Standardní hodnoty zabezpečení Azure pro Service Fabric

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Service Fabric. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Service Fabric.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují na Service Fabric nebo pro které je odpovědností Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Service Fabric kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Service Fabric.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Ujistěte se, že všechna nasazení podsítě Virtual Network mají použitou skupinu zabezpečení sítě s řízením přístupu k síti, které jsou specifické pro důvěryhodné porty a zdroje vaší aplikace.

Odpovědnost: Zákazník

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových adaptérů

Pokyny: Použijte Microsoft Defender pro cloud a opravte doporučení ochrany sítě pro virtuální síť, podsíť a skupinu zabezpečení sítě, která se používá k zabezpečení clusteru Azure Service Fabric. Povolte protokoly toku skupiny zabezpečení sítě a odešlete protokoly do účtu služby Azure Storage do auditu provozu. Můžete také odesílat protokoly toku skupin zabezpečení sítě do pracovního prostoru Azure Log Analytics a používat Azure Traffic Analytics k poskytování přehledů o toku provozu ve vašem cloudu Azure. Mezi výhody Azure Traffic Analytics patří možnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.3: Ochrana důležitých webových aplikací

Pokyny: Poskytnutí front-endové brány, která poskytuje jediný bod příchozího přenosu dat pro uživatele, zařízení nebo jiné aplikace. Azure API Management integruje přímo s Service Fabric, což umožňuje zabezpečit přístup k back-endovým službám, zabránit útokům DOS pomocí omezování a ověřit klíče rozhraní API, tokeny JWT, certifikáty a další přihlašovací údaje.

Zvažte nasazení Azure Web Application Firewall (WAF) před důležitými webovými aplikacemi pro další kontrolu příchozího provozu. Povolte nastavení diagnostiky pro WAF a ingestování protokolů do účtu úložiště, centra událostí nebo pracovního prostoru služby Log Analytics.

Odpovědnost: Zákazník

1.4: Odepřít komunikaci se známými škodlivými IP adresami

Pokyny: Pro ochranu před útoky DDoS povolte ochranu Azure DDoS Standard ve virtuální síti, ve které je nasazený cluster Azure Service Fabric. Využijte Microsoft Defender pro cloudovou integrovanou analýzu hrozeb k odepření komunikace se známými škodlivými nebo nepoužívanými internetovými IP adresami.

Odpovědnost: Zákazník

1.5: Záznam síťových paketů

Pokyny: Povolte protokoly toku skupiny zabezpečení sítě pro skupiny zabezpečení sítě připojené k podsíti, která se používá k ochraně clusteru Service Fabric. Zaznamenejte protokoly toku NSG do účtu úložiště Azure a vygenerujte záznamy toku. V případě potřeby pro zkoumání neobvyklé aktivity povolte zachytávání paketů Azure Network Watcher.

Odpovědnost: Zákazník

1.6: Nasaďte systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím (IDS/IPS).

Pokyny: V Azure Marketplace vyberte nabídku, která podporuje funkce IDS/IPS s možnostmi kontroly datové části. Pokud detekce neoprávněných vniknutí nebo prevence na základě kontroly datové části není požadavkem, můžete použít Azure Firewall s funkcí Threat Intelligence. Azure Firewall filtrování na základě analýzy hrozeb může upozorňovat a odepřít provoz do a ze známých škodlivých IP adres a domén. Zdrojem těchto IP adres a domén je kanál analýzy hrozeb Microsoftu.

Nasaďte řešení brány firewall podle svého výběru na každou z hranic sítě vaší organizace, abyste mohli detekovat nebo odepřít škodlivý provoz.

Odpovědnost: Zákazník

1.7: Správa provozu do webových aplikací

Pokyny: Nasazení Azure Application Gateway pro webové aplikace s povoleným protokolem HTTPS/SSL pro důvěryhodné certifikáty

Odpovědnost: Zákazník

1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě

Pokyny: Použití značek služeb virtuální sítě k definování řízení přístupu k síti ve skupinách zabezpečení sítě (NSG), které jsou připojené k podsíti, ve které je cluster Azure Service Fabric nasazen. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (např. ApiManagement) do odpovídajícího zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro příslušnou službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení pro síťová zařízení

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro síťové prostředky související s clusterem Azure Service Fabric Pomocí aliasů Azure Policy v oborech názvů Microsoft.ServiceFabric a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování síťové konfigurace clusteru Azure Service Fabric.

Azure Blueprints můžete použít také ke zjednodušení rozsáhlých nasazení Azure zabalením klíčových artefaktů prostředí, jako jsou šablony Azure Resource Manager, ovládací prvky Azure RBAC a zásady v jedné definici podrobného plánu. Podrobný plán můžete snadno použít na nová předplatná a prostředí a vyladit řízení a správu prostřednictvím správy verzí.

Odpovědnost: Zákazník

1.10: Zdokumentování pravidel konfigurace provozu

Pokyny: Použijte značky pro skupiny zabezpečení sítě a další prostředky související se zabezpečením sítě a tokem provozu, které jsou přidružené k vašemu clusteru Service Fabric. Pro jednotlivá pravidla skupin zabezpečení sítě použijte pole Popis k určení obchodní potřeby, doby trvání atd. pro všechna pravidla, která povolují provoz do a ze sítě.

Použijte některou z předdefinovaných definic Azure Policy souvisejících s označováním, například Vyžadovat značku a její hodnotu, abyste měli jistotu, že se všechny prostředky vytvoří pomocí značek a upozorní vás na existující neoznačené prostředky.

K vyhledání nebo provádění akcí na základě jejich značek můžete použít Azure PowerShell rozhraní příkazového řádku Azure nebo rozhraní příkazového řádku Azure.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace síťových prostředků a zjišťovat změny síťových prostředků souvisejících s nasazeními Azure Service Fabric. Vytvořte upozornění ve službě Azure Monitor, která se aktivují při změnách důležitých síťových prostředků.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Cluster Azure Service Fabric můžete připojit ke službě Azure Monitor a agregovat data zabezpečení generovaná clusterem. Podívejte se na ukázkové problémy s diagnostikou a jejich řešení pomocí Service Fabric.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Povolení služby Azure Monitor pro cluster Service Fabric, jeho směrování do pracovního prostoru služby Log Analytics Tím se protokolují relevantní informace o clusteru a metriky operačního systému pro všechny uzly clusteru Azure Service Fabric.

Odpovědnost: Zákazník

2.4: Shromažďování protokolů zabezpečení z operačních systémů

Pokyny: Připojení clusteru Azure Service Fabric ke službě Azure Monitor Ujistěte se, že použitý pracovní prostor služby Log Analytics má nastavenou dobu uchovávání protokolů podle předpisů vaší organizace.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: Připojení clusteru Service Fabric ke službě Azure Monitor Ujistěte se, že použitý pracovní prostor služby Log Analytics má nastavenou dobu uchovávání protokolů podle předpisů vaší organizace.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Dotazy pracovního prostoru Azure Log Analytics slouží k dotazování protokolů Azure Service Fabric.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Použití pracovního prostoru Azure Log Analytics k monitorování a upozorňování na neobvyklé aktivity v protokolech zabezpečení a událostech souvisejících s clusterem Azure Service Fabric

Odpovědnost: Zákazník

2.8: Centralizované protokolování proti malwaru

Pokyny: Ve výchozím nastavení je Windows Defender nainstalovaná na Windows Server 2016. Pokud nepoužíváte Windows Defender, projděte si dokumentaci k antimalewaru. Windows Defender se v Linuxu nepodporuje.

Odpovědnost: Zákazník

2.9: Povolení protokolování dotazů DNS

Pokyny: Implementace řešení třetí strany pro protokolování DNS

Odpovědnost: Zákazník

2.10: Povolení protokolování auditu příkazového řádku

Pokyny: Ruční konfigurace protokolování konzoly pro jednotlivé uzly

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Udržujte záznam účtu místního správce, který se vytvoří během zřizování clusteru Azure Service Fabric, a také všech dalších účtů, které vytvoříte. Pokud se navíc používá integrace Azure Active Directory (Azure AD), Azure AD má předdefinované role, které musí být explicitně přiřazeny a proto se dají dotazovat. Pomocí modulu Azure AD PowerShellu můžete provádět adhocové dotazy ke zjišťování účtů, které jsou členy skupin pro správu.

Kromě toho můžete použít doporučení microsoft Defenderu pro správu cloudových identit a přístupu.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Při zřizování clusteru vyžaduje Azure, abyste pro webový portál vytvořili nová hesla. Neexistují žádná výchozí hesla, která byste mohli změnit, ale pro přístup k webovému portálu můžete zadat různá hesla.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Integrace ověřování pro Service Fabric s Azure Active Directory (Azure AD) Vytvořte zásady a postupy týkající se používání vyhrazených účtů pro správu.

Kromě toho můžete použít doporučení microsoft Defenderu pro správu cloudových identit a přístupu.

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) s Azure Active Directory

Pokyny: Pokud je to možné, použijte jednotné přihlašování azure Active Directory (Azure AD) místo konfigurace jednotlivých samostatných přihlašovacích údajů pro jednotlivé služby. Doporučení microsoft Defenderu pro správu cloudových identit a přístupu

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro správu cloudových identit a přístupu.

Odpovědnost: Zákazník

3.6: Použití vyhrazených počítačů (pracovní stanice s privilegovaným přístupem) pro všechny úlohy správy

Pokyny: Použití pracovní stanice s privilegovaným přístupem (PAW) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci clusterů Service Fabric a souvisejících prostředků

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Použití služby Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pro generování protokolů a upozornění v případě podezřelé nebo nebezpečné aktivity v prostředí Kromě toho můžete použít Azure AD detekce rizik k zobrazení výstrah a sestav o rizikovém chování uživatelů.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Použití pojmenovaných umístění podmíněného přístupu k povolení přístupu pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí/oblastí

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Použití Azure Active Directory (Azure AD) jako centrálního systému ověřování a autorizace k zabezpečení přístupu ke koncovým bodům správy clusterů Service Fabric Azure AD chrání data pomocí silného šifrování neaktivních a přenášených dat. Azure AD také soli, hodnoty hash a bezpečně ukládají přihlašovací údaje uživatele.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy související s tímto řízením můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.ServiceFabric:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. Auditování využití ověřování klientů pouze přes Azure Active Directory ve službě Service Fabric Audit, Odepřít, Zakázáno 1.1.0

3.10: Pravidelně kontrolovat a sladit přístup uživatelů

Pokyny: Použití ověřování Azure Active Directory (Azure AD) v clusteru Service Fabric Azure AD poskytuje protokoly, které pomáhají zjišťovat zastaralé účty. Kromě toho můžete pomocí kontrol přístupu identit Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatele je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají přístup jenom ten správný uživatel.

Odpovědnost: Zákazník

3.11: Upozornění na odchylku chování přihlášení účtu

Pokyny: Použití protokolů přihlášení a auditování a přihlášení k Azure Active Directory (Azure AD) k monitorování pokusů o přístup k deaktivovaným účtům. Tyto protokoly je možné integrovat do libovolného nástroje SIEM nebo monitorování třetích stran.

Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů, odesláním protokolů auditu a přihlášením do pracovního prostoru Služby Azure Log Analytics. Nakonfigurujte požadovaná upozornění v pracovním prostoru Azure Log Analytics.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Použití funkcí služby Azure Active Directory (Azure AD) Risk and Identity Protection ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce související s identitami uživatelů. Data můžete také ingestovat do Služby Microsoft Sentinel pro další šetření.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Údržba inventáře citlivých informací

Pokyny: Použití značek u prostředků souvisejících s nasazeními clusteru Service Fabric vám pomůže při sledování prostředků Azure, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Implementace samostatných předplatných a/nebo skupin pro správu pro vývoj, testování a produkci Prostředky by měly být odděleny Virtual Network nebo podsítí, které jsou označené odpovídajícím způsobem a zabezpečeny skupinami zabezpečení sítě nebo Azure Firewall. Prostředky, které ukládají nebo zpracovávají citlivá data, by měly být dostatečně izolované. Pro Virtual Machines ukládání nebo zpracování citlivých dat implementujte zásady a postupy, které je při použití vypne.

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Nasaďte automatizovaný nástroj na hraniční sítě, který monitoruje neoprávněný přenos citlivých informací a blokuje takové přenosy při upozorňování odborníků na zabezpečení informací.

Pro podkladovou platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníků za citlivý a je velmi dlouhý, aby se chránil před ztrátou a expozicí zákaznických dat. Aby byla zákaznická data v Rámci Azure zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Šifrování všech citlivých informací při přenosu Ujistěte se, že se všem klientům, kteří se připojují k prostředkům Azure, můžou vyjednat protokol TLS 1.2 nebo novější.

Pro vzájemné ověřování typu klient-uzel Service Fabric použijte certifikát X.509 pro identitu serveru a šifrování TLS komunikace http. Libovolný počet dalších certifikátů je možné nainstalovat do clusteru pro účely zabezpečení aplikací, včetně šifrování a dešifrování hodnot konfigurace aplikací a dat napříč uzly během replikace. Pokud je to možné, postupujte podle doporučení Microsoft Defenderu pro cloud pro šifrování neaktivních uložených uložených dat a šifrování.

Odpovědnost: Sdílené

4.5: Použití aktivního nástroje zjišťování k identifikaci citlivých dat

Pokyny: Funkce ochrany před únikem informací, klasifikace a ochrany před únikem informací zatím nejsou dostupné pro azure Storage nebo výpočetní prostředky. V případě potřeby implementujte řešení třetích stran pro účely dodržování předpisů.

Pro podkladovou platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníků za citlivý a je velmi dlouhý, aby se chránil před ztrátou a expozicí zákaznických dat. Aby byla zákaznická data v Rámci Azure zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

4.7: Použití ochrany před únikem informací na základě hostitele k vynucení řízení přístupu

Pokyny: U clusterů Service Fabric, které ukládají nebo zpracovávají citlivé informace, označte cluster a související prostředky jako citlivé pomocí značek. Funkce ochrany před únikem informací, klasifikace a ochrany před únikem informací zatím nejsou dostupné pro prostředky Azure Storage nebo výpočetní prostředky. V případě potřeby implementujte řešení třetích stran pro účely dodržování předpisů.

Pro podkladovou platformu, kterou spravuje Microsoft, microsoft považuje veškerý obsah zákazníků za citlivý a je velmi dlouhý, aby se chránil před ztrátou a expozicí zákaznických dat. Aby byla zákaznická data v Rámci Azure zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

4.8: Šifrování citlivých informací v klidovém stavu

Pokyny: Použití šifrování neaktivních uložených dat u všech prostředků Azure Microsoft doporučuje umožnit Azure spravovat šifrovací klíče, ale v některých instancích můžete spravovat vlastní klíče.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.ServiceFabric:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že jsou všechny zprávy mezi uzly šifrované a digitálně podepsané. Audit, Odepřít, Zakázáno 1.1.0

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Pokyny: Použití služby Azure Monitor s protokolem aktivit Azure k vytvoření upozornění na to, kdy dojde ke změnám důležitých prostředků Azure.

Odpovědnost: Zákazník

Správa ohrožení zabezpečení

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa ohrožení zabezpečení.

5.1: Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení

Pokyny: Pravidelně spouštět služby Service Fabric Analysis Service a Chaos, které simulují chyby v celém clusteru za účelem posouzení robustnosti a spolehlivosti vašich služeb.

Při posuzování ohrožení zabezpečení na virtuálních počítačích Azure a imagích kontejnerů postupujte podle doporučení z Microsoft Defenderu pro cloud.

K posouzení ohrožení zabezpečení na síťových zařízeních a webových aplikacích použijte řešení třetí strany. Při provádění vzdálených kontrol nepoužívejte jediný trvalý účet správce. Zvažte implementaci metodologie zřizování JIT pro účet kontroly. Přihlašovací údaje pro účet kontroly by měly být chráněné, monitorované a používány pouze pro kontrolu ohrožení zabezpečení.

Odpovědnost: Zákazník

5.2: Nasazení automatizovaného řešení pro správu oprav operačního systému

Pokyny: Povolení automatických upgradů imagí operačního systému ve škálovacích sadách virtuálních počítačů clusteru Service Fabric

Případně pokud chcete otestovat opravy operačního systému jako první před přechodem do produkčního prostředí, použijte ruční trigger pro upgrady imagí operačního systému vaší škálovací sady. Všimněte si, že možnost ručního triggeru neposkytuje integrované vrácení zpět. Monitorujte opravy operačního systému pomocí řešení Update Management z Azure Automation.

Odpovědnost: Zákazník

5.3: Nasazení automatizovaného řešení správy oprav pro softwarové tituly třetích stran

Pokyny: Povolení automatických upgradů imagí operačního systému ve škálovacích sadách virtuálních počítačů clusteru Azure Service Fabric Aplikace orchestrace oprav (POA) je alternativní řešení určené pro clustery Service Fabric hostované mimo Azure. PoA je možné použít s clustery Azure s další režií na hostování.

Odpovědnost: Zákazník

5.4: Porovnání kontrol ohrožení zabezpečení back-to-back

Pokyny: Exportujte výsledky kontroly v konzistentních intervalech a porovnejte výsledky a ověřte, že došlo k nápravě ohrožení zabezpečení. Pokud používáte doporučení pro správu ohrožení zabezpečení navržená programem Microsoft Defender for Cloud, můžete přejít na portál vybraného řešení a zobrazit historická data kontroly.

Odpovědnost: Zákazník

5.5: Použití procesu hodnocení rizika k určení priority nápravy zjištěných ohrožení zabezpečení

Pokyny: Použijte společný program vyhodnocování rizik (např. běžný systém vyhodnocování ohrožení zabezpečení) nebo výchozí hodnocení rizik poskytovaná nástrojem pro kontrolu třetí strany.

Odpovědnost: Zákazník

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventář a správa prostředků.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (jako jsou výpočetní prostředky, úložiště, síť, porty a protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte příslušná oprávnění (čtení) ve vašem tenantovi, a vypíšete všechna předplatná Azure a také prostředky v rámci vašich předplatných.

I když se klasické prostředky Azure můžou objevit prostřednictvím Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager.

Odpovědnost: Zákazník

6.2: Udržování metadat prostředků

Pokyny: Použití značek u prostředků Azure, které poskytují metadata k logickému uspořádání do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: K uspořádání a sledování prostředků použijte značkování, skupiny pro správu a samostatná předplatná. Pravidelně sladit inventář a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Odpovědnost: Zákazník

6.4: Definování a údržba inventáře schválených prostředků Azure

Pokyny: Definujte schválené prostředky Azure a schválený software pro výpočetní prostředky.

Odpovědnost: Zákazník

6.5: Monitorování neschválené prostředky Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit v zákaznických předplatných pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků

  • Povolené typy prostředků

Pomocí Azure Resource Graph můžete dotazovat nebo zjišťovat prostředky v rámci vašich předplatných. Ujistěte se, že jsou schválené všechny prostředky Azure v prostředí.

Odpovědnost: Zákazník

6.6: Monitorování neschválené softwarové aplikace v rámci výpočetních prostředků

Pokyny: Implementace řešení třetí strany pro monitorování uzlů clusteru pro neschválené softwarové aplikace

Odpovědnost: Zákazník

6.7: Odebrání neschválené prostředky Azure a softwarových aplikací

Pokyny: Pomocí Azure Resource Graph můžete dotazovat nebo zjistit všechny prostředky (například výpočetní prostředky, úložiště, síť, porty a protokoly atd.), včetně clusterů Service Fabric v rámci vašich předplatných. Odeberte všechny neschválené prostředky Azure, které zjistíte. V případě uzlů clusteru Service Fabric implementujte řešení jiného výrobce, které odebere nebo upozorní na neschválený software.

Odpovědnost: Zákazník

6.8: Používejte pouze schválené aplikace.

Pokyny: Pro uzly clusteru Service Fabric implementujte řešení jiného výrobce, aby se zabránilo spuštění neoprávněného softwaru.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Použití Azure Policy k omezení služeb, které můžete ve svém prostředí zřídit.

Odpovědnost: Zákazník

6.10: Údržba inventáře schválených softwarových titulů

Pokyny: Pro uzly clusteru Azure Service Fabric implementujte řešení jiného výrobce, aby se zabránilo spuštění neautorizovaných typů souborů.

Odpovědnost: Zákazník

6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Použití podmíněného přístupu Azure k omezení schopnosti uživatelů pracovat s Azure Resources Managerem konfigurací blokování přístupu pro aplikaci Microsoft Azure Management

Odpovědnost: Zákazník

6.12: Omezení schopnosti uživatelů spouštět skripty ve výpočetních prostředcích

Pokyny: Použití konfigurací specifických pro operační systém nebo prostředků třetích stran k omezení schopnosti uživatelů spouštět skripty v rámci výpočetních prostředků Azure

Odpovědnost: Zákazník

6.13: Fyzicky nebo logicky oddělit vysoce rizikové aplikace

Pokyny: Software, který je nutný pro obchodní operace, ale může mít pro organizaci vyšší riziko, by měl být izolovaný v rámci vlastního virtuálního počítače nebo virtuální sítě a dostatečně zabezpečený s Azure Firewall nebo skupinou zabezpečení sítě.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Použití Azure Policy aliasů v oboru názvů Microsoft.ServiceFabric k vytvoření vlastních zásad pro auditování nebo vynucování konfigurace sítě clusteru Service Fabric.

Odpovědnost: Zákazník

7.2: Vytvoření konfigurace zabezpečeného operačního systému

Pokyny: Image operačního systému Service Fabric spravuje a spravuje Microsoft. Zákazník zodpovědný za implementaci zabezpečených konfigurací operačního systému uzlů clusteru.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Pomocí efektů Azure Policy [odepřít] a [nasadit, pokud neexistují] vynucujte zabezpečená nastavení pro clustery Azure Service Fabric a související prostředky.

Odpovědnost: Zákazník

7.4: Údržba zabezpečených konfigurací operačního systému

Pokyny: Image operačního systému Service Fabric spravované a spravované Microsoftem. Zákazník zodpovídá za implementaci konfigurace stavu na úrovni operačního systému.

Odpovědnost: Sdílené

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Pokyny: Pokud používáte vlastní definice Azure Policy, použijte Azure DevOps nebo Azure Repos k bezpečnému ukládání a správě kódu.

Odpovědnost: Zákazník

7.6: Bezpečné ukládání vlastních imagí operačního systému

Pokyny: Pokud používáte vlastní image, použijte řízení přístupu na základě role v Azure (Azure RBAC), abyste zajistili, že k imagím budou mít přístup jenom autorizovaní uživatelé. U imagí kontejnerů je uložte do Azure Container Registry a využijte Azure RBAC, abyste zajistili, že k imagím budou mít přístup jenom autorizovaní uživatelé.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Použití Azure Policy aliasů v oboru názvů Microsoft.ServiceFabric k vytvoření vlastních zásad pro upozornění, audit a vynucení konfigurací systému. Dále vyvíjejte proces a kanál pro správu výjimek zásad.

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití aliasů Azure Policy v oboru názvů Microsoft.ServiceFabric k vytvoření vlastních zásad pro auditování nebo vynucování konfigurace clusteru Service Fabric.

Odpovědnost: Zákazník

7.10: Implementace automatizovaného monitorování konfigurace pro operační systémy

Pokyny: Použití Microsoft Defenderu pro Cloud k provádění standardních kontrol operačního systému a Nastavení Dockeru pro kontejnery.

Odpovědnost: Zákazník

7.11: Zabezpečená správa tajných kódů Azure

Pokyny: Použití identity spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení správy tajných kódů pro cloudové aplikace

Odpovědnost: Zákazník

7.12: Správa identit bezpečně a automaticky

Pokyny: Spravované identity je možné použít v clusterech Service Fabric nasazených v Azure a pro aplikace nasazené jako prostředky Azure. Spravované identity umožňují ověřit ve všech službách, které podporují ověřování Azure Active Directory (Azure AD), včetně Key Vault bez přihlašovacích údajů ve vašem kódu.

Odpovědnost: Zákazník

7.13: Eliminace neúmyslné expozice přihlašovacích údajů

Pokyny: Pokud používáte jakýkoli kód související s nasazením Azure Service Fabric, můžete implementovat skener přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu. Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pomocí azure Key Vault můžete automaticky otočit certifikáty clusteru Service Fabric.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.1: Použití centrálně spravovaného antimalwarového softwaru

Pokyny: Ve výchozím nastavení je Windows Defender antivirová ochrana nainstalovaná na Windows Server 2016. Uživatelské rozhraní se ve výchozím nastavení instaluje na některé skladové položky, ale nevyžaduje se.

Pokud nepoužíváte Windows Defender, projděte si dokumentaci k antimalwarové dokumentaci k pravidlům konfigurace. Windows Defender se v Linuxu nepodporuje.

Odpovědnost: Zákazník

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelných automatizovaných záloh

Pokyny: Služba Zálohování a obnovení ve službě Service Fabric umožňuje snadné a automatické zálohování informací uložených ve stavových službách. Pravidelné zálohování dat aplikací je zásadní pro ochranu před ztrátou dat a nedostupností služeb. Service Fabric poskytuje volitelnou službu zálohování a obnovení, která umožňuje nakonfigurovat pravidelné zálohování stavových spolehlivých služeb (včetně služeb actor), aniž byste museli psát žádný další kód. Usnadňuje také obnovení dříve provedených záloh.

Odpovědnost: Zákazník

9.2: Provádění kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Povolení služby obnovení zálohování v clusteru Service Fabric a vytvoření zásad zálohování pro pravidelné zálohování stavových služeb a na vyžádání Zálohujte klíče spravované zákazníkem v rámci Azure Key Vault.

Odpovědnost: Zákazník

9.3: Ověřte všechny zálohy včetně klíčů spravovaných zákazníkem.

Pokyny: Zajištění možnosti obnovení ze služby obnovení zálohování pravidelným kontrolou informací o konfiguraci zálohování a dostupných záloh Otestujte obnovení zálohovaných klíčů spravovaných zákazníkem.

Odpovědnost: Zákazník

9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem

Pokyny: Zálohy ze služby Obnovení záloh Service Fabric používají ve vašem předplatném účet Azure Storage. Azure Storage šifruje všechna data v neaktivním účtu úložiště. Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pro další kontrolu nad šifrovacími klíči můžete zadat klíče spravované zákazníkem pro šifrování dat úložiště.

Pokud používáte klíče spravované zákazníkem, ujistěte se, že Soft-Delete v Key Vault je povoleno chránit klíče před náhodným nebo škodlivým odstraněním.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Vývoj průvodce reakcí na incidenty pro vaši organizaci Ujistěte se, že existují písemné plány reakce na incidenty, které definují všechny role pracovníků a fáze zpracování incidentů a správy od detekce až po vyhodnocení incidentu.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocení incidentu a stanovení priorit

Pokyny: Microsoft Defender pro cloud přiřazuje každé výstrahě závažnost, která vám pomůže určit prioritu výstrah, které by se měly nejprve prošetřit. Závažnost je založená na tom, jak je microsoft Defender pro cloud v hledání nebo metrikě použité k vydání výstrahy a také na úrovni spolehlivosti, kterou za aktivitou, která vedla k upozornění, zlými úmysly.

Kromě toho označte předplatná pomocí značek a vytvořte systém pojmenování pro identifikaci a kategorizaci prostředků Azure, zejména těch, které zpracovávají citlivá data. Je vaší zodpovědností určit prioritu nápravy výstrah na základě závažnosti prostředků a prostředí Azure, kde došlo k incidentu.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení pro testování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti o kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude microsoft používat k tomu, aby vás kontaktoval, pokud microsoft Security Response Center (MSRC) zjistí, že vaše data byla přístupná neoprávněnou nebo neoprávněnou stranou. Zkontrolujte incidenty po faktu a ujistěte se, že se problémy vyřeší.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat výstrahy a doporučení ručně nebo nepřetržitě. K streamování výstrah do služby Sentinel můžete použít konektor microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace reakce na výstrahy zabezpečení

Pokyny: Použití funkce Automatizace pracovního postupu v Microsoft Defenderu pro Cloud k automatické aktivaci odpovědí prostřednictvím Logic Apps u výstrah zabezpečení a doporučení.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a červené týmové cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy nejsou porušením zásad Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Další kroky