Standardní hodnoty zabezpečení Azure pro Azure Stack Edge

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Microsoft Azure Stack Edge. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Stack Edge.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky se nevztahují na Azure Stack Edge a ty, pro které se doporučuje doslovné doslovné doporučení globálních pokynů, byly vyloučeny. Pokud chcete zjistit, jak Azure Stack Edge kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure Stack Edge.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Zákazníci nasazují zařízení Azure Stack Edge poskytované Microsoftem do své privátní sítě pro interní přístup a mají možnosti ho dále zabezpečit. Zařízení Azure Stack Edge je například přístupné přes interní síť zákazníka a vyžaduje IP adresu nakonfigurovanou zákazníkem. Kromě toho zákazník zvolí přístupové heslo pro přístup k uživatelskému rozhraní zařízení.

Interní provoz je dále zabezpečen:

  • Protokol TLS (Transport Layer Security) verze 1.2 se vyžaduje pro správu Azure Portal a sady SDK zařízení Azure Stack Edge.

  • Každý klientský přístup k zařízení je prostřednictvím místního webového uživatelského rozhraní pomocí standardního protokolu TLS 1.2 jako výchozího zabezpečeného protokolu.

  • Ke službě Azure Stack Edge, kterou zákazník vytvoří ve svém předplatném Azure, může připojit jenom autorizované zařízení Azure Stack Edge Pro.

Další informace jsou k dispozici na odkazovaných odkazech.

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Zákazníci můžou zvolit virtuální privátní síť typu point-to-site (VPN) pro připojení zařízení Azure Stack Edge ze své místní privátní sítě k síti Azure. SÍŤ VPN poskytuje druhou vrstvu šifrování pro přenos dat přenášené vrstvy zabezpečení z zařízení zákazníka do Azure.

Zákazníci můžou nakonfigurovat virtuální privátní síť na svém zařízení Azure Stack Edge prostřednictvím Azure Portal nebo prostřednictvím Azure PowerShell.

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Zákazníci můžou zvolit virtuální privátní síť typu point-to-site (VPN) pro připojení zařízení Azure Stack Edge ze své místní privátní sítě k síti Azure. SÍŤ VPN poskytuje druhou vrstvu šifrování pro přenos dat přenášené vrstvy zabezpečení z zařízení zákazníka do Azure.

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Zařízení Azure Stack Edge zahrnuje standardní funkce ochrany sítě Windows Serveru, které zákazníci nedají konfigurovat.

Zákazníci se můžou rozhodnout zabezpečit privátní síť připojenou k zařízení Azure Stack Edge před externími útoky pomocí síťového virtuálního zařízení, jako je brána firewall s pokročilými ochranami DDoS (Distributed Denial of Service).

Odpovědnost: Sdílené

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Ověřování Azure Active Directory (Azure AD) se vyžaduje pro všechny operace správy prováděné na zařízeních Azure Stack Edge prostřednictvím Azure Portal. Azure Stack Hub vyžaduje Azure AD nebo Active Directory Federation Services (AD FS) (ADFS), které jsou podporované Azure AD jako zprostředkovatel identity.

Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, Azure Virtual Machines (Linux a Windows), Azure Key Vault, platforma jako služba (PaaS) a aplikace SaaS (software jako služba)

  • Prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky podnikové sítě

Upozorňujeme, že Azure AD se používá jenom při přístupu k zařízení přes Azure Portal. Žádné místní operace správy zařízení Azure Stack Edge nebudou využívat Azure AD.

Odpovědnost: Microsoft

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Všechna zařízení Azure Stack Edge mají automaticky spravovanou identitu přiřazenou systémem v Azure Active Directory (Azure AD). Spravovaná identita se v současné době používá ke správě cloudu virtuálních počítačů hostovaných ve službě Azure Stack Edge.

Zařízení Azure Stack Edge se pro místní přístup spouští do uzamčeného stavu. Pro účet místního správce zařízení se budete muset k zařízení připojit přes místní webové uživatelské rozhraní nebo rozhraní PowerShellu a nastavit silné heslo. Ukládejte a spravujte přihlašovací údaje správce zařízení v zabezpečeném umístění, jako je Azure Key Vault a obměna hesla správce podle standardů vaší organizace.

Odpovědnost: Sdílené

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Jednotné přihlašování se pro zařízení koncových bodů Azure Stack Edge nepodporuje. Můžete ale povolit standardní jednotné přihlašování založené na Azure Active Directory (Azure AD) a zabezpečit tak přístup ke cloudovým prostředkům Azure.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Při ochraně přihlašovacích údajů postupujte podle osvědčených postupů, jako jsou:

  • Aktivační klíč použitý k aktivaci zařízení s prostředkem Azure Stack Edge v Azure
  • Přihlaste se k přihlašovacím údajům pro přístup k zařízení Azure Stack Edge.
  • Klíčové soubory, které můžou usnadnit obnovení zařízení Azure Stack Edge
  • Šifrovací klíč kanálu

Obměna a následná synchronizace klíčů účtu úložiště pravidelně pomáhá chránit váš účet úložiště před neoprávněnými uživateli.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Stack Edge má uživatele s názvem EdgeUser, který může zařízení nakonfigurovat. Má také azure Resource Manager uživatele EdgeArmUser pro místní funkce Azure Resource Manager na zařízení.

Při ochraně by se měly dodržovat osvědčené postupy:

  • Přihlašovací údaje používané pro přístup k místnímu zařízení

  • Přihlašovací údaje ke sdílené složce SMB

  • Přístup k klientským systémům, které jsou nakonfigurované tak, aby používaly sdílené složky NFS.

  • Klíče účtu místního úložiště používané pro přístup k účtům místního úložiště při použití rozhraní REST API objektů blob.

Další informace jsou k dispozici na odkazovaném odkazu.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené a izolované pracovní stanice jsou zásadně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a kritické operátory služeb. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice se službou Azure Bastion nebo bez této služby. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky (ATP) v programu Microsoft Defender a Microsoft Intune.

Zabezpečené pracovní stanice se dají centrálně spravovat, aby byla vynucena zabezpečená konfigurace, včetně silného ověřování, základních úrovní softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Uživatelé Služby Azure Stack Edge mají přístup ke službě JEA (Just Enough Administration) potřebný k provádění svých úkolů. Není potřeba získat úplný přístup správce systému Windows.

Vzdáleně se můžete připojit k rozhraní PowerShellu zařízení Azure Stack Edge. Vzdálená správa je také nakonfigurovaná tak, aby používala Just Enough Administration k omezení toho, co můžou uživatelé dělat. Pak můžete zadat heslo zařízení pro přihlášení k zařízení.

Odpovědnost: Microsoft

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-2: Ochrana citlivých dat

Pokyny: Azure Stack Edge zpracovává všechna interagovaná data jako citlivá jenom s autorizovanými uživateli, kteří mají k tomuto datu přístup. Měli byste postupovat podle osvědčených postupů pro ochranu přihlašovacích údajů používaných pro přístup ke službě Azure Stack Edge.

Odpovědnost: Sdílené

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Azure Stack Edge používá zabezpečené kanály pro data v letu. Jsou to:

  • Standard TLS 1.2 se používá pro data, která cestují mezi zařízením a cloudem Azure. K protokolu TLS 1.1 a starším neexistuje žádný náhradní kód. Komunikace agenta se zablokuje, pokud se nepodporuje protokol TLS 1.2. Protokol TLS 1.2 se také vyžaduje pro správu sady Azure Portal a sady SDK (Software Development Kit).

  • Když klienti přistupují k vašemu zařízení prostřednictvím místního webového uživatelského rozhraní prohlížeče, použije se jako výchozí zabezpečený protokol TLS 1.2.

Osvědčeným postupem je nakonfigurovat prohlížeč tak, aby používal protokol TLS 1.2. K ochraně dat při kopírování z datových serverů použijte protokol SMB 3.0 s šifrováním.

Odpovědnost: Sdílené

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Všechna neaktivní uložená data na zařízení Azure Stack Edge se šifrují pomocí 256bitového šifrování AES. Přístup k neaktivním uloženým datům, jako jsou sdílené složky, je omezený na:

  • Klienti SMB, kteří mají přístup ke sdíleným datům, potřebují přihlašovací údaje uživatele přidružené ke sdílené složce. Tyto přihlašovací údaje jsou definovány při vytváření sdílené složky.

  • Při vytváření sdílené složky je potřeba přidat IP adresy klientů SYSTÉMU SOUBORŮ NFS, kteří mají přístup ke sdílené složce.

  • BitLocker XTS-AES 256bitové šifrování slouží k ochraně místních dat.

Projděte si další informace dostupné na odkazovaném odkazu.

Odpovědnost: Microsoft

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmům zabezpečení jsou udělena oprávnění čtenáře zabezpečení v tenantovi Azure a předplatných, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního bezpečnostního týmu nebo místního týmu v závislosti na struktuře bezpečnostních povinností. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Upozorňujeme, že k získání přehledu úloh a služeb může být vyžadována další oprávnění.

Odpovědnost: Zákazník

AM-6: Použití pouze schválených aplikací ve výpočetních prostředcích

Pokyny: Můžete přivést vlastní aplikace ke spuštění na všech místně vytvořených virtuálních počítačích. Pomocí skriptů PowerShellu můžete na zařízení Stack Edge vytvořit místní výpočetní virtuální počítače. Důrazně doporučujeme, abyste na místních virtuálních počítačích spustili jenom důvěryhodné aplikace.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Azure Stack Edge nenabízí možnosti detekce hrozeb. Zákazníci ale můžou shromažďovat protokoly auditu v balíčku podpory pro detekci a analýzu offline hrozeb.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Azure Stack Edge má protokoly auditu sítě povolené jako součást balíčku podpory ke stažení. Tyto protokoly je možné analyzovat a implementovat monitorování částečně v reálném čase pro vaše zařízení Azure Stack Edge.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Monitorování v reálném čase s protokoly se v současné době nepodporuje pro Azure Stack Edge. Existuje možnost shromáždit balíček podpory, který umožňuje analyzovat různé protokoly, které jsou součástí, jako je brána firewall, software, vniknutí hardwaru a protokoly událostí systému pro vaše zařízení Azure Stack Edge Pro. Upozorňujeme, že pro příchozí a odchozí provoz se shromažďují softwarové vniknutí nebo výchozí protokoly brány firewall.

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Monitorování v reálném čase s protokoly se v současné době nepodporuje pro Azure Stack Edge. Můžete ale shromáždit balíček podpory, který vám umožní analyzovat různé protokoly, které jsou v něm zahrnuty. Balíček podpory je komprimovaný a stáhne se do cesty podle vašeho výběru. Rozbalte balíček a zobrazte soubory systémového protokolu obsažené v něm. Tyto protokoly můžete také odeslat do nástroje pro správu událostí zabezpečení nebo do jiného centrálního umístění úložiště pro analýzu.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Doba uchovávání úložiště protokolů se nedá změnit na zařízení Azure Stack Edge. Starší protokoly se vyprázdní podle potřeby. Balíčky podpory ze zařízení můžete shromáždit v pravidelných intervalech, aby všechny požadavky zachovaly protokoly po delší dobu.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Azure Stack Edge používá time.windows.com, server poskytovatele času sítě od Microsoftu. Azure Stack Edge také umožňuje zákazníkovi nakonfigurovat server protokolu síťového času podle svého výběru.

Odpovědnost: Zákazník

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Microsoft nastaví zabezpečenou konfiguraci pro zařízení Azure Stack Edge a udržuje tato nastavení po celou dobu životnosti zařízení.

Odpovědnost: Microsoft

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Konfigurace zabezpečení definované uživatelem jsou omezené na zařízení Azure Edge Stack. Většina nastavení zabezpečení zařízení není konfigurovatelná a aktuální s instalací nejnovějších aktualizací.

Odpovědnost: Microsoft

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Azure Stack Edge nabízí podporu k vytváření zabezpečených konfigurací pro místní virtuální počítače vytvořené zákazníky. Důrazně doporučujeme použít pokyny společnosti Microsoft k vytvoření standardních hodnot zabezpečení při vytváření místních virtuálních počítačů.

Odpovědnost: Zákazník

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Azure Stack Edge nenabízí žádnou podporu pro zachování zabezpečených konfigurací pro místní virtuální počítače, které vytvořili zákazníci. Důrazně doporučujeme, aby zákazníci používali sady nástrojů pro dodržování předpisů zabezpečení (SCT), které pomáhají udržovat zabezpečené konfigurace pro své výpočetní prostředky.

Hostování operačního systému a virtuálních počítačů spravovaných službou Azure Stack Edge udržuje jejich konfigurace zabezpečení.

Odpovědnost: Sdílené

PV-5: Bezpečné ukládání vlastních operačních systémů a imagí kontejnerů

Pokyny: Bezpečné ukládání hostování operačních systémů a virtuálních počítačů spravovaných službou Azure Stack Edge

Zákazníci můžou přinést vlastní image virtuálních počítačů a kontejnerů a zodpovídají za jejich zabezpečenou správu.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Posouzení ohrožení zabezpečení softwaru se provádějí u všech vydaných verzí Azure Stack Edge, včetně kontrol životního cyklu vývoje softwaru, které jsou pro ně provedeny. Všechny nalezené problémy se opravují na základě jejich závažnosti a priority.

Odpovědnost: Microsoft

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Azure Stack Edge poskytuje pravidelné aktualizace oprav a výstrahy zákazníkům, pokud jsou tyto aktualizace k dispozici pro nápravu ohrožení zabezpečení. Je zodpovědností zákazníka udržovat svá zařízení a virtuální počítače (vytvořené nimi) aktuální s nejnovějšími opravami.

Odpovědnost: Zákazník

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

Pokyny: Azure Stack Edge nepodporuje přímo detekci koncových bodů a odpověď (EDR). Můžete ale shromáždit balíček podpory a načíst protokoly auditu. Tyto protokoly je pak možné analyzovat a zkontrolovat neobvyklé aktivity.

Odpovědnost: Zákazník

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Azure Stack Edge používá Windows Defender řízení aplikací (WDAC) s striktní zásadou integrity kódu (CI), která umožňuje spouštění pouze předem určených aplikací a skriptů. Windows Defender je povolená také antimalwarová ochrana v reálném čase (RTP). Zákazník se může rozhodnout spustit antimalwarový software ve výpočetních virtuálních počítačích, které vytvoří, aby běžel místně na zařízení Azure Stack Edge.

Odpovědnost: Zákazník

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Azure Stack Edge udržuje zásady integrity kódu (CI) aktualizované i aktualizace Windows Defender podpisových souborů.

Odpovědnost: Microsoft

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Pravidelné zálohování zařízení Azure Stack Edge se doporučuje a dá se provádět s Azure Backup a dalšími řešeními ochrany dat třetích stran za účelem ochrany dat obsažených ve virtuálních počítačích nasazených na zařízení. Řešení ochrany dat třetích stran, jako jsou Cohesity, Commvault a Veritas, můžou také poskytovat záložní řešení pro data v místních sdílených složkách SMB nebo NFS.

Další informace jsou k dispozici na odkazovaných odkazech.

Odpovědnost: Zákazník

BR-2: Šifrování zálohovaných dat

Pokyny: Ujistěte se, že vaše zálohy jsou chráněné před útoky. To by mělo zahrnovat šifrování záloh, které chrání před ztrátou důvěrnosti. Další informace najdete v řešení zálohování podle výběru podrobností.

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pravidelné obnovení dat záloh.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že všechny zálohy Azure Stack Edge včetně klíčů spravovaných zákazníkem jsou chráněné v souladu s osvědčenými postupy organizace. Vaše zařízení Azure Stack Edge je přidružené k účtu Azure Storage, které se používá jako cílové úložiště pro vaše data v Azure.

Přístup k účtu Azure Storage řídí předplatná Azure a dva 512bitové přístupové klíče úložiště přidružené k danému účtu úložiště. Jeden z přístupových klíčů se používá pro účely ověřování, když zařízení Azure Stack Edge přistupuje k účtu úložiště. Druhý klíč je uložený v vyhrazeném pro pravidelné obměně klíčů. Ujistěte se, že se k obměně klíčů používají osvědčené postupy zabezpečení.

Odpovědnost: Zákazník

Další kroky