Microsoft 網路安全性參考架構和雲端安全性基準的簡介
本課程模組涵蓋網路安全性功能和控制項的最佳做法,這是降低攻擊者成功風險的必要做法。
學習目標
在本課程模組中,您將了解如何:
- 使用 Microsoft Cybersecurity Reference Architecture (MCRA) 來設計更安全的解決方案。
- 使用 Microsoft 雲端安全性基準 (MCSB) 來設計更安全的解決方案。
課程模組中的內容可協助您準備認證測驗 SC-100:Microsoft 網路安全性架構師。
必要條件
- 安全性原則、需求、零信任架構與管理混合式環境的概念知識
- 使用零信任策略、套用安全性原則,以及根據商務目標開發安全性需求的工作體驗
MCRA 概觀
Microsoft 網路安全性參考架構 (MCRA) 為一組描述 Microsoft 的網路安全性功能之技術圖表。 圖表說明 Microsoft 安全性功能如何與下列項目進行整合:
- Microsoft 平台,例如 Microsoft 365 和 Microsoft Azure
- ServiceNow 和 Salesforce 等協力廠商應用程式
- Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 等協力廠商平台
MCRA 包含下列主題的圖表:
- Microsoft 網路安全性功能
- 零信任和零信任快速現代化計畫 (RaMP)
- 零信任使用者存取
- 安全性作業
- 運營技術 (OT)
- 多雲端和跨平台功能
- 攻擊鏈涵蓋範圍
- Azure 原生安全性控制項
- 安全性組織功能
MCSB 概觀
新的服務和功能每天會在 Azure 和其他雲端平台中發行。 開發人員會快速發佈建置於這些服務上的新雲端應用程式,而攻擊者會持續尋求新方法來惡意探索設定錯誤的資源。 雲端快速移動,開發人員快速移動,而攻擊者也會快速移動。 如何持續確保您的雲端部署安全無虞? 雲端系統的安全性做法與內部部署系統有何不同,以及雲端服務提供者之間有何不同? 如何跨多個雲端平台監視工作負載的一致性?
Microsoft 發現使用安全性基準測試可協助您快速保護雲端部署。 來自雲端服務提供者的完整安全性最佳做法架構可提供您在雲端環境中選取特定安全性組態設定、跨多個服務提供者,以及讓您使用單一管理平台來監視這些設定的起點。
安全性控制項
控制項是對需要解決的建議功能或活動的高階描述。 控制項並非特定於某種技術或實作。 安全性控制項建議適用於多個雲端工作負載。 每個控制項都會編號,而且控制項的建議會識別通常涉及基準規劃、核准或實作的專案關係人清單。
MCSB 控制網域/控制系列
在 MCSB 控制中,會分類為「系列」或「網域」。 下表摘要說明 MCSB 中的安全性控制網域:
| 控制網域 | 描述 |
|---|---|
| 網路安全性 (NS) | 網路安全性涵蓋保護與防護網路的控制措施,包括保護虛擬網路、建立私人連線、預防及減少外部攻擊,以及保護 DNS。 |
| 身分識別管理 (IM) | 身分識別管理涵蓋使用身分識別和存取管理系統建立安全身分識別和存取控制的控制項,包括使用單一登入、強式驗證、應用程式的受控識別 (和服務主體)、條件式存取和帳戶異常監視。 |
| 特殊權限存取 (PA) | 特殊權限存取涵蓋保護租用戶和資源特殊權限存取的控制項,包括保護系統管理模型、系統管理帳戶和特殊權限存取工作站的一系列控制項,以防止故意和意外的風險。 |
| 資料保護 (DP) | 資料保護涵蓋待用、傳輸中,以移透過授權存取機制的資料保護控制項,包括使用存取控制、加密、金鑰管理和憑證管理來探索、分類、保護及監視敏感性資料資產。 |
| 資產管理 (AM) | 資產管理涵蓋可確保資源安全可見性和治理的控制。 這包括安全性人員的存取權限、資產庫存的安全性存取,以及管理服務和資源核准 (庫存、追蹤和更正) 的建議。 |
| 記錄和威脅偵測 (LT) | 記錄和威脅偵測涵蓋在雲端上偵測威脅以及啟用、收集及儲存雲端服務稽核記錄的控制項,包括使用控制項啟動偵測、調查和補救流程,以在雲端服務中使用原生威脅偵測產生高品質的警示;其也包括使用雲端監視服務收集記錄、使用安全性資訊與事件管理、時間同步處理和記錄保留來集中化安全性分析。 |
| 事件回應 (IR) | 事件回應涵蓋事件回應生命週期中的控制項,即準備、偵測和分析、內含項目及事件後活動,包括使用 Azure 服務 (例如適用於雲端的 Microsoft Defender 和 Sentinel) 和/或其他雲端服務,以將事件回應流程自動化。 |
| 態勢與弱點管理 (PV) | 態勢與弱點管理著重在評定及改善雲端安全性狀態的控制機制,包括弱點掃描、滲透測試和補救,以及雲端資源中的安全性設定追蹤、報告和修正。 |
| 端點安全性 (ES) | 端點安全性涵蓋端點偵測和回應的控制項,包括針對雲端環境中的端點使用端點偵測及回應 (EDR) 與反惡意程式碼服務。 |
| 備份與復原 (BR) | 備份與復原涵蓋的控制項可確保在不同服務層級執行、驗證及保護的資料和設定備份。 |
| DevOps 安全性 (DS) | DevOps 安全性涵蓋與 DevOps 流程中安全性工程和作業相關的控制項,包括在部署階段之前部署重要的安全性檢查 (例如靜態應用程式安全性測試和弱點管理),以確保整個 DevOps 流程的安全性;它也包含威脅模型化和軟體供應安全性等常見主題。 |
| 治理與策略 (GS) | 治理與策略提供指引,以確保一致的安全性策略和記錄的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略以及支援原則和標準。 |
服務基準
安全性基準是 Azure 產品供應項目的標準化文件,描述可用的安全性功能和最佳安全性設定,以協助您透過改良的工具、追蹤和安全性功能來加強安全性。 我們目前的服務基準僅適用於 Azure。
Azure 的安全性基準著重於 Azure 環境中以雲端為中心的控制區域。 這些控制項與眾所皆知的業界標準一致,例如:Center for Internet Security (CIS) 或國家標準暨技術研究院 (NIST)。 我們的基準提供 Microsoft 雲端安全性基準 v1 中所列出的控制區域指引。
每個基準由下列元件所組成:
- 服務如何表現?
- 有哪些安全性功能可供使用?
- 建議使用哪些設定來保護服務?
實作 Microsoft 雲端安全性基準
- 檢閱企業控制項和服務特定基準的文件來規劃您的控制架構,以及如何對應至 Center for Internet Security (CIS) 控制、國家標準暨技術研究院 (NIST) 和支付卡產業資料安全性標準 (PCI-DSS) 架構等指導方針,以規劃您的 MCSB 實作。
- 使用適用於雲端的 Microsoft Defender – 多雲端環境的法規合規性儀表板,監視您 MCSB 狀態 (和其他控制集) 的合規性。
- 建立防護措施,以使用 Azure 藍圖、Azure 原則或來自其他雲端平台的對等技術等功能,將安全設定自動化,並強制執行 MCSB (和其他需求) 的合規性。
常見使用案例
Microsoft 雲端安全性基準通常可用於解決以下類型客戶或服務合作夥伴共同面臨的挑戰:
- 身為 Azure (以及 AWS 等其他的主要雲端平台) 的新使用者,並且正在尋找安全性最佳做法,以確保雲端服務和自己應用程式工作負載的安全部署。
- 想要改善現有雲端部署的安全性態勢,以為最高風險與風險降低措施排定優先順序。
- 使用多雲端環境 (例如 Azure 和 AWS),在使用單一窗口協調安全性控制監視和評估時面臨挑戰。
- 評估 Azure (以及其他主要雲端平台,例如 AWS) 的安全性特性/功能,再將 將服務上線/核准至雲端服務目錄中。
- 必須符合高度管制產業 (例如政府、金融業和醫療保健業) 的合規性需求。 這些客戶必須確保其 Azure 和其他雲端的服務設定符合 CIS、NIST 或 PCI 等架構中所定義的安全性規範。 MCS 已經事先將控制對應到這些產業基準,能夠提供有效率的方法。
詞彙
Microsoft 雲端安全性基準文件中通常會使用「控制」和「基準」一詞。 請務必了解 MCSB 是如何使用這些詞彙的。
| 詞彙 | 描述 | 範例 |
|---|---|---|
| 控制 | 「控制」是需要解決之功能或活動的概略描述,且不限於特定技術或實作。 | 資料保護就是其中一種安全性控制系列。 資料保護包含必須解決以確保資料受到保護的特定動作。 |
| 基準 | 基準是在個別 Azure 服務上實作控制。 每個組織會各自指定基準建議,而在 Azure 中需要對應的設定。 注意:目前我們只有 Azure 可用的服務基準。 | Contoso 公司想要藉由遵循 Azure SQL 安全性基準中建議的設定,來獲得 Azure SQL 安全性功能。 |