Osvědčené postupy zabezpečení AzureAzure security best practices

Jedná se o nejdůležitější osvědčené postupy zabezpečení Azure, které Microsoft doporučuje na základě lekcí získaných napříč zákazníky a našimi prostředími.These are the top Azure security best practices that Microsoft recommends based on lessons learned across customers and our own environments.

Můžete si prohlédnout video prezentace těchto osvědčených postupů v technické komunitě Microsoftu.You can view a video presentation of these best practices in the Microsoft Tech Community.

1. lidé: informovat týmy o cestě cloudového zabezpečení1. People: Educate teams about the cloud security journey

Tým musí pochopit cestu, na které se nachází.The team needs to understand the journey they're on.

Co: Informujte vaše týmy zabezpečení a IT oddělení o cestě zabezpečení cloudu a změnách, které budou navigaci zahrnovat:What: Educate your security and IT teams on the cloud security journey and the changes they will be navigating including:

  • Změny hrozeb v clouduChanges to threats in the cloud
  • Sdílený model zodpovědnosti a jeho dopad na zabezpečeníShared responsibility model and how it impacts security
  • Změny kulturního a role/zodpovědnosti, které obvykle doprovázejí přijímání v clouduCultural and role/responsibility changes that typically accompany cloud adoption

Proč: přechod do cloudu představuje významnou změnu, která vyžaduje posun v místo a přístup k zabezpečení.Why: Moving to the cloud is a significant change that requires a shift in mindset and approach for security. I když se zabezpečení výsledků v organizaci nemění, nejlepší způsob, jak to dosáhnout v cloudu, se často mění, někdy významně.While the outcomes security provides to the organization won't change, the best way to accomplish this in the cloud often changes, sometimes significantly.

V mnoha směrech se přesun do cloudu podobá přechodu ze samostatného domu na vysoce rostoucí budova v luxus.In many ways, moving to the cloud is similar to moving from a standalone house into a high-rise luxury apartment building. Stále máte základní infrastrukturu (domovníing, elektřinu atd.) a prováděli podobné aktivity (socializing, vaření, TV a Internet atd.), často ale výrazně rozdíl v tom, co se dodává se sestavou (posilovně, restaurace atd.), kdo je poskytuje a udržuje, a denní rutinou.You still have basic infrastructure (plumbing, electricity, etc.) and perform similar activities (socializing, cooking, TV and Internet, etc.) but there often quite a difference in what comes with the building (gym, restaurants, etc.), who provides and maintains them, and your daily routine.

Kdo: Tento kontext a změny (od CIO/ředitelka zabezpečení informací k technickým lékařům) by měly znát všichni v oblasti zabezpečení a organizace IT s případnými bezpečnostními povinnostmi.Who: Everyone in the security and IT organization with any security responsibilities should be familiar with this context and the changes (from CIO/CISO to technical practitioners).

Jak: poskytnout týmům kontext potřebný k úspěšnému nasazení a provozu během přechodu do cloudového prostředí.How: Provide teams with the context required to successfully deploy and operate during the transition to the cloud environment.

Společnost Microsoft publikovala lekce získaná našimi zákazníky a naší organizací IT na jejich cestě do cloudu:Microsoft has published lessons learned by our customers and our own IT organization on their journeys to the cloud:

Podívejte se také na Azure Security benchmark GS-3: zarovnejte role organizace, zodpovědnosti a accountabilities.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities.

2. lidé: pedagogy týmů na technologii zabezpečení cloudu2. People: Educate teams on cloud security technology

Lidé musí pochopit, kde se budou posílat.People need to understand where they're going.

Co: Ujistěte se, že vaše týmy mají pro technický výcvik na zabezpečení cloudových prostředků odnastavenou dobu, včetně:What: Ensure your teams have time set aside for technical education on securing cloud resources including:

  • Cloudová technologie a Cloudová technologie zabezpečeníCloud technology and cloud security technology
  • Doporučené konfigurace a osvědčené postupyRecommended configurations and best practices
  • Kde se dozvíte více technických podrobností podle potřebyWhere to learn more technical details as needed

Proč: technické týmy potřebují přístup k technickým informacím, aby se zajistilo správné rozhodování o zabezpečení.Why: Technical teams need access to technical information to make sound informed security decisions. Technické týmy jsou vhodné při učení nových technologií v rámci úlohy, ale objem podrobností v cloudu často zahltí svou schopnost využít ke každodennímu učení.Technical teams are good at learning new technologies on the job, but the volume of details in the cloud often overwhelms their ability to fit learning into their daily routine.

Strukturování vyhrazeného času pro technické učení pomáhá zajistit, aby měli uživatelé čas na zajištění důvěry na jejich schopnost zhodnotit zabezpečení cloudu a zamyslete se nad tím, jak svoje stávající dovednosti a procesy přizpůsobit.Structuring dedicated time for technical learning helps ensure people have time to build confidence on their ability to assess cloud security and think through how to adapt their existing skills and processes. I to, co nejvíce Talented speciální provozní týmy v rámci vzdělávání vojenských potřeb a jejich nejlepší výkon.Even the most talented special operations teams in the military need training and intelligence to perform at their best.

Kdo: všechny role, které přímo komunikují s cloudovou technologií (v zabezpečení a oddělení IT), by měly vyhradit čas pro technické učení na cloudových platformách a jak je zabezpečit.Who: All roles that directly interact with cloud technology (in security and IT departments) should dedicate time for technical learning on cloud platforms and how to secure them.

Navíc zabezpečení a IT techničtí manažeři (a často vedoucí projektů) by měli vyvíjet znalosti s některými technickými podrobnostmi pro zabezpečení cloudových prostředků (protože to pomůže efektivněji vést a koordinovat cloudové iniciativy).Additionally security and IT technical managers (and often project managers) should develop familiarity with some technical details for securing cloud resources (as this will help them more effectively lead and coordinate cloud initiatives).

Jak: Zajistěte, aby technické specialisty na zabezpečení byly vyhradní pro školení s vlastním tempem, jak zabezpečit cloudové prostředky.How: Ensure that technical professionals in security have time set aside for self-paced training on how to secure cloud assets. I když to není vždy proveditelné, ideálně poskytují přístup k formálnímu školení zkušeným instruktorem a praktickým cvičením.While not always feasible, ideally provide access to formal training with an experienced instructor and hands-on labs.

Důležité

Protokoly identit jsou pro přístup k řízení v cloudu velmi důležité, ale v místních zabezpečeních se často neurčují jejich prioritu, takže týmy zabezpečení by se měly soustředit na obeznámení s těmito protokoly a protokoly.Identity protocols are critical to access control in the cloud but often not prioritized in on-premises security, so security teams should ensure to focus on developing familiarity with these protocols and logs.

Microsoft poskytuje rozsáhlé prostředky, které pomůžou technickým odborníkům zvýšit zabezpečení prostředků Azure a nahlásit dodržování předpisů.Microsoft provides extensive resources to help technical professionals ramp up on securing Azure resources and report compliance:

Podívejte se taky na Azure Security benchmark GS-3: zarovnejte role organizace, zodpovědnosti a accountabilities.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

3. proces: přiřazení zodpovědnosti pro rozhodování o zabezpečení cloudu3. Process: Assign accountability for cloud security decisions

Pokud pro rozhodování o zabezpečení není nikdo účet, nebude se dělat.If nobody is accountable for making security decisions, they won't get made.

Co: Určete, kdo zodpovídá za rozhodování o jednotlivých typech bezpečnostních rozhodnutí v podnikovém prostředí Azure.What: Designate who is responsible for making each type of security decision for the enterprise Azure environment.

Proč: zrušení vlastnictví rozhodnutí o zabezpečení zrychluje přijetí cloudu a zvyšuje zabezpečení.Why: Clear ownership of security decisions speeds up cloud adoption and increases security. Nedostatečně často vznikne tření, protože nikdo nevedl k rozhodování, neví, kdo má na rozhodnutí požádat, a nikdo nemotivovaníí, aby se ujistili o rozhodnutí.Lack of typically creates friction because nobody feels empowered to make decisions, nobody knows who to ask for a decision, and nobody is incentivized to research a well-informed decision. Tento tření často brání obchodním cílům, časovým plánům pro vývojáře, cílům IT a bezpečnostním zárukám, a to v těchto případech:This friction frequently impedes business goals, developer timelines, IT goals, and security assurances, resulting in:

  • Zastavené projekty, které čekají na schválení zabezpečeníStalled projects that are waiting for security approval
  • Nezabezpečená nasazení, která nečekají na schválení zabezpečeníInsecure deployments that couldn't wait for security approval

Kdo: vedoucí zabezpečení určuje, které týmy nebo jednotlivci jsou pro rozhodování o zabezpečení cloudu.Who: Security leadership designates which teams or individuals are accountable for making security decisions about the cloud.

Postupy: určení skupin (nebo jednotlivců), které budou zodpovědné za provádění klíčových rozhodnutí zabezpečení.How: Designate groups (or individuals) that will be responsible for making key security decisions.

Zdokumentujte tyto vlastníky, kontaktní údaje a Socialize to široce v rámci zabezpečení, IT a cloudových týmů, abyste se ujistili, že je to pro všechny role snadné, aby je kontaktovali.Document these owners, their contact information, and socialize this widely within the security, IT, and cloud teams to ensure it's easy for all roles to contact them.

Jedná se o typické oblasti, kde jsou potřeba rozhodnutí o zabezpečení, popisy a týmy, které obvykle provedou rozhodnutí.These are the typical areas where security decisions are needed, descriptions, and which teams typically make the decisions.

RozhodnutíDecision PopisDescription Typický týmTypical Team
Zabezpečení sítěNetwork Security Konfigurace a údržba Azure Firewall, síťová virtuální zařízení (a související směrování), WAF, skupin zabezpečení sítě, skupiny ASG atd.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc. Obvykle se tým infrastruktury a zabezpečení koncového bodu zaměřuje na zabezpečení sítěTypically Infrastructure and endpoint security team focused on network security
Správa sítěNetwork Management Virtuální síť a přidělení podsítě pro podnikové úrovniEnterprise-wide virtual network and subnet allocation Obvykle existující tým síťových operací v ústředních operacích ITTypically existing network operations team in Central IT Operations
Zabezpečení koncového bodu serveruServer Endpoint Security Monitorování a náprava zabezpečení serveru (opravy, konfigurace, zabezpečení koncového bodu atd.)Monitor and remediate server security (patching, configuration, endpoint security, etc.) Obvykle centrální provoz IT a týmy infrastruktury a zabezpečení Endpoint Security dohromadyTypically Central IT Operations and Infrastructure and endpoint security teams jointly
Monitorování a reakce na incidentyIncident Monitoring and Response Prozkoumejte a napravit incidenty zabezpečení v SIEM nebo zdrojové konzole (Azure Security Center, Azure AD Identity Protection atd.)Investigate and remediate security incidents in SIEM or source console (Azure Security Center, Azure AD Identity Protection, etc.) Obvykle tým operací zabezpečeníTypically security operations team
Správa zásadPolicy Management Nastavte směr pro použití řízení přístupu na základě role Azure (Azure RBAC), Azure Security Center, strategii ochrany správců a Azure Policy k řízení prostředků Azure.Set direction for use of Azure role-based access control (Azure RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources Obvykle se + týmy architektury zabezpečení zásad a standardů společněTypically Policy and Standards + Security Architecture Teams jointly
Zabezpečení identity a standardyIdentity Security and Standards Nastavení směru pro adresáře Azure AD, PIM/PAM použití, MFA, konfigurace hesel a synchronizace, standardy identity aplikacíSet direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards Obvykle společné identity a zásady správy klíčů + a standardy + zabezpečení pro týmyTypically Identity and Key Management + Policy and Standards + Security Architecture Teams jointly

Poznámka

  • Zajistěte, aby tvůrci rozhodnutí měli příslušné vzdělávání v oblasti cloudu, aby k této odpovědnosti doprovázet.Ensure decision makers have the appropriate education in their area of the cloud to accompany this responsibility.
  • Zajistěte, aby se rozhodnutí popsala v zásadách a standardech a poskytovaly záznam a provedou organizaci v dlouhodobém horizontu.Ensure decisions are documented in policy and standards to provide a record and guide the organization over the long term.

Podívejte se taky na Azure Security benchmark GS-3: zarovnejte role organizace, zodpovědnosti a accountabilities.Also see the Azure Security Benchmark GS-3: Align organization roles, responsibilities, and accountabilities

4. proces: aktualizace procesů odpovědí na incidenty pro Cloud4. Process: Update incident response processes for cloud

Nemáte čas plánovat krize během krize.You don't have time to plan for a crisis during a crisis.

Co: aktualizují procesy a připravte analytiky na odpověď na incidenty zabezpečení na vaší cloudové platformě Azure (včetně všech přijatých nástrojů pro detekci nativních hrozeb ).What: Update processes and prepare analysts to for responding to security incidents on your Azure cloud platform (including any native threat detection tools you have adopted). Aktualizujte procesy, připravte svůj tým a provedete se simulovanými útoky, aby se mohly vylepšovat při vyšetřování incidentů, nápravě a loveckých hrozbách.Update processes, prepare your team, and practice with simulated attacks so they can perform at their best during incident investigation, remediation, and threat hunting.

Proč: aktivní útočníci přiznali bezprostřední riziko pro organizaci, která může rychle dojít ke obtížnému řízení, takže je třeba rychle účinně reagovat na útoky.Why: Active attackers present an immediate risk to the organization that can quickly become a difficult to control situation, so you must rapidly effectively respond to attacks. Tento proces reakce na incidenty musí být účinný pro celou nemovitost včetně všech cloudových platforem hostujících podniková data, systémy a účty.This incident response (IR) process must be effective for your entire estate including all cloud platforms hosting enterprise data, systems, and accounts.

Podobně v mnoha ohledech mají cloudové platformy důležitý technický rozdíl oproti místním systémům, které mohou přerušit stávající procesy, většinou protože informace jsou k dispozici v jiném formuláři.While similar in many ways, cloud platforms have important technical difference from on-premises systems that can break existing processes, typically because information is available in a different form. Analytiké zabezpečení může mít také problémy rychle reagovat na neznámé prostředí, které je může zpomalit (zejména v případě, že jsou vyškolené jenom v klasických místních architekturách a přístupy k síti/disku forenzní).Security analysts may also have challenges rapidly responding to an unfamiliar environment that can slow them down (especially if they are trained only on classic on-premises architectures and network/disk forensics approaches).

Kdo: modernizaci procesy IR obvykle vychází z bezpečnostních operací s podporou jiných skupin pro znalosti a odborníky.Who: Modernizing the IR processes is typically led by Security Operations with support from other groups for knowledge and expertise.

  • Sponzorství: Tato modernizace procesu je obvykle financována nástrojem Security Security Director nebo ekvivalentní.Sponsorship: This process modernization is typically sponsored by the Security Operations director or equivalent.

  • Spuštění: Přizpůsobení stávajících procesů (nebo jejich zapsání poprvé) představuje spolupráci, která zahrnuje:Execution: Adapting existing processes (or writing them for the first time) is a collaborative effort involving:

    • Tým nebo vedoucí řízení incidentů operací zabezpečení – vede aktualizace pro zpracování a integraci klíčových externích účastníků, včetně obchodních a komunikačních týmů a týmů s veřejnými vztahy.Security Operations incident management team or leadership –leads updates to process and integration of key external stakeholders including legal and communications/public relations teams
    • Bezpečnostní analytiky v oblasti zabezpečení – poskytování odborných znalostí o vyšetřování technických incidentů a jejich tříděníSecurity Operations security analysts – provide expertise on technical incident investigation and triage
    • Centrální IT operace – poskytuje zkušenosti na cloudové platformě (přímo přes cloudové centra excelence nebo prostřednictvím externích konzultantů).Central IT Operations - Provides expertise on cloud platform (directly, via cloud center of excellence, or via external consultants)

Postup: aktualizace procesů a příprava týmu, aby věděli, co dělat, když hledají aktivní útočníka.How: Update processes and prepare your team so they know what to do when they find an active attacker.

  • Procesy a playbooky: Přizpůsobte stávající vyšetřování, nápravu a lovecké procesy na rozdíl od fungování cloudových platforem (nové/různé nástroje, zdroje dat, protokoly identity atd.).Processes and Playbooks: Adapt existing investigations, remediation, and threat hunting processes to the differences of how cloud platforms work (new/different tools, data sources, identity protocols, etc.).

  • Vzdělávání: Pedagogujte analytiky na celkové transformaci cloudu, technické podrobnosti o tom, jak platforma funguje, a nové/aktualizované procesy tak, aby znali, co se liší a kde se dozvíte, co potřebují.Education: Educate analysts on the overall cloud transformation, technical details of how the platform works, and new/updated processes so that they know what will be different and where to go for what they need.

Klíčové oblasti pro fokus: i když existuje mnoho detailů popsaných v odkazech na prostředky, jedná se o klíčové oblasti pro zaměření vzdělávání a plánování úsilí:Key Focus Areas: While there are many details described in the resource links, these are key areas to focus your education and planning efforts:

  • Sdílený model zodpovědnosti a cloudové architektury: Jako analytik zabezpečení Azure je softwarově definované datové centrum, které poskytuje spoustu služeb, včetně virtuálních počítačů (známých) a dalších, které se velmi liší od místních, jako jsou například funkce Azure SQL Azure Functions atd. tam, kde jsou nejlepší data v protokolech služby nebo ve službě specializovaného zjišťování hrozeb, nikoli v protokolech pro základní operační systémy a virtuální počítače (které jsou provozovány společností Microsoft aShared responsibility model and cloud architectures: To a security analyst, Azure is a software defined datacenter that provides many services including VMs (familiar) and others that are very different from on-premises such as Azure SQL Azure Functions, etc. where the best data is in the service logs or the specialized threat detection services rather than in logs for the underlying OS/VMs (which are operated by Microsoft and service multiple customers). Analytici musí pochopit a integrovat tento kontext do svých každodenních pracovních postupů, aby věděli, jaká data se očekávají, kde se mají získat a jaký formát se bude zobrazovat v.Analysts need to understand and integrate this context into their daily workflows so they know what data to expect, where to get it, and what format it will be in.
  • Zdroje dat koncového bodu: Získávání přehledů a dat pro útoky a malware na hostovaných serverech cloudu je často rychlejší, jednodušší a přesnější s nástroji pro detekci nativního cloudu, jako jsou Azure Security Center a EDR systémy, na rozdíl od tradičních přístupů k přímému přístupu k disku.Endpoint data sources: Getting insights and data for attacks and malware on cloud hosted servers is often faster, easier, and more accurate with native cloud detection tools like Azure Security Center and EDR systems as opposed to traditional approaches of direct disk access. I když je forenzní k dispozici pro scénáře, kde je to možné a vyžaduje se pro soudní řízení (počítač forenzní v Azure), je to často nejúčinnější způsob, jak detekovat a prozkoumat útoky.While direct disk forensics are available for scenarios where it is possible and required for legal proceedings (Computer forensics in Azure), this is often the most inefficient way to detect and investigate attacks.
  • Zdroje dat sítě a identity: Celá řada funkcí cloudových platforem primárně používá identitu primárně pro řízení přístupu, jako je například přístup k Azure Portal (i když jsou často používány ovládací prvky přístupu k síti).Network and Identity data sources: Many functions of cloud platforms primarily use identity primarily for access control such as access to the Azure portal (though network access controls are used extensively as well). K tomu je potřeba, aby analytici vytvořili porozumění protokolům cloudových identit a získali tak úplný, bohatě vyhodnocený obrázek aktivity útočníka (a legitimní aktivity uživatelů), aby podporoval vyšetřování a nápravu incidentů.This requires analysts to develop an understanding of cloud identity protocols to get a full, rich, picture of attacker activity (and legitimate user activity) to support incident investigation and remediation. Adresáře a protokoly identity se taky liší od místních, protože jsou obvykle založené na adresářích SAML, OAuth a OIDC a cloudu, a ne na LDAP, Kerberos, NTLM a službě Active Directory, které se běžně nacházejí v místním prostředí.Identity directories and protocols are also different from on-premises as they are typically based on SAML, OAuth, and OIDC and Cloud directories rather than LDAP, Kerberos, NTLM, and Active Directory that are commonly found on-premises.
  • Praktická cvičení: Simulované útoky a reakce můžou přispět k sestavování paměti organizačních svalů a technické připravenosti pro vaše analytiky zabezpečení, Hunters hrozeb, správce incidentů a další zúčastněné strany ve vaší organizaci.Practice exercises: Simulated attacks and response can help build organizational muscle memory and technical readiness for your security analysts, threat hunters, incident managers, and other stakeholders in your organization. Učení o úloze a její přizpůsobování je přirozená součást reakce na incidenty, ale měli byste pracovat, abyste minimalizovali, kolik se v krize budete muset naučit.Learning on the job and adapting is a natural part of incident response, but you should work to minimize how much you have to learn in a crisis.

Klíčové materiály:Key Resources:

Podívejte se také na článek testování výkonnosti Azure Security test IR-1: Preparation – aktualizace procesu reakce na incidenty pro Azure.Also see the Azure Security Benchmark IR-1: Preparation – update incident response process for Azure.

5. Process: vytvoření stav správy zabezpečení5. Process: Establish security posture management

Nejdřív ví, že thyself.First, know thyself.

Co: Ujistěte se, že aktivně spravujete stav zabezpečení prostředí Azure pomocí:What: Ensure that you are actively managing the security posture of your Azure environment by:

  • Přiřazení jasného vlastnictví odpovědnosti proAssigning clear ownership of responsibilities for
    • Monitorování stav zabezpečeníMonitoring security posture
    • Zmírnění rizik pro prostředkyMitigating risks to assets
  • Automatizace a zjednodušení těchto úlohAutomating and simplifying these tasks

Proč: rychle se identifikujte a oprava běžná hygienická rizika významně snižuje riziko organizace.Why: Rapidly identifying and remediating common security hygiene risks significantly reduces organizational risk.

Softwarově definovaná povaha cloudových datových Center umožňuje nepřetržité monitorování rizik zabezpečení (ohrožení zabezpečení softwaru, chybných konfigurací zabezpečení atd.) s rozsáhlými instrumentací.The software defined nature of cloud datacenters enables continuous monitoring of security risk (software vulnerabilities, security misconfigurations, etc.) with extensive asset instrumentation. Rychlost, s jakou vývojáři a IT tým můžou nasazovat virtuální počítače, databáze a další prostředky, taky vytvoří nutnost zajistit zabezpečený a aktivně monitorovaný prostředek.The speed at which developers and IT team can deploy VMs, databases, and other resources also create a need to ensure resources are configured securely and actively monitored.

Tyto nové funkce nabízejí nové možnosti, ale z nich je potřeba přiřazovat zodpovědnost za jejich použití.These new capabilities offer new possibilities, but realizing value from them requires assigning responsibility for using them. Spuštění konzistentně na s rychlým vývojem cloudových operací také vyžaduje, aby byly lidské procesy co nejjednodušší a automatizovanější.Executing consistently on with rapidly evolving cloud operations also requires keeping human processes as simple and automated as possible. Podívejte se na zásadu zabezpečení"jednoduchost jednotky".See the "Drive Simplicity" security principle.

Poznámka

Cílem zjednodušení a automatizace není oddálení v souvislosti s tím, že se odeberou zatížení opakujících se úloh, aby se mohly soustředit na vyšší hodnoty, jako je například zapojení a vzdělávání IT a DevOpsch týmů.The goal of simplification and automation isn't about getting rid of jobs, but about removing the burden of repetitive tasks from people so they can focus on higher value human activities like engaging with and educating IT and DevOps teams.

Komu: Tato akce je obvykle rozdělena do dvou sad odpovědností:Who: This is typically divided into two sets of responsibilities:

  • Správa stav zabezpečení – tato novější funkce často vychází z vývoje stávající funkce zabezpečení nebo funkcí zásad správného řízení.Security posture management – This newer function is often an evolution of existing vulnerability management or governance functions. To zahrnuje monitorování celkového stav zabezpečení pomocí Azure Security Center zabezpečeného skóre a dalších zdrojů dat, které aktivně pracují s vlastníky prostředků, aby se zmírnila rizika a nahlásily riziko pro vedení zabezpečení.This includes monitoring overall security posture using Azure Security Center Secure Score and other data sources, actively working with resource owners to mitigate risks, and reporting risk to security leadership.

  • Náprava zabezpečení: Přiřaďte zodpovědnost za řešení těchto rizik pro týmy zodpovědné za správu těchto prostředků.Security remediation: Assign accountability for addressing these risks to the teams responsible for managing those resources. To by mělo být v případě, že týmy DevOps spravují své vlastní prostředky aplikací nebo týmy pro konkrétní technologie v rámci centrálních IT operací:This should either the DevOps teams managing their own application resources or the technology-specific teams in Central IT Operations:

    • Prostředky COMPUTE a Apps:Compute and Apps Resources:
      • App Services – vývoj aplikací/týmy zabezpečeníApp Services - Application Development/Security Team(s)
      • Kontejnery – vývoj aplikací a/nebo infrastruktura/provoz ITContainers - Application Development and/or Infrastructure/IT Operations
      • Virtuální počítače/sady škálování/výpočetní operace – IT/infrastrukturaVMs/Scale sets/compute - IT/Infrastructure Operations
    • Prostředky úložiště dat &:Data & Storage Resources:
      • SQL/Redis/Data Lake Analytics/Data Lake Store -databázový týmSQL/Redis/Data Lake Analytics/Data Lake Store - Database Team
      • Účty úložiště – tým úložiště/infrastrukturyStorage Accounts - Storage/Infrastructure Team
    • Prostředky pro identitu a přístup:Identity and Access Resources:
      • Předplatná – tým identitySubscriptions - Identity Team(s)
      • Key Vault – identita nebo tým zabezpečení informací/datKey Vault – Identity or Information/Data Security Team
    • Síťové prostředky – tým zabezpečení sítěNetworking Resources - Network Security Team
    • Zabezpečení IoT – provozní tým IoTIoT Security - IoT Operations Team

Jak: zabezpečení je úloha všech uživatelů, ale ne všichni aktuálně ví, jak důležité je, co dělat a jak to udělat.How: Security is everyone's job, but not everyone currently knows how important it is, what to do, and how to do it.

  • Je třeba, aby vlastníci prostředků měli k dispozici bezpečnostní riziko, stejně jako jejich udržení z hlediska dostupnosti, výkonu, nákladů a dalších faktorů úspěchu.Hold resource owners accountable for the security risk just as they are held accountable for availability, performance, cost, and other success factors.
  • Podpora vlastníků prostředků s jasným porozuměním, proč se zabezpečením rizik týkají jejich assetů, co by měla dělat pro zmírnění rizik a jak ji implementovat s minimální ztrátou produktivity.Support resource owners with a clear understanding of why security risk matters to their assets, what they should do to mitigate risk, and how to implement it with minimal productivity loss.

Důležité

Vysvětlení, proč, co a jak zabezpečit prostředky, je často podobné napříč různými typy prostředků a aplikacemi, ale je velmi důležité, abyste je spojili s tím, co každý tým již ví a stojí o.The explanations for why, what, and how to secure resources are often similar across different resource types and applications, but it's critical to relate these to what each team already knows and cares about. Týmy zabezpečení by měly spolupracovat se svým IT a DevOps protějšky jako důvěryhodným poradcem a partner se zaměřuje na to, aby tyto týmy byly úspěšné.Security teams should engage with their IT and DevOps counterparts as a trusted advisor and partner focused on enabling these teams to be successful.

Nástroje: bezpečnostní skóre v Azure Security Center poskytuje posouzení nejdůležitějších informací o zabezpečení v Azure pro širokou škálu prostředků.Tooling: Secure Score in Azure Security Center provides an assessment of the most important security information in Azure for a wide variety of assets. Mělo by se jednat o výchozí bod správy stav a v případě potřeby je můžete doplnit o vlastní zásady Azure a další mechanismy.This should be your starting point on posture management and can be supplemented with custom Azure policies and other mechanisms as needed.

Frekvence: nastavte regulární tempo (obvykle měsíčně) pro kontrolu zabezpečeného skóre Azure a plánování iniciativ s konkrétními cíli vylepšení.Frequency: Set up a regular cadence (typically monthly) to review Azure secure score and plan initiatives with specific improvement goals. Frekvence se dá v případě potřeby zvýšit.The frequency can be increased as needed.

Tip

Pokud je to možné, Gamify aktivitu, jako je třeba vytváření zábavnéch soutěží a cen pro týmy DevOps, které zvyšují jejich skóre.Gamify the activity if possible to increase engagement, such as creating fun competitions and prizes for the DevOps teams that improve their score the most.

Podívejte se také na téma Azure Security benchmark GS-2: definování strategie správy stav zabezpečení.Also see the Azure Security Benchmark GS-2: Define security posture management strategy.

6. technologie: vyžadování neheslem nebo Multi-Factor Authentication (MFA)6. Technology: Require Passwordless or Multi-Factor Authentication (MFA)

Máte v úmyslu povýšit zabezpečení svého podniku, který by profesionální útočníci nedokázal uhodnout ani ukrást heslo správce?Are you willing to bet the security of your enterprise that professional attackers can't guess or steal your admin's password?

Co: vyžaduje, aby všichni správci s kritickým dopadem používali ověřování pomocí hesla nebo vícefaktorového ověřování (MFA).What: Require all critical impact admins to use passwordless or multi-factor authentication (MFA).

Proč: stejně jako starožitnosti starožitnosti neochráníte doma proti modernímu dni burglar hesla nemůžou chránit účty proti běžným útokům, které dnes uvidíme.Why: Just as antique skeleton keys won't protect a house against a modern day burglar, passwords cannot protect accounts against common attacks we see today. Technické podrobnosti jsou popsány ve vaší PA $ $Word nezáležína tom.Technical details are described in Your Pa$$word doesn't matter.

I když MFA byl jednou z nadbytečných kroků, ještě dnes neumožňuje přístup k přihlášení pomocí biometrických přístupů, jako je rozpoznávání obličeje ve Windows Hello a mobilních zařízeních (kde se nemusíte pamatovat nebo zadat heslo).While MFA was once a burdensome extra step, Passwordless approaches today improve the logon experience using biometric approaches like facial recognition in Windows Hello and mobile devices (where you don't have to remember or type a password). Kromě toho se při nulových vztazích důvěryhodnosti pamatují důvěryhodná zařízení, což snižuje výzvy k tomu, aby se zkrátila výzva k přijetí akcí vzdálené MFA (viz četnost přihlašování uživatelů).Additionally, zero trust approaches remember trusted devices, which reduce prompting for annoying out of band MFA actions (see user sign-in frequency).

Kdo: heslo a iniciativa Multi-Factor je obvykle vychází z architektury identity a správy klíčů nebo zabezpečení.Who: Password and multi-factor initiative is typically led by Identity and Key Management and/or Security Architecture.

Jak: implementovat ověřování bez hesla nebo ověřování MFA, naučit se správcům, jak je používat (podle potřeby), a vyžadovat, aby správci mohli postupovat pomocí písemných zásad.How: Implement Passwordless or MFA authentication, train administrators on how to use it (as needed), and require admins to follow using written policy. To lze provést pomocí jedné nebo více z těchto technologií:This can be accomplished by one or more of these technologies:

Poznámka

OVĚŘOVÁNÍ proti útokům založené na textových zprávách je teď pro útočníky relativně levné, takže se můžete soustředit na bez hesla & silnější MFA.Text Message based MFA is now relatively inexpensive for attackers to bypass, so focus on passwordless & stronger MFA.

Viz také srovnávací test zabezpečení Azure – 4: použití ovládacích prvků pro silné ověřování pro veškerý přístup založený na Azure Active Directory.Also see the Azure Security Benchmark ID-4: Use strong authentication controls for all Azure Active Directory based access.

7. technologie: integrace nativní brány firewall a zabezpečení sítě7. Technology: Integrate native firewall and network security

Zjednodušte ochranu systémů a dat před síťovými útoky.Simplify protection of systems and data against network attacks.

Co: zjednodušení strategie a údržby zabezpečení sítě integrací Azure firewall, firewallu webových aplikací Azure (WAF) a distribuovaných zmírnění útoků DDoS (Denial of Service) do zabezpečení vaší sítě.What: Simplify your network security strategy and maintenance by integrating Azure Firewall, Azure Web App Firewall (WAF), and Distributed Denial of Service (DDoS) mitigations into your network security approach.

Proč: jednoduchost je zásadní pro zabezpečení, protože snižuje pravděpodobnost nebezpečí při nejasnostech, chybných konfiguracích a dalších lidských chybách.Why: Simplicity is critical to security as it reduces likelihood of risk from confusion, misconfigurations, and other human errors. Podívejte se na zásadu zabezpečení"jednoduchost jednotky".See the "Drive Simplicity" security principle.

Brány firewall a WAF jsou důležité základní bezpečnostní prvky zabezpečení, které chrání aplikace před škodlivými přenosy, ale jejich nastavení a údržba můžou být složité a využívají významnou část času a pozornosti bezpečnostního týmu (podobně jako přidání vlastních Aftermarket částí do auta).Firewalls and WAFs are important basic security controls to protect applications from malicious traffic, but their setup and maintenance can be complex and consume a significant amount of the security team's time and attention (similar to adding custom aftermarket parts to a car). Nativní funkce Azure můžou zjednodušit implementaci a provoz bran firewall, bran firewall webových aplikací, nedistribuovaných útoků s cílem odepření služeb (DDoS) a dalších.Azure's native capabilities can simplify implementation and operation of Firewalls, Web Application Firewalls, Distributed Denial of Service (DDoS) mitigations, and more.

Díky tomu může váš tým uvolnit čas a pozornost pro úlohy zabezpečení s vyšší hodnotou, jako je například vyhodnocení zabezpečení služeb Azure, automatizace operací zabezpečení a integrace zabezpečení s aplikacemi a IT řešeními.This can free up your team's time and attention for higher value security tasks like evaluating the security of Azure Services, automating security operations, and integrating security with applications and IT solutions.

Kdo:Who:

  • Sponzorství: Tato aktualizace strategie zabezpečení sítě je obvykle financována vedoucím zabezpečením nebo vedoucím IT.Sponsorship: This update of network security strategy is typically sponsored by security leadership and/or IT leadership

  • Spuštění: Integrací těchto do strategie zabezpečení cloudové sítě je spolupráce, která zahrnuje:Execution: Integrating these into your cloud network security strategy is a collaborative effort involving:

    • Architektura zabezpečení – navažte architekturu zabezpečení cloudové sítě pomocí cloudových a cloudových zabezpečení sítě.Security Architecture - Establish cloud network security architecture with cloud network and cloud network security leads.
    • Vedoucí cloudové sítě (ústřední operace IT) + vedoucí cloudového zabezpečení sítě (tým zabezpečení infrastruktury)Cloud network leads (Central IT Operations) + Cloud Network security leads (Infrastructure security Team)
      • Vytvoření architektury zabezpečení sítě cloudu pomocí architektů zabezpečeníEstablish cloud network security architecture with security architects
      • Konfigurace možností brány firewall, NSG a WAF a práce s nástroji Application Architects v pravidlech WAFConfigure Firewall, NSG, and WAF capabilities and work with application architects on WAF rules
    • Architekti aplikací: Práce se zabezpečením sítě pro sestavování a zpřesnění konfigurací WAF RuleSets a DDoS pro ochranu aplikace bez přerušení dostupnostiApplication architects: Work with network security to build and refine WAF rulesets and DDoS configurations to protect the application without disrupting availability

Jak: organizace hledající zjednodušené operace mají dvě možnosti:How: Organizations looking to simplify their operations have two options:

  • Rozšíříte stávající možnosti a architektury: Řada organizací často rozšíří používání stávajících možností brány firewall, takže se můžou na stávající investice na dovednosti a integrace procesů, zejména při prvním přijetí cloudu.Extend existing capabilities and architectures: Many organizations often choose to extend the use of existing firewall capabilities so they can capitalize on existing investments into skills and process integration, particularly as they first adopt the cloud.
  • Zapojte nativní kontrolní prvky zabezpečení: Více a více organizací začíná preferovat používání nativních ovládacích prvků, aby se zabránilo složitosti integrace možností třetích stran.Embrace native security controls: More and more organizations are starting to prefer using native controls to avoid the complexity of integrating third-party capabilities. Tyto organizace obvykle hledají neriziko chybných konfigurací v rámci vyrovnávání zatížení, uživatelsky definovaných tras, brány firewall/WAF sebe a zpoždění v způsobovalo mezi různými technickými týmy.These organizations are typically seeking to avoid the risk of a misconfiguration in load balancing, user-defined routes, the firewall/WAF itself, and delays in handoffs between different technical teams. Tato možnost je zvláště zajímavá organizacím, které přechodu infrastrukturu jako kód, protože umožňuje automatizovat a instrumentovat integrované funkce snadněji než možnosti třetích stran.This option is particularly compelling to organizations embracing infrastructure as code approaches as they can automate and instrument the built-in capabilities more easily than third-party capabilities.

Dokumentaci k funkcím zabezpečení nativní sítě Azure najdete na adrese:Documentation on Azure native network security capabilities can be found at:

Azure Marketplace obsahuje mnoho poskytovatelů brány firewall třetích stran.Azure Marketplace includes many third-party firewall providers.

Podívejte se také na Azure Security srovnávací test NS NS-4: Ochrana aplikací a služeb před útoky z externích sítí.Also see the Azure Security Benchmark NS-4: Protect applications and services from external network attacks.

8. technologie: integrace detekce nativních hrozeb8. Technology: Integrate native threat detection

Zjednodušte detekci a reakci na útoky na systémy a data Azure.Simplify detection and response of attacks against Azure systems and data.

Co: Zjednodušte detekci hrozeb a strategii reakcí tím, že do operací zabezpečení a Siem zahájíte funkce pro detekci nativních hrozeb.What: Simplify your threat detection and response strategy by incorporating native threat detection capabilities into your security operations and SIEM.

Proč: účelem operací zabezpečení je snížit dopad aktivních útočníků, kteří získají přístup k prostředí, jak je to měřeno krátkou dobu až po potvrzení (MTTA) a opravení (MTTR) incidenty.Why: The purpose of security operations is to reduce the impact of active attackers who get access to the environment, as measured by mean time to acknowledge (MTTA) and remediate (MTTR) incidents. To vyžaduje přesnost i rychlost u všech prvků reakce na incidenty, takže kvalita nástrojů a efektivita provádění procesu jsou nejdůležitější.This requires both accuracy and speed in all elements of incident response, so the quality of tools and the efficiency of process execution are paramount.

Detekce vysoké hrozby pomocí stávajících nástrojů a přístupů určených pro místní detekci hrozeb je obtížné kvůli rozdílům v cloudových technologiích a rychlém tempu změn.It's difficult to get high threat detections using existing tools and approaches designed for on-premises threat detection because of differences in cloud technology and its rapid pace of change. Nativně integrované detekce poskytují řešení pro průmyslovou škálu udržovaná poskytovateli cloudu, která můžou udržovat aktuální hrozby a změny cloudové platformy.Natively integrated detections provide industrial scale solutions maintained by the cloud providers that can keep up with current threats and cloud platform changes.

Tato nativní řešení také umožňují týmům provozu v oblasti zabezpečení zaměřit se na vyšetřování a nápravu incidentů, nikoli na dobu, kdy se snažíte vytvořit výstrahy z neznámých dat protokolů, integrací nástrojů a úloh údržby.These native solutions also enable security operations teams to focus on incident investigation and remediation instead of wasting time trying to create alerts from unfamiliar log data, integrating tools, and maintenance tasks.

Kdo: tuto činnost obvykle řídí tým operací zabezpečení .Who: This is typically driven by the Security Operations team.

  • Sponzorství: To je obvykle sponzorný vedoucím operace zabezpečení (nebo ekvivalentní).Sponsorship: This is typically sponsored by the Security Operations Director (or equivalent)..
  • Spuštění: Integrace detekce nativních hrozeb je úsilí, které zahrnuje tyto akce:Execution: Integrating native threat detection is a collaborative effort involving those with:
    • Operace zabezpečení: Integrujte výstrahy do procesů Siem a vyšetřování incidentů, pedagogy analytiků na cloudové výstrahy a jejich význam a způsob používání nativních cloudových nástrojů.Security Operations: integrate alerts into SIEM and incident investigation processes, educate analysts on cloud alerts and what they mean, and how to use the native cloud tools.
    • Příprava incidentu: Integrujte cloudové incidenty do cvičení cvičení a zajistěte, aby se prováděly praktické cvičení, aby bylo možné řídit připravenost týmu.Incident Preparation: Integrate cloud incidents into practice exercises and ensure practice exercises are conducted to drive team readiness.
    • Analýza hrozeb: Výzkum a integrace informací o cloudových útocíchch a informování týmů pomocí kontextu a inteligentních funkcíThreat Intelligence: Research and integrate information on cloud attacks to inform teams with context and intelligence.
    • Architektura zabezpečení: Integrujte nativní nástroje do dokumentace k architektuře zabezpečení.Security Architecture: Integrate native tooling into security architecture documentation.
    • Zásady a standardy: Nastavte standardy a zásady pro povolení nativních nástrojů v celé organizaci.Policy and standards: Set standards and policy for enabling native tooling throughout the organization. Monitorování dodržování předpisů.Monitor for compliance.
    • Infrastruktura a koncový bod / Centrální IT operace: Nakonfigurujte a povolte detekce, Integrujte je do automatizace a infrastruktury jako řešení kódu.Infrastructure and Endpoint / Central IT Operations: Configure and enable detections, integrate into automation and infrastructure as code solutions.

Postup: povolení detekce hrozeb ve službě Azure Security Center pro všechny prostředky, které používáte, a každý tým je integruje do svých procesů, jak je popsáno výše.How: Enable threat detection in Azure security center for all the resources you are using and have each team integrate these into their processes as described above.

Podívejte se také na Azure Security test lt-1: povolení detekce hrozeb pro prostředky Azure.Also see the Azure Security Benchmark LT-1: Enable threat detection for Azure resources.

9. architektura: standardizace pro jeden adresář a identitu9. Architecture: Standardize on a single directory and identity

Nikdo se nechce zabývat s více identitami a adresáři.Nobody wants to deal with multiple identities and directories.

Co: standardizace v jednom adresáři služby Azure AD a jedné identitě pro každou aplikaci a uživatele v Azure (pro všechny funkce podnikové identity).What: Standardize on a single Azure AD directory and single identity for each application and user in Azure (for all enterprise identity functions).

Poznámka

Tento osvědčený postup se týká konkrétně podnikových prostředků.This best practice refers specifically to enterprise resources. U partnerských účtů použijte Azure AD B2B , abyste nemuseli vytvářet a udržovat účty v adresáři.For partner accounts, use Azure AD B2B so you don't have to create and maintain accounts in your directory. Pro účty zákazníka/občana použijte Azure AD B2C ke správě těchto účtů.For customer/citizen accounts, use Azure AD B2C to manage them.

Proč: více účtů a adresářů identit vytváří zbytečné tření a nejasnost v každodenních pracovních postupech pro uživatele, vývojáře, IT a správce identit, analytiky zabezpečení a další role.Why: Multiple accounts and identity directories create unnecessary friction and confusion in daily workflows for productivity users, developers, IT and Identity Admins, security analysts, and other roles.

Správa několika účtů a adresářů vytvoří také motivaci pro špatné postupy zabezpečení, jako je opakované použití stejného hesla napříč účty, a zvyšuje pravděpodobnost, že se u zastaralých, opuštěných účtů, které můžou útočníci zaměřit.Managing multiple accounts and directories also creates an incentive for poor security practices such as reusing the same password across accounts and increases the likelihood of stale/abandoned accounts that attackers can target.

I když se někdy zdá být jednodušší rychle vytvořit vlastní adresář (založený na protokolu LDAP atd.) pro konkrétní aplikaci nebo úlohu, vytvoří ještě mnohem víc možností integrace a údržby pro nastavení a správu.While it sometimes seems easier to quickly stand up a custom directory (based on LDAP, etc.) for a particular application or workload, this creates much more integration and maintenance work to set up and manage. To je podobné jako v mnoha způsobech rozhodování o nastavení dalšího tenanta Azure nebo další místní doménové struktury služby Active Directory a používání stávající organizace.This is similar in many ways to the decision of setting up an additional Azure tenant or additional on-premises Active Directory Forest vs. using the existing enterprise one. Viz také zásada zabezpečení"jednoduchost jednotky".See also the "Drive Simplicity" security principle.

Kdo: často se jedná o úsilí mezi týmy, které je založené na architektuře zabezpečení nebo v rámci týmů pro správu identit a klíčů .Who: This is often a cross-team effort driven by Security Architecture or Identity and Key Management teams.

Jak: přijmout průchozí přístup, který začíná novými možnostmi bezserverová (rostoucím dnes) a pak vyčistí výzvy s brownfield existujících aplikací a služeb jako následné cvičení:How: Adopt a pragmatic approach that starts with new greenfield capabilities (growing today) and then clean up challenges with the brownfield of existing applications and services as a follow-up exercise:

  • Bezserverová: Navažte a implementujte jasné zásady, které budou mít všechny podnikové identity po přeposílání použít jeden adresář služby Azure AD s jedním účtem pro každého uživatele.Greenfield: Establish and implement a clear policy that all enterprise identity going forward should use a single Azure AD directory with a single account for each user.

  • Brownfield: Mnoho organizací má často několik starších adresářů a systémů identit.Brownfield: Many organizations often have multiple legacy directories and identity systems. Tato řešení se řeší, když náklady na probíhající správu překročí investici k vyčištění.Address these when the cost of ongoing management friction exceeds the investment to clean it up. I když řešení pro správu identit a synchronizaci můžou některé z těchto problémů zmírnit, nemají rozsáhlou integraci funkcí zabezpečení a produktivity, které umožňují bezproblémové prostředí pro uživatele, správce a vývojáře.While identity management and synchronization solutions can mitigate some of these issues, they lack deep integration of security and productivity features that enable a seamless experience for users, admins, and developers.

Ideálním časem pro konsolidaci svého používání identity je během cyklů vývoje aplikací, které jste vy:The ideal time to consolidate your use of identity is during application development cycles as you:

  • Modernizovat aplikací pro CloudModernize applications for the cloud
  • Aktualizace cloudových aplikací pomocí procesů DevOpsUpdate cloud applications with DevOps processes

I když existují platné důvody pro samostatný adresář v případě extrémně nezávislých obchodních jednotek nebo zákonných požadavků, mělo by se ve všech ostatních případech zabránit více adresářům.While there are valid reasons for a separate directory in the case of extremely independent business units or regulatory requirements, multiple directories should be avoided in all other circumstances.

Podívejte se taky na Azure Security test ID-1: standardizace Azure Active Directory jako centrální systém pro identitu a ověřování.Also see the Azure Security Benchmark ID-1: Standardize Azure Active Directory as the central identity and authentication system.

Důležité

Jedinou výjimkou z pravidla jediného účtu je, že privilegovaní uživatelé (včetně správců IT a analytiků zabezpečení) by měli mít samostatné účty pro standardní uživatelské úkoly vs. úlohy správy.The only exception to the single accounts rule is that privileged users (including IT administrators and security analysts) should have separate accounts for standard user tasks vs. administrative tasks.

Další informace najdete v tématu s privilegovaným přístupem kAzure Security test.For more information, see Azure Security Benchmark Privileged Access.

10. Architecture: použití řízení přístupu na základě identity (místo klíčů)10. Architecture: Use identity based access control (instead of keys)

Co: Používejte identity Azure AD místo ověřování založeného na klíčích, kdykoli je to možné (služby Azure, aplikace, rozhraní API atd.).What: Use Azure AD identities instead of key based authentication wherever possible (Azure Services, Applications, APIs, etc.).

Proč: ověřování založené na klíčích se dá použít k ověřování cloudových služeb a rozhraní API, ale vyžaduje zabezpečenou správu klíčů, což je náročné na výkon (obzvláště ve velkém měřítku).Why: Key based authentication can be used to authenticate to cloud services and APIs but requires managing keys securely, which is challenging to perform well (especially at scale). Zabezpečená správa klíčů je obtížná pro profesionály, jako jsou vývojáři a specialisty na infrastrukturu, a často je nedaří bezpečně provádět, často vytváří hlavní bezpečnostní rizika pro organizaci.Secure key management is difficult for non-security professionals like developers and infrastructure professionals and they often fail to do it securely, often creating major security risks for the organization.

Ověřování založené na identitě přináší mnoho z těchto výzev s vyspělými možnostmi pro rotaci tajných klíčů, správu životního cyklu, delegování správců a další.Identity based authentication overcomes many of these challenges with mature capabilities for secret rotation, lifecycle management, administrative delegation, and more.

Kdo: často se jedná o úsilí mezi týmy, které je založené na architektuře zabezpečení nebo v rámci týmů pro správu identit a klíčů .Who: This is often a cross-team effort driven by Security Architecture or Identity and Key management teams.

Jak: nastavení předvolby organizace a přípravek pro používání ověřování na základě identity vyžaduje následující proces a povolení technologie.How: Setting an organizational preference and habit for using identity-based authentication requires following a process and enabling technology.

Proces:The process:

  1. Vytvořte zásady a standardy, které jasně popisují výchozí ověřování na základě identity, a také přijatelné výjimky.Establish policy and standards that clearly outline the default identity-based authentication, as well as acceptable exceptions.
  2. Informování vývojářů & infrastrukturních týmů o tom, proč používat nový přístup, co potřebují a jak to udělat.Educate developers & infrastructure teams on why to use the new approach, what they need to do, and how to do it.
  3. Implementujte změny v pořádku – Začněte tím, že začnete s novými možnostmi bezserverová a v budoucnu (nové služby Azure, nové aplikace) a potom se dostanou k vyčištění stávajících konfigurací brownfield.Implement changes in a pragmatic way – starting with new greenfield capabilities being adopted now and in the future (new Azure services, new applications) and then following up with a clean-up of existing brownfield configurations.
  4. Monitorujte dodržování předpisů a sledujte týmy pro vývojáře a infrastrukturu, které je potřeba opravit.Monitor for compliance and follow up with developer and infrastructure teams to remediate.

Technologie: Pro jiné než lidské účty, jako jsou služby nebo automatizace, používejte spravované identity.The technologies: For non-human accounts such as services or automation, use managed identities. Spravované identity Azure se můžou ověřit u služeb a prostředků Azure, které podporují ověřování Azure AD.Azure managed identities can authenticate to Azure services and resources that support Azure AD authentication. Ověřování je povoleno prostřednictvím předdefinovaných pravidel udělení přístupu, což vyloučí pevně zakódované přihlašovací údaje ve zdrojovém kódu nebo konfiguračních souborech.Authentication is enabled through pre-defined access grant rules, avoiding hard-coded credentials in source code or configuration files.

Pro služby, které nepodporují spravované identity, použijte službu Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředků.For services that do not support managed identities, use Azure AD to create a service principal with restricted permissions at the resource level instead. Doporučujeme nakonfigurovat instanční objekty s přihlašovacími údaji certifikátu a vrátit se k klientským tajným klíčům.We recommended configuring service principals with certificate credentials and fall back to client secrets. V obou případech se Azure Key Vault dá použít společně se spravovanými identitami Azure, takže běhové prostředí (například funkce Azure) může přihlašovací údaje načíst z trezoru klíčů.In both cases, Azure Key Vault can be used in conjunction with Azure managed identities, so that the runtime environment (such as an Azure function) can retrieve the credential from the key vault.

Podívejte se také na ID benchmarku zabezpečení Azure – 2: zabezpečená a Automatická správa identit aplikací.Also see the Azure Security Benchmark ID-2: Manage application identities securely and automatically.

11. architektura: vytvoření jednotné sjednocené strategie zabezpečení11. Architecture: Establish a single unified security strategy

Všichni uživatelé musí mít stejný směr, než dostanou.Everyone needs to row in the same direction for the boat to go forward.

Co: Zajistěte, aby byly všechny týmy zarovnané na jedinou strategii, která umožňuje a zabezpečovat podnikové systémy a data.What: Ensure all teams are aligned to a single strategy that both enables and secures enterprise systems and data.

Proč: Když týmy pracují v izolaci, aniž by se zarovnaly běžné strategii, jejich jednotlivé akce můžou nechtěně narušovat úsilí. tím se vytvoří zbytečné tření, která zpomaluje pokrok proti cílům všech.Why: When teams work in isolation without being aligned to a common strategy, their individual actions can inadvertently undermine each other's efforts, creating unnecessary friction that slows down progress against everyone's goals.

Příkladem toho, který se v mnoha organizacích hraje konzistentně, je segmentace prostředků:One example of this that has played out consistently in many organizations is the segmentation of assets:

  • Tým zabezpečení sítě vyvíjí strategii pro segmentaci ploché sítě pro zvýšení zabezpečení (často na základě fyzických lokalit, přiřazených adres nebo rozsahů IP adres nebo podobných).The network security team develops a strategy for segmenting a flat network to increase security (often based on physical sites, assigned IP address addresses/ranges, or similar)
  • Tým identit vyvinul strategii pro skupiny a organizační jednotky služby Active Directory (OU) na základě jejich porozumění a znalostí organizace.Separately, the identity team developed a strategy for groups and Active Directory organizational units (OUs) based on their understanding and knowledge of the organization.
  • Týmy aplikací často při práci s těmito systémy obtížně hledají, protože byly navržené s omezeným vstupem a porozumění obchodním operacím, cílům a rizikům.Application teams often find it difficult to work with these systems because they were designed with limited input and understanding of business operations, goals, and risks.

V organizacích, ve kterých k tomu dojde, často dochází ke konfliktům s výjimkami brány firewall, které mají negativní vliv na zabezpečení (obvykle schválené výjimky), a produktivita (nasazení se zpomaluje pro funkčnost aplikace podle potřeb podniku).In organizations where this happens, teams frequently experience conflicts over firewall exceptions, which negatively impact both security (exceptions are usually approved) and productivity (deployment is slowed for application functionality the business needs).

I když může zabezpečení vytvářet dobrý dopad tím, že vynucuje kritické úvahy, vytvoří tento konflikt jenom špatný tření, které brání cílům.While security can create healthy friction by forcing critical thinking, this conflict only creates unhealthy friction that impedes goals. Další informace najdete v tématu pokyny k strategii zabezpečení: na pravé úrovni bezpečnostního tření.For more information, see Security strategy guidance: the right level of security friction.

Kdo:Who:

  • Sponzorství: Jednotná strategie je obvykle spolufinancována prostřednictvím CIO, ředitelka zabezpečení informací a technický ředitel (často se podpora podnikového vedoucího pro některé prvky na vysoké úrovni) a championed od zástupců z každého týmu.Sponsorship: The unified strategy typically co-sponsored by CIO, CISO, and CTO (often with business leadership support for some high-level elements) and championed by representatives from each team.
  • Spuštění: Strategie zabezpečení musí být implementovaná všemi, takže by měla integrovat vstup z různých týmů, aby se zvýšilo vlastnictví, nákup a pravděpodobnost úspěchu.Execution: Security strategy must be implemented by everyone, so it should integrate input from across teams to increase ownership, buy-in, and likelihood of success.
    • Architektura zabezpečení: Navede úsilí, aby se vytvořila strategie zabezpečení a Výsledná architektura, aktivně shromažďuje zpětnou vazbu od týmů a dokumentuje je v prezentacích, dokumentech a diagramech pro různé cílové skupiny.Security architecture: Leads the effort to build security strategy and resulting architecture, actively gather feedback from teams, and document it in presentations, documents, and diagrams for the various audiences.
    • Zásady a standardy: Zachycuje příslušné prvky do standardů a zásad a pak sleduje dodržování předpisů.Policy and standards: Captures the appropriate elements into standards and policy and then monitors for compliance.
    • Všechny technické IT a bezpečnostní týmy: Poskytněte požadavky na vstup a pak zarovnejte a implementujte strategii Enterprise.All technical IT and security teams: Provide input requirements, then align to and implement the enterprise strategy.
    • Vlastníci aplikace a vývojáři: Přečtěte si a pochopte dokumentaci k strategii, která na ně platí (v ideálním případě pokyny přizpůsobené jejich roli).Application owners and developers: Read and understand strategy documentation that applies to them (ideally, guidance tailored to their role).

Jak:How:

Sestavte a implementujte strategii zabezpečení pro Cloud, která zahrnuje vstupní a aktivní účast všech týmů.Build and implement a security strategy for cloud that includes the input and active participation of all teams. I když se formát dokumentace procesu bude lišit, měl by vždycky zahrnovat:While the process documentation format will vary, this should always include:

  • Aktivní vstup z týmů: Strategie se většinou nezdaří, pokud se lidé v organizaci nekupují.Active input from teams: Strategies typically fail if people in the organization don't buy into them. V ideálním případě získáte všechny týmy ve stejné místnosti, aby spoluvytvořily strategii.Ideally, get all teams in the same room to collaboratively build the strategy. V pracovních konferencích, které provádíme se zákazníky, často jsme našli organizace, které pracují v de facto silou, a tyto schůzky často vedou k prvnímu naplnění osob.In the workshops we conduct with customers, we often find organizations have been operating in de facto silos and these meetings often result in people meeting each other for the first time. Také zjistíme, že tato celková hodnota je požadavek.We also find that inclusiveness is a requirement. Pokud některé týmy nejsou pozvány, je třeba tuto schůzku opakovat, dokud ji všichni účastníci nepřipojí (nebo pokud se projekt nepřesune vpřed).If some teams are not invited, this meeting typically has to be repeated until all participants join it (or the project doesn't move forward).
  • Zdokumentováno a sděleno jasně: Všechny týmy by měly mít na vědomí strategii zabezpečení (v ideálním případě bezpečnostní součást celkové technologické strategie), včetně toho, proč integrovat zabezpečení, co je důležité v oblasti zabezpečení a jaké úspěšnost zabezpečení vypadá jako.Documented and communicated clearly: All teams should have awareness of the security strategy (ideally a security component of the overall technology strategy) including why to integrate security, what is important in security, and what security success looks like. To by mělo zahrnovat konkrétní pokyny pro aplikace a vývojové týmy, aby mohli získat jasné pokyny s určením priorit, aniž by bylo nutné si přečíst nerelevantní části pokynů.This should include specific guidance for application and development teams so they can get a clear prioritized guidance without having to read through non-relevant parts of the guidance.
  • Stabilní, ale flexibilní: Strategie by měly zůstat poměrně konzistentní a stabilní, ale architektury a dokumentace mohou vyžadovat změny, aby bylo možné přidat přehlednost a přizpůsobit dynamickou povahu cloudu.Stable, but flexible: Strategies should remain relatively consistent and stable, but the architectures and the documentation may need changes to add clarity and accommodate the dynamic nature of cloud. Například filtrování škodlivých externích přenosů by zůstalo konzistentní jako strategické, i když se posunete od použití brány firewall nové generace od jiného výrobce, abyste Azure Firewall a upravili diagramy/pokyny k tomu, jak to provést.For example, filtering out malicious external traffic would stay consistent as a strategic imperative even if you shift from the use of a third-party next generation firewall to Azure Firewall and adjust diagrams/guidance on how to do it.
  • Začínáme s segmentací: V průběhu přijímání v rámci cloudu budou vaše týmy řešit mnoho témat o strategii velkých a malých, ale je třeba začít někam.Start with segmentation: Over the course of cloud adoption, your teams will address many strategy topics large and small, but you need to start somewhere. Doporučujeme, abyste v rámci segmentace podnikových prostředků spouštěli strategii zabezpečení, protože se jedná o základní rozhodnutí, které by bylo náročné na změnu později a vyžaduje firemní vstup i mnoho technických týmů.We recommend starting the security strategy with enterprise asset segmentation as it's a foundational decision that would be challenging to change later and requires both business input and many technical teams.

Společnost Microsoft zveřejnila video s pokyny pro použití strategie segmentace v Azure a dokumentů na segmentaci podniku a Zarovnání zabezpečení sítě na ni.Microsoft has published video guidance for applying a segmentation strategy to Azure as well as documents on enterprise segmentation and aligning network security to it.

Rozhraní pro přijetí do cloudu obsahuje pokyny, které vašim týmům pomůžou:The Cloud Adoption Framework includes guidance to help your teams with:

Podívejte se také na strategii řízení a zabezpečení Azure Security test.Also see the Azure Security Benchmark governance and strategy.