Standardní hodnoty zabezpečení Azure pro Application Gateway

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Application Gateway. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Application Gateway.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na Application Gateway nebo které jsou odpovědností společnosti Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Application Gateway úplně mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Application Gateway.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Ujistěte se, že všechna nasazení podsítě Virtual Network Azure Application Gateway mají použitou skupinu zabezpečení sítě (NSG) s řízením přístupu k síti, které jsou specifické pro důvěryhodné porty a zdroje vaší aplikace. Zatímco skupiny zabezpečení sítě jsou podporovány na Azure Application Gateway, existují určitá omezení a požadavky, které musí být dodrženy, aby vaše skupina zabezpečení sítě a Azure Application Gateway fungovaly podle očekávání.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Network:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Veškerý internetový provoz by se měl směrovat přes nasazený Azure Firewall Microsoft Defender for Cloud zjistil, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k podsítím pomocí Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control seznamu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
Virtuální počítače by měly být připojené ke schválené virtuální síti. Tato zásada audituje všechny virtuální počítače připojené k virtuální síti, která není schválena. Audit, Odepřít, Zakázáno 1.0.0
Virtuální sítě by měly používat zadanou bránu virtuální sítě. Tato zásada provede audit jakékoli virtuální sítě, pokud výchozí trasa neodkazuje na zadanou bránu virtuální sítě. AuditIfNotExists, zakázáno 1.0.0

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní

Pokyny: Pro skupiny zabezpečení sítě (NSG) přidružené k vašim podsítím Azure Application Gateway povolte protokoly toku NSG a odešlete protokoly do účtu úložiště pro audit provozu. Můžete také posílat protokoly toku NSG do pracovního prostoru služby Log Analytics a pomocí Analýzy provozu poskytovat přehledy o toku provozu ve vašem cloudu Azure. Mezi výhody analýzy provozu patří možnost vizualizovat síťovou aktivitu a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Poznámka: V některých případech se protokoly toku NSG přidružené k vašim podsítím Azure Application Gateway nezobrazují provoz, který je povolený. Pokud vaše konfigurace odpovídá následujícímu scénáři, neuvidíte povolený provoz v protokolech toku NSG:

  • Nasadili jste Application Gateway v2.
  • Máte skupinu zabezpečení sítě v podsíti služby Application Gateway.
  • Povolili jste v této skupině zabezpečení sítě protokoly toku NSG.

Další informace najdete v následujících odkazech.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Network:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Network Watcher by měla být povolená Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na konci zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Upozornění se povolí, pokud skupina prostředků sledovacího systému sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0

1.3: Ochrana důležitých webových aplikací

Pokyny: Nasazení Azure Web Application Firewall (WAF) před důležité webové aplikace pro další kontrolu příchozího provozu Web Application Firewall (WAF) je služba (funkce Azure Application Gateway), která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure WAF vám může pomoct zabezpečit Azure App Service webových aplikací kontrolou příchozího webového provozu, který blokuje útoky, jako jsou injektáže SQL, skriptování mezi weby, nahrávání malwaru a útoky DDoS. WAF je založená na pravidlech ze základní sady pravidel OWASP (Open Web Application Security Project) 3.1 (pouze WAF_v2), 3.0 a 2.2.9.

Odpovědnost: Zákazník

1.4: Odepřít komunikaci se známými ip adresami se zlými úmysly

Pokyny: Povolení ochrany před útoky DDoS Standard ve vašich virtuálních sítích Azure přidružených k vašim produkčním instancím Azure Application Gateway pro ochranu před útoky DDoS Využijte Microsoft Defender pro cloudovou integrovanou analýzu hrozeb k odepření komunikace se známými škodlivými IP adresami.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Network:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Veškerý internetový provoz by se měl směrovat přes nasazený Azure Firewall Microsoft Defender for Cloud zjistil, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, Zakázáno 3.0.0-preview
Měla by být povolená služba Azure DDoS Protection Standard. Standard ochrany DDoS by měl být povolený pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. AuditIfNotExists, Zakázáno 3.0.0

1.5: Zaznamenávání síťových paketů

Pokyny: Pro skupiny zabezpečení sítě (NSG) přidružené k vašim podsítím Azure Application Gateway povolte protokoly toku NSG a odešlete protokoly do účtu úložiště pro audit provozu. Můžete také odesílat protokoly toku NSG do pracovního prostoru služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Poznámka: V některých případech se v protokolech toku NSG přidružených k vašim podsítím Azure Application Gateway nezobrazí provoz, který je povolený. Pokud vaše konfigurace odpovídá následujícímu scénáři, neuvidíte povolený provoz v protokolech toku NSG:

  • Nasadili jste Application Gateway verze 2.
  • Máte skupinu zabezpečení sítě v podsíti služby Application Gateway.
  • V této skupině zabezpečení sítě jste povolili protokoly toku NSG.

Další informace najdete v následujících odkazech.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy související s tímto řízením můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Network:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Network Watcher by měla být povolená Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na konci zobrazení na úrovni sítě. Je nutné, aby se skupina prostředků sledovacího nástroje pro sledování sítě vytvořila v každé oblasti, kde je virtuální síť přítomna. Výstraha je povolená, pokud skupina prostředků watcheru sítě není v konkrétní oblasti dostupná. AuditIfNotExists, Zakázáno 3.0.0

1.6: Nasazení systémů detekce neoprávněných vniknutí na základě sítě nebo vniknutí (IDS/IPS)

Pokyny: Nasazení Azure Web Application Firewall (WAF) před kritickými webovými aplikacemi pro další kontrolu příchozího provozu Web Application Firewall (WAF) je služba (funkce Azure Application Gateway), která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure WAF vám může pomoct zabezpečit Azure App Service webových aplikací kontrolou příchozího webového provozu a blokovat útoky, jako jsou injektáže SQL, skriptování mezi weby, nahrávání malwaru a útoky DDoS. WAF vychází z pravidel základní sady pravidel OWASP (Open Web Application Security Project) 3.1 (pouze WAF_v2), 3.0 a 2.2.9.

Alternativně existuje několik možností marketplace, jako je Barracuda WAF pro Azure, které jsou k dispozici na Azure Marketplace, které zahrnují funkce IDS/IPS.

Odpovědnost: Zákazník

1.7: Správa provozu do webových aplikací

Pokyny: Nasazení Azure Application Gateway pro webové aplikace s povoleným protokolem HTTPS/SSL pro důvěryhodné certifikáty

Odpovědnost: Zákazník

1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě

Pokyny: Použití značek služby Virtual Network k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (např. GatewayManager) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz odpovídající služby. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Pro skupiny zabezpečení sítě (NSG) přidružené k vašim Azure Application Gateway podsítím musíte povolit příchozí internetový provoz na portech TCP 65503-65534 pro skladovou položku Application Gateway v1 a porty TCP 65200-65535 pro skladovou položku v2 s cílovou podsítí jako libovolnou a zdrojovou jako značku služby GatewayManager. Tento rozsah portů se vyžaduje pro komunikaci s infrastrukturou Azure. Tyto porty jsou chráněné (uzamknuté) pomocí certifikátů Azure. Externí entity, včetně zákazníků těchto bran, na těchto koncových bodech nemůžou komunikovat.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení síťových zařízení

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro nastavení sítě související s vašimi nasazeními Azure Application Gateway Pomocí aliasů Azure Policy v oboru názvů Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě vašich bran Aplikace Azure, virtuálních sítí Azure a skupin zabezpečení sítě. Můžete také využít integrovanou definici zásad.

Azure Blueprints můžete použít také ke zjednodušení rozsáhlých nasazení Azure zabalením klíčových artefaktů prostředí, jako jsou šablony Azure Resource Manager, řízení přístupu na základě role Azure (Azure RBAC) a zásady v jedné definici podrobného plánu. Podrobný plán můžete snadno použít u nových předplatných, prostředí a vyladění řízení a správy prostřednictvím správy verzí.

Odpovědnost: Zákazník

1.10: Dokumentovat pravidla konfigurace provozu

Pokyny: Použijte značky pro skupiny zabezpečení sítě (NSG) přidružené k vaší podsíti Azure Application Gateway a také všechny další prostředky související se zabezpečením sítě a tokem provozu. Pro jednotlivá pravidla NSG použijte pole Popis k určení obchodní potřeby a/nebo doby trvání (atd.) pro všechna pravidla, která umožňují provoz do nebo ze sítě.

Použijte některou z předdefinovaných definic zásad Azure souvisejících s označováním, například Vyžadovat značku a její hodnotu, abyste zajistili, že se všechny prostředky vytvoří pomocí značek a upozorní vás na existující nezoznačené prostředky.

Můžete použít Azure PowerShell nebo Azure CLI k vyhledání nebo provádění akcí na prostředcích na základě jejich značek.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace síťových prostředků a zjišťovat změny nastavení sítě a prostředků souvisejících s vašimi nasazeními Azure Application Gateway. Vytvořte upozornění ve službě Azure Monitor, která se aktivují, když se změní nastavení kritické sítě nebo prostředky.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Pro protokolování auditu řídicí roviny povolte nastavení diagnostiky protokolu aktivit Azure a odešlete protokoly do pracovního prostoru Služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) prováděné na úrovni řídicí roviny pro vaše Azure Application Gateway a související prostředky, jako jsou skupiny zabezpečení sítě (NSG), které se používají k ochraně Azure Application Gateway podsítě.

Kromě protokolů aktivit můžete nakonfigurovat nastavení diagnostiky pro vaše nasazení Azure Application Gateway. Nastavení diagnostiky slouží ke konfiguraci exportu protokolů platformy a metrik streamování pro prostředek do zvoleného cíle (účty úložiště, event hubs a Log Analytics).

Azure Application Gateway nabízí také integrovanou integraci se službou Aplikace Azure Insights. Application Insights shromažďuje data protokolů, výkonu a chyb. Application Insights automaticky detekuje anomálie výkonu a zahrnuje výkonné analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, jak se používají webové aplikace. Průběžný export můžete povolit export telemetrie ze služby Application Insights do centralizovaného umístění, aby se data zachovala déle než standardní doba uchovávání.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Pro protokolování auditu řídicí roviny povolte nastavení diagnostiky protokolu aktivit Azure a odešlete protokoly do pracovního prostoru Služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) prováděné na úrovni řídicí roviny pro vaše Azure Application Gateway a související prostředky, jako jsou skupiny zabezpečení sítě (NSG), které se používají k ochraně Azure Application Gateway podsítě.

Kromě protokolů aktivit můžete nakonfigurovat nastavení diagnostiky pro vaše nasazení Azure Application Gateway. Nastavení diagnostiky slouží ke konfiguraci exportu protokolů platformy a metrik streamování pro prostředek do zvoleného cíle (účty úložiště, event hubs a Log Analytics).

Azure Application Gateway nabízí také integrovanou integraci se službou Aplikace Azure Insights. Application Insights shromažďuje data protokolů, výkonu a chyb. Application Insights automaticky detekuje anomálie výkonu a zahrnuje výkonné analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, jak se používají webové aplikace. Průběžný export můžete povolit export telemetrie ze služby Application Insights do centralizovaného umístění, aby se data zachovala déle než standardní doba uchovávání.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: V rámci služby Azure Monitor nastavte dobu uchovávání pracovních prostorů Služby Log Analytics podle předpisů vaší organizace. Účty azure Storage používejte pro dlouhodobé nebo archivní úložiště.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Povolte nastavení diagnostiky protokolu aktivit Azure a nastavení diagnostiky pro vaše Azure Application Gateway a odešlete protokoly do pracovního prostoru Služby Log Analytics. Pomocí dotazů v Log Analytics můžete vyhledávat termíny, identifikovat trendy, analyzovat vzory a poskytovat mnoho dalších přehledů na základě shromážděných dat.

Azure Monitor pro sítě slouží k komplexnímu zobrazení stavu a metrik pro všechny nasazené síťové prostředky, včetně vašich Aplikace Azure bran.

Volitelně můžete povolit a připojit data do služby Microsoft Sentinel nebo siEM jiného výrobce.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Nasazení skladové položky Azure Web Application Firewall (WAF) v2 před důležitými webovými aplikacemi pro další kontrolu příchozího provozu Web Application Firewall (WAF) je služba (funkce Azure Application Gateway), která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure WAF vám může pomoct zabezpečit Azure App Service webových aplikací kontrolou příchozího webového provozu a blokovat útoky, jako jsou injektáže SQL, skriptování mezi weby, nahrávání malwaru a útoky DDoS. WAF vychází z pravidel základní sady pravidel OWASP (Open Web Application Security Project) 3.1 (pouze WAF_v2), 3.0 a 2.2.9.

Povolte nastavení diagnostiky protokolu aktivit Azure a nastavení diagnostiky pro azure WAF a odešlete protokoly do pracovního prostoru Služby Log Analytics. Pomocí dotazů v Log Analytics můžete vyhledávat termíny, identifikovat trendy, analyzovat vzory a poskytovat mnoho dalších přehledů na základě shromážděných dat. Výstrahy můžete vytvářet na základě dotazů pracovního prostoru Služby Log Analytics.

Azure Monitor pro sítě slouží k komplexnímu zobrazení stavu a metrik pro všechny nasazené síťové prostředky, včetně vašich Aplikace Azure bran. V konzole Azure Monitoru pro sítě můžete zobrazit a vytvořit upozornění pro Azure Application Gateway.

Odpovědnost: Zákazník

2.8: Centralizované protokolování antimalwaru

Pokyny: Nasazení Azure Web Application Firewall (WAF) v2 před důležitými webovými aplikacemi pro další kontrolu příchozího provozu Web Application Firewall (WAF) je služba (funkce Azure Application Gateway), která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure WAF vám může pomoct zabezpečit Azure App Service webových aplikací kontrolou příchozího webového provozu a blokovat útoky, jako jsou injektáže SQL, skriptování mezi weby, nahrávání malwaru a útoky DDoS.

Nakonfigurujte nastavení diagnostiky pro vaše nasazení Azure Application Gateway. Nastavení diagnostiky slouží ke konfiguraci exportu protokolů platformy a metrik streamování pro prostředek do zvoleného cíle (účty úložiště, event hubs a Log Analytics).

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Azure Active Directory (Azure AD) má předdefinované role, které musí být explicitně přiřazeny a které se dají dotazovat. Pomocí modulu Azure AD PowerShellu můžete provádět ad hoc dotazy ke zjišťování účtů, které jsou členy skupin pro správu.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Řízení přístupu roviny k Azure Application Gateway se řídí prostřednictvím Azure Active Directory (Azure AD). Azure AD nemá koncept výchozích hesel.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvoření standardních operačních postupů pro použití vyhrazených účtů pro správu Ke sledování počtu účtů pro správu použijte Microsoft Defender for Cloud Identity and Access Management.

Kromě toho, abyste měli přehled o vyhrazených účtech pro správu, můžete použít doporučení z Programu Microsoft Defender pro cloud nebo integrované zásady Azure, například:

  • K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.
  • Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.
  • Externí účty s oprávněními vlastníka by se měly odebrat z vašeho předplatného.

Další informace najdete v následujících odkazech.

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) Azure Active Directory

Pokyny: Použití registrace aplikace Azure (instančního objektu) k načtení tokenu, který se dá použít k interakci s vašimi Aplikace Azure Bránami prostřednictvím volání rozhraní API.

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro cloudovou identitu a správu přístupu.

Odpovědnost: Zákazník

3.6: Použití zabezpečených pracovních stanic spravovaných v Azure pro úlohy správy

Pokyny: Použití pracovních stanic s privilegovaným přístupem (privilegovaný přístup) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Azure

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Sestavy zabezpečení Azure Active Directory (Azure AD) slouží ke generování protokolů a výstrah, pokud v prostředí dojde k podezřelé nebo nebezpečné aktivitě. K monitorování aktivit identit a přístupu použijte Microsoft Defender for Cloud.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Pomocí pojmenovaných umístění podmíněného přístupu povolte přístup pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí nebo oblastí.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Jako centrální systém ověřování a autorizace použijte Azure Active Directory (Azure AD). Azure AD chrání data pomocí silného šifrování neaktivních uložených dat a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit uživatelský přístup

Pokyny: Azure Active Directory (Azure AD) poskytuje protokoly, které pomáhají zjišťovat zastaralé účty. Kromě toho můžete pomocí kontrol přístupu identit Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají nepřetržitý přístup jenom uživatelé.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Doprovodné materiály: Máte přístup ke zdrojům protokolů událostí přihlášení, auditu a rizik služby Azure Active Directory (Azure AD), které umožňují integraci s libovolným nástrojem SIEM/Monitoring.

Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů a odesláním protokolů auditu a protokolů přihlašování do pracovního prostoru služby Log Analytics. V pracovním prostoru služby Log Analytics můžete nakonfigurovat požadovaná upozornění.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Použití funkcí služby Azure Active Directory (Azure AD) Identity Protection a detekce rizik ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce související s identitami uživatelů Můžete také ingestovat data do Microsoft Sentinelu pro účely dalšího šetření.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Udržování inventáře citlivých informací

Pokyny: Pomocí značek můžete sledovat prostředky Azure, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Implementace samostatných předplatných nebo skupin pro správu pro vývoj, testování a produkci Ujistěte se, že všechna nasazení podsítí Virtual Network Azure Application Gateway mají použitou skupinu zabezpečení sítě (NSG) s řízením přístupu k síti, které jsou specifické pro důvěryhodné porty a zdroje vaší aplikace. Zatímco skupiny zabezpečení sítě jsou podporovány na Azure Application Gateway, existují určitá omezení a požadavky, které musí být dodrženy, aby vaše skupina zabezpečení sítě a Azure Application Gateway fungovaly podle očekávání.

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Ujistěte se, že všechna nasazení podsítě Virtual Network Azure Application Gateway mají použitou skupinu zabezpečení sítě (NSG) s řízením přístupu k síti, které jsou specifické pro důvěryhodné porty a zdroje vaší aplikace. Omezte odchozí provoz jenom na důvěryhodná umístění, abyste mohli zmírnit hrozbu exfiltrace dat. Zatímco skupiny zabezpečení sítě jsou podporovány na Azure Application Gateway, existují určitá omezení a požadavky, které musí být dodrženy, aby vaše skupina zabezpečení sítě a Azure Application Gateway fungovaly podle očekávání.

Odpovědnost: Sdílené

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Konfigurace kompletního šifrování pomocí protokolu TLS pro brány Aplikace Azure

Odpovědnost: Sdílené

4.6: Řízení přístupu na základě role k řízení přístupu k prostředkům

Pokyny: Řízení přístupu na základě role v Azure (Azure RBAC) k řízení přístupu k rovině řízení Azure Application Gateway (Azure Portal).

Odpovědnost: Zákazník

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Doprovodné materiály: Použití služby Azure Monitor s protokolem aktivit Azure k vytvoření výstrah pro případy, kdy dojde ke změnám v produkčních Azure Application Gateway instancích a dalších důležitých nebo souvisejících prostředcích.

Odpovědnost: Zákazník

Správa ohrožení zabezpečení

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa ohrožení zabezpečení.

5.1: Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení

Pokyny: Aktuálně není k dispozici; Posouzení ohrožení zabezpečení v programu Microsoft Defender for Cloud zatím není pro Azure Application Gateway k dispozici.

Naskenovaná a opravená podkladová platforma microsoftem. Zkontrolujte kontrolní mechanismy zabezpečení dostupné pro Azure Application Gateway, abyste snížili ohrožení zabezpečení související s konfigurací.

Odpovědnost: Zákazník

5.4: Porovnání kontrol ohrožení zabezpečení back-to-back

Pokyny: Dosud nejsou k dispozici; Posouzení ohrožení zabezpečení v programu Microsoft Defender for Cloud zatím není pro Azure Application Gateway k dispozici.

Naskenovaná a opravená podkladová platforma microsoftem. Zkontrolujte kontrolní mechanismy zabezpečení dostupné pro Azure Application Gateway, abyste snížili ohrožení zabezpečení související s konfigurací.

Odpovědnost: Zákazník

5.5: Použití procesu hodnocení rizika k určení priority nápravy zjištěných ohrožení zabezpečení

Pokyny: Dosud nejsou k dispozici; Posouzení ohrožení zabezpečení v programu Microsoft Defender for Cloud zatím není pro Azure Application Gateway k dispozici.

Naskenovaná a opravená podkladová platforma microsoftem. Zkontrolujte kontrolní mechanismy zabezpečení dostupné pro Azure Application Gateway, abyste snížili ohrožení zabezpečení související s konfigurací.

Odpovědnost: Zákazník

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventory and Asset Management.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (jako jsou výpočetní prostředky, úložiště, síť, porty a protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte v tenantovi příslušná oprávnění (číst) a vypíšete všechna předplatná Azure a prostředky v rámci vašich předplatných.

I když se klasické prostředky Azure můžou objevit prostřednictvím Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager v budoucnu.

Odpovědnost: Zákazník

6.2: Údržba metadat assetů

Pokyny: Použití značek u prostředků Azure, které poskytují metadata, aby je logicky uspořádaly do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: K uspořádání a sledování prostředků Azure použijte značkování, skupiny pro správu a samostatná předplatná. Sladit inventář pravidelně a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Pomocí zásad Azure navíc můžete omezit typ prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Další informace najdete v následujících odkazech.

Odpovědnost: Zákazník

6.5: Monitorování pro neschválené prostředky Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit ve vašich předplatných.

Pomocí azure Resource Graph můžete dotazovat nebo zjišťovat prostředky v rámci jejich předplatných. Ujistěte se, že jsou schválené všechny prostředky Azure v prostředí.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Další informace najdete v následujících odkazech.

Odpovědnost: Zákazník

6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Konfigurace podmíněného přístupu Azure tak, aby omezila schopnost uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management.

Odpovědnost: Zákazník

6.13: Fyzicky nebo logicky oddělit vysoce rizikové aplikace

Pokyny: Implementace samostatných předplatných a/nebo skupin pro správu pro vývoj, testování a produkci Ujistěte se, že všechna nasazení podsítě Virtual Network Azure Application Gateway mají použitou skupinu zabezpečení sítě (NSG) s řízením přístupu k síti specifickými pro důvěryhodné porty a zdroje vaší aplikace. I když jsou skupiny zabezpečení sítě podporované v Azure Application Gateway, existují určitá omezení a požadavky, které se musí dodržovat, aby vaše skupina zabezpečení sítě a Azure Application Gateway fungovaly podle očekávání.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro nastavení sítě související s vašimi nasazeními Azure Application Gateway Pomocí aliasů Azure Policy v oboru názvů Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě vašich bran Aplikace Azure, virtuálních sítí Azure a skupin zabezpečení sítě. Můžete také využít integrovanou definici zásad.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Použití zásad Azure [odepřít] a [nasazení, pokud neexistuje] k vynucení zabezpečeného nastavení napříč prostředky Azure

Odpovědnost: Zákazník

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Pokyny: Pokud používáte vlastní definice zásad Azure, použijte Azure DevOps nebo Azure Repos k bezpečnému ukládání a správě kódu.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Použití integrovaných definic Azure Policy a Azure Policy aliasů v oboru názvů Microsoft.Network k vytváření vlastních zásad pro upozornění, auditování a vynucování konfigurací systému. Dále vyvíjejte proces a kanál pro správu výjimek zásad.

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití integrovaných definic Azure Policy a Azure Policy aliasů v oboru názvů Microsoft.Network k vytváření vlastních zásad pro upozornění, auditování a vynucování konfigurací systému. Pomocí zásad Azure [audit], [odepřít] a [nasadit, pokud neexistuje] automaticky vynucujte konfigurace pro vaše prostředky Azure.

Odpovědnost: Zákazník

7.11: Zabezpečená správa tajných kódů Azure

Pokyny: Použití spravovaných identit k poskytování Azure Application Gateway automaticky spravovanou identitu ve službě Azure Active Directory (Azure AD). Spravované identity umožňují ověřování ve všech službách, které podporují ověřování Azure AD, včetně Key Vault, bez přihlašovacích údajů ve vašem kódu.

K bezpečnému ukládání certifikátů použijte Azure Key Vault. Azure Key Vault je úložiště tajných kódů spravované platformou, které můžete použít k ochraně tajných kódů, klíčů a certifikátů SSL. Azure Application Gateway podporuje integraci s Key Vault pro certifikáty serveru připojené k naslouchacím procesům s podporou HTTPS. Tato podpora je omezená na skladovou položku Application Gateway verze 2.

Odpovědnost: Zákazník

7.12: Správa identit bezpečně a automaticky

Pokyny: Použití spravovaných identit k poskytování Azure Application Gateway automaticky spravovanou identitu ve službě Azure Active Directory (Azure AD). Spravované identity umožňují ověřování ve všech službách, které podporují ověřování Azure AD, včetně Key Vault, bez přihlašovacích údajů ve vašem kódu.

K bezpečnému ukládání certifikátů použijte Azure Key Vault. Azure Key Vault je úložiště tajných kódů spravované platformou, které můžete použít k ochraně tajných kódů, klíčů a certifikátů SSL. Azure Application Gateway podporuje integraci s Key Vault pro certifikáty serveru připojené k naslouchacím procesům s podporou HTTPS. Tato podpora je omezená na skladovou položku Application Gateway verze 2.

Odpovědnost: Zákazník

7.13: Eliminace nezamýšlené expozice přihlašovacích údajů

Pokyny: Implementace skeneru přihlašovacích údajů pro identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.1: Použití centrálně spravovaného antimalwarového softwaru

Pokyny: Nasazení Azure Web Application Firewall (WAF) v2 před důležité webové aplikace pro další kontrolu příchozího provozu Web Application Firewall (WAF) je služba (funkce Azure Application Gateway), která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure WAF vám může pomoct zabezpečit Azure App Service webových aplikací kontrolou příchozího webového provozu, který blokuje útoky, jako jsou injektáže SQL, skriptování mezi weby, nahrávání malwaru a útoky DDoS.

Nakonfigurujte nastavení diagnostiky pro vaše nasazení Azure Application Gateway. Nastavení diagnostiky slouží ke konfiguraci streamování exportu protokolů platformy a metrik pro prostředek do cíle podle vašeho výběru (účty úložiště, služby Event Hubs a Log Analytics).

Odpovědnost: Zákazník

8.3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Při používání Azure Web Application Firewall (WAF) můžete nakonfigurovat zásady WAF. Zásada WAF se skládá ze dvou typů pravidel zabezpečení: vlastních pravidel vytvořených zákazníkem a spravovaných sad pravidel, které jsou kolekcí předem nakonfigurovaných pravidel spravovaných v Azure. Sady pravidel spravovaných v Azure poskytují snadný způsob, jak nasadit ochranu před běžnou sadou bezpečnostních hrozeb. Vzhledem k tomu, že tyto sady pravidel spravuje Azure, pravidla se aktualizují podle potřeby, aby se chránila před novými podpisy útoků.

Odpovědnost: Sdílené

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelných automatizovaných záloh

Pokyny: Azure Application Gateway neukládá zákaznická data. Pokud ale používáte vlastní definice zásad Azure, použijte Azure DevOps nebo Azure Repos k bezpečnému ukládání a správě kódu.

Sada Azure DevOps Services využívá řadu funkcí úložiště Azure k zajištění dostupnosti dat v případě selhání hardwaru, přerušení služeb nebo havárie v oblasti. Tým Azure DevOps nadto dodržuje postupy, které chrání data před náhodným nebo nepřátelským odstraněním.

Odpovědnost: Zákazník

9.2: Provedení kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Zálohování certifikátů spravovaných zákazníkem v rámci azure Key Vault

Odpovědnost: Zákazník

9.3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Testování obnovení zálohovaných certifikátů spravovaných zákazníkem

Odpovědnost: Zákazník

9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem

Pokyny: Ujistěte se, že je pro Azure Key Vault povolené obnovitelné odstranění. Obnovitelné odstranění umožňuje obnovení odstraněných trezorů klíčů a objektů trezoru, jako jsou klíče, tajné kódy a certifikáty.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocování incidentu a stanovení priorit

Pokyny: Microsoft Defender for Cloud přiřadí každé výstraze závažnosti, která vám pomůže určit prioritu výstrah, které by se měly prošetřit jako první. Závažnost je založená na tom, jak je program Microsoft Defender for Cloud v hledání nebo analýze použité k vydání výstrahy, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo k škodlivému záměru.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení k otestování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude společnost Microsoft používat k tomu, aby vás kontaktovala, pokud Microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněná nebo neoprávněná strana. Zkontrolujte incidenty po faktu a ujistěte se, že jsou vyřešeny problémy.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat upozornění a doporučení buď ručně, nebo nepřetržitě. Ke streamování výstrah do Microsoft Sentinelu můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace odpovědi na výstrahy zabezpečení

Pokyny: Pomocí funkce Automatizace pracovního postupu v Microsoft Defenderu pro cloud můžete automaticky aktivovat odpovědi prostřednictvím Logic Apps pro výstrahy a doporučení zabezpečení.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a red team cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel zapojení microsoftu cloudových penetračních testů, abyste měli jistotu, že vaše penetrační testy nejsou porušením zásad Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Další kroky