本文概述了 Microsoft 安全采用模型的安全规则。
安全规则是 问责的结构化领域 ,可帮助组织将业务安全目标转化为整个企业中的协调行动。 它们提供一致的方法来组织策略、体系结构和运营,以管理风险和保护关键业务成果。
安全规则不将安全性视为独立控件或单个工具,而是将流程、技能和技术组织到可重复的功能领域。 这有助于确保安全投资提供可衡量的端到端结果,而不是分散的改进。
安全规则共同构成了一个完整的安全操作模型,可实现:
- 明确的安全策略和治理,
- 一致的端到端体系结构。
- 一致的技术实现和操作。
安全规则通过业务方案应用,例如保护远程工作或保护关键资产。 这些场景定义了安全工作应重点关注哪些方面,以降低风险并支持业务发展。
Tip
Microsoft提供了一套丰富的安全采用研讨会 - 安全采用框架(SAF)研讨会。 我们在此介绍的结构化采用模型(包括安全规范指导)与研讨会中提供的专家指导保持一致。 详细了解 我们的 SAF 研讨会。
采用中的安全规则
在我们的 安全采用模型中,安全规则在业务方案和技术实施之间提供组织结构。
如何使用安全规则
安全规范贯穿于我们的结构化采用模型始终。 它们遵循零信任指导原则,以支持不同受众的需求:
- 业务主管和项目负责人使用这些方法来了解安全业务场景如何落地实施,从而保护资产并管理业务风险。
- 安全领导者和架构师使用规则来塑造端到端设计,并确保技术支柱之间的一致性。
- 实施和运营团队使用规则来指导工具选择、控制部署、检测和持续改进。
学科类别
每个安全规则都符合三个类别之一,具体取决于它支持的决策类型,以及何时在安全生命周期中应用。
- 规划和监督规则:这些规则在整个安全计划中建立方向、一致性和责任。 它们定义成功的外观以及衡量和管理进度的方式。
- 技术策略规则:这些规则定义如何在技术上设计和实施安全性。 它们提供体系结构方向,指导跨多个技术领域的控制选择、工具和执行。
- 操作规则:这些规则定义每天安全运行的方式,包括持续可见性、检测、响应和改进,因为威胁和环境发生变化。
下图演示了安全类别和规则,以及它们如何跨技术支柱保持一致。
安全规则
下表显示了这些规则、它们所属的类别以及他们专注于保护的技术支柱。
| Disciplined/Category | Discipline | 支柱 |
|---|---|---|
|
安全策略、集成和治理 规划和监督。 |
建立总体安全愿景、优先级、策略和成功措施。 它确保安全工作符合业务目标和风险容忍度,并衡量和管理进度。 | 所有支柱。 |
|
安全体系结构 规划和监督。 |
确保安全控制、技术和流程协同运作,形成一个有机整体。 它使跨标识、数据、应用程序、基础结构和操作的体系结构决策保持一致,以提供一致的结果。 | 所有支柱。 |
|
访问和标识 技术策略 |
保护用户、设备、应用程序和工作负载如何访问组织资产。 这一准则通过在所有访问路径(包括网络和特权访问)上采用零信任原则,推动一种以身份为中心的一致性方法。 | 标识、网络、终结点。 |
|
基础结构安全性 技术策略 |
确保运行业务的工作负载和平台在新的开发和旧应用混合和多云环境中是安全的。 | 基础结构。 |
|
开发安全性 技术策略 |
确保应用程序和服务作为 DevSecOps 方法和安全开发生命周期(SDL)的一部分,以安全的方式进行设计、构建和维护。 这包括安全编码做法和应用程序安全测试。 | 应用。 |
|
数据安全性 技术策略 |
保护知识产权、商业机密和管控信息等数据资产。 无论数据存储在哪里或移动方式,此规则都会在整个数据生命周期内应用安全控制。 这是安全使用生成式 AI 的关键保障。 | 数据。 |
|
OT/IoT 安全性 技术策略 |
保护与物理进程和物理世界交互的 OT/IoT 系统,包括工业控制系统和 SCADA 环境。 | 端点。 |
|
安全状况管理 操作 |
持续发现、度量和确定安全风险的优先级。 它可帮助组织将修正工作集中在影响最大的漏洞和攻击路径上。 | 所有支柱。 |
|
SecOps 运行中 |
检测、响应并从当前威胁中恢复。 此规则侧重于快速响应,以最大程度地减少攻击者在入侵后访问的时间,从而限制其业务影响。 | 所有支柱。 |
后续步骤
- 开始采用安全措施。
- 选择业务方案。
- 了解 Microsoft 安全研讨会