改善登陸區域安全性
當裝載工作負載或登陸區域需要存取任何敏感數據或重要系統時,請務必保護數據和資產。
安全
當您結束就緒狀態時,您必須持續負責維護環境的安全性。 雲端安全性也是增量程式,而不只是靜態目的地。 在設想安全性結束狀態時,著重於目標和關鍵結果。 將概念、架構和標準對應至 CAF 安全方法 中的專業領域,以及對應至人類專業領域的角色和責任。 安全方法提供指引。
以下提供此指引的概觀,其中包含詳細數據的連結。
風險深入解析
商務營運有安全性風險。 安全性小組應藉由了解業務並使用安全性做法來辨識哪些風險來適當規劃和採取行動,通知決策者安全性風險如何納入其架構。
- 網路安全性風險:人為攻擊者嘗試竊取貨幣、內部資訊或技術而造成的所有潛在損害或破壞。
- 配合您的安全性風險管理:投資橋接網路安全性和組織領導,以使用商務易懂的術語來說明安全性威脅,主動聆聽並傳達給整個企業中的所有人員。
- 瞭解網路安全性風險:瞭解人類攻擊者竊取金錢、資訊或技術的動機和行為模式,並找出不同類型的攻擊的潛在影響。
安全性整合
請確定安全性是組織關注的問題,且不會孤立到單一群組中。 安全性整合 提供如何將安全性整合到每個人角色,同時將商務程式摩擦降至最低的指引。 特定指引包括:
- 正規化關係:確保所有小組都與安全性小組整合,並共同瞭解安全性目標。 此外,請努力尋找正確的安全性控件層級,確保控件不會超過商業價值。
- 與 IT 和商務作業整合:平衡安全性更新的實作,並對應所有安全性程式如何影響目前商務影響,以及未來潛在的安全性風險。
- 整合安全性小組:藉由響應主動威脅,並藉由將安全性練習為動態專業領域,持續改善組織的安全性狀態,以避免在孤島中運作。
企業復原性
雖然組織永遠無法擁有完美的安全性,但仍有商務復原的務實方法,可在事件之前、期間和之後投資安全性風險的完整生命週期。
- 復原目標:專注於讓您的企業能夠快速創新、限制影響,並始終尋求安全的方式採用技術。
- 安全性復原並假設外洩:假設入侵或入侵遵循 零信任 的主要原則,並練習務實的安全性行為,以防止攻擊、限制損害,並快速從中復原。
存取控制
- 從安全性周邊到 零信任:採用訪問控制的 零信任 方法,以在雲端工作和使用新技術時建立和改善安全性保證。
- 新式訪問控制:建立全面、一致且具彈性的訪問控制策略。 超越多個工作負載、雲端和各種商務敏感度層級的單一策略或技術。
- 已知、受信任、允許:遵循動態的三個步驟程式,以確保已知的驗證、信任使用者或裝置,以及允許應用程式、服務或數據的適當許可權。
- 數據驅動存取決策:從使用者和裝置上的多樣化數據做出明智的決策,以完成明確的驗證。
- 分割:個別保護:建立界限做為內部環境的個別區段,以包含成功攻擊的損害。
- 隔離:避免防火牆並忘記:針對由人員、程序和技術組成的業務關鍵資產設計極端形式的分割。
安全性作業
藉由降低風險、快速響應和復原來建立安全性作業,以保護組織並遵循 DevOps 程式的安全性專業領域。
- 人員與程式:建立一種文化,讓具有工具的人員成為您最有價值的資產,並透過在鑑識調查角色中具有強大背景的非技術人員,使其成為您最有價值的資產,並使其思維組合多樣化。
- 安全性作業模型:專注於事件管理、事件準備和威脅情報的結果。 委派子小組之間的結果,以分級、調查和搜捕大量和複雜的事件。
- SecOps 商務接觸點:與業務領導互動,以通知重大事件並判斷重要系統的影響。 持續聯合實踐回應,以減少組織風險。
- SecOps 現代化:遵循涉及平臺涵蓋範圍、以身分識別為中心的安全性、IoT 和 OT 裝置,以及雲端相關遙測的趨勢來發展安全性作業。
資產保護
藉由實作每個資產類型唯一的安全性控制,來保護業務關鍵 資產,包括所有實體和虛擬專案。 一致地執行預防性和偵測保護,以符合原則、標準和架構。
- 安全:將目前控件套用至棕色地帶資產並確保綠地資產設定為最新的標準,以提升組織最新安全性標準和原則的資源。
- 保持安全:在業務、技術和安全性需求快速變更時,練習持續雲端改進並規劃升級或淘汰生命週期終止軟體。
- 開始使用:首先專注於已知的雲端資源,並使用已知的廠商/產業基準來保護您的資產。
- 重要資訊:使用責任和負責任小組的重要元素來管理全企業資產,例如雲端彈性工作負載需求和設計控件,以識別最佳做法。 衡量資產保護的商業價值,並偏向自動化原則,以避免成本和手動重複。
安全性治理
使用業務目標和風險來判斷安全性的最佳方向,透過安全性控管執行監督和監視,以持續改善安全性狀態。
- 合規性和報告:讓外部和內部安全策略都符合指定產業中的強制需求。
- 架構和標準:建立整個企業資產的統一檢視,因為大多數企業都是包含內部部署和雲端資源的混合式環境。
- 安全性狀態管理:規劃治理以監視安全性標準、提供指引,以及改善程式。 透過原則和持續改善來推動治理,以保持靈活度。
- 治理和保護專業領域:套用安全性控制並提供意見反應,以找出最佳的解決方案。
- 治理和安全性作業:確定從事件學到的教訓已整合到安全性作業和治理中。
創新安全性
隨著新應用程式隨著創新安全性而開發,保護創新流程和數據不受網路攻擊影響。
- DevSecOps:將安全性整合到 DevOps 中已結合的開發與作業程式,以降低創新程式中的風險。
- 依設計和向左移:在DevOps生命週期的所有階段涉及安全性,並讓小組與創新速度、可靠性和復原能力保持一致。
- 為何 DevSecOps:保護 DevOps 程式,以防止攻擊者利用組織內所有 IT 基礎結構中的弱點,進而保護您的客戶。
- DevSecOps 旅程:使用想法孵化和 DevOps 作為兩階段程式,就像大多數組織一樣。 識別 MVP(最低可行產品)需求、使用領導技術來解決小組衝突,以及整合現有流程和工具的安全性。
- 流覽旅程的秘訣:當您轉換安全性時,整個旅程都會面臨共同的挑戰,包括教育、時間、資源,以及IT作業的整體轉變本質。
DevSecOps 控制項
在進行 DevSecOps控制時,將安全性新增至持續整合和持續傳遞的每個階段(CI/CD)。
- 保護設計:將安全性帶入新式開發方法中的規劃階段,以實作威脅模型化、IDE 安全性外掛程式/預先認可,以及對等檢閱。
- 保護程式代碼:評估並實作集中式存放庫的弱點掃描功能,以探索風險並執行補救。
- 保護管線:針對建置和部署安全程式碼的程式,使用建置和發行管線進行自動化和標準化,而不需要花費大量時間重新部署或升級現有的環境。
- 安全作業:在解決方案帶入生產環境時,監督和管理安全性狀態。 使用基礎結構掃描工具和滲透測試做法,讓小組能夠找出要解決的風險和弱點。
測試驅動開發週期
開始任何安全性改進之前,請務必瞭解「完成的定義」和所有「接受準則」。如需詳細資訊,請參閱 Azure 中登陸區域與測試驅動開發的測試驅動開發文章。
下一步
瞭解如何 改善登陸區域作業 以支援重要應用程式。