描述安全性原則和計畫如何改善雲端安全性狀態

  • 6 分鐘

適用於雲端的 Microsoft Defender 可讓組織管理其在雲端和內部部署中資源與工作負載的安全性,並改善其整體安全性狀態。 其用途是使用原則定義和安全性計畫,因此請務必瞭解這些詞彙。

  • 在 Azure 原則中建立的 Azure 原則定義,即為您所要掌控之特定安全性條件的規則。 Azure 原則支援內建定義,但您也可以建立自己的自訂原則定義。

  • 安全性方案是 Azure 原則定義的集合或為實現特定目標和目的組成再一起的規則。 安全性方案可藉由將一組原則以有邏輯的方式來分組為單一項目,以簡化對原則的管理。

  • 若要實作原則定義或計畫,您可以將它們指派給支援的任何資源範圍,例如管理群組、訂用帳戶、資源群組或個別資源。

適用於雲端的 Microsoft Defender 會將安全性方案套用至您的訂閱上。 這些方案包含了一或多個安全性原則。 其中每一個原則都會產生能幫助改善安全性態勢的安全性建議。

安全性管理員可以在適用於雲端的 Microsoft Defender 中建置自己的自訂安全性計畫,但也有名為 「Microsoft 雲端安全性基準」的預設內建安全性方案 (當您在訂用帳戶上啟用適用於雲端的 Microsoft Defender 時會自動指派)。

Microsoft 雲端安全性基準

Microsoft 雲端安全性基準 (MCSB) 是 Microsoft 建立的一套安全性和合規性指導,提供規範性的最佳做法和建議,以協助改善 Azure 和多雲端環境上工作負載、資料和服務的安全性。 MCSB 以美國網際網路安全中心 (CIS) 和國家標準與技術研究院 (NIST) 的控制項為基礎,著重以雲端為中心的安全性。

若要了解 Microsoft 雲端安全性基準,最好的方法就是在 GitHub Microsoft_cloud_security_benchmark 上檢視。 提前揭曉,其是 Excel 試算表。 MCSB 提供許多資料行。 部分關鍵項目的資訊包括:

  • 識別碼 - MCSB 中的每個明細項目都有識別碼對應至特定的建議。
  • 控制領域 - 控制概略描述需要解決的功能或活動,不特別針對某技術或實作。 MCSB 控制領域包括網路安全性、資料保護、身分識別管理、權限存取、事件回應、端點安全性等,僅舉幾例。
  • 對應至產業架構 - MCSB 中包含的建議對應至現有的產業架構,例如 Center for Internet Security (CIS)、美國國家標準暨技術研究院 (NIST),以及支付卡產業資料安全性標準 (PCI DSS) 架構。 這可讓在 Azure 服務上執行的客戶應用程式更容易符合安全性與合規性。
  • 建議 - 對於每個控制網域區域,可能會有許多不同的建議。 例如,MCSB v1 中的「網路安全」控制網域有 10 個識別為 NS-1 到 NS-10 的不同建議;其中第一個識別為 NS-1 的建議是建立網路分割界限。
  • Azure 指導 - Azure 指導著重於「如何」,且它詳細說明相關技術功能和在 Azure 中實作控制的方式。 繼續以 NS-1 為例,Azure 指導包含建立虛擬網路、使用網路安全性群組 (NSG),以及使用應用程式安全性群組 (ASG) 的相關資訊。
  • AWS 指導 - AWS 指導著重於 AWS 特有的「如何」,說明 AWS 技術功能和實作基本概念。

MCSB 中也有相關資訊的連結,包括 Azure 和 AWS 指導相關的實作、客戶組織中可能當責、負責或接受諮詢各自控制措施的安全性職務等。 Microsoft 雲端安全性基準版本 1 (MCSB v1) 的摘錄,並顯示為 MCSB 中包含的內容類型範例。 此影像不適合顯示任何商品明細的完整文字。

A screenshot of a subset of information from the Microsoft cloud security benchmark v1.

適用於雲端的 Defender 中的 Microsoft 雲端安全性基準

適用於雲端的 Microsoft Defender 持續評估組織的混合式雲端環境,以根據 Microsoft 雲端安全性基準的控制措施和最佳做法來分析風險因素。 適用於雲端的 Microsoft Defender 中的法規合規性儀表板會反映您對 MCSB 的合規性狀態,以及您已套用至訂用帳戶的任何其他標準。

MCSB 中使用的一些控制項,包括網路安全性、身分識別和存取控制、資料保護、資料復原、事件回應等等。

Screenshot of Microsoft Defender for Cloud showing status of regulatory compliance against Microsoft cloud security benchmark.

什麼是安全性建議?

建議是根據相關原則來評估資源以及找出不符合所定義需求的資源的結果。

適用於雲端的 Defender 會定期分析資源的合規性狀態,以找出潛在的安全性錯誤設定和缺點。 然後,這會提供您如何補救這些問題的建議。 適用於雲端的 Defender 根據您選擇的方案與 MCSB 預設方案,來提供安全性建議。 如果在比較方案的原則與資源時,發現了一或多個不符合規範的原則,系統便會在適用於雲端的 Defender 中將其呈現為建議。

建議是您為了保護和強化資源所採取的行動。 每個建議都會提供下列資訊:

  • 問題的簡短描述
  • 執行以實作建議的補救步驟
  • 受影響的資源

安全性建議包含詳細資料,可協助您瞭解其重要性及處理方式。