本文說明雲端基礎架構與平台所需的安全角色與功能。 利用這些角色將資安整合進雲端生命週期的每個階段,從開發到營運及持續改進。
組織規模決定了你如何配置這些角色。 大型企業通常為每個職位設有專門團隊。 較小的組織通常會將多個職能合併到較少的角色中。 技術平台與服務也會影響特定的安全責任。
技術與雲端團隊直接執行部分安全任務。 專業資安團隊則與技術團隊合作執行其他任務。 無論組織架構為何,利害關係人都必須了解必要的安全工作。 所有團隊都必須了解業務需求與風險承受度,才能做出明智的雲端服務決策。 利用本指南了解特定團隊與角色的功能,以及它們如何互動,以提供全面的雲端安全覆蓋。
安全性角色的轉換
隨著組織採用雲端平台與現代開發實務,安全架構、工程與營運角色正經歷重大轉變。 這種轉型影響了資安工作的執行方式、團隊協作方式,以及技術職能間的責任分配。 推動此變化的因素有多項:
轉向基於 SaaS 及雲端原生的安全工具。 SaaS平台的採用改變了資安團隊從實施到治理的重心。 資安團隊提供政策、標準及設定基準。 他們不會直接配置 SaaS 服務。 擁有 SaaS 應用程式的團隊會將這些指引應用到他們特定的工具上。 這種分離確保安全需求得到滿足,同時讓應用程式團隊能管理其服務的營運設定。
安全是工程團隊間的共同責任。 所有技術團隊現在都必須直接對他們所建置或運作的工作負載與服務執行安全控管負責。 資安團隊提供模式、指導、自動化與防護措施,使安全實施成為預設,並減少交付流程中的摩擦。
更廣泛、跨技術技能的要求。 資安團隊越來越需要了解各種技術,以及攻擊者如何在系統間移動。 由於雲端平台整合了身份、網路、運算、應用與作業層,資安專業人員必須評估端對端攻擊路徑,而非專注於狹窄的技術領域。
雲端平台與安全能力持續變化。 雲端服務快速演進,新功能也時常出現。 安全流程必須持續調整以保持效能,這需要架構、工程與營運角色具備更高的敏捷性。
對零信任原則的依賴日益增加。 現代攻擊者經常繞過網路邊界控制,使身份、裝置健康、應用程式上下文與遙測成為安全決策的核心。 工程、營運與資安等職務必須將零信任思維融入設計、配置與監控活動。
將安全整合進 DevOps 與平台工程實務。 加速發布週期要求安全活動在生命週期更早階段轉移,並透過自動化運作。 資安職務越來越多與工程及平台團隊合作,將安全檢查、政策執行與驗證嵌入 CI/CD 工作流程與營運流程中。
這些改變改變了現有角色的協作方式,而非創造新角色。 目標是確保安全成為雲端服務設計、建置、部署與運作中整合且持續的一部分。
角色和小組概觀
以下章節將介紹通常執行關鍵雲端安全功能的團隊與角色。 利用這些描述,將您現有的組織架構對應到標準的雲端安全功能。 找出保障缺口,並決定資源投入的方向。 確保所有利害關係人了解自己的安全責任,以及如何與其他團隊合作。 記錄跨團隊安全流程及技術團隊的共同責任模式。 共同責任模式運作如同負責任、問責、諮詢、知情(RACI)矩陣。 它定義了決策權威及針對特定結果的協作要求。 這些文件可防止覆蓋缺口及工作重疊。 它也防止常見的反模式,例如選擇弱認證或密碼解決方案。 如果你是較小的組織,想從最小可行安全團隊開始,請參考「 小型組織的最小可行安全團隊」。 主要資安角色包括:
雲端服務提供者
雲端服務提供者實際上是虛擬小組成員,可為基礎雲端平臺提供安全性功能和功能。 某些雲端提供者也提供您的小組可用來管理安全性狀態和事件的安全性特性和功能。 如需雲端服務提供者執行作業的詳細資訊,請參閱 雲端共用責任模型。
許多雲端服務提供者會根據要求或透過入口網站,例如 Microsoft服務信任入口網站,提供有關其安全性作法和控制的資訊。
基礎結構/平臺小組(架構、工程和作業)
基礎結構/平台架構、工程和作業小組會實作雲端安全性、隱私權和合規性控制,以及跨雲端基礎結構和平台環境(跨伺服器、容器、網路、身分識別和其他技術元件)。
工程和作業角色主要可以專注於雲端或持續整合和持續部署(CI/CD)系統,或可以跨各種雲端、CI/CD、內部部署和其他基礎結構和平台運作。
這些小組負責滿足組織雲端服務裝載商務工作負載的所有可用性、延展性、安全性、隱私權和其他需求。 他們與安全性、風險、合規性和隱私權專家合作,以推動混合和平衡所有這些需求的結果。
安全性架構、工程和狀態管理小組
安全性小組會使用基礎結構和平臺角色(以及其他角色)來協助將安全性策略、原則和標準轉譯成可採取動作的架構、解決方案和設計模式。 這些團隊專注於促進雲端團隊的安全成功。 他們評估並影響基礎設施的安全,以及用於管理基礎設施的流程和工具。 以下是基礎結構安全性小組所執行的一些常見工作:
安全性架構設計人員和工程師會 針對雲端環境調整安全策略、標準和指導方針,以與其基礎結構/平臺對應專案合作設計及實作控件。 安全性架構設計人員和工程師可協助各種元素,包括:
租使用者/訂用帳戶。安全性架構設計人員和工程師會與基礎結構架構設計人員和工程師共同作業,以及存取架構師(身分識別、網路、應用程式和其他人員),以協助跨雲端提供者建立雲端租用戶、訂用帳戶和帳戶的安全性設定(由安全性狀態管理小組監視)。
身份與存取管理(IAM)。存取架構師 (身份、網路、應用程式等)與 身份工程師及營運 與基礎架構/平台團隊合作,設計、實施並操作存取管理解決方案。 這些解決方案可防止未經授權的組織商務資產使用,同時讓授權的用戶能夠遵循商務程式,輕鬆且安全地存取組織資源。 這些團隊負責身份目錄與單一登入(SSO)解決方案、無密碼與多重驗證(MFA)、風險型條件存取解決方案、工作負載身份、特權身份/存取管理(PIM/PAM)、雲端基礎建設與授權管理(CIEM)等多項解決方案。 這些小組也會與網路工程師和作業共同作業,以設計、實作及操作安全性服務邊緣 (SSE) 解決方案。 工作負載小組可以利用這些功能,為個別工作負載和應用程式元件提供順暢且更安全的存取。
數據安全性。安全性架構設計人員和工程師會與數據和 AI 架構設計人員和工程師共同作業,以協助基礎結構 / 平臺小組建立所有數據和進階功能的基礎數據安全性功能,這些功能可用來分類和保護個別工作負載中的數據。 如需基礎數據安全性的詳細資訊,請參閱Microsoft安全性 數據保護基準。 如需保護個別工作負載中數據的詳細資訊,請參閱架構完善的架構 指導方針。
網路安全性。安全性架構設計人員和工程師會與網路架構設計人員和工程師共同作業,協助基礎結構/平臺小組建立基本的網路安全性功能,例如連線到雲端(私人/租用線路)、遠端訪問策略和解決方案、輸入和輸出防火牆、Web 應用程式防火牆 (WAFs)和網路分割。 這些小組也會與身分識別架構設計人員、工程師和作業共同作業,以設計、實作及操作 SSE 解決方案。 工作負載小組可以利用這些功能來提供個別工作負載和應用程式元件的離散保護或隔離。
伺服器和容器安全性。安全性架構設計人員和工程師會與基礎結構架構設計人員和工程師共同作業,協助基礎結構/平臺小組建立伺服器、虛擬機(VM)、容器、協調流程/管理、CI/CD 和相關系統的基礎安全性功能。 這些小組會建立探索和清查程式、安全性基準/基準設定、維護和修補程式、允許列出可執行二進位檔、範本映像、管理程式等等。 工作負載小組也可以利用這些基礎基礎結構功能,為個別工作負載和應用程式元件提供伺服器和容器的安全性。
軟體安全性基礎(適用於應用程式安全性和 DevSecOps)。安全性架構設計人員和工程師會與軟體安全性工程師共同作業,協助基礎結構/平臺小組建立應用程式安全性功能,供個別工作負載、程式代碼掃描、軟體材料帳單(SBOM) 工具、WAF 和應用程式掃描使用。 如需如何建立安全性開發生命週期的詳細資訊,請參閱 DevSecOps控件 。 如需工作負載小組如何使用這些功能的詳細資訊,請參閱 妥善架構架構中的安全性開發生命週期 指引。
軟體安全性工程師會 評估用來管理基礎結構的程式代碼、腳本和其他自動化邏輯,包括基礎結構即程式代碼 (IaC)、CI/CD 工作流程,以及任何其他自定義建置的工具或應用程式。 這些工程師應被聘用來保護編譯後應用程式、腳本及自動化平台配置中的正式程式碼。 他們會審查任何可能讓攻擊者操控系統運作的其他可執行程式碼或腳本。 此評估可能只需要對系統執行威脅模型分析,也可能牽涉到程式代碼檢閱和安全性掃描工具。 如需如何建立 SDL 的詳細資訊,請參閱 SDL 實務指引。
狀態管理(弱點管理/受攻擊面管理)是著重於技術作業小組安全性啟用的作業安全性小組。 狀態管理可協助這些小組排定優先順序並實作控件,以封鎖或減輕攻擊技術。 狀態管理小組會跨所有技術作業小組工作(包括雲端小組),而且通常可作為了解安全性需求、合規性需求和治理程式的主要方法。
狀態管理通常作為安全性基礎結構小組的卓越中心(CoE),類似於軟體工程師通常作為應用程式開發小組的安全性 CoE。 這些小組的一般工作包括下列各項。
監視安全性狀態。 使用Microsoft安全性暴露管理、Microsoft Entra 權限管理、非Microsoft弱點和外部攻擊面管理 (EASM) 和 CIEM 工具,以及自定義安全性狀態工具和儀錶板等狀態管理工具來監視所有技術系統。 此外,狀態管理會執行分析,以提供下列方式的深入解析:
期待極有可能和破壞性的攻擊路徑。 攻擊者會「以圖表思考」,透過串連多個資產與漏洞,尋找通往業務關鍵系統的路徑。 例如,入侵使用者端點設備,然後利用雜湊值/票證來獲取管理員憑證,並存取業務關鍵資料。 狀態管理小組會與安全性架構設計人員和工程師合作,以探索並降低這些隱藏的風險,這些風險不一定會出現在技術清單和報告中。
進行安全性評定 以檢閱系統設定和作業程式,以從安全性狀態工具取得技術數據以外的更深入的了解和見解。 這些評量可以採用非正式探索對話或正式威脅模型化練習的形式。
協助進行優先順序設定。 協助技術小組主動監視其資產,並排定安全性工作的優先順序。 狀態管理除了安全性合規性需求之外,還考慮安全性風險影響(根據經驗、安全性作業事件報告和其他威脅情報、商業智慧和其他來源的資訊),協助將風險降低工作納入內容。
訓練、導師和冠軍。 透過培訓、指導個人和非正式知識轉移,提高技術工程團隊的安全性知識和技能。 狀態管理角色也可以與組織整備/訓練和安全性教育及參與角色合作,進行正式的安全性訓練,並在技術小組內設定安全性,以宣傳和教育其同儕的安全性。
找出修正的差距和宣導者。 識別整體趨勢、程式差距、工具差距,以及其他風險和風險降低的見解。 狀態管理角色會與安全性架構設計人員和工程師共同作業並通訊,以開發解決方案、建置融資解決方案案例,以及協助推出修正程式。
與安全性作業協調 (SecOps)。 協助技術小組使用 SecOps 角色,例如偵測工程和威脅搜捕小組。 此所有作業角色的持續性可協助確保偵測已就緒並正確實作、安全性數據可用於事件調查和威脅搜捕、程式已備妥以進行共同作業等等。
提供報表。 將安全性事件、趨勢和效能計量及時且準確的報告提供給資深管理層和項目關係人,以更新組織風險程式。
狀態管理小組通常會從現有的軟體 弱點管理 角色進化,以解決開放式群組 零信任 參考模型中所述的完整功能、組態和操作弱點類型。 每種弱點類型都可以允許未經授權的使用者(包括攻擊者)控制軟體或系統,讓他們對商業資產造成損害。
軟體設計或實作中發生功能弱點 。 他們可以允許未經授權的控制受影響的軟體。 這些弱點可能是您自己的小組在商業或 開放原始碼 軟體中開發或瑕疵的軟體有缺陷(通常是由常見弱點和暴露標識符追蹤)。
設定弱點 是系統設定錯誤,允許未經授權存取系統功能。 這些弱點可以在進行中的作業期間引入,也稱為設定漂移。 您也可以在軟體與系統的初始部署和設定期間,或透過廠商的弱式安全性預設值來引進它們。 一些常見範例包括:
允許未經授權存取 DNS 記錄和群組成員資格等專案的孤立物件。
過多的系統管理角色或資源許可權。
使用具有已知安全性問題的較弱驗證通訊協定或密碼編譯演算法。
弱式預設組態或默認密碼。
作業弱點 是標準作業程式和允許未經授權存取或控制系統的做法的弱點。 範例包含:
安全性作業 (SecOps/SOC)
SecOps 小組有時稱為「安全性作業中心」(SOC)。 SecOps 小組著重於快速尋找和移除對組織資產的對手存取權。 他們與技術營運和工程小組密切合作。 SecOps 角色可以跨組織中的所有技術運作,包括傳統 IT、營運技術(OT)和物聯網(IoT)。 以下是最常與雲端小組互動的 SecOps 角色:
分級分析師(第1層)。 回應已知攻擊技術的事件偵測,並遵循記載的程式快速解決它們(或適當地將其呈報至調查分析師)。 視 SecOps 範圍和成熟度等級而定,這可能包括來自電子郵件、端點反惡意代碼解決方案、雲端服務、網路偵測或其他技術系統的偵測和警示。
調查分析家(第2層)。 回應需要更多經驗和專業知識的較高複雜度和更高嚴重性事件調查(超越記錄良好的解決程式)。 此小組通常會調查由即時人類敵人和影響多個系統的攻擊所進行的攻擊。 它與技術營運和工程小組密切合作,調查事件並加以解決。
威脅搜捕。 主動搜尋技術資產中已逃避標準偵測機制的隱藏威脅。 此角色使用進階分析和假設驅動調查。
威脅情報。 收集並傳播攻擊者的相關信息,以及所有項目關係人的威脅,包括商務、技術和安全性。 威脅情報小組會執行研究、分享其發現(正式或非正式),並將其傳播給各種項目關係人,包括雲端安全性小組。 此安全性內容可協助這些小組讓雲端服務對攻擊更有彈性,因為它們在設計、實作、測試和作業中使用真實世界的攻擊資訊,並持續改善。
偵測工程。 建立自定義攻擊偵測,並自定義廠商和更廣泛的社群所提供的攻擊偵測。 這些自訂攻擊偵測補充了廠商提供的常見攻擊偵測,這些偵測常見於擴展偵測與回應(XDR)工具及部分安全資訊與事件管理(SIEM)工具中。 偵測工程師會與雲端安全性小組合作,找出設計和實作偵測的機會、支援偵測所需的數據,以及偵測的回應/復原程式。
安全性治理、風險和合規性
安全性治理、風險和合規性 (GRC) 是一組相互關聯的專業領域,可將安全性小組的技術工作與組織目標和期望整合。 這些角色和小組可以是兩個或多個專業領域的混合式,也可以是離散角色。 雲端小組會透過雲端技術生命週期與上述每個專業領域互動:
治理學科是一項基礎能力。 治理團隊著重確保組織持續落實所有安全措施。 他們建立決策權(誰做什麼決策)以及連結並指導團隊的流程框架。 若沒有有效的治理,即便組織擁有所有正確的控制措施、政策與技術,仍可能被攻擊者利用那些防禦未充分、未完全或未實施的區域來攻擊。
風險管理學科專注於評估、理解及減輕組織風險。 風險管理團隊跨組織合作,建立清晰的當前風險表徵並保持其最新狀態。 雲端與風險團隊必須合作,評估並管理託管於雲端基礎設施與平台的關鍵商業服務的風險。 供應鏈安全則針對外部供應商、開源元件及合作夥伴的風險進行處理。
合規性專業領域可確保系統和程式符合法規需求和內部原則。 如果沒有此專業領域,組織可能會面臨與不符合外部義務相關的風險(罰款、責任、無法在某些市場運作的收入損失等等)。 合規性需求通常無法跟上攻擊者演進的速度,但它們仍然是重要的需求來源。
這三個專業領域都會跨所有技術和系統運作,以推動所有小組的組織成果。 這三者也都依賴彼此取得的內容,並從目前對威脅、業務和技術環境的高逼真度數據中獲益匪淺。 這些專業領域也依賴架構來表達可採取動作的願景,該願景可以實施,安全教育和原則,以建立規則,並引導小組完成許多日常決策。
雲端工程和作業小組可能會使用狀態管理角色、合規性和稽核小組、安全性架構和工程,或 GRC 主題的首席資訊安全官 (CISO) 角色。
安全教育、意識與政策
組織必須確保所有職務都具備知識、指導與信心,能在日常工作中有效運用安全措施。 教育與意識往往是組織安全態勢中最薄弱的環節,因此必須持續、角色意識明確,並融入日常運作,而非僅作為一次性的訓練活動。
一個強而有力的計畫包括結構化的教育、非正式的指導,以及技術團隊中指定的資安冠軍。 培訓內容應涵蓋網路釣魚防范、身份衛生、安全配置實務,以及工程師職位的安全開發心態。 這些努力強化了以安全為先的文化,讓個人清楚了解安全的重要性、期望採取的行動,以及如何正確執行這些行動。
安全性教育和原則必須協助每個角色瞭解:
- 為什麼。 為什麼安全在他們的責任與目標背景下如此重要。 缺乏這種理解,個人會降低安全性,專注於其他任務。
- 什麼。 具體的安全任務與期望會以符合其職務的語言進行描述。 沒有明確的資訊,人們會以為安全對他們無關緊要。
- 如何。 如何正確執行必要的安全任務,例如修補系統、安全審查程式碼、完成威脅模型,或識別釣魚攻擊。 沒有實際的指引,即使願意,人們也會失敗。
小型組織的最低可行安全團隊
小型組織通常缺乏資源,無法專注專責特定資安職能。 在這些環境中,只需承擔基本職責,且角色分量極少。 將雲端平台工程與安全責任合併為一個功能,管理安全配置、身份衛生、監控及基本事件應變。 將需要專業技能或持續覆蓋的任務外包給管理型資安服務商,例如威脅偵測優化、滲透測試或合規審查。 使用雲端原生工具,如態勢管理、身份保護、配置基線及自動化政策執行,維持穩定的安全水準,無需龐大團隊,並降低營運負擔。
範例案例:小組之間的一般互操作性
當組織部署並啟用網路應用防火牆時,必須有多個安全團隊合作,確保其有效部署、管理並整合進現有安全基礎設施。 以下是小組之間的互操作性在企業安全性組織中的外觀:
-
規劃和設計
- 治理小組會識別增強 Web 應用程式安全性的需求,並為 WAF 配置預算。
- 網路安全性架構設計人員會設計 WAF 部署策略,確保其與現有的安全性控制緊密整合,並與組織的安全性架構保持一致。
-
實作
- 網路 安全性工程師會根據架構設計人員 的設計來部署 WAF,並將其設定為保護特定的 Web 應用程式,並啟用監視。
- IAM 工程師會設定訪問控制,確保只有授權的人員可以管理 WAF。
-
監視和管理
- 狀態管理小組會提供SOC的指示,以設定WAF的監視和警示,以及設定儀錶板來追蹤WAF活動。
- 威脅情報和偵測工程小組可協助開發涉及 WAF 的事件回應計劃,並執行模擬來測試這些計劃。
-
合規性和風險管理
- 合規性和風險管理人員會檢閱 WAF 部署,以確保其符合法規需求並定期進行稽核。
- 數據 安全性工程師 可確保 WAF 的記錄和數據保護措施符合數據隱私權法規。
-
持續改善和訓練
- DevSecOps 工程師會將 WAF 管理整合到 CI/CD 管線中,確保更新和設定自動化且一致。
- 安全性教育和參與專家會開發和提供訓練計劃,以確保所有相關人員都瞭解如何有效地使用和管理 WAF。
- 雲端 治理小組成員 會檢閱 WAF 部署和管理程式,以確保它們符合組織原則和標準。
這些角色確保網頁應用防火牆被正確部署,並持續監控、管理與改進,以保護組織的網路應用程式免受不斷演變的威脅。