Microsoft Cloud 风险评估指南 – Microsoft Service Assurance | Microsoft Learn
云风险评估的目标是确保考虑迁移到云的系统和数据不会向组织引入任何新的或无法识别的风险。 重点是确保信息处理的机密性、完整性、可用性和隐私性,并将识别的风险保持在可接受的内部风险阈值以下。
在共同责任模型中,云服务提供商 (CSP) 负责管理云 作为提供商的安全性和合规性。 客户仍负责根据其需求和风险容忍度管理和配置 云中的 安全性和合规性。
本指南分享了如何有效评估供应商风险以及如何使用 Microsoft 提供的资源和工具的最佳做法。
了解云中的共同责任
云部署可分为基础结构即服务 (IaaS) 、平台即服务 (PaaS) 或 SaaS) (软件即服务。 根据适用的云服务模型,解决方案安全控制的责任级别在 CSP 和客户之间发生变化。 在传统的本地模型中,客户负责整个堆栈。 迁移到云时,所有物理安全责任都转移到 CSP。 根据组织的云服务模型,其他责任将转移到 CSP。 但是,在大多数服务模型中,组织仍负责用于访问云、网络连接、帐户和标识以及数据的设备。 Microsoft 在创建服务方面投入了大量资金,使客户能够在整个生命周期内控制其数据。
Microsoft Cloud 以超大规模方式运行,依赖于 DevSecOps 和自动化的组合来标准化操作模型。 与传统的本地操作模型相比,Microsoft 操作模型改变了风险处理方式,导致实施不同的(有时甚至是不熟悉的控制措施)来管理风险。 进行云风险评估时,请记住,Microsoft 的目标是确保所有风险都得到解决,但不一定实施组织所做的相同控制。 Microsoft 可能会使用一组不同的控制措施解决相同的风险,这些控制措施应反映在云风险评估中。 设计和实施强有力的预防性控制可以减少检测和纠正控制所需的大量工作。 例如,Microsoft (ZSA) 实现零站立访问 。
采用框架
Microsoft 建议客户将其内部风险和控制框架映射到以标准化方式解决云风险的独立框架。 如果现有的内部风险评估模型不能解决云计算带来的特定挑战,你将从这些广泛采用和标准化的框架中受益。 第二个好处是,Microsoft 在文档和工具中提供了针对这些框架的映射,可加速风险评估。 这些框架的示例包括 ISO 27001 信息安全标准、 CIS 基准和 NIST SP 800-53。 Microsoft 提供任何 CSP 中最全面的合规性产品/服务。 有关详细信息,请参阅 Microsoft 合规性产品/服务。
使用 Microsoft Purview 合规性管理器 创建自己的评估,以评估适用于组织的行业和区域法规的合规性。 评估基于评估模板框架,其中包含完成评估所需的控制措施、改进操作和 Microsoft 操作(如果适用)。 对于 Microsoft 操作,提供了详细的实施计划和最近的审核结果。 这样,就可以节省在事实查找、映射和研究 Microsoft 如何实现特定控件方面节省时间。 有关详细信息,请参阅 Microsoft Purview 合规性管理器一文。
了解 Microsoft 如何操作来保护你的数据
虽然客户负责管理和配置 云中的安全性和合规性,但 CSP 负责管理 云的安全性和合规性。 验证 CSP 是否有效履行职责并履行承诺的一种方法是查看其外部审核报告,例如 ISO 和 SOC。 Microsoft 在 服务信任门户 (STP) 上向经过身份验证的受众提供外部审核报告。
除了外部审核报告外,Microsoft 还强烈建议客户利用以下资源来帮助了解 Microsoft 的深层操作方式:
- 按需学习路径:Microsoft Learn 针对不同主题提供了数百个学习路径和模块。 其中, 了解 Microsoft 如何保护客户数据 ,以了解 Microsoft 的基本安全和隐私做法。
- Microsoft 合规性服务保障:有关 Microsoft 做法的文章分为 16 个域,以便更轻松地查看。 每个域都包含一个概述,用于捕获 Microsoft 如何管理与每个领域相关的风险。 提供的审核表包含 STP 上存储的最新报表链接、相关部分以及 Microsoft 联机服务审核报告的执行日期。 如果可用,则会提供指向演示控制实现的项目的链接,例如第三方漏洞评估和业务连续性计划验证报告。 与审核报告一样,这些项目托管在 STP 上,需要进行身份验证才能访问。
域 | 说明 |
---|---|
体系结构 | Microsoft 联机服务的设计以及充当其基础的安全原则。 |
审核日志记录和监视 | Microsoft 如何捕获、处理、存储、保护和分析日志,以检测未经授权的活动并监视性能。 使安全和性能监视成为可能。 |
数据中心安全 | Microsoft 如何安全地运营数据中心,以便在全球范围内运营 Microsoft 联机服务。 |
加密和密钥管理 | 对云中存储和处理的客户通信和数据的加密保护。 |
治理、风险和合规性 | Microsoft 如何强制执行其创建的安全策略和管理风险,以满足客户的承诺和合规性要求。 |
标识和访问管理 | 保护 Microsoft 联机服务和客户数据免受未经授权的或恶意访问。 |
安全事件管理 | Microsoft 用于准备、检测、响应和传达所有安全事件的过程。 |
网络安全性 | Microsoft 如何保护其网络边界免受外部攻击,以及如何管理其内部网络以限制其传播。 |
人事管理 | 在 Microsoft 期间,对人员进行筛选、培训和安全管理。 |
隐私和数据管理 | Microsoft 如何处理和保护客户数据以保留其数据权限。 |
弹性和连续性 | 用于维护服务可用性并确保业务连续性和恢复的流程和技术。 |
安全开发和运营 | Microsoft 如何确保其服务的整个生命周期都设计、运行和管理安全。 |
供应商管理 | Microsoft 如何筛选和管理协助 Microsoft 联机服务的第三方公司。 |
威胁和漏洞管理 | Microsoft 用于扫描、检测和解决漏洞和恶意软件的过程。 |
Microsoft Cloud 合规性计划 (CPMC)
组织与其 CSP 共同负责保护云中存在的数据和系统。 客户需要以高效、可重复的方式评估风险并满足法规合规性要求。 但是,可能很难驾驭全球法规环境,并深入了解 CSP 的做法,以达到可接受的保证级别。 为了克服这些挑战,Microsoft 推出了Microsoft Cloud 合规性计划 (CPMC) 。 CPMC 是一项基于费用的高级计划,提供个性化的法规和行业特定合规性支持、教育和网络机会。 有关 CPMC 特定产品/服务的详细信息,请查看 CPMC 网站。
资源
- 视频:了解 Microsoft 如何保护客户数据
- 利用 Microsoft 超大规模云计算 (HSCC) 解决方案的云治理
- Microsoft 云中金融机构的风险评估和合规性指南
- 集中风险:来自 Microsoft 的观点
- 服务信任门户
Microsoft Purview 风险和合规性解决方案 | Microsoft Learn
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/tech/cloud/312363.html