共用方式為

規劃安全的雲端採用

  • 發行項

開發雲端採用方案可能很困難,而且通常有許多技術挑戰。 您必須仔細規劃雲端採用程式的每個步驟,特別是當您更新雲端基礎結構的舊版工作負載時。 若要從頭開始建置安全的雲端資產,您需要將安全性考慮整合到採用方案的每個階段。 此方法可協助確保新的雲端環境從一開始就安全無虞。

當您決定移轉或實作時,請針對您企業可行的最高安全性策略立場進行設計。 當您開始設計時,將安全性優先於效能和成本效益。 此方法可確保您不會帶來稍後可能需要重新設計工作負載的風險。 本文中提供的指引可協助您開發雲端採用方案,其安全性是基本原則。

顯示雲端採用相關方法的圖表。圖表包含每個階段的方塊:小組和角色、策略、計劃、就緒、採用、治理和管理。本文的方塊會反白顯示。

本文是計劃方法的支援指南。 它提供安全性優化領域,讓您在旅程中經歷該階段時考慮。

規劃登陸區域採用

若要建置您的雲端資產基礎元素,請使用 登陸區域 方法。 這項建議特別適用於企業和大型組織。 較小的組織和初創公司可能無法受益於在雲端旅程開始時採用這種方法。 不過,請務必瞭解 設計區域 ,因為您需要在雲端採用方案中納入這些區域,即使您未建立完整的登陸區域也一樣。

您可以使用 Azure 登陸區域方法來為您的雲端資產建立堅實的基礎。 此基礎可協助確保您可以根據最佳做法更有效率地保護可管理的環境。

  • 登陸區域: 登陸區域是雲端中預先設定、增強安全性、可調整的環境,可作為工作負載的基礎。 它包含網路拓撲、身分識別管理、安全性和治理元件。

  • 優點: 登陸區域可協助您標準化雲端環境。 這種方法有助於確保安全策略的一致性和合規性。 此外,它們可簡化管理和延展性。

安全性狀態現代化

當您開發安全性現代化計劃時,請務必專注於採用新技術和操作做法。 同樣重要的是,您將這些安全性措施與您的商務目標保持一致。

規劃採用 零信任

當您開發採用計劃時,請納入整個計劃 零信任 原則,以協助整個組織小組負責的階段和步驟,以及他們如何完成其活動。

Microsoft 零信任 方法提供七個技術支柱的指引,包括部署和設定建議。 當您建置計劃時,請探索每個支柱,以協助確保這些區域的完整涵蓋範圍。

零信任 技術支柱

  • 身分識別: 以最低許可權原則驗證身分識別並控制存取權的指引。

  • 端點:保護所有端點的指引,包括與您的數據互動的裝置和應用程式。 無論端點從何處連線,以及端點連線的方式為何,都適用本指南。

  • 數據 使用深度防禦方法來保護所有數據的指引。

  • 應用程式 保護您取用之雲端應用程式和服務的指引。

  • 基礎結構 透過嚴格的原則和強制執行策略來保護雲端基礎結構的指引。

  • 網路 透過分割、流量檢查和端對端加密來保護雲端網路的指引。

  • 可見度、自動化和協調流程可協助強制執行 零信任 原則的操作原則和做法指引。

業務一致性

技術與業務項目關係人之間的一致性,對於安全性現代化計劃的成功至關重要。 您必須以共同作業程式的方式規劃開發,並與專案關係人協商,以找出調整流程和原則的最佳方式。 商務項目關係人必須瞭解現代化計劃如何影響商務功能。 技術項目關係人必須知道在何處做出讓步,以確保重要的商務功能安全且完好無損。

事件準備和回應

  • 規劃準備:藉由評估 弱點管理 解決方案、威脅和事件偵測系統,以及健全的基礎結構監視解決方案,規劃事件準備。 規劃基礎結構強化以減少受攻擊面。

  • 規劃事件回應: 建置健全的事件回應計劃,以協助確保雲端安全性。 在 [計劃] 階段中,藉由識別角色和關鍵階段,例如調查、風險降低和通訊,開始起草事件響應計劃。 當您建立雲端資產時,您將新增這些角色和階段的相關詳細數據。

規劃機密性

  • 數據外洩防護: 若要在整個企業中建立組織數據機密性,請精心規劃特定的數據外泄防護原則和程式。 此程式包括識別敏感數據、判斷如何保護數據,以及規劃部署加密技術和保護訪問控制。

  • 在您的雲端移轉或開發計劃中納入數據保護需求:

    • 數據分類: 根據敏感度和法規需求來識別和分類數據。 此程式可協助您套用適當的安全性措施。

    • 加密: 確定待用和傳輸中的數據已加密。 使用強式加密標準來保護敏感性資訊。

    • 訪問控制: 實作嚴格的訪問控制,協助確保只有授權的使用者才能存取敏感數據。 使用多重要素驗證和角色型訪問控制。 遵循 零信任的原則,並明確驗證,一律根據所有可用的數據點進行驗證和授權。 這些數據點包括使用者身分識別、位置、裝置健康情況、服務或工作負載、數據分類和異常。

規劃完整性

除了建議的機密性措施之外,請考慮實作特定的數據和系統完整性量值。

  • 規劃數據和系統完整性可檢視性和控管: 在您的雲端採用或開發計劃中,包含監視數據與系統以進行未經授權的變更和數據衛生原則的計劃。

  • 規劃完整性事件: 在您的事件回應計劃中,包含完整性的考慮。 這些考慮應解決數據或系統的未經授權變更,以及如何補救透過監視和數據衛生做法探索到的無效或損毀數據。

規劃可用性

您的雲端採用方案應採用架構設計和作業的標準來解決可用性。 這些標準會引導實作和未來的階段,並提供如何達成可用性需求的藍圖。 當您建置雲端採用方案時,請考慮下列建議:

  • 標準化基礎結構和應用程式設計模式: 標準化基礎結構和應用程式設計模式,以協助確保您的工作負載可靠。 避免不必要的複雜度,使設計可重複,並避免影子IT行為。 在您定義設計標準時 ,請遵循高可用性基礎結構彈性應用程式的 最佳做法。

  • 標準化開發工具和做法:為您的開發工具和做法開發定義完善的可執行標準。 此方法可協助確保您的部署遵守 CIA Triad 的原則,並納入安全部署的最佳做法

  • 標準化操作工具和做法: 根據妥善定義且嚴格執行的標準,讓操作員遵循這些標準,以維護機密性、完整性和可用性。 請一致遵循標準並定期訓練,讓您的系統能夠復原攻擊,並可有效率地回應事件。

規劃安全性維持

針對安全性狀態的長期持續,請採用整個組織持續改善的心態。 這種方法不僅包括遵守日常做法中的作業標準,也積極尋求增強的機會。 定期檢閱您的標準和原則,並實作培養持續改進思維的訓練計劃。

若要規劃安全性基準,您必須先瞭解您目前的安全性狀態,才能建立基準。 使用自動化工具,例如 Microsoft安全分數 ,快速建立您的基準,並深入瞭解改進領域。

後續步驟

準備您的安全雲端資產