Standardní hodnoty zabezpečení Azure pro Azure Cache for Redis
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Azure Cache for Redis. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Cache for Redis.
Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.
Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.
Poznámka
Ovládací prvky, které se nevztahují na Azure Cache for Redis nebo pro které je odpovědností společnosti Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Azure Cache for Redis zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Cache for Redis.
Zabezpečení sítě
Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.
1.1: Ochrana prostředků Azure ve virtuálních sítích
Pokyny: Nasazení instance Azure Cache for Redis ve virtuální síti Virtuální síť je privátní síť v cloudu. Pokud je instance Azure Cache for Redis nakonfigurovaná s virtuální sítí, není veřejně adresovatelná a je přístupná jenom z virtuálních počítačů a aplikací v rámci virtuální sítě.
Můžete také zadat pravidla brány firewall s rozsahem počátečních a koncových IP adres. Pokud jsou nakonfigurovaná pravidla brány firewall, můžou se k mezipaměti připojit pouze klientská připojení ze zadaných rozsahů IP adres.
Odpovědnost: Zákazník
1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní
Pokyny: Pokud se Virtual Machines nasadí ve stejné virtuální síti jako vaše instance Azure Cache for Redis, můžete pomocí skupin zabezpečení sítě (NSG) snížit riziko exfiltrace dat. Povolte protokoly toku NSG a odešlete protokoly do účtu služby Azure Storage pro audit provozu. Můžete také odesílat protokoly toku NSG do pracovního prostoru Služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.
Odpovědnost: Zákazník
1.3: Ochrana důležitých webových aplikací
Pokyny: Nepoužitelné; toto doporučení je určené pro webové aplikace spuštěné na Azure App Service nebo výpočetních prostředcích.
Odpovědnost: Zákazník
1.4: Odepřít komunikaci se známými IP adresami se zlými úmysly
Pokyny: Nasazení Azure Virtual Network (VNet) poskytuje rozšířené zabezpečení a izolaci pro vaše Azure Cache for Redis, stejně jako podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Když je nasazená ve virtuální síti, Azure Cache for Redis není veřejně adresovatelné a je možné k nim přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě.
Povolte DDoS Protection Standard na virtuálních sítích přidružených k vašim instancím Azure Cache for Redis, aby se chránily před distribuovanými útoky DDoS (Denial-of-Service). Využijte Microsoft Defender for Cloud Integrated Threat Intelligence k odepření komunikace se známými škodlivými nebo nepoužívanými internetovými IP adresami.
Konfigurace podpory Virtual Network pro Azure Cache for Redis Premium
Správa služby Azure DDoS Protection Standard pomocí Azure Portal
Odpovědnost: Zákazník
1.5: Zaznamenávání síťových paketů
Pokyny: Pokud jsou virtuální počítače nasazené ve stejné virtuální síti jako vaše instance Azure Cache for Redis, můžete pomocí skupin zabezpečení sítě (NSG) snížit riziko exfiltrace dat. Povolte protokoly toku NSG a odešlete protokoly do účtu služby Azure Storage pro audit provozu. Můžete také odesílat protokoly toku NSG do pracovního prostoru Služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.
Odpovědnost: Zákazník
1.6: Nasazení systémů detekce neoprávněných vniknutí na základě sítě nebo vniknutí (IDS/IPS)
Pokyny: Při používání Azure Cache for Redis s webovými aplikacemi běžícími na Azure App Service nebo výpočetních instancích nasaďte všechny prostředky v rámci azure Virtual Network (VNet) a zabezpečte je pomocí Azure Web Application Firewall (WAF) na webu. Application Gateway. Nakonfigurujte WAF tak, aby běžel v režimu prevence. Režim prevence blokuje vniknutí a útoky, které pravidla detekují. Útočník obdrží výjimku 403 neautorizovaného přístupu a připojení se zavře. Režim prevence zaznamenává takové útoky v protokolech WAF.
Případně můžete vybrat nabídku z Azure Marketplace, která podporuje funkce IDS/IPS s kontrolou datové části a/nebo možnostmi detekce anomálií.
Odpovědnost: Zákazník
1.7: Správa provozu do webových aplikací
Pokyny: Nepoužitelné; toto doporučení je určené pro webové aplikace spuštěné na Azure App Service nebo výpočetních prostředcích.
Odpovědnost: Zákazník
1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě
Pokyny: Použití značek služeb virtuální sítě k definování řízení přístupu k síti ve skupinách zabezpečení sítě (NSG) nebo Azure Firewall Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (např. ApiManagement) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz odpovídající služby. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.
Můžete také použít skupiny zabezpečení aplikací (ASG), které vám pomůžou zjednodušit složitou konfiguraci zabezpečení. Skupiny ASG umožňují nakonfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace, což vám umožní seskupit virtuální počítače a definovat zásady zabezpečení sítě na základě těchto skupin.
Odpovědnost: Zákazník
1.9: Údržba standardních konfigurací zabezpečení síťových zařízení
Pokyny: Definování a implementace standardních konfigurací zabezpečení pro síťové prostředky související s vašimi instancemi Azure Cache for Redis s Azure Policy Pomocí aliasů Azure Policy v oborech názvů Microsoft.Cache a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě vašich Azure Cache for Redis instancí. Můžete také využít předdefinované definice zásad, například:
Povolená by měla být pouze zabezpečená připojení ke službě Redis Cache.
Měla by být povolena ochrana před útoky DDoS Protection Standard.
Azure Blueprints můžete použít také ke zjednodušení rozsáhlých nasazení Azure zabalením klíčových artefaktů prostředí, jako jsou šablony Azure Resource Manager (ARM), řízení přístupu na základě role Azure (Azure RBAC) a zásady v jedné definici podrobného plánu. Podrobný plán můžete snadno použít na nová předplatná a prostředí a vyladit řízení a správu prostřednictvím správy verzí.
Odpovědnost: Zákazník
1.10: Dokumentovat pravidla konfigurace provozu
Pokyny: Použití značek pro síťové prostředky přidružené k vašemu nasazení Azure Cache for Redis, aby bylo možné je logicky uspořádat do taxonomie.
Odpovědnost: Zákazník
1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn
Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace síťových prostředků a zjišťovat změny síťových prostředků souvisejících s vašimi instancemi Azure Cache for Redis. Vytvořte výstrahy ve službě Azure Monitor, která se aktivují, když dojde ke změnám důležitých síťových prostředků.
Odpovědnost: Zákazník
Protokolování a monitorování
Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.
2.2: Konfigurace správy protokolů centrálního zabezpečení
Pokyny: Povolení nastavení diagnostiky protokolu aktivit Azure a odeslání protokolů do pracovního prostoru Služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure pro archivaci Protokoly aktivit poskytují přehled o operacích provedených ve vašich Azure Cache for Redis instancích na úrovni řídicí roviny. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) prováděné na úrovni řídicí roviny pro vaše instance Azure Cache for Redis.
Odpovědnost: Zákazník
2.3: Povolení protokolování auditu pro prostředky Azure
Pokyny: Povolení nastavení diagnostiky protokolu aktivit Azure a odeslání protokolů do pracovního prostoru Služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure pro archivaci Protokoly aktivit poskytují přehled o operacích provedených ve vašich Azure Cache for Redis instancích na úrovni řídicí roviny. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) prováděné na úrovni řídicí roviny pro vaše instance Azure Cache for Redis.
I když jsou metriky dostupné povolením nastavení diagnostiky, protokolování auditu v rovině dat ještě není pro Azure Cache for Redis k dispozici.
Odpovědnost: Zákazník
2.5: Konfigurace uchovávání úložiště protokolů zabezpečení
Pokyny: V Azure Monitoru nastavte dobu uchovávání protokolů pro pracovní prostory Log Analytics přidružené k vašim instancím Azure Cache for Redis podle předpisů vaší organizace.
Všimněte si, že protokolování auditu v rovině dat ještě není pro Azure Cache for Redis k dispozici.
Odpovědnost: Zákazník
2.6: Monitorování a kontrola protokolů
Pokyny: Povolení nastavení diagnostiky protokolu aktivit Azure a odeslání protokolů do pracovního prostoru Služby Log Analytics Pomocí dotazů v Log Analytics můžete vyhledávat termíny, identifikovat trendy, analyzovat vzory a poskytovat mnoho dalších přehledů na základě dat protokolu aktivit, která byla shromážděna pro Azure Cache for Redis.
Všimněte si, že protokolování auditu v rovině dat ještě není pro Azure Cache for Redis k dispozici.
Odpovědnost: Zákazník
2.7: Povolení upozornění pro neobvyklé aktivity
Pokyny: Můžete nakonfigurovat příjem upozornění na základě metrik a protokolů aktivit souvisejících s vašimi instancemi Azure Cache for Redis. Azure Monitor umožňuje nakonfigurovat upozornění pro odesílání e-mailových oznámení, volání webhooku nebo vyvolání aplikace logiky Azure.
I když jsou metriky dostupné povolením nastavení diagnostiky, protokolování auditu v rovině dat ještě není pro Azure Cache for Redis k dispozici.
Odpovědnost: Zákazník
Identita a řízení přístupu
Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.
3.1: Údržba inventáře účtů pro správu
Pokyny: Azure Active Directory (Azure AD) má předdefinované role, které musí být explicitně přiřazeny a které se dají dotazovat. Pomocí modulu Azure AD PowerShellu můžete provádět ad hoc dotazy ke zjišťování účtů, které jsou členy skupin pro správu.
Odpovědnost: Zákazník
3.2: Změna výchozích hesel, pokud je to možné
Pokyny: Řízení přístupu roviny k Azure Cache for Redis se řídí prostřednictvím Azure Active Directory (Azure AD). Azure AD nemá koncept výchozích hesel.
Přístup k Azure Cache for Redis roviny dat se řídí prostřednictvím přístupových klíčů. Tyto klíče používají klienti, kteří se připojují k mezipaměti, a je možné je kdykoli znovu vygenerovat.
Nedoporučuje se vytvářet výchozí hesla do aplikace. Místo toho můžete hesla ukládat v Azure Key Vault a pak je načíst pomocí Azure AD.
Odpovědnost: Sdílené
3.3: Použití vyhrazených účtů pro správu
Pokyny: Vytvoření standardních operačních postupů pro použití vyhrazených účtů pro správu Ke sledování počtu účtů pro správu použijte Microsoft Defender for Cloud Identity and Access Management.
Kromě toho, abyste měli přehled o vyhrazených účtech pro správu, můžete použít doporučení z Programu Microsoft Defender pro cloud nebo integrované zásady Azure, například:
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.
Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.
Externí účty s oprávněními vlastníka by se měly odebrat z vašeho předplatného.
Další informace najdete v následujících referenčních materiálech:
Odpovědnost: Zákazník
3.4: Použití jednotného přihlašování (SSO) Azure Active Directory
Pokyny: Azure Cache for Redis používá přístupové klíče k ověřování uživatelů a nepodporuje jednotné přihlašování na úrovni roviny dat. Přístup k řídicí rovině pro Azure Cache for Redis je k dispozici prostřednictvím rozhraní REST API a podporuje jednotné přihlašování. Pokud se chcete ověřit, nastavte hlavičku autorizace pro vaše požadavky na webový token JSON, který získáte z Azure Active Directory (Azure AD).
Odpovědnost: Zákazník
3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory
Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro cloudovou identitu a správu přístupu.
Odpovědnost: Zákazník
3.6: Použití vyhrazených počítačů (pracovní stanice s privilegovaným přístupem) pro všechny úlohy správy
Pokyny: Použití pracovních stanic s privilegovaným přístupem (PAW) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Azure
Odpovědnost: Zákazník
3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu
Pokyny: Použití služby Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pro generování protokolů a upozornění, pokud dojde k podezřelé nebo nebezpečné aktivitě v prostředí.
Kromě toho můžete pomocí detekce rizik Azure AD zobrazit výstrahy a sestavy o rizikovém chování uživatelů.
Odpovědnost: Zákazník
3.8: Správa prostředků Azure pouze ze schválených umístění
Pokyny: Konfigurace pojmenovaných umístění v Podmíněném přístupu azure Active Directory (Azure AD) pro povolení přístupu pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí nebo oblastí.
Odpovědnost: Zákazník
3.9: Použití Azure Active Directory
Pokyny: Použití Azure Active Directory (Azure AD) jako centrálního systému ověřování a autorizace Azure AD chrání data pomocí silného šifrování neaktivních a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.
Azure AD ověřování nelze použít pro přímý přístup k rovině dat Azure Cache for Redis, ale Azure AD přihlašovací údaje lze použít pro správu na úrovni řídicí roviny (tj. Azure Portal) k řízení Azure Cache for Redis přístupových klíčů.
Odpovědnost: Zákazník
3.10: Pravidelně kontrolovat a sladit přístup uživatelů
Pokyny: Azure Active Directory (Azure AD) poskytuje protokoly, které vám pomůžou zjistit zastaralé účty. Kromě toho můžete pomocí kontrol přístupu identit Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají přístup jenom ten správný uživatel.
Odpovědnost: Zákazník
3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům
Pokyny: Máte přístup ke zdrojům přihlašovacích aktivit Azure Active Directory (Azure AD), auditování a rizikových protokolů událostí, které umožňují integraci se službou Microsoft Sentinel nebo siEM jiného výrobce.
Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů a odesláním protokolů auditu a protokolů přihlášení do pracovního prostoru Služby Log Analytics. V Log Analytics můžete nakonfigurovat požadovaná upozornění protokolu.
Odpovědnost: Zákazník
3.12: Upozornění na odchylku chování při přihlašování k účtu
Pokyny: Pro odchylku chování při přihlášení k účtu v řídicí rovině použijte funkce služby Azure Active Directory (Azure AD) Identity Protection a detekce rizik ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce související s identitami uživatelů. Můžete také ingestovat data do Microsoft Sentinelu pro účely dalšího šetření.
Odpovědnost: Zákazník
Ochrana dat
Další informace najdete v tématu Azure Security Benchmark: ochrana dat.
4.1: Udržování inventáře citlivých informací
Pokyny: Pomocí značek můžete sledovat prostředky Azure, které ukládají nebo zpracovávají citlivé informace.
Odpovědnost: Zákazník
4.2: Izolace systémů ukládání nebo zpracování citlivých informací
Pokyny: Implementace samostatných předplatných nebo skupin pro správu pro vývoj, testování a produkci Azure Cache for Redis instance by měly být oddělené virtuální sítí nebo podsítím a odpovídajícím způsobem označené. Volitelně můžete pomocí brány firewall Azure Cache for Redis definovat pravidla tak, aby se k mezipaměti mohly připojit jenom připojení klientů z určených rozsahů IP adres.
Odpovědnost: Zákazník
4.3: Monitorování a blokování neoprávněného přenosu citlivých informací
Pokyny: Dosud nejsou k dispozici; funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou pro Azure Cache for Redis k dispozici.
Společnost Microsoft spravuje základní infrastrukturu pro Azure Cache for Redis a implementovala přísné kontroly, které brání ztrátě nebo vystavení zákaznických dat.
Odpovědnost: Sdílené
4.4: Šifrování všech citlivých informací při přenosu
Pokyny: Azure Cache for Redis ve výchozím nastavení vyžaduje komunikaci šifrovanou protokolem TLS. Protokol TLS verze 1.0, 1.1 a 1.2 se v současné době podporuje. Protokoly TLS 1.0 a 1.1 jsou však na cestě k vyřazení z celého odvětví, proto pokud je to možné, použijte protokol TLS 1.2. Pokud klientská knihovna nebo nástroj nepodporuje protokol TLS, je možné povolit nešifrovaná připojení prostřednictvím rozhraní API pro Azure Portal nebo správu. V takových případech, kdy šifrovaná připojení nejsou možná, doporučujeme umístit mezipaměť a klientskou aplikaci do virtuální sítě.
Odpovědnost: Sdílené
Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.
Azure Policy předdefinované definice – Microsoft.Cache:
| Název (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Povolená by měla být pouze zabezpečená připojení k vašemu Azure Cache for Redis | Audit povolování pouze připojení přes PROTOKOL SSL k Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a únos relace | Audit, Odepřít, Zakázáno | 1.0.0 |
4.5: Použití aktivního nástroje pro zjišťování k identifikaci citlivých dat
Pokyny: Funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou pro Azure Cache for Redis k dispozici. Označte instance obsahující citlivé informace, jako jsou takové, a v případě potřeby implementují řešení třetích stran pro účely dodržování předpisů.
Pro základní platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníka za citlivý a má velkou délku, aby se chránila před ztrátou a expozicí zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.
Odpovědnost: Zákazník
4.6: Řízení přístupu na základě role k řízení přístupu k prostředkům
Pokyny: Řízení přístupu na základě role v Azure (Azure RBAC) k řízení přístupu k řídicí rovině Azure Cache for Redis (tj. Azure Portal).
Odpovědnost: Zákazník
4.8: Šifrování citlivých informací v klidovém stavu
Pokyny: Azure Cache for Redis ukládá zákaznická data do paměti a zatímco silně chráněná mnoha ovládacími prvky implementovanými Microsoftem, paměť není ve výchozím nastavení šifrovaná. Pokud to vaše organizace vyžaduje, před uložením do Azure Cache for Redis zašifrujte obsah.
Pokud používáte funkci Azure Cache for Redis "Trvalost dat Redis", data se odesílají do účtu služby Azure Storage, který vlastníte a spravujete. Trvalost můžete nakonfigurovat v okně Nový Azure Cache for Redis při vytváření mezipaměti a v nabídce Prostředek pro existující mezipaměti Premium.
Data ve službě Azure Storage se šifrují a dešifrují transparentně pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Šifrování služby Azure Storage nejde zakázat. Pro šifrování účtu úložiště můžete spoléhat na klíče spravované Microsoftem nebo můžete spravovat šifrování pomocí vlastních klíčů.
Odpovědnost: Sdílené
4.9: Protokolování a upozornění na změny důležitých prostředků Azure
Doprovodné materiály: Použití služby Azure Monitor s protokolem aktivit Azure k vytvoření výstrah pro případy, kdy dojde ke změnám v produkčních instancích Azure Cache for Redis a dalších důležitých nebo souvisejících prostředků.
Odpovědnost: Zákazník
Správa ohrožení zabezpečení
Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa ohrožení zabezpečení.
5.1: Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení
Pokyny: Postupujte podle doporučení v programu Microsoft Defender for Cloud k zabezpečení vašich Azure Cache for Redis instancí a souvisejících prostředků.
Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Cache for Redis.
Odpovědnost: Sdílené
Správa inventáře a aktiv
Další informace najdete v srovnávacím testu zabezpečení Azure: Inventář a správa prostředků.
6.1: Použití řešení automatizovaného zjišťování prostředků
Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (jako jsou výpočetní prostředky, úložiště, síť, porty a protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte příslušná oprávnění (čtení) ve vašem tenantovi, a vypíšete všechna předplatná Azure a také prostředky v rámci vašich předplatných.
I když se klasické prostředky Azure můžou objevit prostřednictvím Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager.
Odpovědnost: Zákazník
6.2: Údržba metadat assetů
Pokyny: Použití značek u prostředků Azure, které poskytují metadata, aby je logicky uspořádaly do taxonomie.
Odpovědnost: Zákazník
6.3: Odstranění neoprávněných prostředků Azure
Pokyny: Použití označování, skupin pro správu a samostatných předplatných, kde je to vhodné, k uspořádání a sledování Azure Cache for Redis instancí a souvisejících prostředků. Sladit inventář pravidelně a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.
Kromě toho použijte Azure Policy k omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:
Žádné povolené typy prostředků
Povolené typy prostředků
Další informace najdete v následujících referenčních materiálech:
Odpovědnost: Zákazník
6.5: Monitorování pro neschválené prostředky Azure
Pokyny: Pomocí Azure Policy můžete omezit typ prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:
- Žádné povolené typy prostředků
- Povolené typy prostředků
Kromě toho můžete pomocí Azure Resource Graph dotazovat a zjišťovat prostředky v rámci předplatných.
Odpovědnost: Zákazník
6.9: Použití pouze schválených služeb Azure
Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:
Žádné povolené typy prostředků
Povolené typy prostředků
Další informace najdete v následujících referenčních materiálech:
Odpovědnost: Zákazník
6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager
Pokyny: Konfigurace podmíněného přístupu Azure pro omezení schopnosti uživatelů pracovat s Azure Resource Manager (ARM) konfigurací blokování přístupu pro aplikaci Microsoft Azure Management
Odpovědnost: Zákazník
Zabezpečená konfigurace
Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.
7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure
Pokyny: Definování a implementace standardních konfigurací zabezpečení pro instance Azure Cache for Redis pomocí Azure Policy Pomocí Azure Policy aliasů v oboru názvů Microsoft.Cache můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace vašich Azure Cache for Redis instancí. Můžete také využít předdefinované definice zásad související s vašimi instancemi Azure Cache for Redis, například:
- Povolená by měla být pouze zabezpečená připojení ke službě Redis Cache.
Další informace najdete v následujících referenčních materiálech:
Odpovědnost: Zákazník
7.3: Údržba zabezpečených konfigurací prostředků Azure
Pokyny: Použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečeného nastavení napříč prostředky Azure.
Odpovědnost: Zákazník
7.5: Bezpečně ukládat konfiguraci prostředků Azure
Pokyny: Pokud pro vaše Azure Cache for Redis instance a související prostředky používáte vlastní definice Azure Policy nebo šablony Azure Resource Manager, použijte Azure Repos k bezpečnému ukládání a správě kódu.
Odpovědnost: Zákazník
7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure
Pokyny: Použití Azure Policy aliasů v oboru názvů Microsoft.Cache k vytváření vlastních zásad pro upozornění, auditování a vynucování konfigurací systému. Dále vyvíjejte proces a kanál pro správu výjimek zásad.
Odpovědnost: Zákazník
7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure
Pokyny: Použití Azure Policy aliasů v oboru názvů Microsoft.Cache k vytváření vlastních zásad pro upozornění, auditování a vynucování konfigurací systému. Pomocí Azure Policy [audit], [odepřít] a [nasadit, pokud neexistuje] automaticky vynucujte konfigurace pro vaše Azure Cache for Redis instance a související prostředky.
Odpovědnost: Zákazník
7.11: Zabezpečená správa tajných kódů Azure
Pokyny: Pro virtuální počítače Nebo webové aplikace Azure spuštěné na Azure App Service, které se používají pro přístup k vašim instancím Azure Cache for Redis, použijte identitu spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení tajného kódu Azure Cache for Redis Správa. Ujistěte se, že je povolené obnovitelné odstranění Key Vault.
Odpovědnost: Zákazník
7.12: Správa identit bezpečně a automaticky
Pokyny: Pro virtuální počítače Nebo webové aplikace Azure spuštěné na Azure App Service, které se používají pro přístup k vašim instancím Azure Cache for Redis, použijte identitu spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení tajného kódu Azure Cache for Redis Správa. Ujistěte se, že je povolené Key Vault obnovitelné odstranění.
Pomocí spravovaných identit můžete poskytovat službám Azure automaticky spravovanou identitu ve službě Azure Active Directory (Azure AD). Spravované identity umožňují ověřit se ve všech službách, které podporují ověřování Azure AD, včetně Azure Key Vault, bez přihlašovacích údajů ve vašem kódu.
Odpovědnost: Zákazník
7.13: Eliminace neúmyslné expozice přihlašovacích údajů
Pokyny: Implementace skeneru přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.
Odpovědnost: Zákazník
Obrana před malwarem
Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.
8.2: Předběžné naskenování souborů, které se mají nahrát do prostředků Azure bez výpočetních prostředků Azure
Pokyny: Antimalwarový software Společnosti Microsoft je povolený na podkladovém hostiteli, který podporuje služby Azure (například Azure Cache for Redis), ale nespustí se v obsahu zákazníka.
Předem zkontrolujte veškerý obsah, který se nahrává do prostředků Azure, jako jsou App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL atd. Microsoft nemůže získat přístup k vašim datům v těchto instancích.
Odpovědnost: Zákazník
Obnovení dat
Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.
9.1: Zajištění pravidelného automatizovaného zálohování
Pokyny: Povolení trvalosti Redis Trvalost Redis umožňuje uchovávat data uložená v Redisu. Můžete také pořizovat snímky a zálohovat data, která můžete načíst v případě selhání hardwaru. To je obrovská výhoda oproti úrovni Basic nebo Standard, kde jsou všechna data uložená v paměti a v případě selhání může dojít ke ztrátě dat v případě selhání, kdy jsou uzly mezipaměti nižší.
Můžete také použít Azure Cache for Redis Export. Export umožňuje exportovat data uložená v Azure Cache for Redis do souborů kompatibilních s RDB kompatibilním s Redis. Pomocí této funkce můžete přesouvat data z jedné Azure Cache for Redis instance do jiného nebo na jiný server Redis. Během procesu exportu se na virtuálním počítači, který je hostitelem instance serveru Azure Cache for Redis, vytvoří dočasný soubor a soubor se nahraje do určeného účtu úložiště. Po dokončení operace exportu se stavem úspěchu nebo selhání se dočasný soubor odstraní.
Odpovědnost: Zákazník
9.2: Provádění kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem
Pokyny: Povolení trvalosti Redis Trvalost Redis umožňuje uchovávat data uložená v Redisu. Můžete také pořizovat snímky a zálohovat data, která můžete načíst v případě selhání hardwaru. To je obrovská výhoda oproti úrovni Basic nebo Standard, kde jsou všechna data uložená v paměti a v případě selhání může dojít ke ztrátě dat v případě selhání, kdy jsou uzly mezipaměti nižší.
Můžete také použít Azure Cache for Redis Export. Export umožňuje exportovat data uložená v Azure Cache for Redis do souborů kompatibilních s RDB kompatibilním s Redis. Pomocí této funkce můžete přesouvat data z jedné Azure Cache for Redis instance do jiného nebo na jiný server Redis. Během procesu exportu se na virtuálním počítači, který je hostitelem instance serveru Azure Cache for Redis, vytvoří dočasný soubor a soubor se nahraje do určeného účtu úložiště. Po dokončení operace exportu se stavem úspěchu nebo selhání se dočasný soubor odstraní.
Pokud používáte Azure Key Vault k ukládání přihlašovacích údajů pro vaše instance Azure Cache for Redis, ujistěte se, že se pravidelně automatizují zálohy vašich klíčů.
Odpovědnost: Zákazník
9.3: Ověřte všechny zálohy včetně klíčů spravovaných zákazníkem.
Pokyny: Použití Azure Cache for Redis importu Import se dá použít k přenesení souborů RDB kompatibilních s Redis z libovolného serveru Redis spuštěného v libovolném cloudu nebo prostředí, včetně Redis běžícího v Linuxu, Windows nebo libovolného poskytovatele cloudu, jako jsou Amazon Web Services a další. Import dat je snadný způsob, jak vytvořit mezipaměť s předem vyplněnými daty. Během procesu importu Azure Cache for Redis načte soubory RDB z úložiště Azure do paměti a pak vloží klíče do mezipaměti.
Pravidelně testujte obnovení dat tajných kódů Azure Key Vault.
Odpovědnost: Zákazník
Reakce na incidenty
Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.
10.1: Vytvoření průvodce reakcí na incidenty
Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.
Konfigurace automatizace pracovních postupů v programu Microsoft Defender pro cloud
Pokyny k vytvoření vlastního procesu reakce na incidenty zabezpečení
Anatomie incidentu ve službě Microsoft Security Response Center
Odpovědnost: Zákazník
10.2: Vytvoření postupu vyhodnocení incidentu a stanovení priorit
Pokyny: Microsoft Defender pro cloud přiřazuje každé výstrahě závažnost, která vám pomůže určit prioritu výstrah, které by se měly nejprve prošetřit. Závažnost je založená na tom, jak je microsoft Defender pro cloud v hledání nebo analýze použité k vydání výstrahy, stejně jako na úrovni spolehlivosti, kterou za aktivitou, která vedla k upozornění, zlými úmysly.
Kromě toho jasně označte předplatná (např. produkční, neprodukční) a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure.
Odpovědnost: Zákazník
10.3: Testování postupů reakce na zabezpečení
Pokyny: Proveďte cvičení pro testování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.
Odpovědnost: Zákazník
10.4: Zadejte podrobnosti o kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.
Pokyny: Kontaktní informace o incidentu zabezpečení bude microsoft používat k tomu, aby vás kontaktoval, pokud microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněný nebo neoprávněný účastník. Zkontrolujte incidenty po faktu a ujistěte se, že se problémy vyřeší.
Odpovědnost: Zákazník
10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty
Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat výstrahy a doporučení ručně nebo nepřetržitě. K streamování výstrah do Služby Microsoft Sentinel můžete použít konektor Microsoft Defenderu pro cloudová data.
Odpovědnost: Zákazník
10.6: Automatizace reakce na výstrahy zabezpečení
Pokyny: Použití funkce Automatizace pracovního postupu v Microsoft Defenderu pro Cloud k automatické aktivaci odpovědí prostřednictvím Logic Apps u výstrah zabezpečení a doporučení.
Odpovědnost: Zákazník
Penetrační testy a tzv. red team exercises
Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a červené týmové cvičení.
11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.
Pokyny: Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy nejsou porušením zásad Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.
Odpovědnost: Sdílené
Další kroky
- Další informace najdete v článku Přehled Azure Security Benchmark v2.
- Další informace o základních úrovních zabezpečení Azure