最佳做法简介
本模块介绍零信任的文章和Microsoft网络安全功能的最佳做法框架。
假设你是大型组织中的网络安全架构师。 你一直负责使组织的网络安全现代化。 你知道最佳做法对于实现此目标至关重要,但不确定要使用哪个框架。 你听说过零信任及其潜在优势,但你不确定如何开始。 本模块可帮助你了解最佳做法以及如何将其用作网络安全架构师。 你还将了解零信任的概念以及如何在组织中开始使用它。
该模块分为五个单元:
- 最佳做法简介
- 零信任简介
- 零信任计划
- 零信任技术支柱第 1 部分
- 零信任技术支柱第 2 部分
在本模块结束时,你将了解如何将最佳做法用作网络安全架构师,了解零信任的概念,以及如何使用它实现组织的网络安全现代化,并了解何时使用 MCRA、CAF 和 WAF 等不同最佳做法框架。
学习目标
完成本模块后,学习者能够:
- 了解如何以网络安全架构师的身份使用最佳做法。
- 了解零信任的概念,以及如何使用它实现组织网络安全的现代化。
- 了解何时使用 MCRA、CAF 和 WAF 等不同最佳做法框架。
本模块中的内容可帮助你为“认证考试 SC-100:Microsoft 网络安全架构师”做好准备。
先决条件
- 具有安全策略、要求、零信任体系结构和混合环境管理的概念性知识
- 具有使用零信任策略、应用安全策略以及根据业务目标开发安全要求方面的工作经验
最佳做法
最佳做法 是执行已发现最有效的或最有效的作的方法。 最佳做法有助于避免错误,并确保不会浪费资源和精力。
最佳做法有多种形式:
- 具体说明要做什么,为什么做它,谁应该这样做,以及如何做它
- 用于帮助不同类型的决策和作的高级原则
- 作为参考体系结构的一部分的指南,该体系结构描述应包含在解决方案中的组件以及如何将它们集成在一起
Microsoft在各种形式的指南中嵌入了安全最佳做法,包括:
- Microsoft网络安全参考体系结构
- Microsoft 云安全基准
- 云采用框架 (CAF)
- Azure Well-Architected 框架 (WAF)
- Microsoft安全最佳做法
反模式
反模式是导致负面结果的常见错误。 这与最佳做法相反。 许多最佳做法旨在帮助你避免反模式。
帮助你克服许多反模式的最佳做法示例是定期应用安全修补程序。 Microsoft观察到了多个反模式,这些反模式会定期应用此基本且至关重要的安全最佳做法:
我们不会修补(除非它至关重要) - 此反模式会避免修补程序安装,因为隐式假设修补程序不重要。 另一个版本是,“它不会发生在我们身上”,一种信念是,未修补的漏洞不会被利用,因为它以前没有发生(或尚未检测到)。
等待补丁完美而不是构建复原能力 - 这种反模式避免修补,因为担心补丁可能会出错。 此反模式还会增加攻击者停机的可能性。
破碎的问责模型 - 此反模式对修补程序的负面结果负责。 此责任模型会导致其他团队取消安全维护的优先级
过度自定义修补程序选择 - 此反模式使用唯一的条件进行修补,而不是应用所有制造商建议的修补程序。 此自定义实际上可创建 Windows、Linux 和从未在该确切配置中测试的应用程序的自定义版本。
仅关注作系统 - 此反模式修补程序仅修补服务器和工作站,而无需同时解决容器、应用程序、固件和 IoT/OT 设备的问题
架构师如何使用最佳做法
安全最佳做法必须集成到人员的技能和习惯、组织流程和技术体系结构和实施中。
网络安全架构师通过执行以下作帮助集成安全最佳做法并使其可作:
- 将最佳做法集成到安全体系结构和策略中
- 建议安全领导者如何将最佳做法集成到业务流程、技术流程和文化中。
- 建议技术团队实施最佳做法,以及哪些技术功能使最佳做法更易于实现。
- 建议组织中的其他人,如企业架构师、IT 架构师、应用程序所有者、开发人员等,了解如何在其所有权领域集成安全最佳做法。
除非有理由避免最佳做法,否则请遵循最佳做法。 除非有特定原因避免组织,否则组织应遵循明确且有理由的最佳做法。 虽然某些组织出于良好原因可以忽略某些最佳做法,但组织在忽略Microsoft提供的高质量最佳做法之前应谨慎。 最佳做法并非完全适用于所有情况,但它们已被证明可在其他地方工作,因此不应忽略或更改它们,而无需充分的理由。
适应但不过度自定义 - 最佳做法是跨大多数组织工作的一般指导。 可能需要将最佳做法适应组织的独特情况。 应小心不要将它们自定义到原始值丢失的点。 其中一个示例是采用无密码和多重身份验证,但对攻击者最重视的业务和 IT 帐户造成最大影响,则发出例外。
采用最佳做法将减少常见错误,提高整体安全有效性和效率。 下图总结了重要的反模式和最佳做法。
应选择哪个框架?
| Framework | 概要 | 何时使用 | 观众 | 组织 | 材质 |
|---|---|---|---|---|---|
| 零信任 RaMP 计划 | 零信任指南基于旨在提供高影响领域的快速胜利的举措。 按时间顺序组织的计划,并确定关键利益干系人。 | 想要开始使用零信任并快速取得进展。 | 云架构师、IT 专业人员和企业决策者 | 早期云和零信任采用者 | 具有清单的项目计划 |
| 零信任部署目标 | 零信任指南,其中包含每个技术支柱的详细配置步骤。 比 RaMP 计划更全面。 | 如果想要更全面的零信任指南。 | 云架构师、IT 专业人员 | 在零信任方面取得了一些进展的组织,并希望提供详细的指导,以充分利用技术。 | 主要和辅助目标的部署计划。 |
| MCRA | MCRA 是一组关系图,其中包括许多与零信任 RaMP 中的访问控制现代化计划相关的最佳做法 | 如果需要:安全体系结构的起始模板、安全功能的比较参考、了解Microsoft功能、了解Microsoft集成投资 | 云架构师、IT 专业人员 | 早期云和零信任采用者 | 带图表的 PowerPoint 幻灯片 |
| MCSB | 一个框架,用于根据行业标准和最佳做法评估组织的云环境的安全状况。 | 查找有关如何实现安全控制并监视其符合性的指导。 | 云架构师、IT 专业人员 | 全部 | 控件和服务基线的详细规范 |
| 咖啡馆 | 整个云采用生命周期中最佳做法的文档和实现框架,提供了使用 Azure 进行云迁移和管理的分步方法。 | 想要为云创建和实施业务和技术策略时。 | 云架构师、IT 专业人员和企业决策者 | 需要 azure Microsoft技术指南的组织 | 最佳做法、文档和工具 |
| WAF | 旨在帮助客户为 Azure 中的应用程序和工作负荷构建安全、高性能、可复原且高效的基础结构的框架,采用五大要素:成本优化、卓越运营、性能效率、可靠性和安全性。 | 当你希望提高云工作负荷的质量时。 | 云架构师、IT 专业人员 | 全部 | Azure Well-Architected 评审、Azure 顾问、文档、合作伙伴、支持和服务产品/服务、参考体系结构、设计原则 |