Standardní hodnoty zabezpečení Azure pro Azure Cloud Services

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Microsoft Azure Cloud Services. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Cloud Services.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na Azure Cloud Services nebo za které jsou odpovědností Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Azure Cloud Services zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Cloud Services.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Vytvoření klasického Virtual Network Azure s samostatnými veřejnými a privátními podsítěmi pro vynucení izolace na základě důvěryhodných portů a rozsahů IP adres Tyto virtuální sítě a podsítě musí být klasické prostředky založené na Virtual Network (nasazení Classic) a ne aktuální prostředky azure Resource Manager.

Povolí nebo zakáže provoz pomocí skupiny zabezpečení sítě, která obsahuje pravidla řízení přístupu na základě směru provozu, protokolu, zdrojové adresy a portu a cílové adresy a portu. Pravidla skupiny zabezpečení sítě je možné kdykoli změnit a změny se použijí u všech přidružených instancí.

Microsoft Azure Cloud Services (Classic) nelze umístit do virtuálních sítí Azure Resource Manager. Virtuální sítě založené na Resource Manager a klasické virtuální sítě založené na nasazení je však možné propojit prostřednictvím partnerského vztahu.

Odpovědnost: Zákazník

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových adaptérů

Pokyny: Zdokumentujte konfiguraci azure Cloud Services a monitorujte změny. Pomocí konfiguračního souboru služby určete počet instancí rolí, které se mají nasadit pro každou roli ve službě, hodnoty všech nastavení konfigurace a kryptografické otisky pro všechny certifikáty přidružené k roli.

Pokud je služba součástí virtuální sítě, musí být informace o konfiguraci sítě poskytovány v konfiguračním souboru služby a také v konfiguračním souboru virtuální sítě. Výchozí příponou konfiguračního souboru služby je .cscfg. Všimněte si, že Azure Policy nepodporuje nasazení Classic pro vynucení konfigurace.

Nastavte hodnoty konfigurace cloudové služby v konfiguračním souboru služby (.cscfg) a definici v souboru definice služby (.csdef). Pomocí definičního souboru služby definujte model služby pro aplikaci. Definujte role, které jsou dostupné cloudové službě, a také zadejte koncové body služby. Protokolujte konfiguraci pro Azure Cloud Services pomocí konfiguračního souboru služby. Jakoukoli rekonfiguraci je možné provést prostřednictvím souboru ServiceConfig.cscfg.

Monitorujte volitelnou definici služby elementu NetworkTrafficRules, která omezuje, které role mohou komunikovat se zadanými interními koncovými body. Nakonfigurujte uzel NetworkTrafficRules, volitelný prvek v definičním souboru služby, abyste určili, jak mají role vzájemně komunikovat. Umístěte omezení, na které role mají přístup k interním koncovým bodům konkrétní role. Všimněte si, že definici služby nelze změnit.

Povolte protokoly toku skupiny zabezpečení sítě a odešlete protokoly do účtu služby Azure Storage pro účely auditování. Odešlete protokoly toku do pracovního prostoru služby Log Analytics a pomocí Služby Traffic Analytics získáte přehled o vzorech provozu ve vašem tenantovi Azure. Mezi výhody analýzy provozu patří možnost vizualizovat síťovou aktivitu, identifikovat aktivní místa a bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.3: Ochrana důležitých webových aplikací

Pokyny: Microsoft používá protokol TLS (Transport Layer Security) v1.2 k ochraně dat při přenosu mezi azure Cloud Services a zákazníky. Datacentra Microsoftu vyjednávají připojení TLS s klientskými systémy, které se připojují ke službám Azure. Tls poskytuje silné ověřování, ochranu osobních údajů a integritu zpráv (umožňující detekci manipulace se zprávami, zachycení a padělání), interoperabilitu, flexibilitu algoritmů a snadné nasazení a použití.

Odpovědnost: Zákazník

1.4: Odepřít komunikaci se známými škodlivými IP adresami

Pokyny: Azure Cloud implementuje vícevrstevné zabezpečení sítě, které chrání své služby platformy před distribuovanými útoky DDoS (Denial of Service). Azure DDoS Protection je součástí procesu průběžného monitorování cloudu Azure, který se průběžně vylepšuje prostřednictvím penetračního testování. Tato ochrana před útoky DDoS Protection je navržená tak, aby odolá nejen útokům zvenčí, ale i jiným tenantům Azure.

Existuje několik různých způsobů, jak blokovat nebo odepřít komunikaci kromě ochrany na úrovni platformy v rámci Azure Cloud Services. Jsou to:

  • Vytvoření spouštěcí úlohy pro selektivní blokování některých konkrétních IP adres
  • Omezení přístupu webové role Azure k sadě zadaných IP adres úpravou souboru služby IIS web.config

Zabrání příchozímu provozu na výchozí adresu URL nebo název vašeho Cloud Services, například .cloudapp.net. Nastavte hlavičku hostitele na vlastní název DNS v konfiguraci vazby lokality v souboru Cloud Services definice (.csdef).

Nakonfigurujte pravidlo Zakázat použití u přiřazení klasického správce předplatného. Ve výchozím nastavení může komunikace po definování interního koncového bodu přecházet z jakékoli role do interního koncového bodu role bez jakýchkoli omezení. Chcete-li omezit komunikaci, je nutné přidat NetworkTrafficRules element ServiceDefinition element v souboru definice služby.

Odpovědnost: Zákazník

1.5: Záznam síťových paketů

Pokyny: Použití služby Azure Network Watcher, monitorování výkonu sítě, diagnostiky a analytické služby, která umožňuje monitorování sítí Azure. Rozšíření virtuálního počítače agenta Network Watcher agenta je požadavkem na zachytávání síťového provozu na vyžádání a dalších pokročilých funkcí v Azure Virtual Machines. Nainstalujte rozšíření virtuálního počítače agenta Network Watcher a zapněte protokoly toku skupiny zabezpečení sítě.

Nakonfigurujte protokolování toku ve skupině zabezpečení sítě. Projděte si podrobnosti o tom, jak nasadit rozšíření Network Watcher virtuálních počítačů na existující virtuální počítač nasazený prostřednictvím modelu nasazení Classic.

Odpovědnost: Zákazník

1.6: Nasaďte systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím (IDS/IPS).

Pokyny: Azure Cloud Services nemá žádnou integrovanou funkci IDS nebo IPS. Zákazníci můžou na základě požadavků organizace vybrat a nasadit doplňkové řešení IDS nebo IPS založené na síti z Azure Marketplace. Při používání řešení třetích stran nezapomeňte důkladně otestovat vybrané řešení IDS nebo IPS s Azure Cloud Services, abyste zajistili správné fungování a funkčnost.

Odpovědnost: Zákazník

1.7: Správa provozu do webových aplikací

Pokyny: Certifikáty služeb, které jsou připojené k Azure Cloud Services, umožňují zabezpečenou komunikaci se službou a z této služby. Tyto certifikáty jsou definovány v definici služeb a automaticky se nasazují na virtuální počítač, na kterém běží instance webové role. Jako příklad webové role můžete použít certifikát služby, který může ověřit vystavený koncový bod HTTPS.

K aktualizaci certifikátu je nutné nahrát nový certifikát a změnit hodnotu kryptografického otisku v konfiguračním souboru služby.

K zajištění důvěrnosti a ochrany integrity použijte protokol TLS 1.2, který se nejčastěji používá k zabezpečení dat.

Obecně platí, že pokud chcete chránit webové aplikace a zabezpečit je před útoky, jako je OWASP Top 10, můžete nasadit Azure Application Gateway s podporou Azure Web Application Firewall pro ochranu webových aplikací.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení pro síťová zařízení

Pokyny: Posílení konfigurace azure Cloud Services a jeho monitorování změn Konfigurační soubor služby určuje počet instancí rolí, které se mají nasadit pro každou roli ve službě, hodnoty nastavení konfigurace a kryptografické otisky pro všechny certifikáty přidružené k roli.

Pokud je vaše služba součástí virtuální sítě, musí být informace o konfiguraci sítě poskytovány v konfiguračním souboru služby a také v konfiguračním souboru virtuální sítě. Výchozí příponou konfiguračního souboru služby je .cscfg.

Mějte na paměti, že Azure Policy azure Cloud Services nepodporuje vynucení konfigurace.

Odpovědnost: Zákazník

1.10: Zdokumentování pravidel konfigurace provozu

Pokyny: Skupiny zabezpečení sítě Azure je možné použít k filtrování síťového provozu do a z prostředků Azure v azure Virtual Network. Skupina zabezpečení sítě obsahuje pravidla zabezpečení, která povolují nebo zakazují příchozí síťový provoz do nebo odchozí síťový provoz z několika typů prostředků Azure. Pro každé pravidlo můžete určit zdroj a cíl, port a protokol.

Pomocí pole Popis pro jednotlivá pravidla skupiny zabezpečení sítě v rámci Azure Cloud Services zdokumentujte pravidla, která umožňují provoz do nebo ze sítě.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Použití integrovaného monitorování koncových bodů Azure Traffic Manageru a funkcí automatického převzetí služeb při selhání koncových bodů Pomáhají poskytovat aplikace s vysokou dostupností, které jsou odolné vůči selhání koncových bodů a oblastí Azure. Pokud chcete nakonfigurovat monitorování koncových bodů, musíte zadat určitá nastavení v profilu Traffic Manageru.

Shromážděte přehled z protokolu aktivit, protokolu platformy v Azure, do událostí na úrovni předplatného. Obsahuje takové informace, jako je změna prostředku nebo spuštění virtuálního počítače. Zobrazte protokol aktivit v Azure Portal nebo načtěte položky pomocí PowerShellu a rozhraní příkazového řádku.

Vytvořte nastavení diagnostiky pro odesílání protokolu aktivit do služby Azure Monitor, Azure Event Hubs předávat mimo Azure nebo do Služby Azure Storage pro archivaci. Nakonfigurujte Azure Monitor pro upozornění na oznámení, když se změní důležité prostředky v Azure Cloud Services.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.1: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft udržuje časové zdroje pro prostředky Azure pro azure Cloud Services. Zákazníci možná budou muset vytvořit síťové pravidlo, které umožní přístup k časovému serveru používanému ve svém prostředí přes port 123 s protokolem UDP.

Odpovědnost: Sdílené

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Využívání streamovaných dat cloudové služby prostřednictvím kódu programu s Azure Event Hubs Integrujte a odesílejte všechna tato data do Microsoft Sentinelu, abyste mohli monitorovat a kontrolovat vaše protokoly, nebo používat SIEM jiného výrobce. Pro správu protokolů centrálního zabezpečení nakonfigurujte průběžný export zvolených dat Microsoft Defenderu pro cloud, abyste Azure Event Hubs a nastavili odpovídající konektor pro siEM. Tady jsou některé možnosti pro Microsoft Sentinel, včetně nástrojů třetích stran:

  • Microsoft Sentinel – Použití nativního datového konektoru upozornění Microsoft Defenderu pro cloud
  • Splunk – Použití doplňku Azure Monitor pro Splunk
  • IBM QRadar – Použití ručně nakonfigurovaného zdroje protokolů
  • ArcSight – použití smartConnectoru

Další podrobnosti o dostupných konektorech s Microsoft Sentinelem najdete v dokumentaci k Microsoft Sentinelu.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Nakonfigurujte sadu Visual Studio tak, aby nastavil Azure Diagnostics pro řešení potíží s Azure Cloud Services, která zaznamenává data systému a protokolování na virtuálních počítačích, včetně instancí virtuálních počítačů se spuštěnou službou Azure Cloud Services. Diagnostická data se přenesou do účtu úložiště podle vašeho výběru. Před nasazením zapněte diagnostiku v projektech Azure Cloud Services.

Zobrazení historie změn u některých událostí v protokolu aktivit ve službě Azure Monitor Auditujte, k jakým změnám došlo během časového období události. V protokolu aktivit vyberte událost, která vám poskytne hlubší kontrolu pomocí karty Historie změn (Preview). Odešlete diagnostická data do Application Insights při publikování azure Cloud Services ze sady Visual Studio. Vytvořte prostředek Azure Application Insights v té době nebo odešlete data do existujícího prostředku Azure.

Azure Cloud Services je možné monitorovat službou Application Insights z hlediska dostupnosti, výkonu, selhání a využití. Vlastní grafy je možné přidat do Application Insights, abyste viděli data, která jsou nejdůležitější. Data instance role je možné shromažďovat pomocí sady Application Insights SDK ve vašem projektu Azure Cloud Services.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: Pokročilé monitorování můžete použít s Azure Cloud Services, které umožňuje vzorkování dalších metrik a shromažďování v intervalech 5 minut, 1 hodin a 12 hodin. Agregovaná data se ukládají v účtu úložiště, v tabulkách a po 10 dnech se vyprázdní. Použitý účet úložiště je ale nakonfigurovaný podle role a pro různé role můžete použít různé účty úložiště. To je nakonfigurováno s připojovacím řetězcem v souborech .csdef a .cscfg.

Upozorňujeme, že rozšířené monitorování zahrnuje použití rozšíření Azure Diagnostics (Sada Application Insights SDK je volitelná) u role, kterou chcete monitorovat. Rozšíření diagnostiky používá konfigurační soubor (na roli) s názvem diagnostics.wadcfgx ke konfiguraci monitorovaných diagnostických metrik. Rozšíření Azure Diagnostics shromažďuje a ukládá data do účtu Azure Storage. Tato nastavení jsou nakonfigurovaná v souborech .wadcfgx, .csdef a .cscfg.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Základní nebo pokročilé režimy monitorování jsou k dispozici pro Azure Cloud Services. Azure Cloud Services automaticky shromažďuje základní data monitorování (procento procesoru, in/out sítě a čtení a zápis disku) z hostitelského virtuálního počítače. Prohlédněte si shromážděná data monitorování na stránce přehledu a metrik cloudové služby v Azure Portal.

Povolte diagnostiku v Azure Cloud Services ke shromažďování diagnostických dat, jako jsou protokoly aplikací, čítače výkonu a další, a to při používání rozšíření Azure Diagnostics. Povolte nebo aktualizujte konfiguraci diagnostiky v cloudové službě, která už běží s rutinou Set-AzureServiceDiagnosticsExtension, nebo nasaďte cloudovou službu s rozšířením diagnostiky automaticky. Volitelně nainstalujte sadu Application Insights SDK. Odesílání čítačů výkonu do služby Azure Monitor

Rozšíření Azure Diagnostics shromažďuje a ukládá data do účtu Azure Storage. Přenos diagnostických dat do emulátoru Microsoft Azure Storage nebo do služby Azure Storage, protože nejsou trvale uložená. Jakmile je úložiště, můžete ho zobrazit jedním z několika dostupných nástrojů, jako je Průzkumník serveru v sadě Visual Studio, Průzkumník služby Microsoft Azure Storage, Azure Management Studio. Nakonfigurujte diagnostické metriky, které se mají monitorovat pomocí konfiguračního souboru (na roli) s názvem diagnostics.wadcfgx v rozšíření diagnostiky.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Data protokolů Azure Cloud Services můžete monitorovat integrací se službou Microsoft Sentinel nebo se systémem SIEM jiného výrobce, a to povolením upozorňování na neobvyklé aktivity.

Odpovědnost: Zákazník

2.8: Centralizované protokolování proti malwaru

Pokyny: Microsoft Antimalware pro Azure, chrání azure Cloud Services a virtuální počítače. Kromě toho máte možnost nasadit řešení zabezpečení třetích stran, jako jsou požáry webových aplikací, brány firewall sítě, antimalwarové systémy, detekce neoprávněných vniknutí a prevence (IDS nebo IPS) a další.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Microsoft doporučuje spravovat přístup k prostředkům Azure pomocí řízení přístupu na základě role (Azure RBAC). Azure Cloud Services ale nepodporuje model Azure RBAC, protože se nejedná o službu založenou na azure Resource Manager a musíte použít klasické předplatné.

Ve výchozím nastavení jsou správce účtu, správce služeb a Co-Administrator tři klasické role správce předplatného v Azure.

Klasičtí správci předplatného mají úplný přístup k předplatnému Azure. Mohou spravovat prostředky pomocí portálu Azure Portal, rozhraní API Azure Resource Manageru a rozhraní API modelu nasazení Classic. Účet, který slouží k registraci v Azure, je automaticky nastaven jako účet správce účtu a správce služeb. Další Co-Administrators je možné přidat později.

Správce služeb a spolusprávci mají stejný přístup jako uživatelé s přiřazenou rolí vlastníka (role Azure) v oboru předplatného. Správa Co-Administrators nebo zobrazení správce služby pomocí karty Klasické správce na Azure Portal

Výpis přiřazení rolí pro správce klasických služeb a spolusprávce pomocí PowerShellu pomocí příkazu:

Get-AzRoleAssignment -IncludeClassicAdministrators

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Doporučujeme vytvořit standardní provozní postupy týkající se používání vyhrazených účtů pro správu na základě dostupných rolí a oprávnění potřebných pro provoz a správu prostředků Azure Cloud Services.

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) s Azure Active Directory

Pokyny: Vyhněte se správě samostatných identit pro aplikace spuštěné v Azure Cloud Services. Implementujte jednotné přihlašování, abyste se vyhnuli tomu, že uživatelé budou muset spravovat více identit a přihlašovacích údajů.

Odpovědnost: Zákazník

3.6: Použití vyhrazených počítačů (pracovní stanice s privilegovaným přístupem) pro všechny úlohy správy

Pokyny: Pro úlohy správy, které vyžadují zvýšená oprávnění, doporučujeme použít zabezpečenou pracovní stanici spravovanou Azure (označovanou také jako pracovní stanice s privilegovaným přístupem).

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Údržba inventáře citlivých informací

Pokyny: Použití rozhraní REST API cloudové služby Azure k inventarizaci prostředků cloudové služby Azure pro citlivé informace Dotazujte nasazené prostředky cloudové služby, abyste získali konfiguraci a prostředky .pkg.

Jako příklad je uvedeno několik rozhraní API:

  • Získat nasazení – Operace Získání nasazení vrátí informace o konfiguraci, stav a vlastnosti systému pro nasazení.
  • Získat balíček – Operace Získání balíčku načte balíček cloudové služby pro nasazení a uloží soubory balíčků do služby Microsoft Azure Blob Storage.
  • Získání vlastností cloudové služby – Operace Získání vlastností cloudové služby načte vlastnosti pro zadanou cloudovou službu.

Projděte si dokumentaci k rozhraním REST API služby Azure Cloud Service a vytvořte proces ochrany citlivých informací na základě vašich organizačních požadavků.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Implementace izolace pomocí samostatných předplatných a skupin pro správu pro jednotlivé domény zabezpečení, jako je typ prostředí a úroveň citlivosti dat pro Azure Cloud Services.

Můžete také upravit "permissionLevel" v elementu certifikátu cloudové služby Azure a určit přístupová oprávnění udělená procesům role. Pokud chcete, aby k privátnímu klíči měli přístup jenom procesy se zvýšenými oprávněními, zadejte zvýšená oprávnění. oprávnění limitedOrElevated umožňuje všem procesům rolí přístup k privátnímu klíči. Možné hodnoty jsou omezenéOrElevated nebo zvýšená. Výchozí hodnota je limitedOrElevated.

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Doporučuje se použít řešení třetích stran z Azure Marketplace v hraničních sítích k monitorování neoprávněného přenosu citlivých informací a blokování takových přenosů při upozorňování odborníků na zabezpečení informací.

Odpovědnost: Sdílené

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Konfigurace protokolu TLS v2 pro Azure Cloud Services Pomocí Azure Portal přidejte certifikát do fázovaného nasazení Azure Cloud Services a přidejte informace o certifikátu do souborů CSDEF a CSCFG služeb. Znovu zabalte aplikaci a aktualizujte fázované nasazení tak, aby používalo nový balíček.

Pomocí certifikátů služeb v Azure, které jsou připojené k Azure Cloud Services, povolte zabezpečenou komunikaci se službou a z této služby. Zadejte certifikát, který může ověřit vystavený koncový bod HTTPS. Definujte certifikáty služeb v definici služby cloudové služby a automaticky je nasaďte na virtuální počítač, na kterém běží instance vaší role.

Ověřování pomocí rozhraní API pro správu pomocí certifikátů pro správu) Certifikáty pro správu umožňují ověřování pomocí modelu nasazení Classic. Mnoho programů a nástrojů (například Visual Studio nebo Azure SDK) používá tyto certifikáty k automatizaci konfigurace a nasazení různých služeb Azure.

Další referenční informace poskytuje rozhraní API modelu nasazení Classic programový přístup k funkcím modelu nasazení Classic, které jsou dostupné prostřednictvím Azure Portal. Sadu Azure SDK pro Python můžete použít ke správě účtů Azure Cloud Services a Azure Storage. Sada Azure SDK pro Python zabalí rozhraní API modelu nasazení Classic, rozhraní REST API. Všechny operace rozhraní API se provádějí přes protokol TLS a vzájemně se ověřují pomocí certifikátů X.509 v3. Ke službě pro správu se dostanete ze služby spuštěné v Azure. Je také přístupný přímo přes internet z libovolné aplikace, která může odeslat požadavek HTTPS a přijmout odpověď HTTPS.

Odpovědnost: Sdílené

4.5: Použití aktivního nástroje zjišťování k identifikaci citlivých dat

Pokyny: Doporučuje se použít nástroj pro aktivní zjišťování třetích stran k identifikaci všech citlivých informací uložených, zpracovaných nebo přenášených technologickými systémy organizace, včetně těch umístěných na místě nebo u vzdáleného poskytovatele služeb, a pak aktualizovat inventář citlivých informací organizace.

Odpovědnost: Sdílené

4.7: Použití ochrany před únikem informací na základě hostitele k vynucení řízení přístupu

Pokyny: Nevztahuje se na cloudovou službu (Classic). Nevynucuje ochranu před únikem informací.

Doporučuje se implementovat nástroj třetích stran, jako je například řešení ochrany před únikem informací založené na automatizovaném hostiteli, které vynucuje řízení přístupu k datům i v případě, že se data zkopírují ze systému.

Pro podkladovou platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníků za citlivý a je velmi dlouhý, aby se chránil před ztrátou a expozicí zákaznických dat. Aby byla zákaznická data v Azure zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

4.8: Šifrování citlivých informací v klidovém stavu

Pokyny: Azure Cloud Services nepodporuje šifrování neaktivních uložených uložených dat. Důvodem je to, že Azure Cloud Services je navržený tak, aby byl bezstavový. Azure Cloud Services podporuje externí úložiště, například Azure Storage, což je ve výchozím nastavení šifrované neaktivní uložená data.

Data aplikace uložená na dočasných discích nejsou šifrovaná. Zákazník zodpovídá za správu a šifrování těchto dat podle potřeby.

Odpovědnost: Zákazník

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Pokyny: Pomocí klasických upozornění na metriky ve službě Azure Monitor můžete dostávat oznámení o překročení prahové hodnoty některé z metrik použitých u kritických prostředků. Klasická upozornění na metriky jsou starší funkce, které umožňují upozorňování pouze na nedimenzionální metriky. Existuje stávající novější funkce označovaná jako upozornění na metriky, které mají vylepšené funkce oproti klasickým upozorněním na metriky.

Application Insights navíc může monitorovat aplikace Azure Cloud Services pro dostupnost, výkon, selhání a využití. Tato funkce využívá kombinovaná data ze sad APPLICATION Insights SDK s daty Azure Diagnostics z azure Cloud Services.

Odpovědnost: Zákazník

Správa ohrožení zabezpečení

Další informace najdete v srovnávacím testu zabezpečení Azure: Správa ohrožení zabezpečení.

5.2: Nasazení řešení pro správu automatických oprav operačního systému

Pokyny: Všimněte si, že tyto informace se týkají operačního systému Hosta Azure pro pracovní proces Azure Cloud Services a webové role s platformou jako službou (PaaS). Nevztahuje se však na Virtual Machines s infrastrukturou jako službou (IaaS).

Azure ve výchozím nastavení pravidelně aktualizuje hostovaný operační systém zákazníka na nejnovější podporovanou image v rámci řady operačních systémů, kterou zadali v konfiguraci služby (.cscfg), například na Windows Server 2016.

Když zákazník zvolí konkrétní verzi operačního systému pro nasazení Azure Cloud Services, zakáže automatické aktualizace operačního systému a provede opravy své odpovědnosti. Zákazník musí zajistit, aby jejich instance rolí dostávaly aktualizace nebo mohly svou aplikaci vystavit ohrožením zabezpečení.

Odpovědnost: Sdílené

5.3: Nasazení automatizovaného řešení pro správu oprav pro softwarové tituly třetích stran

Pokyny: Použití řešení pro správu oprav třetích stran Zákazníci, kteří už ve svém prostředí používají Configuration Manager, můžou také používat System Center Aktualizace Publisher, což jim umožňuje publikovat vlastní aktualizace do služby Windows Server Update Service.

Díky tomu může Update Management opravovat počítače, které používají Configuration Manager jako jejich úložiště aktualizací se softwarem třetích stran.

Odpovědnost: Zákazník

5.5: Použití procesu hodnocení rizik k určení priority nápravy zjištěných ohrožení zabezpečení

Pokyny: Doporučuje se zákazníkovi porozumět rozsahu rizika útoku DDoS průběžně.

Doporučujeme si promyslet tyto scénáře:

  • Jaké nové veřejně dostupné prostředky Azure potřebují ochranu?
  • Existuje v této službě jediný bod selhání?
  • Jak se dají služby izolovat, aby se omezil dopad útoku a zároveň zpřístupnit služby platným zákazníkům?
  • Existují virtuální sítě, ve kterých by měl být povolený DDoS Protection Standard, ale ne?
  • Jsou moje služby aktivní/aktivní s převzetím služeb při selhání napříč více oblastmi?

Dokumentací:

Odpovědnost: Zákazník

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventory and Asset Management.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Nevztahuje se na azure Cloud Services. Toto doporučení platí pro výpočetní prostředky IaaS.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: Doporučujeme pravidelně sladit inventář a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Odpovědnost: Zákazník

6.4: Definování a údržba inventáře schválených prostředků Azure

Pokyny: Zákazník by měl definovat schválené prostředky Azure a schválený software pro výpočetní prostředky.

Odpovědnost: Zákazník

6.5: Monitorování pro neschválené prostředky Azure

Pokyny: Použití funkce Adaptivní řízení aplikací, která je dostupná v programu Microsoft Defender for Cloud. Jedná se o inteligentní, automatizované řešení od Microsoft Defenderu pro cloud, které pomáhá řídit, které aplikace se můžou spouštět na počítačích s Windows a Linuxem, Azure a mimo Azure. Pomáhá také posílit zabezpečení počítačů proti malwaru.

Tato funkce je dostupná pro Počítače s Linuxem i Azure bez Azure (všechny verze, klasické verze nebo Azure Resource Manager).

Microsoft Defender for Cloud používá strojové učení k analýze aplikací spuštěných na vašich počítačích a vytvoří seznam povolených funkcí z této inteligence. Tato funkce výrazně zjednodušuje proces konfigurace a údržby zásad seznamu povolených aplikací, což vám umožní:

  • Zablokujte nebo upozorněte na pokusy o spuštění škodlivých aplikací, včetně těch, které by jinak mohly zmeškat antimalwarová řešení.

  • Dodržovat zásady zabezpečení vaší organizace, které vyžadují používání pouze licencovaného softwaru.

  • Zamezit používání nežádoucího softwaru ve vašem prostředí.

  • Zamezit spouštění starých a nepodporovaných aplikací.

  • Zabránit používání konkrétních softwarových nástrojů, které nejsou ve vaší organizaci povolené.

  • Umožnit IT oddělení řídit přístup k citlivým datům prostřednictvím používání aplikace.

Další podrobnosti najdete na odkazovaných odkazech.

Odpovědnost: Zákazník

6.6: Monitorování neschválené softwarové aplikace ve výpočetních prostředcích

Pokyny: Použití funkce Adaptivní řízení aplikací, která je dostupná v programu Microsoft Defender for Cloud. Jedná se o inteligentní, automatizované řešení od Microsoft Defenderu pro cloud, které pomáhá řídit, které aplikace se můžou spouštět na počítačích s Windows a Linuxem, Azure a mimo Azure. Pomáhá také posílit zabezpečení počítačů proti malwaru.

Tato funkce je dostupná pro Počítače s Linuxem i Azure bez Azure (všechny verze, klasické verze nebo Azure Resource Manager).

Microsoft Defender for Cloud používá strojové učení k analýze aplikací spuštěných na vašich počítačích a vytvoří seznam povolených funkcí z této inteligence. Tato funkce výrazně zjednodušuje proces konfigurace a údržby zásad seznamu povolených aplikací, což vám umožní:

  • Zablokujte nebo upozorněte na pokusy o spuštění škodlivých aplikací, včetně těch, které by jinak mohly zmeškat antimalwarová řešení.

  • Dodržovat zásady zabezpečení vaší organizace, které vyžadují používání pouze licencovaného softwaru.

  • Zamezit používání nežádoucího softwaru ve vašem prostředí.

  • Zamezit spouštění starých a nepodporovaných aplikací.

  • Zabránit používání konkrétních softwarových nástrojů, které nejsou ve vaší organizaci povolené.

  • Umožnit IT oddělení řídit přístup k citlivým datům prostřednictvím používání aplikace.

Další podrobnosti najdete na odkazovaných odkazech.

Odpovědnost: Zákazník

6.7: Odebrání neschválené prostředky Azure a softwarových aplikací

Pokyny: Použití funkce Adaptivní řízení aplikací, která je dostupná v programu Microsoft Defender for Cloud. Jedná se o inteligentní, automatizované řešení od Microsoft Defenderu pro cloud, které pomáhá řídit, které aplikace se můžou spouštět na počítačích s Windows a Linuxem, Azure a mimo Azure. Pomáhá také posílit zabezpečení počítačů proti malwaru.

Tato funkce je dostupná pro Počítače s Linuxem i Azure bez Azure (všechny verze, klasické verze nebo Azure Resource Manager).

Microsoft Defender for Cloud používá strojové učení k analýze aplikací spuštěných na vašich počítačích a vytvoří seznam povolených funkcí z této inteligence. Tato funkce výrazně zjednodušuje proces konfigurace a údržby zásad seznamu povolených aplikací, což vám umožní:

  • Zablokujte nebo upozorněte na pokusy o spuštění škodlivých aplikací, včetně těch, které by jinak mohly zmeškat antimalwarová řešení.

  • Dodržovat zásady zabezpečení vaší organizace, které vyžadují používání pouze licencovaného softwaru.

  • Zamezit používání nežádoucího softwaru ve vašem prostředí.

  • Zamezit spouštění starých a nepodporovaných aplikací.

  • Zabránit používání konkrétních softwarových nástrojů, které nejsou ve vaší organizaci povolené.

  • Umožnit IT oddělení řídit přístup k citlivým datům prostřednictvím používání aplikace.

Další podrobnosti najdete na odkazovaných odkazech.

Odpovědnost: Zákazník

6.8: Používejte pouze schválené aplikace.

Pokyny: Použití funkce Adaptivní řízení aplikací, která je dostupná v programu Microsoft Defender for Cloud. Jedná se o inteligentní, automatizované řešení od Microsoft Defenderu pro cloud, které pomáhá řídit, které aplikace se můžou spouštět na počítačích s Windows a Linuxem, Azure a mimo Azure. Pomáhá také posílit zabezpečení počítačů proti malwaru.

Tato funkce je dostupná pro Počítače s Linuxem i Azure bez Azure (všechny verze, klasické verze nebo Azure Resource Manager).

Microsoft Defender for Cloud používá strojové učení k analýze aplikací spuštěných na vašich počítačích a vytvoří seznam povolených funkcí z této inteligence. Tato funkce výrazně zjednodušuje proces konfigurace a údržby zásad seznamu povolených aplikací, což vám umožní:

  • Zablokujte nebo upozorněte na pokusy o spuštění škodlivých aplikací, včetně těch, které by jinak mohly zmeškat antimalwarová řešení.

  • Dodržovat zásady zabezpečení vaší organizace, které vyžadují používání pouze licencovaného softwaru.

  • Zamezit používání nežádoucího softwaru ve vašem prostředí.

  • Zamezit spouštění starých a nepodporovaných aplikací.

  • Zabránit používání konkrétních softwarových nástrojů, které nejsou ve vaší organizaci povolené.

  • Umožnit IT oddělení řídit přístup k citlivým datům prostřednictvím používání aplikace.

Další podrobnosti najdete na odkazovaných odkazech.

Odpovědnost: Zákazník

6.10: Údržba inventáře schválených softwarových titulů

Pokyny: Použití funkce Adaptivní řízení aplikací, která je dostupná v programu Microsoft Defender for Cloud. Jedná se o inteligentní, automatizované řešení od Microsoft Defenderu pro cloud, které pomáhá řídit, které aplikace se můžou spouštět na počítačích s Windows a Linuxem, Azure a mimo Azure. Pomáhá také posílit zabezpečení počítačů proti malwaru.

Tato funkce je dostupná pro Počítače s Linuxem i Azure bez Azure (všechny verze, klasické verze nebo Azure Resource Manager).

Microsoft Defender for Cloud používá strojové učení k analýze aplikací spuštěných na vašich počítačích a vytvoří seznam povolených funkcí z této inteligence. Tato funkce výrazně zjednodušuje proces konfigurace a údržby zásad seznamu povolených aplikací, což vám umožní:

  • Zablokujte nebo upozorněte na pokusy o spuštění škodlivých aplikací, včetně těch, které by jinak mohly zmeškat antimalwarová řešení.

  • Dodržovat zásady zabezpečení vaší organizace, které vyžadují používání pouze licencovaného softwaru.

  • Zamezit používání nežádoucího softwaru ve vašem prostředí.

  • Zamezit spouštění starých a nepodporovaných aplikací.

  • Zabránit používání konkrétních softwarových nástrojů, které nejsou ve vaší organizaci povolené.

  • Umožnit IT oddělení řídit přístup k citlivým datům prostřednictvím používání aplikace.

Další podrobnosti najdete na odkazovaných odkazech.

Odpovědnost: Zákazník

6.12: Omezení schopnosti uživatelů spouštět skripty ve výpočetních prostředcích

Pokyny: Použití funkce Adaptivní řízení aplikací, která je dostupná v programu Microsoft Defender for Cloud. Jedná se o inteligentní, automatizované řešení od Microsoft Defenderu pro cloud, které pomáhá řídit, které aplikace se můžou spouštět na počítačích s Windows a Linuxem, Azure a mimo Azure. Pomáhá také posílit zabezpečení počítačů proti malwaru.

Tato funkce je dostupná pro Počítače s Linuxem i Azure bez Azure (všechny verze, klasické verze nebo Azure Resource Manager).

Microsoft Defender for Cloud používá strojové učení k analýze aplikací spuštěných na vašich počítačích a vytvoří seznam povolených funkcí z této inteligence. Tato funkce výrazně zjednodušuje proces konfigurace a údržby zásad seznamu povolených aplikací, což vám umožní:

  • Zablokujte nebo upozorněte na pokusy o spuštění škodlivých aplikací, včetně těch, které by jinak mohly zmeškat antimalwarová řešení.

  • Dodržovat zásady zabezpečení vaší organizace, které vyžadují používání pouze licencovaného softwaru.

  • Zamezit používání nežádoucího softwaru ve vašem prostředí.

  • Zamezit spouštění starých a nepodporovaných aplikací.

  • Zabránit používání konkrétních softwarových nástrojů, které nejsou ve vaší organizaci povolené.

  • Umožnit IT oddělení řídit přístup k citlivým datům prostřednictvím používání aplikace.

Další podrobnosti najdete na odkazovaných odkazech.

Odpovědnost: Zákazník

6.13: Fyzicky nebo logicky oddělit vysoce rizikové aplikace

Pokyny: Pro citlivé nebo vysoce rizikové aplikace s Azure Cloud Services implementujte samostatná předplatná nebo skupiny pro správu za účelem zajištění izolace.

Použijte skupinu zabezpečení sítě, vytvořte příchozí pravidlo zabezpečení, zvolte službu, jako je http, zvolte také vlastní port, zadejte prioritu a název. Priorita má vliv na pořadí, ve kterém se pravidla použijí, tím nižší číselnou hodnotu, dříve se pravidlo použije. Skupinu zabezpečení sítě budete muset přidružit k podsíti nebo konkrétnímu síťovému rozhraní, abyste mohli izolovat nebo segmentovat síťový provoz na základě vašich obchodních potřeb.

Další podrobnosti najdete na odkazovaných odkazech.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Využijte doporučení z Programu Microsoft Defender pro cloud jako zabezpečený směrný plán konfigurace pro prostředky Azure Cloud Services.

Na Azure Portal zvolte Microsoft Defender for Cloud, pak výpočetní & aplikace a Azure Cloud Services a podívejte se na doporučení, která se vztahují k prostředkům služeb.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Nevztahuje se na azure Cloud Services. Je založená na modelu nasazení Classic. Doporučujeme použít řešení třetích stran k údržbě zabezpečených konfigurací prostředků Azure.

Odpovědnost: Zákazník

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Pokyny: Konfigurační soubor cloudové služby Azure ukládá provozní atributy prostředku. Kopii konfiguračních souborů můžete uložit do zabezpečeného účtu úložiště.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Nevztahuje se na azure Cloud Services. Vychází z modelu nasazení Classic a nejde ho spravovat pomocí konfiguračních nástrojů založených na nasazení azure Resource Manager.

Odpovědnost: Zákazník

7.8: Nasazení nástrojů pro správu konfigurace pro operační systémy

Pokyny: Nevztahuje se na azure Cloud Services. Toto doporučení platí pro výpočetní prostředky založené na infrastruktuře jako služby (IaaS).

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití Microsoft Defenderu pro cloud k provádění standardních kontrol prostředků Azure

Odpovědnost: Zákazník

7.10: Implementace automatizovaného monitorování konfigurace pro operační systémy

Pokyny: V Programu Microsoft Defender pro cloud zvolte funkci Compute & Apps a postupujte podle doporučení pro virtuální počítače, servery a kontejnery.

Odpovědnost: Zákazník

7.11: Zabezpečená správa tajných kódů Azure

Pokyny: Azure Cloud Services vychází z modelu nasazení Classic a neintegruje se s Azure Key Vault.

Tajné kódy, jako jsou přihlašovací údaje, které se používají v Azure Cloud Services, můžete zabezpečit, abyste nemuseli pokaždé zadávat heslo. Pokud chcete začít, zadejte heslo prostého textu, převeďte ho na zabezpečený řetězec pomocí příkazu ConvertTo-SecureString, PowerShell. Dále tento zabezpečený řetězec převeďte na šifrovaný standardní řetězec pomocí ConvertFrom-SecureString. Teď můžete tento šifrovaný standardní řetězec uložit do souboru pomocí set-Content.

Kromě toho doporučujeme uložit privátní klíče pro certifikáty používané v Azure Cloud Services do zabezpečeného úložiště.

Odpovědnost: Zákazník

7.13: Eliminace neúmyslné expozice přihlašovacích údajů

Pokyny: Zabezpečení tajných kódů, jako jsou přihlašovací údaje používané v Azure Cloud Services, abyste nemuseli pokaždé zadávat heslo.

Pokud chcete začít, zadejte heslo prostého textu, změňte ho na zabezpečený řetězec pomocí příkazu ConvertTo-SecureString, PowerShell. Dále tento zabezpečený řetězec převeďte na šifrovaný standardní řetězec pomocí ConvertFrom-SecureString. Teď tento šifrovaný standardní řetězec uložte do souboru pomocí příkazu Set-Content.

Uložte privátní klíče pro certifikáty používané v Azure Cloud Services do zabezpečeného umístění úložiště.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.1: Použití centrálně spravovaného antimalwarového softwaru

Pokyny: Microsoft Antimalware pro Azure je k dispozici pro azure Cloud Services a Virtual Machines. Je to bezplatná ochrana v reálném čase, která pomáhá identifikovat a odstranit viry, spyware a další škodlivý software. Generuje výstrahy, když se známý škodlivý nebo nežádoucí software pokusí nainstalovat nebo spustit v systémech Azure.

Pomocí rutiny Antimalware založené na PowerShellu získejte antimalwarovou konfiguraci s rutinou Get-AzureServiceAntimalwareConfig.

Povolte rozšíření Antimalware pomocí skriptu PowerShellu ve spouštěcí úloze v Azure Cloud Services.

Zvolte funkci adaptivního řízení aplikací v programu Microsoft Defender for Cloud, inteligentní, automatizované a komplexní řešení. Pomáhá posílit zabezpečení počítačů před malwarem a umožňuje blokovat nebo upozorňovat na pokusy o spouštění škodlivých aplikací, včetně těch, které by jinak antimalwarová řešení mohla zmeškat.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocování incidentu a stanovení priorit

Pokyny: Microsoft Defender for Cloud přiřadí každé výstraze závažnosti, která vám pomůže určit prioritu výstrah, které by se měly prošetřit jako první. Závažnost je založená na tom, jak je program Microsoft Defender for Cloud v hledání nebo analýze použité k vydání výstrahy, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo k škodlivému záměru.

Jasně označte předplatná (například produkční, neprodukční) a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení k otestování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude společnost Microsoft používat k tomu, aby vás kontaktovala, pokud Microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněná nebo neoprávněná strana. Zkontrolujte incidenty po faktu a ujistěte se, že jsou vyřešeny problémy.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat upozornění a doporučení buď ručně, nebo nepřetržitě. Ke streamování výstrah do Microsoft Sentinelu můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace odpovědi na výstrahy zabezpečení

Pokyny: Pomocí funkce Automatizace pracovního postupu v Microsoft Defenderu pro cloud můžete automaticky aktivovat odpovědi prostřednictvím Logic Apps pro výstrahy a doporučení zabezpečení.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a red team cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel zapojení microsoftu cloudových penetračních testů, abyste měli jistotu, že vaše penetrační testy nejsou porušením zásad Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Další kroky