在零信任体系结构中,基础结构安全性侧重于保护跨多云和本地环境托管应用程序和服务的基础计算和平台资源。 该支柱并非隐式信任基础设施,而是确保在“假设已遭入侵”的思维方式下,持续评估、加固和监控服务器、容器、存储和平台服务。
基础结构支柱指南侧重于管理安全态势、在运行时保护工作负载、管理基础结构配置、控制管理访问权限以及将基础结构信号集成到安全操作中。
研讨会实施
基础结构研讨会涵盖下表中汇总的实现区域。
| Area | 详细信息 |
|---|---|
| 建立基础结构安全状况管理 | 持续评估基础结构资源,了解配置不当、策略违规和暴露风险。 使用状况管理功能确定配置偏差、强制实施治理策略,以及跨云和混合环境确定修正的优先级。 |
| 跨虚拟机和容器保护计算工作负荷 | 使用工作负荷保护功能保护多云虚拟机、容器环境和混合环境。 持续监视安全状况、检测威胁并修正影响计算工作负荷的漏洞。 |
| 保护和治理平台服务和控制平面 | 将安全控制应用于平台服务,例如存储、数据库和应用程序服务。 控制平台资源的访问、配置和暴露,以减少跨云控制平面的风险。 |
| 评估和管理漏洞 | 持续扫描基础结构资源是否存在漏洞和配置问题。 根据风险确定结果的优先级和修正结果,并优化警报以减少噪音,同时保持可见性。 |
| 控制对基础结构资源的访问 | 使用基于角色的访问控制 (RBAC) 和实时 (JIT) 访问强制实施最低特权访问。 集成基于标识的访问控制,以确保仅在需要和适当范围时才授予管理访问权限。 |
| 强化配置并强制实施安全基线 | 跨基础结构资源定义和应用安全配置基线。 标准化计算、网络和平台服务的设置,以防止配置错误并确保一致的保护。 |
| 监视工作负荷并在运行时检测威胁 | 持续监视基础结构中可疑的活动和安全威胁。 使用运行时保护和分析检测针对虚拟机、容器和平台服务的攻击。 |
| 将基础结构信号集成到安全操作(SecOps) | 将状况发现、运行时警报和威胁信号流式传输到集中式监视和响应系统。 将基础结构数据与标识、设备、网络和数据信号相关联,以支持调查和响应。 |
后续步骤
开始 基础结构研讨会。