Standardní hodnoty zabezpečení Azure pro Azure Advisor

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure Advisor. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Advisor.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Kontrolní mechanismy se nevztahují na Azure Advisor a ty, pro které se doporučuje doslovné doslovné doporučení globálních pokynů, byly vyloučeny. Pokud chcete zjistit, jak Azure Advisor kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Advisoru.

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Advisor používá Jako výchozí službu pro správu identit a přístupu službu Azure Active Directory (Azure AD). Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, Virtuální počítač Azure (Linux a Windows), Azure Key Vault, PaaS a aplikace SaaS
  • Prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky podnikové sítě

Ujistěte se, že zabezpečení Azure AD je v praxi cloudového zabezpečení vaší organizace vysoce prioritní. Azure AD také poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučením Microsoftu pro osvědčené postupy. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Všimněte si, že Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlásit se ke svým aplikacím a prostředkům pomocí externí identity.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Advisor používá Azure Active Directory (Azure AD) k zajištění správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Patří sem podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři a dodavatelé.

Pomocí jednotného přihlašování můžete spravovat a zabezpečit přístup k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Advisor používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, pravidelně kontrolujte uživatelské účty a přiřazování přístupu, abyste měli jistotu, že jsou účty a jejich přístup platné. Implementujte Azure AD kontroly přístupu, abyste zkontrolovali členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty.

Kromě toho můžete pomocí funkcí Privileged Identity Management Azure AD vytvořit pracovní postup sestavy kontroly přístupu k usnadnění procesu kontroly přístupu. Privileged Identity Management lze také nakonfigurovat tak, aby upozorňovala na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správce, které jsou zastaralé nebo nesprávně nakonfigurované.

Upozorňujeme, že některé služby Azure podporují místní uživatele a role, které se nespravují prostřednictvím Azure AD. Zákazníci budou muset tyto uživatele spravovat samostatně.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou nesmírně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a obsluha nejdůležitějších služeb.

Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. Zvolte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky (ATP) v programu Microsoft Defender, včetně Microsoft Intune k nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy.

Centrálně spravujte zabezpečené pracovní stanice a vynucujte zabezpečenou konfiguraci, včetně silného ověřování, standardních hodnot softwaru a hardwaru, omezeného logického přístupu a přístupu k síti.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Advisor je integrovaný s řízením přístupu na základě role v Azure (Azure RBAC) ke správě svých prostředků. Pomocí Azure RBAC můžete spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí.

Přiřaďte role uživatelům, seskupujte instanční objekty a spravované identity. Pro určité prostředky existují předdefinované předdefinované role, které je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění přiřazená k prostředkům prostřednictvím Azure RBAC by měla být vždy omezena na to, co role vyžadují. To doplňuje přístup azure Active Directory (Azure AD) Privileged Identity Management (PIM) za běhu (JIT) a měl by se pravidelně kontrolovat.

Využijte k přidělování oprávnění předdefinované role a vlastní role vytvářejte pouze v případě potřeby.

Co je řízení přístupu na základě role Azure (Azure RBAC) /azure/role-based-access-control/overview

Odpovědnost: Zákazník

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi a předplatných Azure udělená oprávnění čtenáře zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

V závislosti na struktuře odpovědností týmu zabezpečení může být monitorování bezpečnostních rizik zodpovědností centrálního týmu zabezpečení nebo místního týmu. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit jsou automaticky dostupné a obsahují všechny operace zápisu (PUT, POST, DELETE) pro vaše prostředky Azure Advisoru kromě operací čtení (GET).

Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat.

Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Služby Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.

Kromě toho povolte a připojte data do Microsoft Sentinelu nebo siEM jiného výrobce. Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů Azure Advisoru mají nastavené období uchovávání protokolů podle předpisů vaší organizace. Ve službě Azure Monitor můžete nastavit dobu uchovávání pracovního prostoru služby Log Analytics podle předpisů vaší organizace. Pro dlouhodobé a archivní úložiště používejte účty pracovního prostoru Azure Storage, Data Lake nebo Log Analytics.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Azure Advisor nepodporuje konfiguraci vlastních zdrojů synchronizace času. Služba Azure Advisor spoléhá na zdroje synchronizace času Microsoftu a není vystavená zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Azure Advisor nezpřístupňuje základní infrastrukturu služeb zákazníkům a zákazníci nemůžou se službou používat vlastní řešení posouzení ohrožení zabezpečení. Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Advisor.

Odpovědnost: Microsoft

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Azure Advisor nezpřístupňuje základní infrastrukturu služeb zákazníkům a zákazníci nemůžou se službou používat vlastní řešení posouzení ohrožení zabezpečení. Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Advisor.

Odpovědnost: Microsoft

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

Pokyny: Azure Advisor nezpřístupňuje žádné virtuální počítače ani kontejnery, které by vyžadovaly ochranu detekce koncových bodů a odezvy (EDR). Základní poradce pro infrastrukturu ale zpracovává Microsoft, který zahrnuje antimalwarové řešení a detekci koncových bodů a zpracování odpovědí.

Odpovědnost: Microsoft

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarem pro Windows Virtual Machines. V případě linuxových Virtual Machines použijte antimalwarové řešení třetích stran.

K detekci malwaru nahraných do účtů Azure Storage použijte Microsoft Defender for Cloud Threat Detection for Cloud.

Odpovědnost: Microsoft

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarem pro virtuální počítače s Windows. Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetích stran. K detekci malwaru nahraných do účtů Azure Storage můžete také použít Microsoft Defender for Cloud Threat Detection.

Základní infrastrukturu v rámci Advisoru zpracovává Microsoft, která zahrnuje často aktualizovaný antimalwarový software.

Odpovědnost: Microsoft

Další kroky