本案例研究练习旨在提供执行与本模块中学习的主题相关的一些概念设计任务的经验。

案例研究:使用 MCRA 和 MCSB 的最佳做法

CONTOSO 是一家医疗服务公司,它的主要办事处位于芝加哥和英国伦敦。
这家公司在它位于芝加哥和英国伦敦大都会区的机构为客户提供医疗保健服务。 Contoso 机构涵盖多家医院,医院有医生、护士和其他医疗保健专业人员。 Contoso 已经开始在公司范围将所有关键服务迁移到云。 本次迁移包括本地服务器、VM 以及支持的管理和监视设备。

Contoso 启动了云迁移,但由于合规性和监管要求,一些数据和应用程序需要在本地托管。 Contoso 建立了 Azure Active Directory (Azure AD) 租户。 此 Azure AD 与在本地域控制器上维护的 Active Directory 域服务 (AD DS) 同步。 随着迁移的进行,将根据需要为每个部门创建额外的 Azure 订阅,其中包括 SaaS 应用程序。 为了方便日常工作,大多数员工都可以访问 Microsoft 365 应用程序。

为了支持持续的连接性,已为大多数类别的员工启动
基本虚拟桌面基础结构 (VDI) 测试,例如客户经理、支持
人员、业务、财务和人力资源人员。 支持通过虚拟专用网络 (VPN) 网关
为有限的用户和设备提供安全连接。 此外,
已部署第三方防火墙以保护虚拟服务器虚拟局域
网 (VLAN)。

当他们与客户在现场时,医生使用具有本地存储的跟踪和监测数据的
移动设备。 这些数据使用专有存储加密进行保护,
并且每个医疗保健专业人员在访问数据之前都需要使用本地存储的凭据登录到他们的设备。

要求

随着云迁移的继续和扩展,Contoso 计划将所有本地
数据和应用程序迁移到云,但范围外的应用程序除外。

  • 部署 Microsoft 365 Defender 和 Defender for Cloud 以增强 Contoso 针对对手的安全状况
  • Microsoft 合规性策略 MCSB 需要应用于 Azure 订阅
  • Contoso 希望主动搜寻可能的威胁并积极管理攻击面
  • Contoso 希望集中管理外部承包商、患者和内部员工的标识
  • 必须集中管理所有终结点设备,并持续评估其合规性。
  • 存储在医疗保健专业人员使用的移动设备上的受保护健康信息 (PHI) 将按照数据驻留策略迁移到云端,以符合区域法规。
  • 在现场访问移动设备时应受到地理位置的限制,并需要使用生物指标作为多重身份验证
  • 必须控制同一设备上应用之间的数据共享。
  • 符合美国《健康保险可携性和责任法案 (HIPAA)》和英国国民医疗服务体系 (NHS) 要求。
  • Contoso 希望按照最低权限主体管理特权管理员,并强制实施实时访问策略。
  • Contoso 希望从任何灾难中恢复其数据,并希望将这些备份数据保存在一个安全的位置。 如果主要区域发生任何灾难,Contoso 希望故障转移到次要区域。
  • Contoso 希望确保他们遵循零信任方法来验证所有传入的访问
  • 当数据和处理迁移到 Azure 时,必须将 VPN 网关配置为
    支持来自运行各种桌面和移动操作系统(包括 Windows、macOS、
    Android 等)的设备的安全 P2S 连接。

设计任务

  • Contoso 需要哪种 Defender 计划来满足其业务和安全要求?
  • Contoso 可以执行什么操作来验证所有传入访问同时遵循零信任方法?
  • Contoso 如何将 NHS 和 HIPAA 策略应用到其云环境中?
  • Contoso 应使用什么来查看所有现有威胁和漏洞?
  • Contoso 应如何向终结点设备部署和维护安全配置?
  • Contoso 如何能够查看在外部共享的已使用云应用程序和数据?