ما هي السياسات والمبادرات والتوصيات الأمنية؟

  • مقالة
  • قراءة خلال 4 دقائق

يطبق Microsoft Defender for Cloud مبادرات الأمان على اشتراكاتك. تحتوي هذه المبادرات على سياسة أمان واحدة أو أكثر. ينتج عن كل من هذه السياسات توصية أمنية لتحسين وضعك الأمني. تشرح هذه الصفحة كل من هذه الأفكار بالتفصيل.

ما هي سياسة الأمان؟

تعريف نهج Azure، الذي تم إنشاؤه في نهج Azure، هو قاعدة حول ظروف أمان محددة تريد التحكم فيها. تتضمن التعريفات المضمنة أشياء مثل التحكم في نوع الموارد التي يمكن نشرها أو فرض استخدام العلامات على جميع الموارد. يمكنك أيضا إنشاء تعريفات السياسة المخصصة الخاصة بك.

لتنفيذ تعريفات السياسة هذه (سواء كانت مضمنة أو مخصصة)، ستحتاج إلى تعيينها. يمكنك تعيين أي من هذه النُهج من خلال مدخل Azure أو PowerShell أو Azure CLI. يمكن تعطيل النهج أو تمكينها من نهج Azure.

هناك أنواع مختلفة من النهج في نهج Azure. يستخدم Defender for Cloud بشكل أساسي سياسات "التدقيق" التي تتحقق من ظروف وتكوينات محددة ثم تقدم تقريرا عن الامتثال. هناك أيضا سياسات "إنفاذ" يمكن استخدامها لتطبيق إعدادات آمنة.

ما هي المبادرة الأمنية؟

نهج مبادرة Azure هي مجموعة من نُهُج أو تعريفات أو قواعد Azure، تم تجميعها معًا لتحقيق هدف أو غرض معين. تبسط مبادرات Azure إدارة نهجك من خلال تجميع مجموعة من النهج معًا، منطقيًا، كعنصر واحد.

تحدد مبادرة الأمان التكوين المطلوب لأحمال العمل الخاصة بك وتساعد على ضمان امتثالك لمتطلبات الأمان الخاصة بشركتك أو الجهات التنظيمية.

مثل سياسات الأمان، يتم أيضا إنشاء مبادرات Defender for Cloud في نهج Azure. يمكنك استخدام نهج Azure لإدارة سياساتك وإنشاء المبادرات وتعيين المبادرات إلى اشتراكات متعددة أو لمجموعات الإدارة بأكملها.

المبادرة الافتراضية التي يتم تعيينها تلقائيا لكل اشتراك في Microsoft Defender for Cloud هي Azure Security Benchmark. هذا المعيار هو مجموعة الإرشادات الخاصة ب Azure التي تم تأليفها بواسطة Microsoft للحصول على أفضل ممارسات الأمان والتوافق استنادا إلى أطر عمل التوافق الشائعة. ويستند هذا المعيار الذي يحظى باحترام واسع النطاق إلى عناصر التحكم الواردة من Center for Internet Security (CIS) وNational Institute of Standards and Technology (NIST) مع التركيز على الأمان المرتكز على السحابة. تعرف على المزيد حول Azure Security Benchmark.

تقدم Defender for Cloud الخيارات التالية للعمل مع المبادرات والسياسات الأمنية:

  • عرض وتحرير المبادرة الافتراضية المضمنة - عند تمكين Defender for Cloud، يتم تعيين المبادرة المسماة "Azure Security Benchmark" تلقائيا لجميع الاشتراكات المسجلة في Defender for Cloud. لتخصيص هذه المبادرة، يمكنك تمكين السياسات الفردية داخلها أو تعطيلها عن طريق تحرير معلمات السياسة. راجع قائمة سياسات الأمان المضمنة لفهم الخيارات المتاحة خارج الصندوق.

  • إضافة مبادراتك المخصصة - إذا كنت ترغب في تخصيص مبادرات الأمان المطبقة على اشتراكك، فيمكنك القيام بذلك داخل Defender for Cloud. ستتلقى بعد ذلك توصيات إذا لم تتبع أجهزتك السياسات التي تنشئها. للحصول على إرشادات حول إنشاء سياسات مخصصة وتعيينها، راجع استخدام مبادرات وسياسات أمان مخصصة.

  • إضافة معايير الامتثال التنظيمي كمبادرات - تعرض لوحة معلومات الامتثال التنظيمي في Defender for Cloud حالة جميع التقييمات داخل بيئتك في سياق معيار أو لائحة معينة (مثل Azure CIS و NIST SP 800-53 R4 و SWIFT CSP CSCF-v2020). لمزيد من المعلومات، راجع تحسين الامتثال التنظيمي.

ما هي التوصية الأمنية؟

باستخدام السياسات، يقوم Defender for Cloud بشكل دوري بتحليل حالة الامتثال لمواردك لتحديد الأخطاء ونقاط الضعف الأمنية المحتملة. ثم يوفر لك توصيات حول كيفية معالجة هذه المشكلات. التوصيات هي نتيجة لتقييم مواردك مقابل السياسات ذات الصلة وتحديد الموارد التي لا تفي بمتطلباتك المحددة.

يقدم Defender for Cloud توصياته الأمنية بناء على المبادرات التي اخترتها. عندما تتم مقارنة سياسة من مبادرتك بمواردك وتجد واحدة أو أكثر غير متوافقة ، يتم تقديمها كتوصية في Defender for Cloud.

التوصيات هي الإجراءات التي يجب عليك اتخاذها لتأمين وتقوية مواردك. توفر لك كل توصية المعلومات التالية:

  • وصف موجز للمشكلة
  • خطوات الإصلاح التي يتعين تنفيذها من أجل تنفيذ التوصية
  • الموارد المتأثرة

في الممارسة العملية ، يعمل على النحو التالي:

  1. Azure Security Benchmark هي مبادرة تحتوي على متطلبات.

    على سبيل المثال، يجب على حسابات Azure Storage تقييد الوصول إلى الشبكة لتقليل سطح الهجوم.

  2. وتشمل المبادرة سياسات متعددة، لكل منها متطلبات من نوع معين من الموارد. وتفرض هذه السياسات المتطلبات الواردة في المبادرة.

    لمتابعة المثال، يتم فرض متطلبات التخزين باستخدام السياسة "يجب أن تقيد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية".

  3. يقوم Microsoft Defender for Cloud باستمرار بتقييم اشتراكاتك المتصلة. إذا عثر على مورد لا يفي بسياسة، فإنه يعرض توصية لإصلاح هذا الموقف وتعزيز أمان الموارد التي لا تفي بمتطلبات الأمان الخاصة بك.

    لذلك، على سبيل المثال، إذا لم يكن حساب Azure Storage على أي من اشتراكاتك المحمية محميا بقواعد الشبكة الظاهرية، فسترى التوصية بتقوية هذه الموارد.

لذلك ، (1) تتضمن المبادرة (2) سياسات تولد (3) توصيات خاصة بالبيئة.

عرض العلاقة بين توصية وسياسة

كما ذكر أعلاه، تستند توصيات Defender for Cloud المضمنة إلى معيار أمان Azure. ولكل توصية تقريبا سياسة أساسية مستمدة من شرط في المعيار المرجعي.

عندما تراجع تفاصيل توصية، غالبا ما يكون من المفيد أن تتمكن من رؤية السياسة الأساسية. لكل توصية يدعمها نهج، استخدم الارتباط عرض تعريف النهج من صفحة تفاصيل التوصية للانتقال مباشرة إلى إدخال نهج Azure للنهج ذي الصلة:

Link to Azure Policy page for the specific policy supporting a recommendation.

استخدم هذا الرابط لعرض تعريف السياسة ومراجعة منطق التقييم.

إذا كنت تراجع قائمة التوصيات في الدليل المرجعي لتوصيات الأمان، فسترى أيضا روابط إلى صفحات تعريف السياسة:

Accessing the Azure Policy page for a specific policy directly from the Microsoft Defender for Cloud recommendations reference page.

الخطوات التالية

شرحت هذه الصفحة، على مستوى عال، المفاهيم الأساسية والعلاقات بين السياسات والمبادرات والتوصيات. للاطلاع على معلومات ذات صلة، انظر: