Standardní hodnoty zabezpečení Azure pro Azure Database for PostgreSQL – Hyperscale

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Azure Database for PostgreSQL – Hyperscale. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Database for PostgreSQL – Hyperscale.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na Azure Database for PostgreSQL – Hyperscale nebo které jsou odpovědností Microsoftu, byly vyloučeny. Pokud chcete zjistit, jak Azure Database for PostgreSQL – Hyperscale se kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor Azure Database for PostgreSQL mapování standardních hodnot zabezpečení Hyperscale.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Azure Database for PostgreSQL bráně firewall serveru brání veškerý přístup k uzlu koordinátoru Hyperscale (Citus), dokud nezadáte, které počítače mají oprávnění. Brána firewall uděluje přístup k serveru v závislosti na zdrojové IP adrese každého požadavku. Bránu firewall nakonfigurujete tak, že vytvoříte pravidla brány firewall určující rozsahy přípustných IP adres. Pravidla firewallu můžete vytvořit na úrovni serveru.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.DBforPostgreSQL:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2

1.9: Údržba standardních konfigurací zabezpečení pro síťová zařízení

Pokyny: Definujte a implementujte standardní konfigurace zabezpečení pro nastavení sítě a síťové prostředky přidružené k vašim instancím Azure Database for PostgreSQL s Azure Policy. Pomocí aliasů Azure Policy v oboru názvů Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě vašich Azure Database for PostgreSQL instancí.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Pro protokolování auditu řídicí roviny povolte nastavení diagnostiky protokolu aktivit Azure a odešlete protokoly do pracovního prostoru služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure pro archivaci. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy u všech operací zápisu (PUT, POST, DELETE) provedených na úrovni řídicí roviny pro vaše prostředky Azure.

K agregaci dat zabezpečení generovaných hyperškálováním (Citus) můžete také ingestovat protokoly prostřednictvím služby Azure Monitor. Ve službě Azure Monitor použijte k dotazování a provádění analýz pracovní prostory služby Log Analytics a používejte účty úložiště pro dlouhodobé nebo archivní úložiště. Případně můžete povolit a připojit data ke službě Microsoft Sentinel nebo řešení SIEM (Security Incident and Event Management) třetí strany.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Hyperscale (Citus) poskytuje metriky pro každý uzel ve skupině serverů. Metriky poskytují přehled o chování podpůrných prostředků. Každá metrika se vygeneruje v minutové frekvenci a má až 30 dnů historie.

V případě protokolování auditu řídicí roviny povolte nastavení diagnostiky protokolu aktivit Azure a odešlete protokoly do pracovního prostoru služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure pro archivaci. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy u všech operací zápisu (PUT, POST, DELETE) provedených na úrovni řídicí roviny pro vaše prostředky Azure.

K agregaci dat zabezpečení generovaných hyperškálováním (Citus) můžete také ingestovat protokoly prostřednictvím služby Azure Monitor. Ve službě Azure Monitor použijte k dotazování a provádění analýz pracovní prostory služby Log Analytics a používejte účty úložiště pro dlouhodobé nebo archivní úložiště. Případně můžete povolit a připojit data ke službě Microsoft Sentinel nebo řešení SIEM (Security Incident and Event Management) třetí strany.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: V rámci služby Azure Monitor nastavte pro pracovní prostor služby Log Analytics, který se používá k uchovávání protokolů Hyperscale (Citus), dobu uchovávání informací podle předpisů vaší organizace. Účty úložiště Azure používejte pro dlouhodobé a archivní úložiště.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Analýza a monitorování protokolů z instancí Hyperscale (Citus) za účelem neobvyklého chování Pomocí Log Analytics služby Azure Monitor můžete kontrolovat protokoly a provádět dotazy na data protokolů. Případně můžete povolit a připojit data do Microsoft Sentinelu nebo siEM jiného výrobce.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Můžete povolit nastavení diagnostiky pro Hyperscale (Citus) a odesílat protokoly do pracovního prostoru služby Log Analytics. Výstrahu můžete nakonfigurovat a přijmout na základě metrik monitorování služeb Azure. Pomocí Log Analytics služby Azure Monitor můžete kontrolovat protokoly a provádět dotazy na data protokolů. Případně můžete povolit a připojit data do Microsoft Sentinelu nebo siEM jiného výrobce.

Připojte svůj pracovní prostor Služby Log Analytics ke službě Microsoft Sentinel, protože poskytuje řešení automatické reakce (SOAR) pro orchestraci zabezpečení. To umožňuje vytvoření playbooků (automatizovaných řešení) a jejich použití k nápravě problémů se zabezpečením.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Udržujte inventář uživatelských účtů, které mají přístup správce k řídicí rovině (např. Azure Portal) instancí Hyperscale (Citus). Kromě toho udržujte inventář účtů pro správu, které mají přístup k rovině dat (v samotné databázi) vašich instancí Hyperscale (Citus).

Hyperscale (Citus) nepodporuje integrované řízení přístupu na základě role, ale můžete vytvářet vlastní role na základě konkrétních operací poskytovatele prostředků.

Modul PostgreSQL navíc používá role k řízení přístupu k databázovým objektům a nově vytvořenou skupinu serverů Hyperscale (Citus) má předdefinované několik rolí. Pokud chcete upravit uživatelská oprávnění, použijte standardní příkazy PostgreSQL pomocí nástroje, jako je PgAdmin nebo psql.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Azure Active Directory (Azure AD) nemá koncept výchozích hesel. Další prostředky Azure, které vyžadují heslo, vynutí vytvoření hesla s požadavky na složitost a minimální délku hesla, která se liší v závislosti na službě. Zodpovídáte za aplikace třetích stran a služby marketplace, které můžou používat výchozí hesla.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvořte standardní provozní postupy týkající se použití vyhrazených účtů pro správu, které se používají pro přístup k instancím Hyperscale (Citus). Účty správce pro správu prostředků Azure jsou svázané se službou Azure Active Directory (Azure AD), existují také účty správce místního serveru, které existují ve skupině serverů Hyperscale (Citus) pro správu oprávnění přístupu k databázi. Ke sledování počtu účtů pro správu v rámci Azure AD použijte Microsoft Defender pro cloudovou identitu a správu přístupu.

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Pokud chcete získat přístup k Azure Portal povolení vícefaktorového ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro cloudovou identitu a správu přístupu.

Odpovědnost: Zákazník

3.6: Použití vyhrazených počítačů (pracovní stanice s privilegovaným přístupem) pro všechny úlohy správy

Pokyny: Použití pracovních stanic s privilegovaným přístupem (PAWs) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Azure

Odpovědnost: Zákazník

3.7: Upozornění na odchylku chování při přihlášení účtu

Pokyny: Použití služby Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pro generování protokolů a upozornění, pokud dojde k podezřelé nebo nebezpečné aktivitě v prostředí.

Pomocí Azure AD Detekce rizik můžete zobrazit výstrahy a sestavy o rizikovém chování uživatelů.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Pomocí pojmenovaných umístění podmíněného přístupu povolte portál a Azure Resource Manager přístup jenom z konkrétních logických seskupení rozsahů IP adres nebo zemí nebo oblastí.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Použití Azure Active Directory (Azure AD) jako centrálního systému ověřování a autorizace ke správě prostředků PostgreSQL Azure AD chrání data pomocí silného šifrování neaktivních a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Uživatelé ve skupině serverů Hyperscale (Citus) nemohou být svázáni přímo s účty Azure AD. Pokud chcete upravit uživatelská oprávnění pro přístup k databázovému objektu, použijte standardní příkazy PostgreSQL s nástroji, jako je PgAdmin nebo psql.

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit přístup uživatelů

Pokyny: Kontrola a odsouhlasení přístupu pro oba uživatele, kteří mají přístup k místní databázi, a také prostřednictvím Azure Active Directory (Azure AD) ke správě prostředků PostgreSQL.

Pro uživatele s přístupem ke správě databázových prostředků Azure si projděte protokoly Azure AD, které vám pomůžou zjistit zastaralé účty. Kromě toho můžete pomocí kontrol přístupu k identitám Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím, které se můžou používat pro přístup k Hyperscale (Citus) a přiřazení rolí. Uživatelský přístup by se měl pravidelně kontrolovat, například každých 90 dnů, aby se zajistilo, že k nim budou mít přístup jenom správní uživatelé.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Pokyny: Ve službě Azure Active Directory (Azure AD) máte přístup ke Azure AD zdrojům protokolu událostí přihlášení, auditu a rizik, které umožňují integraci s jakýmkoli nástrojem SIEM/Monitoring.

Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů a odesláním protokolů auditu a protokolů přihlašování do pracovního prostoru služby Log Analytics. V pracovním prostoru služby Log Analytics můžete nakonfigurovat požadovaná upozornění.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Použití funkcí služby Identity Protection a detekce rizik služby Azure Active Directory (Azure AD) ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce na úrovni Azure AD. Automatizované odpovědi můžete povolit prostřednictvím služby Microsoft Sentinel k implementaci odpovědí na zabezpečení vaší organizace.

Můžete také ingestovat protokoly do Služby Microsoft Sentinel pro další šetření.

Odpovědnost: Zákazník

3.13: Poskytněte Microsoftu přístup k relevantním zákaznickým datům během scénářů podpory.

Pokyny: Aktuálně není k dispozici; Customer Lockbox ještě není podporován pro Hyperscale (Citus).

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Údržba inventáře citlivých informací

Pokyny: Použití značek k usnadnění sledování instancí Hyperscale (Citus) nebo souvisejících prostředků, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Implementace samostatných předplatných a/nebo skupin pro správu pro vývoj, testování a produkci Pomocí kombinace rolí pro správu a pravidel brány firewall můžete izolovat a omezit síťový přístup k vašim instancím Azure Database for PostgreSQL.

Odpovědnost: Zákazník

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Připojení klientských aplikací k uzlu koordinátoru Hyperscale (Citus) vyžadují protokol TLS (Transport Layer Security) 1.2. Vynucení připojení TLS mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky typu man-in-the-middle tím, že zašifruje datový proud mezi serverem a vaší aplikací.

U všech Azure Database for PostgreSQL serverů zřízených prostřednictvím Azure Portal je ve výchozím nastavení povolené vynucení připojení TLS.

V některých případech aplikace třetích stran vyžadují k bezpečnému připojení místní soubor certifikátu vygenerovaný ze souboru certifikátu důvěryhodné certifikační autority (.cer).

Odpovědnost: Sdílené

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy související s tímto řízením můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.DBforPostgreSQL:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Vynucení připojení SSL by mělo být povolené pro databázové servery PostgreSQL Azure Database for PostgreSQL podporuje připojení Azure Database for PostgreSQL serveru k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" tím, že zašifruje datový proud mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1

4.6: Řízení přístupu k prostředkům pomocí Azure RBAC

Pokyny: Řízení přístupu na základě role v Azure (Azure RBAC) k řízení přístupu k řídicí rovině Hyperscale (Citus) (např. Azure Portal). Azure RBAC nemá vliv na uživatelská oprávnění v rámci databáze.

Pokud chcete upravit uživatelská oprávnění na úrovni databáze, použijte standardní příkazy PostgreSQL pomocí nástroje, jako je PgAdmin nebo psql.

Odpovědnost: Zákazník

4.8: Šifrování citlivých informací v klidovém stavu

Pokyny: Alespoň jednou denně Azure Database for PostgreSQL Hyperscale (Citus) provádí zálohování datových souborů a transakčního protokolu databáze. Zálohy umožňují obnovit server do libovolného bodu v čase během doby uchovávání. (Doba uchovávání je aktuálně 35 dnů pro všechny clustery.) Všechny zálohy se šifrují pomocí 256bitového šifrování AES. Nabídka PostgreSQL Hyperscale (Citus) používá pro šifrování klíče spravované Microsoftem.

Odpovědnost: Sdílené

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Doprovodné materiály: Použití služby Azure Monitor s protokolem aktivit Azure k vytváření upozornění pro případy, kdy se změny projeví v produkčních instancích Hyperscale (Citus) a dalších kritických nebo souvisejících prostředků.

Odpovědnost: Zákazník

Správa ohrožení zabezpečení

Další informace najdete v srovnávacím testu zabezpečení Azure: Správa ohrožení zabezpečení.

5.1: Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení

Pokyny: Aktuálně není k dispozici; Microsoft Defender for Cloud zatím nepodporuje posouzení ohrožení zabezpečení pro Azure Database for PostgreSQL – Hyperscale (Citus).

Odpovědnost: Sdílené

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventory and Asset Management.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (včetně instancí Hyperscale (Citus) v rámci vašich předplatných Ujistěte se, že máte ve svém tenantovi příslušná oprávnění ke čtení a máte možnost vytvořit výčet všech předplatných Azure a prostředků v rámci vašich předplatných.

Odpovědnost: Zákazník

6.2: Údržba metadat assetů

Pokyny: Použití značek u instancí Hyperscale (Citus) a dalších souvisejících prostředků, které poskytují metadata, aby je logicky uspořádaly do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: Použití označování, skupin pro správu a samostatných předplatných, kde je to vhodné, k uspořádání a sledování instancí Hyperscale (Citus) a souvisejících prostředků. Sladit inventář pravidelně a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Odpovědnost: Zákazník

6.4: Definování a údržba inventáře schválených prostředků Azure

Pokyny: Použití zásad Azure k umístění omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků

  • Povolené typy prostředků

Kromě toho použijte Azure Resource Graph k dotazování nebo zjišťování prostředků v rámci předplatných.

Odpovědnost: Zákazník

6.5: Monitorování pro neschválené prostředky Azure

Pokyny: Použití zásad Azure k umístění omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Kromě toho použijte Azure Resource Graph k dotazování nebo zjišťování prostředků v rámci předplatných.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Použití zásad Azure k umístění omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

Odpovědnost: Zákazník

6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Pomocí podmíněného přístupu Azure omezte možnost uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management. To může zabránit vytváření a změnám prostředků v prostředí s vysokým zabezpečením, jako jsou instance Hyperscale (Citus), které obsahují citlivé informace.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro instance Hyperscale (Citus) s Azure Policy Pomocí Azure Policy vytvořte vlastní zásady pro auditování nebo vynucování konfigurace sítě vašich Azure Database for PostgreSQL instancí.

Azure Resource Manager má také možnost exportovat šablonu do formátu JSON (JavaScript Object Notation), který by se měl zkontrolovat, aby se zajistilo, že konfigurace splňují nebo překračují požadavky na zabezpečení pro vaši organizaci.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Použití zásad Azure [odepřít] a [nasazení, pokud neexistuje] k vynucení zabezpečeného nastavení napříč prostředky Azure Kromě toho můžete pomocí šablon Azure Resource Manager udržovat konfiguraci zabezpečení prostředků Azure vyžadovaných vaší organizací.

Odpovědnost: Zákazník

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Pokyny: Pokud používáte vlastní definice zásad Azure pro instance Hyperscale (Citus) a související prostředky, použijte Azure Repos k bezpečnému ukládání a správě kódu.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Použití zásad Azure [odepřít] a [nasazení, pokud neexistuje] k vynucení zabezpečeného nastavení napříč prostředky Azure Kromě toho můžete pomocí šablon Azure Resource Manager udržovat konfiguraci zabezpečení prostředků Azure vyžadovaných vaší organizací.

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití Azure Policy aliasů v oboru názvů Microsoft.DBforPostgreSQL k vytváření vlastních zásad pro upozornění, audit a vynucování konfigurací systému. Pomocí služby Azure Policy [audit], [odepřít] a [nasadit, pokud neexistuje] můžete automaticky vynucovat konfigurace pro vaše Azure Database for PostgreSQL instance a související prostředky.

Odpovědnost: Zákazník

7.12: Správa identit bezpečně a automaticky

Pokyny: Azure Database for PostgreSQL – Hyperscale (Citus) v současné době nepodporuje přímo spravované identity. Při vytváření serveru Azure Database for PostgreSQL musíte zadat přihlašovací údaje pro uživatele správce. V rozhraní Azure Portal můžete vytvořit další role uživatelů.

Odpovědnost: Zákazník

7.13: Eliminace neúmyslné expozice přihlašovacích údajů

Pokyny: Implementace skeneru přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.2: Předběžné naskenování souborů, které se mají nahrát do prostředků Azure bez výpočetních prostředků Azure

Pokyny: Antimalwarový software Microsoftu je povolený na podkladovém hostiteli, který podporuje služby Azure – například Hyperscale (Citus) – ale nespustí se na obsahu zákazníka.

Předem zkontrolujte veškerý obsah, který se nahrává do prostředků Azure, jako jsou App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL atd. Microsoft nemůže získat přístup k vašim datům v těchto instancích.

Odpovědnost: Zákazník

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelných automatizovaných záloh

Pokyny: Azure Database for PostgreSQL – Hyperscale (Citus) automaticky vytváří zálohy jednotlivých uzlů a ukládá je do místně redundantního úložiště. Zálohy je možné použít k obnovení clusteru Hyperscale (Citus) do zadaného času.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy související s tímto řízením můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.DBforPostgreSQL:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Geograficky redundantní zálohování by mělo být povolené pro Azure Database for PostgreSQL Azure Database for PostgreSQL umožňuje zvolit možnost redundance pro databázový server. Můžete ho nastavit na geograficky redundantní úložiště záloh, ve kterém se data neukládají jenom v oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti, aby se zajistila možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1

9.2: Provádění kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Nejméně jednou denně Azure Database for PostgreSQL provádí zálohování datových souborů a transakčního protokolu databáze. Zálohy umožňují obnovit server do libovolného bodu v čase během doby uchovávání. Doba uchovávání je aktuálně 35 dnů pro všechny clustery. Všechny zálohy se šifrují s využitím 256bitového šifrování AES.

V oblastech Azure, které podporují zóny dostupnosti, se snímky záloh ukládají do tří zón dostupnosti. Pokud je alespoň jedna zóna dostupnosti online, cluster Hyperscale (Citus) se dá obnovit.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy související s tímto řízením můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.DBforPostgreSQL:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Geograficky redundantní zálohování by mělo být povolené pro Azure Database for PostgreSQL Azure Database for PostgreSQL umožňuje zvolit možnost redundance pro databázový server. Můžete ho nastavit na geograficky redundantní úložiště záloh, ve kterém se data neukládají jenom v oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti, aby se zajistila možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1

9.3: Ověřte všechny zálohy včetně klíčů spravovaných zákazníkem.

Pokyny: Obnovení clusteru Hyperscale (Citus) v Azure Database for PostgreSQL vytvoří nový cluster ze záloh původních uzlů. Cluster můžete obnovit do libovolného bodu v čase během posledních 35 dnů. Proces obnovení vytvoří nový cluster ve stejné oblasti Azure, předplatném a skupině prostředků jako původní. Nová konfigurace clusteru je stejná jako původní konfigurace clusteru: stejný počet uzlů, počet virtuálních jader, velikost úložiště a role uživatelů.

Nastavení brány firewall a parametry serveru PostgreSQL se nezachovávají z původní skupiny serverů; jsou resetování výchozích hodnot. Brána firewall zabrání všem připojením. Po obnovení budete muset tato nastavení upravit ručně.

Odpovědnost: Zákazník

9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem

Pokyny: Odstraněné clustery Hyperscale (Citus) nejde obnovit. Pokud cluster odstraníte, odstraní se všechny uzly, které patří do clusteru, a nelze ho obnovit. K ochraně prostředků clusteru po nasazení před náhodným odstraněním nebo neočekávanými změnami můžou správci využít zámky správy.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocování incidentu a stanovení priorit

Pokyny: Microsoft Defender for Cloud přiřadí každé výstraze závažnosti, která vám pomůže určit prioritu výstrah, které by se měly prošetřit jako první. Závažnost je založená na tom, jak je microsoft Defender for Cloud v hledání nebo metrikě použité k vydání výstrahy, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo ke škodlivému záměru.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení k otestování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude společnost Microsoft používat k tomu, aby vás kontaktovala, pokud Microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněná nebo neoprávněná strana. Zkontrolujte incidenty po faktu a ujistěte se, že jsou vyřešeny problémy.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat upozornění a doporučení buď ručně, nebo nepřetržitě. Ke streamování výstrah do Microsoft Sentinelu můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace odpovědi na výstrahy zabezpečení

Pokyny: Pomocí funkce Automatizace pracovního postupu v Microsoft Defenderu pro cloud můžete automaticky aktivovat odpovědi prostřednictvím Logic Apps pro výstrahy a doporučení zabezpečení.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a red team cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel zapojení Microsoftu, abyste měli jistotu, že vaše testy průniku nejsou porušením zásad Microsoftu: https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1

Odpovědnost: Sdílené

Další kroky