Standardní hodnoty zabezpečení Azure pro službu Cost Management

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Microsoft Azure Cost Management. Srovnávací test zabezpečení Azure nabízí doporučení k zabezpečení cloudových řešení v Azure. Obsah je rozdělený do kategorií podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejících pokynů vztahujících se ke službě Cost Management.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Kontroly , které se nevztahují na službu Cost Management, a ty, pro které se doporučuje globální pokyny, byly vyloučeny doslovně. Pokud chcete zjistit, jak služba Cost Management kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Cost Management.

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému identit a ověřování

Pokyny: Služba Azure Cost Management je integrovaná s Azure Active Directory (Azure AD), což je výchozí služba Azure pro správu identit a přístupu. S využitím Azure AD byste měli standardizovat řízení správy identit a přístupu v rámci vaší organizace pro:

  • cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, virtuální počítače Azure (s Linuxem a Windows), Azure Key Vault a aplikace PaaS a SaaS
  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by v rámci postupů vaší organizace v oblasti cloudového zabezpečení mělo mít vysokou prioritu. Azure AD nabízí skóre zabezpečení identit, které pomáhá vyhodnocovat stav zabezpečení identit s ohledem na doporučené osvědčené postupy Microsoftu. S využitím tohoto skóre můžete změřit, nakolik vaše konfigurace odpovídá doporučeným osvědčeným postupům, a zlepšit stav zabezpečení.

Poznámka: Azure AD podporuje externí zprostředkovatele identit, kteří umožňují uživatelům bez účtu Microsoft přihlašovat se ke svým aplikacím a prostředkům s využitím své externí identity.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Cost Management používá Azure Active Directory (Azure AD) k zajištění správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Patří sem podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři a dodavatelé. Díky tomu je možné použít jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace v místním prostředí a v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Cost Management pro smlouvy Enterprise (EA) má následující vysoce privilegovaný účet.

  • Podnikový správce

Doporučujeme pravidelně kontrolovat uživatele přiřazené k rolím v rámci vaší smlouvy Enterprise (EA).

Obecně také doporučujeme omezit počet vysoce privilegovaných účtů nebo rolí a chránit tyto účty na zvýšené úrovni, protože uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure.

Privilegovaný přístup za běhu (JIT) k prostředkům Azure a Azure Active Directory (Azure AD) můžete povolit pomocí Azure AD Privileged Identity Management (PIM). JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.

Odpovědnost: Zákazník

PA-3: Pravidelné kontroly a sjednocování uživatelského přístupu

Pokyny: Azure Cost Management spoléhá na odpovídající přístup k zobrazení a správě informací o nákladech organizace. Přístup se řídí pomocí řízení přístupu na základě role Azure (Azure RBAC) na úrovni předplatného a prostřednictvím rolí pro správu se smlouvou Enterprise (EA) nebo Smlouvou se zákazníkem Microsoftu (MCA) v případě rozsahů fakturace. Pravidelně auditujte a kontrolujte udělený přístup, abyste zajistili, že uživatelé nebo skupiny mají požadovaný přístup.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Cost Management se za účelem správy prostředků (např. rozpočtů, uložených sestav atd.) integruje s řízením přístupu na základě role (RBAC) Azure. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám a instančním objektům. Pro určité prostředky existují předdefinované role, které je možné inventarizovat nebo dotazovat pomocí nástrojů, jako jsou Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. To doplňuje přístup azure Active Directory (Azure AD) Privileged Identity Management (PIM) za běhu (JIT) a měl by se pravidelně kontrolovat.

Využijte k přidělování oprávnění předdefinované role a vlastní role vytvářejte pouze v případě potřeby.

Azure Cost Management nabízí předdefinované role čtenářů a přispěvatelů.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Doporučujeme zjišťovat, klasifikovat a označovat citlivá data, abyste mohli navrhnout odpovídající kontrolní mechanismy, které zajistí zabezpečené ukládání, zpracování a odesílání citlivých informací technologickými systémy organizace.

V případě citlivých informací v rámci dokumentů Office v Azure, místním prostředí, Office 365 a dalších umístěních můžete využít službu Azure Information Protection (a přidružený nástroj pro zjišťování).

Služba Azure SQL Information Protection vám může pomoct s klasifikací a označováním informací uložených v databázích Azure SQL.

Odpovědnost: Zákazník

DP-2: Ochrana citlivých dat

Pokyny: Doporučujeme chránit citlivá data omezením přístupu s využitím řízení přístupu na základě role Azure (Azure RBAC), řízení síťového přístupu a specifických kontrolních mechanismů ve službách Azure (jako je šifrování v databázích SQL a dalších databázích).

Aby se zajistilo konzistentní řízení přístupu, všechny typy řízení přístupu by měly být v souladu s vaší podnikovou strategií segmentace. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.

Pro základní platformu spravovanou Microsoftem platí, že Microsoft považuje veškerý obsah zákazníků za citlivý a zajišťuje ochranu před ztrátou a vystavením zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.

Odpovědnost: Zákazník

DP-3: Monitorování neautorizovaného přenosu citlivých dat

Pokyny: Monitorujte neautorizovaný přenos dat do umístění mimo dohled a kontrolu podniku. To obvykle zahrnuje monitorování neobvyklých aktivit (velké nebo neobvyklé přenosy), které můžou značit neautorizovanou exfiltraci dat.

Rozšířená ochrana před internetovými útoky (ATP) pro službu Azure Storage a ochrana ATP pro Azure SQL dokáží upozorňovat na neobvyklé přenosy informací, které můžou značit neautorizované přenosy citlivých informací.

Azure Information Protection (AIP) poskytuje možnosti monitorování informací, které byly klasifikovány a označeny.

Pokud to v rámci ochrany před únikem informací vyžaduje dodržování předpisů, můžete k vynucování kontrolních mechanismů detekce a prevence za účelem zajištění ochrany před exfiltrací dat využít řešení ochrany před únikem informací na hostiteli.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: K doplnění řízení přístupu by měla být přenášená data chráněná před útoky mimo pásmo (např. zachytávání provozu) pomocí šifrování, aby útočníci nemohli data snadno číst nebo upravovat. Azure Cost Management podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2 nebo novějšího. I když je to volitelné pro provoz v privátních sítích, je to důležité pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že se klienti připojující k prostředkům Azure můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows). Zastaralé verze a protokoly SSL, TLS a SSH a slabé šifry by měly být zakázané. Azure ve výchozím nastavení poskytuje šifrování dat v

Odpovědnost: Microsoft

DP-5: Šifrování neaktivních uložených citlivých dat

Pokyny: Funkce Exporty ve službě Azure Cost Management doplňuje řízení přístupu a podporuje šifrování neaktivních uložených dat služby Azure Storage, které zajišťuje ochranu před vzdálenými útoky (jako je přístup k základnímu úložišti) díky šifrování s využitím klíčů spravovaných Microsoftem. Toto výchozí nastavení pomáhá zajistit, aby útočníci nemohli data snadno číst nebo upravovat.

Další informace najdete tady:

Odpovědnost: Zákazník

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmům zabezpečení jsou udělena oprávnění čtenáře zabezpečení v tenantovi Azure a předplatných, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního bezpečnostního týmu nebo místního týmu v závislosti na struktuře bezpečnostních povinností. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které se dají zobrazit v Azure AD generování sestav nebo integraci se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýzy:

  • Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.
  • Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.
  • Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.
  • Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Microsoft Defender for Cloud může také upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření, zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuální počítače, kontejnery, app service), datové prostředky (SQL DB a úložiště) a vrstvy služeb Azure. Tato funkce umožňuje mít přehled o anomáliích účtů v jednotlivých prostředcích.

Doporučujeme také pravidelně kontrolovat uživatele přiřazené k rolím v rámci vaší smlouvy Enterprise (EA).

Odpovědnost: Zákazník

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa stavu a ohrožení zabezpečení.

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Rychlé nasazení aktualizací softwaru pro nápravu ohrožení zabezpečení softwaru v operačních systémech a aplikacích Upřednostněte použití společného programu pro vyhodnocování rizik (například Common Vulnerability Scoring System) nebo výchozího hodnocení rizik poskytovaného nástrojem pro kontrolu třetích stran a přizpůsobit prostředí pomocí kontextu, ve kterém aplikace představují vysoké bezpečnostní riziko a které vyžadují vysokou dobu provozu.

Odpovědnost: Zákazník

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Další kroky