使用增強的安全性管理您的雲端資產

雲端採用旅程的管理階段著重於雲端資產的持續作業。 持續維護及強化您的安全性狀態對於成功管理您的資產至關重要，而且應該被視為管理實務的基石。 如果您忽略安全性，而有利於節省成本或改善效能，則有可能讓您的企業面臨嚴重損害您企業的威脅，並扭轉執行此動作帶來的任何短期好處。 投資安全性機制和做法，藉由將有害攻擊的風險降到最低，為您的企業帶來長期成功。

本文是管理方法的支援指南。 它描述您在旅程中經歷該階段時應考慮的安全性優化領域。

安全性狀態現代化

在雲端採用旅程的管理階段，您應該擁有強大的可檢視性平臺，並已設定徹底的監視和智慧型手機警示，但現代化此平臺可能需要一種新的思維，其著重於主動措施，並採用 零信任 原則。

• 假設入侵： 假設您的一或多個系統中有缺口，是主動式偵測的主要原則，也是威脅搜捕和偵測工程的驅動因素。 威脅搜捕 使用假設型方法，即缺口已經以某種特定形式發生，以智慧方式分析您的系統，以試圖證明或反駁該假設。 偵測工程 是開發專門的偵測機制，以增強無法偵測新式和新型網路攻擊的可觀察性平臺的做法。

• 明確驗證： 從「預設信任」到「例外狀況信任」的心態，表示您必須能夠透過可見度來驗證信任的活動。 使用智慧型手機識別和存取監視來增強您的可觀察性平臺，可協助您即時偵測異常行為。

Azure 促進

• Microsoft Defender 全面偵測回應 提供跨多個網域的進階威脅搜捕，例如端點、雲端應用程式和身分識別。

管理事件準備和回應

• 事件準備：

  • 實作安全性資訊和事件管理 （SIEM） 和安全性協調流程、自動化和回應 （SOAR） 解決方案，以增強基礎結構監視和警示系統，以偵測及回應安全性事件。

  • 主動掃描您的雲端系統是否有弱點。 使用可與 SIEM 系統整合的弱點掃描器，可合併來自整個環境的安全性數據，以協助您有效率地偵測及響應多種安全性風險和事件類型。

  • 藉由實作擴充的偵測和回應 （XDR） 解決方案，提高您環境中安全性風險的深度。 將此數據饋送至您的 SIEM 系統，會將安全性監視統一到單一的玻璃窗格中，並將安全性作業小組的效率優化。

• 事件回應規劃： 將可檢視性平臺現代化對於事件偵測而言非常重要。 這也是維護事件回應計劃的基礎。 您的事件回應計劃必須是定期更新的活體檔。 它必須隨時掌握威脅搜捕和偵測工程工作，以及 MITRE ATT&CK 知識庫 等公開可用的風險資訊。

  除了維護事件回應計劃之外，您還需要完整開發事件回應和災害復原計劃。

• 商務持續性和災害復原： 開發和測試災害復原計劃，以確保您的雲端環境具有復原能力，並可快速地從事件中復原。 包含支援商務持續性的備份和復原策略。 在許多情況下，您環境中的個別工作負載都有獨特的復原目標和程式，因此擁有以工作負載為基礎的計劃，而不是涵蓋企業所有面向的單一方案，是一個很好的策略。 如需本主題的工作負載焦點指引，請參閱架構完善的架構 災害復原指南 。

Azure 促進

• 適用於雲端的 Microsoft Defender 提供監視和保護許多工作負載資源的計劃，例如伺服器、記憶體、容器、SQL 資料庫和 DNS。 這些方案可讓您探索您可能無法使用現有監視解決方案找到的深入見解。

  • 適用於伺服器的 Defender 包含針對 Azure 或已啟用 Azure Arc 的 VM 進行弱點掃描的 Microsoft Defender 弱點管理。

• Microsoft Sentinel 是雲端原生 SIEM 和 SOAR 解決方案Microsoft。 您可以使用它作為獨立解決方案。 它也與 Microsoft Defender 整合，以提供統一 的安全性作業平臺。

• Defender XDR 中的自動化調查和回應可透過提供許多案例的自動化偵測和自我修復功能，協助您的安全性作業小組更有效率地解決威脅。

管理機密性

安全性狀態的持續管理，因為它與機密性有關，涉及定期執行設計良好的監視和稽核做法、維護編纂的稽核程式，以及尋找持續改善的機會。

• 定期監視和稽核： 若要確保機密性原則的完整性，您必須建立監視和稽核的定期步調。 持續監視有助於早期偵測潛在的安全性威脅和異常。 不過，僅監視就不足。 您必須定期進行稽核，以確認原則和控件是否有效且遵守這些原則和控件。 稽核提供安全性狀態的完整檢閱，並協助您找出您需要解決的任何缺口或弱點。

• 記錄和制度化稽核程序： 記錄稽核程序對於一致性和責任至關重要。 將這些程式制度化，可確保有系統、定期地進行審計。 詳細文件應包含稽核的範圍、方法、所使用的工具，以及稽核的頻率。 這種做法可協助您維護高標準的安全性。 它也提供合規性和法規用途的明確線索。

• 增強機密性的最佳做法包括：

  • 職責分離（SoD）： 實施 SoD 有助於防止利益衝突，並降低詐騙風險。 在不同個人之間劃分責任可確保沒有人能夠控制關鍵程式的所有層面。

  • 主動式使用者生命周期維護： 您必須定期更新和管理用戶帳戶。 這種做法包括立即撤銷不再需要的使用者存取權、隨著角色變更更新許可權，以及確保停用非作用中的帳戶。 主動式維護有助於防止未經授權的存取，並協助確保只有最新授權的用戶能夠存取敏感數據。 存取架構設計人員應該在其標準作業程式中納入這些量值。

Azure 促進

• Microsoft Purview 資料外洩防護 （DLP） 可協助您偵測並防止透過攻擊者所使用的常見程式進行外洩。 Purview DLP 可以偵測第一次使用 或雲端應用程式從端點裝置外洩敏感數據的敵人。 當敵人將這些工具重新命名為未偵測時，Purview DLP 也可以識別這些工具的執行。

• Microsoft Purview 內部風險管理 可協助您偵測並防止潛在的惡意或無意內部風險，例如IP竊取、資料外泄和安全性違規。

管理完整性

管理您的數據和系統完整性需要透過特定設定進行強固的監視，以偵測未經授權的資產變更。 管理階段的其他主要原則是採用持續改進和訓練做法。

• 數據完整性監視： 有效監視數據完整性是一項複雜的工作。 智慧型工具可以減輕設定適當監視機制的負擔。 如果您結合智慧型手機數據控管與 SIEM 和 SOAR 解決方案，您可以深入瞭解與資料相關的活動，並將事件回應計畫的部分自動化。 您的監視應該偵測異常行為，包括未經授權存取數據存放區，以及數據存放區的變更。 自動事件回應，例如立即鎖定，可協助將惡意活動的爆炸半徑降到最低。

• 系統完整性監視： 有效監視系統完整性比監視數據完整性更為直接。 大部分的新式監視和警示平臺都具備偵測系統變更的充分功能。 在部署周圍有適當的防護措施，例如只允許透過 IaC 進行環境變更，以及設計完善的驗證和存取平臺，您可以確保偵測到核准的通訊協定之外發生的變更，並立即進行調查。

Azure 促進

數據完整性監視

• Microsoft Purview 健康情況管理 可協助您編纂數據標準，並測量資產中的數據在一段時間內如何符合這些標準。 它提供報告來追蹤數據健康情況，並協助數據擁有者補救所發生的問題。

管理可用性

管理雲端資產的可用性需要透過測試驗證的健全主動式可用性監視。

• 可用性監視： 確定所有基礎結構和應用程式都已設定為監視，且警示已設定為通知適當的小組。 使用雲端原生記錄和 應用程式檢測 功能來簡化監視設計並降低作業負擔。

• 可用性測試： 所有基礎結構和應用程式都必須定期測試可用性，作為整體測試策略的一部分。 錯誤插入和混亂測試 是藉由故意引入故障來測試可用性和安全性的絕佳策略。

Azure 促進

除了先前討論的 適用於雲端的 Defender 解決方案之外，請考慮下列解決方案：

• Azure 監視器 Application Insights 的自動檢測可讓您輕鬆地透過 Application Insights 檢測應用程式，以進行豐富的遙測監視。 自動檢測支援許多以 Azure 為基礎的和內部部署裝載類型。

• Azure Chaos Studio 是一項受管理的服務，使用混沌工程來協助您測量、了解及改善雲端應用程式和服務復原能力。

管理安全性維持

持續教育

鼓勵雲端安全性實務中的持續教育和認證，以跟上不斷演變的威脅和技術的最新狀態。 此訓練應涵蓋：

• 威脅偵測。 使用進階分析和監視工具，例如 Microsoft Sentinel 來早期偵測威脅，強調持續監視和主動識別威脅。 進階分析可讓您識別可能表示潛在安全性威脅的異常模式和行為。 整合式威脅情報提供已知威脅的最新資訊，可增強系統偵測新興風險的能力。 包含預先計劃回應的訓練，例如自動化內含動作，以確保對偵測到的威脅做出快速反應。

• 事件回應。 在整合 零信任 原則的健全事件回應策略上訓練安全性作業小組，假設威脅可能來自內部和外部來源。 此活動包括身分識別的持續驗證，以及保護資源的存取。 訓練也應該涵蓋使用判定樹和流程圖，以根據特定事件案例引導回應動作。

  • 可用性。 使用 Azure 服務提供部署高可用性和災害復原解決方案的訓練，以確保數據和資源在需要時仍可存取。 此訓練包括維護預先規劃的回應，概述在事件期間保留可用性的步驟。 訓練也應該涵蓋確保持續存取重要資源的策略，即使面臨中斷，也包括有關設定和管理 Azure 高可用性和災害復原工具的實作訓練。

• 模擬練習： 進行一般安全性演練和模擬，為小組準備真實世界的案例。 這些練習應評估組織在 零信任 架構內回應事件的能力，並將所有網路區段視為可能遭到入侵，直到驗證為安全為止。 應該模擬網路釣魚攻擊、數據外泄和勒索軟體等案例，以找出回應策略中的差距，並提供處理事件的實作體驗。 演習應通過快速隔離遭入侵的系統來強調遏制策略，以防止進一步傳播、快速溝通，通過建立清楚有效的傳播信息管道，以及確保收集並儲存所有相關數據，以支援後續的分析與調查。 使用事件劇本和通訊協定等預先規劃的回應，以確保這些演練期間的動作一致且系統化。

• 事件回應演練： 透過模擬各種威脅案例的實際演練，定期測試事件響應計劃。 這些演練應涉及所有相關項目關係人，包括安全性作業中心 （SOC） 小組、事件回應協調器、治理負責人、事件控制者、調查負責人、基礎結構負責人和雲端治理小組，以確保整個組織的完整準備。 將中情局三角和 零信任 原則的元素納入這些演練中，例如測試訪問控制（機密性）、實作重要數據的完整性檢查，以及在事件期間實作維護服務可用性的程式。 透過使用預先規劃的回應，如預先定義的角色和責任，確保小組之間的明確溝通和共同作業工作，以及透過快速隔離受影響的系統和威脅降低，來強調有效的協調。 記錄採取動作來提供事件後檢閱和持續改善的清楚記錄。

機密性和完整性的不斷改進策略

持續改善對於在企業雲端環境中維護及增強機密性和完整性至關重要。 記錄組態管理和稽核和檢查的結果非常重要。 本檔提供歷程記錄，您可以分析以找出趨勢、週期性問題和改進區域。

• 機密策略：

  • 從過去學習。 實作以往檢查吸取的教訓，是不斷改進的關鍵原則。 藉由分析先前稽核和檢查的結果，組織可以找出弱點並實作更正動作，以防止未來發生類似問題。 此主動式方法可確保組織持續發展並改善其安全性狀態。

  • 使用實時數據。 即時監視在持續改善中扮演重要角色。 藉由使用即時數據，組織可以快速識別並回應潛在威脅，以確保安全性措施一律是最新且有效的。 這種動態方法可協助組織避免重複過去的錯誤，並確保組織能夠針對新興的威脅保持復原能力。

  • 機密性訓練。 作為整體訓練策略的一部分，請確定員工會根據機密性原則和程序進行訓練。 這項培訓對於新進員工而言應該是強制性的，而且應該對所有員工定期遞歸。 針對安全性小組的員工，它應該包含其角色專屬的更深入訓練。 教導實作加密和嚴格訪問控制的重要性，以保護敏感性資訊免於未經授權的存取。 訓練也應該涵蓋數據加密技術和存取管理工具的最佳做法，以協助確保只有授權的人員可以存取敏感數據。

• 完整性策略：

  • 定期稽核您的數據。 定期執行數據的手動稽核，以確保您的數據控管和監視工具如預期般執行。 尋找改進的機會。

    • 數據衛生。 採用良好的數據衛生習慣，如下所示。

      • 手動稽核質量、精確度和一致性的數據。 在探索到錯誤時更正錯誤。

      • 使用正規化之類的策略來減少不一致和備援。

      • 在生產環境中不再需要記錄數據時，將歷程記錄數據封存於非經常性或離線記憶體中。 清除不需要封存的數據。

      • 定期檢閱加密組態，以確保所有敏感數據都會在待用和傳輸中加密。 定期檢閱加密的業界標準，並確保您的系統符合這些標準。

    • 備份。 定期檢閱備份組態，以確保備份包含敏感數據或其他重要數據的所有數據存放區。 執行還原測試，以確保備份數據有效。 定期測試還原，以確保您的系統符合組織的復原時間目標 （RTO） 和恢復點目標 （RPO） 目標。

  • 定期檢閱系統與數據的存取權。 系統和數據存放區的存取權檢閱應該定期進行，以確保訪問控制和原則中沒有任何差距。

  • 進行誠信訓練。 作為整體訓練策略的一部分，請確定員工已針對您的數據和系統完整性原則和程序進行訓練。 新進員工應強制進行這項培訓，並定期對所有員工重複進行。 針對安全性小組的員工，提供其角色專屬的更深入訓練。 針對基礎結構即程序代碼 （IaC） 使用 DevOps 程式提供訓練，以協助確保數據精確度和可靠性。 DevOps 做法，例如版本控制、持續整合和自動化測試，可協助您在部署前追蹤、稽核及驗證雲端環境基礎結構的變更。 DevOps 做法對於維護登陸區域特別重要，因為這些做法會藉由提供系統的方式來處理基礎結構變更，確保設定中的一致性和完整性。

後續步驟

檢閱 零信任 採用架構，以了解在整個雲端採用旅程中整合 零信任 方法。

檢閱架構完善的架構 安全性 要素，以取得以工作負載為中心的安全性指引。