Standardní hodnoty zabezpečení Azure pro Azure Firewall

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Azure Firewall. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Firewall.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na Azure Firewall nebo které jsou odpovědností Společnosti Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Azure Firewall úplně mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Firewall.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní

Pokyny: Azure Firewall je integrovaná se službou Azure Monitor pro protokolování provozu zpracovávaného bránou firewall.

Kromě toho použijte Microsoft Defender pro cloud a postupujte podle doporučení ochrany sítě, abyste mohli zabezpečit síťové prostředky související s Azure Firewall.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Network:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Network Watcher by měla být povolená Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na konci zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Upozornění se povolí, pokud skupina prostředků sledovacího systému sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0

1.4: Odepřít komunikaci se známými ip adresami se zlými úmysly

Pokyny: Povolení filtrování na základě analýzy hrozeb pro upozorňování a zamítnutí provozu ze známých škodlivých IP adres a domén Filtrování na základě analýzy hrozeb je možné pro bránu firewall povolit tak, aby upozorňovala a odepíral provoz ze známých škodlivých IP adres a domén.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Network:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Veškerý internetový provoz by se měl směrovat přes nasazený Azure Firewall Microsoft Defender for Cloud zjistil, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k podsítím pomocí Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
Měla by být povolená služba Azure DDoS Protection Úrovně Standard Standard ochrany před útoky DDoS by měl být povolený pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. AuditIfNotExists, zakázáno 3.0.0

1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě

Pokyny: V Azure Firewall představuje značka služby skupinu předpon IP adres, která pomáhá minimalizovat složitost vytváření pravidel zabezpečení.

Azure Firewall značky služeb lze použít v cílovém poli pravidel sítě a definovat řízení přístupu k síti na Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení.

Kromě toho se podporují také značky definované zákazníkem, jako jsou skupiny IP adres, a dají se použít v pravidle sítě nebo v pravidle aplikace. Značky plně kvalifikovaného názvu domény v pravidlech aplikace se podporují, aby bylo možné povolit požadovaný odchozí síťový provoz přes bránu firewall.

Všimněte si, že nemůžete vytvořit vlastní značku služby ani určit, které IP adresy jsou součástí značky. Předpony adres zahrnuté ve značce služby spravuje Microsoft, a pokud se adresy změní, automaticky značku služby aktualizuje.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení pro síťová zařízení

Pokyny: Azure Policy ještě není plně podporovaná pro Azure Firewall. Azure Firewall Manager lze použít k zajištění standardizace konfigurací zabezpečení.

Azure Blueprints můžete také použít ke zjednodušení rozsáhlých nasazení Azure zabalením klíčových artefaktů prostředí, jako jsou šablony Azure Resources Manageru, ovládací prvky Azure RBAC a zásady v jedné definici podrobného plánu. Podrobný plán můžete použít na nová předplatná a vyladit řízení a správu prostřednictvím správy verzí.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace prostředků a zjišťovat změny vašich Azure Firewall prostředků. Vytvářejte výstrahy ve službě Azure Monitor, která se aktivují při změnách důležitých prostředků.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.1: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft udržuje časové zdroje pro prostředky Azure pro Azure Firewall. Zákazníci musí vytvořit síťové pravidlo, které povolí tento přístup, nebo pro časový server, který používáte ve svém prostředí.

Odpovědnost: Sdílené

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Data protokolů můžete povolit a připojit k Microsoft Sentinelu nebo službě SIEM jiného výrobce pro správu protokolů centrálního zabezpečení různých protokolů.

Protokoly aktivit je možné použít k auditování operací na Azure Firewall a monitorování akcí u prostředků. Protokol aktivit obsahuje všechny operace zápisu (PUT, POST, DELETE) pro vaše prostředky s výjimkou operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Azure Firewall poskytuje také následující diagnostické protokoly, které poskytují informace o zákaznických aplikacích a pravidlech sítě.

Protokol pravidel aplikace: Každé nové připojení, které odpovídá jednomu z nakonfigurovaných pravidel aplikace, vede k protokolu pro přijaté nebo odepřené připojení.

Protokol pravidel sítě: Každé nové připojení, které odpovídá jednomu z nakonfigurovaných pravidel sítě, vede k protokolu pro přijaté nebo odepřené připojení.

Poznámka: Oba protokoly je možné uložit do účtu úložiště, streamovat do služby Event Hubs nebo odesílat do protokolů služby Azure Monitor pouze v případě, že je pro každý Azure Firewall v prostředí povolené.

Seznam akcí prostředků v protokolech aktivit: Operace poskytovatele prostředků Azure Resource Manager

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Protokoly aktivit je možné použít k auditování operací s Azure Firewall a monitorování akcí na prostředcích. Protokol aktivit obsahuje všechny operace zápisu (PUT, POST, DELETE) pro prostředky Azure s výjimkou operací čtení (GET). Azure Firewall poskytuje také následující diagnostické protokoly, které poskytují informace o zákaznických aplikacích a pravidlech sítě.

Protokol pravidel aplikace: Každé nové připojení, které odpovídá jednomu z nakonfigurovaných pravidel aplikace, vede k protokolu pro přijaté nebo odepřené připojení.

Protokol pravidel sítě: Každé nové připojení, které odpovídá jednomu z nakonfigurovaných pravidel sítě, vede k protokolu pro přijaté nebo odepřené připojení.

Všimněte si, že oba protokoly je možné uložit do účtu úložiště, streamovat do služby Event Hubs a/nebo odesílat do protokolů služby Azure Monitor, ale jenom v případě, že jsou povolené pro každou Azure Firewall v prostředí.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: Dobu uchovávání pracovních prostorů služby Log Analytics je možné nastavit podle předpisů organizace v rámci služby Azure Monitor. Uchovávání dat je možné nakonfigurovat od 30 do 730 dnů (2 roky) pro všechny pracovní prostory v závislosti na zvolené cenové úrovni.

Uchovávání úložiště protokolů má 3 možnosti:

  • Účty úložiště se nejlépe používají pro protokoly, když se protokoly ukládají delší dobu a v případě potřeby se kontrolují.

  • Centra událostí jsou skvělou volbou pro integraci s dalšími nástroji pro správu informací o zabezpečení a správě událostí (SEIM), abyste získali upozornění na vaše prostředky.

  • Protokoly Azure Monitoru se nejlépe používají pro obecné monitorování aplikace v reálném čase nebo prohlížení trendů.

Další informace najdete na následujících odkazech.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Azure Firewall je integrovaná se službou Azure Monitor pro zobrazení a analýzu protokolů brány firewall. Protokoly je možné odesílat do Log Analytics, Azure Storage nebo Event Hubs. Dají se analyzovat v Log Analytics nebo různými nástroji, jako jsou Excel a Power BI. Existuje několik různých typů protokolů Azure Firewall.

Protokoly aktivit je možné použít k auditování operací na Azure Firewall a monitorování akcí u prostředků. Protokol aktivit obsahuje všechny operace zápisu (PUT, POST, DELETE) pro prostředky s výjimkou operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Azure Firewall také poskytuje diagnostické protokoly, které poskytují informace o zákaznických aplikacích a pravidlech sítě.

Protokoly pravidel aplikace se vytvoří, když každé nové připojení, které odpovídá jednomu z nakonfigurovaných pravidel aplikace, způsobí protokol pro přijaté nebo odepřené připojení.

Protokoly pravidel sítě se vytvoří, když každé nové připojení, které odpovídá jednomu z nakonfigurovaných síťových pravidel, způsobí protokol pro přijaté nebo odepřené připojení.

Všimněte si, že oba protokoly je možné uložit do účtu úložiště, streamovat do služby Event Hubs nebo odesílat do protokolů služby Azure Monitor, ale jenom pokud je pro každý Azure Firewall v prostředí povolené.

Protokoly Azure Monitoru je možné použít k obecnému monitorování aplikace v reálném čase nebo k zobrazení trendů.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Použijte Microsoft Defender pro cloud s pracovním prostorem služby Log Analytics k monitorování a upozorňování na neobvyklé aktivity nalezené v protokolech zabezpečení a událostech.

Případně můžete povolit a připojit data do Microsoft Sentinelu.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Azure Active Directory (Azure AD) má předdefinované role, které musí být explicitně přiřazeny a které se dají dotazovat. Pomocí modulu Azure AD PowerShellu můžete provádět ad hoc dotazy ke zjišťování účtů, které jsou členy skupin pro správu.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvoření standardních provozních postupů pro použití vyhrazených účtů pro správu K monitorování počtu účtů pro správu použijte Microsoft Defender for Cloud Identity and Access Management.

Můžete také povolit přístup za běhu nebo dostatek přístupu pomocí Azure Active Directory (Azure AD) Privileged Identity Management privilegovaných rolí pro služby Microsoft a Azure Resource Manager.

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) Azure Active Directory

Pokyny: Pokud je to možné, použijte jednotné přihlašování azure Active Directory (Azure AD) místo konfigurace jednotlivých samostatných přihlašovacích údajů pro jednotlivé služby. Doporučení microsoft Defenderu pro správu cloudových identit a přístupu

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro správu cloudových identit a přístupu.

Odpovědnost: Zákazník

3.6: Použití vyhrazených počítačů (pracovní stanice s privilegovaným přístupem) pro všechny úlohy správy

Pokyny: Použití pracovních stanic s privilegovaným přístupem (privilegovaný přístup) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci Azure Firewall a souvisejících prostředků

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Sestavy zabezpečení Azure Active Directory (Azure AD) slouží ke generování protokolů a výstrah, pokud v prostředí dojde k podezřelé nebo nebezpečné aktivitě. K monitorování aktivit identit a přístupu použijte Microsoft Defender for Cloud.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Pomocí pojmenovaných umístění podmíněného přístupu povolte přístup pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí nebo oblastí.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Jako centrální systém ověřování a autorizace použijte Azure Active Directory (Azure AD). Azure AD chrání data pomocí silného šifrování neaktivních uložených dat a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit přístup uživatelů

Pokyny: Azure Active Directory (Azure AD) poskytuje protokoly, které pomáhají zjišťovat zastaralé účty. Kromě toho můžete pomocí kontrol přístupu identit Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají přístup jenom ten správný uživatel.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Pokyny: Máte přístup ke službám Azure Active Directory (Azure AD) Ke zdrojům protokolů přihlášení, auditování a rizikových událostí, které umožňují integraci s jakýmkoli nástrojem SIEM/Monitoring.

Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů a odesláním protokolů auditu a protokolů přihlášení do pracovního prostoru služby Log Analytics. Požadovaná upozornění můžete nakonfigurovat v pracovním prostoru služby Log Analytics.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Použití funkcí služby Azure Active Directory (Azure AD) Risk and Identity Protection ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce související s identitami uživatelů. Data můžete také ingestovat do Služby Microsoft Sentinel pro další šetření.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Údržba inventáře citlivých informací

Pokyny: Použití značek k usnadnění sledování Azure Firewall a souvisejících prostředků, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Implementace izolace pomocí samostatných předplatných a skupin pro správu pro jednotlivé domény zabezpečení, jako je typ prostředí a úroveň citlivosti dat. Můžete omezit úroveň přístupu k vašim Azure Firewall prostředkům, které vyžadují vaše aplikace a podniková prostředí. Přístup k prostředkům Azure můžete řídit prostřednictvím řízení přístupu na základě role v Azure.

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Využijte řešení třetích stran z Azure Marketplace na hraničních sítích, které monitorují neoprávněný přenos citlivých informací a blokují takové přenosy při upozorňování odborníků na zabezpečení informací.

Pro podkladovou platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníků za citlivý a chrání před ztrátou a expozicí zákaznických dat. Aby byla zákaznická data v Rámci Azure zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Šifrování všech citlivých informací při přenosu Ujistěte se, že se všechny klienty připojující k vašim Azure Firewall a souvisejícím prostředkům můžou vyjednat protokol TLS 1.2 nebo novější.

Pokud je to možné, postupujte podle doporučení Microsoft Defenderu pro cloud pro šifrování neaktivních uložených uložených dat a šifrování.

Odpovědnost: Sdílené

4.5: Použití aktivního nástroje zjišťování k identifikaci citlivých dat

Pokyny: Pomocí nástroje pro aktivní zjišťování třetích stran identifikujte všechny citlivé informace uložené v prostředku Azure pomocí Azure Firewall a souvisejících prostředků a aktualizujte inventář citlivých informací organizace.

Odpovědnost: Sdílené

4.6: Řízení přístupu k prostředkům pomocí Azure RBAC

Pokyny: Řízení přístupu na základě role v Azure (Azure RBAC) k řízení přístupu k Azure Firewall a souvisejícím prostředkům

Odpovědnost: Zákazník

4.8: Šifrování citlivých informací v klidovém stavu

Pokyny: Použití šifrování neaktivních uložených uložených prostředků na všech prostředcích Azure pomocí Azure Firewall a souvisejících prostředků Microsoft doporučuje umožnit Azure spravovat šifrovací klíče, ale v některých instancích můžete spravovat vlastní klíče.

Odpovědnost: Zákazník

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Doprovodné materiály: Použití služby Azure Monitor s protokolem aktivit Azure k vytváření upozornění na to, kdy se změny uskuteční v Azure Firewall.

Odpovědnost: Zákazník

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventory and Asset Management.

6.2: Údržba metadat assetů

Pokyny: Použití značek na Azure Firewall a související prostředky, které poskytují metadata, aby je logicky uspořádaly do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: K uspořádání a sledování Azure Firewall a souvisejících prostředků použijte značkování, skupiny pro správu a samostatná předplatná. Sladit inventář pravidelně a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Odpovědnost: Zákazník

6.4: Definování a údržba inventáře schválených prostředků Azure

Pokyny: Vytvoření inventáře schválených Azure Firewall prostředků, včetně konfigurace podle potřeb vaší organizace.

Odpovědnost: Zákazník

6.5: Monitorování pro neschválené prostředky Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit ve vašich předplatných.

Pomocí Azure Resource Graph můžete dotazovat nebo zjišťovat prostředky Azure Firewall v rámci svých předplatných. Ujistěte se, že jsou schválené všechny Azure Firewall a související prostředky v prostředí.

Odpovědnost: Zákazník

6.7: Odebrání neschválené prostředky Azure a softwarových aplikací

Pokyny: Implementace vlastního procesu pro odebrání neoprávněných Azure Firewall a souvisejících prostředků Můžete také použít řešení třetích stran k identifikaci neschválené Azure Firewall a souvisejících prostředků.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Použití Azure Policy k omezení služeb, které můžete ve svém prostředí zřídit.

Odpovědnost: Zákazník

6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Použití podmíněného přístupu Azure k omezení schopnosti uživatelů pracovat s Azure Resources Managerem konfigurací blokování přístupu pro aplikaci Microsoft Azure Management

Odpovědnost: Zákazník

6.13: Fyzicky nebo logicky oddělit vysoce rizikové aplikace

Pokyny: Aplikace, které mohou být vyžadovány pro obchodní operace nebo prostředí s odlišnými rizikovými profily pro organizaci, by měly být izolované a oddělené samostatnými instancemi Azure Firewall.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Azure Resource Manager má možnost exportovat šablonu do formátu JSON (JavaScript Object Notation), který by se měl zkontrolovat, aby se zajistilo, že konfigurace splňují nebo překračují požadavky na zabezpečení pro vaši organizaci.

Doporučení z Microsoft Defenderu pro cloud můžete také použít jako zabezpečený směrný plán konfigurace pro prostředky Azure.

Zásady Azure se v tuto chvíli plně nepodporují pro Azure Firewall.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Použití zásad Azure [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečeného nastavení napříč vašimi Azure Firewall a souvisejícími prostředky. Kromě toho můžete pomocí šablon Azure Resource Manager udržovat konfiguraci zabezpečení Azure Firewall a souvisejících prostředků požadovaných vaší organizací.

Odpovědnost: Zákazník

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Pokyny: Použití Azure DevOps k bezpečnému ukládání a správě kódu, jako jsou vlastní zásady Azure a šablony Azure Resource Manager. Pokud chcete získat přístup k prostředkům, které spravujete v Azure DevOps, můžete udělit nebo odepřít oprávnění konkrétním uživatelům, integrovaným skupinám zabezpečení nebo skupinám definovaným v Azure Active Directory (Azure AD), pokud jsou integrované s Azure DevOps nebo Active Directory, pokud jsou integrované se sadou TFS.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro Azure Firewall a související prostředky pomocí Azure Policy Pomocí aliasů Azure Policy můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě vašich Azure Firewall prostředků. Můžete také využít předdefinované definice zásad související s vašimi konkrétními prostředky.

Odpovědnost: Zákazník

7.12: Správa identit bezpečně a automaticky

Pokyny: Použití spravovaných identit k poskytování služeb Azure s automaticky spravovanou identitou v Azure Active Directory (Azure AD). Spravované identity umožňují ověřovat ve všech službách, které podporují Azure AD ověřování do Azure Resource Manager a dají se použít s rozhraním API, azure Portalem, rozhraním příkazového řádku nebo PowerShellem.

Odpovědnost: Zákazník

7.13: Eliminace neúmyslné expozice přihlašovacích údajů

Pokyny: Implementace skeneru přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelného automatizovaného zálohování

Pokyny: Použití Azure Resource Manager k exportu Azure Firewall a souvisejících prostředků do šablony JSON (JavaScript Object Notation), která se dá použít jako zálohování pro Azure Firewall a související konfigurace. Konfiguraci Azure Firewall můžete exportovat také pomocí funkce exportu šablony Azure Firewall z Azure Portal. Pomocí Azure Automation můžete skripty zálohování spouštět automaticky.

Odpovědnost: Zákazník

9.2: Provádění kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Použití Azure Resource Manager k exportu Azure Firewall a souvisejících prostředků do šablony JSON (JavaScript Object Notation), která se dá použít jako zálohování pro Azure Firewall a související konfigurace. Konfiguraci Azure Firewall můžete exportovat také pomocí funkce exportu šablony Azure Firewall z Azure Portal.

Odpovědnost: Zákazník

9.3: Ověřte všechny zálohy včetně klíčů spravovaných zákazníkem.

Pokyny: Zajištění možnosti pravidelného obnovení pomocí souborů založených na šabloně Azure Resource Manager

Odpovědnost: Zákazník

9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem

Pokyny: Použití Azure DevOps k bezpečnému ukládání a správě kódu, jako jsou vlastní zásady Azure, šablony Azure Resource Manager. Pokud chcete chránit prostředky, které spravujete v Azure DevOps, můžete udělit nebo odepřít oprávnění konkrétním uživatelům, integrovaným skupinám zabezpečení nebo skupinám definovaným v Azure Active Directory (Azure AD), pokud je integrovaná s Azure DevOps nebo Active Directory, pokud je integrovaná se sadou TFS.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocení incidentu a stanovení priorit

Pokyny: Microsoft Defender pro cloud přiřazuje každé výstrahě závažnost, která vám pomůže určit prioritu výstrah, které by se měly nejprve prošetřit. Závažnost je založená na tom, jak je microsoft Defender pro cloud v hledání nebo analýze použité k vydání výstrahy, stejně jako na úrovni spolehlivosti, kterou za aktivitou, která vedla k upozornění, zlými úmysly.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) pomocí značek a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure, zejména ty, které zpracovávají citlivá data. Je vaší zodpovědností určit prioritu nápravy upozornění v závislosti na důležitosti prostředků Azure a prostředí, ve kterém k incidentu došlo.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Cvičení pro testování schopností reakce na incidenty vašich systémů v pravidelných intervalech, která vám pomohou chránit prostředky Azure. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti o kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude microsoft používat k tomu, aby vás kontaktoval, pokud microsoft Security Response Center (MSRC) zjistí, že vaše data byla přístupná neoprávněnou nebo neoprávněnou stranou. Zkontrolujte incidenty po faktu a ujistěte se, že jsou vyřešeny problémy.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu, která pomáhá identifikovat rizika pro prostředky Azure.

Průběžný export umožňuje exportovat upozornění a doporučení buď ručně, nebo nepřetržitě. Ke streamování výstrah do Microsoft Sentinelu můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace odpovědi na výstrahy zabezpečení

Pokyny: Pomocí funkce Automatizace pracovních postupů v Microsoft Defenderu pro cloud můžete automaticky aktivovat odpovědi prostřednictvím Logic Apps na výstrahy zabezpečení a doporučení k ochraně vašich prostředků Azure.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a red team cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel zapojení Microsoftu a ujistěte se, že vaše testy průniku nejsou v rozporu se zásadami Microsoftu. Využijte strategii a provádění testování průniku red teamingu a živého webu na cloudové infrastruktuře, službách a aplikacích spravovaných Microsoftem.

Odpovědnost: Sdílené

Další kroky