安全性成熟度模型

建立最低可行的安全態勢，並作為進一步建設的基石。

成熟度模型的層級 1 可協助工作負載小組達成穩固的安全性基礎，以便在整個工作負載生命週期中擴充和改善。 這個基礎稱為 安全性基準，可擷取您需要實作的最低安全性需求和期望。 將基準錨定在妥善定義且成熟的業界標準和法規架構指引中。

基準應該為工作負載的架構設計提供指導。 它應該指出實作安全性機制的位置，以及這些機制與其他工作負載元件互動的方式。 基準應指導不僅是安全性工具，還有包括 DevOps 做法在內的工作負載運營相關標準化流程。 編碼做法，例如輸入驗證和輸出編碼，默認必須有內建的安全進程。 定期進行程式代碼檢閱和自動化安全性掃描。

重要策略

✓ 將基準安全性整合到軟體開發生命週期的開發階段 （SDLC）

當您開始工作負載實作的開發階段時，請標準化符合安全性基準需求的實務。 這些做法應該包括定期進行的程式代碼檢閱和自動化安全性掃描、輸入驗證和輸出編碼。 如需最佳做法的詳細資訊，請參閱 在 Azure 中開發安全的應用程式。

✓ 將身分識別和存取管理外部化至識別提供者 （IdP）

隨著工作負載開發的進展，身分識別和存取管理可能會變得複雜且繁重。 使用IdP，例如 Microsoft Entra，透過嚴格控制工作負載元件的存取和使用非人身分識別，例如受控識別，協助維護安全性標準。

IdP 也會透過多重要素驗證和詳細的存取記錄來增強安全性和合規性。 這些功能可簡化使用者互動，同時降低作業負擔。

✓ 觀察密鑰身分識別的存取模式，並套用適當的安全性層級

當您實作 IdP 解決方案時，請花一些時間觀察工作負載小組的存取行為。 了解使用者如何存取不同的工作負載元件，以便判斷要授與的適當存取層級。 尋找機會，使用受管理的識別來取代人員對流程的訪問，例如在部署和資料庫變更中。 如果人類帳戶需要存取敏感性資源，請將 Just-In-Time 存取標準化為默認機制。

折衷： 當您採用這些存取原則時，可能會遇到阻力。 有些使用者可能會認為這些原則會降低其工作速度。 請確定所有工作負載小組成員都瞭解安全性是每個人的責任，並實作強式訪問控制可協助每個人維護安全的工作負載。

✓ 加密靜止資料

保護待用數據，以協助確保數據機密性和完整性，這是新式安全性的兩個基石。 使用強式加密，並在數據存放區上套用嚴格的訪問控制。 Azure 預設會在基礎硬體層級加密所有資料存放區。 但是您可以對工作負載數據實作加密，以新增額外的安全性措施。 使用內建機制在虛擬機（VM）磁碟、記憶體帳戶和資料庫上設定加密，以保持設計簡單。

折衷： 您可以將自己的金鑰 （BYOK） 帶到許多 Azure 服務，而不是使用Microsoft管理的密鑰。 BYOK 可讓您更充分掌控您的資源，並可能滿足法規需求。 但是 BYOK 會增加操作負擔，因為您需要管理金鑰的輪替。 如果您遺失密鑰，則有可能失去數據的存取權。

✓ 加密傳輸中的數據

保護傳輸中的數據，以協助保護您的工作負載，避免可能存取數據和系統的攻擊者。 如果您沒有使用加密或使用弱式加密，攻擊者可以攔截您的數據。 請勿在任何元件中使用傳輸層安全性 （TLS） 1.1 版或更低版本。 移轉較舊的版本，讓TLS 1.2成為所有系統的預設版本。 所有跨網路或因特網傳送數據的 Azure 服務都會使用 TLS 1.2。

✓ 保護應用程式秘密

應用程式秘密是機密元件，可促進工作負載元件之間的通訊，包括密碼、API 金鑰和憑證等敏感數據，以進行驗證和資源存取。 正確管理這些秘密，以維護安全性和完整性。 不當處理可能會導致數據外泄、服務中斷、法規違規和其他問題。 使用 Azure Key Vault 之類的解決方案，安全地管理秘密。

加強部署安全性，並跨工作負載基礎結構建立威脅防護措施。

在安全性要素層級 2 中，您會以基準安全性設定為基礎來進一步降低工作負載部署期間的潛在威脅。 這個階段強調加強部署實務、建立程式代碼資產和工作負載元件的維護計劃、開發數據分類架構、保護網路輸入點，以及強化工作負載元件，這是增強整體安全性狀態的所有必要步驟。

取捨：保護您的 SDLC 是一個反覆運作的過程，需要採用新流程，有時還需要開發人員轉變心態。 對部署套用控件可能會讓開發人員感到沮喪，因此有助於培養共同負責安全性的文化。 雖然可能會減緩開發速度，但確保您的部署為您的團隊奠定長期成功的基礎。 這些措施可協助您安全地建置工作負載，並讓工作負載準備好進行作業使用，同時維持穩固的安全性狀態。

重要策略

✓ 保護 SDLC 的部署階段

安全性支柱層級 1 著重於保護 SDLC 的開發階段。 層級 2 假設您已經建立開發階段的基線安全措施，並準備好部署工作負載或工作負載元件的第一個迭代。

在此階段中，著重於建置您的部署自動化，以將效率和安全性優化。 使用 Azure Pipelines 或 GitHub Actions 等部署管線，專門利用這些管線來標準化針對工作負載的所有變更。 定期執行良好的程式代碼衛生做法，以確保您的程式代碼基底沒有可能會帶來風險的瑕疵和程序代碼。 最後，讓您的團隊熟悉Microsoft 安全性開發生命週期。 隨著工作負載的發展，請定期重新流覽本指南中的建議，以確保 SDLC 保持針對安全性優化。

折衷： 保護您的 SDLC 是一個反覆的流程，需要您採用新流程，有時也會改變開發人員的思維模式。 對部署套用控件可能會讓開發人員感到沮喪，因此有助於培養共同負責安全性的文化。 保護您的部署可能會降低開發效率，但可為您的團隊奠定長久成功的基礎。

✓ 開發維護計劃

在安全性內容中，維護計劃是指您在生命週期內採用的標準做法，以維護程式碼和工作負載元件的安全性。 建置機制和流程，以處理部署管線中的緊急修復。 例如，您可以透過團隊之間的直接溝通，並制定快​​速復原和前進計劃，來透過品質網關加速部署。

在您的標準程式中納入軟體、連結庫和基礎結構修補，以確保工作負載的所有元件一律為最新狀態。 保留版本資產目錄，以在事件回應、問題解決和系統復原期間提供協助。 您也可以使用自動化來比較這些版本與常見弱點和暴露程式中的已知弱點。

✓ 根據敏感度需求分類數據

採用數據分類系統及其支援程式，以協助確保您維護機密性和完整性。 從公用、一般、機密和高度機密等廣泛類別開始，並套用適當的安全性層級來保護整個數據存放區中的這些類別。 請考慮投資工具，例如 Microsoft Purview 來管理您的數據。 如需詳細的最佳做法，請參閱Microsoft合規性文件中 的數據分類指引 。

利弊：即使使用工具，數據分類在成本和精力方面需要付出相當的代價。 在建立初始類別並執行初始分類練習之後，請評估需要投入多少精力進行中的維護，無論是手動進行或使用工具。 請務必在估計中考慮訓練的時間和成本。

✓ 套用授權和驗證控件

在 IdP 解決方案實作中，您可以開始套用與授權和驗證相關的控制件。 使用角色型訪問控制，藉由根據使用者角色將細微的許可權套用至資源，協助限制工作負載元件的存取。 根據最低存取原則套用這些許可權。

使用條件式存取原則進一步增強控件。 這些原則會根據使用者地理位置等特定條件，或使用者裝置是否符合安全策略，授與或拒絕資源存取權。 您也可以利用即時存取等功能來控管對敏感性元件的存取權。

風險： 系統管理帳戶是您環境中最重要的攻擊媒介之一。 在仔細考慮您的需求，以及它們如何配合 特殊許可權帳戶的最佳做法之後，才應該建立和使用它們。 如果攻擊者控制系統管理帳戶，則整個環境可能會面臨嚴重風險。

✓ 保護您的網路入口流量

盡量保護您的網路入口，以改善整體安全性狀態。 安全的網路輸入是您針對外部攻擊者的第一道防線。 您的雲端提供者可能有各種工具，您可以在特定環境中使用，但請務必瞭解工作負載中的所有可能輸入點。 您可以將防火牆新增至虛擬網路或其子網，例如 Azure 虛擬網路中的網路安全組。 如果您使用 Azure SQL Database 之類的平台資源，您可能會有選項可在資源本身的組態內限制或停用公用和私人存取。 同樣地，請在實際可行的範圍內，限制或停用任何直接存取虛擬機的功能。

一般而言，選擇原生或合作夥伴防火牆來控制您工作負載的所有輸入。 您也可以使用內建於負載平衡解決方案的 Web 應用程式防火牆，例如 Azure Front Door 或 API 閘道，例如 Azure API 管理。

取捨： 防火牆解決方案可能會大幅增加您的工作負載成本，特別是在資源過度配置時。 調查最適合您情境的解決方案，並確保您可以從小規模開始，隨著工作負載的增加而逐步擴展，以控制成本。

✓ 強化受攻擊面

強化工作負載是一個需要持續改進的循環過程。 警惕並分析工作負載是否有弱點。 隨著工作負載的成熟，請使用弱點掃描工具來協助您輕鬆地識別易受攻擊的元件。 在開發初期，更好的策略可能是手動執行強化練習。 查看元件的設定，以找出潛在的弱點，例如設定錯誤或未設定的防火牆規則或不當許可權。 尋找您可以完全關閉或移除的任何未使用或不必要的元件，並尋找您可以停用的未使用帳戶。

主動識別及減輕安全性威脅，並提供徹底的評量和回應功能。

在成熟度模型的層級 3 上，您應該將進階層程式和機制整合到工作負載中，以主動識別及降低安全性威脅。 威脅模型化、網路流程分類和進階加密技術等策略，會在您已備妥的基礎機制上建立額外的準備層級。 事件回應計劃會統一威脅偵測和風險降低策略，同時標準化您管理安全性事件的方式。

重要策略

✓ 將威脅模型化納入您的軟體開發生命週期 （SDLC）

威脅模型化是一種工程技術，可用來協助識別可能會影響工作負載的威脅、攻擊、弱點和對策。 您可以使用威脅模型化來塑造工作負載的設計、符合公司的安全性目標，以及降低風險。 當您執行威脅模型化練習時，請包含下列策略：

• 驗證工作負載安全性需求。 在工作負載開發初期，完成對工作負載安全性需求的收集與編纂。 在層級 3 中，將需求驗證為威脅模型化練習中的初步步驟。

• 驗證工作負載架構圖表。 在工作負載開發和實作程式中，應早日完成具有流程的架構圖表。 在層級 3 中，您應該重新瀏覽設計，以確保其符合客戶需求。

• 識別潛在的威脅。 從外部觀點分析每個元件的潛在威脅。 判斷攻擊者如何利用特定資源來取得進一步的存取權。 根據 STRIDE 之類的業界標準方法分類威脅，以協助您瞭解每個威脅的性質，並套用適當的安全性控制。

• 規劃風險降低策略。 識別潛在威脅之後，請開始建置風險降低計劃，以增強強化設計。 將這些風險降低策略納入小組待辦專案進行追蹤。

• 使用威脅模型化工具。 使用 Microsoft威脅模型化工具之類的工具 ，讓練習更有效率，並標準化方法和報告程式。

折衷： 威脅模型化是一個密集的練習，而且可能會減緩開發速度。 請在您的開發規劃中考慮所需的額外努力。

✓ 分類網路流量

若要分類網路流量，請先檢查工作負載架構圖解，以瞭解流程的意圖和特性。 請考慮流程的網路特性，例如通訊協定和封包詳細數據，以及任何合規性需求。 根據來自外部網路的可見度來分類流程。 區分公用和私人工作負載。 實作負載平衡器或防火牆等安全性措施，以保護重要流程。

✓ 使用進階加密策略

檢閱您的合規性需求，並重新評估加密組態，以判斷如何使用進階加密策略來增強設計。 例如，您可能需要 使用雙重加密，或者您可能需要 管理加密密鑰。

如果您需要管理自己的金鑰，請使用金鑰管理服務來降低失去金鑰或無法根據您的需求輪替金鑰的風險。 判斷哪一項服務 最適合您的使用案例。

折衷： 使用雙重加密或管理您自己的密鑰，會增加工作負載的成本和作業負擔。 在您實作這些策略之前，請務必先研究這些策略以符合您的特定需求。

✓ 實作系統稽核

若要維護系統完整性，請保持系統狀態的精確且 up-to日期記錄，以及時解決任何問題。 追蹤資源建立與停用、監控配置變更，確保記錄會擷取變更的詳細數據和時間點。 此外，維護修補程式的完整檢視、偵測作系統中的變更，以及針對非預期的變更設定警示。

✓ 建置事件回應計劃

建立事件回應計劃，可讓您快速偵測並響應潛在和作用中的安全性危害。 此計畫應包含下列考慮：

• 識別工作負載小組的事件擁有者。 工作負載小組的一或多個人員應該負責接收警示通知，並與分級小組合作，有效率地回應事件。

• 調查和分診流程。 判斷適當的通訊方法，例如異步更新與語音橋接通話。 只包含必要的人員，以維持對立即問題的關注。 請確定您保留目前工作負載的架構圖表和其他檔，以確保小組可以有效率地運作。

• 從事故恢復。 像災害一樣處理安全性事件，並將事件回應計劃與商務持續性和災害復原 （BCDR） 計劃保持一致。 在重新引入已受影響的元件之前，通過減輕或解決問題，將復發的風險降到最低。

• 從事件中學習。 執行事件後檢閱，也稱為 事後檢閱，以尋找改進的機會。 在規劃中安排實作改善的時間，並在業務持續性和災難復原演練（BCDR演練）中包含改進措施。

• 與終端使用者和項目關係人通訊。 請確保您在處理事件時，隨時讓使用者和項目關係人獲得最新資訊 up-to。 定義適當的通道和頻率以傳送更新。

折衷： 調查、風險降低和復原程式可能會影響您的可靠性目標。 您可能需要在事件發生期間停用系統的各個部分。 此方法可能會影響功能或非功能需求。 商務決策者必須決定事件期間可接受的復原目標。

根據生產見解和作數據精簡安全性控制。

在第四級，您的工作負載應該已經在生產環境中運行了一段時間，以收集有關正常作業條件的有用數據。 您應該有安全性用途的可觀察性數據，包括稽核記錄、弱點掃描報告、防火牆記錄、元件使用模式、事件報告，以及其他數據點，您可以分析這些數據點以取得改進的機會。 標準化安全性機制的定期檢閱，以協助優化工作負載安全性，並強化持續改進思維。

當您精簡安全性機制時，請遵循成熟的變更管理做法，以確保所有變更都能安全地執行並維持可稽核。

重要策略

✓ 持續重新檢視並優化安全性基準

作為作業持續性改進實務的一部分，請定期檢閱安全性基準，並尋找改進機會。 當您使用新功能或技術增強工作負載時，可能會帶來新的安全性弱點。 因此，維持基準 up-to日期是必要的並行活動。 此外，隨著小組的安全性專業知識成長，您可能會發現可精簡的基準設定，進一步強化安全性狀態。

使用像 Azure 策略和 Microsoft Defender for 雲端這樣的自動化安全性治理工具，以簡化資源符合您的基準要求。

✓ 精簡您的安全性監視策略

使用生產見解來改善安全性監視和警示。 當您第一次實作資源稽核、弱點掃描或其他安全性監視時，您可能已遵循記錄層級、保留原則或其他設定的一般方法。 使用您在生產環境中收集的數據，根據符合組織標準的使用模式來精簡這些設定。 隨著工作負載的發展，請持續檢閱安全性監視和警示實作，以確保已正確設定所有資源。

✓ 加強邊緣的網路安全性

藉由套用微分列來增強網路安全性，以防止跨工作負載橫向移動。 此策略可能包括將元件移至網路安全組所保護的個別子網，或使用特定資源的內建功能來限制流量。 例如，許多 Azure 資料庫服務都包含內建防火牆，可用來限制公用和專用網存取。 請考慮下列策略：

• 只在工作負載中使用專用網。 在 Azure 中，儘可能使用 Azure Private Link 將您的虛擬網路連線到平台即服務 (PaaS) 和軟體即服務 (SaaS) 資源。 如需詳細資訊，請參閱 服務可用性。

• 保護您的 API。 使用 API 閘道解決方案，例如 Azure API 管理，來 Proxy 您的 API 呼叫。 使用 Proxy 可將後端 API 的網路存取降到最低，方法是只向呼叫端公開 Proxy 和沒有後端元件。

• 精簡您的防火牆規則。 根據生產觀察尋找機會，以精簡您的防火牆規則。 您可能已在開發初期設置了較寬鬆或廣泛的規則，您可以收緊這些規則，或者移除未使用的規則。 同樣地，新的威脅和弱點不斷出現，這使得定期更新對網路安全性至關重要。 定義防火牆組態的標準檢閱程式，作為持續改進做法的一部分，以定期檢閱和更新您的設定。

折衷： Microsegmentation 組態和 API 閘道可增加工作負載的成本和複雜度。 請謹慎套用這些措施，以避免不必要的費用和營運額外負荷。 例如，非生產環境或內部工作負載可能不需要這些量值。

✓ 精簡您的 IAM 組態

分析存取模式，以識別 IAM 組態中改善的領域。 將條件式存取和 Just-In-Time （JIT） 訪問控制套用至敏感性元件。 檢閱所有人類和非人類帳戶的許可權，以確保正確強制執行最低許可權原則。 受控識別通常具有不正確的許可權，因此將它們包含在許可權稽核中。 定期執行這些稽核，作為作業實務的一部分。

折衷： 條件式存取和 JIT 存取原則需要持續管理，而且可能需要用戶訓練。 在您實作之前，請確保它們適用於您的使用案例。

✓ 精簡事件響應計劃

在執行工作負載至生產環境之前，您無法完全模擬安全事件。 真實世界的事件提供寶貴的見解，以協助改善回應流程。 請讓參與事件回應的所有小組成員參與回顧式學習課程，以判斷哪些內容正確，以及您可以改善哪些領域。 將這些深入解析納入事件演練中，使其更現實。

策略性地投資企業級安全性解決方案和進階威脅防禦功能。

成熟度模型的層級 5 著重於高度成熟組織的進階安全性措施。 請仔細考慮以下每項建議，並與 Well-Architected 架構的其他要素相較，以確保它們與您的工作負載一致。 您應該清楚瞭解合規性需求、組織標準、工作負載生命周期計劃，以及其他可通知您決策的獨特環境因素。

重要策略

✓ 投資特製化威脅防護

較大的組織和特定產業更有可能成為特殊威脅的目標。 若要降低這些風險，請評估您是否應該投資更高層級的保護。 請考慮您的使用案例是否值得投資下列解決方案：

• 分散式阻斷服務 （DDoS） 保護。 具有很大公共影響力的組織是 DDoS 攻擊最常見的目標。 Azure 之類的雲端提供者通常包含免費基本層級的 DDoS 保護，足以用於許多使用案例。 它們也通常會提供進階層級，以抵禦較大型、更複雜的攻擊，並提供更高層級的待命支援，以協助減輕持續的攻擊。

• 自動化數據外洩防護 （DLP）。 DLP 是一種安全性策略，可識別、監視及保護敏感數據免於未經授權的存取、誤用或意外洩漏。 處理大量敏感性信息的組織，例如金融機構、醫療保健提供者和政府機構，可大幅受益於 DLP 來維護數據完整性並遵守法規。 請考慮使用 Microsoft Purview 之類的工具，將 DLP 原則自動化。

• 使用機密運算來保護使用中的數據。 雲端提供者通常會預設加密待用和傳輸中的數據。 若要進一步增強安全性，請使用機密運算解決方案來保護使用中的數據。 此解決方案對於政府實體的醫療保健和金融等受監管產業尤其重要。 Azure 提供機密 虛擬機、容器服務和其他平臺即服務和軟體即服務解決方案。 這些解決方案可讓您安全地處理敏感數據，同時防止暴露給未經授權的用戶或系統，並符合合規性需求。

✓ 投資 SIEM 和 SOAR 解決方案

SIEM 和 SOAR 解決方案，例如 Microsoft Sentinel、自動化異常行為偵測、威脅搜捕和各種響應活動。 這些解決方案可藉由管理大型複雜環境的數據收集和分析，大幅降低作業負擔，特別是針對較大型的組織。 Microsoft Sentinel 為許多Microsoft產品提供內建支援。 此支援可確保無縫整合。

✓ 投資進階安全性測試

在較早的成熟度層級中，您會標準化安全性測試，包括網路、身分識別和應用程式評量。 在第 5 層，請考慮投資模擬攻擊測試，例如戰爭遊戲練習和滲透測試。 在某些情況下，您可能需要與非Microsoft廠商互動，以執行滲透測試或其他安全性測試，以符合您的合規性需求。 研究及評估信譽良好的廠商，以確保它們為您的組織提供最佳價值。