判斷擁有權需求
本文是其中一個系列,可在您使用適用於雲端的 Microsoft Defender 來設計跨多雲端資源的雲端安全性態勢管理 (CSPM) 和雲端工作負載保護 (CWP) 解決方案時提供指導。
Goal
識別與多雲端安全性解決方案相關的小組,並規劃他們將如何保持一致並共同運作。
安全性函數
根據組織的大小,個別小組將會管理安全性功能。 在複雜的企業中,功能可能非常多。
| 安全性功能 | 詳細資料 |
|---|---|
| 安全性作業 (SecOps) | 透過減少不良執行者存取公司資源的時間來降低組織風險。 回應式偵測、分析、回應和補救攻擊。 主動式威脅搜捕。 |
| 安全性結構 | 安全性設計會摘要並記錄元件、工具、流程、小組及技術,保護您的企業免於承擔風險。 |
| 安全性合規性管理 | 確保組織符合法規需求和內部原則規範的流程。 |
| 人員安全性 | 保護組織免於承擔安全性的人為風險。 |
| 應用程式安全性和 DevSecOps | 將安全性整合到 DevOps 處理序和應用程式。 |
| 資料安全性 | 保護您的組織資料。 |
| 基礎結構和端點安全性 | 為應用程式與使用者所使用的基礎結構、網路及端點裝置提供保護、偵測和回應。 |
| 身分識別與金鑰管理 | 驗證和授權使用者、服務、裝置及應用程式。 針對密碼編譯作業提供安全散發和存取。 |
| 威脅情報 | 針對安全性威脅情報做出決策並採取行動,以提供關於現有攻擊與潛在威脅的內容及可採取動作的見解。 |
| 態勢管理 | 連續報告並改善組織安全性態勢。 |
| 事件準備 | 建置工具、流程及專業知識,以回應安全性事件。 |
小組一致性
儘管雲端安全性會由許多不同小組來管理,但是,他們必須合作來找出要負責在多雲端環境中進行決策制定的人員,這點至關重要。 缺乏所有權會產生摩擦,因而導致專案停滯不前,且無法等待安全性核准的不安全部署。
安全性領導階層 (最常隸屬於 CISO) 應指定負責進行安全性決策制定的人員。 職責通常會與表格中的摘要一致。
| 類別 | 描述 | 一般小組 |
|---|---|---|
| 伺服器端點安全性 | 監視並補救伺服器安全性,包括修補、設定、端點安全性等等。 | 中央 IT 作業與基礎結構和端點安全性小組的共同責任。 |
| 事件監視和回應 | 在組織的 SIEM 或來源主控台中調查並補救安全性事件。 | 安全性作業小組。 |
| 原則管理 | 針對 Azure 角色型存取控制 (Azure RBAC)、適用於雲端的 Microsoft Defender、管理員保護策略及 Azure 原則設定方向,以便治理 Azure 資源、自訂的 AWS/GCP 建議等。 | 原則和標準與安全性和架構小組的共同責任。 |
| 威脅與弱點管理。 | 保有基礎結構的完整可見度和控制,以確保盡可能有效率地探索並補救重大問題。 | 中央 IT 作業與基礎結構和端點安全性小組的共同責任。 |
| 應用程式工作負載 | 專注於特定工作負載的安全性控制。 目標是將安全性保證整合至開發流程及自訂的企業營運 (LOB) 應用程式。 | 應用程式開發與中央 IT 作業小組的共同責任。 |
| 身分識別安全性和標準 | 了解適用於 Azure 訂用帳戶、AWS 帳戶及 GCP 專案的權限蔓延指標 (PCI),以便識別與身分識別和資源之間未使用或過多權限相關聯的風險。 | 身分識別和金鑰管理、原則和標準及安全性架構小組的共同責任。 |
最佳作法
- 儘管多雲端安全性可能會劃分到不同的業務領域,但小組應該跨多雲端資產管理安全性。 相較於讓不同小組保護不同的雲端環境,這樣做更好。 例如,其中一個小組管理 Azure,而另一個小組會管理 AWS。 跨多雲端環境工作的小組有助於防止組織內的散亂。 它也有助於確保每個環境中都會套用安全性原則和合規性需求。
- 管理適用於雲端的 Defender 小組通常無權補救工作負載中的建議。 例如,適用於雲端的 Defender 小組可能無法補救 AWS EC2 執行個體中的弱點。 安全性小組可能負責改善安全性態勢,但無法修正產生的安全性建議。 若要解決此問題:
- 根據組織模型,我們通常會看到可供與工作負載擁有者一同運作之中央安全性小組使用的選項:
選項 1:集中式模型。 安全性控制會由中央小組定義、部署及監視。
- 中央安全性小組會決定要在組織中實作哪些安全性原則,以及有權控制設定原則的人員。
- 如果發生安全性威脅或設定問題,該小組可能也有權補救不符合規範的資源,並強制進行資源隔離。
- 另一方面,工作負載擁有者會負責管理其雲端工作負載,但必須遵循中央小組已部署的安全性原則。
- 此模型最適合高度自動化的公司,以確保可自動回應弱點與威脅的流程。
選項 2:分散式模型。- 工作負載擁有者會定義、部署及監視安全性控制。
- 安全性控制部署會由工作負載擁有者來完成,因為他們擁有原則集,因此可以決定哪些安全性原則適用於他們的資源。
- 擁有者必須注意、了解其自身資源的安全性警示和建議並採取動作。
- 另一方面,中央安全性小組只會作為控制實體,而不需具備任何工作負載的寫入權限。
- 安全性小組通常會有組織整體安全性態勢的見解,而且可能會讓工作負載擁有者負責改善其安全性態勢。
- 此模型最適合有下列需求的組織:需要了解其整體安全性態勢,但同時希望與工作負載擁有者一起負責安全性。
- 目前,在適用於雲端的 Defender 中達成選項 2 的唯一方式是,將具有安全性讀取者權限的工作負載擁有者指派給裝載多雲端連接器資源的訂用帳戶。
下一步
在此文章中,您已了解如何在設計多雲端安全性解決方案時判斷所有權需求。 繼續進行下一個步驟,以判斷存取控制需求。