Audity zabezpečení
Abyste se ujistili, že se výkon zabezpečení v průběhu času nezhoršuje, pravidelně proveďte auditování, které kontroluje dodržování standardů organizace. Povolte, získejte a uložte protokoly auditu pro služby Azure.
Klíčové body
- Vylepšení bezpečnostního skóre v Azure Security Center.
- K vyhodnocení aktuálního stavu zabezpečení vaší organizace použijte standardní oborový srovnávací test.
- Provádění pravidelných interních a externích auditů dodržování předpisů, včetně osvědčení o dodržování právních předpisů
- Zkontrolujte požadavky zásad.
- Pomocí vizualizéru zásad správného řízení Azure můžete zobrazit ucelený přehled technické implementace zásad správného řízení Azure.
Vyhodnocení pomocí standardních srovnávacích testů
Vyhodnocuje se pomocí standardních srovnávacích testů postoj k zabezpečení této úlohy?
K vyhodnocení aktuálního stavu zabezpečení vaší organizace použijte standardní oborový srovnávací test.
Srovnávací testy umožňují vylepšit program zabezpečení tím, že se učíte z externích organizací. Dá vám vědět, jak se váš aktuální stav zabezpečení porovnává s stavem jiných organizací, a poskytuje externí ověřování úspěšných prvků vašeho aktuálního systému i identifikaci mezer, které slouží jako příležitosti k rozšíření celkové strategie zabezpečení vašeho týmu. I když váš program zabezpečení není svázán s konkrétním srovnávacím testem nebo zákonným standardem, budete mít užitek z pochopení zdokumentovaných ideálních stavů těmi, kdo jsou mimo vaše odvětví i uvnitř vašeho odvětví.
Centrum Center for Internet Security (CIS) například vytvořilo srovnávací testy zabezpečení pro Azure, které se mapují na rozhraní CIS Control Framework. Dalším referenčním příkladem je mitre ATT&CK, která definuje různé taktiky a techniky na základě reálných ™ pozorování. Tyto externí odkazy řídí mapování a pomáhají pochopit případné mezery mezi vaší aktuální strategií, co máte a co mají v oboru další odborníci.
Navrhovaná akce
Vytvořte strategii srovnávacích testů zabezpečení Azure, která bude v souladu s oborové standardy.
S tím, jak se lidé v organizaci a na projektu mění, je důležité zajistit, aby k infrastruktuře aplikace přistupoval jenom ti správný lidé. Auditování a kontrola řízení přístupu snižuje vektor útoku na aplikaci. Řídicí rovina Azure závisí na Službě Azure AD a kontroly přístupu se často provádějí centrálně v rámci interních nebo externích aktivit auditu.
Ujistěte se, že bezpečnostní tým audituje prostředí, aby hlásit dodržování zásad zabezpečení organizace. Týmy zabezpečení mohou také vynucovat dodržování těchto zásad.
Audit dodržování právních předpisů
Dodržování předpisů je důležité z několika důvodů. Kromě úrovní dodržování standardů, jako jsou a dalších, může nedo souladu se zákonnými pokyny způsobit ISO 27001 neschopné a penalizující postihy. Pravidelně kontrolujte role s vysokými oprávněními. Nastavte vzor opakované revize, abyste zajistili, že se účty při změně rolí odebraly z oprávnění. Zvažte auditování alespoň dvakrát ročně.
Navrhovaná akce
Pomocí Azure Defender (Azure Security Center) průběžně vyhodnocujte a monitorujte skóre dodržování předpisů.
Další informace
Vyhodnocení dodržování právních předpisů
Máte zavedené řešení monitorování a posouzení dodržování předpisů?
Průběžně vyhodnocujte a monitorujte stav dodržování předpisů vaší úlohy. Azure Security Center řídicí panel pro dodržování právních předpisů, který ukazuje aktuální stav zabezpečení úloh proti kontrolám, které jsou nařízené standardními vládami nebo oborových organizacemi a srovnávacím testem zabezpečení Azure. Udržujte prostředky v souladu s těmito standardy. Security Center sleduje mnoho standardů. Standardy můžete nastavit podle skupin pro správu v předplatném.
Zvažte použití kontrol přístupu Azure nebo správy nároků k pravidelnému kontrolování přístupu k úlohu.
Zvažte použití kontrol přístupu Azure nebo správy nároků k pravidelnému kontrolování přístupu k úlohu.
V případě Azure můžete Azure Policy a spravovat zásady, které vynucuje dodržování předpisů. Zásady Azure jsou postavené na Azure Resource Manager funkcí. Azure Policy můžete také přiřadit prostřednictvím Azure Blueprints.
Další informace najdete v tématu Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů.
Tady je příklad skupiny pro správu, která sleduje dodržování předpisů standardu PCI (Payment Card Industry).
Máte interní a externí audity pro tuto úlohu?
Úloha by se měla auditovat interně, externě nebo oběma s cílem odhalit nedostatky v zabezpečení. Ujistěte se, že jsou mezery vyřešené prostřednictvím aktualizací.
Auditování je důležité pro úlohy, které dodržují standard. Kromě úrovní podepisování standardů může nedodržení legislativních pokynů přinést zašetrování a penalizující postihy.
Proveďte ověření dodržování právních předpisů. Ověření se provádí nezávislou stranou, která zkoumá, jestli je úloha v souladu se standardem.
Kontrola kritického přístupu
Je přístup k řídicí rovině a rovině dat aplikace pravidelně kontrolován?
Pravidelně kontrolujte role s vysokými oprávněními. Nastavte vzor opakované revize, abyste zajistili, že se účty při změně rolí odebraly z oprávnění. Zvažte auditování alespoň dvakrát ročně.
Jak se lidé v organizaci a na projektu mění, zajistěte, aby přístup k infrastruktuře aplikace a dostatečným oprávněním k dokončení úkolu měl jenom ten správný. Auditování a kontrola řízení přístupu snižuje vektor útoku na aplikaci.
Řídicí rovina Azure závisí na Azure AD. Ke čtení můžete použít nástroje, jako je kontrola přístupu Azure AD, ručně nebo prostřednictvím automatizovaného procesu. Tyto kontroly se často centrálně provádějí v rámci interních nebo externích aktivit auditu.
Kontrola dodržování zásad
Ujistěte se, že bezpečnostní tým audituje prostředí, aby hlásit dodržování zásad zabezpečení organizace. Týmy zabezpečení mohou také vynucovat dodržování těchto zásad.
Vynucování a auditování průmyslových, státních a interních zásad zabezpečení společnosti Monitorování zásad kontroluje, zda jsou počáteční konfigurace správné a že jsou nadále v průběhu času kompatibilní.
V případě Azure můžete Azure Policy a spravovat zásady, které vynucuje dodržování předpisů. Zásady Azure jsou postavené na Azure Resource Manager funkcí. Azure Policy můžete také přiřadit prostřednictvím Azure Blueprints. Další informace najdete v tématu Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů.
Zachytávání důležitých dat
Vizualizér zásad správného řízení Azure zachycuje data z nejdůležitějších funkcí Zásady správného řízení Azure, jako jsou Azure Policy, řízení přístupu na základě role v Azure (Azure RBAC) a Azure Blueprints. Skript PowerShellu vizualizéru iteruje hierarchií skupiny pro správu tenanta Azure až na úroveň předplatného. Na základě shromážděných dat vizualizér zobrazí vaši mapu hierarchie, vytvoří souhrn tenanta a podrobné přehledy oboru o vašich skupinách pro správu a předplatných.
Další kroky
Související odkazy
Bezpečnostní skóre v Azure Security Center umožňuje zobrazit všechna ohrožení zabezpečení do jednoho skóre.
Kurz: Vylepšení dodržování legislativních předpisů popisuje podrobný postup vyhodnocení zákonných požadavků v Azure Security Center.