共用方式為

安全性小組、角色和功能

  • 發行項

本文說明雲端安全性所需的安全性角色,以及其執行與雲端基礎結構和平台相關的功能。 這些角色可協助您確保安全性屬於雲端生命週期的每個階段,從開發到作業和持續改善。

顯示雲端採用相關方法的圖表。圖表包含每個階段的方塊:小組和角色、策略、計劃、就緒、採用、治理和管理。本文的方塊會反白顯示。

注意

Azure 的 雲端採用架構 著重於支援多個工作負載的雲端基礎結構和平臺。 如需個別工作負載的安全性指引,請參閱 Azure 架構完善的架構中的安全性指引

根據貴組織的大小和其他因素,本文所討論的角色和函式可能會由執行多個函式(角色)而不是由單一人員或小組來完成。 企業和大型組織通常會擁有具有更特殊角色的大型小組,而較小的組織則傾向於在少數人員中合併多個角色和功能。 特定安全性責任也會根據組織所使用的技術平台和服務而有所不同。

某些安全性工作將由技術和雲端小組直接執行。 其他人可能由與技術小組共同作業的特製化安全性小組執行。 無論您的組織大小和結構為何,項目關係人都必須清楚瞭解需要執行的安全性工作。 每個人都必須瞭解商務需求,以及組織的安全性風險承受能力,以便他們能夠針對將安全性視為重要需求並加以平衡的雲端服務做出良好的決策。

使用本文中的指引來協助瞭解小組和角色所執行的特定功能,以及不同小組如何互動,以涵蓋整個雲端安全性組織。

安全性角色的轉換

安全性架構、工程和作業角色正經歷著其責任和程式的重大轉換。 (此轉換類似於基礎結構和平臺角色的雲端驅動轉換。此安全性角色轉換是由多種因素所驅動:

  • 隨著安全性工具日益成為 SaaS 型,因此不需要設計、實作、測試及操作安全性工具基礎結構。 這些角色仍然需要支援設定雲端服務和解決方案的完整生命週期(包括持續改善),以確保它們符合安全性需求。

  • 認識到安全性是每個人的工作,正在推動更共同作業且成熟的方法,讓安全性和技術小組能夠共同合作:

    • 技術工程小組負責確保有效將安全措施套用至其工作負載。 這項變更會增加安全性小組對於如何有效且有效率地履行這些義務的內容和專業知識的需求。

    • 安全性小組正從(稍微對立的)品質控制角色轉向一個可啟用技術小組的角色:使安全路徑成為最簡單的路徑。 安全性小組使用自動化、文件、訓練和其他策略來減少摩擦和障礙。

  • 安全性小組越來越多地擴大其技能,以查看多個技術和系統的安全性問題。 它們可解決完整的攻擊者生命週期,而不是專注於狹窄的技術領域(例如網路安全性、端點安全性、應用程式安全性和雲端安全性)。 雲端平臺將不同的技術緊密整合在一起,可放大此技能開發的需求。

  • 技術和安全性雲端服務變更率的提高,需要持續更新安全性程式,以保持同步並有效地管理風險。

  • 安全性威脅現在會可靠地略過網路型安全性控制,因此安全性小組必須採用 零信任 方法,包括身分識別、應用程式安全性、端點安全性、雲端安全性、CI/CD、使用者教育和其他控制。

  • 採用 DevOps/DevSecOps 程式需要安全性角色更靈活,以原生方式將安全性整合到產生的加速解決方案開發生命週期中。

角色和小組概觀

下列各節提供哪些小組和角色通常會執行關鍵雲端安全性函式的指引(當這些函式存在於組織中時)。 您應該找出現有的方法、尋找差距,並評估您的組織是否可以且應該投資來解決這些差距。

執行安全性工作的角色包括下列角色。

  • 雲端服務提供者

  • 基礎結構/平臺小組(架構、工程和作業)

  • 安全性架構、工程和狀態管理小組:

    • 安全性架構設計人員和工程師(資料安全性、身分識別和存取管理 (IAM)、網路安全性、伺服器和容器安全性、應用程式安全性和 DevSecOps)

    • 軟體安全性工程師(應用程式安全性)

    • 狀態管理(弱點管理/受攻擊面管理)

  • 安全性作業 (SecOps/SOC):

    • 分級分析師 (第 1 層)

    • 調查分析師(第2層)

    • 威脅搜尋

    • 威脅情報

    • 偵測工程

  • 安全性治理、風險和合規性 (GRC)

  • 安全性訓練和認知

請務必確保每個人都瞭解其在安全性中的角色,以及如何與其他小組合作。 您可以記錄跨小組的安全性程式和技術小組的共同責任模型,以達成此目標。 這樣做可協助您避免涵蓋範圍差距和重疊工作的風險和浪費。 它也有助於避免常見的錯誤(反模式),例如團隊選取弱式驗證和密碼編譯解決方案,甚至嘗試建立自己的。

注意

共同責任模型類似於負責任、責任、諮詢、知情(RACI)模型。 共同責任模型有助於說明共同作業方法,說明誰做出決策,以及小組必須執行哪些工作才能共同處理特定項目和結果。

雲端服務提供者

雲端服務提供者實際上是虛擬小組成員,可為基礎雲端平臺提供安全性功能和功能。 某些雲端提供者也提供您的小組可用來管理安全性狀態和事件的安全性特性和功能。 如需雲端服務提供者執行作業的詳細資訊,請參閱 雲端共用責任模型

許多雲端服務提供者會根據要求或透過入口網站,例如 Microsoft服務信任入口網站,提供有關其安全性作法和控制的資訊。

基礎結構/平臺小組(架構、工程和作業)

基礎結構/平台架構、工程和作業小組會實作雲端安全性、隱私權和合規性控制,以及跨雲端基礎結構和平台環境(跨伺服器、容器、網路、身分識別和其他技術元件)。

工程和作業角色主要可以專注於雲端或持續整合和持續部署(CI/CD)系統,或可以跨各種雲端、CI/CD、內部部署和其他基礎結構和平台運作。

這些小組負責滿足組織雲端服務裝載商務工作負載的所有可用性、延展性、安全性、隱私權和其他需求。 他們與安全性、風險、合規性和隱私權專家合作,以推動混合和平衡所有這些需求的結果。

安全性架構、工程和狀態管理小組

安全性小組會使用基礎結構和平臺角色(以及其他角色)來協助將安全性策略、原則和標準轉譯成可採取動作的架構、解決方案和設計模式。 這些小組著重於藉由評估及影響基礎結構的安全性,以及用來管理雲端小組的程式和工具的安全性,來啟用雲端小組的安全性。 以下是基礎結構安全性小組所執行的一些常見工作:

  • 安全性架構設計人員和工程師會 針對雲端環境調整安全策略、標準和指導方針,以與其基礎結構/平臺對應專案合作設計及實作控件。 安全性架構設計人員和工程師可協助各種元素,包括:

    • 租使用者/訂用帳戶。安全性架構設計人員和工程師會基礎結構架構設計人員和工程師共同作業,以及存取架構師(身分識別、網路、應用程式和其他人員),以協助跨雲端提供者建立雲端租用戶、訂用帳戶和帳戶的安全性設定(由安全性狀態管理小組監視)。

    • IAM。存取架構師(身分識別、網路、應用程式和其他人員)會與身分識別工程師和作業和基礎結構/平臺小組共同作業,以設計、實作及操作存取管理解決方案。 這些解決方案可防止未經授權的組織商務資產使用,同時讓授權的用戶能夠遵循商務程式,輕鬆且安全地存取組織資源。 這些小組會處理身分識別目錄和單一登錄 (SSO) 解決方案、無密碼和多重要素驗證 (MFA)、風險型條件式存取解決方案、工作負載身分識別、特殊許可權身分識別/存取管理 (PIM/PAM)、雲端基礎結構和權利管理 (CIEM) 等解決方案。 這些小組也會與網路工程師和作業共同作業,以設計、實作及操作安全性服務邊緣 (SSE) 解決方案。 工作負載小組可以利用這些功能,為個別工作負載和應用程式元件提供順暢且更安全的存取。

    • 數據安全性。安全性架構設計人員和工程師會與數據和 AI 架構設計人員和工程師共同作業,以協助基礎結構 / 平臺小組建立所有數據和進階功能的基礎數據安全性功能,這些功能可用來分類和保護個別工作負載中的數據。 如需基礎數據安全性的詳細資訊,請參閱Microsoft安全性 數據保護基準。 如需保護個別工作負載中數據的詳細資訊,請參閱架構完善的架構 指導方針

    • 網路安全性。安全性架構設計人員和工程師會網路架構設計人員和工程師共同作業,協助基礎結構/平臺小組建立基本的網路安全性功能,例如連線到雲端(私人/租用線路)、遠端訪問策略和解決方案、輸入和輸出防火牆、Web 應用程式防火牆 (WAFs)網路分割。 這些小組也會與身分識別架構設計人員、工程師和作業共同作業,以設計、實作及操作 SSE 解決方案。 工作負載小組可以利用這些功能來提供個別工作負載和應用程式元件的離散保護或隔離。

    • 伺服器和容器安全性。安全性架構設計人員和工程師會基礎結構架構設計人員和工程師共同作業,協助基礎結構/平臺小組建立伺服器、虛擬機(VM)、容器、協調流程/管理、CI/CD 和相關系統的基礎安全性功能。 這些小組會建立探索和清查程式、安全性基準/基準設定、維護和修補程式、允許列出可執行二進位檔、範本映像、管理程式等等。 工作負載小組也可以利用這些基礎基礎結構功能,為個別工作負載和應用程式元件提供伺服器和容器的安全性。

    • 軟體安全性基礎(適用於應用程式安全性和 DevSecOps)。安全性架構設計人員和工程師會軟體安全性工程師共同作業,協助基礎結構/平臺小組建立應用程式安全性功能,供個別工作負載、程式代碼掃描、軟體材料帳單(SBOM) 工具、WAF 和應用程式掃描使用。 如需如何建立安全性開發生命週期的詳細資訊,請參閱 DevSecOps控件 。 如需工作負載小組如何使用這些功能的詳細資訊,請參閱 妥善架構架構中的安全性開發生命週期 指引。

  • 軟體安全性工程師會 評估用來管理基礎結構的程式代碼、腳本和其他自動化邏輯,包括基礎結構即程式代碼 (IaC)、CI/CD 工作流程,以及任何其他自定義建置的工具或應用程式。 這些工程師應該參與保護已編譯應用程式中的正式程式碼、腳本、自動化平臺的設定,以及任何其他形式的可執行程式碼或腳本,這些程式碼或腳本可讓攻擊者操作系統的作業。 此評估可能只需要對系統執行威脅模型分析,也可能牽涉到程式代碼檢閱和安全性掃描工具。 如需如何建立 SDL 的詳細資訊,請參閱 SDL 實務指引。

  • 狀態管理(弱點管理/受攻擊面管理)是著重於技術作業小組安全性啟用的作業安全性小組。 狀態管理可協助這些小組排定優先順序並實作控件,以封鎖或減輕攻擊技術。 狀態管理小組會跨所有技術作業小組工作(包括雲端小組),而且通常可作為了解安全性需求、合規性需求和治理程式的主要方法。

    狀態管理通常作為安全性基礎結構小組的卓越中心(CoE),類似於軟體工程師通常作為應用程式開發小組的安全性 CoE。 這些小組的一般工作包括下列各項。

    • 監視安全性狀態。 使用Microsoft安全性暴露管理、Microsoft Entra 權限管理、非Microsoft弱點和外部攻擊面管理 (EASM) 和 CIEM 工具,以及自定義安全性狀態工具和儀錶板等狀態管理工具來監視所有技術系統。 此外,狀態管理會執行分析,以提供下列方式的深入解析:

      • 期待極有可能和破壞性的攻擊路徑。 攻擊者會「在圖表中思考」,並藉由將多個資產和弱點鏈結在一起,跨不同系統尋找業務關鍵系統的路徑(例如,入侵使用者端點,然後使用哈希/票證來擷取系統管理員認證,然後存取業務關鍵數據)。 狀態管理小組會與安全性架構設計人員和工程師合作,以探索並降低這些隱藏的風險,這些風險不一定會出現在技術清單和報告中。

      • 進行安全性評定 以檢閱系統設定和作業程式,以從安全性狀態工具取得技術數據以外的更深入的了解和見解。 這些評量可以採用非正式探索對話或正式威脅模型化練習的形式。

    • 協助進行優先順序設定。 協助技術小組主動監視其資產,並排定安全性工作的優先順序。 狀態管理除了安全性合規性需求之外,還考慮安全性風險影響(根據經驗、安全性作業事件報告和其他威脅情報、商業智慧和其他來源的資訊),協助將風險降低工作納入內容。

    • 訓練、導師和冠軍。 透過培訓、指導個人和非正式知識轉移,提高技術工程團隊的安全性知識和技能。 狀態管理角色也可以與組織整備/訓練和安全性教育及參與角色合作,進行正式的安全性訓練,並在技術小組內設定安全性,以宣傳和教育其同儕的安全性。

    • 找出修正的差距和宣導者。 識別整體趨勢、程式差距、工具差距,以及其他風險和風險降低的見解。 狀態管理角色會與安全性架構設計人員和工程師共同作業並通訊,以開發解決方案、建置融資解決方案案例,以及協助推出修正程式。

    • 與安全性作業協調 (SecOps)。 協助技術小組使用 SecOps 角色,例如偵測工程和威脅搜捕小組。 此所有作業角色的持續性可協助確保偵測已就緒並正確實作、安全性數據可用於事件調查和威脅搜捕、程式已備妥以進行共同作業等等。

    • 提供報表。 將安全性事件、趨勢和效能計量及時且準確的報告提供給資深管理層和項目關係人,以更新組織風險程式。

    狀態管理小組通常會從現有的軟體 弱點管理 角色進化,以解決開放式群組 零信任 參考模型中所述的完整功能、組態和操作弱點類型。 每種弱點類型都可以允許未經授權的使用者(包括攻擊者)控制軟體或系統,讓他們對商業資產造成損害。

    • 軟體設計或實作中發生功能弱點 。 他們可以允許未經授權的控制受影響的軟體。 這些弱點可能是您自己的小組在商業或 開放原始碼 軟體中開發或瑕疵的軟體有缺陷(通常是由常見弱點和暴露標識符追蹤)。

    • 設定弱點 是系統設定錯誤,允許未經授權存取系統功能。 這些弱點可以在進行中的作業期間引入,也稱為設定漂移。 您也可以在軟體與系統的初始部署和設定期間,或透過廠商的弱式安全性預設值來引進它們。 一些常見範例包括:

      • 允許未經授權存取 DNS 記錄和群組成員資格等專案的孤立物件。

      • 過多的系統管理角色或資源許可權。

      • 使用具有已知安全性問題的較弱驗證通訊協定或密碼編譯演算法。

      • 弱式預設組態或默認密碼。

    • 作業弱點 是標準作業程式和允許未經授權存取或控制系統的做法的弱點。 範例包含:

      • 系統管理員使用共用帳戶,而不是自己的個別帳戶來執行特殊許可權工作。

      • 使用「流覽」組態來建立攻擊者可能會濫用的許可權提升路徑。 當高許可權系統管理帳戶登入低信任的用戶裝置和工作站(例如標準使用者工作站和使用者擁有的裝置)時,有時會透過跳躍伺服器來有效降低這些風險時,就會發生此弱點。 如需詳細資訊,請參閱 保護特殊許可權存取特殊許可權存取裝置

安全性作業 (SecOps/SOC)

SecOps 小組有時稱為「安全性作業中心」(SOC)。 SecOps 小組著重於快速尋找和移除對組織資產的對手存取權。 他們與技術營運和工程小組密切合作。 SecOps 角色可以跨組織中的所有技術運作,包括傳統 IT、營運技術(OT)和物聯網(IoT)。 以下是最常與雲端小組互動的 SecOps 角色:

  • 分級分析師(第1層)。 回應已知攻擊技術的事件偵測,並遵循記載的程式快速解決它們(或適當地將其呈報至調查分析師)。 視 SecOps 範圍和成熟度等級而定,這可能包括來自電子郵件、端點反惡意代碼解決方案、雲端服務、網路偵測或其他技術系統的偵測和警示。

  • 調查分析家(第2層)。 回應需要更多經驗和專業知識的較高複雜度和更高嚴重性事件調查(超越記錄良好的解決程式)。 此小組通常會調查由即時人類敵人和影響多個系統的攻擊所進行的攻擊。 它與技術營運和工程小組密切合作,調查事件並加以解決。

  • 威脅搜捕。 主動搜尋技術資產中已逃避標準偵測機制的隱藏威脅。 此角色使用進階分析和假設驅動調查。

  • 威脅情報。 收集並傳播攻擊者的相關信息,以及所有項目關係人的威脅,包括商務、技術和安全性。 威脅情報小組會執行研究、分享其發現(正式或非正式),並將其傳播給各種項目關係人,包括雲端安全性小組。 此安全性內容可協助這些小組讓雲端服務對攻擊更有彈性,因為它們在設計、實作、測試和作業中使用真實世界的攻擊資訊,並持續改善。

  • 偵測工程。 建立自定義攻擊偵測,並自定義廠商和更廣泛的社群所提供的攻擊偵測。 這些自定義攻擊偵測可補充廠商提供的常見攻擊偵測,這些攻擊通常位於擴充偵測和回應 (XDR) 工具和某些安全性資訊和事件管理 (SIEM) 工具中。 偵測工程師會與雲端安全性小組合作,找出設計和實作偵測的機會、支援偵測所需的數據,以及偵測的回應/復原程式。

安全性治理、風險和合規性

安全性治理、風險和合規性 (GRC) 是一組相互關聯的專業領域,可將安全性小組的技術工作與組織目標和期望整合。 這些角色和小組可以是兩個或多個專業領域的混合式,也可以是離散角色。 雲端小組會透過雲端技術生命週期與上述每個專業領域互動:

  • 治理專業領域是一項基礎功能,著重於確保組織一致地實作安全性的所有層面。 治理小組著重於決策權(誰做出決策)和流程架構,以連接和引導小組。 如果沒有有效的控管,具有所有正確控制、原則和技術的組織仍可能遭到攻擊者入侵,而攻擊者發現預定防禦的區域並未完全實作、完全或完全執行。

  • 風險管理專業領域著重於確保組織能有效地評估、瞭解及降低風險。 風險管理角色會與整個組織的許多小組合作,以清楚表示組織的風險並維持最新狀態。 因為許多重要的商務服務可以裝載在雲端基礎結構和平臺上,因此雲端和風險小組需要共同作業,才能評估及管理此組織風險。 此外,供應鏈安全性著重於與外部廠商、開放原始碼元件和合作夥伴相關聯的風險。

  • 合規性專業領域可確保系統和程式符合法規需求和內部原則。 如果沒有此專業領域,組織可能會面臨與不符合外部義務相關的風險(罰款、責任、無法在某些市場運作的收入損失等等)。 合規性需求通常無法跟上攻擊者演進的速度,但它們仍然是重要的需求來源。

這三個專業領域都會跨所有技術和系統運作,以推動所有小組的組織成果。 這三者也都依賴彼此取得的內容,並從目前對威脅、業務和技術環境的高逼真度數據中獲益匪淺。 這些專業領域也依賴架構來表達可採取動作的願景,該願景可以實施,安全教育和原則,以建立規則,並引導小組完成許多日常決策。

雲端工程和作業小組可能會使用狀態管理角色、合規性和稽核小組、安全性架構和工程,或 GRC 主題的首席資訊安全官 (CISO) 角色。

安全教育和原則

組織必須確保所有角色都有基本的安全性識字,以及他們預期在安全性及如何執行時所要執行的指導方針。 若要達成此目標,您需要書面原則和教育的組合。 雲端小組的教育可由直接與他們合作的安全性專業人員進行非正式指導,也可以是具有記載課程和指定安全性冠軍的正式計劃。

在較大的組織中,安全性小組會與 組織整備/訓練 和安全性 教育和參與 角色合作,在正式的安全性訓練和技術小組內設定安全性冠軍,以宣傳和教育其同儕的安全性。

安全性教育和原則必須協助每個角色瞭解:

  • 為什麼。 在角色責任的內容中,向每個角色顯示安全性對安全性很重要的原因及其目標。 如果人們不清楚為什麼安全對他們很重要,他們會判斷這是不重要的,並前進到別的東西。

  • 什麼。 摘要說明他們需要以已瞭解的語言執行哪些安全性工作。 如果人們不知道他們被要求做什麼,他們會假設安全性並不重要或與其相關,並繼續前往其他專案。

  • 如何。 請確定每個角色都有有關如何在其角色中套用安全性指引的明確指示。 如果人們不知道如何實際執行他們被要求執行的動作(例如修補伺服器、識別連結是否為網路釣魚連結、正確報告訊息、檢閱程式代碼或執行威脅模型),他們將會失敗並移至其他專案。

範例案例:小組之間的一般互操作性

當組織部署及運作 WAF 時,數個安全性小組必須共同作業,以確保其有效的部署、管理和整合至現有的安全性基礎結構。 以下是小組之間的互操作性在企業安全性組織中的外觀:

  1. 規劃和設計
    1. 治理小組會識別增強 Web 應用程式安全性的需求,並為 WAF 配置預算。
    2. 網路安全性架構設計人員會設計 WAF 部署策略,確保其與現有的安全性控制緊密整合,並與組織的安全性架構保持一致。
  2. 實作
    1. 網路 安全性工程師會根據架構設計人員 的設計來部署 WAF,並將其設定為保護特定的 Web 應用程式,並啟用監視。
    2. IAM 工程師會設定訪問控制,確保只有授權的人員可以管理 WAF。
  3. 監視和管理
    1. 狀態管理小組會提供SOC的指示,以設定WAF的監視和警示,以及設定儀錶板來追蹤WAF活動。
    2. 威脅情報和偵測工程小組可協助開發涉及 WAF 的事件回應計劃,並執行模擬來測試這些計劃。
  4. 合規性和風險管理
    1. 合規性和風險管理人員會檢閱 WAF 部署,以確保其符合法規需求並定期進行稽核。
    2. 數據 安全性工程師 可確保 WAF 的記錄和數據保護措施符合數據隱私權法規。
  5. 持續改善和訓練
    1. DevSecOps 工程師會將 WAF 管理整合到 CI/CD 管線中,確保更新和設定自動化且一致。
    2. 安全性教育和參與專家會開發和提供訓練計劃,以確保所有相關人員都瞭解如何有效地使用和管理 WAF。
    3. 雲端 治理小組成員 會檢閱 WAF 部署和管理程式,以確保它們符合組織原則和標準。

藉由有效地共同作業,這些角色可確保 WAF 已正確部署,並持續監視、管理及改善,以保護組織的 Web 應用程式免於不斷演變的威脅。

後續步驟

將安全性整合到雲端採用策略中