Microsoft 网络安全参考体系结构和云安全基准简介
本模块介绍网络安全功能和控制措施的最佳做法,这些做法对于降低攻击者成功的风险至关重要。
学习目标
在本模块中,你将了解如何:
- 使用 Microsoft 网络安全参考体系结构 (MCRA) 设计更安全的解决方案。
- 使用 Microsoft 云安全基准 (MCSB) 设计更安全的解决方案。
本模块中的内容可帮助你为“认证考试 SC-100:Microsoft 网络安全架构师”做好准备。
先决条件
- 具有安全策略、要求、零信任体系结构和混合环境管理的概念性知识
- 具有使用零信任策略、应用安全策略以及根据业务目标开发安全要求方面的工作经验
MCRA 概述
Microsoft 网络安全参考体系结构 (MCRA) 是一组描述 Microsoft 的网络安全功能的技术关系图。 这些关系图描述了 Microsoft 安全功能如何与以下内容集成:
- Microsoft 365 和 Microsoft Azure 等 Microsoft 平台
- ServiceNow 和 Salesforce 等第三方应用
- Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 等第三方平台
MCRA 包含有关以下主题的关系图:
- Microsoft 网络安全功能
- 零信任和零信任快速现代化计划 (RaMP)
- 零信任用户访问
- 安全操作
- 操作技术 (OT)
- 多云和跨平台功能
- 攻击链覆盖范围
- Azure 本机安全控制措施
- 安全组织职能
MCSB 概述
Azure 和其他云平台中每天都会发布新的服务和功能。 开发人员很快就会发布在这些服务上构建的新云应用程序,而攻击者也会不断寻找新方法来攻击配置有误的资源。 云的移动速度快,开发人员的移动速度快,攻击者的移动速度也快。 你如何跟上形势并确保云部署的安全? 云系统的安全做法与本地系统有何不同,云服务提供商之间有何不同? 如何跨多个云平台监视工作负载的一致性?
Microsoft 已经发现,使用安全基准可以帮助你快速保护云部署。 在云环境中,当你在多个服务提供商间选择特定安全配置设置时,云服务提供商提供的全面安全最佳做法框架可以作为你的起点,并让你能通过单个平台监视这些配置。
安全控件
控制是对需要实现的功能或活动的概要说明。 控制并非特定于某种技术或实现。 安全控制建议适用于多个云工作负载。 每项控制都有编号,控制的建议会列出通常参与基准的计划、审批或实施的利益干系人。
MCSB 控制域/控制系列
在 MCSB 中,控制分组为“系列”或“域”。 下表汇总了 MCSB 中的安全控制域:
| 控制域 | 说明 |
|---|---|
| 网络安全性 (NS) | 网络安全涵盖用于保护网络的控制措施,包括保护虚拟网络、建立专用连接、阻止和减少外部攻击以及保护 DNS。 |
| 标识管理 (IM) | 标识管理包括用于使用身份和访问管理系统建立安全身份验证和访问控制的控制措施,其中包括使用单一登录、强身份验证、用于应用程序的托管标识(和服务主体)、条件访问和帐户异常监视。 |
| 特权访问 (PA) | 特权访问包括用于保护对你的租户和资源的特权访问的控制措施,其中包括一系列用于避免管理模型、管理帐户和特权访问工作站面临有意和无意的风险的控制措施。 |
| 数据保护 (DP) | 数据保护涵盖用于静态数据保护、传输中的数据保护以及通过授权访问机制实现的数据保护的控制措施,包括使用访问控制、加密、密钥管理和证书管理发现、分类、保护和监视敏感数据资产。 |
| 资产管理 (AM) | 资产管理涵盖用于确保资源安全可见性和治理的控制措施。 其中包括以下几方面的建议:安全人员的权限、对资产清单的安全访问,以及管理对服务和资源的审批(盘点、跟踪和更正)。 |
| 日志记录和威胁检测 (LT) | 日志记录和威胁检测涵盖用于检测云上的威胁以及为云服务启用、收集和存储审核日志的控制措施,包括允许使用通过云服务中的本机威胁检测生成高质量警报的控制措施来检测、调查和修正过程;它还包括通过云监视服务收集日志,通过 SEM、时间同步和日志保留进行集中安全分析。 |
| 事件响应 (IR) | 事件响应涵盖对事件响应生命周期(准备、检测和分析、包含以及事后活动)的控制措施,包括使用 Azure 服务(例如 Microsoft Defender for Cloud 和 Sentinel)和/或其他云服务以自动执行事件响应过程。 |
| 态势和漏洞管理 (PV) | 状况和漏洞管理侧重于评估和改进云安全状况的控制措施,包括漏洞扫描、渗透测试和修正,以及云资源中的安全配置跟踪、报告和更正。 |
| 终结点安全性 (ES) | 终结点安全性涵盖对终结点检测和响应的控制措施,包括在云环境中对终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。 |
| 备份和恢复 (BR) | “备份和恢复”涵盖用于确保在不同服务层执行、验证和保护数据和配置备份的控制措施。 |
| DevOps 安全性 (DS) | DevOps 安全性涵盖 DevOps 过程中与安全工程和运营相关的控制,包括在部署阶段之前部署关键安全检查(如静态应用安全测试、漏洞管理),以确保整个 DevOps 流程的安全;它还包括常见主题,例如威胁建模和软件供应安全。 |
| 治理和策略 (GS) | “治理和策略”提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括建立适用于不同云安全功能的角色和责任、统一的技术策略以及支持策略和标准。 |
服务基线
安全基线是 Azure 产品/服务的标准化文档,介绍了可用的安全功能和最佳安全配置,可帮助你通过改进后的工具、跟踪和安全功能来增强安全性。 目前,我们的服务基线仅适用于 Azure。
Azure 安全基线侧重于 Azure 环境中以云为中心的控制区域。 这些控制措施符合众所周知的行业标准,例如:Center for Internet Security (CIS) 或美国国家标准与技术研究院 (NIST)。 我们的基线针对 Microsoft 云安全基准 v1 中列出的控制区域提供相关指导。
每个基线包括以下组成部分:
- 服务的行为如何?
- 哪些安全功能可用?
- 建议使用哪些配置来保护服务?
实施 Microsoft 云安全基准
- 计划 MCSB 的实施,具体方法是:查看企业控制措施和特定于服务的基线文档,计划控制框架以及它如何与 Center for Internet Security (CIS) 控制、美国国家标准与技术研究院 (NIST) 和支付卡行业数据安全标准 (PCI-DSS) 框架等指导相对应。
- 使用 Microsoft Defender for Cloud 多云环境法规符合性仪表板监视 MCSB 状态(和其他控制集)的合规情况。
- 使用 Azure 蓝图、Azure Policy 等功能或来自其他云平台的等效技术建立防护机制,以自动进行安全配置并强制遵守 MCSB(和组织中的其他要求)。
常见用例
Microsoft 云安全基准经常可用于为以下类型的客户或服务合作伙伴解决这些常见难题:
- 是 Azure(和其他主要云平台,如 AWS)的新客户,正在寻找安全最佳做法,以确保安全部署云服务和自己的应用程序工作负载。
- 希望改善现有云部署的安全态势,以优先处理级别最高的风险并采取缓解措施。
- 使用多云环境(如 Azure 和 AWS),在使用单一管理平台协调安全控制监视和评估方面面临挑战。
- 评估 Azure(和其他主要云平台,如 AWS)的安全特征/功能,然后再将服务载入/批准到云服务目录中。
- 必须满足政府、金融和医疗保健等受管制程度较高行业的合规要求。 这些客户需要确保其 Azure 和其他云的服务配置符合 CIS、NIST 或 PCI 等框架中定义的安全规范。 MCSB 提供了一种高效的方法,其控制要求已预先映射到了这些行业基准。
术语
Microsoft 云安全基准文档中经常使用术语“控制”和“基线”。 了解 MCSB 如何使用这些术语很重要。
| 术语 | 说明 | 示例 |
|---|---|---|
| 控制 | 控制是对需要实现的功能或活动的概要说明,并非特定于某种技术或实现。 | 数据保护是一个安全控制系列。 数据保护包含为了帮助确保数据受到保护而必须采取的具体措施。 |
| 基线 | 基线指各项 Azure 服务上的控制实施。 每个组织决定基准建议,Azure 中需要有相应的配置。 注意:目前,我们的服务基线仅适用于 Azure。 | Contoso 公司希望通过遵循 Azure SQL 安全基线中推荐的配置来启用 Azure SQL 安全功能。 |