Osvědčené postupy zabezpečení Azure

Tento článek popisuje doporučené osvědčené postupy zabezpečení, které jsou založené na lekcích získaných zákazníky a zkušenosti v našich vlastních prostředích.

Videoprezentace najdete v osvědčených postupech pro zabezpečení Azure.

1. Lidé: Informujte týmy o cestě zabezpečení cloudu

Tým potřebuje pochopit cestu, na které jsou.

Co?

Informujte své týmy zabezpečení a IT o cestě zabezpečení cloudu a o změnách, které budou procházet, včetně:

• Hrozby v cloudu
• Model sdílené odpovědnosti a jeho vliv na zabezpečení
• Změny kultury a rolí a zodpovědností, které jsou obvykle součástí přechodu na cloud

Proč?

Zabezpečení cloudu vyžaduje posun v myšlení a přístupu. I když se výsledky, které zabezpečení poskytuje organizaci, nemění, nejlepší způsob, jak tyto výsledky dosáhnout v cloudu, se může výrazně změnit.

Přechod na cloud je podobný přechodu ze samostatného domu na výšku budovy. Stále máte základní infrastrukturu, jako je instalatérství a elektřina, a provádět podobné aktivity, jako je socializace, vaření, televize a internet atd. Často ale existuje poměrně rozdíl v tom, co je součástí budovy, kdo ji poskytuje a udržuje, a vaše každodenní rutina.

Kdo?

Všichni členové organizace zabezpečení a IT, kteří mají veškerou bezpečnostní odpovědnost, od oddělení IT nebo CISO až po technické specialisty, musí být obeznámeni se změnami.

Jak?

Poskytněte týmům kontext potřebný k úspěšnému nasazení a provozu během přechodu do cloudového prostředí.

Microsoft publikoval následující lekce, které se zákazníci a IT organizace naučili na svých cestách ke cloudu.

• Jak se role zabezpečení a odpovědnosti vyvíjejí v organizaci zabezpečení.
• Vývoj prostředí hrozeb, rolí a digitálních strategií
• Transformace zabezpečení, strategií, nástrojů a hrozeb
• Učení ze zkušeností Microsoftu při zabezpečení cloudového prostředí hyperškálování.

Další informace najdete v rolích, zodpovědnostech a závazcích srovnávacích testů zabezpečení Azure.

2. Lidé: Vzdělávání týmů o technologii cloudového zabezpečení

Lidé musí pochopit, kam se chystají.

Co?

Ujistěte se, že vaše týmy mají čas vyhradit technické vzdělávání ohledně zabezpečení cloudových prostředků, včetně následujících:

• Technologie cloudu a technologie cloudového zabezpečení
• Doporučené konfigurace a osvědčené postupy
• Kde se dozvědět více technických podrobností

Proč?

Technické týmy potřebují přístup k technickým informacím, aby mohli provádět informovaná rozhodnutí o zabezpečení. Technické týmy jsou dobré při učení nových technologií na práci, ale objem podrobností v cloudu často zahltí jejich schopnost přizpůsobit se jejich každodenní rutině.

Vyhraďte si vyhrazený čas na technické učení. Učení pomáhá zajistit, aby lidé měli čas získat důvěru v schopnost posoudit zabezpečení cloudu. Pomáhá jim přemýšlet o tom, jak přizpůsobit své stávající dovednosti a procesy.

Kdo?

Všechny role zabezpečení a IT, které přímo komunikují s cloudovými technologiemi, musí věnovat čas technickému učení na cloudových platformách a jejich zabezpečení.

Zabezpečení, technické manažery IT a projektoví manažeři můžou vyvinout znalost některých technických podrobností pro zabezpečení cloudových prostředků. Tato znalost jim pomáhá efektivněji vést a koordinovat cloudové iniciativy.

Jak?

Zajistěte, aby odborníci na technické zabezpečení měli čas vyhradit si na školení s vlastním tempem, jak zabezpečit cloudové prostředky. I když to není vždy možné, poskytněte přístup k formálnímu školení se zkušeným instruktorem a praktickou cvičení.

Důležité

Protokoly identit jsou důležité pro řízení přístupu v cloudu, ale často nejsou upřednostňovány v místním zabezpečení. Týmy zabezpečení se musí zaměřit na rozvoj znalosti těchto protokolů a protokolů.

Microsoft poskytuje rozsáhlé zdroje informací, které pomáhají technickým odborníkům usnadnit jejich možnosti. Mezi tyto prostředky patří:

• Zabezpečení Azure
  • Studijní program a certifikace Az-500
  • Srovnávací test zabezpečení Azure
    • Standardní hodnoty zabezpečení pro Azure
  • Osvědčené postupy zabezpečení Microsoftu
• Dodržování předpisů v Azure
  • Dodržování právních předpisů
• Protokoly identit a zabezpečení
  • Web dokumentace k zabezpečení Azure
  • Řada Microsoft Entra Authentication YouTube
  • Zabezpečení prostředí Azure pomocí Microsoft Entra ID

3. Proces: Přiřazení odpovědnosti za rozhodnutí o zabezpečení cloudu

Bezpečnostní rozhodnutí se nedostanou, pokud za to nikdo není zodpovědný.

Co?

Vyberte, kdo zodpovídá za rozhodování o zabezpečení pro podnikové prostředí Azure.

Proč?

Jasné vlastnictví rozhodnutí o zabezpečení urychluje přechod na cloud a zvyšuje zabezpečení. Nedostatek vlastnictví obvykle vytváří třecí plochy, protože nikdo nemá moct rozhodovat. Nikdo neví, kdo by požádal o rozhodnutí a nikdo není incentivizován k výzkumu dobře informovaného rozhodnutí. Tření často brání:

• Obchodní cíle
• Časové osy pro vývojáře
• Cíle IT
• Záruky zabezpečení

Tření může mít za následek:

• Pozastavené projekty, které čekají na schválení zabezpečení
• Nezabezpečená nasazení, která nemohla čekat na schválení zabezpečení

Kdo?

Vedení zabezpečení volí, které týmy nebo jednotlivci zodpovídají za rozhodování o zabezpečení v cloudu.

Jak?

Zvolte skupiny nebo jednotlivce, kteří mají být zodpovědní za provádění klíčových rozhodnutí o zabezpečení.

Zdokumentujte tyto vlastníky, jejich kontaktní informace a zdokumentujte tyto informace široce v rámci týmů zabezpečení, IT a cloudových týmů. Socializace zajišťuje, aby se všechny role snadno kontaktovaly.

Tyto oblasti jsou obvykle místem, kde jsou potřebná rozhodnutí o zabezpečení. Následující tabulka uvádí kategorii rozhodnutí, popis kategorie a to, které týmy často rozhodují.

Rozhodnutí	Popis	Typický tým
Zabezpečení sítě	Konfigurace a údržba služby Azure Firewall, síťových virtuálních zařízení a přidruženého směrování, firewallů webových aplikací (WAF), skupin zabezpečení sítě, skupin zabezpečení sítě atd.	Tým zabezpečení infrastruktury a koncových bodů zaměřený na zabezpečení sítě
Správa sítě	Správa přidělování virtuálních sítí a podsítí na podnikové úrovni	Stávající tým síťového provozu v centrálních it operacích
Zabezpečení koncového bodu serveru	Monitorujte a opravujte zabezpečení serveru, včetně oprav, konfigurace, zabezpečení koncových bodů atd.	Týmy centrálního provozu IT a infrastruktury a zabezpečení koncových bodů společně
Monitorování incidentů a reakce na ně	Prošetřujte a opravujte incidenty zabezpečení v SIEM nebo zdrojové konzole, včetně Microsoft Defenderu pro cloud, Microsoft Entra ID Protection atd.	Bezpečnostní provozní tým
Správa zásad	Nastavte směr pro použití řízení přístupu na základě role v Azure (Azure RBAC), Defenderu pro cloud, strategii ochrany správce a Azure Policy pro řízení prostředků Azure.	Týmy pro zásady a standardy a architekturu zabezpečení společně
Zabezpečení a standardy identit	Nastavte směr pro adresáře Microsoft Entra, využití PIM/pam, vícefaktorové ověřování, konfiguraci hesel/synchronizace, standardy identit aplikací.	Týmy pro správu identit a klíčů, zásady a standardy a týmy architektury zabezpečení

Poznámka

• Zajistěte, aby pracovníci s rozhodovací pravomocí měli odpovídající vzdělávání v oblasti cloudu, aby tuto odpovědnost doprovázeli.
• Ujistěte se, že rozhodnutí jsou zdokumentovaná v zásadách a standardech, aby poskytovala záznam a vedl organizaci za dlouhodobé období.

4. Proces: Aktualizace procesů reakce na incidenty pro cloud

Naplánujte si dopředu. Nemáte čas plánovat krizi během krize.

Co?

Připravte se na incidenty zabezpečení na cloudové platformě Azure. Tato příprava zahrnuje všechny nativní nástroje pro detekci hrozeb, které jste přijali. Aktualizujte procesy, připravte svůj tým a procvičte si simulované útoky, aby mohli při vyšetřování incidentů, nápravě a proaktivním vyhledávání hrozeb pracovat co nejlépe.

Proč?

Aktivní útočníci představují bezprostřední riziko pro organizaci. Situace se může rychle stát obtížnou kontrolou. Rychle a efektivně reagovat na útoky. Tento proces reakce na incidenty (IR) musí být efektivní pro celá aktiva, včetně všech cloudových platforem, které hostí podniková data, systémy a účty.

I když se cloudové platformy liší technicky od místních systémů, jsou podobné mnoha způsoby. Místní systémy můžou přerušit existující procesy, obvykle proto, že informace jsou k dispozici v jiné podobě. Analytici zabezpečení můžou rychle reagovat na neznámé prostředí, které je může zpomalit. Toto tvrzení platí zejména v případě, že jsou natrénované pouze v klasických místních architekturách a forenzních přístupech k sítím a diskům.

Kdo?

Modernizace procesů IR obvykle vede operace zabezpečení. Úsilí často přichází s podporou jiných skupin pro znalosti a odborné znalosti.

• Sponsorship: Ředitel provozu zabezpečení nebo ekvivalent obvykle modernizace procesů sponzora.

• Provádění: Přizpůsobení existujících procesů nebo jejich první zápis je úsilím o spolupráci, která zahrnuje:

  • Operace zabezpečení: Tým pro správu incidentů nebo vedení vede proces a aktualizace integrace klíčových externích zúčastněných stran. Mezi tyto týmy patří právní a komunikační týmy nebo týmy vztahů s veřejností.
  • Operace zabezpečení: Bezpečnostní analytici poskytují odborné znalosti týkající se technického vyšetřování incidentů a třídění.
  • Centrální provoz IT: Tento tým poskytuje odborné znalosti na cloudové platformě přímo prostřednictvím centra cloudu nebo externích konzultantů.

Jak?

Aktualizujte procesy a připravte tým, aby věděli, co dělat, když najde aktivního útočníka.

• Procesy a playbooky: Přizpůsobte stávající procesy vyšetřování, nápravy a proaktivní vyhledávání hrozeb na rozdíly mezi fungováním cloudových platforem. Mezi rozdíly patří nové nebo různé nástroje, zdroje dat, protokoly identit atd.
• Vzdělávání: Informujte analytiky o celkové transformaci cloudu, technických podrobnostech o fungování platformy a nových nebo aktualizovaných procesech. Tyto informace jim umožní zjistit, co se může změnit a kam se mají dostat k tomu, co potřebují.
• Klíčové oblasti zaměření: I když jsou v odkazech na zdroje popsáno mnoho podrobností, jsou tyto oblasti, kde se zaměřit na vzdělávání a plánování:
  • Model sdílené odpovědnosti a cloudové architektury: Azure je softwarově definované datové centrum, které poskytuje mnoho služeb. Mezi tyto služby patří virtuální počítače a další, které se liší od místních služeb, jako je Azure SQL Database Azure Functions. Nejlepší data jsou v protokolech služby nebo specializovaných službách detekce hrozeb. Nejsou v protokolech pro základní operační systémy nebo virtuální počítače, které provozuje Microsoft a obsluhuje více zákazníků. Analytici potřebují porozumět a integrovat tento kontext do svých každodenních pracovních postupů. Díky tomu vědí, jaká data mají očekávat, kde je získat a v jakém formátu se mají nacházet.
  • Zdroje dat koncových bodů: Získávání přehledů a dat pro útoky a malware na serverech hostovaných v cloudu je často rychlejší, jednodušší a přesnější díky nativním nástrojům pro detekci cloudu. Nástroje, jako je Microsoft Defender for Cloud a detekce a reakce u koncových bodů (EDR), poskytují přesnější data než tradiční přístupy přímého přístupu k diskům. Forenzní grafy s přímým diskem jsou k dispozici ve scénářích, kde je to možné a vyžaduje se pro soudní řízení. Další informace najdete v tématu počítačové forenzní dokumentace v Azure. Tento přístup je ale často neefektivní způsob, jak detekovat a prošetřit útoky.
  • Zdroje dat sítě a identit: Řada funkcí cloudových platforem primárně používá identitu pro řízení přístupu. Toto řízení přístupu zahrnuje přístup k webu Azure Portal, i když se ovládací prvky přístupu k síti používají také široce. Toto řízení přístupu vyžaduje, aby analytici vyvinuli porozumění protokolům cloudové identity, aby získali úplný a bohatý přehled o aktivitě útočníka a legitimní aktivitě uživatelů, aby podporovali vyšetřování incidentů a nápravu. Adresáře identit a protokoly se liší od místních adresářů. Obvykle jsou založené na SAML, OAuth a OpenID Připojení a cloudových adresářích místo LDAP, Kerberos, NTLM a Active Directory.
  • Cvičení: Simulovaný útok a reakce můžou pomoct vytvořit paměť organizačních svalů a technickou připravenost. Poskytují přípravu na analytiky zabezpečení, lovce hrozeb, správce incidentů a další zúčastněné strany ve vaší organizaci. Učení na práci a přizpůsobení je přirozenou součástí reakce na incidenty, ale můžete pracovat na minimalizaci toho, kolik se musíte naučit v krizi.

Klíčové zdroje informací

• Referenční příručka k reakci na incidenty
• Pokyny k vytvoření vlastního procesu reakce na incidenty zabezpečení
• Protokolování a upozorňování Azure
• Osvědčené postupy zabezpečení Microsoftu
  • Transformace zabezpečení, strategií, nástrojů a hrozeb
  • Operace zabezpečení
• Microsoft learnings from Cyber Defense Operations Center (CDOC)
  • Celkové poznatky získané
  • Vyšetřování incidentů
  • Náprava incidentu

Další informace najdete v procesu reakce na incidenty srovnávacího testu zabezpečení Azure pro Azure.

5. Proces: Vytvoření správy stavu zabezpečení

Nejdřív se znáš.

Co?

Ujistěte se, že aktivně spravujete stav zabezpečení prostředí Azure:

• Přiřazování jasného vlastnictví odpovědností:
  • Monitorování stavu zabezpečení
  • Zmírnění rizik pro prostředky
• Automatizace a zjednodušení těchto úloh

Proč?

Rychlá identifikace a náprava běžných rizik hygieny zabezpečení výrazně snižuje riziko organizace.

Softwarově definovaná povaha cloudových datacenter umožňuje nepřetržité monitorování rizik zabezpečení, jako jsou chyby zabezpečení nebo chybné konfigurace zabezpečení s rozsáhlou instrumentací prostředků. Rychlost, s jakou můžou vývojáři a IT tým nasazovat virtuální počítače, databáze a další prostředky, je potřeba zajistit, aby byly prostředky nakonfigurované bezpečně a aktivně monitorované.

Tyto nové funkce nabízejí nové možnosti, ale realizace hodnoty od nich vyžaduje přiřazení odpovědnosti za jejich použití. Provádění konzistentně s rychle se vyvíjejícími cloudovými operacemi vyžaduje, aby lidské procesy byly co nejjednodušší a automatizované. Podívejte se na princip zabezpečení "jednoduchost jednotek".

Poznámka

Cílem zjednodušení a automatizace není zbavit se pracovních míst, ale odstranění zátěže opakujících se úkolů od lidí, aby se mohli soustředit na hodnotnější lidské aktivity, jako je zapojení do IT a týmů DevOps a jejich vzdělávání.

Kdo?

Tento postup je obvykle rozdělený do dvou sad zodpovědností:

• Správa stavu zabezpečení: Tato funkce často vyvíjí stávající funkce správa ohrožení zabezpečení nebo funkcí zásad správného řízení. Výsledkem je monitorování celkového stavu zabezpečení pomocí programu Microsoft Defender for Cloud Secure Score a dalších zdrojů dat. Zahrnuje aktivní spolupráci s vlastníky prostředků na zmírnění rizik a hlášení rizik vedoucímu zabezpečení.

• Náprava zabezpečení: Přiřaďte odpovědnost za řešení těchto rizik týmům zodpovědným za správu těchto prostředků. Tato odpovědnost patří týmům DevOps, které spravují vlastní prostředky aplikací, nebo týmům specifických pro technologie v centrálních operacích IT:

  • Výpočetní prostředky a prostředky aplikací
    • App Services: Vývoj aplikací a bezpečnostní týmy
    • Kontejnery: Vývoj aplikací nebo infrastruktura / PROVOZ IT
    • Virtuální počítače, škálovací sady, výpočetní prostředky: PROVOZ IT/infrastruktury
  • Prostředky dat a úložiště
    • SQL, Redis, Data Lake Analytics, Data Lake Store: Databázový tým
    • Účty úložiště: Tým úložiště a infrastruktury
  • Identita a přístup k prostředkům
    • Předplatná: Týmy identit
    • Key Vault: Identita nebo informace / tým zabezpečení dat
  • Síťové prostředky: Tým zabezpečení sítě
  • Zabezpečení IoT: Provozní tým IoT

Jak?

Zabezpečení je práce všech. Ne všichni ale ví, jak je to důležité, co dělat a jak to udělat.

• Vlastníci prostředků zodpovídají za bezpečnostní riziko stejně, jako jsou zodpovědní za dostupnost, výkon, náklady a další faktory úspěchu.
• Vlastníky prostředků můžete jasně pochopit, proč je pro jejich prostředky důležité bezpečnostní riziko, co můžou dělat, aby se zmírnit riziko a jak ho implementovat s minimální ztrátou produktivity.

Důležité

Vysvětlení, proč, co a jak zabezpečit prostředky, jsou často podobné různým typům prostředků a aplikacím, ale je důležité je propojit s tím, co každý tým už zná a zajímá. Týmy zabezpečení můžou spolupracovat s IT a protějšky DevOps jako důvěryhodný poradce a partner zaměřený na to, aby tyto týmy mohly být úspěšné.

Nástroje: Skóre zabezpečení v Programu Microsoft Defender pro cloud poskytuje posouzení nejdůležitějších informací o zabezpečení v Azure pro širokou škálu prostředků. Toto posouzení může být vaším výchozím bodem správy stavu a může být doplněno vlastními zásadami Azure a dalšími mechanismy podle potřeby.

Frekvence: Nastavení pravidelného tempa, obvykle měsíčně, pro kontrolu skóre zabezpečení Azure a plánování iniciativ s konkrétními cíli zlepšení Frekvenci je možné podle potřeby zvýšit.

Tip

Gamify aktivity, pokud je to možné zvýšit zapojení, například vytváření zábavných soutěží a cen pro týmy DevOps, které zlepšují skóre nejvíce.

Další informace najdete v strategii správy stavu zabezpečení srovnávacích testů zabezpečení Azure.

6. Technologie: Vyžadovat bez hesla nebo vícefaktorové ověřování

Jste ochotni vsadit zabezpečení vašeho podniku, že profesionální útočníci nemohou uhodnout nebo ukrást heslo správce?

Co?

Vyžadovat, aby všichni správci s kritickým dopadem používali bez hesla nebo vícefaktorové ověřování.

Proč?

Stejně jako starožitné kostry klíče nebudou chránit dům proti modernímu zloději, hesla nemohou chránit účty před běžnými útoky. Technické podrobnosti najdete v tématu Váš pa$$word nezáleží.

Vícefaktorové ověřování bylo jednou náročným krokem navíc. Přístupy bez hesla dnes zlepšují způsob přihlašování uživatelů pomocí biometrických přístupů, jako je rozpoznávání obličeje ve Windows Hello a mobilních zařízeních. Přístupy nulové důvěryhodnosti navíc pamatují na důvěryhodná zařízení. Tato metoda snižuje výzvy k otravným neaktorovým akcím vícefaktorového ověřování. Další informace najdete v tématu Frekvence přihlašování uživatelů.

Kdo?

Iniciativu s heslem a vícefaktorovými faktory obvykle vede identita a správa klíčů nebo architektura zabezpečení.

• Sponsorship: CISO, CIO nebo ředitel identity obvykle sponzoruje tuto práci.
• Provádění: Provádění je úsilí na spolupráci zahrnující:
  • Tým zásad a standardů: Stanovte jasné požadavky.
  • Správa identit a klíčů nebo centrální provoz IT: Implementujte zásadu.
  • Správadodržováních

Jak?

Implementace bez hesla nebo vícefaktorového ověřování Natrénujte správce, jak ho používat, jak ho potřebují, a vyžadují, aby správci postupovali pomocí písemných zásad. Použijte jednu nebo více z těchto technologií:

• Windows Hello bez hesla
• Ověřovací aplikace bez hesla
• Vícefaktorové ověřování Microsoft Entra
• Řešení vícefaktorového ověřování třetích stran

Poznámka

Vícefaktorové ověřování založené na textových zprávách je teď relativně levné pro útočníky, takže se zaměřte na bez hesla a silnější vícefaktorové ověřování.

Další informace najdete v ovládacích prvcích silného ověřování srovnávacího testu zabezpečení Azure pro veškerý přístup založený na ID microsoftu Entra.

7. Technologie: Integrace nativní brány firewall a zabezpečení sítě

Zjednodušte ochranu systémů a dat před síťovými útoky.

Co?

Zjednodušte strategii a údržbu zabezpečení sítě tím, že do přístupu zabezpečení sítě integrujete bránu firewall webových aplikací Azure (WAF) a omezení rizik útoku DDoS (Distributed Denial of Service).

Proč?

Jednoduchost je důležitá pro zabezpečení, protože snižuje pravděpodobnost rizika z nejasností, chybných konfigurací a dalších lidských chyb. Podívejte se na princip zabezpečení "jednoduchost jednotek".

Brány firewall a WAF jsou důležité základní bezpečnostní prvky, které chrání aplikace před škodlivým provozem, ale jejich nastavení a údržba mohou být složité a spotřebovávat značné množství času a pozornosti bezpečnostního týmu (podobně jako přidání vlastních náhradních dílů do auta). Nativní funkce Azure můžou zjednodušit implementaci a provoz bran firewall, firewallů webových aplikací, omezení rizik distribuovaného odepření služby (DDoS) a dalších možností.

Tento postup může uvolnit čas a pozornost vašeho týmu pro úlohy zabezpečení vyšší hodnoty, například:

• Vyhodnocení zabezpečení služeb Azure
• Automatizace operací zabezpečení
• Integrace zabezpečení s aplikacemi a IT řešeními

Kdo?

• Sponsorship: Vedení zabezpečení nebo vedení IT obvykle sponzoruje aktualizaci strategie zabezpečení sítě.
• Provádění: Integrace strategií do strategie zabezpečení cloudové sítě je spolupráce zahrnující:
  • Architektura zabezpečení: Vytvořte architekturu cloudového zabezpečení sítě s využitím cloudových sítí a potenciálních zákazníků zabezpečení cloudové sítě.
  • Centrální provoz IT a zabezpečení cloudových sítí vede tým zabezpečení infrastruktury v cloudové síti.
    • Vytvořte architekturu zabezpečení cloudové sítě pomocí architektů zabezpečení.
    • Konfigurace možností brány firewall, NSG a WAF a práce s architekty aplikací v pravidlech WAF
  • Architekti aplikací: Práce se zabezpečením sítě při sestavování a upřesňování sad pravidel WAF a konfigurací DDoS za účelem ochrany aplikace bez narušení dostupnosti

Jak?

Organizace, které chtějí zjednodušit provoz, mají dvě možnosti:

• Rozšíření stávajících možností a architektur: Mnoho organizací se často rozhodne rozšířit využití stávajících funkcí brány firewall, aby mohly využít stávající investice do dovedností a integrace procesů, zejména při prvním přijetí cloudu.
• Využívání nativních kontrolních mechanismů zabezpečení: Více organizací začíná preferovat použití nativních ovládacích prvků, aby se zabránilo složitosti integrace funkcí třetích stran. Tyto organizace se obvykle snaží vyhnout riziku chybné konfigurace vyrovnávání zatížení, tras definovaných uživatelem, brány firewall nebo samotného WAF a zpoždění předání mezi různými technickými týmy. Tato možnost je přesvědčivá pro organizace, které přijímají infrastrukturu jako přístupy ke kódu, protože mohou automatizovat a instrumentovat integrované funkce snadněji než funkce třetích stran.

Dokumentaci k funkcím zabezpečení nativní sítě Azure najdete tady:

• Azure Firewall
• Firewall webových aplikací Azure (WAF)
• Azure DDoS Protection

Azure Marketplace obsahuje mnoho poskytovatelů brány firewall třetích stran.

Další informace najdete v tématu Ochrana DDOS srovnávacího testu zabezpečení Azure a ochrana firewallu webových aplikací.

8. Technologie: Integrace nativní detekce hrozeb

Zjednodušte detekci a reakci útoků na systémy a data Azure.

Co?

Zjednodušte strategii detekce hrozeb a reakce tím, že do operací zabezpečení a SIEM začleníte nativní možnosti detekce hrozeb.

Proč?

Účelem operací zabezpečení je snížit dopad aktivních útočníků, kteří získají přístup k prostředí. Dopad se měří střední dobou k potvrzení (MTTA) a nápravě incidentů (MTTR). Tento postup vyžaduje přesnost i rychlost ve všech prvech reakce na incidenty. Výsledkem je zajištění kvality nástrojů a efektivity provádění procesů.

S využitím stávajících nástrojů a přístupů je obtížné získat detekci vysokých hrozeb. Nástroje a přístupy jsou navržené pro detekci místních hrozeb kvůli rozdílům v cloudových technologiích a rychlém tempu změn. Nativní integrované detekce poskytují řešení v průmyslovém měřítku udržovaná poskytovateli cloudu, kteří můžou držet krok s aktuálními hrozbami a změnami cloudové platformy.

Tato nativní řešení umožňují týmům operací zabezpečení zaměřit se na vyšetřování a nápravu incidentů. Zaměřte se na tyto položky místo plýtvání časem vytvořením upozornění z neznámých dat protokolu, integrací nástrojů a úloh údržby.

Kdo?

Obvykle je řízen týmem pro provoz zabezpečení.

• Sponsorship: Tato práce je obvykle sponzorována ředitelem provozu zabezpečení nebo ekvivalentní rolí.
• Provádění: Integrace nativní detekce hrozeb je úsilí o spolupráci zahrnující tato řešení s:
  • Operace zabezpečení: Integrace výstrah do procesů šetření incidentů a SIEM Operace zabezpečení můžou informovat analytiky o cloudových výstrahách a jejich významu a o tom, jak používat nativní cloudové nástroje.
  • Příprava incidentů: Integrace cloudových incidentů do praktických cvičení a zajištění, aby byla provedena praktická cvičení za účelem zajištění připravenosti týmu.
  • Analýza hrozeb: Výzkum a integrace informací o cloudových útocích za účelem informování týmů s kontextem a inteligencí
  • Architektura zabezpečení: Integrace nativních nástrojů do dokumentace k architektuře zabezpečení
  • Zásady a standardy: Nastavte standardy a zásady pro povolení nativních nástrojů v celé organizaci. Monitorujte dodržování předpisů.
  • Infrastruktura a koncový bod a centrální IT operace: Konfigurace a povolení detekce, integrace do automatizace a infrastruktury jako řešení kódu

Jak?

Povolte detekci hrozeb v programu Microsoft Defender for Cloud pro všechny prostředky, které používáte, a každý tým tyto prostředky integruje do svých procesů, jak je popsáno výše.

Další informace najdete v tématu Detekce hrozeb srovnávacích testů zabezpečení Azure pro prostředky Azure.

9. Architektura: Standardizace jednoho adresáře a identity

Nikdo nechce řešit více identit a adresářů.

Co?

Standardizace v jednom adresáři Microsoft Entra. Pro každou aplikaci a uživatele v Azure můžete standardizovat jednu identitu.

Poznámka

Tento osvědčený postup se týká konkrétně zdrojů organizace. Pro partnerské účty použijte Microsoft Entra B2B , abyste nemuseli vytvářet a udržovat účty ve vašem adresáři. V případě účtů zákazníků nebo občanů můžete ke správě použít Azure AD B2C .

Proč?

Více účtů a adresářů identit vytváří zbytečné tření, což v každodenních pracovních postupech vytváří nejasnosti pro:

• Uživatelé produktivity
• Vývojáři
• Správci IT a identit
• Analytici zabezpečení
• Další role

Správa více účtů a adresářů vytváří pobídku pro špatné postupy zabezpečení. Mezi tyto postupy patří například opakované použití hesla napříč účty. Zvyšuje pravděpodobnost zastaralých nebo opuštěných účtů, na které můžou útočníci cílit.

I když se někdy zdá být jednodušší rychle vystát vlastní adresář LDAP pro určitou aplikaci nebo úlohu, tato akce vytváří mnohem více práce na integraci a správě. Tato práce se podobá volbě nastavení dalšího tenanta Azure nebo doménové struktury místní Active Directory místo použití stávajícího podnikového tenanta. Další informace najdete v zásadách zabezpečení řízení jednoduchosti.

Kdo?

Standardizace jednoho adresáře Microsoft Entra je často úsilím napříč týmy. Úsilí je řízeno architekturou zabezpečení nebo identitou a klíčovými týmy pro správu.

• Sponsorship: Architektura správy identit a klíčů a zabezpečení obvykle sponzoruje tuto práci, i když některé organizace můžou vyžadovat sponzorství CISO nebo CIO.
• Provádění: Provádění je úsilí na spolupráci zahrnující:
  • Architektura zabezpečení: Tento tým zahrnuje proces do dokumentů a diagramů architektury IT a zabezpečení.
  • Zásady a standardy: Tento tým dokumentuje zásady a monitoruje dodržování předpisů.
  • Správa identit a klíčů nebo centrální provoz IT: Tyto týmy implementují zásady povolením funkcí a podporou vývojářů s účty, vzděláváním atd.
  • Vývojáři aplikací nebo centrální IT operace: Tyto týmy používají identitu v aplikacích a konfiguracích služeb Azure. Odpovědnosti se liší v závislosti na úrovni přijetí DevOps.

Jak?

Osvojte si praktický přístup, který začíná novými možnostmi zeleného pole. Pak v rámci následného cvičení vyčistíte výzvy s brownfieldem stávajících aplikací a služeb:

• Greenfield: Vytvořte a implementujte jasné zásady, které můžou všechny podnikové identity používat jeden adresář Microsoft Entra s jedním účtem pro každého uživatele.

• Brownfield: Mnoho organizací má často více starších adresářů a systémů identit. Tyto starší položky vyřešte, když náklady na průběžné tření správy překračují investici k vyčištění. Řešení správy identit a synchronizace sice můžou některé z těchto problémů zmírnit, ale nemají hlubokou integraci funkcí zabezpečení a produktivity. Tyto funkce umožňují bezproblémové prostředí pro uživatele, správce a vývojáře.

Ideální čas ke kombinování použití identity je během vývojových cyklů aplikací, jak jste:

• Modernizace aplikací pro cloud
• Aktualizace cloudových aplikací pomocí procesů DevOps

Přestože existují platné důvody pro samostatný adresář pro nezávislé obchodní jednotky nebo zákonné požadavky, vyhněte se více adresářům za všech ostatních okolností.

Další informace najdete v systému Microsoft Entra Central Identity a Authentication Benchmark pro Azure Security Benchmark.

Důležité

Jedinou výjimkou jediného pravidla účtů je, že privilegovaní uživatelé, včetně správců IT a analytiků zabezpečení, mohou mít samostatné účty pro standardní uživatelské úlohy v porovnání s úlohami správy.

Další informace najdete v tématu Privilegovaný přístup srovnávacího testu zabezpečení Azure.

10. Architektura: Použití řízení přístupu na základě identity místo klíčů

Co?

Pokud je to možné, používejte identity Microsoft Entra místo ověřování založeného na klíčích. Například služby Azure, aplikace, rozhraní API.

Proč?

Ověřování na základě klíčů se dá použít k ověřování v cloudových službách a rozhraních API. Vyžaduje ale bezpečnou správu klíčů, což je náročné, zejména ve velkém měřítku. Zabezpečená správa klíčů je obtížná pro profesionály, kteří nejsou zabezpečení, jako jsou vývojáři a odborníci na infrastrukturu, a často ji nedokážou bezpečně provádět, což často vytváří pro organizaci velká bezpečnostní rizika.

Ověřování založené na identitě řeší řadu těchto problémů s vyspělými možnostmi. Mezi možnosti patří obměně tajných kódů, správa životního cyklu, delegování správy a další.

Kdo?

Implementace řízení přístupu na základě identit často představuje úsilí mezi týmy. Úsilí je řízeno architekturou zabezpečení nebo identitou a klíčovými týmy pro správu.

• Sponsorship: Toto úsilí je obvykle sponzorováno architekturou zabezpečení nebo identitou a správou klíčů, i když některé organizace můžou vyžadovat sponzorství CISO nebo CIO.
• Provádění: Spolupráce zahrnující:
  • Architektura zabezpečení: Tento tým zahrnuje osvědčené postupy do diagramů a dokumentů architektury ZABEZPEČENÍ a IT.
  • Zásady a standardy: Tento tým dokumentuje zásady a monitoruje dodržování předpisů.
  • Správa identit a klíčů nebo centrální provoz IT: Tyto týmy implementují zásady povolením funkcí a podporou vývojářů s účty, vzděláváním atd.
  • Vývojáři aplikací nebo centrální IT operace: Použijte identitu v aplikacích a konfiguracích služeb Azure. Odpovědnosti se liší v závislosti na úrovni přijetí DevOps.

Jak?

Nastavení předvoleb organizace a zvyku při používání ověřování založeného na identitě vyžaduje, aby postup a povolování technologie.

Proces

1. Vytvořte zásady a standardy, které jasně popisují výchozí ověřování založené na identitě a přijatelné výjimky.
2. Informujte vývojáře a týmy infrastruktury o tom, proč používat nový přístup, co potřebují dělat a jak to udělat.
3. Implementujte změny praktickým způsobem tím, že začnete využívat nové možnosti zeleného pole, které teď a v budoucnu, jako jsou nové služby Azure a nové aplikace, a pak se bude vyčistit stávající konfigurace brownfieldu.
4. Sledujte dodržování předpisů a sledujte týmy vývojářů a infrastruktury, které je potřeba napravit.

Technologie

Pro účty, jako jsou služby nebo automatizace, použijte spravované identity. Spravované identity Azure se můžou ověřit ve službách a prostředcích Azure, které podporují ověřování Microsoft Entra. Ověřování je povolené prostřednictvím předdefinovaných pravidel udělení přístupu, abyste se vyhnuli pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.

Pro služby, které nepodporují spravované identity, použijte Microsoft Entra ID k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku. Instanční objekty byste měli nakonfigurovat s přihlašovacími údaji certifikátu a náhradními tajnými klíči klienta. V obou případech je možné službu Azure Key Vault použít se spravovanými identitami Azure, aby prostředí runtime, jako je funkce Azure, mohl načíst přihlašovací údaje z trezoru klíčů.

Další informace najdete v identitách aplikací srovnávacích testů zabezpečení Azure.

11. Architektura: Vytvoření jedné sjednocené strategie zabezpečení

Všichni musí řaďte ve stejném směru, aby loď šla vpřed.

Co?

Zajistěte, aby všechny týmy byly v souladu s jedinou strategií, která umožňuje a zabezpečuje podnikové systémy a data.

Proč?

Když týmy pracují izolovaně, aniž by byly sladěny se společnou strategií, mohou jejich jednotlivé akce neúmyslně oslabit úsilí ostatních. Nesprávné zarovnání může způsobit zbytečné tření, které zpomaluje pokrok proti cílům všech uživatelů.

Jedním z příkladů týmů pracujících v izolaci, které se konzistentně hrály v mnoha organizacích, je segmentace prostředků:

• Zabezpečení sítě: Vyvíjí strategii pro segmentování ploché sítě. Strategie zvyšuje zabezpečení, často na základě fyzických lokalit, přiřazených IP adres nebo rozsahů IP adres nebo podobných položek.
• Tým identit: Vyvíjí strategii pro skupiny a organizační jednotky Služby Active Directory na základě jejich porozumění a znalosti organizace.
• Aplikační týmy: Práce s těmito systémy je obtížná. Je obtížné, protože byly navrženy s omezeným vstupem a porozuměním obchodním operacím, cílům a rizikům.

V organizacích, kde k tomuto omezení dochází, týmy často dochází ke konfliktům oproti výjimkám brány firewall. Konflikty můžou negativně ovlivnit zabezpečení, protože týmy schvalují výjimky. Produktivita negativně ovlivňuje zabezpečení, protože nasazení zpomalují funkce aplikací, které obchodní potřeby vyžadují.

I když zabezpečení může vytvořit zdravé třecí plochy vynucením kritického myšlení, tento konflikt vytváří pouze nezdravé tření, které brání cílům. Další informace najdete v pokynech ke strategii zabezpečení.

Kdo?

• Sponsorship: Jednotná strategie je obvykle spoluponsorována ředitelem IT, CISO a CTO. Sponzorství se často dodává s podporou vedení firmy pro některé prvky vysoké úrovně a je šampiony zástupců z každého týmu.
• Provádění: Strategii zabezpečení musí implementovat všichni. Integruje data z různých týmů a zvyšuje vlastnictví, nákup a pravděpodobnost úspěchu.
  • Architektura zabezpečení: Tento tým se snaží vytvořit strategii zabezpečení a výslednou architekturu. Architektura zabezpečení aktivně shromažďuje zpětnou vazbu od týmů a dokumentuje je v prezentacích, dokumentech a diagramech pro různé cílové skupiny.
  • Zásady a standardy: Tento tým zachytí příslušné prvky do standardů a zásad a pak monitoruje dodržování předpisů.
  • Všechny technické týmy IT a bezpečnostní týmy: Tyto týmy poskytují vstupní požadavky a pak odpovídají a implementují podnikovou strategii.
  • Vlastníci aplikací a vývojáři: Tyto týmy čtou a chápou dokumentaci ke strategii, která se na ně vztahuje. V ideálním případě přizpůsobí pokyny své roli.

Jak?

Vytvořte a implementujte strategii zabezpečení pro cloud, která zahrnuje vstup a aktivní účast všech týmů. I když se formát dokumentace procesu může lišit, vždy zahrnuje:

• Aktivní vstup od týmů: Strategie obvykle selžou, pokud si je lidé v organizaci nenakoupí. V ideálním případě získáte všechny týmy ve stejné místnosti, abyste společně vytvořili strategii. V workshopech, které provádíme se zákazníky, často najdeme, že organizace pracují ve skutečnosti na silach a tyto schůzky často vedou k tomu, že se lidé vzájemně setkávají poprvé. Zjistili jsme, že inkluzivnost je požadavek. Pokud některé týmy nejsou pozvané, musí se tato schůzka obvykle opakovat, dokud se k ní nepřipojí všichni účastníci. Pokud se nepřipojí, projekt se nepřesune dopředu.
• Zdokumentované a jasně komunikované: Všechny týmy musí mít povědomí o strategii zabezpečení. V ideálním případě je strategie zabezpečení součástí celkové technologické strategie. Tato strategie zahrnuje, proč integrovat zabezpečení, co je důležité v oblasti zabezpečení a jak vypadá úspěch zabezpečení. Tato strategie zahrnuje konkrétní pokyny pro aplikační a vývojové týmy, aby mohly získat jasné a uspořádané pokyny, aniž by si museli přečíst nerelevantní informace.
• Stabilní, ale flexibilní: Udržujte strategie relativně konzistentní a stabilní, ale architektury a dokumentace by mohly vyžadovat přehlednost a přizpůsobit dynamickou povahu cloudu. Například filtrování škodlivého externího provozu by zůstalo konzistentní jako strategické imperativní, i když se posunete od použití brány firewall nové generace třetí strany na Azure Firewall a upravíte diagramy a pokyny, jak to udělat.
• Začněte segmentací: Problémy se strategií jsou velké i malé, které je potřeba vyřešit, ale musíte začít někde. Zahajte strategii zabezpečení segmentací podnikových prostředků. Tato segmentace je základním rozhodnutím, které by bylo náročné později změnit a vyžaduje obchodní vstup i mnoho technických týmů.

Microsoft publikoval pokyny k videu pro použití strategie segmentace v Azure. Existují dokumenty publikované o segmentaci podniku a sladění zabezpečení sítě s ním.

Architektura přechodu na cloud obsahuje pokyny, které vašim týmům pomůžou s:

• Vytvoření týmu cloudové strategie: V ideálním případě integrujete zabezpečení do stávající cloudové strategie.
• Vytvoření nebo modernizace strategie zabezpečení: Plnění obchodních a bezpečnostních cílů v současné době cloudových služeb a moderních hrozeb.

Další informace najdete v strategii zásad správného řízení srovnávacích testů zabezpečení Azure.