共用方式為

安全地控管雲端資產

  • 發行項

安全性治理會將您的商務優先順序與技術實作連線,例如架構、標準和原則。 治理小組可提供監督和監視,以長期維持和改善安全性態勢。 這些小組也會報告法規機構所需的合規性。

此圖顯示安全性治理的主要元件,包括風險管理、合規性、原則強制執行和持續監視。

商務目標和風險 提供最有效的安全性指引。 此方法可確保安全性工作著重於組織的主要優先順序。 此外,它會在風險管理架構中使用熟悉的語言和程式,協助風險擁有者。

顯示雲端採用相關方法的圖表。圖表包含每個階段的方塊:小組和角色、策略、計劃、就緒、採用、治理和管理。本文的方塊會反白顯示。

本文是治理方法的支援指南。 它提供安全性優化領域,讓您在旅程中經歷該階段時考慮。

安全性狀態現代化

僅使用問題報告並不是維護安全性狀態的有效策略。 在雲端時代,治理需要持續與其他小組共同作業的作用中方法。 安全性狀態管理是新興且必要的功能。 此角色可解決環境安全性的關鍵問題。 它包含重要領域,例如 弱點管理和安全性合規性報告。

在內部部署環境中,安全性治理仰賴有關環境的定期數據。 這種方法通常會導致過時的資訊。 雲端技術透過提供目前安全性狀態和資產涵蓋範圍的隨選可見度來徹底改變此程式。 此即時深入解析會將治理轉換成更動態的組織。 它可與其他安全性小組加強共同作業,以監視安全性標準、提供指引,以及增強程式。

在理想狀態中,治理會推動整個組織的持續改進。 此進行中的程式會讓組織的所有部分參與,以確保持續的安全性進步。

以下是安全性治理的重要原則:

  • 持續探索資產和資產類型: 動態雲端環境中無法進行靜態清查。 您的組織必須專注於資產和資產類型的持續探索。 在雲端中,會定期新增新類型的服務。 工作負載擁有者會視需要動態調整應用程式和服務實例的數目,以建立不斷變更的環境。 這種情況使得庫存管理成為不斷演變的專業領域。 治理小組必須持續識別資產類型和實例,才能跟上這項變更的步調。

  • 持續改善資產安全性狀態: 治理小組應專注於改善並強制執行標準,以跟上雲端和攻擊者。 資訊技術 (IT) 組織必須對新的威脅快速做出反應,並據以調整。 攻擊者會持續發展其技術,而防禦會持續改善,而且可能需要更新。 您無法在初始設定中一律納入所有必要的安全性措施。

  • 原則導向治理: 此治理可確保一致的實作,因為您定義原則一次,並自動跨資源套用原則。 此程式會限制重複手動工作的浪費時間和精力。 通常會使用 Azure 原則 或非Microsoft原則自動化架構來實作。

為了維持靈活度,最佳做法指引通常是反覆的。 它摘要來自多個來源的小資訊,以建立整個圖片,並不斷做出小調整。

Azure 促進

  • 適用於雲端的 Microsoft Defender 可協助您透過自動數據收集布建,持續探索及自動管理環境中的虛擬機。

  • 適用於雲端的 Microsoft Defender 應用程式可協助您持續探索及控管第一方和非Microsoft軟體做為環境中使用的服務應用程式。

事件準備和回應

安全性控管對於維護備妥至關重要。 為了嚴格執行標準,健全的治理機制和做法必須支持準備和響應機制和作業做法的實作。 請考慮下列建議,以協助控管事件準備和響應標準:

事件準備治理

  • 自動化治理: 使用工具盡可能自動化治理。 您可以使用工具來管理基礎結構部署的原則、實作強化措施、保護數據,以及維護身分識別和存取管理標準。 藉由自動化這些安全性措施的治理,您可以確保環境中的所有資源都符合您自己的安全性標準,以及您企業所需的所有合規性架構。 如需詳細資訊,請參閱 強制執行雲端治理原則

  • 遵循來自Microsoft的安全性基準: 瞭解雲端資產中服務Microsoft的安全性建議,這些服務可作為 安全性基準。 這些基準可協助您確保現有的部署受到適當保護,以及從頭開始正確設定新的部署。 此方法可降低設定錯誤的風險。

事件回應治理

  • 事件回應計劃的治理: 事件回應計劃應與您的資產中的其他重要檔相同。 您的事件回應計劃應該是:

    • 版本控制,以確保小組正在關閉最新版本,而且可以稽核版本控制。

    • 儲存在高可用性且安全的記憶體中。

    • 定期檢閱,並在環境需要變更時加以更新。

  • 事件回應訓練的治理: 事件響應的訓練教材應以版本控制,以便進行稽核,並確保在任何指定時間使用最新版本。 當事件回應計劃的更新進行更新時,也應該定期檢閱它們並加以更新。

Azure 促進

  • Azure 原則 是一種原則管理解決方案,可用來協助強制執行組織標準,並大規模評估合規性。 若要將許多 Azure 服務的原則強制執行自動化,請利用 內建原則定義

  • 適用於雲端的 Defender 提供安全策略,可自動符合您的安全性標準。

機密性治理

有效的治理對於維護企業雲端環境中的安全性和合規性至關重要。 治理包含原則、程式和控件,可確保數據安全且符合法規需求。 它提供決策、責任和持續改善的架構,對於保護敏感性資訊和維護信任至關重要。 這一框架對於維護中情局三合會的保密原則至關重要。 它可協助您確保敏感數據只能存取授權的用戶和進程。

  • 技術原則: 這些原則包括訪問控制原則、數據加密原則,以及數據遮罩或令牌化原則。 這些原則的目標是要透過嚴格的訪問控制和健全的加密方法來維護數據機密性,以建立安全的環境。

  • 書面原則: 書面原則可作為整個企業環境的控管架構。 他們會建立數據處理、存取和保護的需求和參數。 這些文件可確保整個組織的一致性和合規性,併為員工和IT人員提供明確的指導方針。 書面原則也可作為稽核和評量的參考點,有助於識別並解決安全性做法中的任何差距。

  • 數據外洩保護: 應持續監視和稽核數據外泄防護(DLP)措施,以確保持續遵守機密性需求。 此程式包括定期檢閱和更新 DLP 原則、進行安全性評估,以及回應任何可能危害數據機密性的事件。 以程序設計方式在整個組織中建立 DLP,以確保保護敏感數據的一致且可調整的方法。

監視合規性和強制執行方法

請務必監視合規性並強制執行原則,以維護企業雲端環境中的機密性原則。 這些動作對於健全的安全性標準至關重要。 這些程式可確保所有安全性措施一致地套用且有效,以協助保護敏感數據免於未經授權的存取和缺口。 定期評估、自動化監視和全面的訓練計劃對於確保遵守既定的原則和程序至關重要。

  • 定期稽核和評量: 定期進行安全性稽核和評量,以確保遵循原則並找出改進的領域。 這些稽核應涵蓋法規、產業和組織標準和需求,並可能涉及第三方評估人員提供不偏不倚的評估。 核准的評量和檢查計劃有助於維護高標準的安全性與合規性,並確保數據機密性的所有層面都會經過徹底的檢閱和解決。

  • 自動化合規性監視:例如 Azure 原則 自動監視安全策略的合規性,並提供即時深入解析和警示。 這項功能有助於確保持續遵守安全性標準。 自動化監視可協助您快速偵測及響應原則違規,進而降低數據外泄的風險。 它也會定期檢查已建立原則的組態和訪問控制,以確保持續合規性。

  • 訓練和認知計劃: 教育員工了解數據機密原則和最佳做法,以培養具有安全性意識的文化。 定期訓練課程和認知計劃可協助確保所有員工都瞭解其維護數據機密性的角色和責任。 這些計劃應定期更新,以反映原則和新興威脅的變更。 此策略可確保員工一律具備最新的知識和技能。

完整性治理

若要有效地維護完整性保護,您需要設計完善的治理策略。 此策略應確保記錄並強制執行所有原則和程式,並持續稽核所有系統的合規性。

先前一節中所述的指導方針也適用於完整性原則。 下列建議專屬於完整性:

  • 自動化數據品質治理: 請考慮使用現成的解決方案來管理您的數據。 使用預先建置的解決方案來減輕數據控管小組手動品質驗證的負擔。 此策略也會降低在驗證程式期間未經授權存取和變更數據的風險。

  • 自動化系統完整性治理: 請考慮使用集中式整合工具,將系統完整性治理自動化。 例如, Azure Arc 可讓您控管多個雲端、內部部署數據中心和邊緣網站的系統。 藉由使用這類系統,您可以簡化治理責任並降低作業負擔。

Azure 促進

  • Microsoft Purview 資料品質 可讓使用者使用無程式代碼/低程式代碼規則來評估數據品質,包括現用的 (OOB) 規則和 AI 產生的規則。 這些規則會套用在數據行層級,然後匯總以提供數據資產、數據產品和商務網域的分數。 此方法可確保每個網域的數據品質完整可見度。

可用性控管

您在雲端資產中標準化的架構設計需要治理,以確保它們不會偏離,而且您的可用性不會受到不符合規範的設計模式所危害。 同樣地,您的災害復原計劃也必須受到控管,以確保其維護良好。

可用性設計控管

  • 維護標準化的設計模式: 編纂並嚴格強制執行基礎結構和應用程式設計模式。 管理設計標準的維護,以確保它們保持最新狀態,並受到未經授權的存取或變更保護。 請以與其他原則相同的小心處理這些標準。 可能的話,請自動強制執行維護設計模式。 例如,您可以啟用原則來控制可以部署的資源類型,並指定允許部署的區域。

災害復原治理

  • 災害復原計劃的治理: 處理與事件回應計劃相同層級的災害復原計劃。 災害復原計劃應該是:

    • 版本控制,以確保小組一律使用最新版本,且可稽核版本控制以取得正確性和合規性。

    • 儲存在高可用性且安全的記憶體中。

    • 需要變更環境時,定期檢閱並更新。

  • 災害復原演練的治理: 災害復原演練不僅適用於計劃訓練,而且可作為改善計劃本身的學習機會。 它們也可以協助精簡作業或設計標準。 災害復原演練的細緻記錄有助於識別改善的領域,並確保符合災害準備的稽核需求。 藉由將這些記錄儲存在與計劃相同的存放庫中,您可以協助保持一切組織且安全。

維持安全控管

新式服務管理 (MSM)

新式服務管理 (MSM) 是一組專為在雲端環境中管理和優化 IT 服務而設計的實務和工具。 MSM 的目標是讓 IT 服務符合商務需求。 這種方法可確保有效率的服務傳遞,同時維持高標準的安全性與合規性。 MSM 提供結構化方法來管理複雜的雲端環境。 MSM 也允許組織快速回應變更、降低風險,並確保持續改善。 此外,MSM 與機密性原則相關,因為它包含強制執行數據保護和監視訪問控制的工具和做法。

  • 統一安全性管理: MSM 工具藉由整合各種安全性功能來提供完整的安全性管理,以提供雲端環境的整體檢視。 此方法可協助強制執行安全策略,並即時偵測及回應威脅。

  • 原則管理和合規性: MSM 可協助跨雲端環境建立、強制執行和監視原則。 它可確保所有資源都符合組織標準和法規需求。 此外,它也提供即時深入解析和警示。

  • 持續監視和改進: MSM 強調持續監視雲端環境,以主動識別和解決潛在問題。 此方法支持持續優化和改善IT服務,以確保它們與商務目標保持一致。

後續步驟

使用增強的安全性管理您的雲端資產