雲端安全性是共同責任

隨著運算環境從客戶控制的資料中心移至雲端資料中心,安全性的責任也會轉移。 安全性現在是雲端提供者與客戶的共同考量。 對於每個應用程式和解決方案,請務必了解您與 Azure 的職責所在。

了解安全性威脅

Azure 安全性:您與雲端

與 Azure 共同承擔安全性責任

您將進行的第一個轉換是從內部部署資料中心移至基礎結構即服務 (IaaS)。 透過 IaaS,您將使用最低層級的服務,並要求 Azure 建立虛擬機器 (VM) 和虛擬網路。 在此層級上,您仍須負責修補和保護作業系統和軟體,以及設定您的網路安全性。 在 Contoso Shipping,您在開始使用 Azure VM 時即可運用 IaaS 的優勢,以取代內部部署實體伺服器。 除了作業上的優勢,您還有安全上的優勢,也就是可以將保護網路實體部分的煩惱外包出去。

移至平台即服務 (PaaS) 即可將許多安全煩惱外包出去。 在此層級上,Azure 會負責照看作業系統和最基本的軟體,例如資料庫管理系統。 所有項目都會以最新的安全性修補程式來更新,並可與 Azure Active Directory 整合以進行存取控制。 PaaS 也帶來許多作業上的優勢。 您可以在 Azure 入口網站中使用「點選」的方式,或是執行自動化指令碼來啟動或關閉複雜、受保護的系統,並依據需求來調整這些系統,而無須手動為您的環境建置整個基礎結構和子網路。 Contoso Shipping 會使用 Azure 事件中樞,以從無人機和卡車擷取遙測資料 — 以及使用 Web 應用程式搭配採用其行動裝置應用程式的 Azure Cosmos DB 後端 — 這全都是 PaaS 的範例。

透過軟體即服務 (SaaS),幾乎所有項目都可以外包。 SaaS 是搭配網際網路基礎結構執行的軟體。 程式碼是由廠商控制,但設定為可供客戶使用。 Contoso Shipping 與很多公司一樣,都使用 SaaS 的最佳代表 Office 365!

此圖顯示雲端提供者與客戶如何分擔下列不同計算服務實作類型的安全性責任:內部部署、基礎結構即服務、平台即服務和軟體即服務。

多層式安全性方法

「深層防禦」是一種策略,採用一連串的機制來減緩為了未經授權存取資訊所發動的攻勢。 因為每一層都能提供保護,所以當其中一層出現缺口時,下一層已經就緒,可以立即遞補,防止更多資訊外洩。 Microsoft 將多層式方法應用在實體資料中心及 Azure 服務之間的安全性上。 深層防禦的目的是要保護資訊,以防遭到未經授權存取的人士竊取。

深層防禦就像一組同心圓,資料位於中心,受到層層保護。 每個環形都會為資料新增一層額外的安全性。 這種方法不需要依賴任何一層的保護,其作用在於減緩攻擊,並提供可自動或手動採取動作的警示遙測。 讓我們看看每一層。

此圖顯示以資料為中心的深層防禦。 環繞在資料周圍的同心圓包括:應用程式、運算、網路、周邊、身分識別與存取權,以及實體安全性。

代表資料的影像

資料

在絕大多數情況下,攻擊者的目標都是資料:

  • 儲存在資料庫中
  • 儲存在虛擬機器內的磁碟上
  • 儲存在 SaaS 應用程式 (例如 Office 365) 上
  • 儲存在雲端儲存體中

儲存及控制資料存取的人員,必須負責確保資料受到適當保護。 通常會有法規需求,其中規定為確保資料機密性、完整性和可用性所需具備的控制權和程序。

網路上檔案的影像

應用程式

  • 確保應用程式安全無虞,而且沒有弱點。
  • 將敏感性應用程式祕密儲存在安全的儲存媒體中。
  • 讓安全性成為所有應用程式開發的設計需求。

將安全性整合到應用程式開發生命週期,這有助於減少程式碼中引進的弱點數量。 我們支持所有開發團隊自行確認其應用程式安全無虞,而且對於安全性的要求不打折扣。

代表計算的終端機

計算

  • 保護對虛擬機器的存取。
  • 實作 Endpoint Protection,並確保系統經過修補且是最新的。

惡意程式碼、未修補的系統及未適當保護的系統都會讓您的環境易受攻擊。 這一層的重點在確定運算資源的安全,並讓您握有適當的控制權,以將安全性問題降到最低。

代表網路功能的三個已連線系統

網路功能

  • 限制資源之間的通訊。
  • 預設為拒絕。
  • 限制傳入網際網路存取,並在適當時限制傳出。
  • 實作與內部部署網路的安全連線。

在這一層,焦點會放在將您所有資源間的網路連線限制成只允許必要連線。 限制此通訊可以讓您降低整個網路中橫向移動的風險。

代表網路周邊的實體屏障

周邊

  • 使用分散式阻斷服務 (DDoS) 保護,可以在大規模攻擊導致終端使用者發生阻斷服務的情況之前,先過濾掉這些攻擊。
  • 使用周邊防火牆來找出對您網路發動的惡意攻擊,並發出警示。

在周邊網路,其用意為保護您的資源免於以網路為基礎的攻擊。 找出這些攻擊、排除其影響,並在攻擊發生時發出警示,對於保障您的網路安全至關重要。

代表安全存取的徽章

身分識別與存取

  • 控制對基礎結構的存取及變更控制權。
  • 使用單一登入和多重要素驗證。
  • 稽核事件和變更。

身分識別與存取層的用意為確保身分識別安全、只授與所需存取權及記錄變更。

代表實體安全性的保全攝影機

實體安全性

  • 實體組建安全性及控制對資料中心內運算硬體的存取,是第一道防線。

實體安全性旨在提供實體保護,以防止資產遭到存取。 這可確保無法略過其他層,並會適當地處理遺失或遭竊。

摘要

在這裡,我們已了解 Azure 為您的安全性考量帶來很多幫助。 但安全性仍是共同責任。 該責任中有多少落在我們身上,取決於我們使用哪個模型來搭配 Azure。

我們會使用「深層防禦」環形作為指引,來考量適合我們資料和環境的保護方式。