保护机密性,您应该关注访问控制、不透明性以及保留涉及数据和系统的活动的审计跟踪。
详细了解如何在 Azure 架构完善的框架中设计以保护机密 性。
设计以保护完整性
| 避免对设计、实施、操作和数据造成损害,以防止中断,从而阻止系统提供其预期价值或导致其在定义的限制之外运行。 系统应在整个工作负荷生命周期中提供信息保证。 |
|---|
关键是使用防止篡改业务逻辑、流、部署流程、数据,甚至较低堆栈组件(如操作系统和启动顺序)的控件。 缺乏完整性会产生漏洞,从而导致机密性和可用性违规。
详细了解如何在 Azure 架构完善的框架中设计以保护完整性 。
设计以保护可用性
| 通过使用强大的安全控制措施,在发生安全事件时避免或最大限度地减少系统和工作负载的停机时间和降级。 您必须在事件期间和系统恢复后保持数据完整性。 |
|---|
您必须平衡可用性架构选择和安全架构选择。 系统应提供可用性保证,以确保用户可以访问数据并且数据可访问。 从安全角度,用户应该在允许的访问范围内操作,并且数据必须可信。 安全控制应该阻止不良行为者,但不应阻止合法用户访问系统和数据。
详细了解如何在 Azure 架构完善的框架中设计以保护可用性 。
维持和改进您的安全状况
| 包括持续改进并保持警惕,以领先于不断改进攻击策略的攻击者。 |
|---|
您的安全状况不得随着时间的推移而恶化。 您必须不断改进安全运营,以便更有效地处理新的中断。 旨在使改进与行业标准定义的阶段相对齐。 这样做可以更好地做好准备,更快地检测事件,并有效地遏制和缓解。 持续改进应基于从过去事件中吸取的经验教训。
详细了解如何在 Azure Well-Architected Framework 中维持和发展安全状况 。