Standardní hodnoty zabezpečení Azure pro Cloud Shell

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Cloud Shell. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Cloud Shell.

Pokud má funkce relevantní definice Azure Policy, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky se nevztahují na Cloud Shell a ty, pro které se doporučuje doslovné doslovné pokyny, byly vyloučeny. Pokud chcete zjistit, jak se Cloud Shell úplně mapují na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Cloud Shell.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování Cloud Shell prostředků vytvořte nebo použijte existující virtuální síť. Zajistěte, aby všechny virtuální sítě Azure dodržovaly princip segmentace podniku, který odpovídá obchodním rizikům. Izolujte jakýkoli systém, který by mohl mít pro organizaci vyšší riziko v rámci své vlastní virtuální sítě. Zabezpečte virtuální síť dostatečně pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Pomocí programu Microsoft Defender for Cloud adaptivní posílení zabezpečení sítě doporučte konfigurace NSG, které omezují porty a zdrojové IP adresy na základě externího síťového provozu.

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Ochrana Cloud Shell prostředků před útoky z externích sítí Externí útoky můžou zahrnovat útoky typu DDoS (Distributed Denial of Service), útoky specifické pro aplikace a nevyžádané a potenciálně škodlivé internetové přenosy.

Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění.

Chraňte své prostředky před útoky DDoS tím, že ve virtuálních sítích Azure povolíte službu DDoS Protection Standard. Pomocí programu Microsoft Defender for Cloud můžete zjistit rizika chybné konfigurace prostředků souvisejících se sítí.

Cloud Shell ve virtuální síti Azure je volitelné prostředí a ve výchozím nastavení není nastavené. Další informace najdete v dokumentaci k Cloud Shell.

Cloud Shell nespouští webové aplikace. Nemusíte konfigurovat žádná nastavení ani nasazovat žádné síťové služby pro ochranu před útoky na externí síť, které cílí na webové aplikace.

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Cloud Shell používá azure Active Directory (Azure AD) jako výchozí službu správy identit a přístupu. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Prostředky Microsoft Cloud. Mezi zdroje patří:

    • Azure Portal

    • Azure Storage

    • Virtuální počítače Azure s Linuxem a Windows

    • Azure Key Vault

    • Platforma jako služba (u PaaS)

    • Aplikace SaaS (Software jako služba)

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou pro postupy zabezpečení cloudu vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže porovnat stav zabezpečení identity s doporučeními microsoftu k osvědčeným postupům. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity, které uživatelům bez účtů Microsoft umožňují přihlásit se ke svým aplikacím a prostředkům.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Cloud Shell zákazníkům umožňuje spouštět kód, nasazovat konfigurace nebo uchovávat data, která mohou obsahovat identity nebo tajné kódy. Pomocí skeneru přihlašovacích údajů identifikujte tyto přihlašovací údaje. Skener přihlašovacích údajů podporuje přesun zjištěných přihlašovacích údajů do zabezpečených umístění, jako je Azure Key Vault.

Pro GitHub můžete pomocí nativní funkce kontroly tajných kódů identifikovat přihlašovací údaje nebo jiné tajné kódy v kódu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a kritický operátor služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice a Azure Bastion.

Použijte Azure AD, rozšířenou ochranu před internetovými útoky v programu Microsoft Defender (ATP) nebo Microsoft Intune k nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy. Zabezpečené pracovní stanice můžete centrálně spravovat, abyste vynutili konfiguraci zabezpečení, která zahrnuje:

  • Silné ověřování

  • Standardní hodnoty softwaru a hardwaru

  • Omezený logický přístup a přístup k síti

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Nepoužitelné. Cloud Shell podporuje přenos zákaznických dat, ale nativně nepodporuje monitorování neoprávněného přenosu citlivých dat.

Odpovědnost: Zákazník

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Ujistěte se, že bezpečnostní tým má přehled o rizicích prostředků

Pokyny: Ujistěte se, že v tenantovi a předplatných Azure udělíte oprávnění čtenáři zabezpečení týmů zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního týmu zabezpečení nebo místního týmu v závislosti na tom, jak strukturujete odpovědnost. Vždy agregujte přehledy zabezpečení a rizika centrálně v rámci organizace.

Oprávnění čtenáře zabezpečení můžete použít obecně pro celou kořenovou skupinu pro správu tenanta nebo oprávnění oboru pro konkrétní skupiny pro správu nebo předplatná.

Poznámka: Viditelnost úloh a služeb může vyžadovat více oprávnění.

Odpovědnost: Zákazník

AM-2: Ujistěte se, že má bezpečnostní tým přístup k inventáři prostředků a metadatům.

Pokyny: Značky metadat logicky uspořádají prostředky v taxonomii. Cloud Shell nepoužívá značky ani neumožňuje zákazníkům používat nebo používat značky.

Cloud Shell nepodporuje nasazení prostředků založených na Azure Resource Manager ani zjišťování pomocí azure Resource Graph.

Adaptivní řízení aplikací v programu Microsoft Defender pro cloud můžete použít k určení typů souborů, na které se pravidlo vztahuje.

Odpovědnost: Zákazník

AM-6: Použití pouze schválených aplikací ve výpočetních prostředcích

Pokyny: Použití inventáře virtuálních počítačů Azure k automatizaci shromažďování informací o softwaru na virtuálních počítačích Z Azure Portal můžete získat název softwaru, verzi, vydavatele a čas aktualizace. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a naimportujte protokoly událostí Systému Windows do pracovního prostoru Služby Log Analytics.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: I když můžete nasadit prostředky Cloud Shell do virtuální sítě, nemůžete vynucovat síťový provoz nebo předávat provoz přes skupinu zabezpečení sítě. Abyste mohli správně fungovat Cloud Shell, musíte v podsíti zakázat zásady sítě. Z tohoto důvodu nemůžete nakonfigurovat protokolování toku skupiny zabezpečení sítě pro Cloud Shell.

Cloud Shell nevygeneruje ani nezpracovává protokoly dotazů DNS (Domain Name Service).

Odpovědnost: Zákazník

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Cloud Shell může použít řešení třetích stran k posouzení ohrožení zabezpečení na síťových zařízeních a webových aplikacích. Při provádění vzdálených kontrol nepoužívejte jeden trvalý účet pro správu. Zvažte implementaci metodologie zřizování podle potřeby (JIT) pro účet kontroly. Chraňte a monitorujte přihlašovací údaje pro účet kontroly a používejte je jenom pro kontrolu ohrožení zabezpečení.

Podle potřeby export výsledků kontroly v konzistentních intervalech. Porovnejte výsledky s předchozími kontrolami a ověřte, že jsou nápravná ohrožení zabezpečení.

Odpovědnost: Zákazník

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Pro software třetích stran použijte řešení pro správu oprav třetích stran nebo system Center Aktualizace Publisher pro Configuration Manager.

Úplný seznam funkcí a nástrojů najdete v tématu: Cloud Shell funkce:/azure/cloud-shell/features

Odpovědnost: Zákazník

PV-8: Provádění pravidelné simulace útoku

Pokyny: Provedení testování průniku nebo červených týmových aktivit na prostředcích Azure podle potřeby a zajištění nápravy všech důležitých zjištění zabezpečení.

Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy porušují zásady Microsoftu. Použijte strategii a provádění red teaming od Microsoftu. Proveďte živé testování průniku webů s využitím cloudové infrastruktury, služeb a aplikací spravovaných Microsoftem.

Odpovědnost: Zákazník

Další kroky