零信任原则下的安全现代化「Microsoft」
langu_xyz

#安全架构 网络安全架构体系参考——零信任原则下的安全现代化「Microsoft」

这一张图里干货满满,拆解开来学习下现代化的网络安全架构体系

从服务器和网络开始

现在的大多数组织都在运行着多平台环境,使用 Windows 和 Linux 服务器,在上面运行着数据中心、容器和要保护的许多不同类型、版本的应用程序。 因此大多数组织会从网络边缘/出口点部署核心安全功能(NGFW、Edge DLP、IPS/IDS、Proxy),以保护生产网和内网的资产。

…和端点和设备

许多组织利用系统内置的 Windows 功能和系统管理来提供基本的安全保障,例如打补丁和 Active Directory 帐户安全和组策略等

•Microsoft Endpoint Manager (MEM) 配置管理器和 Intune MDM/MAM 提供跨平台的统一端点管理 (UEM) 和跨Windows、Linux、Mac、iOS 和 Android 的安全性
•Windows 10 安全包括一套广泛的平台功能和硬件安全集成,以防止不断演变的攻击

SaaS 推动身份和访问安全的现代化

组织首先开始采用SaaS云服务,第一个app通常是用于电子邮件的 Office 365(或者G Suite)

这就需要使用安全的云身份(也延伸到企业资产的移动/物联网部分)在防火墙之外进行访问控制。随着数据中心上云的现代化趋势,身份在数据中心访问控制策略中也扮演着越来越重要的角色。

虽然有些人没有意识到这一点,但许多组织已经使用 Azure Active Directory 在其企业资产中部署了现代单一身份和单一登录功能(在 Office 365 部署期间配置并通过 Active Directory 连接到现有企业身份系统)

除了单点登录 (SSO) 之外,Microsoft 还为 Azure AD 提供了关键的现代安全元素,例如:

• 无密码和 MFA – 通过 Hello For Business 生物特征认证、Authenticator App(适用于任何现代手机)和 FIDO2 密钥简化用户体验和加强安全保证的能力
• 身份保护——通过泄露凭证保护、行为分析、威胁情报集成等来抵御高度流行的攻击
• Azure AD PIM 通过使用审批工作流提供对特权帐户的及时访问来降低风险
• 身份治理有助于确保正确的人能够访问正确的资源
• Azure AD B2B 和 B2C 为合作伙伴和客户/客户/公民帐户提供安全性,同时将它们与企业用户目录分开

此外,条件访问通过显式验证请求访问您的资源的用户和端点的信任,将零信任原则应用于访问控制决策。这有助于通过现代控制围绕这些现代资源构建事实上的安全边界,并在它们之间提供简单一致的策略实施。

服务信任门户提供有关 Microsoft 如何保护我们的云平台并报告合规性的信息。

Azure AD 应用代理

Azure AD 应用代理通过简化用户对本地资源的访问并通过条件访问(明确验证用户和设备信任,零信任原则)实现安全性,将现代访问控制方法(安全边界)扩展到本地资源。

数据中心成为跨多个云(IaaS、PaaS)和本地的混合基础架构

大多数组织已扩展到混合基础架构,该基础架构跨越本地和一个或多个云,提供基础架构即服务 (IaaS) 和/或平台即服务 (PaaS) 功能。

在 Azure 上,微软对 Azure Marketplace 进行了投资,以确保客户能够访问流行供应商的功能,客户通常使用这些功能将现有的本地控制扩展到云。

Microsoft 为 Azure 服务提供专用链接支持,以帮助组织将专用网络扩展到应用程序使用的 PaaS 服务。 虽然这将当前的控制和实践扩展到云,但私有网络可能不足以缓解现代攻击,因此 Microsoft 建议遵循零信任原则 (https://aka.ms/zerotrust) 使用身份、网络、 应用程序、数据和其他控件。

多云和 Azure 安全性

Microsoft 已投资于广泛的功能,以帮助保护混合多云环境及其中的工作负载。这些内置在 Azure 中,并且有几个使用 Azure Arc 扩展到您的混合基础架构资产(本地、AWS、GCP 和其他云)。

Azure Lighthouse 在 Azure 中为服务提供跨租户支持,通常由托管服务提供商和拥有多个租户的客户使用。

• Microsoft Defender for Cloud 为管理 Azure(以及跨 IaaS 和 PaaS 云)中的安全性和合规性提供了一个单一起点,包括
• Secure Score 来衡量安全状况并提供优先指导以改进它,例如
• 管理帐户不需要多重身份验证
• 直接暴露在互联网上的虚拟机
• Web 应用程序缺少 Web 应用程序防火墙 (WAF)
• 过时的补丁和反恶意软件签名
• …和许多其它的
• Compliance Dashboard 帮助您快速查看和报告合规状态以及监管指导(并快速提高您的合规性)
• Azure 防火墙是一种托管的、基于云的网络安全服务,可帮助保护您的 Azure 虚拟网络资源。
• Azure Firewall Premium(预览版)是下一代防火墙,具有高度敏感和受监管的环境(TLS 检查、IDPS、URL 过滤、Web 类别)所需的功能。
• Azure Firewall Manager 是一项安全管理服务,可为基于云的安全边界提供中央安全策略和路由管理。
• Azure Web 应用程序防火墙 (WAF) 为您的 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的影响。

微软还在其他 Azure 安全功能上投入巨资,例如分布式拒绝服务 (DDoS) 缓解措施、密钥管理、用于保护远程访问的 Azure Bastion、Azure Backup 中的防勒索软件备份存档、在处理数据时保护数据的机密计算功能, 还有很多。

数据中心和运营技术 (OT) 的威胁监控

Microsoft 威胁情报 – 在我们的正常运营过程中,Microsoft 每天处理超过 24 万亿个上下文信号,我们使用这些信号生成威胁情报,以保护我们的云服务、IT 环境和客户。此架构中的许多功能将威胁情报直接集成到威胁检测、安全指导等中。

Microsoft Defender for Cloud 为跨混合资产的基础结构以及运营技术 (OT) 提供扩展的检测和响应 (XDR) 功能。 XDR 工具旨在通过提供对特定资产类型的深入可见性以及增强的检测、响应和恢复功能(尤其是具有低误报率的高质量警报)来补充安全信息和事件管理 (SIEM)。

• Microsoft Defender for Cloud 目前涵盖最常用的基础架构服务,包括服务器/VM、存储、数据库、DNS、应用服务、Kubernetes、容器注册表、密钥保管库和资源管理器。
• Microsoft Defender for IoT 使用无代理方法帮助保护控制物理过程的 OT 系统,例如监督控制和数据采集 (SCADA) 和工业控制系统 (ICS)。此外,此功能还通过支持标准物联网操作系统(如 Linux 和 RTOS)的轻量级微代理来保护物联网设备。

安全运营/SOC

为了帮助安全运营团队管理主动攻击,Microsoft 投资了 XDR 和 SIEM 的双重策略。

Microsoft Sentinel 是一种云原生 SIEM,可提供对整个资产(IT、OT、IoT)的广泛可见性,而 XDR 功能可提供对特定资产的深入可见性,以帮助快速调查和修复(端点、电子邮件和 Office 365、身份、SaaS、Azure和多云基础架构)

• Microsoft Defender for Endpoint (MDE) – 提供高级端点检测和响应 (EDR) 功能、Web 内容过滤、威胁和漏洞管理以及数据丢失保护 (DLP)。与云应用程序一样,Microsoft 将其与我们产品组合中的其他功能集成在一起,因此您无需运行多个代理/解决方案即可实现端点安全目标。

Microsoft 专注于减少分析师的疲劳并实现对事件的快速有效响应,并专注于

• 安全编排、自动化和补救 (SOAR) 技术以及将工具集集成在一起(本机和通过提供 API)的无缝体验。
• 使用机器学习 (ML) 和行为分析 (UEBA) 快速准确地分析异常情况

Microsoft 还为我们的客户提供人类专业知识,包括

• Microsoft Threat Experts – Microsoft 365 Defender 中内置的托管搜寻服务,具有专家级监控和分析功能,可帮助确保您的独特环境中的关键威胁不会被遗漏。
• 检测和响应团队 (DART) – 和相关团队提供专业服务,帮助调查您环境中的事件并寻找潜在的现有威胁
• MSSP/MDR 提供商– Microsoft 与业内顶级专家合作,在这些功能上建立他们的专业知识,以便他们可以为我们的客户提供建议和直接支持。

此外,Microsoft Defender for Cloud Apps (MDCA) 提供云访问安全代理 (CASB) 功能,为 SaaS 应用程序提供 XDR,并为这些 SaaS 应用程序和存储在其中的数据提供治理、威胁保护、数据保护等。 MDCA 与 Microsoft 产品组合中的其他功能集成,以将其扩展到 SaaS 应用程序,以简化管理和安全性。

DevSecOps / 应用程序安全 / GitHub

Microsoft 使用我们的安全开发生命周期 (SDL) 来开发软件,并使用我们的运营安全保障 (OSA) 框架来运营云服务。 为了帮助客户安全应用,我们还提供

• SDL 和OSA 文档——帮助保护您的应用程序和操作。
• GitHub Advanced Security 提供DevSecOps 和应用程序开发安全,它在开发人员工作流程中本地集成,包括代码扫描、秘密扫描、警报、依赖项审查、安全策略等。

特权访问

Microsoft 提供有关保护特权访问 (SPA) 的说明性指南,以帮助您快速防御这些攻击技术(攻击者经常使用的高影响攻击向量)。 这是基于 Microsoft 用于保护我们的 IT 和云服务环境(内部称为安全访问工作站或 SAW)中的特权访问的方法

本指南包括用于保护帐户、设备、中介和接口(包括使用特权访问工作站 - PAW)的策略、规划和实施文档。 该方法基于零信任原则,并利用条件访问来执行策略。

信息保护/数据保护

Microsoft 信息保护和 Azure Purview 提供了一个完整的生命周期方法来发现、分类、保护和监视您的组织依赖的数据,以推动任务完成和竞争优势(以各种形式、格式和位置)
几个关键的重点领域是:

• 无论数据存储在何处或与谁共享,都可以保护文件(相对于仅在特定设备/位置上保护文件)
• 用于发现和评估 SharePoint 网站和文件共享中的现有数据的文件扫描程序
• 数据治理提供整个信息生命周期的可见性和管理
• 先进的电子发现功能,有助于简化履行这些法律义务
• 检测 Amazon S3 存储桶扫描的开放权限(在 MDCA 中) - https://docs.microsoft.com/cloud-app-security/connect-aws-to-microsoft-cloud-app-security

合规管理器 - 帮助您管理合规要求(主要基于管理我们的云服务对多个标准的合规性的经验教训)

安全分数和合规分数

安全分数 - 组织需要广泛了解其整个资产的风险和安全状况。 Microsoft 已投资帮助组织了解主要风险、确定优先级并减轻风险。
合规分数——提供关于合规状况的类似见解以及您可以采取哪些措施来改进它

人员安全

如果没有保护和教育人们 + 防范内部风险(包括无意的和蓄意的恶意),安全程序是不完整的。 Microsoft 通过以下方式投资这些领域:

• 攻击模拟器- 可用于在您的组织中运行真实的攻击场景,以帮助您识别和查找易受攻击的用户,通过 Terranova 安全提供微培训,帮助他们掌握安全知识。
• 内部风险管理- Microsoft 365 中的内部风险使您能够检测、调查和处理组织中的恶意和无意活动,从而帮助最大限度地降低内部风险。
• 通信合规性- 通过帮助您检测、捕获和处理组织中的不适当消息来帮助最小化通信风险。

除了上述这些,微软还进行了大量其他安全投资,例如安全策略顾问 (https://docs.microsoft.com/DeployOffice/overview-of-security-policy-advisor) 和 Windows 服务器安全功能 ( https://docs.microsoft.com/windows-server/security/security-and-assurance)。

  • Post title:零信任原则下的安全现代化「Microsoft」
  • Post author:langu_xyz
  • Create time:2022-05-11 21:00:00
  • Post link:https://uxss.net/2022/05/11/零信任原则下的安全现代化「Microsoft」/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.