Standardní hodnoty zabezpečení Azure pro Microsoft Purview

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Microsoft Purview. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Microsoft Purview.

Pokud má funkce relevantní definice Azure Policy, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky se nevztahují na Microsoft Purview a ty, pro které se doporučuje globální pokyny, byly vyloučeny doslovně. Pokud chcete zjistit, jak Microsoft Purview zcela mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Microsoft Purview.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Microsoft Purview nepodporuje nasazení přímo do virtuální sítě. Některé síťové funkce proto nemůžete použít u prostředků nabídky, například:

  • Skupiny zabezpečení sítě (NSG).
  • Směrovací tabulky
  • Jiná síťová zařízení, například Azure Firewall.

Můžete použít privátní koncové body, které je možné povolit ve vaší virtuální síti. A můžete zakázat veřejný přístup k internetu, abyste se mohli bezpečně připojit k Microsoft Purview.

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Chcete vytvořit privátní připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí? Pak použijte Azure ExpressRoute nebo virtuální privátní síť Azure (VPN). Připojení ExpressRoute nepřecházejí přes veřejný internet. V porovnání s typickými internetovými připojeními nabízí připojení ExpressRoute:

  • Větší spolehlivost
  • Rychlejší rychlost
  • Nižší latence

Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti. Stačí použít libovolnou kombinaci těchto možností VPN a Azure ExpressRoute.

Pokud používáte privátní koncový bod s Microsoft Purview, připojte síť, ve které se nachází koncový bod Microsoft Purview, k sítím, kde se nacházejí zdroje dat. Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a je uložený v páteřní síti Azure.

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Pokud chcete povolit privátní přístup k Microsoft Purview z vašich virtuálních sítí bez přechodu na internet, použijte Azure Private Link. Privátní přístup je další hloubková míra ochrany pro ověřování a zabezpečení provozu, které nabízí služby Azure.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Microsoft Purview nezpřístupňuje základní konfigurace DNS. Microsoft tato nastavení udržuje.

Odpovědnost: Microsoft

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Microsoft Purview používá jako výchozí službu správy identit a přístupu Azure Active Directory (Azure AD). Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Cloudové prostředky Microsoftu, například:

    • portál Azure
    • Microsoft Purview
    • Infrastruktura jako služba (IaaS)
    • Platforma jako služba (PaaS)
    • Služby a aplikace SaaS (Software jako služba)
  • Prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky podnikové sítě

Zajištění zabezpečení Azure AD vysokou prioritou v praxi cloudového zabezpečení vaší organizace. Abychom vám pomohli vyhodnotit stav zabezpečení identity podle doporučení microsoftu osvědčených postupů, Azure AD poskytuje skóre zabezpečení identity. Pomocí skóre můžete zjistit, jak přesně vaše konfigurace odpovídá doporučením osvědčených postupů. Pomocí skóre můžete také vylepšit stav zabezpečení.

Poznámka: Azure AD podporuje externí identity. S externí identitou se uživatel bez účtu Microsoft může přihlásit ke svým aplikacím a prostředkům.

Odpovědnost: Sdílené

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Microsoft Purview podporuje spravované identity pro své prostředky Azure. Místo vytváření instančních objektů pro přístup k jiným prostředkům použijte spravované identity s Microsoft Purview. Microsoft Purview se může nativně ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Ověřování probíhá prostřednictvím předdefinovaného pravidla udělení přístupu. Toto pravidlo udělení přístupu nepoužívá přihlašovací údaje, které jsou pevně zakódované ve zdrojovém kódu nebo konfiguračních souborech.

Odpovědnost: Microsoft

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Jak zajistíte, aby uživatelské účty a jejich úroveň přístupu byly platné? Zkontrolujete účty a pravidelně kontrolujete přístup k udělení přiřazení k Microsoft Purview. Při Azure AD kontrolách přístupu zkontrolujte členství ve skupinách a přiřazení rolí, které souvisejí s vašimi prostředky Microsoft Purview. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Pokud chcete vytvořit pracovní postup sestavy kontroly přístupu, který pomáhá procesu kontroly, použijte Azure AD Privileged Identity Management (PIM).

Nakonfigurujte Azure AD PIM tak, aby vás upozorňoval při vytváření nadměrného počtu účtů správce. Nastavte ho tak, aby identifikovaly účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Microsoft Purview je integrovaný s Azure RBAC ke správě svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Přiřaďte tyto role:

  • Uživatelé
  • Skupiny
  • Instanční objekty
  • Spravované identity

Pro určité prostředky jsou předdefinované předdefinované role. Inventarizace nebo dotazování těchto rolí prostřednictvím nástrojů, například:

  • Azure CLI
  • Azure PowerShell
  • portál Azure

Vždy omezte oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, na to, co role vyžadují. Tento postup doplňuje přístup podle potřeby (JIT) Azure AD PIM a měl by se pravidelně kontrolovat.

K udělení oprávnění použijte předdefinované role. Vlastní role můžete vytvořit pouze v případě potřeby.

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Microsoft Purview nepodporuje customer lockbox. Pokud chcete získat přístup k zákaznickým datům, může Microsoft spolupracovat se zákazníky prostřednictvím metod bez lockboxu ke schválení.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Použití Microsoft Purview ke zjišťování, označování a klasifikaci datových aktiv Azure Zaregistrujte všechny zdroje dat. Nastavte kontroly Microsoft Purview, abyste mohli zjišťovat, klasifikovat a označovat citlivá data. Potom navrhněte příslušné ovládací prvky tak, aby technologické systémy vaší organizace bezpečně podnikly následující akce týkající se citlivých informací:

  • Storage
  • Zpracování
  • Přenos

Další informace najdete v následujícím článku:

Odpovědnost: Zákazník

DP-2: Ochrana citlivých dat

Pokyny: Microsoft Purview ukládá metadata zdroje dat zákazníků. Služba poskytuje podrobné řízení přístupu prostřednictvím rolí Microsoft Purview a Azure RBAC.

Ochrana citlivých dat omezením přístupu pomocí:

  • Azure RBAC
  • Řízení přístupu na základě sítě
  • Konkrétní ovládací prvky ve službách Azure, jako je šifrování v SQL a dalších databázích

Pokud chcete zajistit konzistentní řízení přístupu, zarovnejte všechny typy řízení přístupu ke strategii segmentace podniku. Informujte strategii segmentace vašeho podniku s umístěním citlivých nebo důležitých obchodních dat a systémů.

Microsoft spravuje podkladovou platformu. Microsoft považuje veškerý obsah zákazníka za citlivý a chrání před ztrátou a vystavením zákaznických dat. Aby se zajistilo, že zákaznická data v Rámci Azure zůstanou zabezpečená, Microsoft implementuje některé výchozí ovládací prvky a možnosti ochrany dat.

Odpovědnost: Sdílené

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Microsoft Purview nabízí možnosti monitorování rodokmenu. V současné době Microsoft Purview podporuje následující nástroje pro extrakci, transformaci a načítání (ETL):

  • Azure Data Factory
  • Azure Data Share
  • Power BI

Rodokmen dat může zobrazit, jak se data šíří z jednoho systému do druhého. Toto zobrazení pomáhá eliminovat duplicitu citlivých dat. Poskytuje grafické znázornění pro zvýšení viditelnosti rodokmenu dat.

U zdrojů dat, které Microsoft Purview kontroluje, sledujte neoprávněný přenos dat do umístění mimo viditelnost a řízení podniku. K monitorování použijte možnosti protokolu specifické pro službu Microsoft Defender. Tato akce obvykle zahrnuje monitorování neobvyklých aktivit, jako jsou velké nebo neobvyklé přenosy. Tyto aktivity můžou znamenat neoprávněnou exfiltraci dat.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Pokud chcete doplnit řízení přístupu, chraňte přenášená data před útoky mimo pásmo (například zachycení provozu). Používá šifrování k zajištění toho, aby útočníci nemohli data snadno číst ani upravovat.

Microsoft Purview podporuje šifrování dat při přenosu pomocí protokolu TLS (Transport Layer Security) verze 1.2 nebo vyšší.

Šifrování je sice volitelné pro provoz v privátních sítích, ale šifrování je důležité pro přenosy v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že všechny klienty, kteří se připojují k prostředkům Azure, můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu. Zakažte slabé šifry a zastaralé verze protokolů SSL, TLS a SSH.

Azure ve výchozím nastavení poskytuje šifrování pro přenášená data mezi datovými centry Azure.

Odpovědnost: Sdílené

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pro doplnění řízení přístupu Microsoft Purview šifruje neaktivní uložená data, aby se chránila před útoky "mimo pásmo" (například při přístupu k podkladovému úložišti). Používá šifrování s klíči spravovanými Microsoftem. Tento postup pomáhá zajistit, aby útočníci nemohli snadno číst ani upravovat data.

Microsoft Purview v současné době nepodporuje šifrování neaktivních metadat pomocí klíče spravovaného zákazníkem.

Odpovědnost: Sdílené

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: V tenantovi a předplatných Azure udělte týmům zabezpečení oprávnění Čtenář dat Microsoft Purview a Čtenář. Týmy pak můžou číst všechny konfigurace, obsah a výsledky Microsoft Purview pro bezpečnostní rizika.

V závislosti na tom, jak strukturujete odpovědnost za bezpečnostní tým, může být centrální bezpečnostní tým nebo místní tým zodpovědný za monitorování bezpečnostních rizik. Vždy agregujte přehledy zabezpečení a rizika centrálně v rámci organizace.

Oprávnění čtenáře zabezpečení můžete použít obecně pro celého tenanta (kořenovou skupinu pro správu). Nebo můžete nastavit rozsah oprávnění pro skupiny pro správu nebo konkrétní předplatná.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Zajištění přístupu týmů zabezpečení k nepřetržitě aktualizovanému inventáři prostředků Azure, jako je Microsoft Purview Bezpečnostní týmy často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům. Inventář je také vstupem k průběžným vylepšením zabezpečení. Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace. Potom přiřaďte přístup pro čtení ke všem prostředkům Microsoft Purview pro skupinu. Tento proces můžete zjednodušit na jedno přiřazení role vysoké úrovně v rámci vašeho předplatného.

Pokud chcete logicky uspořádat taxonomii, použijte u svých značek značky:

  • Prostředky Azure
  • Skupiny prostředků
  • Předplatná

Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Microsoft Purview neumožňuje spuštění aplikace ani instalaci softwaru na jeho prostředky.

Odpovědnost: Sdílené

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Microsoft Purview neposkytuje nativní možnosti pro monitorování bezpečnostních hrozeb souvisejících s jeho prostředky.

Přeposlejte všechny protokoly z Microsoft Purview na siEM, které můžete použít k nastavení vlastních detekcí hrozeb. Monitorujte různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžete zdrojovat z:

  • Protokolování dat
  • Agenti
  • Další data

Další informace najdete v následujících článcích:

Odpovědnost: Sdílené

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit obsahují všechny operace zápisu (PUT, POST a DELETE) pro vaše prostředky Microsoft Purview. Protokoly jsou automaticky dostupné, ale nezahrnují operace čtení (GET). K vyhledání chyby při řešení potíží použijte protokoly aktivit. Nebo pomocí protokolů můžete monitorovat, jak uživatel ve vaší organizaci upravil prostředek.

Povolte protokoly prostředků Azure pro Microsoft Purview pro data, jako je ScanStatusLogEvent a AllMetrics. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolu. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a forenzní cvičení.

Odpovědnost: Sdílené

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Pokud chcete povolit korelaci dat protokolu Microsoft Purview, centralizujete ukládání a analýzu protokolování. Pro každý zdroj protokolu se ujistěte, že jste přiřadili:

  • Vlastník dat
  • Pokyny k přístupu
  • Umístění úložiště
  • Nástroje, které se používají ke zpracování a přístupu k datům
  • Požadavky na uchovávání dat

Integrujte protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných pomocí:

  • Zařízení koncových bodů
  • Síťové prostředky
  • Jiné systémy zabezpečení

Ve službě Azure Monitor můžete k dotazování a analýze použít pracovní prostory Log Analytics. Účty Azure Storage používejte pro dlouhodobé a archivní úložiště.

Povolte a připojte data do Microsoft Sentinelu nebo siem jiného výrobce. Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často. Tyto organizace pak vyberou Azure Storage pro "studená" data, která se používají méně často.

Odpovědnost: Sdílené

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Máte účty úložiště nebo pracovní prostory služby Log Analytics, které se používají k ukládání protokolů Microsoft Purview? Pak nastavte dobu uchovávání protokolů na základě předpisů vaší organizace pro dodržování předpisů. Používejte účty pracovního prostoru Azure Storage nebo Log Analytics pro dlouhodobé a archivní úložiště.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft Purview nepodporuje konfiguraci vlastních zdrojů synchronizace času. Služba Microsoft Purview spoléhá na zdroje synchronizace času Microsoftu a není vystavená zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Microsoft Purview podporuje nasazení prostředku prostřednictvím šablon Azure Resource Manager. Pomocí Azure Policy vynucujte nebo monitorujte zabezpečené konfigurace. V současné době nejsou k dispozici žádné předdefinované definice Azure Policy pro Microsoft Purview. Vlastní definice ale můžete vytvářet pomocí aliasů oboru názvů Microsoft.Purview.

V jedné definici podrobného plánu použijte Azure Blueprints k automatizaci nasazení a konfigurace služby Microsoft Purview sloučením:

  • Šablony Azure Resources Manageru
  • Ovládací prvky Azure RBAC
  • definice Azure Policy

Další informace najdete v následujících článcích:

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Ke sledování standardních hodnot konfigurace Microsoft Purview použijte Microsoft Defender for Cloud. Zabránit nezabezpečeným konfiguracím pomocí Azure Policy Microsoft Purview podporuje nasazení prostředku prostřednictvím šablon Azure Resource Manager. Pomocí Azure Policy můžete vynutit nebo monitorovat zabezpečené konfigurace ve službě. V současné době nejsou k dispozici žádné předdefinované definice Azure Policy pro Microsoft Purview. Vlastní definice ale můžete vytvářet pomocí aliasů oboru názvů Microsoft.Purview.

Odpovědnost: Zákazník

PV-6: Posouzení ohrožení zabezpečení softwaru

Pokyny: Microsoft Purview je nabídka PaaS. Nenasazuje výpočetní prostředky, které podporují nástroje pro posouzení ohrožení zabezpečení. Pro podkladovou platformu, která podporuje Microsoft Purview, microsoft zpracovává ohrožení zabezpečení a posouzení.

Odpovědnost: Microsoft

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Microsoft Purview je nabídka PaaS. Nenasazuje výpočetní prostředky, které podporují nástroje pro posouzení ohrožení zabezpečení. Pro podkladovou platformu, která podporuje Microsoft Purview, microsoft zpracovává ohrožení zabezpečení a posouzení.

Odpovědnost: Microsoft

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Microsoft Purview nenasazuje žádné výpočetní prostředky, které vyžadují, aby zákazníci nakonfigurovali antimalwarovou ochranu. Microsoft zpracovává základní infrastrukturu pro Microsoft Purview a antimalwarové zpracování.

Odpovědnost: Microsoft

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Microsoft Purview nenasazuje žádné výpočetní prostředky, které vyžadují, aby zákazníci nakonfigurovali antimalwarovou ochranu. Microsoft zpracovává základní infrastrukturu pro Microsoft Purview a antimalwarové zpracování.

Odpovědnost: Microsoft

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Microsoft Purview nepodporuje žádné nativní automatizované zálohování dat. Zodpovídáte za aktivity zálohování a obnovení. K exportu důležitých metadat a vlastností pro zálohování a obnovení použijte rozhraní REST API Microsoft Purview.

Odpovědnost: Sdílené

BR-2: Šifrování zálohovaných dat

Pokyny: Microsoft Purview v současné době nepodporuje automatizované zálohování dat ani šifrování zálohování.

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Microsoft Purview v současné době nepodporuje automatizované zálohování dat, šifrování záloh ani klíče spravované zákazníkem.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Všechny přihlašovací údaje používané pro Microsoft Purview jsou uložené v trezoru klíčů Azure, ke kterému se můžete připojit z Microsoft Purview. Zachovejte opatření, abyste zabránili ztrátě klíčů, které se používají s Microsoft Purview, a obnovte je. Pokud chcete chránit klíče před náhodným nebo škodlivým odstraněním, povolte ochranu obnovitelného odstranění a vyprázdnění v Azure Key Vault.

Odpovědnost: Zákazník

Další kroky