Standardní hodnoty zabezpečení Azure pro Logic Apps

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Logic Apps. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Logic Apps.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují na Logic Apps nebo pro které je odpovědností Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Logic Apps zcela mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení pro Logic Apps.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Konektory, které běží v globální službě Logic Apps s více tenanty, se nasazují a spravují Microsoftem. Tyto konektory poskytují triggery a akce pro přístup ke cloudovým službám, místním systémům nebo obojím, včetně Office 365, Azure Blob Storage, SQL Server, Dynamics, Salesforce, SharePointu a dalších. Značku služby AzureConnectors můžete použít při zadávání pravidel ve skupině zabezpečení sítě nebo Azure Firewall pro povolení přístupu k souvisejícím prostředkům.

Pro aplikace logiky, které potřebují přímý přístup k prostředkům ve virtuální síti Azure, můžete vytvořit prostředí integrační služby (ISE), kde můžete vytvářet, nasazovat a spouštět aplikace logiky na vyhrazených prostředcích. Některé virtuální sítě Azure používají privátní koncové body (Azure Private Link) k poskytování přístupu ke službám Azure PaaS, jako jsou Azure Storage, Azure Cosmos DB, Azure SQL Database, partnerské služby nebo zákaznické služby hostované v Azure. Pokud vaše aplikace logiky potřebují přístup k virtuálním sítím, které používají privátní koncové body, musíte tyto aplikace logiky vytvářet, nasazovat a spouštět v prostředí ISE.

Při vytváření isE můžete použít interní nebo externí přístupové koncové body. Váš výběr určuje, jestli žádosti nebo webhooky triggery v aplikacích logiky ve vaší isE můžou přijímat volání mimo vaši virtuální síť. Interní a externí přístupové koncové body také ovlivňují, jestli můžete zobrazit historii spuštění aplikace logiky, včetně vstupů a výstupů pro spuštění, z vaší virtuální sítě nebo mimo něj.

Ujistěte se, že všechna nasazení podsítě virtuální sítě související s vaší službou ISE mají použitou skupinu zabezpečení sítě s ovládacími prvky pro přístup k síti specifické pro důvěryhodné porty a zdroje vaší aplikace. Když nasadíte aplikace logiky v prostředí ISE, použijte Private Link. Azure Private Link umožňuje přístup ke službám Azure PaaS a hostovaným službám Azure vlastněným zákazníkem nebo partnerským službám přes privátní koncový bod ve vaší virtuální síti. Případně pokud máte konkrétní případ použití, můžete tento požadavek splnit implementací Azure Firewall. Pokud chcete snížit složitost při nastavování pravidel zabezpečení, použijte značky služeb, které představují skupiny předpon IP adres pro konkrétní službu Azure.

Odpovědnost: Sdílené

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní

Pokyny: Pokud spouštíte aplikace logiky v prostředí integrační služby (ISE), které používá externí přístupový bod, můžete pomocí skupiny zabezpečení sítě (NSG) snížit riziko exfiltrace dat. Povolte protokoly toku NSG a odesílejte protokoly do účtu úložiště Azure pro audit provozu. Můžete také odesílat protokoly toku NSG do pracovního prostoru Služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.4: Odepřít komunikaci se známými IP adresami se zlými úmysly

Pokyny: Pokud vaše aplikace logiky používá trigger založený na požadavcích, který přijímá příchozí hovory nebo požadavky, jako je trigger Request nebo Webhook, můžete omezit přístup tak, aby aplikaci logiky mohli volat jenom autorizovaní klienti.

Pokud používáte aplikace logiky v prostředí integrační služby (ISE), povolte službu DDoS Protection Standard ve virtuální síti přidružené k vaší službě ISE, aby se chránila před útoky DDoS. Využijte Microsoft Defender for Cloud Integrated Threat Intelligence k odepření komunikace se známými škodlivými nebo nepoužívanými internetovými IP adresami.

Nasaďte Azure Firewall na každou síťovou hranici organizace s povolenou funkcí Threat Intelligence a nakonfigurovaným na upozornění a zamítnutí pro škodlivý síťový provoz.

Pomocí programu Microsoft Defender for Cloud Just In Time Network nakonfigurujte skupiny zabezpečení sítě tak, aby omezily expozici koncových bodů na schválené IP adresy po omezenou dobu.

Pomocí programu Microsoft Defender for Cloud Adaptivní posílení zabezpečení sítě doporučte konfigurace NSG, které omezují porty a zdrojové IP adresy na základě skutečného provozu a analýzy hrozeb.

Odpovědnost: Zákazník

1.5: Zaznamenávání síťových paketů

Pokyny: Pokud spouštíte aplikace logiky v prostředí integrační služby (ISE), které používá externí přístupový bod, můžete pomocí skupiny zabezpečení sítě (NSG) snížit riziko exfiltrace dat. Povolte protokoly toku NSG a odesílejte protokoly do účtu úložiště Azure pro audit provozu. Můžete také odesílat protokoly toku NSG do pracovního prostoru Služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Pokud chcete poskytovat další ochranu a informace o síťovém provozu, můžete se podívat na protokoly přístupu, které se vygenerují jenom v případě, že jste je povolili v každé instanci Application Gateway. Tento protokol můžete použít k zobrazení Application Gateway vzorů přístupu a analýze důležitých informací. Patří sem IP adresa volajícího, požadovaná adresa URL, latence odpovědi, návratový kód a bajty.

V opačném případě můžete využít řešení třetích stran z marketplace k splnění tohoto požadavku.

Odpovědnost: Zákazník

1.6: Nasazení systémů detekce neoprávněných vniknutí na základě sítě nebo vniknutí (IDS/IPS)

Pokyny: Vyberte nabídku z Azure Marketplace, která podporuje funkce IDS/IPS s možnostmi kontroly datové části. Pokud detekce vniknutí nebo prevence na základě kontroly datové části není požadavkem, můžete použít Azure Firewall s funkcí Threat Intelligence. Azure Firewall filtrování založené na inteligenci hrozeb může upozorňovat a odepřít provoz do známých škodlivých IP adres a domén. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu.

Nasaďte řešení brány firewall podle vašeho výběru na každou z hranic sítě vaší organizace, abyste zjistili nebo odepřeli škodlivý provoz.

Odpovědnost: Zákazník

1.7: Správa provozu do webových aplikací

Pokyny: Pokud používáte aplikace logiky v prostředí integrační služby (ISE), nasaďte Azure Application Gateway.

Odpovědnost: Zákazník

1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě

Pokyny: Pro prostředky, které potřebují přístup k instancím Azure Logic Apps, použijte značky služeb virtuální sítě k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například LogicApps, LogicApps, LogicAppsManagement) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz odpovídající služby. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení pro síťová zařízení

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro síťové prostředky související s vašimi instancemi Azure Logic Apps s Azure Policy Pomocí aliasů Azure Policy v oborech názvů Microsoft.Logic a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování síťové konfigurace instancí Azure Logic Apps. Můžete také využít předdefinované definice zásad, jako jsou:

  • Diagnostické protokoly v Logic Apps by měly být povolené.

  • Měla by být povolená ochrana před útoky DDoS Protection Úrovně Standard.

Azure Blueprints můžete použít také ke zjednodušení rozsáhlých nasazení Azure zabalením klíčových artefaktů prostředí, jako jsou šablony Azure Resource Manager, řízení přístupu na základě role (Azure RBAC) a zásady v jedné definici podrobného plánu. Podrobný plán můžete snadno použít na nová předplatná a prostředí a vyladit řízení a správu prostřednictvím správy verzí.

Odpovědnost: Zákazník

1.10: Zdokumentování pravidel konfigurace provozu

Pokyny: Pro jednotlivá pravidla skupiny zabezpečení sítě použijte pole Popis k určení obchodních potřeb a/nebo doby trvání (atd.) pro všechna pravidla, která umožňují provoz do a ze sítě.

Použijte některou z předdefinovaných definic Azure Policy souvisejících s označováním, například Vyžadovat značku a její hodnotu, abyste měli jistotu, že se všechny prostředky vytvoří pomocí značek a upozorní vás na existující neoznačené prostředky.

K vyhledání nebo provádění akcí na základě jejich značek můžete použít Azure PowerShell nebo Azure CLI.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace síťových prostředků a zjišťovat změny síťových prostředků souvisejících s vašimi instancemi Azure Logic Apps. Vytvořte upozornění ve službě Azure Monitor, která se aktivují při změnách důležitých síťových prostředků.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Pokud chcete získat bohatší informace o ladění aplikací logiky během běhu, můžete nastavit a používat protokoly služby Azure Monitor k zaznamenávání a ukládání informací o datech a událostech modulu runtime, jako jsou události triggerů, spouštění událostí a události akcí v pracovním prostoru služby Log Analytics. Azure Monitor pomáhá monitorovat cloudová a místní prostředí a usnadňuje zajištění jejich dostupnosti a výkonu. Pomocí protokolů služby Azure Monitor můžete vytvářet dotazy protokolu, které vám pomůžou shromažďovat a kontrolovat tyto informace. Tato diagnostická data můžete použít také s dalšími službami Azure, jako je Azure Storage a Azure Event Hubs.

Případně můžete povolit a připojit data do Microsoft Sentinelu nebo siEM jiného výrobce.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Pokud chcete získat bohatší informace o ladění aplikací logiky během běhu, můžete nastavit a používat protokoly služby Azure Monitor k zaznamenávání a ukládání informací o datech a událostech modulu runtime, jako jsou události triggerů, spouštění událostí a události akcí v pracovním prostoru služby Log Analytics. Azure Monitor pomáhá monitorovat cloudová a místní prostředí a usnadňuje zajištění jejich dostupnosti a výkonu. Pomocí protokolů služby Azure Monitor můžete vytvářet dotazy protokolu, které vám pomůžou shromažďovat a kontrolovat tyto informace. Tato diagnostická data můžete použít také s dalšími službami Azure, jako je Azure Storage a Azure Event Hubs.

Případně můžete povolit a připojit data do Microsoft Sentinelu nebo siEM jiného výrobce.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Logic:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Protokoly prostředků v Logic Apps by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: Po vytvoření a spuštění aplikace logiky můžete zkontrolovat stav spuštění aplikace logiky, historii spuštění, historii triggerů a výkon. Pro monitorování událostí v reálném čase a rozsáhlejší ladění nastavte protokolování diagnostiky pro vaši aplikaci logiky pomocí protokolů služby Azure Monitor. Tato služba Azure pomáhá monitorovat vaše cloudová a místní prostředí, abyste mohli snadněji udržovat jejich dostupnost a výkon. Pak můžete vyhledat a zobrazit události, jako jsou události triggeru, události spuštění a události akcí. Uložením těchto informací do protokolů služby Azure Monitor můžete vytvářet dotazy protokolu, které vám pomůžou tyto informace najít a analyzovat. Tato diagnostická data můžete použít také s dalšími službami Azure, jako je Azure Storage a Azure Event Hubs.

Ve službě Azure Monitor nastavte dobu uchovávání protokolů pro protokoly přidružené k vašim instancím Azure Logic Apps podle předpisů vaší organizace.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Pokud chcete nastavit protokolování pro aplikaci logiky, můžete log Analytics povolit při vytváření aplikace logiky nebo můžete nainstalovat řešení správy Logic Apps do pracovního prostoru služby Log Analytics pro existující aplikace logiky. Toto řešení poskytuje agregované informace o spuštění aplikace logiky a obsahuje konkrétní podrobnosti, jako je stav, doba provádění, stav opětovného odeslání a ID korelace. Pokud pak chcete povolit protokolování a vytváření dotazů pro tyto informace, nastavte protokoly služby Azure Monitor.

Můžete také povolit nastavení diagnostiky protokolu aktivit Azure a odesílat protokoly do pracovního prostoru služby Log Analytics. Pomocí dotazů v Log Analytics můžete vyhledávat termíny, identifikovat trendy, analyzovat vzory a poskytovat mnoho dalších přehledů na základě dat protokolu aktivit, která se můžou shromažďovat pro Azure Logic Apps.

Případně můžete povolit a připojit data do Microsoft Sentinelu nebo siEM jiného výrobce.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Použití Microsoft Defenderu pro cloud se službou Log Analytics k monitorování a upozorňování na neobvyklé aktivity nalezené v protokolech zabezpečení a událostech

Případně můžete povolit a připojit data do Microsoft Sentinelu.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Azure Active Directory (Azure AD) má předdefinované role, které musí být explicitně přiřazeny a které se dají dotazovat. Pomocí modulu Azure AD PowerShellu můžete provádět ad hoc dotazy ke zjišťování účtů, které jsou členy skupin pro správu.

Pokud chcete snadno získat přístup k jiným prostředkům chráněným Azure AD a ověřit vaši identitu bez přihlášení, může vaše aplikace logiky používat spravovanou identitu (dříve identitu spravované služby nebo MSI) místo přihlašovacích údajů nebo tajných kódů. Azure tuto identitu spravuje za vás a pomáhá zabezpečit vaše přihlašovací údaje, protože nemusíte zadávat ani vyměňovat tajné kódy.

Každý koncový bod požadavku v aplikaci logiky má sdílený přístupový podpis (SAS) v adrese URL koncového bodu. Pokud adresu URL koncového bodu pro trigger založený na požadavku sdílíte s jinými stranami, můžete vygenerovat adresy URL zpětného volání, které používají konkrétní klíče a mají data vypršení platnosti. Tímto způsobem můžete bez problémů zabalit klíče nebo omezit přístup k aktivaci aplikace logiky na základě určitého časového rozpětí.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Azure Active Directory (Azure AD) a Azure Logic Apps nemají koncept výchozích hesel.

Pokud se používá základní ověřování, budete muset zadat uživatelské jméno a heslo. Při vytváření těchto přihlašovacích údajů se ujistěte, že pro ověřování nakonfigurujete silné heslo.

Pokud jako kód používáte infrastrukturu, vyhněte se ukládání hesel v kódu a místo toho použijte Azure Key Vault k ukládání a načítání přihlašovacích údajů.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvoření standardních provozních postupů pro použití vyhrazených účtů pro správu K monitorování počtu účtů pro správu použijte Microsoft Defender for Cloud Identity and Access Management.

Kromě toho, abyste mohli sledovat vyhrazené účty pro správu, můžete použít doporučení z Programu Microsoft Defender pro cloud nebo předdefinované zásady Azure, například:

  • K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.
  • Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.
  • Externí účty s oprávněními vlastníka by měly být z vašeho předplatného odebrány.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) Azure Active Directory

Pokyny: Použití registrace aplikace Azure (instanční objekt) k načtení tokenu, který lze použít k interakci s trezory služby Recovery Services prostřednictvím volání rozhraní API.

Řada konektorů také vyžaduje, abyste nejprve vytvořili připojení k cílové službě nebo systému a zadali přihlašovací údaje pro ověřování nebo jiné podrobnosti konfigurace, než budete moct v aplikaci logiky použít trigger nebo akci. Například musíte autorizovat připojení k účtu Twitteru pro přístup k datům nebo k publikování vaším jménem.

U konektorů, které používají Azure Active Directory (Azure AD) OAuth, vytvoření připojení znamená přihlášení ke službě, jako je Office 365, Salesforce nebo GitHub, kde je přístupový token zašifrovaný a bezpečně uložený v úložišti tajných kódů Azure. Jiné konektory, jako je FTP a SQL, vyžadují připojení s podrobnostmi konfigurace, jako je adresa serveru, uživatelské jméno a heslo. Tyto podrobnosti o konfiguraci připojení jsou také šifrované a bezpečně uložené.

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro správu cloudových identit a přístupu.

Odpovědnost: Zákazník

3.6: Použití zabezpečených pracovních stanic spravovaných v Azure pro úlohy správy

Pokyny: Použití pracovních stanic s privilegovaným přístupem (PAW) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Azure

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Použití služby Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pro generování protokolů a upozornění v případě podezřelé nebo nebezpečné aktivity v prostředí

Kromě toho můžete použít Azure AD detekce rizik k zobrazení výstrah a sestav o rizikovém chování uživatelů.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Pomocí pojmenovaných umístění podmíněného přístupu povolte přístup k Azure Portal pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí nebo oblastí.

Kromě toho každý koncový bod požadavku v aplikaci logiky má sdílený přístupový podpis (SAS) v adrese URL koncového bodu. Aplikaci logiky můžete omezit tak, aby přijímala požadavky jenom z určitých IP adres.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Jako centrální systém ověřování a autorizace pro instance Azure Logic Apps použijte Azure Active Directory (Azure AD). Azure AD chrání data pomocí silného šifrování neaktivních uložených dat a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Pokud služba Logic Apps podporuje, používejte spravovanou identitu pro snadný přístup k dalším prostředkům, které jsou chráněné Azure AD, a ověřte svou identitu bez přihlášení, nikoli přihlašovacích údajů nebo tajných kódů. Azure tuto identitu spravuje za vás a pomáhá zabezpečit vaše přihlašovací údaje, protože nemusíte zadávat ani vyměňovat tajné kódy.

Azure Logic Apps podporuje spravované identity přiřazené systémem i uživatelem. Aplikace logiky může používat buď identitu přiřazenou systémem, nebo jedinou identitu přiřazenou uživatelem, kterou můžete sdílet ve skupině aplikací logiky, ale nikoli obojí. V současné době podporují spravované identity jenom konkrétní integrované triggery a akce, nikoli spravované konektory nebo připojení, například:

  • HTTP
  • Azure Functions
  • Azure API Management
  • Azure App Services

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit uživatelský přístup

Pokyny: Azure Active Directory (Azure AD) poskytuje protokoly, které vám pomůžou zjistit zastaralé účty. Kromě toho můžete pomocí kontrol přístupu identit Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají nepřetržitý přístup jenom uživatelé.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Pokyny: Jako centrální systém ověřování a autorizace pro instance Azure Logic Apps použijte Azure Active Directory (Azure AD). Azure AD chrání data pomocí silného šifrování neaktivních uložených dat a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Máte přístup ke Azure AD zdrojům protokolů událostí přihlášení, auditu a rizik, které umožňují integraci se službou Microsoft Sentinel nebo se službou SIEM jiného výrobce.

Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů a odesláním protokolů auditu a protokolů přihlašování do pracovního prostoru služby Log Analytics. V Log Analytics můžete nakonfigurovat požadovaná upozornění protokolu.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Použití funkcí služby Azure Active Directory (Azure AD) Risk and Identity Protection ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce související s identitami uživatelů. Data můžete také ingestovat do Služby Microsoft Sentinel pro další šetření.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Údržba inventáře citlivých informací

Pokyny: Použití značek k usnadnění sledování prostředků Azure, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Konektory, které běží v globální službě Logic Apps s více tenanty, se nasazují a spravují Microsoftem. Tyto konektory poskytují triggery a akce pro přístup ke cloudovým službám, místním systémům nebo obojím, včetně Office 365, Azure Blob Storage, SQL Server, Dynamics, Salesforce, SharePointu a dalších.

Pro aplikace logiky, které potřebují přímý přístup k prostředkům ve virtuální síti Azure, můžete vytvořit prostředí integrační služby (ISE), kde můžete vytvářet, nasazovat a spouštět aplikace logiky na vyhrazených prostředcích. Některé virtuální sítě Azure používají privátní koncové body (Azure Private Link) k poskytování přístupu ke službám Azure PaaS, jako jsou Azure Storage, Azure Cosmos DB nebo Azure SQL Database, partnerské služby nebo zákaznické služby hostované v Azure. Pokud vaše aplikace logiky potřebují přístup k virtuálním sítím, které používají privátní koncové body, musíte tyto aplikace logiky vytvářet, nasazovat a spouštět v prostředí ISE.

Při vytváření isE můžete použít interní nebo externí přístupové koncové body. Váš výběr určuje, jestli žádosti nebo webhooky triggery v aplikacích logiky ve vaší isE můžou přijímat volání mimo vaši virtuální síť.

Kromě toho implementujte izolaci pomocí samostatných předplatných a skupin pro správu pro jednotlivé domény zabezpečení, jako je typ prostředí a úroveň citlivosti dat. Úroveň přístupu k prostředkům Azure, které vyžadují vaše aplikace a podniková prostředí, můžete omezit. Přístup k prostředkům Azure můžete řídit prostřednictvím řízení přístupu na základě role Azure (Azure RBAC).

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Aktuálně není k dispozici; funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou pro Azure Logic Apps k dispozici.

Využijte řešení třetích stran z Azure Marketplace na hraničních sítích, které monitorují neoprávněný přenos citlivých informací a blokují takové přenosy a zároveň upozorňují odborníky na zabezpečení informací.

Microsoft spravuje základní infrastrukturu pro Azure Logic Apps a implementoval přísné kontroly, které brání ztrátě nebo vystavení zákaznických dat.

Odpovědnost: Sdílené

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Šifrování všech citlivých informací při přenosu V Azure Logic Apps se všechna data během spuštění aplikace logiky šifrují během přenosu pomocí protokolu TLS (Transport Layer Security) a neaktivních uložených dat. Když si zobrazíte historii spuštění aplikace logiky, služba Logic Apps ověří váš přístup a pak poskytne odkazy na vstupy a výstupy požadavků a odpovědí pro každé spuštění. U akcí, které zpracovávají všechna hesla, tajné kódy, klíče nebo jiné citlivé informace, ale chcete ostatním zabránit v prohlížení a přístupu k těmto datům. Pokud například vaše aplikace logiky získá tajný kód z Azure Key Vault pro použití při ověřování akce HTTP, chcete tento tajný kód skrýt v zobrazení.

Trigger požadavku podporuje pouze protokol TLS (Transport Layer Security) 1.2 pro příchozí požadavky. Ujistěte se, že všechny klienty, kteří se připojují k prostředkům Azure, můžou vyjednat protokol TLS 1.2 nebo novější. Odchozí volání pomocí konektoru HTTP podporují protokol TLS (Transport Layer Security) 1.0, 1.1 a 1.2.

Pokud je to možné, postupujte podle doporučení Microsoft Defenderu pro cloud pro šifrování neaktivních uložených uložených dat a šifrování.

Odpovědnost: Sdílené

4.5: Použití aktivního nástroje zjišťování k identifikaci citlivých dat

Pokyny: V Azure Logic Apps má mnoho triggerů a akcí nastavení, která můžete povolit k zabezpečení vstupů, výstupů nebo obojího tím, že tato data z historie spuštění aplikace logiky zakryjete.

Microsoft spravuje základní infrastrukturu pro Azure Logic Apps a implementoval přísné kontroly, které brání ztrátě nebo vystavení zákaznických dat.

Odpovědnost: Sdílené

4.6: Řízení přístupu k prostředkům pomocí Azure RBAC

Pokyny: Můžete povolit spouštění konkrétních úloh jenom konkrétních uživatelů nebo skupin, jako je správa, úpravy a zobrazení aplikací logiky. Pokud chcete řídit jejich oprávnění, použijte řízení přístupu na základě role Azure (Azure RBAC), abyste členům ve vašem předplatném Azure mohli přiřadit přizpůsobené nebo předdefinované role:

  • Přispěvatel aplikací logiky: Umožňuje spravovat aplikace logiky, ale nemůžete k nim měnit přístup.
  • Operátor aplikace logiky: Umožňuje číst, povolit a zakázat aplikace logiky, ale nemůžete je upravovat ani aktualizovat.

Pokud chcete ostatním zabránit v změně nebo odstranění aplikace logiky, můžete použít Azure Resource Lock. Tato funkce brání ostatním měnit nebo odstraňovat produkční prostředky.

Odpovědnost: Zákazník

4.8: Šifrování citlivých informací v klidovém stavu

Pokyny: Azure Logic Apps spoléhá na Azure Storage k ukládání a automatickému šifrování neaktivních uložených dat. Toto šifrování chrání vaše data a pomáhá splnit závazky organizace týkající se zabezpečení a dodržování předpisů. Azure Storage ve výchozím nastavení používá klíče spravované Microsoftem k šifrování dat.

Když vytvoříte prostředí integrační služby (ISE) pro hostování aplikací logiky a chcete mít větší kontrolu nad šifrovacími klíči používanými službou Azure Storage, můžete nastavit, použít a spravovat vlastní klíč pomocí Azure Key Vault. Tato funkce se také označuje jako "Přineste si vlastní klíč" (BYOK) a váš klíč se nazývá "klíč spravovaný zákazníkem".

Odpovědnost: Zákazník

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Pokyny: Použití služby Azure Monitor s protokolem aktivit Azure k vytvoření upozornění pro to, kdy se změny uskuteční ve službě Azure Logic Apps, a také v dalších důležitých nebo souvisejících prostředcích.

Odpovědnost: Zákazník

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventory and Asset Management.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (jako jsou výpočetní prostředky, úložiště, síť, porty a protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte v tenantovi příslušná oprávnění (číst) a vypíšete všechna předplatná Azure a prostředky v rámci vašich předplatných.

I když klasické prostředky Azure můžou být zjištěny prostřednictvím Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager v budoucnu.

Odpovědnost: Zákazník

6.2: Údržba metadat assetů

Pokyny: Použití značek u prostředků Azure, které poskytují metadata, aby je logicky uspořádaly do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: K uspořádání a sledování prostředků Azure použijte značkování, skupiny pro správu a samostatná předplatná. Sladit inventář pravidelně a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Kromě toho použijte Azure Policy k omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

6.4: Definování a údržba inventáře schválených prostředků Azure

Pokyny: Vytvoření inventáře schválených prostředků Azure (například konektorů) a schváleného softwaru pro výpočetní prostředky podle potřeb vaší organizace.

Poznámka: Vzhledem k zásadám ochrany osobních údajů a dat Společnosti Google můžete konektor Gmail používat jenom se službami schválenými Googlem. Tato situace se vyvíjí a může mít vliv na další konektory Google v budoucnu.

Odpovědnost: Zákazník

6.5: Monitorování pro neschválené prostředky Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit ve vašich předplatných.

Pomocí azure Resource Graph můžete dotazovat nebo zjišťovat prostředky v rámci jejich předplatných. Ujistěte se, že jsou schválené všechny prostředky Azure v prostředí.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

6.10: Údržba inventáře schválených softwarových titulů

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Konfigurace podmíněného přístupu Azure tak, aby omezila schopnost uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management.

Odpovědnost: Zákazník

6.12: Omezení schopnosti uživatelů spouštět skripty ve výpočetních prostředcích

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

6.13: Fyzicky nebo logicky oddělit vysoce rizikové aplikace

Pokyny: Prostředky související s vašimi službami Logic Apps, které jsou potřeba pro obchodní operace, ale můžou mít pro organizaci vyšší riziko, by se měly izolovat v rámci vlastního virtuálního počítače nebo virtuální sítě a dostatečně zabezpečené pomocí Azure Firewall nebo skupiny zabezpečení sítě.

Logic Apps, které jsou vyžadovány pro obchodní operace, ale mohou mít pro organizaci vyšší riziko, by se měly izolovat všude, kde je to možné, prostřednictvím samostatných skupin prostředků s konkrétními oprávněními a hranicemi Azure RBAC.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro instance Azure Logic Apps pomocí Azure Policy Pomocí aliasů Azure Policy v oboru názvů Microsoft.Logic můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace instancí Logic Apps. Můžete například zablokovat vytváření nebo používání připojení k prostředkům, ve kterých chcete omezit přístup.

Kromě toho azure Resource Manager má možnost exportovat šablonu do formátu JSON (JavaScript Object Notation), který by se měl zkontrolovat, aby se zajistilo, že konfigurace splňují nebo překračují požadavky na zabezpečení pro vaši organizaci.

K ochraně citlivých dat a tajných kódů použijte také zabezpečené parametry.

Odpovědnost: Zákazník

7.2: Vytvoření konfigurace zabezpečeného operačního systému

Pokyny: Nepoužitelné; tento návod je určený pro výpočetní prostředky.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečeného nastavení napříč prostředky Azure.

Definujte a implementujte standardní konfigurace zabezpečení pro instance Azure Logic Apps pomocí Azure Policy. Pomocí aliasů Azure Policy v oboru názvů Microsoft.Logic můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace instancí Logic Apps. Můžete například zablokovat vytváření nebo používání připojení k prostředkům, ve kterých chcete omezit přístup.

Kromě toho azure Resource Manager má možnost exportovat šablonu do formátu JSON (JavaScript Object Notation), který by se měl zkontrolovat, aby se zajistilo, že konfigurace splňují nebo překračují požadavky na zabezpečení pro vaši organizaci.

Zajistěte také zabezpečení dat v historii spuštění pomocí obfusace.

Odpovědnost: Zákazník

7.4: Údržba zabezpečených konfigurací operačního systému

Pokyny: Nepoužitelné; tento návod je určený pro výpočetní prostředky.

Odpovědnost: Sdílené

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Pokyny: Pokud používáte vlastní definice Azure Policy, použijte Azure DevOps nebo Azure Repos k bezpečnému ukládání a správě kódu.

Kromě toho azure Resource Manager má možnost exportovat šablonu do formátu JSON (JavaScript Object Notation), který by se měl zkontrolovat, aby se zajistilo, že konfigurace splňují nebo překračují požadavky na zabezpečení pro vaši organizaci.

Odpovědnost: Zákazník

7.6: Bezpečné ukládání vlastních imagí operačního systému

Pokyny: Nepoužitelné; tento návod je určený pro výpočetní prostředky.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Použití integrovaných definic Azure Policy a Azure Policy aliasů v oboru názvů Microsoft.Logic k vytváření vlastních zásad pro upozornění, auditování a vynucování konfigurací systému Pomocí aliasů Azure Policy můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě prostředků Azure. Dále vyvíjejte proces a kanál pro správu výjimek zásad.

Odpovědnost: Zákazník

7.8: Nasazení nástrojů pro správu konfigurace pro operační systémy

Pokyny: Nepoužitelné; tento návod je určený pro výpočetní prostředky.

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití integrovaných definic Azure Policy a Azure Policy aliasů v oboru názvů Microsoft.Logic k vytváření vlastních zásad pro upozornění, auditování a vynucování konfigurací systému Pomocí Azure Policy [audit], [odepřít] a [nasadit, pokud neexistuje] automaticky vynucujte konfigurace pro prostředky Azure.

Odpovědnost: Zákazník

7.10: Implementace automatizovaného monitorování konfigurace pro operační systémy

Pokyny: Nepoužitelné; tento návod je určený pro výpočetní prostředky.

Odpovědnost: Zákazník

7.11: Zabezpečená správa tajných kódů Azure

Pokyny: Zabezpečení vstupů a výstupů v historii spuštění aplikace logiky pomocí obfuskace Pokud nasadíte v různých prostředích, zvažte parametrizaci hodnot v definici pracovního postupu aplikace logiky, které se liší podle těchto prostředí. Tímto způsobem se můžete vyhnout pevně zakódovaným datům pomocí šablony Azure Resource Manager k nasazení aplikace logiky, ochraně citlivých dat definováním zabezpečených parametrů a předáním dat jako samostatných vstupů prostřednictvím parametrů šablony pomocí souboru parametrů. Pomocí Key Vault můžete ukládat citlivá data a používat zabezpečené parametry šablony, které tyto hodnoty načítají z Key Vault při nasazení. Pak můžete odkazovat na trezor klíčů a tajné kódy v souboru parametrů.

Když vytvoříte prostředí integrační služby (ISE) pro hostování aplikací logiky a chcete mít větší kontrolu nad šifrovacími klíči používanými službou Azure Storage, můžete nastavit, použít a spravovat vlastní klíč pomocí Azure Key Vault. Tato funkce se také označuje jako "Přineste si vlastní klíč" (BYOK) a váš klíč se nazývá "klíč spravovaný zákazníkem".

Odpovědnost: Zákazník

7.12: Správa identit bezpečně a automaticky

Pokyny: Pokud chcete snadno získat přístup k dalším prostředkům chráněným službou Azure Active Directory (Azure AD) a ověřit vaši identitu bez přihlášení, může vaše aplikace logiky místo přihlašovacích údajů nebo tajných kódů používat spravovanou identitu (dříve identitu spravované služby nebo MSI). Azure tuto identitu spravuje za vás a pomáhá zabezpečit vaše přihlašovací údaje, protože nemusíte zadávat ani vyměňovat tajné kódy.

V současné době podporují spravované identity, nikoli spravované konektory nebo připojení, například:

  • HTTP
  • Azure Functions
  • Azure API Management
  • Azure App Services

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

7.13: Eliminace neúmyslné expozice přihlašovacích údajů

Pokyny: Zabezpečení vstupů a výstupů v historii spuštění aplikace logiky pomocí obfuskace Pokud nasadíte v různých prostředích, zvažte parametrizaci hodnot v definici pracovního postupu aplikace logiky, které se liší podle těchto prostředí. Tímto způsobem se můžete vyhnout pevně zakódovaným datům pomocí šablony Azure Resource Manager k nasazení aplikace logiky, ochraně citlivých dat definováním zabezpečených parametrů a předáním dat jako samostatných vstupů prostřednictvím parametrů šablony pomocí souboru parametrů. Pomocí Key Vault můžete ukládat citlivá data a používat zabezpečené parametry šablony, které tyto hodnoty načítají z Key Vault při nasazení. Pak můžete odkazovat na trezor klíčů a tajné kódy v souboru parametrů.

Můžete také implementovat skener přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu. Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.1: Použití centrálně spravovaného antimalwarového softwaru

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky. Antimalwarový software Microsoftu je povolený na podkladovém hostiteli, který podporuje služby Azure (například Azure Logic Apps), ale nespustí se v obsahu zákazníka.

Odpovědnost: Zákazník

8.2: Předběžné naskenování souborů, které se mají nahrát do prostředků Azure bez výpočetních prostředků Azure

Pokyny: Antimalwarový software Společnosti Microsoft je povolený na podkladovém hostiteli, který podporuje služby Azure (například Azure Backup), ale nespustí se ve vašem obsahu.

Předem zkontrolujte všechny soubory, které se nahrávají do prostředků Azure bez výpočetních prostředků, jako jsou App Service, Data Lake Storage, Blob Storage atd.

K detekci malwaru nahraného do účtů úložiště použijte Microsoft Defender pro detekci hrozeb v cloudu.

Odpovědnost: Zákazník

8.3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Nepoužitelné; tento návod je určený pro výpočetní prostředky.

Odpovědnost: Zákazník

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelného automatizovaného zálohování

Pokyny: Implementujte řešení zotavení po havárii , abyste mohli chránit data, rychle obnovit prostředky, které podporují důležité obchodní funkce, a udržovat provoz, aby se zachoval provozní kontinuita (BC).

Tato strategie zotavení po havárii se zaměřuje na nastavení primární aplikace logiky pro převzetí služeb při selhání do pohotovostní aplikace nebo aplikace logiky zálohování v alternativním umístění, kde je k dispozici také Azure Logic Apps. Pokud tak primární trpí ztrátami, přerušeními nebo selháními, může sekundární práce převzít. Tato strategie vyžaduje, aby vaše sekundární aplikace logiky a závislé prostředky už byly nasazené a připravené v alternativním umístění.

Kromě toho byste měli rozšířit základní definici pracovního postupu aplikace logiky do šablony Azure Resource Manager. Tato šablona definuje infrastrukturu, prostředky, parametry a další informace pro zřizování a nasazování aplikace logiky.

Odpovědnost: Zákazník

9.2: Provádění kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Implementujte řešení zotavení po havárii , abyste mohli chránit data, rychle obnovit prostředky, které podporují důležité obchodní funkce, a udržovat provoz, aby se zachoval provozní kontinuita (BC).

Tato strategie zotavení po havárii se zaměřuje na nastavení primární aplikace logiky pro převzetí služeb při selhání do pohotovostní aplikace nebo aplikace logiky zálohování v alternativním umístění, kde je k dispozici také Azure Logic Apps. Pokud tak primární trpí ztrátami, přerušeními nebo selháními, může sekundární práce převzít. Tato strategie vyžaduje, aby vaše sekundární aplikace logiky a závislé prostředky už byly nasazené a připravené v alternativním umístění.

Kromě toho byste měli rozšířit základní definici pracovního postupu aplikace logiky do šablony Azure Resource Manager. Tato šablona definuje infrastrukturu, prostředky, parametry a další informace pro zřizování a nasazování aplikace logiky.

Každý koncový bod požadavku v aplikaci logiky má sdílený přístupový podpis (SAS) v adrese URL koncového bodu. Pokud k ukládání tajných kódů používáte Azure Key Vault, ujistěte se, že pravidelně zálohujete klíče a adresy URL.

Odpovědnost: Zákazník

9.3: Ověřte všechny zálohy včetně klíčů spravovaných zákazníkem.

Pokyny: Strategie zotavení po havárii by se měla zaměřit na nastavení primární aplikace logiky pro převzetí služeb při selhání do pohotovostní aplikace nebo aplikace logiky zálohování v alternativním umístění, kde je dostupná také Služba Azure Logic Apps. Pokud tak primární trpí ztrátami, přerušeními nebo selháními, může sekundární práce převzít. Tato strategie vyžaduje, aby vaše sekundární aplikace logiky a závislé prostředky už byly nasazené a připravené v alternativním umístění.

Otestujte obnovení zálohovaných klíčů spravovaných zákazníkem. Upozorňujeme, že to platí jenom pro Logic Apps spuštěné v prostředích integrační služby (ISE).

Odpovědnost: Zákazník

9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem

Pokyny: Vaše strategie zotavení po havárii by se měla zaměřit na nastavení primární aplikace logiky pro převzetí služeb při selhání do pohotovostní nebo zálohovací aplikace v alternativním umístění, kde je k dispozici také Azure Logic Apps. Pokud tak primární dojde ke ztrátám, přerušením nebo selháním, může sekundární práce převzít. Tato strategie vyžaduje, aby vaše sekundární aplikace logiky a závislé prostředky už byly nasazené a připravené v alternativním umístění.

Chraňte zálohované klíče spravované zákazníkem. Upozorňujeme, že to platí jenom pro Logic Apps spuštěné v prostředích integračních služeb (ISE).

Povolením ochrany Soft-Delete a vymazáním v Key Vault můžete chránit klíče před náhodným nebo škodlivým odstraněním.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocování incidentu a stanovení priorit

Pokyny: Microsoft Defender for Cloud přiřadí každé výstraze závažnosti, která vám pomůže určit prioritu výstrah, které by se měly prošetřit jako první. Závažnost je založená na tom, jak je microsoft Defender for Cloud v hledání nebo metrikě použité k vydání výstrahy, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo ke škodlivému záměru.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) pomocí značek a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure, zejména ty, které zpracovávají citlivá data. Je vaší zodpovědností určit prioritu nápravy upozornění v závislosti na důležitosti prostředků Azure a prostředí, ve kterém k incidentu došlo.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení k otestování schopností reakce na incidenty vašich systémů v pravidelných intervalech, které vám pomůžou chránit prostředky Azure. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude společnost Microsoft používat k tomu, aby vás kontaktovala, pokud Microsoft Security Response Center (MSRC) zjistí, že vaše data byla přístupná neoprávněnou nebo neoprávněnou stranou. Zkontrolujte incidenty po faktu a ujistěte se, že jsou vyřešeny problémy.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu, která pomáhá identifikovat rizika pro prostředky Azure. Průběžný export umožňuje exportovat upozornění a doporučení buď ručně, nebo nepřetržitě. Ke streamování výstrah do Microsoft Sentinelu můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace odpovědi na výstrahy zabezpečení

Pokyny: Pomocí funkce Automatizace pracovních postupů v Microsoft Defenderu pro cloud můžete automaticky aktivovat odpovědi prostřednictvím Logic Apps na výstrahy zabezpečení a doporučení k ochraně vašich prostředků Azure.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a red team cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel zapojení Microsoftu a ujistěte se, že vaše testy průniku nejsou v rozporu se zásadami Microsoftu. Využijte strategii a provádění testování průniku red teamingu a živého webu na cloudové infrastruktuře, službách a aplikacích spravovaných Microsoftem.

Odpovědnost: Sdílené

Další kroky