安全概觀

Azure 安全方法 雲端採用架構 提供結構化方法來保護您的 Azure 雲端資產。 本概觀介紹適用於雲端採用架構每個方法階段的安全性指引。 安全性涵蓋策略、規劃、準備、採用、治理和營運;任何階段的間隙都會削弱整體姿勢。 您應該端對端應用安全方法，以便每個階段決策都加強保護、檢測和復原能力。

將安全性態勢現代化

安全性態勢現代化是持續提升防禦、偵測和復原能力。 這種現代化在這裡很重要，因為靜態控制在攻擊者技術演進下會迅速退化。 您應該將現代化工作與 Microsoft 零信任採用架構 保持一致，並使用零信任改進來擴充每個階段工作。

將身分識別強化、分割、適時存取及最低許可權存取、威脅偵測調整、資料保護和平臺基準自動化，整合到您的著陸區和運營中。 根據可衡量的風險降低 （例如，公開的許可權、不安全的設定、不受監控的資產） 來排定現代化衝刺的優先順序。 透過 Microsoft Defender for Cloud 中的原則、基礎設施即程式碼、持續性合規掃描和安全分數追蹤來自動化驗證程序。

準備和應對事故

事件準備和回應形成了主要控制層，限制了攻擊者的停留時間和業務中斷。 此功能很重要，因為即使是成熟的預防性控制也無法消除入侵嘗試。 您應該實作並持續改善端對端事件生命週期，涵蓋整備、偵測、分級、遏制、根除、復原和事件後學習。

編纂角色、溝通管道、證據處理和決策權限。 儀器遙測擷取和警示保真度改進，以減少誤報並加快平均偵測時間 （MTTD）。 使用 Azure 事件回應指引來優化執行手冊，進行情境演練，並透過協作流程自動化遏制動作（例如，隔離主機、撤銷權杖、隔離儲存體）。

採用中央情報局三合會原則

中央情報局三合會原則（機密性、完整性、可用性）為全面的資訊保護提供了簡潔的模型。 這個模型在這裡很重要，因為任何單一原則的差距都會造成級聯弱點。 您應該將控制項、程式、遙測和計量明確對應至每個階段的每個原則。

• 保密性 限制了對敏感資料的存取;加密、金鑰管理、身分識別、存取策略、網路分段和資料分類控制會強制執行它。
• 完整性 保持資料的正確性和完整性;雜湊、簽署、不可變儲存模式、版本控制和安全更新供應鏈可強制執行可信任狀態。
• 可用性 保持對服務和數據的及時訪問;備援設計、容錯域隔離、自動調整、健康情況探查、混沌測試、備份和災害復原協調流程可維持可存取性。

將三元組應用於驅動：

• 資料保護： 將敏感度標籤和加密控制項對應至機密性風險。
• 業務連續性： 工程師完整性和可用性保障措施以維持營運。
• 利害關係人的信心： 在審計和合規報告中證明對每項原則的可衡量遵守情況。

每篇文章都會顯示解決機密性、完整性和可用性的工作，因此您可以將這些原則內嵌到策略、設計、建置、治理和作業中。

維持安全態勢

安全態勢維持是衡量、改進和驗證控制效能的紀律週期。 這種維持很重要，因為威脅行為者會快速迭代，而靜態防禦會失去相關性。 您應該將週期性評估、優先補救、控制自動化和基於證據的報告制度化。

追蹤適用於雲端的 Microsoft Defender 中的 安全分數安全性控制 ，以量化差距，並將其與風險型計量結合 （例如，高許可權身分識別或未加密的敏感性存放區的公開） 。 透過原則、組態基準和部署管線自動執行漂移偵測。 將事件回顧和威脅情報饋送至待辦事項細化中，以便態勢變更與即時對手行為保持一致。

使用雲端安全性檢查清單

雲端安全檢查清單是安全方法執行的整合導航和追蹤輔助工具。 此清單很重要，因為它可降低遺漏風險、加速入職並支援稽核準備。 您應該將其整合到團隊工作協議和進度審查中，作為權威任務登記冊。

後續步驟