Standardní hodnoty zabezpečení Azure pro Azure Cache for Redis

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Azure Cache for Redis. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Cache for Redis.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na Azure Cache for Redis nebo pro které je odpovědností společnosti Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Azure Cache for Redis zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Cache for Redis.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Nasazení instance Azure Cache for Redis ve virtuální síti Virtuální síť je privátní síť v cloudu. Pokud je instance Azure Cache for Redis nakonfigurovaná s virtuální sítí, není veřejně adresovatelná a je přístupná jenom z virtuálních počítačů a aplikací v rámci virtuální sítě.

Můžete také zadat pravidla brány firewall s rozsahem počátečních a koncových IP adres. Pokud jsou nakonfigurovaná pravidla brány firewall, můžou se k mezipaměti připojit pouze klientská připojení ze zadaných rozsahů IP adres.

Odpovědnost: Zákazník

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní

Pokyny: Pokud se Virtual Machines nasadí ve stejné virtuální síti jako vaše instance Azure Cache for Redis, můžete pomocí skupin zabezpečení sítě (NSG) snížit riziko exfiltrace dat. Povolte protokoly toku NSG a odešlete protokoly do účtu služby Azure Storage pro audit provozu. Můžete také odesílat protokoly toku NSG do pracovního prostoru Služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.3: Ochrana důležitých webových aplikací

Pokyny: Nepoužitelné; toto doporučení je určené pro webové aplikace spuštěné na Azure App Service nebo výpočetních prostředcích.

Odpovědnost: Zákazník

1.4: Odepřít komunikaci se známými IP adresami se zlými úmysly

Pokyny: Nasazení Azure Virtual Network (VNet) poskytuje rozšířené zabezpečení a izolaci pro vaše Azure Cache for Redis, stejně jako podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Když je nasazená ve virtuální síti, Azure Cache for Redis není veřejně adresovatelné a je možné k nim přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě.

Povolte DDoS Protection Standard na virtuálních sítích přidružených k vašim instancím Azure Cache for Redis, aby se chránily před distribuovanými útoky DDoS (Denial-of-Service). Využijte Microsoft Defender for Cloud Integrated Threat Intelligence k odepření komunikace se známými škodlivými nebo nepoužívanými internetovými IP adresami.

Odpovědnost: Zákazník

1.5: Zaznamenávání síťových paketů

Pokyny: Pokud jsou virtuální počítače nasazené ve stejné virtuální síti jako vaše instance Azure Cache for Redis, můžete pomocí skupin zabezpečení sítě (NSG) snížit riziko exfiltrace dat. Povolte protokoly toku NSG a odešlete protokoly do účtu služby Azure Storage pro audit provozu. Můžete také odesílat protokoly toku NSG do pracovního prostoru Služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.6: Nasazení systémů detekce neoprávněných vniknutí na základě sítě nebo vniknutí (IDS/IPS)

Pokyny: Při používání Azure Cache for Redis s webovými aplikacemi běžícími na Azure App Service nebo výpočetních instancích nasaďte všechny prostředky v rámci azure Virtual Network (VNet) a zabezpečte je pomocí Azure Web Application Firewall (WAF) na webu. Application Gateway. Nakonfigurujte WAF tak, aby běžel v režimu prevence. Režim prevence blokuje vniknutí a útoky, které pravidla detekují. Útočník obdrží výjimku 403 neautorizovaného přístupu a připojení se zavře. Režim prevence zaznamenává takové útoky v protokolech WAF.

Případně můžete vybrat nabídku z Azure Marketplace, která podporuje funkce IDS/IPS s kontrolou datové části a/nebo možnostmi detekce anomálií.

Odpovědnost: Zákazník

1.7: Správa provozu do webových aplikací

Pokyny: Nepoužitelné; toto doporučení je určené pro webové aplikace spuštěné na Azure App Service nebo výpočetních prostředcích.

Odpovědnost: Zákazník

1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě

Pokyny: Použití značek služeb virtuální sítě k definování řízení přístupu k síti ve skupinách zabezpečení sítě (NSG) nebo Azure Firewall Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (např. ApiManagement) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz odpovídající služby. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Můžete také použít skupiny zabezpečení aplikací (ASG), které vám pomůžou zjednodušit složitou konfiguraci zabezpečení. Skupiny ASG umožňují nakonfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace, což vám umožní seskupit virtuální počítače a definovat zásady zabezpečení sítě na základě těchto skupin.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení síťových zařízení

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro síťové prostředky související s vašimi instancemi Azure Cache for Redis s Azure Policy Pomocí aliasů Azure Policy v oborech názvů Microsoft.Cache a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě vašich Azure Cache for Redis instancí. Můžete také využít předdefinované definice zásad, například:

  • Povolená by měla být pouze zabezpečená připojení ke službě Redis Cache.

  • Měla by být povolena ochrana před útoky DDoS Protection Standard.

Azure Blueprints můžete použít také ke zjednodušení rozsáhlých nasazení Azure zabalením klíčových artefaktů prostředí, jako jsou šablony Azure Resource Manager (ARM), řízení přístupu na základě role Azure (Azure RBAC) a zásady v jedné definici podrobného plánu. Podrobný plán můžete snadno použít na nová předplatná a prostředí a vyladit řízení a správu prostřednictvím správy verzí.

Odpovědnost: Zákazník

1.10: Dokumentovat pravidla konfigurace provozu

Pokyny: Použití značek pro síťové prostředky přidružené k vašemu nasazení Azure Cache for Redis, aby bylo možné je logicky uspořádat do taxonomie.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace síťových prostředků a zjišťovat změny síťových prostředků souvisejících s vašimi instancemi Azure Cache for Redis. Vytvořte výstrahy ve službě Azure Monitor, která se aktivují, když dojde ke změnám důležitých síťových prostředků.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Povolení nastavení diagnostiky protokolu aktivit Azure a odeslání protokolů do pracovního prostoru Služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure pro archivaci Protokoly aktivit poskytují přehled o operacích provedených ve vašich Azure Cache for Redis instancích na úrovni řídicí roviny. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) prováděné na úrovni řídicí roviny pro vaše instance Azure Cache for Redis.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Povolení nastavení diagnostiky protokolu aktivit Azure a odeslání protokolů do pracovního prostoru Služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure pro archivaci Protokoly aktivit poskytují přehled o operacích provedených ve vašich Azure Cache for Redis instancích na úrovni řídicí roviny. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) prováděné na úrovni řídicí roviny pro vaše instance Azure Cache for Redis.

I když jsou metriky dostupné povolením nastavení diagnostiky, protokolování auditu v rovině dat ještě není pro Azure Cache for Redis k dispozici.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: V Azure Monitoru nastavte dobu uchovávání protokolů pro pracovní prostory Log Analytics přidružené k vašim instancím Azure Cache for Redis podle předpisů vaší organizace.

Všimněte si, že protokolování auditu v rovině dat ještě není pro Azure Cache for Redis k dispozici.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Povolení nastavení diagnostiky protokolu aktivit Azure a odeslání protokolů do pracovního prostoru Služby Log Analytics Pomocí dotazů v Log Analytics můžete vyhledávat termíny, identifikovat trendy, analyzovat vzory a poskytovat mnoho dalších přehledů na základě dat protokolu aktivit, která byla shromážděna pro Azure Cache for Redis.

Všimněte si, že protokolování auditu v rovině dat ještě není pro Azure Cache for Redis k dispozici.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Můžete nakonfigurovat příjem upozornění na základě metrik a protokolů aktivit souvisejících s vašimi instancemi Azure Cache for Redis. Azure Monitor umožňuje nakonfigurovat upozornění pro odesílání e-mailových oznámení, volání webhooku nebo vyvolání aplikace logiky Azure.

I když jsou metriky dostupné povolením nastavení diagnostiky, protokolování auditu v rovině dat ještě není pro Azure Cache for Redis k dispozici.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Azure Active Directory (Azure AD) má předdefinované role, které musí být explicitně přiřazeny a které se dají dotazovat. Pomocí modulu Azure AD PowerShellu můžete provádět ad hoc dotazy ke zjišťování účtů, které jsou členy skupin pro správu.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Řízení přístupu roviny k Azure Cache for Redis se řídí prostřednictvím Azure Active Directory (Azure AD). Azure AD nemá koncept výchozích hesel.

Přístup k Azure Cache for Redis roviny dat se řídí prostřednictvím přístupových klíčů. Tyto klíče používají klienti, kteří se připojují k mezipaměti, a je možné je kdykoli znovu vygenerovat.

Nedoporučuje se vytvářet výchozí hesla do aplikace. Místo toho můžete hesla ukládat v Azure Key Vault a pak je načíst pomocí Azure AD.

Odpovědnost: Sdílené

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvoření standardních operačních postupů pro použití vyhrazených účtů pro správu Ke sledování počtu účtů pro správu použijte Microsoft Defender for Cloud Identity and Access Management.

Kromě toho, abyste měli přehled o vyhrazených účtech pro správu, můžete použít doporučení z Programu Microsoft Defender pro cloud nebo integrované zásady Azure, například:

  • K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.

  • Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.

  • Externí účty s oprávněními vlastníka by se měly odebrat z vašeho předplatného.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) Azure Active Directory

Pokyny: Azure Cache for Redis používá přístupové klíče k ověřování uživatelů a nepodporuje jednotné přihlašování na úrovni roviny dat. Přístup k řídicí rovině pro Azure Cache for Redis je k dispozici prostřednictvím rozhraní REST API a podporuje jednotné přihlašování. Pokud se chcete ověřit, nastavte hlavičku autorizace pro vaše požadavky na webový token JSON, který získáte z Azure Active Directory (Azure AD).

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro cloudovou identitu a správu přístupu.

Odpovědnost: Zákazník

3.6: Použití vyhrazených počítačů (pracovní stanice s privilegovaným přístupem) pro všechny úlohy správy

Pokyny: Použití pracovních stanic s privilegovaným přístupem (PAW) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Azure

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Použití služby Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pro generování protokolů a upozornění, pokud dojde k podezřelé nebo nebezpečné aktivitě v prostředí.

Kromě toho můžete pomocí detekce rizik Azure AD zobrazit výstrahy a sestavy o rizikovém chování uživatelů.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Konfigurace pojmenovaných umístění v Podmíněném přístupu azure Active Directory (Azure AD) pro povolení přístupu pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí nebo oblastí.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Použití Azure Active Directory (Azure AD) jako centrálního systému ověřování a autorizace Azure AD chrání data pomocí silného šifrování neaktivních a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Azure AD ověřování nelze použít pro přímý přístup k rovině dat Azure Cache for Redis, ale Azure AD přihlašovací údaje lze použít pro správu na úrovni řídicí roviny (tj. Azure Portal) k řízení Azure Cache for Redis přístupových klíčů.

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit přístup uživatelů

Pokyny: Azure Active Directory (Azure AD) poskytuje protokoly, které vám pomůžou zjistit zastaralé účty. Kromě toho můžete pomocí kontrol přístupu identit Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají přístup jenom ten správný uživatel.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Pokyny: Máte přístup ke zdrojům přihlašovacích aktivit Azure Active Directory (Azure AD), auditování a rizikových protokolů událostí, které umožňují integraci se službou Microsoft Sentinel nebo siEM jiného výrobce.

Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů a odesláním protokolů auditu a protokolů přihlášení do pracovního prostoru Služby Log Analytics. V Log Analytics můžete nakonfigurovat požadovaná upozornění protokolu.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Pro odchylku chování při přihlášení k účtu v řídicí rovině použijte funkce služby Azure Active Directory (Azure AD) Identity Protection a detekce rizik ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce související s identitami uživatelů. Můžete také ingestovat data do Microsoft Sentinelu pro účely dalšího šetření.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Udržování inventáře citlivých informací

Pokyny: Pomocí značek můžete sledovat prostředky Azure, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Implementace samostatných předplatných nebo skupin pro správu pro vývoj, testování a produkci Azure Cache for Redis instance by měly být oddělené virtuální sítí nebo podsítím a odpovídajícím způsobem označené. Volitelně můžete pomocí brány firewall Azure Cache for Redis definovat pravidla tak, aby se k mezipaměti mohly připojit jenom připojení klientů z určených rozsahů IP adres.

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Dosud nejsou k dispozici; funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou pro Azure Cache for Redis k dispozici.

Společnost Microsoft spravuje základní infrastrukturu pro Azure Cache for Redis a implementovala přísné kontroly, které brání ztrátě nebo vystavení zákaznických dat.

Odpovědnost: Sdílené

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Azure Cache for Redis ve výchozím nastavení vyžaduje komunikaci šifrovanou protokolem TLS. Protokol TLS verze 1.0, 1.1 a 1.2 se v současné době podporuje. Protokoly TLS 1.0 a 1.1 jsou však na cestě k vyřazení z celého odvětví, proto pokud je to možné, použijte protokol TLS 1.2. Pokud klientská knihovna nebo nástroj nepodporuje protokol TLS, je možné povolit nešifrovaná připojení prostřednictvím rozhraní API pro Azure Portal nebo správu. V takových případech, kdy šifrovaná připojení nejsou možná, doporučujeme umístit mezipaměť a klientskou aplikaci do virtuální sítě.

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Cache:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Povolená by měla být pouze zabezpečená připojení k vašemu Azure Cache for Redis Audit povolování pouze připojení přes PROTOKOL SSL k Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a únos relace Audit, Odepřít, Zakázáno 1.0.0

4.5: Použití aktivního nástroje pro zjišťování k identifikaci citlivých dat

Pokyny: Funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou pro Azure Cache for Redis k dispozici. Označte instance obsahující citlivé informace, jako jsou takové, a v případě potřeby implementují řešení třetích stran pro účely dodržování předpisů.

Pro základní platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníka za citlivý a má velkou délku, aby se chránila před ztrátou a expozicí zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Zákazník

4.6: Řízení přístupu na základě role k řízení přístupu k prostředkům

Pokyny: Řízení přístupu na základě role v Azure (Azure RBAC) k řízení přístupu k řídicí rovině Azure Cache for Redis (tj. Azure Portal).

Odpovědnost: Zákazník

4.8: Šifrování citlivých informací v klidovém stavu

Pokyny: Azure Cache for Redis ukládá zákaznická data do paměti a zatímco silně chráněná mnoha ovládacími prvky implementovanými Microsoftem, paměť není ve výchozím nastavení šifrovaná. Pokud to vaše organizace vyžaduje, před uložením do Azure Cache for Redis zašifrujte obsah.

Pokud používáte funkci Azure Cache for Redis "Trvalost dat Redis", data se odesílají do účtu služby Azure Storage, který vlastníte a spravujete. Trvalost můžete nakonfigurovat v okně Nový Azure Cache for Redis při vytváření mezipaměti a v nabídce Prostředek pro existující mezipaměti Premium.

Data ve službě Azure Storage se šifrují a dešifrují transparentně pomocí 256bitového šifrování AES, jednoho z nejsilnějších dostupných blokových šifer a je kompatibilní se standardem FIPS 140-2. Šifrování služby Azure Storage nejde zakázat. Pro šifrování účtu úložiště můžete spoléhat na klíče spravované Microsoftem nebo můžete spravovat šifrování pomocí vlastních klíčů.

Odpovědnost: Sdílené

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Doprovodné materiály: Použití služby Azure Monitor s protokolem aktivit Azure k vytvoření výstrah pro případy, kdy dojde ke změnám v produkčních instancích Azure Cache for Redis a dalších důležitých nebo souvisejících prostředků.

Odpovědnost: Zákazník

Správa ohrožení zabezpečení

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa ohrožení zabezpečení.

5.1: Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení

Pokyny: Postupujte podle doporučení v programu Microsoft Defender for Cloud k zabezpečení vašich Azure Cache for Redis instancí a souvisejících prostředků.

Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Cache for Redis.

Odpovědnost: Sdílené

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventář a správa prostředků.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (jako jsou výpočetní prostředky, úložiště, síť, porty a protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte příslušná oprávnění (čtení) ve vašem tenantovi, a vypíšete všechna předplatná Azure a také prostředky v rámci vašich předplatných.

I když se klasické prostředky Azure můžou objevit prostřednictvím Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager.

Odpovědnost: Zákazník

6.2: Údržba metadat assetů

Pokyny: Použití značek u prostředků Azure, které poskytují metadata, aby je logicky uspořádaly do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: Použití označování, skupin pro správu a samostatných předplatných, kde je to vhodné, k uspořádání a sledování Azure Cache for Redis instancí a souvisejících prostředků. Sladit inventář pravidelně a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Kromě toho použijte Azure Policy k omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků

  • Povolené typy prostředků

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

6.5: Monitorování pro neschválené prostředky Azure

Pokyny: Pomocí Azure Policy můžete omezit typ prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Kromě toho můžete pomocí Azure Resource Graph dotazovat a zjišťovat prostředky v rámci předplatných.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků

  • Povolené typy prostředků

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Konfigurace podmíněného přístupu Azure pro omezení schopnosti uživatelů pracovat s Azure Resource Manager (ARM) konfigurací blokování přístupu pro aplikaci Microsoft Azure Management

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro instance Azure Cache for Redis pomocí Azure Policy Pomocí Azure Policy aliasů v oboru názvů Microsoft.Cache můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace vašich Azure Cache for Redis instancí. Můžete také využít předdefinované definice zásad související s vašimi instancemi Azure Cache for Redis, například:

  • Povolená by měla být pouze zabezpečená připojení ke službě Redis Cache.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečeného nastavení napříč prostředky Azure.

Odpovědnost: Zákazník

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Pokyny: Pokud pro vaše Azure Cache for Redis instance a související prostředky používáte vlastní definice Azure Policy nebo šablony Azure Resource Manager, použijte Azure Repos k bezpečnému ukládání a správě kódu.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Použití Azure Policy aliasů v oboru názvů Microsoft.Cache k vytváření vlastních zásad pro upozornění, auditování a vynucování konfigurací systému. Dále vyvíjejte proces a kanál pro správu výjimek zásad.

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití Azure Policy aliasů v oboru názvů Microsoft.Cache k vytváření vlastních zásad pro upozornění, auditování a vynucování konfigurací systému. Pomocí Azure Policy [audit], [odepřít] a [nasadit, pokud neexistuje] automaticky vynucujte konfigurace pro vaše Azure Cache for Redis instance a související prostředky.

Odpovědnost: Zákazník

7.11: Zabezpečená správa tajných kódů Azure

Pokyny: Pro virtuální počítače Nebo webové aplikace Azure spuštěné na Azure App Service, které se používají pro přístup k vašim instancím Azure Cache for Redis, použijte identitu spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení tajného kódu Azure Cache for Redis Správa. Ujistěte se, že je povolené obnovitelné odstranění Key Vault.

Odpovědnost: Zákazník

7.12: Správa identit bezpečně a automaticky

Pokyny: Pro virtuální počítače Nebo webové aplikace Azure spuštěné na Azure App Service, které se používají pro přístup k vašim instancím Azure Cache for Redis, použijte identitu spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení tajného kódu Azure Cache for Redis Správa. Ujistěte se, že je povolené Key Vault obnovitelné odstranění.

Pomocí spravovaných identit můžete poskytovat službám Azure automaticky spravovanou identitu ve službě Azure Active Directory (Azure AD). Spravované identity umožňují ověřit se ve všech službách, které podporují ověřování Azure AD, včetně Azure Key Vault, bez přihlašovacích údajů ve vašem kódu.

Odpovědnost: Zákazník

7.13: Eliminace neúmyslné expozice přihlašovacích údajů

Pokyny: Implementace skeneru přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.2: Předběžné naskenování souborů, které se mají nahrát do prostředků Azure bez výpočetních prostředků Azure

Pokyny: Antimalwarový software Společnosti Microsoft je povolený na podkladovém hostiteli, který podporuje služby Azure (například Azure Cache for Redis), ale nespustí se v obsahu zákazníka.

Předem zkontrolujte veškerý obsah, který se nahrává do prostředků Azure, jako jsou App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL atd. Microsoft nemůže získat přístup k vašim datům v těchto instancích.

Odpovědnost: Zákazník

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelného automatizovaného zálohování

Pokyny: Povolení trvalosti Redis Trvalost Redis umožňuje uchovávat data uložená v Redisu. Můžete také pořizovat snímky a zálohovat data, která můžete načíst v případě selhání hardwaru. To je obrovská výhoda oproti úrovni Basic nebo Standard, kde jsou všechna data uložená v paměti a v případě selhání může dojít ke ztrátě dat v případě selhání, kdy jsou uzly mezipaměti nižší.

Můžete také použít Azure Cache for Redis Export. Export umožňuje exportovat data uložená v Azure Cache for Redis do souborů kompatibilních s RDB kompatibilním s Redis. Pomocí této funkce můžete přesouvat data z jedné Azure Cache for Redis instance do jiného nebo na jiný server Redis. Během procesu exportu se na virtuálním počítači, který je hostitelem instance serveru Azure Cache for Redis, vytvoří dočasný soubor a soubor se nahraje do určeného účtu úložiště. Po dokončení operace exportu se stavem úspěchu nebo selhání se dočasný soubor odstraní.

Odpovědnost: Zákazník

9.2: Provádění kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Povolení trvalosti Redis Trvalost Redis umožňuje uchovávat data uložená v Redisu. Můžete také pořizovat snímky a zálohovat data, která můžete načíst v případě selhání hardwaru. To je obrovská výhoda oproti úrovni Basic nebo Standard, kde jsou všechna data uložená v paměti a v případě selhání může dojít ke ztrátě dat v případě selhání, kdy jsou uzly mezipaměti nižší.

Můžete také použít Azure Cache for Redis Export. Export umožňuje exportovat data uložená v Azure Cache for Redis do souborů kompatibilních s RDB kompatibilním s Redis. Pomocí této funkce můžete přesouvat data z jedné Azure Cache for Redis instance do jiného nebo na jiný server Redis. Během procesu exportu se na virtuálním počítači, který je hostitelem instance serveru Azure Cache for Redis, vytvoří dočasný soubor a soubor se nahraje do určeného účtu úložiště. Po dokončení operace exportu se stavem úspěchu nebo selhání se dočasný soubor odstraní.

Pokud používáte Azure Key Vault k ukládání přihlašovacích údajů pro vaše instance Azure Cache for Redis, ujistěte se, že se pravidelně automatizují zálohy vašich klíčů.

Odpovědnost: Zákazník

9.3: Ověřte všechny zálohy včetně klíčů spravovaných zákazníkem.

Pokyny: Použití Azure Cache for Redis importu Import se dá použít k přenesení souborů RDB kompatibilních s Redis z libovolného serveru Redis spuštěného v libovolném cloudu nebo prostředí, včetně Redis běžícího v Linuxu, Windows nebo libovolného poskytovatele cloudu, jako jsou Amazon Web Services a další. Import dat je snadný způsob, jak vytvořit mezipaměť s předem vyplněnými daty. Během procesu importu Azure Cache for Redis načte soubory RDB z úložiště Azure do paměti a pak vloží klíče do mezipaměti.

Pravidelně testujte obnovení dat tajných kódů Azure Key Vault.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocení incidentu a stanovení priorit

Pokyny: Microsoft Defender pro cloud přiřazuje každé výstrahě závažnost, která vám pomůže určit prioritu výstrah, které by se měly nejprve prošetřit. Závažnost je založená na tom, jak je microsoft Defender pro cloud v hledání nebo analýze použité k vydání výstrahy, stejně jako na úrovni spolehlivosti, kterou za aktivitou, která vedla k upozornění, zlými úmysly.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení pro testování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti o kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude microsoft používat k tomu, aby vás kontaktoval, pokud microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněný nebo neoprávněný účastník. Zkontrolujte incidenty po faktu a ujistěte se, že se problémy vyřeší.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat výstrahy a doporučení ručně nebo nepřetržitě. K streamování výstrah do Služby Microsoft Sentinel můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace reakce na výstrahy zabezpečení

Pokyny: Použití funkce Automatizace pracovního postupu v Microsoft Defenderu pro Cloud k automatické aktivaci odpovědí prostřednictvím Logic Apps u výstrah zabezpečení a doporučení.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a červené týmové cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy nejsou porušením zásad Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Další kroky