使用零信任保護基礎結構
基礎結構代表重要的威脅向量。 IT 基礎結構,無論是內部部署還是多重雲端,都會定義為所有硬體(實體、虛擬、容器化)、軟體(開放原始碼、第一方和第三方 PaaS、SaaS)、微服務(函式、API)、網路基礎結構、設施等等,這是開發、測試、傳遞、監視、控制或支援 IT 服務所需的。 這是一個領域,Microsoft已投入大量資源來開發一組完整的功能,以保護您未來的雲端和內部部署基礎結構。
具有端對端 零信任 策略的現代化安全性可讓您更輕鬆地:
- 評估版本。
- 執行組態管理。
- 運用 Just-In-Time 和 Just-Enough-Access (JIT/JEA) 系統管理許可權來強化防禦。
- 使用遙測來偵測攻擊和異常狀況。
- 自動封鎖和標示有風險的行為,並採取防護動作。
同樣重要的是,Microsoft Azure 藍圖和相關功能可確保資源的設計、實作及持續符合組織的原則、標準和需求。
Azure 藍圖、Azure 原則、適用於雲端的 Microsoft Defender、Microsoft Sentinel 和 Azure Sphere 可大幅改善已部署基礎結構的安全性。 它們一起可讓您使用不同的方法來定義、設計、布建、部署及監視基礎結構。
基礎結構零信任部署目標
提示
在大多數組織開始 零信任 旅程之前,其基礎結構安全性方法的特點如下:
- 跨環境手動管理許可權。
- 工作負載執行所在的 VM 和伺服器的組態管理。
實作管理及監視基礎結構的端對端零信任架構時,建議您先專注於下列初始部署目標: |
|
完成初始目標之後,請專注於這些 額外的部署目標: |
|
基礎結構 零信任 部署指南
本指南會逐步引導您完成遵循 零信任 安全性架構原則來保護基礎結構所需的步驟。
開始之前,請確定您已符合這些基準基礎結構部署目標。
設定Microsoft租用戶基準
應針對基礎結構的管理方式設定優先順序基準。 套用 NIST 800-53 等產業指引,您可以衍生一組管理基礎結構的需求。 在Microsoft,我們已將最低基準設定為下列需求清單:
-
存取數據、網路、服務、公用程式、工具和應用程式必須由驗證和授權機制控制。
-
數據必須在傳輸和待用時加密。
-
限制網路流量。
-
安全性小組可檢視所有資產。
-
必須啟用監視和稽核,並根據指定的組織指導方針正確設定。
-
反惡意代碼必須最新且正在執行。
-
必須執行弱點掃描,並根據指定的組織指導方針補救弱點。
為了測量並推動此最低或擴充基準的合規性,我們從在租用戶層級以及跨內部部署環境取得可見度開始,方法是跨 Azure 租使用者套用安全性讀取者角色。 有了「安全性讀取者」角色,即可透過可用來套用產業基準(例如 Azure CIS、PCI、ISO 27001)或您組織已定義的自定義基準 適用於雲端的 Microsoft Defender 和 Azure 原則來取得進一步的可見度。
跨環境手動管理許可權
從租用戶層級向下到每個資源群組廣告訂用帳戶內的個別資源,必須套用適當的角色型訪問控制。
工作負載執行所在的 VMS 和伺服器的組態管理
就像我們已管理內部部署數據中心環境一樣,我們也必須確保我們有效地管理雲端資源。 利用 Azure 的優點是能夠使用 Azure Arc 從一個平臺管理所有 VM(預覽)。 使用 Azure Arc,您可以從 Azure 原則、適用於雲端的 Microsoft Defender 原則和安全分數評估,以及記錄和監視您的所有資源,一個位置擴充安全性基準。 以下是開始使用的一些動作。
實作 Azure Arc (預覽版)
Azure Arc 可讓組織將熟悉的 Azure 安全性控制延伸至內部部署,以及組織基礎結構的邊緣。 系統管理員有數個選項可將內部部署資源連線至 Azure Arc。其中包括 Azure 入口網站、PowerShell 和 Windows 安裝與服務主體腳本。
透過 Azure 原則 套用安全性基準,包括套用客體內原則
藉由啟用 適用於雲端的 Defender,您將能夠透過 Azure 原則 內建的原則定義來納入一組基準控件,以進行 適用於雲端的 Microsoft Defender。 基準原則集會反映在 適用於雲端的 Defender 安全分數中,您可以在其中測量這些原則的合規性。
如果無法使用內建原則,您可以將原則涵蓋範圍延伸至 適用於雲端的 Defender 集之外,並建立自定義原則。 您也可以納入 客體設定原則,以測量訂用帳戶內客體 VM 內的合規性。
套用 適用於雲端的 Defender Endpoint Protection 和弱點管理控件
端點保護對於確保基礎結構保持安全且可用至關重要。 在端點保護和 弱點管理 的任何策略中,您將能夠集中測量合規性,以確保透過 適用於雲端的 Microsoft Defender 中的 Endpoint Protection 評定和建議來啟用和設定惡意代碼保護。
跨多個訂用帳戶集中查看基準
藉由套用租使用者讀取器匯總,您可以取得租使用者中每個評估為 適用於雲端的 Defender 安全分數、Azure 原則 和客體設定原則一部分的原則狀態的可見度。 您可以將該資訊漏鬥至組織合規性儀錶板,以集中報告租用戶的狀態。
此外,在適用於伺服器的 Defender 中,您可以使用原則在虛擬機上啟用內建弱點評估解決方案(由 Qualys 提供電源),以掃描 VM 是否有弱點,並讓這些弱點直接反映在 適用於雲端的 Defender 中。 如果您已在企業中部署弱點掃描解決方案,您可以使用替代原則弱點評估解決方案,此解決方案應該安裝在虛擬機上,以 部署合作夥伴弱點掃描解決方案。
提示
瞭解如何實作端點的端對端 零信任 策略。
|
初始部署目標 |
一旦達到基準基礎結構目標,您可以專注於使用端對端 零信任 策略來實作現代化基礎結構。
I. 工作負載會受到監視並收到異常行為的警示
當您建立新的基礎結構時,您必須確保也建立監視和引發警示的規則。 這是識別資源何時顯示非預期行為的關鍵。
建議您啟用 適用於雲端的 Microsoft Defender 及其保護支援的資源類型計劃,包括適用於伺服器的 Defender、適用於記憶體的 Defender、適用於容器的 Defender、適用於 SQL 的 Defender 等。
若要監視身分識別,建議您啟用 適用於身分識別的 Microsoft Defender 和進階威脅分析,以便啟用訊號收集,以識別、偵測及調查進階威脅、遭入侵的身分識別,以及針對貴組織的惡意測試人員動作。
將這些來自 適用於雲端的 Defender、適用於身分識別的 Defender、進階威脅分析和其他監視和稽核系統的訊號與 Microsoft Sentinel、雲端原生安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案整合,可讓您的安全性作業中心 (SOC) 從單一玻璃窗格運作,以監視整個企業的安全性事件。
II. 每個工作負載都會指派應用程式身分識別,並一致地設定及部署
建議您使用在建立資源/工作負載時指派並強制執行的原則。 原則可能需要在建立時將標籤套用至資源、授權資源群組指派,以及限制/直接技術特性,例如允許的區域、VM 規格(例如 VM 類型、磁碟、套用的網路原則)。
提示
瞭解如何實作應用程式的端對端 零信任 策略。
III. 人力存取資源需要 Just-In-Time
人員應謹慎使用系統管理存取。 需要系統管理功能時,用戶應該會收到暫時的系統管理存取權。
組織應該建立 保護系統管理員 計劃。 這些程式的特性包括:
- 以系統管理許可權的用戶數目為目標縮減。
- 稽核提高的許可權帳戶和角色。
- 建立特殊的高價值資產 (HVA) 基礎結構區域,以減少介面區。
- 為系統管理員提供特殊的安全系統管理工作站 (SAWs),以減少認證竊取的可能性。
所有這些專案都有助於組織更加了解系統管理許可權的使用方式、這些許可權仍然需要的位置,並提供如何更安全地運作的藍圖。
|
其他部署目標 |
完成初始三個目標之後,您可以專注於其他目標,例如封鎖未經授權的部署。
IV. 未經授權的部署遭到封鎖,並觸發警示
當組織移至雲端時,可能性是無限的。 這並不總是一件好事。 基於各種原因,組織必須能夠封鎖未經授權的部署,並觸發警示,讓領導者和經理知道問題。
Microsoft Azure 提供 Azure 藍圖 來管理資源的部署方式,確保只能部署已核准的資源(例如 ARM 範本)。 藍圖可以確保不符合藍圖原則的資源或其他規則會遭到封鎖而無法進行部署。 實際或嘗試的藍圖違規可能會視需要引發警示,併發出通知、啟用Webhook或自動化 Runbook,甚至建立服務管理票證。
V. 工作負載之間有細微的可見性和訪問控制
Microsoft Azure 提供各種方法來達到資源 可見度。 從 Azure 入口網站,資源擁有者可以設定許多計量和記錄收集和分析功能。 此可見度不僅可用來提供安全性作業,還可以支持運算效率和組織目標。 這些功能包括 虛擬機器擴展集 等功能,可讓您根據計量,安全且有效率地相應放大和相應縮小資源。
在訪問控制端,可以使用角色型 存取控制 (RBAC) 將許可權指派給資源。 這允許使用各種內建或自定義角色,在個別和群組層級統一指派和撤銷許可權。
VI. 針對每個工作負載分割的用戶和資源存取
Microsoft Azure 提供許多方式來分割工作負載,以管理使用者和資源存取。 網路分割是整體方法,而且在 Azure 中,資源可以使用虛擬網路(VNet)、VNet 對等互連規則、網路安全組(NSG)、應用程式安全組(ASG)和 Azure 防火牆,在訂用帳戶層級隔離。 有幾個設計模式可用來判斷分割工作負載的最佳方法。
提示
瞭解如何為您的網路實作端對端 零信任 策略。
本指南涵蓋的產品
Microsoft Azure
Azure Resource Manager (ARM) 範本
結論
基礎結構是成功 零信任 策略的核心。 如需實作的進一步資訊或協助,請連絡您的客戶成功小組,或繼續閱讀本指南的其他章節,其涵蓋所有 零信任 要素。
零信任 部署指南系列