最佳做法簡介

  • 5 分鐘

本課程模組涵蓋 Microsoft 網路安全性功能的零信任和最佳做法架構文件。

假設您是大型組織中的網路安全性架構師。 您的工作是將組織的網路安全性現代化。 您知道最佳做法是達成此目標不可或缺的,但不確定要使用哪一個架構。 您已聽過零信任及其潛在的優點,但不確定如何開始。 本課程模組可協助您了解最佳做法,以及作為網路安全架構師可以如何使用它。 了解零信任的概念,以及如何在組織中開始使用它。

課程模組分為五個單元:

  • 最佳做法簡介
  • 零信任簡介
  • 零信任方案
  • 零信任技術要素第 1 部分
  • 零信任技術要素第 2 部分

在本課程模組結束時,您便能夠了解作為網路安全架構師該如何使用最佳做法、了解零信任的概念,以及如何用它來讓組織的網路安全性現代化,以及了解何時該使用 MCRA、CAF 和 WAF 等不同最佳做法的架構。

學習目標

完成本課程模組之後,學員將能夠:

  • 了解如何以網路安全性架構師身分使用最佳做法。
  • 了解零信任的概念,以及如何將其用於將組織網路安全性現代化。
  • 了解何時使用不同的最佳做法架構,例如 MCRA、CAF 和 WAF。

課程模組中的內容可協助您準備認證測驗 SC-100:Microsoft 網路安全性架構師。

必要條件

  • 安全性原則、需求、零信任架構與管理混合式環境的概念知識
  • 使用零信任策略、套用安全性原則,以及根據商務目標開發安全性需求的工作體驗

最佳作法

最佳做法是執行已發現最有效或最有效率之事項的建議方式。 最佳做法可協助您避免錯誤,並確保不會浪費您的資源和精力。

最佳做法有許多形式:

  • 具體指示要做什麼、為什麼要做、誰應該做,以及如何做
  • 協助不同類型的決策和動作的高階原則
  • 屬於參考架構的指導方針,描述應包含在解決方案中的元件,以及如何將它們整合在一起

Microsoft 在各種形式的指引中內嵌安全性最佳做法,包括:

  • Microsoft 網路安全性參考結構
  • Microsoft 雲端安全性基準
  • 雲端採用架構 (CAF)
  • Azure Well-Architected Framework (WAF)
  • Microsoft 安全性最佳做法

反模式

反模式是導致負面結果的常見錯誤。 這與最佳做法相反。 許多最佳做法旨在協助您避免反模式。

可協助您克服許多反模式的最佳做法範例是定期套用安全性修補程式。 Microsoft 觀察到多個反模式,以定期套用此基本且非常重要的安全性最佳做法:

  • 我們不會修補 (除非它很重要) - 此反模式會避免修補程式安裝,因為隱含假設修補程式並不重要。 另一個版本是「這不會發生在我們身上」。這種信念為未修補的弱點不會被利用,因為它以前沒有發生 (或尚未偵測到)。

  • 等待修補完美,而不是建立復原能力 - 這種反模式會避免修補,因為擔心修補程式有問題。 此反模式也會增加攻擊者停機的可能性。

  • 中斷的責任模型 - 此反模式會保留安全性責任,以因修補程式的負面結果而負責。 此責任模型會導致其他小組取消排定安全性維護的優先順序

  • 過度自訂修補程式選取 - 此反模式會使用唯一準則進行修補,而不是套用所有制造商建議的修補程式。 此自訂實際上會建立從未在該確切組態中測試過的 Windows、Linux 和應用程式的自訂群組建。

  • 僅專注於作業系統 - 此反模式修補程式只會修補未處理容器、應用程式、韌體和 IoT/OT 裝置的伺服器和工作站

架構設計人員如何使用最佳做法

安全性最佳做法必須整合到人員的技能和習慣、組織流程和技術架構和實作中。

網路安全性架構師可協助整合安全性最佳做法,並執行下列動作,使其可採取動作:

  • 將最佳做法整合到安全性架構和原則中
  • 建議安全性領導者如何將最佳做法整合到商務流程、技術流程和文化。
  • 建議技術小組實作最佳做法,以及哪些技術功能可讓最佳做法更容易實作。
  • 建議組織中的其他人,例如企業架構師、IT 架構師、應用程式擁有者、開發人員,以及如何在其擁有權領域整合安全性最佳做法。

除非您有理由避免最佳做法,否則請遵循最佳做法。 除非有特定原因可避免,否則組織應遵循妥善定義且有理由的最佳做法。 雖然某些組織可以忽略某些最佳做法,但組織應該謹慎,再忽略 Microsoft 所提供的高品質最佳做法。 最佳做法並不適用於所有情況,但其已被證明在其他地方可行,因此您不該在無充分的理由的情況下加以忽略或改變。

調整但不要過度自訂 - 最佳做法是可在大部分組織中運作的一般指引。 您可能需要將最佳做法調整為組織的獨特情況。 您應該小心不要將其自訂為遺失原始值的點。 其中一個範例是採用無密碼和多重要素驗證,但針對攻擊者最重視的最高影響商務和 IT 帳戶進行例外狀況。

採用最佳做法可減少常見的錯誤,並提升整體安全性有效性和效率。 下圖摘要說明重要的反模式和最佳做法。

Diagram of common antipatterns and important best practices.

我應該選擇哪一個架構?

架構 摘要 使用時機 對象 組織 材質
零信任 RaMP 方案 根據方案建立的零信任指南,旨在於高影響力領域中實現快速勝出。 依時間順序安排的方案,並可識別重要的專案關係人。 當您想要開始使用零信任並快速取得進展時。 雲端架構師、IT 專業人員和商務決策者 早期雲端和零信任採用者 具有檢查清單的專案計劃
零信任部署目標 零信任指南,其中包含針對每個技術要素的詳細設定步驟。 比 RaMP 方案更全方位。 當您想要有關如何推出零信任的更全方位的指南時。 雲端架構師、IT 專業人員 已透過零信任達成一些進展的組織,並想要提供詳細的指引,以充分利用技術。 具有主要和次要目標的部署計畫。
MCRA MCRA 是一組圖表,其中包含許多與零信任 RaMP 中存取控制現代化方案相關的最佳做法 當您想要時:安全性架構的起始範本、安全性功能的比較參考、要了解 Microsoft 功能、要了解 Microsoft 的整合投資 雲端架構師、IT 專業人員 早期雲端和零信任採用者 具有圖表的 Powerpoint 投影片
MCSB 根據業界標準和最佳做法,評估組織雲端環境安全性態勢的架構。 尋找如何實作安全性控制項並監視其合規性的指引。 雲端架構師、IT 專業人員 全部 控制項和服務基準的詳細規格
CAF 整個雲端採用生命週期中最佳做法的文件和實作架構,提供使用 Azure 進行雲端移轉和管理的逐步執行方法。 當您想要建立及實作雲端的商業和技術策略時。 雲端架構師、IT 專業人員和商務決策者 需要針對 Microsoft Azure 的技術指引的組織 最佳做法、文件和工具
WAF 一種架構,旨在協助客戶為其在 Azure 中的應用程式和工作負載建置安全、高效能、靈活且有效率的基礎結構,使用五個要素:成本最佳化、營運卓越、效能效率、可靠性和安全性。 當您想要提升雲端工作負載的品質時。 雲端架構師、IT 專業人員 全部 Azure Well-Architected 檢閱、Azure Advisor、文件、合作夥伴、客戶支援和服務供應項目、參考架構、設計原則