Microsoft Cloud 的風險評定指南
雲端風險評估的目標是確保考慮移轉至雲端的系統和資料不會對組織造成任何新的或無法辨識的風險。 重點在於確保資訊處理的機密性、完整性、可用性和隱私權,並將識別的風險保持在可接受的內部風險閾值以下。
在共同責任模型中,雲端服務提供者 (CSP) 負責管理 雲 端作為提供者的安全性與合規性。 客戶仍須負責根據其需求和風險承受度 ,在雲端中 管理和設定安全性與合規性。
本指南會分享最佳做法,說明如何有效率地評估廠商風險,以及如何使用 Microsoft 提供的資源和工具。
瞭解雲端中的共同責任
雲端部署可以分類為基礎結構即服務 (IaaS) 、平臺即服務 (PaaS) 或軟體即服務 (SaaS) 。 視適用的雲端服務模型而定,解決方案安全性控制的責任層級會在 CSP 與客戶之間轉移。 在傳統的內部部署模型中,客戶負責整個堆疊。 移至雲端時,所有實體安全性責任都會轉移至 CSP。 視貴組織的雲端服務模型而定,其他責任會轉移至 CSP。 不過,在大部分的服務模型中,您的組織仍然負責用來存取雲端、網路連線能力、您的帳戶和身分識別,以及資料的裝置。 Microsoft 投入大量資源來建立服務,讓客戶在整個生命週期中持續掌控其資料。
Microsoft Cloud 會以超大規模資料庫運作,並依賴 DevSecOps 和自動化的組合來標準化作業模型。 相較于傳統內部部署作業模型,Microsoft 作業模型會變更風險的處理方式,進而實作不同且有時不熟悉的控制項來管理風險。 進行雲端風險評估時,請記住,Microsoft 的目標是要確保所有風險都已解決,但不一定會實作組織所執行的相同控制措施。 Microsoft 可以使用一組不同的控制措施來解決相同的風險,而這些風險應該反映在雲端風險評估中。 設計和實作強預防性控制項可以減少偵測和矯正措施所需的許多工作。 其中一個範例是 Microsoft 實作零 常設存取 (ZSA) 。
採用架構
Microsoft 建議客戶將其內部風險和控制架構對應至以標準化方式解決雲端風險的獨立架構。 如果您現有的內部風險評估模型無法解決雲端運算隨附的特定挑戰,您將受益于這些廣泛採用和標準化的架構。 第二個優點是 Microsoft 會在檔和工具中提供這些架構的對應,以加速您的風險評估。 這些架構的範例包括 ISO 27001 資訊安全性標準、 CIS 基準核對總和 NIST SP 800-53。 Microsoft 提供一組最完整的任何雲端解決方案提供者合規性供應專案。 如需詳細資訊,請參閱 Microsoft 合規性供應專案。
使用 Microsoft Purview 合規性管理員 建立您自己的評估,以評估符合適用于貴組織的產業和地區法規。 評量是以評定範本的架構為基礎,其中包含必要的控制措施、改進動作,以及在適用的情況下,Microsoft 用來完成評量的動作。 針對 Microsoft 動作,會提供詳細的實作計畫和最近的稽核結果。 如此一來,就可以在事實尋找、對應及研究 Microsoft 如何實作特定控制項時節省時間。 如需詳細資訊,請參閱 Microsoft Purview 合規性管理員一文。
瞭解 Microsoft 如何運作以保護您的資料
雖然客戶負責管理和設定 雲端中的安全性與合規性,但雲端解決方案提供者負責管理 雲端的安全性與合規性。 驗證 CSP 有效履行其責任並履行承諾的其中一種方式,就是檢閱其外部稽核報告,例如 ISO 和 SOC。 Microsoft 會將外部稽核報告提供給服務信任入口網站上已驗證的物件 (STP) 。
除了外部稽核報告之外,Microsoft 強烈鼓勵客戶利用下列資源來協助瞭解 Microsoft 如何深入運作:
隨選學習路徑:Microsoft Learn 提供數百個不同主題的學習路徑和課程模組。 其中, 請瞭解 Microsoft 如何保護客戶資料 ,以瞭解 Microsoft 的基本安全性和隱私權做法。
Microsoft 合規性服務保證:Microsoft 實務相關文章會分類為 16 個網域,以便更輕鬆地檢閱。 每個網域都包含概觀,可擷取 Microsoft 如何管理與每個區域相關聯的風險。 系統會提供稽核資料表,其中包含儲存在 STP 上之最新報告的連結、相關區段,以及針對 Microsoft 線上服務 執行稽核報告的日期。 如果有的話,會提供示範控制項實作的成品連結,例如協力廠商弱點評估和商務持續性計畫驗證報告。 如同稽核報告,這些成品裝載于 STP 上,而且需要驗證才能存取。
網域 | 描述 |
---|---|
架構 | Microsoft 線上服務的設計,以及做為其基礎的安全性原則。 |
稽核記錄和監視 | Microsoft 如何擷取、處理、儲存、保護和分析記錄,以偵測未經授權的活動並監視效能。 讓安全性和效能監視成為可能。 |
資料中心安全性 | Microsoft 如何安全地操作資料中心,以提供操作 Microsoft 線上服務全球的方法。 |
加密和金鑰管理 | 客戶通訊的密碼編譯保護,以及雲端中儲存和處理的資料。 |
治理、風險和合規性 | Microsoft 如何強制執行其建立和管理風險的安全性原則,以符合客戶的承諾和合規性需求。 |
身分識別和存取管理 | 保護 Microsoft 線上服務和客戶資料免于未經授權或惡意存取。 |
安全性事件管理 | Microsoft 用來準備、偵測、回應及傳達所有安全性事件的程式。 |
網路安全性 | Microsoft 如何保護其網路界限免于遭受外部攻擊,並管理其內部網路以限制其傳播。 |
人員管理 | 檢測程式、訓練,以及在 Microsoft 期間安全管理人員。 |
隱私權和資料管理 | Microsoft 如何處理並保護客戶資料,以保留其資料許可權。 |
復原和連續性 | 用來維護服務可用性的程式和技術,並確保商務持續性和復原。 |
安全性開發與作業 | Microsoft 如何確保其服務在其生命週期中安全地設計、執行及管理。 |
供應商管理 | Microsoft 如何篩選和管理協力廠商公司,以協助 Microsoft 線上服務。 |
威脅和弱點管理 | Microsoft 用來掃描、偵測及解決弱點和惡意程式碼的程式。 |
Microsoft Cloud 合規性計畫 (CPMC)
組織與其 CSP 共同負責保護雲端中的資料和系統。 客戶必須以有效率且可重複的方式評估風險並解決法規合規性需求。 不過,可能很難流覽全球法規環境,並取得 CSP 做法的足夠深入解析,以達到可接受的保證層級。 為了克服這些挑戰,Microsoft 已啟動 Microsoft Cloud 合規性計畫 (CPMC) 。 CPMC 是以費用為基礎的進階計畫,提供個人化法規和產業特定合規性支援、教育與網路商機。 如需 CPMC 特定供應專案的詳細資訊,請參閱 CPMC 網站。
資源
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應