SC-900 Microsoft Security, Compliance, and Identity Fundamentals

 SC-900 Microsoft Security, Compliance, and Identity Fundamentals

Microsoft 安全性、合規性及身分識別的基本概念

隨著從傳統公司網路外部的位置存取更多商務資料，安全性與合規性會變成覆寫考慮。無論資料從何處存取，以及其位於公司網路或雲端中，組織都需要瞭解其如何最能保護其資料。 此外，組織還需要確保它們符合產業和法規需求，以確保資料的保護和隱私權。

Security and Compliance Concepts

• Shared responsibility 共同責任模型
• Defense in Depth 深度防禦安全性模型
• Zero Trust 零信任模型
• Encryption 加密概念
• Hashing 雜湊概念

Compliance section: (管理資料和規性的關鍵)

• Data Residency 資料落地
• Data Sovereignty 資料主權
• Data Privacy 資料隱私權

企業通常將資料與資源放置於防火牆之內的內部網路來保護企業資料，你只能透過受控管的電腦才能存取資料，但現在比以往任何時候都多，人們常常遠端工作，使用個人電腦，並且與客戶和合作夥伴分享資料，舊的方法讓資料無法賦能於員工(無法輕易取得所需資料)。

身分識別的議題就特別重要

Identity:

• What is an Identity?
• Security Perimeter
• Identity Provider
• A whole lot more!

Shared responsibility 共同責任模型

雲端中共同承擔的責任

Shared responsibility in the cloud ( shared responsibility model )

For all cloud deployment types, you own your data and identities. You are responsible for protecting the security of your data and identities, on-premises resources, and the cloud components you control (which varies by service type).

Regardless of the type of deployment, the following responsibilities are always retained by you:

• 資訊與資料 Data (user data) 
• 裝置 (行動裝置與電腦) Endpoints  (user device)
• 帳戶與身分識別 Account (user account) 與 Access management 

Defense in Depth 深層防禦策略的目標 CIA

• Confidentiality 機密性
• Integrity 完整性
• Availability 可用性

Zero Trust 零信任模型

零信任指導原則(方針/準則) Zero Trust guiding principles

• Verify explicitly (明確驗證) - Always authenticate and authorize based on all available data points.
• Use least privilege access (最低許可權存取) - Limit user access with Just-In-Time and Just-Enough-Access (JIT/JEA), risk-based adaptive policies, and data protection.
• Assume breach (假設外泄) - Minimize blast radius and segment access. Verify end-to-end encryption and use analytics to get visibility, drive threat detection, and improve defenses.

六個基礎支柱 Six foundational pillars

• Identities 身分識別 may be users, services, or devices. When an identity attempts to access a resource, it must be verified with strong authentication, and follow least privilege access principles.
• Devices 裝置 create a large attack surface as data flows from devices to on-premises workloads and the cloud. Monitoring devices for health and compliance is an important aspect of security.
• Applications 應用程式 are the way that data is consumed. This includes discovering all applications being used, sometimes called Shadow IT because not all applications are managed centrally. This pillar also includes managing permissions and access.
• Data 資料 should be classified, labeled, and encrypted based on its attributes. Security efforts are ultimately about protecting data, and ensuring it remains safe when it leaves devices, applications, infrastructure, and networks that the organization controls.
• Infrastructure 基礎結構, whether on-premises or cloud based, represents a threat vector. To improve security, you assess for version, configuration, and JIT access, and use telemetry to detect attacks and anomalies. This allows you to automatically block or flag risky behavior and take protective actions.
• Networks 網路 should be segmented, including deeper in-network micro segmentation. Also, real-time threat protection, end-to-end encryption, monitoring, and analytics should be employed.

Authentication 驗證

When users sign in to the Azure Portal, they are first authenticated

Authorization 授權

Authorization is the process of identifying whether a signed-in user can access a specific resources

標識基礎結構的四個支柱‎

身分識別是橫跨整個環境的概念，因此組織必須廣泛思考。 有一系列的流程、技術和原則可用來管理數位身分識別，以及控制其用來存取資源的方式。 在创建标识基础结构时，它们可整理为组织应考虑的四个基本支柱。

• ‎系統管理‎‎ Administration。 管理是指創建和管理/治理用戶、設備和服務的標識。 以系統管理員的身分，您可以管理在哪些情況下，身分識別的特性可變更 （建立、更新、刪除）。‎
• 驗證 Authentication。 驗證支柱說明 IT 系統需要對身分識別了解多深，才能掌握充分證明確認這些人聲稱的身分真實無誤。 這個過程包含查問對象是否具有合法認證的行動。
• 授權 Authorization。 授權要件是在處理傳入的身分識別資料，以判斷所驗證的人員或服務，在其想要存取的應用程式或服務中擁有的存取層級。
• 稽核 Auditing。 稽核要件是關於追蹤誰在何時何地做了什麼，以及進行方式。 稽核包括提供深入的報告、警示及身分識別管理。

解決這四個要素是全方位且穩固的身分識別和存取控制解決方案的關鍵。

新式身份驗證Modern authentication是用戶端（如筆記型電腦或手機）和伺服器（如網站或應用程式）之間的身份驗證和授權方法的總稱‎‎。 新式身份驗證的中心是標識提供者角色identity provider。 識別提供者可建立、維護及管理身分識別資訊，同時提供驗證、授權和稽核服務。

Microsoft Azure Active Directory 是以雲端為基礎的身分識別提供者(cloud-based identity provider)的範例。 其他範例包括 Twitter、Google、Amazon、LinkedIn 和 GitHub。

單一登入 Single sign-on

身分識別提供者和「新式驗證」的另一項基本功能是支援單一登入 (SSO)。 使用 SSO 時，使用者只要登入一次，就會使用該認證來存取多個應用程式或資源。 設定單一登入以在多個識別提供者之間運作，這種方式稱為同盟federation 。

Conditional Access

Azure AD Premium feature

Conditional Access Policy

Conditional Access signals

條件式存取在做出原則決策時可以考慮的一些常見訊號包括：

• 使用者或群組成員資格 User or group membership。 原則可將所有使用者、特定使用者群組、目錄角色或外部來賓使用者作為目標，讓系統管理員更精細地控制存取權。
• 具名位置資訊 Named location information。 您可以使用 IP 位址範圍來建立具名位置資訊，並在進行原則決策時使用。 此外，系統管理員也可以選擇封鎖或允許來自整個國家/地區 IP 範圍的流量。
• 裝置 Device。 使用者可以使用具有特定平台的或標示了特定狀態的裝置。
• 應用程式 Application。 嘗試存取特定應用程式的使用者可以觸發不同的條件式存取原則。
• 即時登入風險偵測 Real-time sign-in risk detection。 與 Azure AD Identity Protection 的訊號整合可讓條件式存取原則識別具風險的登入行為 - 身分識別擁有者未授權指定登入或驗證要求的機率。 然後，原則就能強制使用者執行密碼變更或多重要素驗證，以降低其風險層級，或在系統管理員採取手動動作之前封鎖存取。
• 雲端應用程式或動作 Cloud apps or actions。 雲端應用程式或動作可以包含或排除將受限於原則的雲端應用程式或使用者動作。
• 使用者風險 User risk。 對於具有 Identity Protection 存取權的客戶，可以隨著條件式存取原則的一部分評估使用者風險。 使用者風險代表指定的身分識別或帳戶遭入侵的可能性。 可以將使用者風險設定為高、中或低可能性。

內建角色

‎有許多 Azure AD 內置角色，它們是具有一組固定許可權的角色。 其中一些最常見的內建角色如下：‎

• 公司系統管理員 Global administrator：具有此角色的使用者可存取 Azure Active Directory 中的所有系統管理功能。 註冊 Azure Active Directory 租用戶的人員會自動成為全域管理員。
• 使用者系統管理員 User administrator︰具有此角色的使用者可以建立及管理使用者和群組的所有層面。 此角色也包含管理支援票證及監控服務健康情況的能力。
• 計費管理員 Billing administrator：具有此角色的使用者會進行購買、管理訂用帳戶與支援票證，以及監視服務健康情況。

所有內建角色為針對特定工作設計的權限的預先設定組合。 无法修改内置角色中包含的一组固定权限。

自訂角色

自訂角色需要 Azure AD Premium P1 或 P2 授權。

加密

緩解常見網路安全性威脅的其中一種方法，就是加密敏感性或寶貴資料。 加密是一個使未經授權的檢視者無法讀取及使用資料的程序。 若要使用或讀取加密資料，必須使用祕密金鑰對其進行解密。

有兩種最上層的加密類型：對稱式與非對稱式。 

對稱式加密使用相同的金鑰來加密和解密資料。 

非對稱式加密使用一組公開金鑰和私密金鑰。 任一金鑰都可以加密資料，但無法使用單一金鑰來解密已加密的資料。 若要解密，您需要配對的金鑰。 非對稱加密是用於使用 HTTPS 通訊協定和電子資料簽署解決方案存取網際網路上的網站等專案。 加密可以保護待用資料(data at rest)或傳輸中資料(data in transit)。

雜湊

雜湊會使用演算法，將文字轉換成稱為雜湊的唯一固定長度值。 每次使用相同的演算法來雜湊相同的文字時，就會產生相同的雜湊值。 然後，可以使用該雜湊，作為其相關聯資料的唯一識別碼。

雜湊與加密不同，在於其不會使用金鑰，而且雜湊值後續不會解密回原始的值。

雜湊是用來儲存密碼。 當使用者輸入其密碼時，建立預存雜湊的相同演算法會建立所輸入密碼的雜湊。 這會與密碼的預存雜湊版本進行比較。 如果兩者相符，則使用者已正確地輸入其密碼。 這比儲存純文字密碼更安全，但駭客也知道雜湊演算法。 因為雜湊函數具有確定性 (相同的輸入會產生相同的輸出)，所以駭客可以藉由雜湊密碼來使用暴力密碼破解字典攻擊。 針對每個相符的雜湊，它們都知道實際的密碼。 為了緩解此風險，密碼通常會「進行 Salt 處理」。 這是指將固定長度隨機值新增至雜湊函式的輸入，以建立相同輸入的唯一雜湊。

合規性概念

以下是與資料合規性相關的一些重要概念和詞彙。

• 資料落地 Data residency - 在合規性方面，資料落地法規會控管可儲存資料的實體位置，以及如何以及何時可以傳輸、處理或國際存取資料。 這些法規可能會根據管轄區而明顯不同。
• 資料主權 Data sovereignty - 另一個重要考慮是資料主權、資料特別是個人資料的概念，受限於實際收集、持有或處理資料的國家/地區法律和法規。 這可以在合規性方面增加一層複雜度，因為相同的資料片段可以收集到某個位置、儲存在另一個位置，並在另一個位置進行處理;使其受限於來自不同國家/地區的法律。
• 資料隱私權 Data privacy - 提供有關收集、處理、使用及共用個人資料的通知和透明，是隱私權法律和法規的基本準則。 個人資料表示與已識別或可識別自然人相關的任何資訊。 隱私權法律先前參考了「PII」或「個人識別資訊」，但法律已將定義擴充至直接連結或間接連結回人員的任何資料。 組織受限於且必須與許多法律、法規、規範、產業特定標準及規範資料隱私權的合規性標準保持一致。

可搭配 Azure AD 多重要素驗證一起使用：

• Microsoft Authenticator app
• Windows Hello 企業版
• FIDO2 security key 安全性金鑰
• OATH hardware token 硬體權杖 (預覽)
• OATH software token 軟體權杖
• SMS 簡訊
• Voice call 語音通話

安全性預設值和多重要素驗證

安全性預設值是一組 Microsoft 建議的基本身分識別安全性機制。 啟用時，系統會自動在您的組織中強制執行這些建議。 目標是要確保所有組織都已啟用基本層級的安全性，而不需要額外成本。 這些預設值會啟用一些最常見的安全性功能和控制項，包含：

• 強制所有使用者註冊 Azure Active Directory 多重要素驗證。
• 強制管理員使用多重要素驗證。
• 必要時要求所有使用者完成多重要素驗證。

如果組織想要提升其安全性狀態，但不知道要從何處著手，或針對使用免費階層 Azure AD 授權的組織，則安全性預設值是絕佳的選擇。 安全性預設值可能不適合 Azure AD 進階版授權的組織或更複雜的安全性需求。 若要深入了解，請造訪什麼是安全性預設值？

Azure AD 中的自助式密碼重設 (SSPR)

自助式密碼重設適用於下列情況：

• 密碼變更：當使用者知道其密碼，但想要變更為新密碼時。
• 密碼重設：當使用者無法登入 (例如：當他們忘記密碼時)，而想要重設密碼時。
• 帳戶解除鎖定：當使用者因其帳戶遭鎖定而無法登入時。

若要使用自助式密碼重設，使用者必須：

• 指派 Azure AD 授權 Assigned an Azure AD license 。 如需Azure Active Directory自助式密碼重設的授權需求連結，請參閱摘要和資源單元的深入瞭解一節。
• 為系統管理員啟用 SSPR。
• 已註冊，並搭配他們想要使用的驗證方法。 建議使用兩個或更多驗證方法，以防其中一個無法使用。

下列驗證方法適用於 SSPR：

• Mobile app notification 行動應用程式通知
• Mobile app code 行動應用程式代碼
• Email 電子郵件
• Mobile phone 行動電話
• Office phone 辦公室電話
• Security questions 安全性問題

當使用者註冊 SSPR 時，系統會提示他們選擇要使用的驗證方法。 如果選擇使用安全性問題，他們會從一組提示問題中挑選，然後提供自己的答案。 安全性問題只能在自助式密碼重設期間使用， (SSPR) 程式來確認您是誰。 在登入事件期間，安全性問題不會作為驗證方法。 系統管理員帳戶無法使用安全性問題作為搭配 SSPR 運作的驗證方法。

全域禁用密碼清單

Microsoft 會自動更新並強制執行具有已知弱式密碼的全域禁用密碼清單。 此清單是由Azure AD Identity Protection 小組維護，該小組會分析安全性遙測資料來尋找弱式或遭入侵的密碼。 可能遭封鎖的密碼範例有 P@$$w0rd 或 Passw0rd1，以及所有相關變化。

自訂禁用密碼清單

系統管理員也可以建立自訂的禁用密碼清單，以支援特定的商務安全性需求。 自訂禁用密碼清單會禁止密碼，例如：組織名稱或位置。 新增至自訂禁用密碼清單的密碼應著重於組織特定的字詞，例如：

• 品牌名稱
• 產品名稱
• 位置，例如公司總部
• 公司特有的內部字詞
• 具有特定公司意義的縮寫

自訂禁用密碼清單會與全域禁用密碼清單結合，以封鎖所有密碼的變化。

禁用密碼清單是 Azure AD Premium 1 或 2 的功能。

Banned password lists are a feature of Azure AD Premium 1 or 2

Microsoft Cloud Adoption Framework for Azure

適用於 Azure 的 Microsoft 雲端採用架構

https://docs.microsoft.com/en-us/azure/cloud-adoption-framework/overview

Microsoft Cloud Adoption Framework for Azure provides best practices from Microsoft employees, partners, and customers, including tools and guidance to assist in an Azure Deployment.

	Strategy: Define business justification and expected adoption outcomes.		Plan: Align actionable adoption plans to business outcomes.
	Ready: Prepare your cloud environment for planned changes.		Migrate: Migrate and modernize existing workloads.
	Innovate: Develop new cloud-native or hybrid solutions.		Secure: Improve security over time.
	Manage: Manage operations for cloud and hybrid solutions.		Govern: Govern your environment and workloads.
	Organize: Align the teams and roles supporting your organization's cloud adoption efforts.

Phase:

Strategy>Plan>Ready >Migrate>Innovate>Secure>Manage>Govern>Organize

六項關鍵隱私原則

Microsoft product development and privacy practices focus on six key privacy principles.

https://www.microsoft.com/en-us/corporate-responsibility/privacy

• User control
• Legal protections
• Transparency
• No content-based targeting
• Security
• User benefits

Microsoft Endpoint Manager admin center

can manage Microsoft Intune

Microsoft Service Trust Portal

provides information about how Microsoft cloud services comply with regulatory standard, such as International Organization for Standardization (ISO)

Compliance score

Microsoft Purview Compliance Manager

Compliance score measures an organization's progress in completing actions that help reduce risks associated to data protection and regulatory standards

Microsoft 365 admin center

    Compliance Manager: Recommended guidance to help organization align with their corporate standards.

    Data Loss Prevention(DLP) policy

Microsoft 365 Security Center

    Secure Score

    Reports: to view security trends and track the protection status of identities

    Incidents

    Hunting

Microsoft 365 Compliance Center

    Insider Risk management

Microsoft Defender for Cloud Apps overview

Microsoft Cloud App Security

It's now called Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps is now part of Microsoft 365 Defender.

The Defender for Cloud Apps framework

• Discover and control the use of Shadow IT
• Protect your sensitive information anywhere in the cloud
• Protect against cyberthreats and anomalies
• Assess the compliance of your cloud apps

Azure Active Directory (Azure AD) access reviews

Azure Active Directory (Azure AD) access reviews feature can use to evaluate group membership and automatically remove users that no longer require membership in a group

Azure Active Directory (Azure AD) Password Protection

prevent users from using specific words in their passwords

Azure AD Privileged Identity Management (PIM) 

Azure AD Privileged Identity Management (PIM) provides just-in-time privileged access to Azure AD and Azure resources

Azure Multi-Factor Authentication (MFA)

three authentication methods can be used by Azure Multi-Factor Authentication (MFA)

A. text message (SMS)

B. Microsoft Authenticator app

C. phone call

Windows Hello for Business support three authentication methods

A. fingerprint

B. facial recognition 

C. PIN

Security Default

    Azure AD Premium feature

    when enabled, all administrators must use MFA

    All Azure AD user registration MFA