Standardní hodnoty zabezpečení Azure pro Stream Analytics

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Stream Analytics. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Stream Analytics.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud oddíl obsahuje relevantní Azure Policy Definice, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují na Stream Analytics nebo za které jsou odpovědností Microsoft, byly vyloučeny. Pokud chcete zjistit, jak Stream Analytics kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Stream Analytics.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Azure Stream Analytics nepodporuje použití skupin zabezpečení sítě (NSG) a Azure Firewall.

Odpovědnost: Zákazník

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní

Pokyny: Azure Stream Analytics nepodporuje použití virtuálních sítí a podsítí.

Odpovědnost: Zákazník

1.3: Ochrana důležitých webových aplikací

Pokyny: Nelze použít; toto doporučení je určeno pro webové aplikace spuštěné na Azure App Service nebo výpočetních prostředcích.

Odpovědnost: Zákazník

1.4: Odepřít komunikaci se známými ip adresami se zlými úmysly

Pokyny: Využijte Microsoft Defender for Cloud Threat Protection k detekci a upozorňování na komunikaci se známými škodlivými nebo nepoužívanými internetovými IP adresami.

Odpovědnost: Zákazník

1.5: Záznam síťových paketů

Pokyny: Azure Stream Analytics nepoužívá skupiny zabezpečení sítě a protokoly toků pro Azure Key Vault se nezachytí.

Odpovědnost: Zákazník

1.6: Nasaďte systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím (IDS/IPS).

Pokyny: Využijte Microsoft Defender pro ochranu před cloudovými hrozbami k detekci neobvyklých nebo potenciálně škodlivých operací ve vašem prostředí předplatného Azure.

Odpovědnost: Zákazník

1.7: Správa provozu do webových aplikací

Pokyny: Nelze použít; toto doporučení je určeno pro webové aplikace spuštěné na Azure App Service nebo výpočetních prostředcích.

Odpovědnost: Zákazník

1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě

Pokyny: Azure Stream Analytics nepodporuje používání virtuálních sítí a pravidel sítě.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení pro síťová zařízení

Pokyny: Azure Stream Analytics nepodporuje použití virtuálních sítí a síťových zařízení.

Odpovědnost: Zákazník

1.10: Zdokumentování pravidel konfigurace provozu

Pokyny: Azure Stream Analytics nepodporuje použití virtuálních sítí a pravidel konfigurace provozu.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace prostředků a zjišťovat změny vašich prostředků Stream Analytics. Vytvářejte výstrahy ve službě Azure Monitor, která se aktivují při změnách důležitých prostředků.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení, jako jsou události auditu a požadavky. Ve službě Azure Monitor můžete pomocí pracovních prostorů Log Analytics dotazovat a provádět analýzy a používat účet služby Azure Storage pro dlouhodobé nebo archivní úložiště, volitelně s funkcemi zabezpečení, jako je neměnné úložiště a vynucené uchovávání informací.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Povolení nastavení diagnostiky ve službě Azure Stream Analytics pro přístup k protokolům pro správu, zabezpečení a diagnostiku Můžete také povolit nastavení diagnostiky protokolu aktivit Azure a odesílat protokoly do stejného pracovního prostoru služby Log Analytics nebo účtu úložiště.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.StreamAnalytics:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0

2.4: Shromažďování protokolů zabezpečení z operačních systémů

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: Při ukládání protokolů událostí zabezpečení do účtu služby Azure Storage nebo pracovního prostoru Služby Log Analytics můžete zásady uchovávání informací nastavit podle požadavků vaší organizace.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Analyzujte a monitorujte protokoly pro neobvyklé chování a pravidelně kontrolujte výsledky vašich prostředků Stream Analytics. Pomocí pracovního prostoru Služby Log Analytics ve službě Azure Monitor můžete kontrolovat protokoly a provádět dotazy na data protokolů. Případně můžete povolit a připojit data do Microsoft Sentinelu nebo siEM jiného výrobce.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Povolení nastavení diagnostiky pro Stream Analytics a odesílání protokolů do pracovního prostoru služby Log Analytics Připojte pracovní prostor služby Log Analytics k Microsoft Sentinelu, protože poskytuje řešení automatizované reakce (SOAR) pro orchestraci zabezpečení. To umožňuje vytvoření playbooků (automatizovaných řešení) a jejich použití k nápravě problémů se zabezpečením.

Odpovědnost: Zákazník

2.8: Centralizované protokolování proti malwaru

Pokyny: Nelze použít; Stream Analytics nezpracuje ani nevygeneruje protokoly související s malwarem.

Odpovědnost: Zákazník

2.9: Povolení protokolování dotazů DNS

Pokyny: Řešení Azure DNS Analytics (Preview) ve službě Azure Monitor shromažďuje přehledy o infrastruktuře DNS týkající se zabezpečení, výkonu a provozu. V současné době to nepodporuje Azure Stream Analytics, ale můžete použít řešení pro protokolování DNS třetích stran.

Odpovědnost: Zákazník

2.10: Povolení protokolování auditu příkazového řádku

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Azure Active Directory (Azure AD) má předdefinované role, které je potřeba explicitně přiřadit. Role se dají dotazovat, aby se zjistilo členství. Pomocí modulu Azure AD PowerShellu můžete provádět ad hoc dotazy ke zjišťování účtů, které jsou členy skupin pro správu.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Stream Analytics nemá koncept výchozích hesel, protože ověřování je poskytováno se službou Azure Active Directory (Azure AD) a zabezpečeno řízením přístupu na základě role v Azure (Azure RBAC) ke správě služby. V závislosti na službách streamu injektáže a výstupních službách musíte přihlašovací údaje nakonfigurované v úlohách otočit.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvoření plánu zabezpečení identit a zabezpečení rolí, které zahrnují princip nejnižšího privilegovaného přístupu pro role správce. K zajištění privilegovaného přístupu k prostředkům Azure Active Directory (Azure AD) a prostředků Azure použijte Azure Privileged Identity Management (PIM). K monitorování aktivity účtů pro správu použijte upozornění a historii auditu Azure PIM. Pomocí sestav zabezpečení Azure AD můžete identifikovat účty pro správu, které mohly být ohroženy.

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) Azure Active Directory

Pokyny: Pokud je to možné, použijte jednotné přihlašování azure Active Directory (Azure AD) místo konfigurace samostatných přihlašovacích údajů pro jednotlivé služby. Implementujte doporučení pro přístup k identitě & v programu Microsoft Defender pro cloud.

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro správu cloudových identit a přístupu, která vám pomůžou chránit prostředky Stream Analytics.

Odpovědnost: Zákazník

3.6: Použití zabezpečených pracovních stanic spravovaných v Azure pro úlohy správy

Pokyny: Použití pracovních stanic s privilegovaným přístupem (privilegovaný přístup) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Stream Analytics

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Sestavy zabezpečení Azure Active Directory (Azure AD) slouží ke generování protokolů a výstrah, pokud v prostředí dojde k podezřelé nebo nebezpečné aktivitě. K monitorování aktivit identit a přístupu použijte Microsoft Defender for Cloud.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Pomocí pojmenovaných umístění podmíněného přístupu povolte přístup pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí/oblastí.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Jako centrální systém ověřování a autorizace použijte Azure Active Directory (Azure AD). Azure AD poskytuje řízení přístupu na základě role (Azure RBAC) pro jemně odstupňované řízení přístupu klienta k prostředkům Stream Analytics.

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit uživatelský přístup

Pokyny: Projděte si protokoly Azure Active Directory (Azure AD), které vám pomůžou zjistit zastaralé účty, které můžou zahrnovat účty s rolemi pro správu účtu úložiště. Kromě toho můžete pomocí kontrol přístupu identit Azure efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup by se měl pravidelně kontrolovat, aby se zajistil pouze správný přístup uživatelů, kteří mají nepřetržitý přístup.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Pokyny: Povolení nastavení diagnostiky pro Azure Stream Analytics a Azure Active Directory (Azure AD) odesílání všech protokolů do pracovního prostoru služby Log Analytics Nakonfigurujte požadovaná upozornění (například pokusy o přístup k zakázaným tajným kódům) v Log Analytics.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Doprovodné materiály: Pomocí funkcí rizik a identity Protection (Azure AD) Azure Active Directory můžete nakonfigurovat automatizované odpovědi na zjištěné podezřelé akce související s vašimi prostředky Stream Analytics. Automatické odpovědi byste měli povolit prostřednictvím Microsoft Sentinelu k implementaci odpovědí na zabezpečení vaší organizace.

Odpovědnost: Zákazník

3.13: Poskytněte Microsoftu přístup k relevantním zákaznickým datům během scénářů podpory.

Pokyny: Nelze použít; Customer Lockbox nepodporuje Azure Stream Analytics.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Udržování inventáře citlivých informací

Pokyny: Pomocí značek můžete sledovat prostředky Stream Analytics, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Izolace úloh Stream Analytics vložením vstupů, výstupů a účtů úložiště do stejného předplatného Stream Analytics můžete omezit tak, aby kontrolovala úroveň přístupu k prostředkům Stream Analytics, které vyžadují vaše aplikace a podniková prostředí. Přístup ke službě Azure Stream Analytics můžete řídit přes Azure Active Directory (Azure AD) RBAC.

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Funkce ochrany před únikem informací zatím nejsou dostupné pro prostředky Azure Stream Analytics. V případě potřeby implementujte řešení třetích stran pro účely dodržování předpisů.

Pro základní platformu spravovanou Microsoftem microsoft považuje veškerý obsah zákazníka za citlivý a chrání před ztrátou a vystavením zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Zákazník

4.5: Použití aktivního nástroje pro zjišťování k identifikaci citlivých dat

Pokyny: Funkce identifikace dat zatím nejsou k dispozici pro prostředky Azure Stream Analytics. V případě potřeby implementujte řešení třetích stran pro účely dodržování předpisů.

Odpovědnost: Zákazník

4.6: Řízení přístupu na základě role k řízení přístupu k prostředkům

Pokyny: Použití řízení přístupu na základě role v Azure (Azure RBAC) k řízení interakce uživatelů se službou

Odpovědnost: Zákazník

4.7: Použití ochrany před únikem informací na základě hostitele k vynucení řízení přístupu

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

4.8: Šifrování citlivých informací v klidovém stavu

Pokyny: Stream Analytics neukládá příchozí data, protože veškeré zpracování probíhá v paměti. Všechna soukromá data včetně dotazů a funkcí, které musí stream Analytics uchovávat, se ukládají do nakonfigurovaného účtu úložiště. Pomocí klíčů spravovaných zákazníkem (CMK) můžete šifrovat neaktivní uložená výstupní data v účtech úložiště. I bez CMK stream Analytics automaticky využívá standardy šifrování na nejvyšší úrovni v celé své infrastruktuře k šifrování a zabezpečení vašich dat.

Odpovědnost: Zákazník

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Pokyny: Použití služby Azure Monitor s protokolem aktivit Azure k vytvoření upozornění pro případy, kdy se změny projeví v produkčních instancích prostředků Azure Stream Analytics.

Odpovědnost: Zákazník

Správa ohrožení zabezpečení

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa ohrožení zabezpečení.

5.1: Spuštění automatizovaných nástrojů pro kontrolu ohrožení zabezpečení

Pokyny: Při zabezpečení prostředků Azure Stream Analytics postupujte podle doporučení z Microsoft Defenderu pro cloud.

Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Stream Analytics.

Odpovědnost: Zákazník

5.2: Nasazení automatizovaného řešení pro správu oprav operačního systému

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

5.3: Nasazení automatizovaného řešení správy oprav pro softwarové tituly třetích stran

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

5.4: Porovnání kontrol ohrožení zabezpečení back-to-back

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

5.5: Použití procesu hodnocení rizika k určení priority nápravy zjištěných ohrožení zabezpečení

Pokyny: Použijte výchozí hodnocení rizik (Secure Score), které poskytuje Microsoft Defender for Cloud.

Odpovědnost: Zákazník

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventář a správa prostředků.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování a zjišťování všech prostředků (jako jsou výpočetní prostředky, úložiště, síť, porty a protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte příslušná oprávnění (čtení) ve vašem tenantovi, a vypíšete všechna předplatná Azure a také prostředky v rámci vašich předplatných.

I když se klasické prostředky Azure můžou objevit prostřednictvím Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager.

Odpovědnost: Zákazník

6.2: Udržování metadat prostředků

Pokyny: Použití značek u prostředků Azure, které poskytují metadata k logickému uspořádání do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: K uspořádání a sledování prostředků Azure Stream Analytics používejte značkování, skupiny pro správu a samostatná předplatná. Pravidelně sladit inventář a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Kromě toho použijte Azure Policy k omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků

  • Povolené typy prostředků

Další informace najdete na následujících odkazech.

Odpovědnost: Zákazník

6.4: Definování a údržba inventáře schválených prostředků Azure

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky a Azure jako celek.

Odpovědnost: Zákazník

6.5: Monitorování neschválené prostředky Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit v zákaznických předplatných pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků

  • Povolené typy prostředků

Kromě toho pomocí Azure Resource Graph můžete dotazovat nebo zjišťovat prostředky v rámci předplatných.

Odpovědnost: Zákazník

6.6: Monitorování neschválené softwarové aplikace v rámci výpočetních prostředků

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

6.7: Odebrání neschválené prostředky Azure a softwarových aplikací

Pokyny: Nelze použít; toto doporučení je určené pro výpočetní prostředky a Azure jako celek.

Odpovědnost: Zákazník

6.8: Používejte pouze schválené aplikace.

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Použití Azure Policy k omezení typů prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Další informace najdete na následujících odkazech.

Odpovědnost: Zákazník

6.10: Údržba inventáře schválených softwarových titulů

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

6.11: Omezení možnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Konfigurace podmíněného přístupu Azure tak, aby omezila schopnost uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management.

Odpovědnost: Zákazník

6.12: Omezení schopnosti uživatelů spouštět skripty ve výpočetních prostředcích

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

6.13: Fyzicky nebo logicky oddělit vysoce rizikové aplikace

Pokyny: Nepoužitelné; toto doporučení je určené pro webové aplikace spuštěné na Azure App Service nebo výpočetních prostředcích.

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Použití aliasů Azure Policy v oboru názvů Microsoft.StreamAnalytics k vytvoření vlastních zásad pro auditování nebo vynucování konfigurace azure Stream Analytics. Můžete také využít předdefinované definice zásad související s vaší službou Azure Stream Analytics, například:

Odpovědnost: Zákazník

7.2: Vytvoření konfigurace zabezpečeného operačního systému

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečeného nastavení napříč prostředky Azure.

Odpovědnost: Zákazník

7.4: Údržba zabezpečených konfigurací operačního systému

Pokyny: Nepoužitelné; tento návod je určený pro výpočetní prostředky.

Odpovědnost: Zákazník

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Pokyny: Použití Azure Repos k bezpečnému ukládání a správě kódu, včetně vlastních zásad Azure, šablon Azure Resource Manager, Desired State Configuration skriptů, uživatelem definovaných funkcí, dotazů. Pokud chcete získat přístup k prostředkům, které spravujete v Azure DevOps, můžete udělit nebo odepřít oprávnění konkrétním uživatelům, integrovaným skupinám zabezpečení nebo skupinám definovaným v Azure Active Directory (Azure AD), pokud je integrovaná s Azure DevOps, nebo Azure AD, pokud je integrovaná se sadou TFS.

Odpovědnost: Zákazník

7.6: Bezpečné ukládání vlastních imagí operačního systému

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Použití aliasů Azure Policy v oboru názvů Microsoft.StreamAnalytics k vytváření vlastních zásad pro upozorňování, auditování a vynucování konfigurací systému. Dále vyvíjejte proces a kanál pro správu výjimek zásad.

Odpovědnost: Zákazník

7.8: Nasazení nástrojů pro správu konfigurace pro operační systémy

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití aliasů Azure Policy v oboru názvů Microsoft.StreamAnalytics k vytváření vlastních zásad pro upozorňování, auditování a vynucování konfigurací systému. Pomocí Azure Policy [audit], [odepřít] a [nasadit, pokud neexistuje] automaticky vynucujte konfigurace pro vaše prostředky Azure Stream Analytics.

Odpovědnost: Zákazník

7.10: Implementace automatizovaného monitorování konfigurace pro operační systémy

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

7.11: Zabezpečená správa tajných kódů Azure

Pokyny: Podrobnosti připojení o vstupních nebo výstupních prostředcích, které používají vaše úloha Stream Analytics, se ukládají do nakonfigurovaného účtu úložiště. Zašifrujte svůj účet úložiště a zabezpečte všechna data. Také pravidelně obměňujte přihlašovací údaje pro vstup nebo výstup úlohy Stream Analytics.

Odpovědnost: Zákazník

7.12: Správa identit bezpečně a automaticky

Pokyny: Ověřování spravované identity pro výstup dává úlohám Stream Analytics přímý přístup ke službě, včetně Power BI, účtu úložiště místo použití připojovacího řetězce.

Odpovědnost: Zákazník

7.13: Eliminace neúmyslné expozice přihlašovacích údajů

Pokyny: Implementace skeneru přihlašovacích údajů k identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.1: Použití centrálně spravovaného antimalwarového softwaru

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

8.2: Předběžné naskenování souborů, které se mají nahrát do prostředků Azure bez výpočetních prostředků Azure

Pokyny: Antimalwarový software Microsoftu je povolený na podkladovém hostiteli, který podporuje služby Azure (například Azure Stream Analytics), ale nespustí se v obsahu zákazníka.

Předem zkontrolujte veškerý obsah, který se nahrává do prostředků Azure, jako jsou App Service, Stream Analytics, Blob Storage atd. Microsoft nemůže získat přístup k vašim datům v těchto instancích.

Odpovědnost: Zákazník

8.3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Nepoužitelné; toto doporučení je určené pro výpočetní prostředky.

Odpovědnost: Zákazník

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelných automatizovaných záloh

Pokyny: Na základě typu vybrané výstupní služby Automatické zálohy výstupních dat můžete provádět podle doporučených pokynů pro výstupní službu. Interní data, včetně uživatelem definovaných funkcí, dotazů, datových snímků se ukládají do nakonfigurovaného účtu úložiště, který můžete pravidelně zálohovat.

Data v účtu úložiště Microsoft Azure se vždy automaticky replikují, aby byla zajištěna stálost a vysoká dostupnost. Azure Storage kopíruje vaše data, aby byla chráněná před plánovanými a neplánovanými událostmi, včetně přechodných selhání hardwaru, výpadků sítě nebo napájení a rozsáhlých přírodních katastrof. Můžete se rozhodnout replikovat data ve stejném datovém centru, napříč zónovými datovými centry ve stejné oblasti nebo napříč geograficky oddělenými oblastmi.

Funkci správy životního cyklu můžete použít také k zálohování dat do archivní úrovně. Kromě toho povolte obnovitelné odstranění záloh uložených v účtu úložiště.

Odpovědnost: Zákazník

9.2: Provedení kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Interní data, včetně uživatelem definovaných funkcí, dotazů, snímků dat se ukládají do nakonfigurovaného účtu úložiště, který můžete pravidelně zálohovat.

K zálohování dat z podporovaných služeb účtu úložiště je k dispozici několik metod, včetně použití azcopy nebo nástrojů třetích stran. Neměnné úložiště pro Azure Blob Storage umožňuje uživatelům ukládat datové objekty kritické pro firmy do stavu WORM (Write Once, Read Many). Tento stav znemožňuje vymazání dat a neupravuje se pro uživatelem zadaný interval.

Klíče spravované nebo poskytnuté zákazníkem je možné zálohovat v rámci Azure Key Vault pomocí Azure CLI nebo PowerShellu.

Odpovědnost: Zákazník

9.3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pravidelné obnovení dat zálohovaných dat za účelem otestování integrity dat

Odpovědnost: Zákazník

9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem

Pokyny: Zálohy Stream Analytics uložené ve službě Azure Storage ve výchozím nastavení podporují šifrování a není možné je vypnout. Zálohy byste měli považovat za citlivá data a použít příslušné řízení přístupu a ochrany dat jako součást tohoto směrného plánu.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocování incidentu a stanovení priorit

Pokyny: Microsoft Defender for Cloud přiřadí každé výstraze závažnosti, která vám pomůže určit prioritu výstrah, které by se měly prošetřit jako první. Závažnost je založená na tom, jak je microsoft Defender for Cloud v hledání nebo metrikě použité k vydání výstrahy, a také na úrovni spolehlivosti, že za aktivitou, která vedla k upozornění, došlo ke škodlivému záměru.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) pomocí značek a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure, zejména ty, které zpracovávají citlivá data. Je vaší zodpovědností určit prioritu nápravy upozornění v závislosti na důležitosti prostředků Azure a prostředí, ve kterém k incidentu došlo.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení k otestování schopností reakce na incidenty vašich systémů v pravidelných intervalech, které vám pomůžou chránit prostředky Azure. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude společnost Microsoft používat k tomu, aby vás kontaktovala, pokud Microsoft Security Response Center (MSRC) zjistí, že vaše data byla přístupná neoprávněnou nebo neoprávněnou stranou. Zkontrolujte incidenty po faktu a ujistěte se, že jsou vyřešeny problémy.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu, která pomáhá identifikovat rizika pro prostředky Azure. Průběžný export umožňuje exportovat upozornění a doporučení buď ručně, nebo nepřetržitě. Ke streamování výstrah do Microsoft Sentinelu můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace odpovědi na výstrahy zabezpečení

Pokyny: Pomocí funkce Automatizace pracovních postupů v Microsoft Defenderu pro cloud můžete automaticky aktivovat odpovědi prostřednictvím Logic Apps na výstrahy zabezpečení a doporučení k ochraně vašich prostředků Azure.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a red team cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Pokud chcete zajistit, aby vaše testy průniku nebyly v rozporu se zásadami Microsoftu, postupujte podle pravidel microsoftu engagementu na adrese https://www.microsoft.com/msrc/pentest-rules-of-engagement?rtc=1.

You can find more information on Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications at https://download.microsoft.com/download/C/1/9/C1990DBA-502F-4C2A-848D-392B93D9B9C3/Microsoft_Enterprise_Cloud_Red_Teaming.pdf

Odpovědnost: Sdílené

Další kroky