安全性工具和原則

  • 5 分鐘

根據 Tailwind Traders 的敘述,客戶對於 Azure 登陸區域選擇了「從小規模開始」方法。 這表示其目前的實作不包含所有建議的安全性控制項。 在理想情況下,客戶已開始使用 Azure 登陸區域加速器,因此已安裝下列許多工具。

本單元描述要將哪些控制項新增至此客戶環境,以更接近 Azure 登陸區域概念架構,並準備組織的安全性需求。

有數個工具和控制項可協助您快速達成安全性基準:

  • 適用於雲端的 Microsoft Defender:提供強化資源、追蹤安全性態勢、防範網路攻擊及簡化安全性管理所需的工具。
  • Microsoft Entra ID:預設識別及存取管理服務。 Microsoft Entra ID 提供身分識別安全分數,以協助您根據 Microsoft 的建議評估您的身分識別安全性態勢。
  • Microsoft Sentinel:一項雲端原生 SIEM,可為您的整個企業提供 AI 支援的智慧型安全性分析。
  • Azure 分散式阻斷服務 (DDoS) 標準保護計劃 (選擇性):提供增強的 DDoS 風險降低功能以防禦 DDoS 攻擊。
  • Azure 防火牆:一項雲端原生和智慧型網路防火牆安全性服務,可為在 Azure 中執行的雲端工作負載提供威脅防護。
  • Web 應用程式防火牆:一項雲端原生服務,可保護 Web 應用程式免於常見 Web 駭客技術 (例如 SQL 插入) 和資訊安全漏洞 (跨網站指令碼) 的威脅。
  • Privileged Identity Management (PIM):Microsoft Entra 識別碼中的服務,可讓您管理、控制及監視組織中重要資源的存取權。
  • Microsoft Intune:一項雲端式服務,著重於行動裝置管理和行動應用程式管理。

下列各節說明 Tailwind Traders 如何在實務上達成安全性基準。

存取控制的基準實作

CISO 想要達成客戶敘述的下列目標:

  • 讓人員能夠從任何地方安全地執行其工作
  • 將重大安全性事件所導致的企業損害降到最低

如果這些目標符合您組織的需求,或者如果您有其他要提高存取控制的驅動因素,請將下列工作列入安全性基準考量:

  • 實作 Microsoft Entra ID 以啟用強式認證
  • 新增 Intune 以取得裝置安全性
  • 為特殊權限帳戶新增 PIM,以更接近零信任世界
  • 使用中樞和輪輻模型,在應用程式登陸區域之間提供緊急安全窗口控制項和防火牆控制項,以實作健全的網路分割
  • 新增適用於雲端的 Defender 和 Azure 原則,以監視是否遵循這些需求

合規性的基準實作

CISO 想要達成客戶敘述的下列目標:

  • 主動符合法規與合規性需求

如果此目標符合您組織的需求,或者如果您有其他要提高存取控制的驅動因素,請將下列工作列入安全性基準考量:

  • 為特殊權限帳戶新增 PIM,以更接近零信任世界

用於識別和保護敏感性商務資料的基準實作

CISO 想要達成客戶敘述的下列目標:

  • 識別和保護敏感性商務資料
  • 快速將現有的安全性計畫現代化

如果這些目標符合您組織的需求,或者如果您有其他要提高存取控制的驅動因素,請將下列工作列入安全性基準考量:

  • 新增適用於雲端的 Defender,以集中整合的方式查看及控制不斷擴展的數位足跡,並了解存在哪些漏洞
  • 新增 Microsoft Sentinel,將可重複的程序自動化,讓安全性小組有更多時間

具備正確的工具之後,請確定您擁有適當的原則,能夠強制正確地使用這些工具。 對於線上和公司連線的登陸區域,有幾個適用原則:

  • 對儲存體帳戶強制執行安全存取 (例如 HTTPS):藉由設定儲存體帳戶的 [需要安全傳輸] 屬性,將您的儲存體帳戶設定為僅接受來自安全連線的要求。 當您要求安全傳輸時,源自不安全連線的任何要求都會被拒絕。
  • 強制對 Azure SQL Database 執行稽核:追蹤資料庫事件,並將其寫入 Azure 儲存體帳戶、Log Analytics 工作區或事件中樞的稽核記錄。
  • 強制對 Azure SQL Database 執行加密:透明資料加密透過加密待用資料,來協助保護 SQL Database、Azure SQL 受控執行個體和 Azure Synapse Analytics 免於惡意離線活動的威脅。
  • 防止 IP 轉送: IP 轉送可讓已連結至 VM 的網路介面接收未指定給任何網路介面 IP 設定之任何 IP 位址的網路流量。 您也可以傳送其來源 IP 位址不同於指派給其中一個網路介面 IP 設定之 IP 位址的網路流量。 必須針對 VM 連結的每個網路介面啟用此設定,才能接收 VM 需要轉送的流量。
  • 確定子網路與網路安全性群組 (NSG) 相關聯:使用 Azure NSG 來篩選進出於 Azure 虛擬網路中 Azure 資源的網路流量。 NSG 包含安全性規則,可允許或拒絕進出於多種 Azure 資源類型的輸入網路流量或輸出網路流量。 針對每個規則,您可以指定來源與目的地、連接埠和通訊協定。

檢定您的知識

1.

下列哪一項「不是」可協助您快速達成安全性基準的工具?