宏庭科技為您提供 Microsoft 教學總覽,內含手把手資安教學實作,幫助您更了解 Microsoft 的安全性!我們每月都會更新內容,為您提供Microsoft 教學最全資源。
第一篇教學:共享責任
在Azure 環境中各項產品均符合相關法規規範(如ISO27001, ISO27017等),針對各產品也有提供資安規劃的最佳實踐,不過在資安的面相來說,安全性是仰賴責任共享原則(shared responsibility),這意味著安全的服務上所佈建的應用程式安全和使用安全仰賴這使用者的規範和實作。客戶在完成PoC或測試環境後,直接將現有資源轉到正式環境使用,享受了服務的同時卻遺漏了這些設定,而往往就是這些微乎其微的疏漏造成了不可彌補的漏洞。
此篇文件參考了Azure Best Practice,針對多數環境會使用的項目做了資訊安全檢測和設定的彙整,提供給各位客戶對現有的環境做基礎資安健檢。
檢測項目分為四大類:
- 帳號管理(Account Management)
- 網路(Networking)
- 日誌、監控和告警(Logging, Monitoring & Alerting)
- 虛擬引擎(Virtual Machine)
Azure對於平台上各類產品均提供了合規(compliance)[1]檢測文件,但在針對不同的環境和內容,將有不同的資安風險和安全性存在,在提供穩定的服務為前提下,Azure 提出了共享責任(Shared Responsibility)[2]的概念,意旨在提醒使用者於設計、開發和使用等情境下,思考各類安全規劃的重要性。
檢視專案中各類項目的workload分群為第一步,如同最上圖所示,雲端服務提供商為底層網路和基礎建設(infrastructure)負責,而客戶對環境中所設定的規範和資料所負責。
關於Azure環境中的各類產品的合規性和責任分權請參考下方連結資訊。
[2]Azure Shared Responsibility
客戶可針對各項次檢視現有環境是否已符合最佳實踐,若在檢視、設定以及優化上有碰到任何問題,宏庭科技將非常歡迎討論和進一步的顧問諮詢。
常見問題 FAQ
什麼是 Azure 共享責任?
Azure 共享責任 是 Microsoft Azure 雲端平台提供的服務,Azure 共享責任模型是一個資安責任劃分原則,核心概念是雲端服務商(Microsoft)負責底層網路與基礎建設的安全,客戶則負責自身環境中的設定規範與資料安全。Azure 平台上的各項產品雖已符合 ISO27001、ISO27017 等法規規範,但應用程式層面的安全性仍取決於客戶自身的設定與實作。在Azure 環境中各項產品均符合相關法規規範(如ISO27001, ISO27017等),針對各產品也有提供資安規劃的最佳實踐,不過在資安的面相來說,安全性是。
如何在 Azure 上設定 共享責任?
在 Azure第一步是檢視專案中各類 workload 的分群,確認哪些項目屬於 Microsoft 負責的基礎建設範疇,哪些屬於客戶自行管理的範疇。宏庭科技依據 Azure Best Practice 將常見環境整理為四大檢測類別:帳號管理、網路、日誌監控與告警、虛擬機器,客戶可逐項對照現有環境進行基礎資安健檢。 入口網站中,前往對應服務頁面,依步驟完成 共享責任 的建立與配置,本文提供詳細操作說明。
使用 Azure 共享責任 需要哪些先決條件?
需要擁有有效的 Azure最常見的風險來自 PoC 或測試環境直接轉正式環境時遺漏資安設定,這些微小疏漏往往造成難以彌補的漏洞。建議在轉換環境前,依據 Azure 合規性文件逐一確認各類產品的責任範圍,並針對帳號管理、網路設定等高風險項目優先完成審查。