Microsoft 的安全相关资源整理


=Start=

缘由:

前两天在朋友圈里看到一个介绍Microsoft的网络安全架构体系的解读文章,才知道Microsoft很早并且经常性的在分享它在企业安全、云安全方面的一些实践和经验(我的眼界和见识还是短了)。虽然它这么做的一个初衷在于推广自家的云Azure和其它安全产品,但对于普通安全从业人员以及想系统性学习和了解网络安全体系、策略和实施路线等知识的人来说,Microsoft提供的这些资源非常有用且宝贵一般人是没有机会接触和了解大企业是如何做安全的,以及安全的最佳实践该是什么样——这些内容由Microsoft/Google/Amazon等顶级公司来定义和描述才足够可信和可靠,因为它们在公司发展壮大的过程中会面临各种各样的安全风险,它们有足够的动力和资源来应对/缓解这些风险,它们对安全的理解程度远比一般公司要深入。求其上,得其中;求其中,得其下;求其下,必败。想要学习提高就要挑好学习的目标,否则学习效果可能不达预期)。

正文:

参考解答:

这篇文章仅列出我近期在看且觉得很有参考价值的文档链接和概要,一方面原文(英文好的建议直接看英文文档,中文文档的部分内容是由机器翻译,可能会影响你对内容的理解)内容更多更全,不同经验的人能获取到的信息很可能不一样;另一方面原文是在不断更新的,且更新频率还挺高,看原文能获取到最新的信息。

1-零信任

为何采用零信任

当今组织需要一种新的安全模型,以更有效地适应复杂的现代环境、支持混合工作场所,以保护任何位置的用户、设备、应用和数据。尤其是在疫情的阴云还未消散,远程办公既是一种趋势、更是一种现实的情况下。

  • 随时随地高效工作
    使用户能够随时随地在任何设备上更安全地工作。
  • 云迁移
    通过智能安全性实现数字转型,以适应越来越复杂的环境。
  • 风险缓解
    消除安全漏洞,使横向移动的风险降至最低。
零信任原则
  • 进行显式验证 – Verify explicitly
    始终基于所有可用数据进行身份验证和授权,包括用户身份、位置、设备运行状况、服务或工作负载、数据分类以及异常情况。
  • 使用最少特权访问 – Use least privileged access
    通过即时(JIT,just-in-time)和最小可用访问权限(JEA,just-enough-access)、基于风险的自适应策略以及数据保护来限制用户的访问,以帮助保护数据并保障生产力。
  • 假定已经泄露 – Assume breach
    最小化泄漏影响半径并对访问权限进行分段。验证端到端加密,并通过数据分析获取可见性,促进威胁检测并增强防御。
微软对于零信任的定义

零信任模型假定已经泄露(而不是假定公司防火墙背后的所有内容均安全)并将每个请求都视为源自开放网络。零信任教导我们,无论请求源自何处或不管访问何种资源,都应坚守“永不信任,始终验证”的原则。每个访问请求在授予访问之前都应进行完整的身份验证、授权和加密。应用微分段和最少特权访问原则以最大限度地减少横向移动。利用丰富的智能和分析进行检测并及时响应异常情况。

零信任的覆盖范围
  • 身份-Identities
    对你的所有数字资产应用强身份验证方式来验证和保护每个身份。
  • 终端设备-Endpoints
    要获得可入网设备的相关信息。在授予访问权限之前,确保是合规和安全运行的状态。
  • 应用-Apps
    发现影子IT,确保合适的应用程序权限,访问要基于实时分析,并监控和控制用户的行为。
  • 数据-Data
    从基于边界的数据保护转变为数据驱动的保护。使用程序/人工智能对数据进行分类和标记。根据组织策略加密和限制数据访问。
  • 基础设施-Infrastructure
    使用遥测技术来检测攻击和异常,自动阻止和标记危险行为,并采用最小特权访问原则。
  • 网络-Network
    确保设备和用户不会仅仅因为在内部网络上而受到信任。加密所有内部通信,通过策略限制访问,并使用微分段和实时威胁检测。

2-Microsoft 安全最佳实践

治理、风险和合规 – Governance, risk, and compliance

安全操作 – Security operations

身份和访问管理 – Identity and access management

网络安全 – Network security and containment

特权访问 – Privileged administration

人为操作的勒索软件 – Ransomware and extortion

信息保护和存储 – Information protection and storage

应用程序和服务 – Applications and services

3-Azure 安全基准 (v3)

ASB 控制领域说明
网络安全性 (NS)网络安全包含用于保护 Azure 网络的控制措施,包括保护虚拟网络、建立专用连接、阻止和减少外部攻击以及保护 DNS。
身份管理 (IM)标识管理包括用于使用 Azure Active Directory 建立安全标识和访问控制的控制措施,其中包括使用单一登录、强身份验证、用于应用程序的托管标识(和服务主体)、条件访问和帐户异常监视。
特权访问 (PA)特权访问包括用于保护对你的 Azure 租户和资源的特权访问的控制措施,包括一系列用于避免管理模型、管理帐户和特权访问工作站面临有意和无意的风险的控制措施。
数据保护 (DP)数据保护涵盖控制静态数据保护、传输中的数据保护以及通过授权访问机制实现的数据保护,包括使用 Azure 中的访问控制、加密以及密钥和证书管理来实现对敏感数据资产的发现、分类、保护和监视。
资产管理 (AM)资产管理包括用于确保 Azure 资源安全可见性和治理的控制措施,包括以下几方面的建议:安全人员的权限、对资产清单的安全访问,以及管理对服务和资源的审批(盘点、跟踪和更正)。
日志记录和威胁检测 (LT)日志记录和威胁检测涵盖了用于检测 Azure 上的威胁以及启用、收集和存储 Azure 服务的审核日志的控件,包括使用控件启用检测、调查和修正过程,以利用 Azure 服务中的本机威胁检测生成高质量的警报;它还包括使用 Azure Monitor 收集日志,使用 Azure Sentinel 集中进行安全分析、时间同步和日志保留。
事件响应 (IR)事件响应包括对事件响应生命周期(准备、检测、分析、包含和事后活动)的控制措施,包括使用 Microsoft Defender for Cloud 和 Sentinel 等 Azure 服务自动执行事件响应过程。
态势和漏洞管理 (PV)状况和漏洞管理侧重于评估和改进 Azure 安全状况的控制措施,包括漏洞扫描、渗透测试和修正,以及 Azure 资源中的安全配置跟踪、报告和更正。
终端安全 (ES)终结点安全保护对终结点检测和响应的控制措施,包括在 Azure 环境中对终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。
备份和恢复 (BR)备份和恢复包括用于确保在不同服务层执行、验证和保护数据和配置备份的控制措施。
DevOps 安全性 (DS)DevOps 安全性涵盖 DevOps 过程中与安全工程和操作相关的控制措施,包括在部署阶段之前部署关键安全性检查(如静态应用程序安全性测试、漏洞管理),以确保整个 DevOps 过程的安全;它还包括常见主题,例如威胁建模和软件供应安全。
治理和策略 (GS)治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。
Azure安全控制

4-如何基于 Azure 做安全

构想安全的最终状态

业务对齐(Business alignment)

  • 风险洞察: 将安全见解和风险信号/源与业务计划协调一致。确保通过可重复的过程向所有团队讲述这些见解,并使各团队负责改进。
  • 安全集成: 通过可重复的过程和组织所有级别的深层合作关系,将安全知识、技能和见解更深入地集成到业务和 IT 环境的日常运营中。
  • 业务弹性: 专注于确保组织能够在攻击期间继续运营(即使是在降级的状态),并且组织能够迅速退回到正常运营状态。

安全原则(Security disciplines)

  • 访问控制: 应用网络和标识会创建访问边界和分段,以降低任何安全违规操作的频率和范围
  • 安全操作: 监视 IT 操作以检测、响应违规操作并实现恢复。 使用数据持续降低违规风险
  • 资产保护: 最大程度地保护所有资产(基础结构、设备、数据、应用程序、网络和标识),以最大程度地降低整个环境的风险
  • 安全治理: 委托决策会加速创新并带来新的风险。监视决策、配置和数据以治理对整个环境、整个项目组合中的所有工作负载的决策。
  • 安全创新: 随着组织采用 DevOps 模型来加速创新,安全性必须成为 DevSecOps 过程不可或缺的一部分,并将安全专业知识和资源直接集成到此高速周期中。这涉及到将一些决策从集中的团队转移到以工作负载为中心的团队。
方法

风险洞察 – Risk insights
安全集成 – Security integration
业务弹性 – Business resilience
访问控制 – Access control
安全操作 – Security operations
资产保护 – Asset protection
安全治理 – Security governance
安全创新 – Innovation security
DevSecOps控制 – DevSecOps controls

5-Microsoft 网络安全参考体系结构

参考链接:

零信任
https://www.microsoft.com/zh-cn/security/business/zero-trust

安全文档
https://docs.microsoft.com/en-us/security/

Security in the Microsoft Cloud Adoption Framework for Azure
https://docs.microsoft.com/zh-cn/azure/cloud-adoption-framework/secure/

Azure 安全基准 (v3) 概述
https://docs.microsoft.com/zh-cn/security/benchmark/azure/overview

Security rapid modernization plan
https://docs.microsoft.com/en-us/security/compass/security-rapid-modernization-plan

Microsoft 安全最佳实践
https://docs.microsoft.com/zh-cn/security/compass/compass

Microsoft 网络安全参考体系结构
https://docs.microsoft.com/zh-cn/security/cybersecurity-reference-architecture/mcra
https://aka.ms/mcra

=END=


《“Microsoft 的安全相关资源整理”》 有 1 条评论

发表评论

您的电子邮箱地址不会被公开。