Standardní hodnoty zabezpečení Azure pro službu Azure Machine Learning

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Microsoft Azure Machine Learning. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny, které se vztahují ke službě Azure Machine Learning.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky se nevztahují ke službě Azure Machine Learning a ty, pro které se globální pokyny doporučují doslovně, byly vyloučeny. Pokud chcete zjistit, jak Azure Machine Learning kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure Machine Learning.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování prostředků Azure Machine Learning vytvořte nebo použijte existující virtuální síť. Zajistěte, aby všechny virtuální sítě Azure dodržovaly zásadu segmentace podniku, která odpovídá obchodním rizikům. Izolujte jakýkoli systém, který by mohl mít pro organizaci vyšší riziko ve vlastní virtuální síti. Zabezpečte systém dostatečně pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Použití Azure ExpressRoute nebo virtuální privátní sítě Azure (VPN) k vytvoření privátních připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí.

Připojení ExpressRoute nepřecházejí přes veřejný internet a nabízejí větší spolehlivost, rychlejší rychlost a nižší latenci než typická internetová připojení. Pro připojení vpn typu point-to-site a site-to-site můžete k virtuální síti připojit místní zařízení nebo sítě. Použijte libovolnou kombinaci těchto možností VPN a Azure ExpressRoute.

Pokud chcete připojit dvě nebo více virtuálních sítí Azure, použijte partnerský vztah virtuálních sítí. Provoz mezi partnerskými virtuálními sítěmi je privátní a zůstává v páteřní síti Azure.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.MachineLearningServices:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Pracovní prostory Služby Azure Machine Learning by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Přečtěte si další informace o privátních odkazech na adrese: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Odepřít, Zakázáno 1.1.0

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Použití Azure Private Link k povolení privátního přístupu ke službě Azure Machine Learning z virtuálních sítí bez přechodu na internet. Privátní přístup přidává do ověřování a zabezpečení provozu Azure podrobnou míru ochrany.

Azure Machine Learning neposkytuje koncový bod služby.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.MachineLearningServices:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Pracovní prostory Služby Azure Machine Learning by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Přečtěte si další informace o privátních odkazech na adrese: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Odepřít, Zakázáno 1.1.0

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Ochrana prostředků Azure Machine Learning před útoky z externích sítí Útoky můžou zahrnovat:

  • Útoky DDoS (Distributed Denial of Service)
  • Útoky specifické pro aplikaci
  • Nevyžádaný a potenciálně škodlivý internetový provoz

Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění. Chraňte prostředky před útoky DDoS tím, že ve virtuálních sítích Azure povolíte službu DDoS Protection Standard. Pomocí programu Microsoft Defender for Cloud můžete zjistit rizika chybná konfigurace v prostředcích souvisejících se sítí.

Používejte funkce Web Application Firewall (WAF) ve službě Azure Application Gateway, Azure Front Door a Azure Content Delivery Network (CDN). Tyto funkce chrání vaše aplikace, které běží ve službě Azure Machine Learning, před útoky na aplikační vrstvu.

Odpovědnost: Zákazník

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti pro prostředky Azure Machine Learning ve skupinách zabezpečení sítě nebo Azure Firewall Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadejte název značky služby, například "azuremachinelearning" v příslušném zdrojovém nebo cílovém poli pravidla, aby bylo možné povolit nebo odepřít provoz pro službu. Microsoft spravuje předpony adres, které značka služby zahrnuje, a automaticky aktualizuje značku služby při změně adres.

Poznámka: Oblastní značka Azuremachinelearning se v současné době nepodporuje.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Postupujte podle osvědčených postupů pro konfigurace DNS pro Azure Machine Learning. Další informace najdete v tématu Použití pracovního prostoru s vlastním serverem DNS.

Pokud chcete zmírnit běžné útoky, postupujte podle osvědčených postupů pro zabezpečení DNS, například:

  • Dangling DNS
  • Útoky na amplifikace DNS
  • Otrava a falšování identity DNS

Pokud jako službu DNS používáte Azure DNS, nezapomeňte chránit zóny a záznamy DNS před náhodnými nebo škodlivými změnami pomocí Azure Role-Based Access Control (RBAC) a zámků prostředků.

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Machine Learning používá Azure AD jako výchozí službu správy identit a přístupu. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Prostředky Microsoft Cloud. Mezi zdroje patří:

    • Azure Portal

    • Azure Storage

    • Virtuální počítače Azure s Linuxem a Windows

    • Azure Key Vault

    • Platforma jako služba (u PaaS)

    • Aplikace SaaS (Software jako služba)

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou pro postupy zabezpečení cloudu vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže porovnat stav zabezpečení identity s doporučeními microsoftu k osvědčeným postupům. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity, které uživatelům bez účtů Microsoft umožňují přihlásit se ke svým aplikacím a prostředkům.

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Pro Azure Machine Learning použijte Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku. Nakonfigurujte instanční objekty pomocí přihlašovacích údajů certifikátu a vraťte se do tajných kódů klienta.

Azure Key Vault můžete použít s identitami spravovanými Azure, takže prostředí runtime, jako je Azure Functions, může získat přihlašovací údaje z trezoru klíčů.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure Machine Learning používá Azure AD správu identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Identity zahrnují podnikové identity, jako jsou zaměstnanci a externí identity, jako jsou partneři, dodavatelé a dodavatelé.

Azure AD poskytuje jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k místním a cloudovým datům a prostředkům vaší organizace.

Připojte všechny uživatele, aplikace a zařízení k Azure AD. Azure AD nabízí bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure Machine Learning umožňuje zákazníkům nasadit a spouštět kód nebo konfigurace nebo uchovávat data, která potenciálně obsahují identity nebo tajné kódy. Pomocí skeneru přihlašovacích údajů můžete tyto přihlašovací údaje zjistit v kódu, konfiguracích nebo datech. Skener přihlašovacích údajů podporuje přesun zjištěných přihlašovacích údajů do zabezpečených umístění, jako je Azure Key Vault.

Pro GitHub můžete pomocí nativní funkce kontroly tajných kódů identifikovat přihlašovací údaje nebo jiné tajné kódy v kódu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Nejdůležitější předdefinované role Azure AD jsou globální správce a správce privilegovaných rolí. Uživatelé s těmito dvěma rolemi můžou delegovat role správce.

  • Globální správce nebo správce společnosti má přístup ke všem funkcím správy Azure AD a službám, které používají Azure AD identity.

  • Správce privilegovaných rolí může spravovat přiřazení rolí v Azure AD a Azure AD Privileged Identity Management (PIM). Tato role může spravovat všechny aspekty PIM a jednotek pro správu.

Omezte počet vysoce privilegovaných účtů nebo rolí a chraňte tyto účty na vyšší úrovni. Vysoce privilegovaní uživatelé můžou přímo nebo nepřímo číst a upravovat všechny vaše prostředky Azure.

Pomocí Azure AD PIM můžete povolit privilegovaný přístup k prostředkům Azure za běhu (JIT) a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat výstrahy zabezpečení pro podezřelou nebo nebezpečnou aktivitu ve vaší Azure AD organizaci.

Azure Machine Learning má při vytváření nového pracovního prostoru tři výchozí role. Vytvořte standardní provozní postupy pro použití účtů vlastníka.

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Machine Learning ke správě svých prostředků používá účty Azure AD. Pravidelně zkontrolujte uživatelské účty a přiřazení přístupu, abyste měli jistotu, že účty a jejich přístup jsou platné. Pomocí Azure AD kontrol přístupu můžete zkontrolovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí.

Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Pracovní postupy sestavy kontroly přístupu můžete také vytvořit v Azure AD PIM a usnadnit tak proces kontroly.

Můžete nakonfigurovat Azure AD PIM tak, aby vás upozorňoval, když existuje příliš mnoho účtů správce. PIM může identifikovat účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Azure Machine Learning nabízí předdefinované role pro uživatele služby data a uživatele služby UX.

Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Spravujte tyto uživatele samostatně.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a kritické operátory služeb. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice a Azure Bastion.

Pomocí Azure AD, programu Microsoft Defender ATP nebo Microsoft Intune nasaďte zabezpečenou a spravovanou uživatelskou pracovní stanici pro úlohy správy. Zabezpečené pracovní stanice můžete centrálně spravovat a vynucovat konfiguraci zabezpečení, která zahrnuje:

  • Silné ověřování

  • Standardní hodnoty softwaru a hardwaru

  • Omezený logický přístup a přístup k síti

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

PA-7: Dodržujte zásadu nejnižších oprávnění pouze dostatečné správy.

Pokyny: Azure Machine Learning se integruje s Azure RBAC pro správu svých prostředků. Pomocí RBAC spravujete přístup k prostředkům Azure prostřednictvím přiřazení rolí. Role můžete přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám. Některé prostředky mají předem definované předdefinované předdefinované role. Tyto role můžete inventarizační nebo dotazovat pomocí nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal.

Omezte oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, na to, co role vyžadují. Tento postup doplňuje přístup JIT (just-in-time) Azure AD PIM. Pravidelně zkontrolujte role a přiřazení.

K přidělení oprávnění použijte předdefinované role a v případě potřeby vytvořte jenom vlastní role.

Azure Machine Learning nabízí předdefinované role pro uživatele služby data a uživatele služby UX.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Zjišťování, klasifikace a označování citlivých dat Návrh vhodných ovládacích prvků pro technologické systémy organizace k bezpečnému ukládání, zpracování a přenosu citlivých informací

Použijte Azure Information Protection (AIP) a přidružený nástroj pro vyhledávání citlivých informací v dokumentech Office. AIP můžete použít v Azure, Office 365, v místním prostředí nebo v jiných umístěních.

Azure SQL Information Protection můžete použít ke klasifikaci a označování informací uložených v databázi Azure SQL.

Odpovědnost: Zákazník

DP-2: Ochrana citlivých dat

Pokyny: Ochrana citlivých dat omezením přístupu pomocí Azure RBAC, řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure Můžete například použít šifrování v SQL a dalších databázích.

Pro konzistenci zarovnejte všechny typy řízení přístupu se strategií segmentace podniku. Informujte strategii segmentace podniku umístěním citlivých nebo důležitých obchodních dat a systémů.

Microsoft považuje veškerý obsah zákazníků v podkladové platformě spravované Microsoftem za citlivý. Microsoft chrání před ztrátou a expozicí zákaznických dat. Microsoft má výchozí ovládací prvky a možnosti ochrany dat, které zajistí, že zákaznická data Azure zůstanou zabezpečená.

Odpovědnost: Zákazník

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Monitorování neoprávněného přenosu dat do umístění mimo podnikovou viditelnost a kontrolu Monitorujte neobvyklé aktivity, jako jsou velké nebo neobvyklé přenosy, které by mohly znamenat neoprávněné exfiltrace dat.

AtP služby Azure Storage a Azure SQL ATP můžou upozorňovat na neobvyklé přenosy informací, které můžou znamenat neoprávněné přenosy citlivých informací.

AIP poskytuje možnosti monitorování pro klasifikované a označené informace.

V případě potřeby dodržování předpisů před únikem informací můžete použít řešení ochrany před únikem informací založené na hostiteli k vynucení kontrol detekce a prevence a zabránění exfiltraci dat.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Pokud chcete doplnit řízení přístupu, chraňte data při přenosu před útoky mimo pásma, jako je zachycení provozu. Šifrováním zajistíte, aby útočníci nemohli data snadno číst ani upravovat. Azure Machine Learning podporuje šifrování dat při přenosu pomocí protokolu TLS (Transport Layer Security) v1.2.

Tento požadavek je volitelný pro provoz v privátních sítích, ale je kritický pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že klienti, kteří se připojují k prostředkům Azure, můžou používat protokol TLS verze 1.2 nebo novější.

Pro vzdálenou správu použijte zabezpečené prostředí (SSH) pro Linux nebo protokol RDP (Remote Desktop Protocol) a TLS pro Windows. Nepoužívejte nešifrovaný protokol. Zakažte slabé šifry a zastaralé protokoly SSL, TLS a SSH.

Azure ve výchozím nastavení šifruje data přenášená mezi datovými centry Azure.

Odpovědnost: Microsoft

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pokud chcete doplnit řízení přístupu, Azure Machine Learning chrání neaktivní uložená data před útoky mimo pásma, jako je přístup k podkladovému úložišti, pomocí šifrování. Šifrování pomáhá zajistit, aby útočníci nemohli data snadno číst ani upravovat.

Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. Pro vysoce citlivá data můžete implementovat další šifrování neaktivních uložených dat na prostředcích Azure, kde jsou k dispozici. Azure spravuje vaše šifrovací klíče ve výchozím nastavení, ale některé služby Azure poskytují možnosti pro klíče spravované zákazníkem.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.MachineLearningServices:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. Správa šifrování neaktivních dat pracovního prostoru Azure Machine Learning s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a odpovědnost za životní cyklus klíčů, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. Audit, Odepřít, Zakázáno 1.0.3

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že v tenantovi a předplatných Azure udělíte oprávnění čtenáři zabezpečení týmů zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního týmu zabezpečení nebo místního týmu v závislosti na tom, jak strukturujete odpovědnost. Vždy agregujte přehledy zabezpečení a rizika centrálně v rámci organizace.

Oprávnění čtenáře zabezpečení můžete použít široce pro kořenovou skupinu pro správu celého tenanta nebo oprávnění oboru pro konkrétní skupiny pro správu nebo předplatná.

Poznámka: Viditelnost úloh a služeb může vyžadovat více oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Použití značek u prostředků Azure, skupin prostředků a předplatných k jejich logickému uspořádání do taxonomie Každá značka se skládá z dvojice názvů a hodnot. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Pomocí služby Azure Virtual Machine Inventory můžete automatizovat shromažďování informací o softwaru na virtuálních počítačích. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a importujte protokoly událostí Windows do pracovního prostoru služby Log Analytics.

Pomocí programu Microsoft Defender for Cloud Adaptivní řízení aplikací určete, na které typy souborů se pravidlo vztahuje.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Pomocí Azure Policy auditujte a omezte služby, které můžou uživatelé ve vašem prostředí zřídit. K dotazování a zjišťování prostředků v rámci předplatných použijte Azure Resource Graph. Azure Monitor můžete použít také k vytvoření pravidel pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Zákazník

AM-6: Použití jenom schválených aplikací ve výpočetních prostředcích

Pokyny: Použití inventáře virtuálních počítačů Azure k automatizaci shromažďování informací o veškerém softwaru na virtuálních počítačích Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Windows do pracovního prostoru služby Log Analytics.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Použití integrované funkce detekce hrozeb v programu Microsoft Defender pro cloud Povolte Microsoft Defender pro prostředky Azure Machine Learning. Microsoft Defender for Azure Machine Learning poskytuje další vrstvu inteligentních funkcí zabezpečení. Microsoft Defender detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k prostředkům Azure Machine Learning nebo jejich zneužití.

Odpovědnost: Zákazník

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure AD poskytuje následující protokoly uživatelů. Protokoly můžete zobrazit v Azure AD vytváření sestav. Protokoly můžete integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýz.

  • Přihlášení – Informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů

  • Protokoly auditu – Sledovatelnost prostřednictvím protokolů pro všechny změny provedené různými funkcemi Azure AD. Protokoly auditu zahrnují změny provedené u všech prostředků v rámci Azure AD. Změny zahrnují přidání nebo odebrání uživatelů, aplikací, skupin, rolí a zásad.

  • Rizikové přihlášení – indikátor pokusů o přihlášení někým, kdo nemusí být oprávněným vlastníkem uživatelského účtu.

  • Uživatelé označení příznakem rizika – indikátor uživatelského účtu, který mohl být ohrožen.

Microsoft Defender for Cloud vás také může upozornit na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření. Zastaralé účty v předplatném můžou také aktivovat výstrahy.

Microsoft Defender for Cloud vás také může upozornit na podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření nebo o zastaralých účtech.

Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat podrobnější výstrahy zabezpečení z:

  • Jednotlivé výpočetní prostředky Azure, jako jsou virtuální počítače, kontejnery a app service

  • Datové prostředky, jako je Azure SQL Database a Azure Storage

  • Vrstvy služeb Azure

Tato funkce poskytuje přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Povolení a shromažďování protokolů prostředků skupiny zabezpečení sítě (NSG), protokolů toku NSG, protokolů Azure Firewall protokolů a protokolů Web Application Firewall (WAF) pro účely analýzy zabezpečení Protokoly podporují vyšetřování incidentů, proaktivní vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru služby Azure Monitor Log Analytics a použít Traffic Analytics k poskytování přehledů.

Nezapomeňte shromáždit protokoly dotazů DNS, které pomáhají korelovat další síťová data. Řešení protokolování DNS jiného výrobce můžete implementovat z Azure Marketplace podle potřeb vaší organizace.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit jsou k dispozici automaticky. Protokoly obsahují všechny operace PUT, POST a DELETE, ale ne GET pro vaše prostředky Azure Machine Learning. Protokoly aktivit můžete použít k vyhledání chyb při řešení potíží nebo k monitorování způsobu, jakým uživatelé ve vaší organizaci upravili prostředky.

Povolte protokoly prostředků Azure pro Azure Machine Learning. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolu. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a forenzní cvičení.

Azure Machine Learning také vytváří protokoly auditu zabezpečení pro účty místního správce. Povolte tyto protokoly auditu místního správce. Nakonfigurujte protokoly, které se mají odesílat do centrálního pracovního prostoru služby Log Analytics nebo účtu úložiště pro dlouhodobé uchovávání a auditování.

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolů se ujistěte, že máte:

  • Přiřazený vlastník dat
  • Pokyny k přístupu
  • Umístění úložiště
  • Jaké nástroje používáte ke zpracování a přístupu k datům
  • Požadavky na uchovávání dat

Nezapomeňte integrovat protokoly aktivit Azure do centrálního protokolování.

Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení, která generují zařízení koncových bodů, síťové prostředky a další systémy zabezpečení. Ve službě Azure Monitor můžete k dotazování a analýze použít pracovní prostory Log Analytics.

Účty Azure Storage používejte pro dlouhodobé a archivní úložiště.

Povolte a připojte data do Microsoft Sentinelu nebo siem jiného výrobce. Mnoho organizací používá Microsoft Sentinel pro "horká" data, která často používají, a Azure Storage pro "studená" data, která používají méně často.

U aplikací, které běží ve službě Azure Machine Learning, předejte všechny protokoly související se zabezpečením do systému SIEM pro centralizovanou správu.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics, které používáte k ukládání protokolů Služby Azure Machine Learning, mají nastavené doby uchovávání protokolů podle předpisů vaší organizace.

Ve službě Azure Monitor můžete nastavit dobu uchovávání pracovního prostoru služby Log Analytics podle předpisů vaší organizace. Pro dlouhodobé a archivní úložiště používejte účty pracovního prostoru Azure Storage, Azure Data Lake nebo Log Analytics.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Azure Machine Learning nepodporuje konfiguraci vlastních zdrojů synchronizace času. Služba Azure Machine Learning spoléhá na zdroje synchronizace času Microsoftu, které nejsou pro zákazníky vystavené pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Azure Machine Learning podporuje zásady specifické pro služby, které jsou k dispozici v programu Microsoft Defender pro cloud k auditování a vynucování konfigurací prostředků Azure. Zásady můžete nakonfigurovat v programu Microsoft Defender for Cloud nebo Azure Policy.

Azure Blueprints slouží k automatizaci nasazení a konfigurace služeb a aplikačních prostředí. Jedna definice podrobného plánu může zahrnovat šablony Azure Resource Manager, ovládací prvky RBAC a zásady.

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Ke sledování standardních hodnot konfigurace použijte Microsoft Defender for Cloud. Pomocí Azure Policy [odepřít] a [nasadit pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč výpočetními prostředky Azure, včetně virtuálních počítačů a kontejnerů.

Odpovědnost: Zákazník

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Azure Machine Learning má různou podporu napříč různými výpočetními prostředky, včetně vlastních výpočetních prostředků. Pro výpočetní prostředky, které vaše organizace vlastní, použijte Microsoft Defender pro cloudová doporučení k údržbě konfigurací zabezpečení. K nastavení konfigurace zabezpečení operačního systému, kterou vaše organizace vyžaduje, můžete použít také vlastní image operačního systému nebo Azure Automation State Configuration.

Použijte Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů a kontejnerů.

Odpovědnost: Zákazník

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Využijte Microsoft Defender pro cloud a Azure Policy k pravidelnému vyhodnocení a nápravě rizik konfigurace u výpočetních prostředků Azure, včetně virtuálních počítačů a kontejnerů. K údržbě konfigurace zabezpečení operačního systému, kterou vaše organizace vyžaduje, můžete také použít šablony Azure Resource Manager (ARM), vlastní image operačního systému nebo konfiguraci stavu Azure Automation stavu.

Šablony virtuálních počítačů Microsoftu v kombinaci s Azure Automation State Configuration můžou pomoct splnit a udržovat požadavky na zabezpečení.
Microsoft spravuje a udržuje image virtuálních počítačů, které publikují na Azure Marketplace.

Microsoft Defender for Cloud může kontrolovat ohrožení zabezpečení v imagích kontejnerů a průběžně monitorovat konfigurace kontejnerů Dockeru proti srovnávacím testům CIS Dockeru. Stránku doporučení pro cloud v programu Microsoft Defender pro cloud můžete použít k zobrazení doporučení a nápravě problémů.

Odpovědnost: Zákazník

PV-5: Bezpečné ukládání vlastních imagí operačního systému a kontejnerů

Pokyny: Azure Machine Learning umožňuje zákazníkům spravovat image kontejnerů. Pomocí Azure RBAC zajistěte, aby k vašim vlastním imagím měli přístup jenom autorizovaní uživatelé. Použijte Azure Shared Image Gallery ke sdílení imagí různým uživatelům, instančním objektům nebo skupinám Azure AD ve vaší organizaci. Uložte image kontejnerů do Azure Container Registry a pomocí RBAC zajistěte, aby k nim měli přístup jenom autorizovaní uživatelé.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Azure Machine Learning umožňuje nasazení služby prostřednictvím registrů kontejnerů ve svém prostředí.

Postupujte podle doporučení z Programu Microsoft Defender for Cloud pro provádění posouzení ohrožení zabezpečení imagí kontejnerů. Microsoft Defender for Cloud má integrovanou kontrolu ohrožení zabezpečení pro image kontejnerů.

Podle potřeby exportujte výsledky kontroly v konzistentních intervalech. Porovnejte výsledky s předchozími kontrolami a ověřte, že došlo k nápravě ohrožení zabezpečení. Při použití doporučení pro správu ohrožení zabezpečení navržených programem Microsoft Defender for Cloud můžete přejít na portál vybraného řešení a zobrazit historická data kontroly.

Azure Machine Learning může použít řešení třetí strany k provádění posouzení ohrožení zabezpečení na síťových zařízeních a webových aplikacích. Při provádění vzdálených kontrol nepoužívejte jediný, časově neomezený účet správce. Zvažte implementaci metodologie zřizování JIT pro účet kontroly. Chraňte a monitorujte přihlašovací údaje pro účet kontroly a použijte ho pouze ke kontrole ohrožení zabezpečení.

Odpovědnost: Zákazník

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Azure Machine Learning používá jako součást služby Azure Machine Learning opensourcový software.

Pro software třetích stran použijte řešení pro správu oprav třetích stran nebo system Center Aktualizace Publisher pro Configuration Manager.

Odpovědnost: Zákazník

PV-8: Provádění pravidelné simulace útoku

Pokyny: Proveďte testování průniku nebo červené týmové aktivity na vašich prostředcích Azure podle potřeby a zajistěte nápravu všech kritických zjištění zabezpečení.

Postupujte podle pravidel zapojení Microsoft Cloud Penetrační testování, abyste zajistili, že testy průniku nesplňují zásady Microsoftu. Použijte strategii a provádění Red Teaming od Microsoftu. Proveďte testování průniku živého webu s využitím cloudové infrastruktury, služeb a aplikací spravovaných Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

Pokyny: Povolení funkcí detekce koncových bodů a odezvy (EDR) pro servery a klienty Integrace s procesy operací zabezpečení a SIEM

Rozšířená ochrana před internetovými útoky v programu Microsoft Defender poskytuje funkci EDR jako součást podnikové platformy zabezpečení koncových bodů, která umožňuje předcházet pokročilým hrozbám, zjišťovat je, zkoumat a reagovat na ně.

Odpovědnost: Zákazník

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Ochrana služby Azure Machine Learning a jejích prostředků pomocí centrálně spravovaného moderního antimalwarového softwaru Použijte centrálně spravované antimalwarové řešení koncového bodu, které může provádět kontrolu v reálném čase a pravidelné kontrole.

  • Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarovým řešením pro virtuální počítače s Windows.

  • Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetí strany.

  • K detekci malwaru nahraných do účtů Azure Storage použijte Microsoft Defender pro detekci cloudových hrozeb.

  • Automatické použití Microsoft Defenderu pro cloud:

    • Identifikace několika oblíbených antimalwarových řešení pro vaše virtuální počítače

    • Hlášení stavu spuštěné ochrany koncového bodu

    • Vytváření doporučení

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

ES-3: Nezapomeňte aktualizovat antimalwarový software a podpisy.

Pokyny: Nezapomeňte rychle a konzistentně aktualizovat antimalwarové podpisy.

Postupujte podle doporučení v programu Microsoft Defender pro cloudové "výpočetní & aplikace", abyste měli jistotu, že všechny virtuální počítače a kontejnery budou aktuální s nejnovějšími podpisy.

Pro Windows Microsoft Antimalware automaticky nainstaluje nejnovější podpisy a aktualizace modulu ve výchozím nastavení. Pro Linux použijte antimalwarové řešení třetích stran.

Odpovědnost: Zákazník

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Ujistěte se, že spouštíte pravidelné automatizované zálohování.

Pokyny: Ujistěte se, že zálohujete systémy a data, abyste zachovali provozní kontinuitu po neočekávané události. Pokyny použijte pro všechny cíle doby obnovení (RTO) a cíle bodu obnovení (RPO).

Povolte Azure Backup. Nakonfigurujte zdroje záloh, jako jsou virtuální počítače Azure, SQL Server, databáze HANA nebo sdílené složky. Nakonfigurujte požadovanou frekvenci a dobu uchovávání.

Pokud chcete získat vyšší redundanci, povolte geograficky redundantní možnosti úložiště pro replikaci zálohovaných dat do sekundární oblasti a obnovení pomocí obnovení mezi oblastmi.

Odpovědnost: Zákazník

BR-2: Šifrování zálohovaných dat

Pokyny: Ujistěte se, že vaše zálohy chráníte před útoky. Ochrana záloh by měla zahrnovat šifrování, které chrání před ztrátou důvěrnosti.

Místní zálohování pomocí Azure Backup poskytuje šifrování neaktivních uložených uložených dat pomocí přístupového hesla, které zadáte. Pravidelné zálohování služby Azure automaticky šifruje zálohovaná data pomocí klíčů spravovaných platformou Azure. Zálohování můžete zašifrovat pomocí klíče spravovaného zákazníkem. V tomto případě se ujistěte, že tento klíč spravovaný zákazníkem v trezoru klíčů je také v oboru zálohování.

RBAC můžete použít v Azure Backup, Azure Key Vault a dalších prostředcích k ochraně záloh a klíčů spravovaných zákazníkem. Můžete také povolit pokročilé funkce zabezpečení, které před změnou nebo odstraněním záloh vyžadují vícefaktorové ověřování.

Odpovědnost: Zákazník

BR-3: Ověření všech záloh, včetně klíčů spravovaných zákazníkem

Pokyny: Pravidelně obnovujte data záloh a ujistěte se, že můžete obnovit zálohované klíče spravované zákazníkem.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte zavedená opatření, abyste zabránili ztrátě klíčů a obnovili je. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

Odpovědnost: Zákazník

Další kroky