叙事的演变

首席信息官花了几个月与同事和公司的法律人员合作。一名具有网络安全专业知识的管理顾问参与其中，以帮助现有的IT安全和IT治理团队起草有关受保护数据的新政策。该小组能够促进董事会支持以取代现有政策，允许敏感的个人和财务数据由经过批准的云提供商托管。这需要采用一组安全要求和治理流程来验证和记录对这些策略的遵守情况。

在过去的12个月中，云采用团队已经清除了两个数据中心的5,000个资产中的大部分资产。 350个不兼容的资产被移动到备用数据中心。仅保留包含受保护数据的1,250个虚拟机。

云治理团队的演变

云治理团队继续与叙述一起发展。该团队的两位创始成员现在是该公司最受尊敬的云架构师之一。随着新团队应对创新的新部署，配置脚本的集合也在不断增加。云治理团队也在发展壮大。最近，IT运营团队的成员加入了云治理团队活动，为云运营做好准备。帮助培养这个社区的云架构师被视为云监控器和云加速器。

虽然差异很微妙，但在构建以治理为重点的IT文化时，这是一个重要的区别。云托管人清理由创新云架构师制造的混乱，这两个角色具有自然摩擦和对立目标。云守护者有助于保持云的安全，因此其他云架构师可以更快地移动，减少混乱。云加速器执行这两个功能，但也参与模板的创建以加速部署和采用，成为创新加速器以及云治理五个学科的捍卫者。

当前状态的演变

在这个叙述的前一阶段，该公司已经开始退休两个数据中心的过程。这项持续的工作包括使用传统身份验证要求迁移某些应用程序，这需要演变身份基准，如前一篇文章所述。

从那以后，有些事情发生了变化，影响了治理：

1. 已将数千个IT和业务资产部署到云中。
2. 应用程序开发团队实施了持续集成和持续部署（CI / CD）管道，以部署具有改进用户体验的云原生应用程序。该应用程序尚未与受保护的数据交互，因此它不是生产就绪的。
3. IT中的业务智能团队主动从物流，库存和第三方数据中提取云中的数据。这些数据被用于推动新的预测，这可能会影响业务流程。但是，在将客户和财务数据集成到数据平台之前，这些预测和见解是不可行的。
4. IT团队正在推进CIO和CFO计划退休两个数据中心。这两个数据中心中的近3,500个资产已经退役或迁移。
5. 有关敏感个人和财务数据的政策已经现代化。但是，新的公司政策取决于相关安全和治理政策的实施。球队仍然停滞不前。

未来状态的演变

1. 应用程序开发和BI团队的早期实验显示了客户体验和数据驱动决策的潜在改进。通过将这些解决方案部署到生产中，两个团队都希望在未来18个月内扩展云的采用。
2. IT已经开发了将另外五个数据中心迁移到Azure的商业理由，这将进一步降低IT成本并提供更高的业务灵活性。虽然规模较小，但这些数据中心的退役预计会使总成本节省增加一倍。
3. 资本支出和运营支出预算已经批准实施所需的安全和治理政策，工具和流程。数据中心退休后的预期成本节约足以支付这项新举措的费用。 IT和业务领导者相信，这项投资将加速实现其他领域的回报。基层云治理团队成为了一支具有敬业领导和人员配置的公认团队。
4. 云采用团队，云治理团队，IT安全团队和IT治理团队将共同实施安全和治理要求，以允许云采用团队将受保护的数据迁移到云中。

有形风险的演变

数据泄露：采用任何新数据平台时，与数据泄露相关的负债固有增加。采用云技术的技术人员已经增加了实施可以降低风险的解决方案的责任。必须实施强有力的安全和治理战略，以确保这些技术人员履行这些职责。

此业务风险可以扩展为一些技术风险：

1. 关键任务应用程序或受保护的数据可能会被无意中部署。
2. 由于加密决策不佳，受保护的数据可能会在存储期间暴露。
3. 未授权用户可能会访问受保护的数据
4. 外部入侵可能导致访问受保护的数据。
5. 外部入侵或拒绝服务攻击可能导致业务中断。
6. 组织或就业变化可能允许未经授权访问受保护的数据。
7. 新攻击可能会为入侵或未经授权的访问创造机会。
8. 不一致的部署过程可能会导致安全漏洞，从而导致数据泄漏或中断。
9. 配置偏差或错过的补丁可能会导致意外的安全漏洞，从而导致数据泄漏或中断。
10. 不同的边缘设备可能会增加网络运营成本。
11. 不同的设备配置可能会导致配置过度和安全性受损。
12. Cyber​​security团队坚持认为，在单个云提供商的平台上生成加密密钥存在供应商锁定的风险。虽然这一说法没有得到证实，但该团队暂时接受了这一说法。

政策声明的演变

对策略的以下更改将有助于修复新风险并指导实施。该列表看起来很长，但这些政策的采用可能比看上去容易。

1. 必须按关键性和数据分类对所有已部署的资产进行分类。在部署到云之前，Cloud Governance团队和应用程序将对分类进行审核。
2. 存储或访问受保护数据的应用程序的管理方式与不支持的应用程序的管理方式不同至少应对它们进行分段，以避免意外访问受保护的数据。
3. 所有受保护的数据在静止时都必须加密。
4. 包含受保护数据的任何段中的提升权限都应该是一个例外。任何此类例外情况都将与Cloud Governance团队一起记录并定期审核。
5. 包含受保护数据的网络子网必须与任何其他子网隔离。受保护数据子网之间的网络流量将定期审核。
6. 不能通过公共互联网或跨数据中心直接访问包含受保护数据的子网。必须通过中间子网路由对这些子网的访问。对这些子网的所有访问必须通过可以执行数据包扫描和阻止功能的防火墙解决方案。
7. 治理工具必须审核并实施安全管理团队定义的网络配置要求。
8. 治理工具必须仅将VM部署限制为已批准的映像。
9. 只要有可能，节点配置管理应将策略要求应用于任何客户机操作系统的配置。节点配置管理应尊重组策略对象（GPO）中的现有投资以进行资源配置。
10. 治理工具将审核所有已部署资产的自动更新。如果可能，将强制执行自动更新。如果未通过工具强制执行，则必须与运营管理团队一起审查节点级违规，并根据运营策略进行补救。未自动更新的资产必须包含在IT Operations拥有的流程中。
11. 为任何关键任务应用程序或受保护数据创建新的订阅或管理组需要Cloud Governance团队进行审核，以确保正确的蓝图分配。
12. 最低权限访问模型将应用于包含任务关键型应用程序或受保护数据的任何订阅。
13. 云供应商必须能够集成由现有内部部署解决方案管理的加密密钥。
14. 云供应商必须能够支持现有的边缘设备解决方案和任何所需的配置，以保护任何公开的网络边界。
15. 云供应商必须能够支持与全球WAN的共享连接，并通过现有边缘设备解决方案路由数据。
16. 安全团队应定期审查可能影响云部署的趋势和漏洞，以提供云中使用的安全基准工具的更新。
17. 部署工具必须得到Cloud Governance团队的批准，以确保对已部署资产的持续管理。
18. 必须在可由Cloud Governance团队访问的中央存储库中维护部署脚本，以进行定期审核和审核。
19. 治理流程必须包括部署时和周期性审核，以确保所有资产的一致性。
20. 部署需要客户身份验证的任何应用程序必须使用与内部用户的主身份提供程序兼容的已批准身份提供程序。
21. 云治理流程必须包括与Identity Baseline团队的季度审核，以识别云资产配置应该阻止的恶意行为者或使用模式。

最佳实践的演变

本文的这一部分将改进治理MVP设计，以包括新的Azure策略和Azure成本管理的实现。这两项设计变更将共同实现新的公司政策声明。

新的最佳实践分为两类：企业IT（中心）和云采用（辐射）。

建立企业IT中心并发布订阅以集中安全基准：

在此最佳实践中，现有治理容量由具有共享服务的中心和分支拓扑包裹，其中包含来自云治理团队的一些关键补充。

• Azure DevOps存储库。在Azure DevOps中创建存储库，以存储和版本化所有相关的Azure Resource Manager模板和脚本配置。
• 中心辐条模板。
  • 具有共享服务参考体系结构的中心和分支拓扑中的指南可用于为企业IT中心所需的资产生成资源管理器模板。
  • 使用这些模板，这种结构可以重复，作为中央治理策略的一部分。
  • 除了当前的参考体系结构外，还建议创建一个网络安全组模板，捕获VNet托管防火墙的任何端口阻塞或白名单要求。此网络安全组与以前的组不同，因为它将是第一个允许公共流量进入VNet的网络安全组。
• 创建Azure策略。创建名为Hub NSG Enforcement的策略，以强制配置分配给此订阅中创建的任何VNet的网络安全组。对guest虚拟机配置应用内置策略，如下所示：
  • 审核Windows Web服务器正在使用安全通信协议。
  • 审核在Linux和Windows计算机内正确设置密码安全设置。
• 企业IT蓝图
  • 创建名为corporate-it-subscription的Azure蓝图。
  • 添加中心和分支模板以及Hub NSG强制策略。
• 扩展初始管理组层次结构。
  • 对于已请求支持受保护数据的每个管理组，corporate-it-subscription-blueprint蓝图提供了加速的集线器解决方案。
  • 由于此虚构示例中的管理组除业务单位层次结构外还包括区域层次结构，因此将在每个区域中部署此蓝图。
  • 对于管理组层次结构中的每个区域，创建名为Corporate IT Subscription的订阅。
  • 将corporate-it-subscription-blueprint蓝图应用于每个区域实例。
  • 这将为每个地区的每个业务部门建立一个中心。注意：可以实现进一步的成本节约，但在每个地区的业务部门之间共享中心。
• 通过所需状态配置（DSC）集成组策略对象（GPO）：
  • 将GPO转换为DSC  -  GitHub中的Microsoft Baseline Management项目可以加速这项工作。 *确保将DSC与资源管理器模板并行存储在存储库中。
  • 将Azure自动化状态配置部署到企业IT订阅的任何实例。 Azure自动化可用于将DSC应用于在管理组内受支持的订阅中部署的VM。
  • 当前的路线图计划启用自定义guest虚拟机配置策略。发布该功能后，将不再需要在此最佳实践中使用Azure自动化。

对云采用订阅（Spoke）应用其他治理：

在企业IT订阅的基础上，应用于专用于支持应用程序原型的每个订阅的治理MVP的微小变化可以产生快速演变。

在最佳实践的先前演进中，我们定义了网络安全组以阻止公共流量和白名单内部流量。此外，Azure蓝图临时创建了DMZ和Active Directory功能。在这个演变中，我们将略微调整这些资产，创建Azure蓝图的新版本。

• 网络对等模板。此模板将使用企业IT订阅中的Hub VNet将每个订阅中的VNet对等。
  • 前一节中的参考体系结构，具有共享服务的中心和辐射拓扑，生成了用于启用VNet对等的资源管理器模板。
  • 该模板可用作从先前的治理演变中修改DMZ模板的指南。
  • 基本上，我们现在将VNet对等添加到之前通过VPN连接到本地边缘设备的DMZ VNet。
  • ***还建议还应从此模板中删除VPN，以确保没有流量直接路由到内部部署数据中心，而无需通过企业IT订阅和防火墙解决方案。
  • Azure自动化将需要其他网络配置才能将DSC应用于托管的VM。
• 修改网络安全组。阻止网络安全组中的所有公共和直接本地流量。唯一的入站流量应该来自企业IT订阅中的VNet对等体。
  • 在先前的演进中，创建了一个网络安全组，阻止所有公共流量并将所有内部流量列入白名单。现在我们想要转移这个网络安全组。
  • 新的网络安全组配置应阻止所有公共流量以及来自本地数据中心的所有流量。
  • 进入此VNet的流量应仅来自VNet对等体另一侧的VNet。
• Azure安全中心实施：
  • 为包含受保护数据分类的任何管理组配置Azure安全中心。
  • 默认情况下，将“自动配置”设置为“开”以确保修补符合性。
  • 建立OS安全配置。 IT安全性定义配置。
  • 在Azure安全中心的初始使用中支持IT安全性。过渡使用安全中心到IT安全，但维护访问以实现治理持续改进的目的。
  • 创建资源管理器模板，以反映订阅中Azure安全中心配置所需的更改。
• 更新所有订阅的Azure策略。
  • 审核并强制执行所有管理组和订阅的关键性和数据分类，以识别具有受保护数据分类的任何订阅。
  • 仅审核并强制使用已批准的操作系统映像。
  • 根据每个节点的安全要求审核并强制实施guest虚拟机配置。
• 更新包含受保护数据分类的所有订阅的Azure策略。
  • 仅审核并强制使用标准角色
  • 审核并强制对各个节点上的所有存储帐户和文件执行加密。
  • 审核并实施新版DMZ网络安全组的应用程序。
  • 审核并强制使用每个网络接口批准的网络子网和VNet。
  • 审核并强制执行用户定义的路由表的限制。
• Azure蓝图：
  • 创建名为protected-data的Azure蓝图。
  • 将VNet对等项，网络安全组和Azure安全中心模板添加到蓝图中。
  • 确保蓝图中不包含先前演变中的Active Directory模板。公司IT订阅将提供对Active Directory的任何依赖性。
  • 终止在先前演进中部署的任何现有Active Directory VM。
  • 添加受保护数据订阅的新策略。
  • 将蓝图发布到任何旨在托管受保护数据的管理组。
  • 将新蓝图应用于每个受影响的订阅以及现有蓝图。

结论

将这些流程和更改添加到治理MVP有助于修复与安全治理相关的许多风险。他们一起添加了保护数据所需的网络，身份和安全监控工具。

下一步

随着云采用的不断发展和业务价值的提升，风险和云治理需求也在不断发展。对于虚拟公司而言，下一步是支持关键任务工作负载。这是需要资源一致性控制的时候。

原文：https://docs.microsoft.com/en-us/azure/architecture/cloud-adoption/governance/journeys/large-enterprise/security-baseline-evolution

本文：

讨论：请加入知识星球或者小红圈【首席架构师圈】