你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此清单提供了一组安全建议,可帮助你确保工作负荷安全且与零信任模型保持一致。 如果尚未勾选以下选项框并考虑权衡,则设计可能面临风险。 请仔细考虑清单中涵盖的所有点,以增强对工作负荷安全性的信心。
清单
| Code | 建议 | |
|---|---|---|
| ☐ | SE:01 | 建立符合合规性要求、行业标准和平台建议的安全基线 。 根据基线定期测量工作负载体系结构和操作,以随着时间的推移维持或改善安全状况。 |
| ☐ |
SE:02 SE:02 |
通过使用强化的、大部分自动化的、可审计的软件供应链来维护安全的开发生命周期 。 使用威胁建模来整合安全设计,以防止安全失效的实现。 |
| ☐ | SE:03 | 对数据处理中涉及的所有工作负载数据和系统进行分类并一致地应用敏感度和信息类型标签 。 使用分类影响工作负荷设计、实现和安全优先级。 |
| ☐ | SE:04 | 在体系结构设计和平台上工作负载的占用空间中创建有意的分段和边界 。 分段策略必须包括网络、角色和职责、工作负载标识和资源组织。 |
| ☐ | SE:05 | 在所有工作负载用户、团队成员和系统组件中实施严格、有条件且可审计的身份和访问管理(IAM)。 根据需要将访问权限限制为独占。 对所有身份验证和授权实现使用现代行业标准。 限制和严格审核不基于标识的访问。 |
| ☐ | SE:06 | 跨入口流和出口流隔离、筛选和控制网络流量。 通过在网络中东西向和南北向所有可用的网络边界使用本地化的网络控制来应用纵深防御原则。 |
| ☐ | SE:07 | 使用现代行业标准方法 加密数据,以保护机密性和完整性。 使加密范围与数据分类保持一致,并确定本机平台加密方法的优先级。 |
| ☐ | SE:08 | 强化所有工作负荷组件,通过减少多余的暴露面并收紧配置来增加攻击者的成本。 |
| ☐ | 东南:09 | 通过强化应用程序机密的存储、限制访问和作以及审核这些作来保护应用程序机密 。 运行可靠且定期的轮换过程,以便为紧急情况临时轮换。 |
| ☐ | 东南:10 | 实施整体监控策略,该策略 依赖于可与平台集成的现代威胁检测机制。 机制应可靠地对会审发出警报,并将信号发送到现有 SecOps 进程。 |
| ☐ | SE:11 | 建立全面的测试方案 ,结合预防安全问题、验证威胁防御实施和测试威胁检测机制的方法。 |
| ☐ | SE:12 | 定义和测试有效的事件响应过程 ,涵盖从本地化问题到灾难恢复的一系列事件。 明确定义运行过程的团队或个人。 |
后续步骤
建议您审阅“安全权衡”章节,以探索其他概念。