Well-Architected 工作負載必須以零信任架構建置。 安全工作負載可 抵禦攻擊 ,除了滿足業務目標外,還包含 機密性、完整性和可用性 (也稱為 CIA 三元組) 等相互關聯的安全原則。 任何安全事件都有可能成為重大漏洞,損害工作負載或組織的品牌和聲譽。 若要測量工作負載整體策略的安全效率,請從下列問題開始:
您的防禦性投資是否提供有意義的成本和摩擦,以防止攻擊者損害您的工作負載?
您的安全措施能否有效限制事件的爆炸半徑?
您是否了解控制工作負載對攻擊者有多大價值? 您是否了解工作負載及其資料被盜、無法使用或被篡改對您的業務的影響?
工作負載和作業是否可以快速偵測、回應以及從中斷中復原?
在設計系統時,請使用 Microsoft 零信任模型做為指南針來降低安全風險:
明確驗證,以便只有受信任的身分識別才能執行源自預期位置的預期和允許的動作。 這種保護措施使攻擊者更難冒充合法使用者和帳號。
針對正確的身分、具有正確權限集、在正確的持續時間內以及對正確的資產使用最低權限存取。 限制權限有助於防止攻擊者濫用合法使用者甚至不需要的權限。
假設 違反安全控制,並設計補償控制,以在主要防禦層失敗時 限制風險和損害 。 這樣做可以幫助您像對成功感興趣的攻擊者一樣思考 (無論他們如何獲得成功),從而更好地保護您的工作負載。
安全不是一次性的工作。 您必須定期實施本指南。 持續改善您的防禦和安全性知識,以協助保護您的工作負載免受攻擊者的侵害,攻擊者在開發創新攻擊媒介並新增至自動化攻擊工具包時不斷獲得存取權。
設計原則旨在建立持續的安全性心態,以協助您在攻擊者的嘗試不斷演進時,持續改善工作負載的安全性狀態。 這些原則應該指導您的架構、設計選擇和動作流程的安全性。 從建議的方法開始,並 證明一組安全性需求的優點。 設定策略之後,請使用 安全檢查清單 作為下一步來推動動作。
如果這些原則應用不當,預計會對商業營運和收入產生負面影響。 有些後果可能是顯而易見的,例如監管工作量的處罰。 其他問題可能並不那麼明顯,並且可能會在被發現之前導致持續的安全問題。
在許多關鍵任務工作負載中,安全性和可靠性是首要考慮的問題,因為某些攻擊媒介 (例如資料外洩) 不會影響可靠性。 安全性和可靠性可能會將工作負載拉向相反的方向,因為以安全為中心的設計可能會引入故障點並增加動作複雜性。 安全性對可靠性的影響通常是間接的,是透過動作約束引入的。 仔細考慮安全性和可靠性之間的取捨。
遵循這些原則,您可以提高安全有效性、強化工作負載資產並與使用者建立信任。
規劃安全性整備
努力在架構設計決策和營運中採用和實施安全實踐,並將摩擦降至最低。 |
|---|
身為工作負載擁有者,您與組織有共同的責任來保護資產。 建立符合商務優先順序的 安全性整備計劃 。 它將導致明確的流程、充足的投資和適當的問責制。 計劃應該為組織提供工作負載需求,組織也分擔保護資產的責任。 安全計劃應納入您的可靠性、健康建模和自我保護策略中。
除了組織資產之外,工作負載本身還需要受到保護,免受入侵和外洩攻擊。 零信任和中央情報局三位一體的所有方面都應納入該計劃。
功能性和非功能性需求、預算限制和其他考慮因素不應限制安全性投資或稀釋保證。 同時,您需要在設計和規劃安全投資時牢記這些限制和限制。
| 方法 | 優點 |
|---|---|
|
使用分段作為策略,在 工作負載環境、程序和團隊結構中規劃安全界限,以 隔離存取和功能。 您的細分策略應由業務需求驅動。 您可以根據組件的重要性、分工、隱私問題和其他因素來計算它。 |
您將能夠透過定義角色和建立明確的責任線來最大限度地減少營運摩擦。 此練習也可協助您識別每個角色的 存取層級 ,尤其是對於重大影響帳戶。 隔離可讓您 限制敏感流程的接觸 到僅需要存取的角色和資產。 過度暴露可能會無意中導致資訊流洩露。 總而言之,您將能夠根據每個區段的需求調整 安全工作的規模 。 |
| 透過角色型安全訓練持續培養技能,以滿足組織的需求和工作負載的使用案例。 | 一個高技能的團隊可以設計、實施和監控 安全控制,以 對攻擊者保持有效,攻擊者不斷尋找新的方法來利用系統。 組織範圍內的培訓通常側重於培養更廣泛的技能來保護通用元素。 不過,透過角色型訓練,您可以專注於開發平台供應項目和安全功能方面的 深厚專業知識 ,以解決工作負載問題。 您需要實施這兩種方法,透過 良好的設計和有效的操作來防禦對手。 |
| 請確定您的工作負載有事件回應計劃。 使用產業架構來定義準備、偵測、內含項目、風險降低和事件後活動的標準作業程序。 |
在危機時刻,必須避免混亂。 如果您有詳細記錄的計劃,負責角色可以 專注於執行 ,而不會將時間浪費在不確定的行動上。 此外,全面的計劃可以幫助您確保 滿足所有補救要求。 |
| 藉由瞭解工作負載小組外部影響所施加的安全性合規性需求,例如組織原則、法規合規性和業界標準,來加強您的安全性狀態。 | 清楚瞭解合規性需求可協助您 設計正確的安全性保證 ,並防止可能導致處罰的 不合規 性問題。 行業標準可以提供基準並影響您對工具、策略、安全保護措施、指南、風險管理方法和培訓的選擇。 如果您知道工作負載遵守合規性,您將能夠向使用者群 灌輸信心 。 |
| 在工作負載的生命週期和作業中定義並強制執行團隊層級安全標準。 努力在編碼、門控核准、發布管理以及資料保護和保留等操作中保持一致的實踐。 |
定義良好的安全做法可以 最大限度地減少疏忽 和潛在錯誤的表面積。 團隊將 優化工作,結果將是可預測 的,因為方法更加一致。 隨著時間的推移,遵守安全標準將使您能夠 識別改進機會,可能包括自動化,這將進一步簡化工作並提高一致性。 |
| 讓您的事件回應與組織中的 安全營運中心 (SOC) 集中式功能 保持一致。 | 集中事件回應功能可讓您利用專業的 IT 專業人員,他們可以即時偵測事件,以盡快解決潛在威脅。 |
保護機密性的設計
|
透過存取限制和混淆技術防止隱私、監管、應用程式和專有資訊暴露。 |
|---|
工作負載資料可依使用者、使用情況、配置、合規性、智慧財產權等進行分類。 該資料無法在已建立的信任界限之外共用或存取。 保護機密性的努力應著重於存取控制、不透明度,以及保留與資料和系統相關的活動的稽核追蹤。
| 方法 | 優點 |
|---|---|
| 實作 強大的存取控制 ,僅在需要知道的情況下授予存取權。 |
最低權限。 工作負載將受到保護,免於 未經授權的存取 和禁止的活動。 即使存取來自受信任的身分,存取 權限和暴露時間也會最小化 ,因為通訊路徑在有限的時間內開放。 |
|
根據資料的類型、敏感度和潛在風險對資料進行分類。 為每個項目指派機密層級。 包括已識別層級範圍內的系統元件。 |
明確驗證。 此評估可協助您調整適當的安全措施。 您還可以識別具有 高潛在影響 和/或風險敞口的數據和組件。 此練習可讓您的資訊保護策略更加 清晰 ,並有助於確保 達成一致。 |
| 使用 加密來保護靜態、傳輸中和處理過程中的資料。 根據指定的機密層級來建立策略。 |
假設缺口。 即使攻擊者獲得訪問權限,他們 也無法讀取正確加密的 敏感數據。 敏感性資料包含設定資訊,可用來在系統內取得進一步存取權。 資料加密可以幫助您 控制風險。 |
| 防範可能導致無端資訊暴露的漏洞。 |
明確驗證。 最大限度地減少身份驗證和授權實施、代碼、配置、操作以及源自於系統用戶社交習慣的漏洞至關重要。 最新的安全措施使您能夠 阻止已知的安全漏洞 進入系統。 您也可以透過在整個開發週期中實作例行作業,持續改善安全性保證,以減輕隨時間可能出現 的新漏洞 。 |
| 防止因惡意或無意存取資料而導致的資料外洩。 |
假設缺口。 您將能夠 通過阻止未經授權的數據傳輸來控制爆炸半徑。 此外,應用於網路、身分識別和加密的控制將保護各個層的資料。 |
| 當資料流經系統的各個元件時,保持機密等級。 |
假設缺口。 在整個系統中強制貫徹機密性等級,可讓您提供一致的防護層級。 這樣做可以防止將資料移至較低安全性層而可能導致的 弱點 。 |
| 維護所有類型存取活動的 稽核追蹤 。 |
假設缺口。 稽核記錄支援在發生事件時 更快地偵測和復原 ,並有助於持續的安全監控。 |
保護完整性的設計
|
防止設計、實作、作業和資料損毀,以避免中斷,導致系統無法提供其預期效用,或導致其在規定限制之外運作。 系統應在整個工作負載生命週期中提供資訊保證。 |
|---|
關鍵是實施控制措施,以防止篡改業務邏輯、流程、部署流程、數據,甚至較低堆疊元件,例如作業系統和啟動順序。 缺乏完整性可能會引入漏洞,從而導致機密性和可用性的破壞。
| 方法 | 優點 |
|---|---|
|
實施強大的存取控制,以驗證和授權對系統的存取。 根據權限、範圍和時間將存取降到最低。 |
最低權限。 根據控制的強度,您將能夠 防止或降低未經批准的修改帶來的風險。 這有助於確保資料一致且值得信賴。 減少訪問限制了潛在腐敗的程度。 |
|
持續防範漏洞並在供應鏈中偵測漏洞 ,以阻止攻擊者將軟體故障注入您的基礎設施、建置系統、工具、程式庫和其他依賴項。 供應鏈應該在 建置時間和執行階段期間掃描弱點。 |
假設缺口。 了解軟體的來源並在整個生命週期中驗證其真實性將 提供可預測性。 您將 提前了解漏洞 ,以便主動修復它們並確保系統在生產環境中的安全。 |
| 使用證明、程式碼簽署、憑證和加密等密碼編譯技術建立信任和驗證。 透過允許信譽良好的解密來保護這些機制。 |
明確驗證, 最低權限。 您會知道資料變更或系統存取權是由 可信任來源驗證的。 即使加密資料在傳輸過程中被惡意行為者攔截,該行為者也無法解鎖或解密內容。 您可以使用數位簽章來確保資料在傳輸過程中不會被竄改。 |
| 確保備份資料在 複製或傳輸資料時不可變且加密。 |
明確驗證。 您將能夠放心地恢復數據,因為備份 數據沒有在靜態、無意或惡意時發生更改。 |
| 避免或減輕允許您的工作負載在其預期限制和目的之外運作的系統實作。 |
明確驗證。 當您的系統具有強大的保護措施來檢查使用是否符合其預期限制和目的時,計算、網路和資料存放區的潛在濫用或竄改範圍就會減少。 |
旨在保護可用性的設計
|
使用強大的安全控制,防止或將系統和工作負載停機時間以及發生安全事件時的降級降到最低。 您必須在事件期間和系統復原之後維護資料完整性。 |
|---|
您需要平衡可用性架構選擇與安全架構選擇。 系統應該有可用性保證,以確保使用者能夠存取資料,並且資料是可存取的。 從安全角度來說,使用者應該在允許的存取範圍內進行動作,並且資料必須是可信任的。 安全性控制應阻止不良行為者,但不應阻止合法使用者存取系統和數據。
| 方法 | 優點 |
|---|---|
|
防止遭到入侵的身分識別濫用存取權 來取得系統控制權。 檢查範圍 和時間限制是否過於普遍 ,以盡量減少風險敞口。 |
最低權限。 此策略可降低對關鍵資源進行 過度、不必要或濫用存取權限的風險 。 風險包括未經授權的修改,甚至刪除資源。 利用平台提供的 Just-In-Time (JIT)、Just-Enough-Access (JEA) 和以時間為基礎的安全性模式,盡可能取代常設權限。 |
| 使用安全控制和設計模式來 防止攻擊和程式碼缺陷導致資源耗盡 和阻止存取。 |
明確驗證。 系統不會因惡意操作(例如分散式阻斷服務 (DDoS) 攻擊)而導致停機。 |
| 針對利用應用程式程式碼、網路協定、身分系統、惡意軟體防護和其他領域漏洞 的攻擊媒介實施預防措施 。 |
假設缺口。 實施程式碼掃描程式、套用最新的安全性修補程式、更新軟體,並持續使用有效的反惡意軟體保護您的系統。 您將能夠減少攻擊面以確保業務連續性。 |
| 對系統中易受風險影響的關鍵元件和流程進行安全控制的優先順序。 | 假設違規,明確驗證。 定期偵測和優先順序練習可以幫助您將 安全專業知識應用於系統的關鍵方面 。 您將能夠專注於最可能和最具破壞性的威脅,並在最需要關注的領域開始風險緩解。 |
| 在 復原資源和程序中 套用至少與在主要環境中相同的安全嚴格程度,包括安全控制和備份頻率。 |
假設缺口。 您應該在災難復原中保有一個可用的安全系統狀態。 如果這樣做,您可以容錯移轉至安全的次要系統或位置,並還原不會造成威脅的備份。 精心設計的流程可以防止安全事件阻礙復原流程。 損壞的備份資料或無法解密的加密資料可能會減慢復原速度。 |
維持及發展您的安全性態勢
|
結合持續改進並保持警惕,以領先於不斷發展攻擊策略的攻擊者。 |
|---|
您的安全態勢不得隨著時間的推移而降低。 您必須持續改善安全作業,以便更有效率地處理新的中斷。 努力使改進與行業標準定義的階段保持一致。 這樣做可以做好更好的準備,縮短事件檢測時間,並有效遏制和緩解。 持續改進應基於從過去事件中學到的教訓。
請務必測量您的安全性狀態、強制執行原則以維持該狀態,並定期驗證安全性風險降低和補償控制,以便在面對不斷變化的威脅時持續改善安全性狀態。
| 方法 | 優點 |
|---|---|
|
建立和維護完整的資產清查 ,其中包含資源、位置、相依性、擁有者和其他與安全性相關的中繼資料的分類資訊。 盡可能 自動化庫存 以從系統獲取數據。 |
組織良好的清單提供了 環境的整體視圖,這使您在對抗攻擊者時處於有利地位,尤其是在事件後活動期間。 它還制定了一種業務節奏,以推動溝通、維護關鍵組件,以及退役遺棄的資源。 |
| 執行威脅建模 以識別和減輕潛在威脅。 | 您將收到一份按其嚴重性級別確定優先級的 攻擊媒介報告 。 您將能夠快速識別威脅和漏洞並設定對策。 |
| 定期擷取資料,以根據已建立的安全基準量 化您目前的狀態 ,並 設定補救的優先順序。 利用平台提供的功能進行 安全性狀態管理 ,並強制執行外部和內部組織所施加的 合規性 。 |
您需要準確的報告,為重點領域帶來清晰度和共識。 您將能夠立即 執行技術補救,從優先順序最高的項目開始。 您還將 找出差距,從而提供改進的機會。 實施執行措施有助於防止違規和退步,從而保護您的安全態勢。 |
| 由工作負載小組外部的專家進行定期安全性測試,這些專家會嘗試以合乎道德的方式入侵系統。 執行例行和整合的 漏洞掃描 ,以偵測基礎設施、依賴項和應用程式程式碼中的漏洞。 |
這些測試可讓您使用滲透測試等技術模擬 真實世界的攻擊 ,以驗證安全性防禦。 威脅可以在變更管理過程中被引入。 將掃描器整合到部署管道中,可讓您自動偵測弱點,甚至隔離使用情況,直到移除弱點為止。 |
| 透過快速有效的安全操作進行偵測、回應和復原。 | 這種方法的主要好處是它使您能夠在攻擊期間和之後保留 或恢復 CIA 三合會的安全保證 。 一旦偵測到威脅,您就需要收到警示,以便您可以開始調查並採取適當的動作。 |
| 進行事件後活動 ,例如根本原因分析、事後分析和事件報告。 | 這些活動提供了對違規影響和解決措施的深入了解,從而推動了防禦和行動的改進。 |
|
了解最新動態,並保持最新狀態。 隨時了解更新、修補和安全修復。 持續評估系統,並根據審計報告、基準測試和測試活動的經驗教訓進行改進。 酌情考慮自動化。 使用由安全分析提供支援的威脅情報來動態偵測威脅。 定期檢閱工作負載是否符合安全開發生命週期 (SDL) 最佳實務。 |
您將能夠確保您的 安全態勢不會隨著時間的推移而降低。 透過整合真實世界攻擊和測試活動的發現,您將能夠對抗不斷改進和利用新類別漏洞的攻擊者。 重複性任務的自動化減少了可能由人為錯誤引起的風險。 SDL 檢閱可讓您清楚了解安全性功能。 SDL 可協助您維護工作負載資產及其安全報告的清單,其中涵蓋來源、使用情況、作業弱點和其他因素。 |