Doporučení pro posílení zabezpečení prostředků
Platí pro toto doporučení kontrolního seznamu zabezpečení architektury Azure Well-Architected Framework:
| SE:08 | Zpevnit všechny součásti úloh zmenšením nadbytečné plochy a zpřísněním konfigurací pro zvýšení nákladů útočníka. |
|---|
Tato příručka popisuje doporučení pro posílení zabezpečení prostředků vývojem lokalizovaných ovládacích prvků v rámci úlohy a jejich údržbou tak, aby odolaly opakovaným útokům.
Posílení zabezpečení je záměrné cvičení sebezáchovy. Cílem je zmenšit prostor pro útok a zvýšit náklady útočníků v jiných oblastech, což omezuje příležitosti pro aktéry se zlými úmysly zneužít ohrožení zabezpečení. Pokud chcete chránit své úlohy, implementujte osvědčené postupy a konfigurace zabezpečení.
Posílení zabezpečení je průběžný proces , který vyžaduje nepřetržité monitorování a přizpůsobování se vyvíjejícím hrozbám a ohrožením zabezpečení.
Definice
| Období | Definice |
|---|---|
| Posílení zabezpečení | Postup zmenšení prostoru pro útok odebráním nadbytečných prostředků nebo úpravou konfigurací. |
| Pracovní stanice s privilegovaným přístupem (PAW) | Vyhrazený a zabezpečený počítač, který používáte k provádění citlivých úloh, což snižuje riziko ohrožení zabezpečení. |
| Zabezpečená pracovní stanice pro správu (SAW) | Specializovaná pracovní stanice s privilegovaným přístupem, kterou používají účty s kritickým dopadem. |
| Plochu | Logická stopa úlohy, která obsahuje ohrožení zabezpečení. |
Klíčové strategie návrhu
Posílení zabezpečení je vysoce lokalizované cvičení, které posiluje kontroly na úrovni komponent, ať už se jedná o prostředky nebo procesy. Když zpřísníte zabezpečení jednotlivých komponent, zlepší se tím agregované zabezpečení vaší úlohy.
Posílení zabezpečení nebere v úvahu funkce úlohy a nedetekuje hrozby ani neprovádí automatizovanou kontrolu. Posílení zabezpečení se zaměřuje na ladění konfigurace s předpokládaným porušením zabezpečení a hloubkovou obranou. Cílem je znesnadnit útočníkovi získání kontroly nad systémem. Posílení zabezpečení by nemělo měnit zamýšlený nástroj úlohy ani její operace.
Prvním krokem procesu posílení zabezpečení je shromáždění komplexního inventáře veškerého hardwaru, softwaru a datových prostředků. Udržujte záznamy inventáře aktuální přidáním nových prostředků a odebráním vyřazených prostředků. U všech prostředků v inventáři zvažte následující osvědčené postupy:
Snižte stopy. Odeberte vnější plochu nebo zmenšete rozsah. Eliminujte jednoduché cíle nebo levné a dobře zavedené vektory útoku, jako jsou neopravené zneužití softwaru a útoky hrubou silou. Před produkčním nasazením byste měli ze zdrojového stromu vyčistit identity, sestavit komponenty a další nepožadované prostředky.
Vylaďte konfigurace. Zhodnoťte a utáhněte zbývající plochu. Když jsou prostředky posílené, vyzkoušené a otestované metody, které útočníci používají, už nebudou úspěšné. Nutí útočníky k získání a používání pokročilých nebo neotestovaných metod útoku, což zvyšuje jejich náklady.
Udržujte obranu. Udržujte ochranná opatření díky nepřetržité detekci hrozeb , abyste zajistili, že posílení zabezpečení bude v průběhu času spolehlivé.
Zvažte také následující faktory.
Důvěryhodný zdroj. Součástí cvičení posílení zabezpečení je dodavatelský řetězec softwaru. Tyto pokyny předpokládají, že všechny komponenty jsou získány z důvěryhodných zdrojů. Vaše organizace musí schválit software, který je k dispozici od jiných dodavatelů. Toto schválení se vztahuje na zdroje operačního systému, image a další nástroje třetích stran. Bez důvěryhodných prostředků může být posílení zabezpečení nekonečným vyprázdněním záruk zabezpečení nedůvěryhodných zdrojů.
Doporučení týkající se zabezpečení dodavatelského řetězce najdete v tématu Doporučení k zabezpečení životního cyklu vývoje.
Školení. Otužování je specializovaná dovednost. Je metodické a vyžaduje vysokou úroveň kompetence. Potřebujete pochopit funkce komponenty a vliv změn na komponentu. Člen týmu musí být schopen rozlišit pokyny od odborníků z oboru a platformy, aby je odlišil od pokynů z nejistých zdrojů. Vzdělejte členy týmu o vytváření kultury s podporou zabezpečení. Ujistěte se, že váš tým je zběhlý v osvědčených postupech zabezpečení, má povědomí o potenciálních hrozbách a učí se z retrospektiv po incidentu.
Dokumentace. Zdokumentujte a publikujte požadavky na posílení zabezpečení, rozhodnutí a definované metody. Pro zajištění transparentnosti také zdokumentovat výjimky nebo odchylky od těchto požadavků.
Posílení zabezpečení může být těžkopádné, ale je to zásadní bezpečnostní cvičení, které musíte zdokumentovat. Nejprve zpevnit základní komponenty a pak expandovat do dalších oblastí, jako jsou automatizované a lidské procesy, aby se zpevnily potenciální mezery. Buďte pozorní ohledně změn. Nezbytným krokem je například zakázání výchozího nastavení, protože změny výchozích hodnot nemůžou ovlivnit stabilitu systému. I když je náhradní konfigurace stejná jako výchozí, musí být definovaná. Následující části popisují běžné cíle pro posílení zabezpečení. Vyhodnoťte klíčové oblasti návrhu úloh a postupujte podle klíčových strategií k posílení na úrovni komponent.
Sítě
Rozdělte síť na segmenty , abyste izolovali důležité prostředky a citlivá data od méně zabezpečených prostředků, což snižuje laterální pohyby útočníků. V těchto segmentech použijte výchozí přístup zamítnutí . Do seznamu povolených přidejte přístup jenom v případě, že je zamyšlitelný.
Zakažte porty a protokoly, které se aktivně nepoužívají. Pokud například v Azure App Service nepotřebujete nasazení přes PROTOKOL FTP, můžete ho zakázat. Nebo pokud provádíte operace správy přes interní síť, můžete zakázat přístup pro správu z internetu.
Odeberte nebo zakažte starší protokoly. Útočníci zneužívají systémy, které používají staré verze. Pomocí služby Detekce Azure zkontrolujte protokoly a určete využití protokolu. Odebrání protokolů může být obtížné, protože může narušit fungování systému. Otestujte všechny změny před implementací, abyste zmírnili riziko přerušení provozu.
Nakládat s veřejnými IP adresami jako s vysoce rizikovými prostředky , protože jsou snadno přístupné a mají široký celosvětový dosah. Pokud chcete snížit riziko ohrožení, odeberte k úloze nepotřebný přístup k internetu. Použijte sdílené veřejné IP adresy, které poskytují služby Microsoftu, jako je Azure Front Door. Tyto služby jsou navržené tak, aby byly přístupné z internetu, a blokují přístup k nepovoleným protokolům. Mnoho takových služeb provádí počáteční kontroly příchozích požadavků na hranici sítě. S vyhrazeným PIP zodpovídáte za správu jeho aspektů zabezpečení, povolení nebo blokování portů a kontrolu příchozích požadavků, abyste zajistili jejich platnost.
U internetových aplikací omezte přístup přidáním služby vrstvy 7 , která může filtrovat neplatný provoz. Prozkoumejte nativní služby, které vynucují distribuovanou ochranu proti odepření služby (DDoS), mají brány firewall webových aplikací a poskytují ochranu na hraničních zařízeních před tím, než provoz dosáhne aplikační vrstvy.
Posílení zabezpečení DNS (Domain Name System) je dalším postupem zabezpečení sítě. Abyste měli jistotu, že je infrastruktura DNS zabezpečená, doporučujeme použít důvěryhodné překladače DNS. Pokud chcete ověřit informace z překladačů DNS a poskytnout další vrstvu zabezpečení, pokud je to možné, použijte pro vysoce citlivé zóny DNS protokol zabezpečení DNS. Pokud chcete zabránit útokům, jako jsou útoky typu otrava mezipaměti DNS, útoky DDoS nebo útoky zesílení, prozkoumejte další bezpečnostní prvky související s DNS, jako jsou omezení rychlosti dotazů, omezování rychlosti odpovědí a soubory cookie DNS.
Identita
Odeberte nepoužívané nebo výchozí účty. Zakažte nepoužívané metody ověřování a autorizace.
Zakažte starší metody ověřování , protože se často jedná o vektory útoku. Ve starých protokolech často chybí opatření proti útokům, jako jsou uzamčení účtů. Externalizujte své požadavky na ověřování na zprostředkovatele identity (IdP), jako je Microsoft Entra ID.
Upřednostněte federaci před vytvářením duplicitních identit. Pokud dojde k ohrožení identity, je jednodušší odvolat její přístup, když je centrálně spravovaná.
Seznamte se s možnostmi platformy pro rozšířené ověřování a autorizaci. Posílení řízení přístupu s využitím vícefaktorového ověřování, ověřování bez hesla, podmíněného přístupu a dalších funkcí, které Microsoft Entra ID nabídky k ověření identity. Kolem událostí přihlášení můžete přidat dodatečnou ochranu a omezit rozsah, ve kterém může útočník podat žádost.
Pokud je to možné, používejte spravované identity a identity úloh bez přihlašovacích údajů. Může dojít k úniku přihlašovacích údajů. Další informace najdete v tématu Doporučení pro ochranu tajných kódů aplikací.
Pro procesy správy použijte přístup s nejnižšími oprávněními. Odeberte nepotřebná přiřazení rolí a pravidelně Microsoft Entra kontrol přístupu. Pomocí popisů přiřazení rolí si můžete uchovat papírovou stopu odůvodnění, která je pro audity zásadní.
Cloudové prostředky
Předchozí doporučení pro posílení zabezpečení sítí a identit platí pro jednotlivé cloudové služby. V případě sítí věnujte zvláštní pozornost branám firewall na úrovni služeb a vyhodnoťte jejich příchozí pravidla.
Objevte a zakažte nepoužívané funkce nebo funkce, jako je například přístup k nepoužívané rovině dat a funkce produktu, které můžou pokrývat jiné komponenty. Například App Service podporuje Kudu, který poskytuje nasazení FTP, vzdálené ladění a další funkce. Pokud tyto funkce nepotřebujete, vypněte je.
Vždy držte krok s plánem Azure a plánem úloh. Použijte aktualizace pro opravy a správu verzí, které nabízejí služby Azure. Povolte aktualizace poskytované platformou a přihlaste se k odběru automatizovaných aktualizačních kanálů.
Riziko: Cloudové prostředky mají často požadavky na povolení nebo musí běžet v dokumentovaných konfiguracích, aby se mohly považovat za podporované. Některé techniky posílení zabezpečení, například agresivní blokování odchozího provozu, můžou způsobit, že služba spadne mimo podporovanou konfiguraci, a to i v případě, že služba funguje normálně. Seznamte se s požadavky jednotlivých cloudových prostředků na modul runtime na vaší platformě, abyste měli jistotu, že pro tento prostředek zachováte podporu.
Aplikace
Vyhodnoťte oblasti, ve kterých může aplikace neúmyslně unikat informace. Předpokládejme například, že máte rozhraní API, které načítá informace o uživateli. Požadavek může mít platné ID uživatele a vaše aplikace vrátí chybu 403. S neplatným ID zákazníka ale žádost vrátí chybu 404. Pak v podstatě unikáte informace o vašich ID uživatelů.
Můžou to být i subtilnější případy. Například latence odpovědi s platným ID uživatele je vyšší než neplatné ID zákazníka.
Zvažte implementaci posílení zabezpečení aplikací v následujících oblastech:
Ověřování vstupu a sanitizace: Předejděte útokům prostřednictvím injektáže SQL a skriptování mezi weby (XSS), ověřením a sanitizací všech uživatelských vstupů. Automatizujte sanitizaci vstupu pomocí knihoven a architektur pro ověřování vstupu.
Správa relací: Chraňte identifikátory relací a tokeny před útoky krádeže nebo fixace relací pomocí technik zabezpečené správy relací. Implementujte vypršení časových limitů relací a vynucujte opětovné ověřování citlivých akcí.
Správa chyb: Implementujte vlastní zpracování chyb, abyste minimalizovali zveřejnění citlivých informací útočníkům. Bezpečně protokolujte chyby a monitorujte v těchto protokolech podezřelé aktivity.
Hlavičky zabezpečení PROTOKOLU HTTP: Zmírníte běžná webová ohrožení zabezpečení tím, že v odpovědích HTTP využijete hlavičky zabezpečení, jako jsou zásady zabezpečení obsahu (CSP), možnosti X-Content-Type-Options a X-Frame-Options.
Zabezpečení rozhraní API: Zabezpečte rozhraní API správnými mechanismy ověřování a autorizace. Pro další vylepšení zabezpečení implementujte omezování rychlosti, ověřování požadavků a řízení přístupu pro koncové body rozhraní API.
Při vývoji a údržbě aplikací dodržujte postupy bezpečného kódování. Pravidelně provádějte revize kódu a kontrolujte ohrožení zabezpečení v aplikacích. Další informace najdete v tématu Doporučení pro zabezpečení životního cyklu vývoje.
Operace správy
Zpevnění také jiných prostředků bez modulu runtime. Můžete například snížit nároky na operace sestavení tím, že vytvoříte inventarizaci všech prostředků a odeberete nepoužívané prostředky z kanálu. Potom načítejte úlohy publikované důvěryhodnými zdroji a spouštějte jenom úlohy, které jsou ověřené.
Zjistěte, jestli potřebujete agenty sestavení hostované Microsoftem nebo agenty sestavení v místním prostředí. Agenti sestavení v místním prostředí potřebují další správu a musí být posíleni.
Z hlediska pozorovatelnosti implementujte proces kontroly protokolů z hlediska potenciálních porušení zabezpečení. Pravidel řízení přístupu pravidelně kontrolujte a aktualizujte na základě protokolů přístupu. Spolupracujte s centrálními týmy na analýze správy událostí informací o zabezpečení (SIEM) a protokolů automatizované reakce na orchestraci zabezpečení (SOAR) za účelem detekce anomálií.
Zvažte vyžadování pracovních stanic s privilegovaným přístupem nebo SAW pro operace správy s oprávněními. Pracovní stanice s privilegovaným přístupem a pracovní stanice SAW jsou posílená fyzická zařízení, která nabízejí významné výhody zabezpečení, ale jejich implementace vyžaduje pečlivé plánování a správu. Další informace najdete v tématu Zabezpečení zařízení v rámci scénáře privilegovaného přístupu.
Usnadnění Azure
Microsoft Defender for Cloud nabízí několik možností posílení zabezpečení:
- Posílení zabezpečení serverů
- Adaptivní posilování zabezpečení sítě
- Posílení zabezpečení hostitele Dockeru
Centrum pro zabezpečení internetu (CIS) nabízí posílené image v Azure Marketplace.
Azure VM Image Builder můžete použít k vytvoření opakovatelného procesu pro posílené image operačního systému. Common Base Linux-Mariner je posílená distribuce Linuxu vyvinutá Microsoftem, která se řídí standardy zabezpečení a oborovými certifikacemi. Můžete ho použít s produkty infrastruktury Azure k vytváření implementací úloh.
Příklad
Následující postup je příkladem posílení operačního systému:
Snižte stopy. Odeberte nepotřebné komponenty v imagi. Nainstalujte jenom to, co potřebujete.
Vylaďte konfigurace. Zakažte nepoužívané účty. Výchozí konfigurace operačních systémů obsahuje další účty, které jsou propojené se skupinami zabezpečení. Pokud tyto účty nepoužíváte, zakažte je nebo odeberte ze systému. Dodatečné identity jsou vektory hrozeb, které je možné použít k získání přístupu k serveru.
Zakažte nepotřebný přístup k systému souborů. Zašifrujte systém souborů a vylaďte řízení přístupu k identitám a sítím.
Spusťte jenom to, co je potřeba. Blokovat aplikace a služby, které se spouštějí ve výchozím nastavení Schvalovat jenom aplikace a služby, které jsou potřeba pro funkčnost úloh.
Udržujte obranu. Pravidelně aktualizujte komponenty operačního systému nejnovějšími aktualizacemi zabezpečení a opravami, abyste zmírnili známá ohrožení zabezpečení.
Související odkazy
- Adaptivní posilování zabezpečení sítě
- Doporučení pro ochranu tajných kódů aplikací
- Doporučení pro zabezpečení životního cyklu vývoje
- Zabezpečení zařízení jako součást scénáře privilegovaného přístupu
- Posílení zabezpečení serverů
Odkazy na komunitu
Kontrolní seznam zabezpečení
Projděte si kompletní sadu doporučení.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro