Standardní hodnoty zabezpečení Azure pro Azure Resource Graph

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 do Azure Resource Graph. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Resource Graph.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky, které se nevztahují na azure Resource Graph, a ty, pro které se doporučuje doslovné doslovné pokyny, byly vyloučeny. Pokud chcete zjistit, jak Azure Resource Graph zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Resource Graph.

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Resource Graph používá azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Prostředky Microsoft Cloud. Mezi zdroje patří:

    • Azure Portal

    • Azure Storage

    • Virtuální počítače Azure s Linuxem a Windows

    • Azure Key Vault

    • Platforma jako služba (u PaaS)

    • Aplikace SaaS (Software jako služba)

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou pro postupy zabezpečení cloudu vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže porovnat stav zabezpečení vaší identity s doporučeními Microsoftu pro osvědčené postupy. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity, které umožňují uživatelům bez účtu Microsoft přihlásit se k aplikacím a prostředkům.

Zákazníci komunikují s Azure Resource Graph prostřednictvím azure Resource Manager. Zákazníci by měli poskytnout platný token Azure AD pro veškerou komunikaci.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Připojení uživatelů, aplikací a zařízení k Azure AD Azure AD nabízí bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu. Azure Resource Graph používá Azure AD k zajištění správy identit a přístupu pro prostředky Azure, cloudové aplikace a místní aplikace. Identity zahrnují podnikové identity, jako jsou zaměstnanci a externí identity, jako jsou partneři, dodavatelé a dodavatelé. Azure AD správu identit a přístupu poskytují jednotné přihlašování ke správě a zabezpečení přístupu k místním a cloudovým datům a prostředkům vaší organizace.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-7: Dodržujte zásadu nejnižších oprávnění pouze dostatečné správy.

Pokyny: Azure Resource Graph je integrován s Azure RBAC ke správě svých prostředků. Pomocí RBAC spravujete přístup k prostředkům Azure prostřednictvím přiřazení rolí. Role můžete přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám. Některé prostředky mají předem definované předdefinované předdefinované role. Tyto role můžete inventarizace nebo dotazování na tyto role prostřednictvím nástrojů, jako jsou Azure CLI, Azure PowerShell nebo Azure Portal. Omezte oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, na to, co role vyžadují. Tento postup doplňuje přístup podle potřeby (JIT) Azure AD PIM. Pravidelně kontrolujte role a přiřazení.

Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte pouze vlastní role.

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Nelze použít. Azure Resource Graph nepodporuje žádné účty pro správu na základě rolí.

Azure Resource Graph neukládá data přístupná pro zákazníky. Microsoft může během otevřeného případu podpory přistupovat k metadatům prostředků platformy bez použití jiného nástroje.

Odpovědnost: Zákazník

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Ujistěte se, že bezpečnostní tým má přehled o rizicích pro prostředky

Pokyny: Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi a předplatných Azure udělená oprávnění čtenáře zabezpečení, aby mohly monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být zodpovědností centrálního týmu zabezpečení nebo místního týmu v závislosti na způsobu strukturování odpovědností. Vždy agregujte přehledy zabezpečení a rizika centrálně v rámci organizace.

Oprávnění čtenáře zabezpečení můžete použít široce pro kořenovou skupinu pro správu celého tenanta nebo oprávnění oboru pro konkrétní skupiny pro správu nebo předplatná.

Poznámka: Získání přehledu o úlohách a službách může vyžadovat více oprávnění.

Odpovědnost: Zákazník

AM-2: Ujistěte se, že má bezpečnostní tým přístup k inventáři prostředků a metadatům.

Pokyny: Ujistěte se, že bezpečnostní týmy mají přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure, jako je Azure Resource Graph. Bezpečnostní týmy často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům a jako vstup do průběžných vylepšení zabezpečení. Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace. a přiřaďte ho ke čtení ke všem prostředkům Azure Resource Graph. Proces můžete zjednodušit pomocí jediného přiřazení role vysoké úrovně ve vašem předplatném.

Pomocí značek u prostředků Azure, skupin prostředků a předplatných je logicky uspořádejte do taxonomie. Každá značka se skládá z dvojice názvů a hodnot. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Pomocí služby Azure Virtual Machine Inventory můžete automatizovat shromažďování informací o softwaru na virtuálních počítačích. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a importujte protokoly událostí Windows do pracovního prostoru služby Log Analytics.

Azure Resource Graph neumožňuje spuštění aplikace nebo instalaci softwaru na jeho prostředky.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Pomocí Azure Policy auditujte a omezte služby, které můžou uživatelé ve vašem prostředí zřídit. K dotazování a zjišťování prostředků v rámci předplatných použijte Azure Resource Graph. Azure Monitor můžete použít také k vytvoření pravidel, která aktivují výstrahy při zjištění neschválené služby.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure AD poskytuje následující protokoly uživatelů. Protokoly můžete zobrazit v sestavách Azure AD. Můžete integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikované případy použití monitorování a analýz.

  • Přihlášení – Poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.

  • Protokoly auditu – Poskytuje sledovatelnost prostřednictvím protokolů pro všechny změny provedené různými funkcemi Azure AD. Protokoly auditu zahrnují změny provedené u libovolného prostředku v rámci Azure AD. Mezi změny patří přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.

  • Rizikové přihlášení – indikátor pokusů o přihlášení od někoho, kdo nemusí být oprávněným vlastníkem uživatelského účtu.

  • Uživatelé označení příznakem rizika – indikátor uživatelského účtu, který může být ohrožen.

Microsoft Defender for Cloud vás také může upozornit na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření. Zastaralé účty v předplatném můžou také aktivovat výstrahy. Microsoft Defender for Cloud vás může také upozornit na podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření nebo o zastaralé účty.

Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat podrobnější výstrahy zabezpečení z:

  • Jednotlivé výpočetní prostředky Azure, jako jsou virtuální počítače, kontejnery a app service

  • Datové prostředky, jako je Azure SQL Database a Azure Storage

  • Vrstvy služeb Azure

Tato funkce poskytuje přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití programu Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů a kontejnerů.

Odpovědnost: Zákazník

Další kroky