Standardní hodnoty zabezpečení Azure pro Customer Lockbox pro Microsoft Azure

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Customer Lockbox. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Customer Lockbox.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují na Customer Lockbox pro Microsoft Azure nebo za které jsou odpovědností Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Customer Lockbox pro Microsoft Azure kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Microsoft Azure pro Customer Lockbox.

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Protokoly auditu pro Customer Lockbox se automaticky aktivují a spravují v protokolech aktivit Azure. Tato data můžete zobrazit tak, že je streamujete z protokolu aktivit Azure do pracovního prostoru Log Analytic, kde pak můžete provádět výzkum a analýzy.

Připojte protokoly aktivit vygenerované Customer Lockboxem do Microsoft Sentinelu nebo jiného SIEM, abyste umožnili centrální agregaci a správu protokolů.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Protokoly auditu pro Customer Lockbox se automaticky aktivují a spravují v protokolech aktivit Azure. Tato data můžete zobrazit tak, že je streamujete z protokolu aktivit Azure do pracovního prostoru Log Analytic, kde pak můžete provádět výzkum a analýzy.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: Ve službě Azure Monitor nastavte dobu uchovávání protokolů pro pracovní prostory služby Log Analytics přidružené k vašemu Customer Lockboxu podle předpisů vaší organizace.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Protokoly auditu pro Customer Lockbox se automaticky aktivují a spravují v protokolech aktivit Azure. Tato data můžete zobrazit tak, že je streamujete z protokolu aktivit Azure do pracovního prostoru Log Analytic, kde pak můžete provádět výzkum a analýzy. Analyzujte a monitorujte protokoly z požadavků Customer Lockboxu na neobvyklé chování. Pomocí části Protokoly v pracovním prostoru Služby Microsoft Sentinel můžete provádět dotazy nebo vytvářet výstrahy na základě protokolů Customer Lockboxu.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Protokoly auditu pro Customer Lockbox se automaticky aktivují a spravují v protokolech aktivit Azure. Tato data můžete zobrazit tak, že je streamujete z protokolu aktivit Azure do pracovního prostoru Log Analytic, kde pak můžete provádět výzkum a analýzy. Analyzujte a monitorujte protokoly z požadavků Customer Lockboxu na neobvyklé chování. Pomocí části Protokoly v pracovním prostoru Služby Microsoft Sentinel můžete provádět dotazy nebo vytvářet výstrahy na základě protokolů Customer Lockboxu.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Udržujte inventář uživatelských účtů, které mají přístup správce k vašim požadavkům Customer Lockboxu. K konfiguraci řízení přístupu na základě role Azure (Azure RBAC) můžete použít podokno Řízení identit a přístupu (IAM) v Azure Portal pro vaše předplatné. Role se použijí na uživatele, skupiny, instanční objekty a spravované identity v Azure Active Directory (Azure AD).

V organizaci zákazníka obdrží uživatel, který má roli Vlastník předplatného Azure, e-mail od Microsoftu, aby ho informoval o všech čekajících žádostech o přístup. V případě žádostí Customer Lockboxu je tato osoba určená schvalovatelem.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Azure Active Directory (Azure AD) nemá koncept výchozích hesel. Další prostředky Azure, které vyžadují heslo, vynutí vytvoření hesla s požadavky na složitost a minimální délku hesla, která se liší v závislosti na službě. Zodpovídáte za aplikace třetích stran a služby marketplace, které můžou používat výchozí hesla.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvoření standardních provozních postupů pro použití vyhrazených účtů pro správu K monitorování počtu účtů pro správu použijte Microsoft Defender for Cloud Identity and Access Management.

Kromě toho můžete využít doporučení z programu Microsoft Defender pro cloud nebo předdefinované zásady Azure, které vám pomůžou sledovat vyhrazené účty pro správu, například:

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) Azure Active Directory

Pokyny: Nelze použít; přístup k Customer Lockboxu je prostřednictvím Azure Portal a vyhrazen pro účty s rolí tenanta vlastníka. Jednotné přihlašování se nepodporuje.

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte Azure AD Multi-Factor Authentication a postupujte podle doporučení microsoft Defenderu pro správu cloudových identit a přístupu.

Odpovědnost: Zákazník

3.6: Použití zabezpečených pracovních stanic spravovaných v Azure pro úlohy správy

Pokyny: K přihlášení a konfiguraci požadavků Customer Lockboxu použijte pracovní stanici s privilegovaným přístupem (PAW) s povoleným Azure AD Multi-Factor Authentication.

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Použití služby Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pro generování protokolů a upozornění v případě podezřelé nebo nebezpečné aktivity v prostředí

Kromě toho můžete použít Azure AD detekce rizik k zobrazení výstrah a sestav o rizikovém chování uživatelů.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Pomocí pojmenovaných umístění podmíněného přístupu povolte přístup k Azure Portal pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí nebo oblastí.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Azure Active Directory (Azure AD) použijte jako systém centrálního ověřování a autorizace, pokud je to možné. Azure AD chrání data pomocí silného šifrování neaktivních uložených dat a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit přístup uživatelů

Pokyny: Azure Active Directory (Azure AD) poskytuje protokoly, které vám pomůžou zjistit zastaralé účty. Kromě toho můžete pomocí Azure AD kontrol přístupu efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají nadále přístup jenom správní uživatelé.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Pokyny: Pokud je to možné, použijte Azure Active Directory (Azure AD) jako centrální ověřovací a autorizační systém. Azure AD chrání data pomocí silného šifrování neaktivních a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Máte přístup ke Azure AD aktivitě přihlašování, auditování a rizikovým zdrojům protokolů událostí, které umožňují integraci se službou Microsoft Sentinel nebo se službou SIEM třetích stran.

Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů a odesláním protokolů auditu a protokolů přihlášení do pracovního prostoru Služby Log Analytics. V Log Analytics můžete nakonfigurovat požadovaná upozornění protokolu.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Pro odchylku chování při přihlášení k účtu v řídicí rovině (např. Azure Portal) použijte funkci ochrany identit a detekce rizik služby Azure Active Directory (Azure AD) ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce související s identitami uživatelů. Data můžete také ingestovat do Služby Microsoft Sentinel pro další šetření.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.6: Řízení přístupu na základě role k řízení přístupu k prostředkům

Pokyny: Schválení žádosti customer Lockboxu je uděleno uživateli, který má roli Vlastník na úrovni tenanta.

Odpovědnost: Zákazník

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Pokyny: Protokoly auditu pro Customer Lockbox se automaticky aktivují a spravují v protokolech aktivit Azure. Pomocí protokolu aktivit Azure můžete monitorovat a zjišťovat změny prostředků Azure Customer Lockbox. Vytvořte výstrahy ve službě Azure Monitor, která se aktivují, když dojde ke změnám důležitých prostředků.

Odpovědnost: Zákazník

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventory and Asset Management.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (jako jsou výpočetní prostředky, úložiště, síť, porty a protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte v tenantovi příslušná oprávnění (číst) a vypíšete všechna předplatná Azure a prostředky v rámci vašich předplatných.

I když klasické prostředky Azure můžou být zjištěny prostřednictvím azure Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: K uspořádání a sledování prostředků Azure použijte značkování, skupiny pro správu a samostatná předplatná. Sladit inventář pravidelně a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Kromě toho použijte Azure Policy k omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

6.5: Monitorování pro neschválené prostředky Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit ve vašich předplatných.

Pomocí azure Resource Graph můžete dotazovat nebo zjišťovat prostředky v rámci jejich předplatných. Ujistěte se, že jsou schválené všechny prostředky Azure v prostředí.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Pomocí Azure Policy můžete omezit typ prostředků, které je možné vytvořit ve vašich předplatných pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Konfigurace podmíněného přístupu Azure tak, aby omezila schopnost uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.13: Eliminace neúmyslné expozice přihlašovacích údajů

Pokyny: Implementace skeneru přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.2: Předběžné naskenování souborů, které se mají nahrát do prostředků Azure bez výpočetních prostředků Azure

Pokyny: Microsoft Antimalware je povolené na podkladovém hostiteli, který podporuje služby Azure, jako je Customer Lockbox.

Vaším úkolem je předem zkontrolovat veškerý obsah, který se nahrává do prostředků Azure bez výpočetních prostředků Azure. Microsoft nemůže získat přístup k zákaznickým datům, a proto nemůže za vás provádět kontroly obsahu zákazníků proti malwaru.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocování incidentu a stanovení priorit

Pokyny: Microsoft Defender for Cloud přiřadí každé výstraze závažnosti, která vám pomůže určit prioritu výstrah, které by se měly prošetřit jako první. Závažnost je založená na tom, jak je microsoft Defender for Cloud v hledání nebo metrikě použité k vydání výstrahy, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo ke škodlivému záměru.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení k otestování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude společnost Microsoft používat k tomu, aby vás kontaktovala, pokud Microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněná nebo neoprávněná strana. Zkontrolujte incidenty po faktu a ujistěte se, že jsou vyřešeny problémy.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat upozornění a doporučení buď ručně, nebo nepřetržitě. Ke streamování výstrah do Microsoft Sentinelu můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace odpovědi na výstrahy zabezpečení

Pokyny: Pomocí funkce Automatizace pracovního postupu v Microsoft Defenderu pro cloud můžete automaticky aktivovat odpovědi prostřednictvím Logic Apps pro výstrahy a doporučení zabezpečení.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a red team cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel zapojení microsoftu cloudových penetračních testů, abyste měli jistotu, že vaše penetrační testy nejsou porušením zásad Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Další kroky