Standardní hodnoty zabezpečení Azure pro Azure Backup

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure Backup. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Backup.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na Azure Backup, a ty, pro které se doporučuje globální pokyny, byly vyloučeny doslovně. Pokud chcete zjistit, jak Azure Backup zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Backup.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Azure Backup nepodporuje nasazení přímo do virtuální sítě. Zálohování nemůže používat síťové funkce, jako jsou skupiny zabezpečení sítě, směrovací tabulky nebo síťová zařízení, jako je Azure Firewall.

Pomocí služby Microsoft Sentinel zjistíte použití starších nezabezpečených protokolů, jako jsou:

• Protokol TLS (Transport Layer Security) v1

• Server Message Block (SMB) v1

• LAN Manager (LM) nebo New Technology LAN Manager (NTLM) v1

• wDigest

• Vazby protokolu LDAP (Lightweight Directory Access Protocol) bez znaménka

• Slabé šifry v Protokolu Kerberos

Všechny nabídky vynucují protokol TLS 1.2 a vyšší s výjimkou záloh agentů Microsoft Azure Recovery Services (MARS). Zálohování agenta MARS podporuje pouze protokol TLS 1.1 a starší až do 1. září 2021. Po tom budou zálohy agentů MARS také vynucovat protokol TLS 1.2 a vyšší.

Při zálohování SQL serverů a instancí SAP HANA na virtuálních počítačích Azure musíte povolit odchozí přístup k portu 443 pro přístup k určitým plně kvalifikovaným názvům domén nebo při použití značek služeb.

Privátní koncové body můžete použít pro trezory služby Recovery Services. K trezoru mají přístup jenom sítě, které obsahují privátní koncové body trezoru.

• Ujistěte se, že zálohy agenta MARS nepoužívají starší verze protokolu TLS.

• Navázání síťového připojení pro zálohování SQL

• Privátní koncové body pro zálohování

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Pokud chcete zálohovat místní servery, můžete k připojení k Azure použít ExpressRoute nebo virtuální privátní síť (VPN).

Použijte komunitu Azure Backup při používání partnerského vztahu Microsoftu pro ExpressRoute. Použití privátního partnerského vztahu při použití privátních koncových bodů pro zálohování Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a zůstává v páteřní síti Azure.

• Navázání připojení pro zálohy agenta MARS

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Trezor je prostředek Azure, ke který máte přístup prostřednictvím Azure Portal, Azure CLI, PowerShellu, sady SDK a REST. Zálohování také podporuje privátní koncové body pro trezory služby Recovery Services.

Použijte Azure Private Link pro privátní přístup k trezorům služby Recovery Services z vašich virtuálních sítí bez přechodu na internet. Privátní přístup přidává do ověřování a zabezpečení provozu Azure podrobnou míru ochrany.

Zálohování neposkytuje možnost konfigurace koncových bodů služby virtuální sítě.

• Vysvětlení Azure Private Link

• Privátní koncové body pro zálohování

Odpovědnost: Zákazník

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti pro prostředky služby Backup ve skupinách zabezpečení sítě (NSG) nebo Azure Firewall Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadejte název značky služby v příslušném zdrojovém nebo cílovém poli pravidla pro povolení nebo zamítnutí provozu. Microsoft spravuje předpony adres, které značka služby zahrnuje, a automaticky aktualizuje značku služby při změně adres.

U sítí, které hostují služby, které komunikují se službou Backup, povolte u skupin zabezpečení sítě odchozí značky služeb AzureBackup, AzureStorage a AzureActiveDirectory.

• Principy a používání značek služeb

• Značky služby NSG pro zálohování

• značky Azure Firewall pro zálohování

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Nepoužitelné. Zálohování nezpřístupňuje základní konfigurace DNS. Microsoft tato nastavení udržuje.

Odpovědnost: Microsoft

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Zálohování používá jako výchozí službu pro správu identit a přístupu Azure Active Directory (Azure AD). Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

• Prostředky Microsoft Cloud. Mezi zdroje patří:

  • Azure Portal

  • Azure Storage

  • Virtuální počítače Azure s Linuxem a Windows

  • Azure Key Vault

  • Platforma jako služba (u PaaS)

  • Aplikace SaaS (Software jako služba)

• prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou pro postupy zabezpečení cloudu vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže porovnat stav zabezpečení identity s doporučeními microsoftu k osvědčeným postupům. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlásit se k aplikacím a prostředkům.

Služba Backup používá řízení přístupu na základě role (RBAC) Azure k tomu, aby umožňovala jemně odstupňovaný přístup k prostředkům. Backup poskytuje tři předdefinované role: Přispěvatel zálohování, Operátor zálohování a Čtenář zálohování.

• Architektura tenantů v Azure Active Directory

• Jak vytvořit a nakonfigurovat instanci Azure AD

• Použití Azure RBAC pro zálohování

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Zálohování podporuje spravované identity pro prostředky Azure. Používejte spravované identity se službou Backup místo vytváření instančních objektů pro přístup k jiným prostředkům.

Zálohování se může nativně ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Zálohování používá předdefinované pravidlo udělení přístupu místo pevně zakódovaných přihlašovacích údajů ve zdrojovém kódu nebo konfiguračních souborech.

Backup používá spravované identity k provádění operací zálohování a obnovení chráněných zdrojů dat v trezorech služby Backup. Služba Backup také používá spravované identity ke správě funkcí zabezpečení, jako je šifrování pomocí klíčů spravovaných zákazníkem a privátních koncových bodů pro trezory služby Recovery Services.

• Povolení spravované identity pro váš trezor

• Identity spravované v Azure

• Privátní koncové body pro zálohování

• Šifrování zálohovaných dat pomocí klíčů spravovaných zákazníkem

• Přehled trezoru služby Backup

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Připojte všechny uživatele, aplikace a zařízení k Azure AD. Azure AD nabízí bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Služba Backup používá Azure AD k zajištění správy identit a přístupu pro prostředky Azure. Identity, které můžou používat Azure AD k ověření ve službě Backup, zahrnují podnikové identity, jako jsou zaměstnanci, a externí identity, jako jsou partneři, dodavatelé a dodavatelé. Azure AD poskytuje jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k místním a cloudovým datům a prostředkům vaší organizace.

• Principy jednotného přihlašování k aplikacím pomocí Azure AD

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Doprovodné materiály: Ke zjišťování přihlašovacích údajů v šablonách Azure Resource Manager (ARM) služby Azure DevOps použijte nástroj Azure DevOps Credential Scanner. Skener přihlašovacích údajů podporuje přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub můžete použít nativní funkci kontroly tajných kódů k identifikaci přihlašovacích údajů nebo jiných tajných kódů v kódu.

• Nastavení skeneru přihlašovacích údajů

• Skenování tajných kódů GitHubu

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Nejdůležitější předdefinované role Azure AD jsou globální správce a správce privilegovaných rolí. Uživatelé s těmito dvěma rolemi můžou delegovat role správce.

• Globální správce nebo správce společnosti má přístup ke všem funkcím a službám pro správu Azure AD, které používají Azure AD identit.

• Správce privilegovaných rolí může spravovat přiřazení rolí v Azure AD a Azure AD Privileged Identity Management (PIM). Tato role může spravovat všechny aspekty PIM a jednotek pro správu.

Omezte počet vysoce privilegovaných účtů nebo rolí a chraňte tyto účty na vyšší úrovni. Vysoce privilegovaní uživatelé můžou přímo nebo nepřímo číst a upravovat všechny vaše prostředky Azure.

Privilegovaný přístup k prostředkům Azure můžete povolit za běhu (JIT) a Azure AD pomocí Azure AD PIM. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat výstrahy zabezpečení pro podezřelou nebo nebezpečnou aktivitu ve vaší organizaci Azure AD.

Role RBAC přispěvatele zálohování má všechna oprávnění k vytváření a správě záloh, s výjimkou odstranění trezoru služby Recovery Services a udělení přístupu ostatním. Tato role je správcem správy zálohování, který může provádět každou operaci správy zálohování. Zkontrolujte identity, které jsou této roli přiřazené pravidelně, a nakonfigurujte je pomocí Azure AD PIM.

Poznámka: Pokud přiřadíte určitá privilegovaná oprávnění k vlastním rolím, budete možná muset řídit další důležité role. Můžete chtít použít podobné ovládací prvky pro účty správců důležitých obchodních prostředků.

• Oprávnění role správce v Azure AD

• Používání upozornění zabezpečení služby Azure Privileged Identity Management

• Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD

• RBAC pro Azure Backup

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Zálohování používá Azure AD účty a Azure RBAC k udělení oprávnění k prostředkům. Pravidelně kontrolujte uživatelské účty a přiřazování přístupu, abyste měli jistotu, že jsou účty a jejich přístup platné. Kontrolu přístupu můžete použít Azure AD ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také vytvořit pracovní postupy sestav kontroly přístupu v Azure AD Privileged Identity Management (PIM), abyste usnadnili proces kontroly.

Můžete také nakonfigurovat Azure AD PIM tak, aby vás upozorňovala, když existuje příliš mnoho účtů správce. PIM může také identifikovat účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Zálohování podporuje Azure RBAC pro jemně odstupňovanou správu přístupu pro trezory. Azure Backup poskytuje tři předdefinované role RBAC pro řízení operací správy zálohování:

• Přispěvatel zálohování – Tato role má všechna oprávnění k vytváření a správě záloh, s výjimkou odstranění trezorů služby Recovery Services a udělení přístupu ostatním. Tato role je správcem správy zálohování, který může provádět každou operaci správy zálohování.

• Operátor zálohování – Tato role má oprávnění ke všemu, co přispěvatel zálohování dělá, s výjimkou odebrání záloh a správy zásad zálohování. Tato role je stejná jako přispěvatel služby Backup, kromě toho, že nemůže provádět destruktivní operace, jako je zastavení zálohování s odstraněním dat nebo odebrání registrace místních prostředků.

• Čtenář zálohování – Tato role má oprávnění k zobrazení všech operací správy zálohování. Tato role je určená pro monitorování.

• Vytvoření kontroly přístupu rolí prostředků Azure v Privileged Identity Management (PIM)

• Používání kontrol přístupu a identit Azure AD

• Azure RBAC pro zálohování

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené izolované pracovní stanice jsou důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a kritický operátor služby. Pro úlohy správy prostředků služby Backup používejte vysoce zabezpečené uživatelské pracovní stanice a Službu Azure Bastion.

K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure AD, Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender nebo Microsoft Intune. Zabezpečené pracovní stanice můžete centrálně spravovat a vynucovat tak konfiguraci zabezpečení, která zahrnuje:

• Silné ověřování

• Standardní hodnoty softwaru a hardwaru

• Omezený logický přístup a přístup k síti

• Nasazení pracovních stanic s privilegovaným přístupem

• Nasazení pracovní stanice s privilegovaným přístupem

Odpovědnost: Zákazník

PA-7: Dodržujte zásadu nejnižších oprávnění pouze dostatečné správy.

Pokyny: Zálohování se integruje s Azure RBAC ke správě svých prostředků. Pomocí RBAC spravujete přístup k prostředkům Azure prostřednictvím přiřazení rolí. Role můžete přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám. Některé prostředky mají předem definované předdefinované předdefinované role. Tyto role můžete inventarizace nebo dotazování na tyto role prostřednictvím nástrojů, jako jsou Azure CLI, Azure PowerShell nebo Azure Portal.

Vždy omezte oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, na to, co role vyžadují. Tento postup doplňuje přístup podle potřeby (JIT) Azure AD PIM. Pravidelně kontrolujte role a přiřazení.

Zálohování se integruje s Azure RBAC a umožňuje používat integrované a vlastní role ke správě přístupu k prostředkům. Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte pouze vlastní role.

Azure Backup poskytuje tři předdefinované role pro řízení operací správy zálohování:

• Přispěvatel zálohování – Tato role má všechna oprávnění k vytváření a správě záloh, s výjimkou odstranění trezorů služby Recovery Services a udělení přístupu ostatním. Tato role je správcem správy zálohování, který může provádět každou operaci správy zálohování.

• Operátor zálohování – Tato role má oprávnění ke všemu, co přispěvatel zálohování dělá, s výjimkou odebrání záloh a správy zásad zálohování. Tato role je stejná jako přispěvatel služby Backup, kromě toho, že nemůže provádět destruktivní operace, jako je zastavení zálohování s odstraněním dat nebo odebrání registrace místních prostředků.

• Čtenář zálohování – Tato role má oprávnění k zobrazení všech operací správy zálohování. Tato role je určená pro monitorování.

Další informace najdete v následujících referenčních materiálech:

• Co je řízení přístupu na základě role v Azure (Azure RBAC)

• Konfigurace řízení přístupu na základě role Azure

• Používání kontrol přístupu a identit Azure AD

• Role Azure RBAC pro zálohování

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Zálohování nepodporuje Customer Lockbox. Microsoft spolupracuje se zákazníky prostřednictvím jiných metod pro schvalování přístupu k zákaznickým datům.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Azure Backup nemá schopnosti klasifikovat zálohovaná data. Svá data můžete uspořádat sami pomocí různých trezorů a připojit značky k těmto trezorům podle jejich obsahu.

• Používání značek k uspořádání prostředků Azure

Odpovědnost: Zákazník

DP-2: Ochrana citlivých dat

Pokyny: Pokud chcete chránit citlivá data, omezte přístup k prostředkům služby Backup pomocí:

• Azure RBAC

• Řízení přístupu na základě sítě

• Konkrétní ovládací prvky, jako je šifrování ve službách Azure

Při zálohování virtuálních počítačů Azure IaaS poskytuje Azure Backup nezávislé a izolované zálohy, které chrání před náhodným zničením původních dat. Zálohy se ukládají v trezoru služby Recovery Services s integrovanou správou bodů obnovení.

Pro konzistenci zarovnejte všechny typy řízení přístupu se strategií segmentace podniku. Informujte strategii segmentace vašeho podniku podle umístění citlivých nebo důležitých obchodních dat a systémů.

Microsoft považuje veškerý obsah zákazníků na základní platformě spravované Microsoftem za citlivý. Microsoft chrání před ztrátou a expozicí zákaznických dat. Microsoft má výchozí ovládací prvky a možnosti ochrany dat, které zajišťují, aby zákaznická data Azure zůstala zabezpečená.

• RBAC pro Azure Backup

Odpovědnost: Zákazník

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Zálohování podporuje přenos zákaznických dat, ale nativně nepodporuje monitorování neoprávněného přenosu citlivých dat. Můžete ale napsat pravidla upozornění týkající se aktivit a protokolů prostředků pro všechny operace obnovení, které probíhají z trezoru.

• Monitorování a upozorňování v Azure Backup

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Zálohování provozu ze serverů do trezoru služby Recovery Services prostřednictvím zabezpečeného odkazu HTTPS Data se šifrují pomocí AES (Advanced Encryption Standard) 256 při uložení v trezoru.

Zálohování podporuje šifrování dat při přenosu s protokolem TLS verze 1.2 nebo novějším. Tento požadavek je volitelný pro provoz v privátních sítích, ale kritický pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že všechny klienty, kteří se připojují k prostředkům Azure, můžou používat protokol TLS verze 1.2 nebo vyšší.

Zakažte slabé šifry a zastaralé protokoly SSL, TLS a SSH.

Azure ve výchozím nastavení šifruje přenášená data mezi datovými centry Azure.

• Principy šifrování neaktivních uložených dat v Azure Backup

• Vysvětlení šifrování při přenosu s Využitím Azure

• Informace o zabezpečení TLS

Odpovědnost: Zákazník

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Zálohování podporuje šifrování neaktivních uložených dat. Pro místní zálohování šifrování neaktivních uložených uložených dat používá přístupové heslo, které zadáte při zálohování do Azure. U cloudových úloh se neaktivní uložená data ve výchozím nastavení šifrují pomocí šifrování služby Storage (SSE) a klíčů spravovaných Microsoftem. Zálohování také poskytuje možnosti klíčů spravovaných zákazníkem, aby splňovaly zákonné požadavky.

Při zálohování pomocí agenta MARS nebo použití trezoru služby Recovery Services šifrovaného pomocí klíče spravovaného zákazníkem má k šifrovacímu klíči přístup jenom zákazník. Microsoft neudržuje kopii ani nemá přístup ke klíči. Pokud je klíč nesprávně umístěný, Microsoft nemůže obnovit zálohovaná data.

• Šifrování ve službě Azure Backup

• Šifrování zálohovaných dat s využitím klíčů spravovaných zákazníkem

• Principy šifrování neaktivních uložených dat v Azure

• Konfigurace šifrovacích klíčů spravovaných zákazníkem

Odpovědnost: Sdílené

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Ujistěte se, že bezpečnostní tým má přehled o rizicích pro prostředky

Pokyny: Ujistěte se, že v tenantovi a předplatných Azure udělují oprávnění čtenáře a čtenáře zabezpečení týmů zabezpečení, aby mohli zkontrolovat konfigurace a data služby Backup pro bezpečnostní rizika.

Monitorování bezpečnostních rizik může být zodpovědností centrálního týmu zabezpečení nebo místního týmu v závislosti na způsobu strukturování odpovědností. Vždy agregujte přehledy zabezpečení a rizika centrálně v rámci organizace.

• Řízení přístupu na základě role v Azure Backup

• Přehled role Čtenář zabezpečení

• Přehled skupin pro správu Azure

Odpovědnost: Zákazník

AM-2: Ujistěte se, že má bezpečnostní tým přístup k inventáři prostředků a metadatům.

Pokyny: Ujistěte se, že bezpečnostní týmy mají přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure, jako je Backup. Bezpečnostní týmy často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům a jako vstup do průběžných vylepšení zabezpečení. Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace. a přiřaďte mu přístup pro čtení ke všem prostředkům služby Backup. Proces můžete zjednodušit pomocí jediného přiřazení role vysoké úrovně ve vašem předplatném.

Pomocí značek u prostředků Azure, skupin prostředků a předplatných je logicky uspořádejte do taxonomie. Každá značka se skládá z dvojice názvů a hodnot. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

• Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu

• Další informace o označování prostředků najdete v průvodci rozhodováním o pojmenování a označování prostředků.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Zálohování podporuje monitorování a vynucování konfigurací pomocí Azure Policy. Přiřaďte Azure Policy předdefinované definice k auditování a omezení služeb, které můžou uživatelé ve vašem prostředí zřizovat. K dotazování a zjišťování prostředků v rámci předplatných použijte Azure Resource Graph. Azure Monitor můžete použít také k vytvoření pravidel, která aktivují výstrahy při zjištění neschválené služby.

• Jak nakonfigurovat a spravovat Azure Policy

• Jak zakázat konkrétní typ prostředku pomocí Azure Policy

• Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu

• Azure Policy předdefinované definice pro zálohování

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Použití integrované funkce detekce hrozeb v programu Microsoft Defender pro cloud Povolte Microsoft Defender pro prostředky DDoS Protection Úrovně Standard. Microsoft Defender poskytuje další vrstvu inteligentních funkcí zabezpečení. Microsoft Defender detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům DDoS Protection nebo jejich zneužití.

Azure Backup generuje protokoly aktivit a prostředků, které můžete použít k auditování akcí proti prostředkům služby Backup a detekci hrozeb. Předávat protokoly zálohování do systému pro správu bezpečnostních informací a událostí (SIEM). K nastavení vlastních detekcí hrozeb můžete použít SIEM.

Nezapomeňte monitorovat různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžete zdrojovat z dat protokolu, agentů nebo jiných dat.

• Monitorování úloh Azure Backup

• Vytváření vlastních analytických pravidel pro detekci hrozeb

• Analýza kybernetických hrozeb pomocí Microsoft Sentinelu

• Protokoly aktivit pro monitorování a audit hrozeb a aktivit

• Diagnostické protokoly pro monitorování a detekci hrozeb

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit jsou k dispozici automaticky. Protokoly obsahují všechny operace PUT, POST a DELETE, ale ne GET, pro prostředky služby Backup. Protokoly aktivit můžete použít k vyhledání chyb při řešení potíží nebo k monitorování způsobu, jakým uživatelé upravili prostředky.

Povolte protokoly prostředků Azure pro zálohování. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a forenzní cvičení.

• Datový model Log Analytics pro data Azure Backup

• Shromažďování protokolů platformy a metrik pomocí služby Azure Monitor

• Vysvětlení protokolování a různých typů protokolů v Azure

Odpovědnost: Sdílené

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované ukládání a analýza protokolování za účelem zajištění korelace dat protokolů zálohování Pro každý zdroj protokolů nezapomeňte zaznamenat:

• Vlastník přiřazených dat
• Pokyny k přístupu
• Umístění úložiště
• Nástroje, které zpracovávají a přistupuje k datům
• Požadavky na uchovávání dat

Nezapomeňte integrovat protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení V Azure Monitoru můžete pomocí pracovních prostorů Log Analytics dotazovat a provádět analýzy. Používejte účty Azure Storage pro dlouhodobé a archivní úložiště.

Povolte a připojte data do Microsoft Sentinelu nebo do siem jiného výrobce. Microsoft Sentinel můžete použít pro "horká" data, která často používáte, a Azure Storage pro "studená" data, která používáte méně často.

• Použití nastavení diagnostiky pro trezory služby Recovery Services

• Datový model Log Analytics pro data Azure Backup

• Shromažďování protokolů platformy a metrik pomocí služby Azure Monitor

• Jak připojit Microsoft Sentinel

Odpovědnost: Sdílené

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Použití účtů pracovního prostoru Azure Storage nebo Log Analytics pro dlouhodobé a archivní úložiště U účtů úložiště nebo pracovních prostorů Log Analytics, které ukládají protokoly zálohování, nastavte dobu uchovávání protokolů, která splňuje předpisy vaší organizace týkající se dodržování předpisů.

• Použití nastavení diagnostiky pro trezory služby Recovery Services

• Diagnostické protokoly Microsoft Purview do účtu Azure Storage

• Konfigurace doby uchovávání pracovních prostorů Služby Log Analytics

• Ukládání protokolů prostředků do účtu Azure Storage

Odpovědnost: Sdílené

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Zálohování nepodporuje konfiguraci vlastních zdrojů synchronizace času. Zálohování spoléhá na zdroje synchronizace času Microsoftu, které nejsou vystavené zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Monitorování a vynucení zabezpečených konfigurací trezoru služby Recovery Services přiřazením předdefinovaných a vlastních definic Azure Policy Pokud předdefinované zásady nevyhovují vašim požadavkům, pomocí aliasů Azure Policy v oboru názvů Microsoft.RecoveryServices vytvořte vlastní zásady.

• Práce se zásadami zabezpečení v Microsoft Defenderu pro cloud

• Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů

• Integrované zásady Azure pro zálohování

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Použití Azure Policy k monitorování a vynucování konfigurací zálohování, například:

• Nastavení trezorů

• Šifrování s využitím klíčů spravovaných zákazníky

• Použití privátních koncových bodů pro trezory

• Nasazení nastavení diagnostiky

Pomocí Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč prostředky Azure Backup.

• Vysvětlení účinků zásad Azure Policy

• Vytváření a správa zásad pro vynucování dodržování předpisů

• Předdefinované definice Azure Policy pro zálohování

Odpovědnost: Zákazník

PV-6: Proveďte posouzení ohrožení zabezpečení softwaru

Pokyny: Zálohování nenasazuje výpočetní prostředky, které podporují nástroje pro posouzení ohrožení zabezpečení. Microsoft zpracovává ohrožení zabezpečení a posouzení pro podkladovou platformu, která podporuje zálohování.

Odpovědnost: Microsoft

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Zálohování nenasazuje výpočetní prostředky, které podporují nástroje pro posouzení ohrožení zabezpečení. Microsoft zpracovává ohrožení zabezpečení a posouzení pro podkladovou platformu, která podporuje zálohování.

Odpovědnost: Microsoft

PV-8: Provádění pravidelné simulace útoku

Pokyny: Provedení testování průniku nebo červených týmových aktivit na prostředcích Azure podle potřeby a zajištění nápravy všech důležitých zjištění zabezpečení.

Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy porušují zásady Microsoftu. Použijte strategii a provádění red teaming od Microsoftu. Proveďte živé testování průniku webů s využitím cloudové infrastruktury, služeb a aplikací spravovaných Microsoftem.

• Testování průniku v Azure

• Pravidla zapojení testování průniku

• Červený tým cloudových služeb Microsoftu

Odpovědnost: Zákazník

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-2: Šifrování zálohovaných dat

Pokyny: Zálohování podporuje šifrování neaktivních zálohovaných dat, která spravuje. Cloudové úlohy ve výchozím nastavení šifrují neaktivní uložená data pomocí šifrování služby Storage (SSE) a klíčů spravovaných Microsoftem. Azure Backup poskytuje možnosti klíčů spravovaných zákazníkem, aby splňovaly zákonné požadavky.

• Šifrování ve službě Azure Backup

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.RecoveryServices:

Název (Azure Portal)	Description	Efekty	Verze (GitHub)
Azure Backup by měly být povolené pro Virtual Machines	Zajistěte ochranu Virtual Machines Azure povolením Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure.	AuditIfNotExists, zakázáno	2.0.0

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte zavedená opatření, která brání ztrátě šifrovacích klíčů služby Backup a jejich obnovení. Pokud chcete chránit klíče před náhodným nebo škodlivým odstraněním, povolte v Azure Key Vault ochranu proti obnovitelnému odstranění a vymazání.

• Jak povolit obnovitelné odstranění a ochranu před vymazáním v Key Vaultu

Odpovědnost: Sdílené

Další kroky

• Další informace najdete v článku Přehled Azure Security Benchmark v2.
• Další informace o základních úrovních zabezpečení Azure