Microsoft Cloud 的風險評定指南
雲端風險評估的目標是要確保存在於或被視為要移轉至雲端的系統和數據,不會對組織造成任何新的或無法辨識的風險。 重點在於確保資訊處理的機密性、完整性、可用性和隱私權,並將識別的風險保持在可接受的內部風險閾值以下。
在共同責任模型中,雲端服務提供者 (CSP) 負責管理 雲 端作為提供者的安全性與合規性。 客戶仍須負責根據其需求和風險承受能力 ,在雲端中 管理和設定安全性與合規性。
本指南會分享最佳做法,說明如何有效率地評估廠商風險,以及如何使用 Microsoft 提供的資源和工具。
了解雲端中的共同責任
雲端部署可以分類為基礎結構即服務 (IaaS) 、平臺即服務 (PaaS) 或軟體即服務 (SaaS) 。 視適用的雲端服務模型而定,解決方案的安全性控制責任層級會在 CSP 與客戶之間轉移。 在傳統的內部部署模型中,客戶負責整個堆疊。 移至雲端時,所有實體安全性責任都會轉移至 CSP。 視貴組織的雲端服務模型而定,其他責任會轉移至 CSP。 不過,在大部分的雲端服務模型中,您的組織仍然負責用來存取雲端、網路連線能力、帳戶和身分識別,以及數據的裝置。 Microsoft 投入大量資源來建立服務,讓客戶在整個生命週期中持續掌控其數據。
Microsoft Cloud 以超大規模資料庫運作,依賴 DevSecOps 和自動化的組合來標準化作業模型。 相較於傳統內部部署作業模型,Microsoft 作業模型會變更風險的處理方式,進而實作不同且有時不熟悉的控件來管理風險。 進行雲端風險評估時,請記住,Microsoft 的目標是要確保所有風險都已解決,但不一定會實作組織所執行的相同控制措施。 Microsoft 可以使用一組不同的控制措施來解決相同的風險,而這些風險應該反映在雲端風險評估中。 此外,傳統內部部署設計中的某些風險在雲端環境中的嚴重性較低,反之亦然。 設計和實作強預防性控件可以減少偵測和矯正措施所需的許多工作。 其中一個範例是 Microsoft 實作零 常設存取 (ZSA) 。
採用架構
Microsoft 建議客戶將其內部風險和控制架構對應至以標準化方式解決雲端風險的獨立架構。 如果您現有的內部風險評估模型無法解決雲端運算隨附的特定挑戰,您將受益於這些廣泛採用和標準化的架構。 您的內部控制架構可能已經是多個標準化架構的集合,讓這些控件對應至其對應的架構,在評估期間會有所説明。
第二個優點是 Microsoft 會在檔和工具中提供這些架構的對應,以加速您的風險評估。 這些架構的範例包括 ISO 27001 資訊安全性標準、 CIS 基準檢驗和 NIST SP 800-53。 Microsoft 提供一組最完整的任何雲端解決方案提供者合規性供應專案。 如需詳細資訊,請參閱 Microsoft 合規性供應專案。
使用 Microsoft Purview 合規性管理員 建立您自己的評估,以評估符合適用於貴組織的產業和地區法規。 評定是以評定範本的架構為基礎,其中包含必要的控制措施、改進動作,以及在適用的情況下,Microsoft 用來完成評量的動作。 針對 Microsoft 動作,會提供詳細的實作計劃和最近的稽核結果。 如此一來,就可以在事實尋找、對應及研究 Microsoft 如何實作特定控件時節省時間。 如需詳細資訊,請參閱 Microsoft Purview 合規性管理員一文。
瞭解 Microsoft 如何運作以保護您的數據
雖然客戶負責管理和設定 雲端中的安全性與合規性,但雲端解決方案提供者負責管理 雲端的安全性和合規性。 驗證 CSP 有效履行其責任並履行承諾的其中一種方式,就是檢閱其外部稽核報告,例如 ISO 和 SOC。 Microsoft 會將外部稽核報告提供給服務信任入口網站上已驗證的物件 (STP) 。
除了外部稽核報告之外,Microsoft 強烈鼓勵客戶利用下列資源來協助瞭解 Microsoft 如何深入運作:
隨選學習路徑:Microsoft Learn 提供數百個不同主題的學習路徑和課程模組。 其中, 請瞭解 Microsoft 如何保護客戶數據 ,以瞭解 Microsoft 的基本安全性和隱私權做法。
Microsoft 合規性服務保證:Microsoft 做法的文章會分類為 14 個網域,以方便檢閱。 每個網域都包含一個概觀,可解決每個區域的常見風險案例。 系統會提供稽核數據表,其中包含儲存在 STP 上之最新報告的連結、相關區段,以及針對 Microsoft 線上服務 執行稽核報告的日期。 如果有的話,會提供示範控件實作的成品連結,例如第三方弱點評估和商務持續性計劃驗證報告。 如同稽核報告,這些成品裝載於 STP 上,而且需要驗證才能存取。
| 網域 | 描述 |
|---|---|
| 架構 | Microsoft 線上服務 的設計,以及做為其基礎的安全策略。 |
| 稽核記錄和監視 | Microsoft 如何擷取、處理、儲存、保護和分析記錄,以偵測未經授權的活動並監視效能。 讓安全性和效能監視成為可能。 |
| 資料中心安全性 | Microsoft 如何安全地操作數據中心,以提供操作 Microsoft 線上服務 全球的方法。 |
| 加密和金鑰管理 | 客戶通訊的密碼編譯保護,以及雲端中儲存和處理的數據。 |
| 控管、風險及合規性 | Microsoft 如何強制執行其建立和管理風險的安全策略,以符合客戶的承諾和合規性需求。 |
| 身分識別和存取管理 | 保護 Microsoft 線上服務 和客戶數據免於未經授權或惡意存取。 |
| 安全性事件管理 | Microsoft 用來準備、偵測、回應及傳達所有安全性事件的程式。 |
| 網路安全性 | Microsoft 如何保護其網路界限免於遭受外部攻擊,並管理其內部網路以限制其傳播。 |
| 人員管理 | 檢測程式、訓練,以及在 Microsoft 期間安全管理人員。 |
| 隱私權和數據管理 | Microsoft 如何處理並保護客戶數據,以保留其數據許可權。 |
| 復原和連續性 | 用來維護服務可用性的程式和技術,並確保商務持續性和復原。 |
| 安全性開發與作業 | Microsoft 如何確保其服務在整個生命週期中安全地設計、執行及管理。 |
| 供應商管理 | Microsoft 如何篩選和管理第三方公司,以協助 Microsoft 線上服務。 |
| 威脅與弱點管理 | Microsoft 用來掃描、偵測及解決弱點和惡意代碼的程式。 |
Microsoft Cloud 合規性計畫 (CPMC)
Microsoft 致力於發佈資訊,例如此網站上的文章,以協助客戶瞭解我們如何保護其數據安全,並滿足其合規性需求。 不過,很難掌握全球法規環境、流覽複雜的合規性和風險案例,並達到可接受的保證層級。 為了克服這些挑戰,Microsoft 推出了 Microsoft Cloud 合規性計畫 (CPMC) 。 CPMC 是以費用為基礎的進階計劃,提供個人化法規和產業特定合規性支援、教育與網路商機。 如需 CPMC 特定供應專案的詳細資訊,請參閱 CPMC 網站。