Chapter 4 / Security

安全
方式設計

安全透過劃分保護對象、收緊權限、留存記錄而更易整理。應從一開始就納入設計,而非事後補加。

3 Guidelines

本章涵蓋的3個項目

1雲端安全劃分保護對象與對策。
2稽核/治理透過規則與記錄實現可追溯。
3身分/存取權限僅在必要期間授予必要權限。
安全基本概念圖
以機密性、完整性、可用性為意識劃分保護對象。
Cloud Security

劃分保護對象

從不同視角梳理資料、身分、權限、機密與日誌。明確保護對象後更易選擇對策。

確認機密性、完整性與可用性。將機密資訊存放於安全位置。啟用威脅偵測與持續診斷。
Identity / Audit

收緊權限,留存記錄

身分與權限是安全的入口。以最小權限授予,對重要操作臨時提權,並留存操作記錄。

合理使用 RBAC 與 PIM。用 Key Vault 管理機密資訊。持續檢查稽核日誌與規則。
安全與身分圖解
以最小權限守護誰能做什麼。
稽核與治理圖解

稽核與治理

用 Policy、RBAC 與稽核日誌減少危險組態並保持可追溯。

網路防禦圖解

網路防禦

收緊入口、控制通道、分隔內部以防護。