Standardní hodnoty zabezpečení Azure pro Event Hubs

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 do služby Event Hubs. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro službu Event Hubs.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky se nevztahují na službu Event Hubs a ty, pro které se doporučuje doslovné doslovné doporučení globálních pokynů, byly vyloučeny. Pokud chcete zjistit, jak služba Event Hubs kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Event Hubs.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Event Hubs nepodporuje nasazení přímo do virtuální sítě. Některé síťové funkce nemůžete používat s prostředky nabídky, jako jsou skupiny zabezpečení sítě (NSG), směrovací tabulky nebo jiná síťová zařízení, jako je Azure Firewall.

Pomocí Microsoft Sentinelu můžete zjistit použití starších nezabezpečených protokolů, jako jsou:

  • SSL/TLSv1

  • SMBv1

  • LM/NTLMv1

  • wDigest, nepodepsané vazby LDAP

  • Slabé šifry v protokolu Kerberos

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Microsoft

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Použití Azure Private Link k povolení privátního přístupu ke službě Event Hubs z vašich virtuálních sítí bez přecházení internetu

Pomocí koncových bodů služby Azure Virtual Network můžete poskytovat zabezpečený přístup ke službě Event Hubs. Použijte optimalizovanou trasu přes páteřní síť Azure bez přechodu na internet.

Privátní přístup je další hloubková míra ochrany pro ověřování a zabezpečení provozu, které nabízí služby Azure.

Odpovědnost: Zákazník

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti pro skupiny zabezpečení sítě nebo Azure Firewall nakonfigurované pro prostředky služby Event Hubs Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadejte název značky služby v příslušném zdrojovém nebo cílovém poli pravidla. Tímto způsobem můžete povolit nebo odepřít provoz pro odpovídající službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Postupujte podle osvědčených postupů pro zabezpečení DNS, abyste zmírnit běžné útoky, jako jsou:

  • Dangling DNS

  • Útoky na amplifikace DNS

  • Otrava DNS

  • Falšování identity

  • A tak dále.

Pokud jako autoritativní službu DNS používáte Azure DNS, ujistěte se, že jsou zóny a záznamy DNS chráněné před náhodnými nebo škodlivými úpravami. Použijte Azure Role-Based Access Control (RBAC) a zámky prostředků.

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Služba Event Hubs používá azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Prostředky Microsoft Cloud. Mezi zdroje patří:

    • Azure Portal

    • Azure Storage

    • Virtuální počítače Azure s Linuxem a Windows

    • Azure Key Vault

    • Platforma jako služba (u PaaS)

    • Aplikace SaaS (Software jako služba)

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou pro postupy zabezpečení cloudu vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže porovnat stav zabezpečení vaší identity s doporučeními Microsoftu pro osvědčené postupy. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity. Uživatelé bez účtu Microsoft se můžou přihlásit ke svým aplikacím a prostředkům pomocí své externí identity.

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Event Hubs podporuje spravované identity pro své prostředky Azure. Místo vytváření instančních objektů pro přístup k jiným prostředkům používejte spravované identity se službou Event Hubs. Služba Event Hubs se může nativně ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Ověřování se podporuje prostřednictvím předdefinovaných pravidel udělení přístupu. Nepoužívá pevně zakódované přihlašovací údaje ve zdrojovém kódu ani v konfiguračních souborech.

Služba Event Hubs doporučuje použít Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku ke konfiguraci instančních objektů s přihlašovacími údaji certifikátu a návrat k tajným klíčům klienta. V obou případech je možné azure Key Vault použít s identitami spravovanými Azure, aby prostředí runtime, jako je funkce Azure, dokázalo načíst přihlašovací údaje z trezoru klíčů.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Služba Event Hubs používá Azure AD správu identit a přístupu pro prostředky Azure, cloudové aplikace a místní aplikace. Identity zahrnují podnikové identity, jako jsou zaměstnanci a externí identity, jako jsou partneři, dodavatelé a dodavatelé.

Azure AD poskytuje jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k místním a cloudovým datům a prostředkům vaší organizace.

Připojte všechny uživatele, aplikace a zařízení k Azure AD. Azure AD nabízí bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Služba Event Hubs ke správě svých prostředků používá účty Azure AD. Pravidelně zkontrolujte uživatelské účty a přiřazení přístupu, abyste měli jistotu, že jsou účty a jejich přístup platné. Ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí můžete použít Azure AD a kontroly přístupu. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také vytvořit pracovní postupy sestav kontroly přístupu v Azure AD Privileged Identity Management (PIM), abyste usnadnili proces kontroly.

Nástroj PIM můžete nakonfigurovat tak, aby vás Azure AD upozorňoval na příliš mnoho účtů správce. PIM může identifikovat účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Tyto uživatele budete muset spravovat samostatně.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené izolované pracovní stanice jsou důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a kritické operátory služeb. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice a Službu Azure Bastion.

Pomocí Azure AD, programu Microsoft Defender ATP nebo Microsoft Intune nasaďte zabezpečenou a spravovanou uživatelskou pracovní stanici pro úlohy správy. Zabezpečené pracovní stanice můžete centrálně spravovat a vynucovat tak konfiguraci zabezpečení, která zahrnuje:

  • Silné ověřování

  • Standardní hodnoty softwaru a hardwaru

  • Omezený logický přístup a přístup k síti

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Služba Event Hubs se integruje s Azure RBAC ke správě svých prostředků. Pomocí RBAC spravujete přístup k prostředkům Azure prostřednictvím přiřazení rolí. Role můžete přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám. Některé prostředky mají předem definované předdefinované předdefinované role. Tyto role můžete inventarizace nebo dotazování na tyto role prostřednictvím nástrojů, jako jsou Azure CLI, Azure PowerShell nebo Azure Portal.

Omezte oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, na to, co role vyžadují. Tento postup doplňuje přístup podle potřeby (JIT) Azure AD PIM. Pravidelně kontrolujte role a přiřazení.

Pomocí předdefinovaných rolí udělte oprávnění a v případě potřeby vytvořte pouze vlastní role.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-3: Monitorování neautorizovaného přenosu citlivých dat

Pokyny: Monitorujte neautorizovaný přenos dat do umístění mimo dohled a kontrolu podniku. Obvykle to zahrnuje monitorování neobvyklých aktivit (velkých nebo neobvyklých přenosů), které by mohly znamenat neoprávněnou exfiltraci dat.

Microsoft Defender for Storage a Microsoft Defender for SQL můžou upozorňovat na neobvyklý přenos informací, které můžou znamenat neoprávněné přenosy citlivých informací.

Azure Information Protection (AIP) poskytuje možnosti monitorování informací, které jsou klasifikovány a označeny.

V případě potřeby dodržování předpisů před únikem informací (DLP) můžete použít řešení ochrany před únikem informací založené na hostiteli k vynucení detektivů a preventivních ovládacích prvků, které brání exfiltraci dat.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Doporučujeme používat protokol TLS verze 1.1 nebo novější. I když služba Event Hubs stále podporuje protokol TLS 1.0 pro zákazníky, kteří stále provozují firmy se slabšími protokoly kvůli zpětné kompatibilitě, důrazně doporučujeme se mu vyhnout.

Odpovědnost: Zákazník

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Aby služba Event Hubs doplnila řízení přístupu, šifruje neaktivní uložená data, aby se chránila před útoky mimo pásmo, jako je přístup k základnímu úložišti, pomocí šifrování. Šifrování pomáhá zajistit, aby útočníci nemohli data snadno číst ani upravovat.

Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. U vysoce citlivých dat máte možnosti implementovat více neaktivních uložených šifrování na všech prostředcích Azure, pokud jsou k dispozici. Azure ve výchozím nastavení spravuje šifrovací klíče pro Azure VMware Solution. Nenabízí možnost správy vlastních klíčů spravovaných zákazníkem.

Azure Event Hubs podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem nebo klíčů spravovaných zákazníkem. Tato funkce umožňuje vytvářet, obměňovat, zakazovat a odvolávat přístup k klíčům spravovaným zákazníkem, které se používají k šifrování neaktivních uložených dat Azure Event Hubs.

Odpovědnost: Sdílené

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že v tenantovi a předplatných Azure udělíte oprávnění čtenáře zabezpečení týmů zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být zodpovědností centrálního týmu zabezpečení nebo místního týmu v závislosti na způsobu strukturování odpovědností. Vždy agregujte přehledy zabezpečení a rizika centrálně v rámci organizace.

Oprávnění čtenáře zabezpečení můžete použít široce pro kořenovou skupinu pro správu celého tenanta nebo oprávnění oboru pro konkrétní skupiny pro správu nebo předplatná.

Poznámka: K získání přehledu o úlohách a službách může být potřeba další oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že bezpečnostní týmy mají přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure, jako je Event Hubs. Bezpečnostní týmy často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům a jako vstup do průběžných vylepšení zabezpečení. Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace. Přiřaďte jim přístup ke čtení ke všem prostředkům služby Event Hubs. Tento proces můžete zjednodušit pomocí jediného přiřazení role vysoké úrovně v rámci vašeho předplatného.

Pomocí značek u prostředků Azure, skupin prostředků a předplatných je logicky uspořádejte do taxonomie. Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Pomocí inventáře virtuálních počítačů Azure můžete automatizovat shromažďování informací o softwaru na virtuálních počítačích. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Windows do pracovního prostoru služby Log Analytics.

Služba Event Hubs neumožňuje spuštění aplikace nebo instalace softwaru na jeho prostředky. Popište všechny další funkce ve vaší nabídce, které tuto funkci umožňují nebo podporují podle potřeby.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Pomocí Azure Policy auditujte a omezte služby, které můžou uživatelé ve vašem prostředí zřídit. K dotazování a zjišťování prostředků v rámci předplatných použijte Azure Resource Graph. Azure Monitor můžete použít také k vytvoření pravidel pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Použití integrované funkce detekce hrozeb v programu Microsoft Defender pro cloud Povolte Microsoft Defender pro prostředky služby Event Hubs. Microsoft Defender for Event Hubs poskytuje další vrstvu inteligentních funkcí zabezpečení. Microsoft Defender detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům služby Event Hubs nebo jejich zneužití.

Přesměrujte všechny protokoly ze služby Event Hubs na siEM, které je možné použít k nastavení vlastních detekcí hrozeb. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojové z dat protokolu, agentů nebo jiných dat.

Odpovědnost: Zákazník

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure AD poskytuje následující protokoly uživatelů. Protokoly můžete zobrazit v Azure AD vytváření sestav. Protokoly můžete integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýz.

  • Přihlášení – Informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů

  • Protokoly auditu – Sledovatelnost prostřednictvím protokolů pro všechny změny provedené různými funkcemi Azure AD. Protokoly auditu zahrnují změny provedené u všech prostředků v rámci Azure AD. Změny zahrnují přidání nebo odebrání uživatelů, aplikací, skupin, rolí a zásad.

  • Rizikové přihlášení – indikátor pokusů o přihlášení někým, kdo nemusí být oprávněným vlastníkem uživatelského účtu.

  • Uživatelé označení příznakem rizika – indikátor uživatelského účtu, který mohl být ohrožen.

Microsoft Defender for Cloud vás také může upozornit na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření. Zastaralé účty v předplatném můžou také aktivovat výstrahy.

Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat podrobnější výstrahy zabezpečení z:

  • Jednotlivé výpočetní prostředky Azure, jako jsou virtuální počítače, kontejnery a app service

  • Datové prostředky, jako jsou Azure SQL Database a Azure Storage.

  • Vrstvy služeb Azure

Tato funkce poskytuje přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Služba Event Hubs není určená k nasazení do virtuálních sítí. Nemůžete povolit protokolování toku NSG, směrovat provoz přes bránu firewall nebo provádět zachytávání paketů.

Povolte a shromážděte protokoly prostředků NSG, protokoly toku NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF), které podporují analýzu zabezpečení:

  • Vyšetřování incidentů

  • Proaktivní vyhledávání hrozeb

  • Generování výstrah zabezpečení

Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a pak použít Traffic Analytics k poskytování přehledů.

Event Hubs zaznamenává veškerý síťový provoz, který zpracovává pro přístup zákazníků. Povolte možnost toku sítě v rámci nasazených nabízených prostředků.

Event Hubs nevytáčí ani nezpracovává protokoly dotazů DNS.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit jsou k dispozici automaticky. Protokoly obsahují všechny operace PUT, POST a DELETE, ale ne GET, pro vaše prostředky služby Event Hubs kromě operací čtení (GET). Protokoly aktivit můžete použít k vyhledání chyb při řešení potíží nebo k monitorování způsobu, jakým uživatelé ve vaší organizaci upravili prostředky.

Povolte protokoly prostředků Azure pro Službu Event Hubs. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolu. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.

Event Hubs také vytváří protokoly auditu zabezpečení pro místní účty pro správu. Povolení těchto protokolů auditu místního správce

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.EventHub:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolů se ujistěte, že máte:

  • Přiřazený vlastník dat

  • Pokyny k přístupu

  • Umístění úložiště

  • Nástroje, které používáte ke zpracování a přístupu k datům

  • Požadavky na uchovávání dat

Nezapomeňte integrovat protokoly aktivit Azure do centrálního protokolování.

Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení, která generují zařízení koncových bodů, síťové prostředky a další systémy zabezpečení. Ve službě Azure Monitor můžete k dotazování a analýze použít pracovní prostory Log Analytics.

Účty Azure Storage používejte pro dlouhodobé a archivní úložiště.

Povolte a připojte data také ke službě Microsoft Sentinel nebo do siem jiného výrobce.

Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

U aplikací, které můžou běžet ve službě Event Hubs, předejte všechny protokoly související se zabezpečením do systému SIEM pro centralizovanou správu.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics, které používáte k ukládání protokolů služby Event Hubs, mají nastavené doby uchovávání protokolů. Pokud jste to ještě neudělali, nastavte dobu uchovávání protokolů podle předpisů vaší organizace.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Nelze použít. Event Hubs nepodporuje konfiguraci vlastních zdrojů synchronizace času.

Služba Event Hubs spoléhá na zdroje synchronizace času Microsoftu a není vystavená zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Použití Azure Blueprints k automatizaci nasazení a konfigurace služeb a aplikačních prostředí Jedna definice podrobného plánu může zahrnovat šablony Azure Resource Manager, ovládací prvky RBAC a zásady.

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Ke sledování standardních hodnot konfigurace použijte Microsoft Defender for Cloud. Pomocí Azure Policy [odepřít] a [nasadit pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč výpočetními prostředky Azure, včetně virtuálních počítačů a kontejnerů.

Odpovědnost: Zákazník

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Nelze použít. Toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

PV-5: Bezpečné ukládání vlastních imagí operačního systému a kontejnerů

Pokyny: Nelze použít. Toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Nelze použít. Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují službu Event Hubs.

Odpovědnost: Microsoft

PV-8: Provádění pravidelné simulace útoku

Pokyny: Proveďte testování průniku nebo červené týmové aktivity na vašich prostředcích Azure podle potřeby a zajistěte nápravu všech kritických zjištění zabezpečení.

Postupujte podle pravidel zapojení Microsoft Cloud Penetrační testování, abyste zajistili, že testy průniku nesplňují zásady Microsoftu. Použijte strategii a provádění Red Teaming od Microsoftu. Proveďte testování průniku živého webu s využitím cloudové infrastruktury, služeb a aplikací spravovaných Microsoftem.

Odpovědnost: Zákazník

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Ochrana služby Event Hubs a jejích prostředků pomocí centrálně spravovaného moderního antimalwarového softwaru Použijte centrálně spravované antimalwarové řešení koncového bodu, které může provádět kontrolu v reálném čase a pravidelné kontrole.

  • Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarovým řešením pro virtuální počítače s Windows.

  • Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetí strany.

  • K detekci malwaru nahraných do účtů Azure Storage použijte Microsoft Defender pro detekci cloudových hrozeb.

  • Automatické použití Microsoft Defenderu pro cloud:

    • Identifikace několika oblíbených antimalwarových řešení pro vaše virtuální počítače

    • Hlášení stavu spuštěné ochrany koncového bodu

    • Vytváření doporučení

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Nezapomeňte rychle a konzistentně aktualizovat antimalwarové podpisy.

Pokud chcete zajistit, aby všechny koncové body byly aktuální s nejnovějšími podpisy, postupujte podle doporučení v programu Microsoft Defender for Cloud: Compute & Apps.

Pro Windows Microsoft Antimalware automaticky nainstaluje nejnovější podpisy a aktualizace modulu ve výchozím nastavení. Pokud pracujete v linuxovém prostředí, použijte antimalwarové řešení třetích stran.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Azure Event Hubs podporuje zálohování dat prostřednictvím Zóny dostupnosti (redundance zón) a replikace více oblastí nakonfigurovaná uživatelem (geografická redundance).

Odpovědnost: Sdílené

BR-2: Šifrování zálohovaných dat

Pokyny: Azure Event Hubs poskytuje šifrování neaktivních uložených dat pomocí služby Azure Storage Service Encryption (Azure SSE). Služba Event Hubs spoléhá na službu Azure Storage k ukládání dat a ve výchozím nastavení se všechna data uložená ve službě Azure Storage šifrují pomocí klíčů spravovaných Microsoftem. Pokud k ukládání klíčů spravovaných zákazníkem používáte Azure Key Vault, ujistěte se, že pravidelně zálohujete klíče. Pomocí následujícího příkazu PowerShellu zajistěte pravidelné automatizované zálohování tajných kódů Key Vault: Backup-AzKeyVaultSecret

Odpovědnost: Sdílené

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pravidelně se ujistěte, že můžete obnovit zálohované klíče spravované zákazníkem.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte na místě opatření, abyste zabránili ztrátě klíčů a obnovili je. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

Odpovědnost: Zákazník

Další kroky