設計區域:安全性
此設計區域會在您的 Azure、混合式和多重雲端環境中建立安全性的基礎。 您可以稍後使用雲端採用架構的安全方法中概述的安全性指導來增強此基礎。
設計領域檢閱
涉及的角色或職能:此設計區域是由雲端安全性主導,特別是該小組中的安全性結構設計師。 需要雲端平台和卓越雲端中心,才能檢閱網路與身分識別決策。 集體角色可能需要定義和實作此練習的技術需求。 更進階的安全性護欄也可能需要雲端控管的支援。
範圍:此練習的目標是要了解安全性需求,並一致地在雲端平台的所有工作負載中實作這些需求。 本練習的主要範圍著重於安全性作業工具和存取控制。 此範圍包括 零信任和進階網路安全性。
超出範圍:此練習著重於雲端中現代化安全性作業中心的基礎。 為簡化對話,此練習不會解決 CAF 安全方法中的部分專業領域。 安全性作業、資產保護和創新安全性將會以您的 Azure 登陸區域部署為建置基礎。 不過,其不在此設計領域討論的範圍內。
設計領域概觀
在每個環境中,安全性是所有客戶的核心考量。 當您設計和實作 Azure 登陸區域時,安全性應該是整個程序的考量。
安全性設計區域著重於登陸區域決策的考量和建議。 雲端採用架構中的安全方法,也針對整體安全性程序和工具提供深入的指導。
新的 (綠地) 雲端環境:若要使用一小組訂用帳戶來啟動雲端旅程圖,請參閱建立您的初始 Azure 訂用帳戶。 此外,請考慮在建置 Azure 登陸區域時使用 Bicep 部署範本。 如需詳細資訊,請參閱 Azure 登陸區域 Bicep - 部署流程。
現有 (棕地) 雲端環境:如果您想要將安全性設計區域的原則套用至現有的 Azure 環境,請考慮使用下列 Microsoft Entra 身分識別和存取服務:
- 部署 Microsoft Entra Connect 雲端同步,為您的本機 Active Directory Domain Services (AD DS) 使用者提供對 Microsoft Entra ID 支援應用程式的安全單一登入 (SSO)。 設定混合式身分識別的另一個優點是您可以強制執行 Microsoft Entra 多重要素驗證 (MFA) 和 Microsoft Entra 密碼保護 ,以進一步保護這些身分識別
- 請考慮使用 Microsoft Entra 條件式存取,為您的雲端應用程式和 Azure 資源提供安全的驗證。
- 實作 Microsoft Entra Privileged Identity Management,以確保整個 Azure 環境中的最低權限存取和深入報告。 Teams 應該開始週期性存取權檢閱,以確保正確的人員和服務原則具有目前且正確的授權等級。
- 使用適用於雲端的 Microsoft Defender 建議、警示和補救功能。 如果您的安全性小組需要更強固、集中管理的混合式和多重雲端安全性資訊事件管理 (SIEM)/安全性協調與回應 (SOAR) 解決方案,您的安全性小組也可以將適用於雲端的 Microsoft Defender 整合到 Microsoft Sentinel。
Azure 登陸區域 Bicep - 部署流程存放庫包含數個 Bicep 部署範本,可加速您的綠地和棕地 Azure 登陸區域部署。 這些範本已整合 Microsoft 經實證做法的安全性指導。
如需在棕地雲端環境中工作的詳細資訊,請參閱棕地環境考量。
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準包含高影響力的安全性建議,可協助保護您在 Azure 中使用的大部分服務。 您可以將這些建議視為一般性或組織性,因為其適用於大部分的 Azure 服務。 接著會針對每個 Azure 服務自訂 Microsoft 雲端安全性基準建議。 此自訂指導包含在服務建議文章中。
Microsoft 雲端安全性基準文件會指定安全性控制項和服務建議。
- 安全性控制項:Microsoft 雲端安全性基準建議會依安全性控制項進行分類。 安全性控制項代表與廠商無關的高階安全性需求,例如網路安全性和資料保護。 每個安全性控制項都有一組安全性建議,其中包含可協助您實作這些建議的指示。
- 服務建議:如果有的話,適用於 Azure 服務的基準建議會包含專為該服務量身打造的 Microsoft 雲端安全性基準建議。
Azure 證明
Azure 證明 是一種工具,可協助您確保平臺和二進位檔的安全性與完整性,並在其中執行。 它特別適用於需要高度可調整計算資源且不損害對遠程證明功能的信任的企業。
安全性設計考量
組織必須可以對其技術雲端資產中的情況有可見性。 Azure 平台服務的安全性監視和稽核記錄是可擴充架構的重要元件。
安全性作業設計考量
範圍 | 上下文 |
---|---|
安全性警示 | - 哪些小組需要安全性警示的通知? - 是否有某組服務需要路由傳送至不同的小組? - 即時監視和警示的商務需求。 - 安全性資訊與事件管理與適用於雲端的 Microsoft Defender 和 Microsoft Sentinel 整合。 |
安全性記錄 | - 稽核資料的資料保留期間。 Microsoft Entra ID P1 或 P2 報告有 30 天的保留期間。 - 長期封存記錄檔,例如 Azure 活動記錄、虛擬機器 (VM) 記錄,以及平台即服務 (PaaS) 記錄。 |
安全性控制項 | - 透過 Azure 客體內 VM 原則來設定安全性的基準。 - 考慮安全性控制項如何與控管護欄一致。 |
弱點管理 | - 重大弱點的緊急修補。 - 修補長時間離線的 VM。 - VM 的弱點評量。 |
共同責任 | - 小組責任的遞交在何處? 在監視或回應安全性事件時,需要考量這些責任。 - 考慮安全性作業安全方法中的指引。 |
加密與金鑰 | - 誰需要存取環境中的金鑰? - 誰將負責管理金鑰? - 進一步探索加密金鑰。 |
證明 | - 您是否要使用 VM 的信任啟動,是否需要證明 VM 的完整開機鏈結 (UEFI、OS、系統和驅動程式)? - 您要利用機密 VM 的機密磁碟加密嗎? - 您的工作負載是否需要證明它們正在信任的環境中執行? |
安全性作業設計建議
使用 Microsoft Entra 報告功能來產生存取控制稽核報告。
將 Azure 活動記錄匯出至 Azure 監視器記錄以進行長期資料保留。 視需要匯出至 Azure 儲存體,以進行超過兩年的長期儲存。
針對所有訂用帳戶啟用適用於雲端的 Defender 標準,並且使用 Azure 原則來確保合規性。
透過 Azure 監視器記錄和適用於雲端的 Microsoft Defender 監視基本作業系統修補漂移。
使用 Azure 原則,透過 VM 延伸模組自動部署軟體設定,並強制執行相容的基準 VM 設定。
透過 Azure 原則監視 VM 安全性設定漂移。
將預設資源設定連線到集中式 Azure 監視器 Log Analytics 工作區。
使用以 Azure 事件方格為基礎的解決方案進行記錄導向的即時警示。
使用 Azure 證明 來證明:
- VM 之整個開機鏈結的完整性。 如需詳細資訊,請參閱 開機完整性監視概觀。
- 安全發行機密 VM 的機密磁碟加密金鑰。 如需詳細資訊,請參閱 機密 OS 磁碟加密。
- 各種類型的工作負載信任執行環境。 如需詳細資訊,請參閱 使用案例。
存取控制設計考量
新式安全性界限比傳統資料中心的界限更為複雜。 資料中心的四面牆不再包含您的資產。 讓使用者離開受保護的網路已不足以控制存取。 在雲端中,您的周邊由兩個部分組成:網路安全性控制和 零信任 訪問控制。
進階網路安全性
範圍 | 上下文 |
---|---|
規劃輸入與輸出網際網路連線 | 描述往返公用網際網路的輸入和輸出連線的建議連線模型。 |
規劃登陸區域網路分割 | 探索在登陸區域內提供高度安全內部網路分割的重要建議。 這些建議會推動網路零信任實作. |
定義網路加密需求 | 探索主要建議,以在內部部署與 Azure 之間以及跨 Azure 區域實現網路加密。 |
規劃流量檢查 | 探索在 Azure 虛擬網路內鏡像或點選流量的主要考量和建議方法。 |
零信任
若要使用身分識別 零信任 存取,您應該考慮:
- 哪些小組或個人需要存取登陸區域內的服務? 他們擔任什麼角色?
- 誰應該授權存取要求?
- 誰應該在特殊權限角色啟用時收到通知?
- 誰應該有權存取稽核歷程記錄?
如需詳細資訊,請參閱 Microsoft Entra Privileged Identity Management。
實作 零信任 可以超越身分識別和存取管理。 您應該考慮您的組織是否需要跨多個要素實作 零信任 做法,例如基礎結構、數據和網路功能。 如需詳細資訊,請參閱在登陸區域中納入 零信任 做法
存取控制設計建議
在您的基礎需求內容中,對每個必要服務進行聯合檢查。 如果您想要攜帶自己的金鑰,並非所有已考量的服務都支援。 實作相關的緩和措施,讓不一致不會阻礙想要的結果。 選擇適當的區域配對和災害復原區域,以將延遲降到最低。
開發安全性允許清單計劃,以評估安全性設定、監視和警示等服務。 然後建立計劃以將其與現有的系統整合。
將 Azure 服務移至生產環境之前,先判斷 Azure 服務的事件回應計劃。
讓您的安全性需求與 Azure 平台藍圖保持一致,以維持在新發行安全性控制項的最新狀態。
適用時對 Azure 平台實作零信任存取方法。
Azure 登陸區域加速器中的安全性
安全性是 Azure 登陸區域加速器的核心。 在實作期間,會部署許多工具和控制,以協助組織快速達成安全性基準。
例如,包含下列各項:
工具:
- 適用於雲端的 Microsoft Defender,標準或免費層
- Microsoft Sentinel
- Azure DDoS 網路保護 (選擇性)
- Azure 防火牆
- Web Application Firewall (WAF)
- Privileged Identity Management (PIM)
線上和與公司連線登陸區域的原則:
- 對儲存體帳戶強制執行安全存取,例如 HTTPS
- 針對 Azure SQL Database 強制稽核
- 針對 Azure SQL Database 強制加密
- 防止 IP 轉送
- 防止來自網際網路的輸入 RDP
- 確保子網路與 NSG 相關聯
下一步
瞭解如何在 Microsoft Entra 識別符中保護混合式和雲端部署的特殊許可權存取。