Standardní hodnoty zabezpečení Azure pro Azure VMware Solution

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure VMware Solution. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure VMware Solution.

Pokud má funkce relevantní definice Azure Policy, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky se nevztahují na Azure VMware Solution a ty, pro které se doporučuje globální pokyny doslovně, byly vyloučeny. Pokud chcete zjistit, jak Azure VMware Solution zcela mapovat na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure VMware Solution.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Při nasazování prostředků řešení VMware vytvořte nebo použijte existující virtuální síť. Ujistěte se, že všechny virtuální sítě Azure dodržují zásadu segmentace podniku. Měla by být v souladu s obchodními riziky. Izolujte jakýkoli systém, který by mohl mít pro organizaci vyšší riziko ve vlastní virtuální síti. Zabezpečte systém dostatečně pomocí skupiny zabezpečení sítě (NSG) nebo Azure Firewall.

Pomocí programu Microsoft Defender for Cloud Adaptivní posílení zabezpečení sítě doporučte konfigurace NSG, které omezují porty a zdrojové IP adresy na základě odkazu na pravidla externího síťového provozu.

Na základě strategie segmentace aplikací a podnikových segmentací, omezení nebo povolení provozu mezi interními prostředky na základě pravidel skupiny zabezpečení sítě U konkrétních dobře definovaných aplikací, jako je třívrstvé aplikace, může to být ve výchozím nastavení vysoce zabezpečený odepření.

Azure VMware Solution k povolení určitých funkcí vyžaduje následující porty:

Zdroj Cíl Protokol Port Description
Server DNS (Private Cloud Domain Name System) Místní server DNS UDP 53 Klient DNS – Předávání požadavků z pc vCenter pro všechny místní dotazy DNS (podívejte se na část DNS níže)
Místní server DNS Server DNS privátního cloudu UDP 53 Klient DNS – Předávání požadavků z místních služeb na servery DNS privátního cloudu (viz část DNS níže)
Místní síť Server privátního cloudu vCenter TCP(HTTP) 80 Server vCenter vyžaduje pro přímá připojení HTTP port 80. Port 80 přesměruje požadavky na port HTTPS 443. Toto přesměrování pomáhá, pokud používáte http://server místo https://server. WS-Management také vyžaduje otevření portu 443. Pokud používáte vlastní databázi Microsoft SQL, která není součástí databáze SQL Server 2008 na serveru vCenter Server, používá SQL Reporting Services port 80. Když nainstalujete vCenter Server, instalační program vás vyzve ke změně portu HTTP pro vCenter Server. Změňte port HTTP serveru vCenter na vlastní hodnotu, abyste zajistili úspěšnou instalaci. Internetová informační služba (IIS) používá také port 80. Viz konflikt mezi serverem vCenter a iis pro port 80.
Síť pro správu privátního cloudu Místní služby Active Directory TCP 389 Tento port musí být otevřený na místním a všech vzdálených instancích vCenter Serveru. Tento port je číslo portu LDAP pro adresářovou službu pro skupinu vCenter Serveru. Systém vCenter Serveru musí vytvořit vazbu na port 389, i když tuto instanci vCenter Serveru nepřipojíte ke skupině propojených režimů. Pokud na tomto portu běží jiná služba, může být vhodnější ho odebrat nebo změnit jeho port na jiný port. Službu LDAP můžete spustit na libovolném portu od 1025 do 65535. Pokud tato instance slouží jako Microsoft Windows Active Directory, změňte číslo portu z 389 na dostupný port z 1025 až 65535. Tento port je volitelný pro konfiguraci místní služby AD jako zdroje identity ve vCenter privátního cloudu.
Místní síť Server privátního cloudu vCenter TCP(HTTPS) 443 Tento port umožňuje přístup k vCenter z místní sítě. Výchozí port, který systém vCenter Serveru používá k naslouchání připojení z klienta vSphere. Pokud chcete systému vCenter Serveru povolit příjem dat z klienta vSphere, otevřete v bráně firewall port 443. Systém vCenter Serveru také používá port 443 k monitorování přenosu dat z klientů sady SDK. Tento port se používá také pro následující služby: WS-Management také vyžaduje otevření portu 80. Přístup klienta vSphere k nástroji vSphere Update Manager Připojení klientů pro správu sítě třetích stran k vCenter Serveru Klienti pro správu sítě třetích stran mají přístup k hostitelům.
Webový prohlížeč Hybrid Cloud Manager TCP(HTTPS) 9443 Hybridní rozhraní pro správu virtuálních zařízení Cloud Manageru pro konfiguraci systému Hybrid Cloud Manager
síť Správa Hybrid Cloud Manager SSH 22 Přístup SSH správce k hybridnímu Cloud Manageru
HCM Cloud Gateway TCP(HTTPS) 8123 Do služby Hybrid Cloud Gateway odešlete pokyny ke službě replikace na základě hostitele.
HCM Cloud Gateway HTTP TCP(HTTPS) 9443 Pomocí rozhraní REST API odešlete pokyny ke správě místní hybridní cloudové brány.
Cloud Gateway L2C TCP(HTTPS) 443 Pokud L2C používá stejnou cestu jako hybridní cloudová brána, odešlete pokyny ke správě ze služby Cloud Gateway do L2C.
Cloud Gateway Hostitelé ESXi TCP 80,902 Správa a nasazení OVF.
Cloud Gateway (místní) Cloud Gateway (vzdálená) UDP 4500 Vyžaduje se pro výměnu internetových klíčů protokolu IPSEC (IKEv2) k zapouzdření úloh pro obousměrný tunel. Podporuje se také Translation-Traversal síťových adres (NAT-T).
Cloud Gateway (místní) Cloud Gateway (vzdálená) UDP 500 Vyžaduje se pro výměnu internetových klíčů IPSEC (ISAKMP) pro obousměrný tunel.
Místní síť vCenter Síť pro správu privátního cloudu TCP 8000 vMotion virtuálních počítačů z místního vCenter do privátního cloudu vCenter

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Použití Azure ExpressRoute nebo virtuální privátní sítě Azure (VPN) k vytvoření privátních připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí

Připojení ExpressRoute neprocházejí přes veřejný internet a nabízejí větší spolehlivost, rychlejší rychlost a nižší latenci než typická připojení k internetu. V případě vpn typu point-to-site a site-to-site můžete k virtuální síti připojit místní zařízení nebo sítě. Použijte libovolnou kombinaci těchto možností SÍTĚ VPN a Azure ExpressRoute.

Pokud chcete připojit dvě nebo více virtuálních sítí Azure, použijte partnerský vztah virtuálních sítí. Provoz mezi partnerskými virtuálními sítěmi je privátní a zůstává v páteřní síti Azure.

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Azure VMware Solution prostředky používají injektáž virtuální sítě. Nasadíte je přímo do virtuální sítě. Služba nepodporuje použití Private Link k navázání připojení k privátní síti.

Při nasazování Azure VMware Solution prostředků musíte vytvořit nebo použít existující virtuální síť. Ujistěte se, že vybraná virtuální síť má použitou skupinu zabezpečení sítě pro její podsítě a řízení přístupu k síti nakonfigurované specifické pro důvěryhodné porty a zdroje vaší aplikace. Pokud uživatelé konfigurují prostředky s virtuální sítí, nejsou veřejně adresovatelné a dají se k nim přistupovat jenom z virtuální sítě.

V závislosti na potřebách vaší organizace můžete pomocí služby Azure Firewall centrálně vytvářet, vynucovat a protokolovat zásady připojení aplikací a sítí napříč předplatnými a virtuálními sítěmi.

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Ochrana Azure VMware Solution prostředků před útoky z externích sítí Útoky můžou zahrnovat:

  • Útoky DDoS (Distributed Denial of Service)

  • Útoky specifické pro aplikaci

  • Nevyžádané a potenciálně škodlivé internetové přenosy

Pomocí Azure Firewall můžete chránit aplikace a služby před potenciálně škodlivým provozem z internetu a dalších externích umístění. Chraňte prostředky před útoky DDoS tím, že ve virtuálních sítích Azure povolíte službu DDoS Protection Standard. Pomocí programu Microsoft Defender for Cloud můžete detekovat rizika chybné konfigurace v prostředcích souvisejících se sítí.

Pomocí funkcí Web Application Firewall (WAF) v Azure Application Gateway, Azure Front Dooru a Azure Content Delivery Network (CDN) můžete chránit aplikace spuštěné v řešení Azure VMware před útoky na aplikační vrstvu.

Odpovědnost: Zákazník

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti pro skupiny zabezpečení sítě nebo Azure Firewall nakonfigurované pro vaše Azure VMware Solution prostředky Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadejte název značky služby v příslušném zdrojovém nebo cílovém poli pravidla, které povolí nebo zakáže provoz služby. Microsoft spravuje předpony adres, které značka služby zahrnuje, a automaticky aktualizuje značku služby při změně adres.

Pro službu Azure VMware Solution nejsou rezervované žádné konkrétní značky služeb. Značky služeb ale můžete dál používat ke zjednodušení síťových pravidel v sítích, do které nasazujete prostředky VMware Solution.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Postupujte podle osvědčených postupů pro zabezpečení DNS, abyste zmírnit běžné útoky, jako jsou:

  • Dangling DNS

  • Útoky na amplifikace DNS

  • Otrava DNS

  • Falšování identity

  • A tak dále.

Pokud jako autoritativní službu DNS používáte Azure DNS, ujistěte se, že jsou zóny a záznamy DNS chráněné před náhodnými nebo škodlivými úpravami pomocí Azure Role-Based Access Control (RBAC) a zámků prostředků.

Odpovědnost: Sdílené

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure VMware Solution používá azure Active Directory (Azure AD) jako výchozí službu pro správu identit a přístupu. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

  • Prostředky Microsoft Cloud. Mezi zdroje patří:

    • Azure Portal

    • Azure Storage

    • Virtuální počítače Azure s Linuxem a Windows

    • Azure Key Vault

    • Platforma jako služba (u PaaS)

    • Aplikace SaaS (Software jako služba)

  • prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Zabezpečení Azure AD by mělo být vysokou prioritou pro postupy zabezpečení cloudu vaší organizace. Azure AD poskytuje skóre zabezpečení identity, které vám pomůže porovnat stav zabezpečení vaší identity s doporučeními Microsoftu pro osvědčené postupy. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Poznámka: Azure AD podporuje externí identity. Uživatelé bez účtu Microsoft se můžou přihlásit ke svým aplikacím a prostředkům pomocí své externí identity.

Azure VMware Solution poskytuje skupinu CloudAdmin, kterou můžete použít k začlenění služby do Azure Active Directory. Jste zadali přihlašovací údaje pro uživatele správce cloudu ve vCenter a přístup správce ve správci NSX-T.

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Azure VMware Solution nepodporuje přiřazování identit spravovaných Azure AD k prostředkům. Azure VMware Solution privátní cloudy používají řízení přístupu na základě role vSphere k lepšímu zabezpečení.

V případech, kdy potřebujete nakonfigurovat oprávnění aplikace pro Azure VMware Solution, použijte Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku, abyste mohli nakonfigurovat instanční objekty pomocí přihlašovacích údajů certifikátu a vrátit se k tajným klíčům klienta. Skripty nebo aplikace spuštěné ve službě můžou tento instanční objekt použít k provádění akcí v Azure. V obou případech použijte Azure Key Vault s identitami spravovanými Azure AD, aby prostředí runtime, jako je funkce Azure, načítalo přihlašovací údaje z trezoru klíčů.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Pro aktivity správy Azure VMware Solution ke správě prostředků Azure používá Azure AD jako zprostředkovatele identity.

Pro interní přístup Azure VMware Solution privátní cloudy používají řízení přístupu na základě role vSphere k lepšímu zabezpečení. Možnosti ldap jednotného přihlašování vSphere můžete integrovat s Azure AD. Když jste nakonfigurovali integraci, umožňuje jednotné přihlašování (SSO) spravovat a zabezpečit přístup k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny uživatele, aplikace a zařízení k Azure AD pro zajištění bezproblémového, zabezpečeného přístupu a lepší viditelnosti a kontroly.

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure VMware Solution umožňuje zákazníkům nasadit své prostředky prostřednictvím infrastruktury jako nasazení kódu, která mohou obsahovat vložené tajné kódy. Implementujte skener přihlašovacích údajů a identifikujte přihlašovací údaje v rámci šablon infrastruktury pro vaše Azure VMware Solution prostředky. Skener přihlašovacích údajů vám také doporučí přesunout zjištěné přihlašovací údaje do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub použijte nativní funkci kontroly tajných kódů k identifikaci přihlašovacích údajů nebo jiných forem tajných kódů v kódu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Nejdůležitější předdefinované role Azure AD jsou globální správce a správce privilegovaných rolí. Uživatelé s těmito dvěma rolemi můžou delegovat role správce.

  • Globální správce nebo správce společnosti má přístup ke všem funkcím správy Azure AD a službám, které používají Azure AD identit.

  • Správce privilegovaných rolí může spravovat přiřazení rolí v Azure AD a Azure AD Privileged Identity Management (PIM). Tato role může spravovat všechny aspekty PIM a jednotek pro správu.

V Azure VMware Solution má vCenter předdefinovaný místní uživatel s názvem cloudadmin a je přiřazený k roli CloudAdmin. Místní uživatel cloudadmin nastaví uživatele v AD. Role Správce cloudu vytváří a spravuje úlohy ve vašem privátním cloudu. V Azure VMware Solution ale role Správce cloudu má oprávnění vCenter, která se liší od jiných cloudových řešení VMware.

Omezte počet vysoce privilegovaných účtů nebo rolí a chraňte tyto účty na vyšší úrovni. Vysoce privilegovaní uživatelé můžou přímo nebo nepřímo číst a upravovat všechny vaše prostředky Azure.

Privilegovaný přístup k prostředkům Azure můžete povolit za běhu (JIT) a Azure AD pomocí Azure AD PIM. JIT uděluje dočasná oprávnění k privilegovaným úkolům pouze v případě, že je uživatelé potřebují. PIM může také generovat výstrahy zabezpečení pro podezřelou nebo nebezpečnou aktivitu ve vaší organizaci Azure AD.

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure VMware Solution ke správě svých prostředků používá účty Azure AD. Pravidelně zkontrolujte uživatelské účty a přiřazení přístupu, abyste měli jistotu, že jsou účty a jejich přístup platné. Ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí můžete použít Azure AD a kontroly přístupu. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také vytvořit pracovní postupy sestav kontroly přístupu v Azure AD Privileged Identity Management (PIM), abyste usnadnili proces kontroly.

Nástroj PIM můžete nakonfigurovat tak, aby vás Azure AD upozorňoval na příliš mnoho účtů správce. PIM může identifikovat účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Azure VMware Solution privátních cloudů se zřizují pomocí vCenter Serveru a správce NSX-T. Pomocí vCenter můžete spravovat úlohy virtuálních počítačů a správce NSX-T ke správě a rozšíření privátního cloudu. Přístup a správa identit používají roli CloudAdmin pro vCenter a omezená práva správce pro správce NSX-T.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené izolované pracovní stanice jsou důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a kritické operátory služeb. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice a Službu Azure Bastion.

Pomocí Azure AD, programu Microsoft Defender ATP nebo Microsoft Intune nasaďte zabezpečenou a spravovanou uživatelskou pracovní stanici pro úlohy správy. Zabezpečené pracovní stanice můžete centrálně spravovat a vynucovat tak konfiguraci zabezpečení, která zahrnuje:

  • Silné ověřování

  • Standardní hodnoty softwaru a hardwaru

  • Omezený logický přístup a přístup k síti

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure VMware Solution se integruje s Azure RBAC ke správě svých prostředků. Pomocí RBAC spravujete přístup k prostředkům Azure prostřednictvím přiřazení rolí. Role můžete přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám. Některé prostředky mají předem definované předdefinované předdefinované role. Tyto role můžete inventarizace nebo dotazování na tyto role prostřednictvím nástrojů, jako jsou Azure CLI, Azure PowerShell nebo Azure Portal.

Omezte oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, na to, co role vyžadují. Tento postup doplňuje přístup podle potřeby (JIT) Azure AD PIM. Pravidelně kontrolujte role a přiřazení.

Pomocí předdefinovaných rolí udělte oprávnění a v případě potřeby vytvořte pouze vlastní role.

Azure VMware Solution privátních cloudů se zřizují pomocí vCenter Serveru a správce NSX-T. Pomocí vCenter můžete spravovat úlohy virtuálních počítačů a správce NSX-T ke správě a rozšíření privátního cloudu. Přístup a správa identit používají roli CloudAdmin pro vCenter a omezená práva správce pro správce NSX-T.

V Azure VMware Solution má vCenter předdefinovaný místní uživatel s názvem cloudadmin a je přiřazený k roli CloudAdmin. Místní uživatel cloudadmin se používá k nastavení uživatelů v Azure AD. Role CloudAdmin vytváří a spravuje úlohy ve vašem privátním cloudu. V Azure VMware Solution ale role CloudAdmin má oprávnění vCenter, která se liší od jiných cloudových řešení VMware.

Azure VMware Solution také podporuje použití vlastních rolí se stejnou nebo menšími oprávněními než role CloudAdmin. Pomocí role CloudAdmin vytvoříte, upravíte nebo odstraníte vlastní role s oprávněními menšími nebo rovno jejich aktuální roli. Můžete vytvářet role s oprávněními většími než CloudAdmin. Roli nemůžete přiřadit žádným uživatelům ani skupinám ani roli odstranit.

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Azure VMware Solution nepodporuje customer lockbox. Microsoft může spolupracovat se zákazníky prostřednictvím metody non-lockbox ke schválení pro přístup k zákaznickým datům.

Odpovědnost: Microsoft

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-2: Ochrana citlivých dat

Pokyny: Ochrana citlivých dat omezením přístupu pomocí Azure RBAC, řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure Můžete například použít šifrování v SQL a dalších databázích.

Pro konzistenci zarovnejte všechny typy řízení přístupu se strategií segmentace podniku. Informujte strategii segmentace podniku umístěním citlivých nebo důležitých obchodních dat a systémů.

Microsoft považuje veškerý obsah zákazníků v podkladové platformě spravované Microsoftem za citlivý. Microsoft chrání před ztrátou a expozicí zákaznických dat. Microsoft má výchozí ovládací prvky a možnosti ochrany dat, které zajistí, že zákaznická data Azure zůstanou zabezpečená.

Odpovědnost: Sdílené

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Pokud chcete doplnit řízení přístupu, chraňte data při přenosu před útoky mimo pásma, jako je zachycení provozu. Šifrováním zajistíte, aby útočníci nemohli data snadno číst ani upravovat. Azure VMware Solution podporuje šifrování dat při přenosu pomocí protokolu TLS verze 1.2.

Tento požadavek je volitelný pro provoz v privátních sítích, ale je kritický pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že klienti, kteří se připojují k prostředkům Azure, můžou používat protokol TLS verze 1.2 nebo novější.

Pro vzdálenou správu použijte protokol TLS místo nešifrovaného protokolu. Zastaralé verze SSL a TLS nebo slabé šifry by měly být zakázané.

Azure ve výchozím nastavení šifruje data přenášená mezi datovými centry Azure.

Odpovědnost: Sdílené

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Pokud chcete doplnit řízení přístupu, Azure VMware Solution zašifruje neaktivní uložená data, aby se chránila před útoky mimo pásma, jako je přístup k podkladovému úložišti, pomocí šifrování. Šifrování pomáhá zajistit, aby útočníci nemohli data snadno číst ani upravovat.

Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. U vysoce citlivých dat máte možnosti implementovat více šifrování neaktivních uložených dat na všech prostředcích Azure, kde jsou k dispozici. Azure ve výchozím nastavení spravuje šifrovací klíče pro Azure VMware Solution. Nenabízí možnost správy vlastních klíčů spravovaných zákazníkem.

Úložiště dat vSAN ve výchozím nastavení používají šifrování neaktivních uložených dat pomocí klíčů uložených v Azure Key Vault. Řešení šifrování je založené na službě KmS a podporuje operace vCenter pro správu klíčů. Když z clusteru odeberete hostitele, data na discích SSD se okamžitě zneplatní.

Odpovědnost: Zákazník

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že v tenantovi a předplatných Azure udělíte oprávnění čtenáři zabezpečení týmů zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního týmu zabezpečení nebo místního týmu v závislosti na tom, jak strukturujete odpovědnost. Vždy agregujte přehledy zabezpečení a rizika centrálně v rámci organizace.

Oprávnění čtenáře zabezpečení můžete použít obecně pro celou kořenovou skupinu pro správu tenanta nebo oprávnění oboru pro konkrétní skupiny pro správu nebo předplatná.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmy zabezpečení mají přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure, jako je Azure VMware Solution. Týmy zabezpečení často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům a jako vstup do průběžných vylepšení zabezpečení. Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace. Přiřaďte jim přístup pro čtení ke všem prostředkům Azure VMware Solution. Tento proces můžete zjednodušit pomocí jednoho přiřazení role vysoké úrovně v rámci vašeho předplatného.

Pomocí značek u prostředků Azure, skupin prostředků a předplatných je logicky uspořádejte do taxonomie. Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Pomocí inventáře virtuálních počítačů Azure automatizujte shromažďování informací o softwaru na virtuálních počítačích. Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datům instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Systému Windows do pracovního prostoru služby Log Analytics.

Pomocí programu Microsoft Defender for Cloud Adaptivní řízení aplikací můžete určit, které typy souborů pravidlo dělá nebo se na ně nevztahuje.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Použití Azure Policy k auditování a omezení služeb, které uživatelé můžou ve vašem prostředí zřídit. Azure Resource Graph použijte k dotazování a zjišťování prostředků v rámci předplatných. Azure Monitor můžete také použít k vytvoření pravidel pro aktivaci výstrah, když zjistí neschválené služby.

Odpovědnost: Zákazník

AM-6: Použití pouze schválených aplikací ve výpočetních prostředcích

Pokyny: Použití inventáře virtuálních počítačů Azure k automatizaci shromažďování informací o veškerém softwaru na virtuálních počítačích souvisejících s Azure VMware Solution Název softwaru, verze, vydavatel a čas aktualizace jsou k dispozici v Azure Portal. Pokud chcete získat přístup k datu instalace a dalším informacím, povolte diagnostiku na úrovni hosta a přeneste protokoly událostí Systému Windows do pracovního prostoru služby Log Analytics.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Přeposílejte všechny protokoly z Azure VMware Solution, které je možné použít k nastavení vlastních detekcí hrozeb do siEM. Ujistěte se, že monitorujete různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních výstrah, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžete zdrojovat z dat protokolu, agentů nebo jiných dat.

Odpovědnost: Zákazník

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure AD poskytuje následující protokoly uživatelů. Protokoly můžete zobrazit v sestavách Azure AD. Protokoly můžete integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýzy.

  • Přihlášení – Informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů

  • Protokoly auditu – Sledovatelnost prostřednictvím protokolů pro všechny změny provedené různými funkcemi Azure AD Protokoly auditu zahrnují změny provedené u libovolného prostředku v rámci Azure AD. Mezi změny patří přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.

  • Rizikové přihlášení – indikátor pokusů o přihlášení od někoho, kdo nemusí být oprávněným vlastníkem uživatelského účtu.

  • Uživatelé označení příznakem rizika – indikátor uživatelského účtu, který mohl být ohrožen.

Microsoft Defender for Cloud vás také může upozornit na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření. Zastaralé účty v předplatném můžou také aktivovat výstrahy.

Microsoft Defender for Cloud vás může také upozornit na podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření nebo o zastaralé účty.

Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat podrobnější výstrahy zabezpečení z:

  • Jednotlivé výpočetní prostředky Azure, jako jsou virtuální počítače, kontejnery a app service.

  • Datové prostředky, jako jsou Azure SQL Database a Azure Storage.

  • Vrstvy služeb Azure

Tato funkce poskytuje přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Povolte a shromážděte protokoly prostředků NSG, protokoly toku NSG, protokoly Azure Firewall a protokoly Web Application Firewall (WAF). Pomocí protokolů pro analýzu zabezpečení můžete podporovat vyšetřování incidentů, proaktivní vyhledávání hrozeb a generování výstrah zabezpečení. Protokoly toku můžete odeslat do pracovního prostoru Služby Log Analytics služby Azure Monitor a pak použít Traffic Analytics k poskytování přehledů.

Ujistěte se, že shromažďujete protokoly dotazů DNS, abyste mohli korelovat další síťová data. Implementujte řešení třetích stran z Azure Marketplace pro protokolování DNS tak, aby vyhovovalo potřebám vaší organizace.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit jsou k dispozici automaticky. Protokoly obsahují všechny operace PUT, POST a DELETE, ale ne GET, pro vaše Azure VMware Solution prostředky kromě operací čtení (GET). Protokoly aktivit můžete použít k vyhledání chyb při řešení potíží nebo k monitorování způsobu, jakým uživatelé ve vaší organizaci upravili prostředky.

Povolte protokoly prostředků Azure pro Azure VMware Solution. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolů. Tyto protokoly můžou být důležité pro vyšetřování incidentů zabezpečení a provádění forenzních cvičení.

Azure VMware Solution také vytváří protokoly auditu zabezpečení pro místní účty pro správu. Povolte protokoly auditu místního správce.

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované ukládání a analýza protokolování pro povolení korelace Pro každý zdroj protokolů se ujistěte, že máte:

  • Přiřazený vlastník dat

  • Pokyny k přístupu

  • Umístění úložiště

  • Nástroje, které používáte ke zpracování a přístupu k datům

  • Požadavky na uchovávání dat

Nezapomeňte integrovat protokoly aktivit Azure do centrálního protokolování.

Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení, která generují zařízení koncových bodů, síťové prostředky a další systémy zabezpečení. V Azure Monitoru můžete pomocí pracovních prostorů Log Analytics dotazovat a provádět analýzy.

Používejte účty Azure Storage pro dlouhodobé a archivní úložiště.

Pro aplikace, které běží na Azure VMware Solution, předejte všechny protokoly související se zabezpečením do siEM pro centralizovanou správu.

Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory Služby Log Analytics, které používáte k ukládání Azure VMware Solution protokolů, mají nastavené doby uchovávání protokolů. Pokud jste to ještě neudělali, nastavte období uchovávání protokolů podle předpisů vaší organizace.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Microsoft udržuje časové zdroje pro většinu služeb PaaS platformy Azure a SaaS. Pro vaše virtuální počítače použijte pro synchronizaci času výchozí server NTP (Network Time Protocol) Microsoftu, pokud nemáte konkrétní požadavek. Pokud potřebujete vytvořit vlastní server NTP, ujistěte se, že jste zabezpečili port služby UDP 123. Všechny protokoly generované prostředky v Rámci Azure poskytují časové razítko s časovým pásmem určeným ve výchozím nastavení.

Odpovědnost: Zákazník

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Použití Azure Blueprints k automatizaci nasazení a konfigurace služeb a aplikačních prostředí Jedna definice podrobného plánu může zahrnovat šablony Azure Resource Manager, ovládací prvky RBAC a zásady.

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Monitorování standardních hodnot konfigurace pomocí programu Microsoft Defender for Cloud Pomocí Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč výpočetními prostředky Azure, včetně virtuálních počítačů a kontejnerů.

Odpovědnost: Zákazník

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití programu Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací pro všechny výpočetní prostředky, včetně virtuálních počítačů, kontejnerů a dalších.

Vlastní image operačního systému nebo Azure Automation State Configuration můžete použít k vytvoření konfigurace zabezpečení operačního systému požadovaného vaší organizací.

Odpovědnost: Zákazník

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použití programu Microsoft Defender pro cloud a Azure Policy k pravidelnému posouzení a nápravě rizik konfigurace u výpočetních prostředků Azure, včetně virtuálních počítačů a kontejnerů. Můžete také použít šablony Azure Resource Manager (ARM), vlastní image operačního systému nebo konfiguraci stavu Azure Automation, abyste zachovali konfiguraci zabezpečení operačního systému, kterou vaše organizace vyžaduje.

Šablony virtuálních počítačů Microsoftu v kombinaci s Azure Automation State Configuration můžou pomoct splňovat a udržovat požadavky na zabezpečení.

Microsoft spravuje a udržuje image virtuálních počítačů, které publikují na Azure Marketplace.

Microsoft Defender for Cloud může kontrolovat ohrožení zabezpečení v imagích kontejnerů a průběžně monitorovat konfigurace kontejnerů Dockeru na srovnávacích testech CIS Dockeru. Stránku Doporučení ke cloudu v Programu Microsoft Defender pro cloud můžete použít k zobrazení doporučení a nápravě problémů.

Odpovědnost: Sdílené

PV-5: Bezpečné ukládání vlastních operačních systémů a imagí kontejnerů

Pokyny: Azure VMware Solution umožňuje zákazníkům spravovat image kontejnerů. Pomocí Azure RBAC se ujistěte, že k vašim vlastním imagím mají přístup jenom autorizovaní uživatelé. Pomocí azure Shared Image Gallery můžete sdílet image různým uživatelům, instančním objektům nebo skupinám Azure AD ve vaší organizaci. Uložte image kontejnerů v Azure Container Registry a pomocí RBAC zajistěte, aby měli přístup jenom autorizovaní uživatelé.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Azure VMware Solution se částečně skládá z virtuálních počítačů zákazníků. Pokud chcete provádět posouzení ohrožení zabezpečení na virtuálních počítačích Azure, postupujte podle doporučení z Microsoft Defenderu pro cloud. Podle potřeby exportujte výsledky kontroly v konzistentních intervalech a porovnejte výsledky s předchozími kontrolami a ověřte, že došlo k nápravě ohrožení zabezpečení. Při použití doporučení pro správu ohrožení zabezpečení, která navrhuje Microsoft Defender pro cloud, můžete přejít na portál vybraného řešení a zobrazit historická data kontroly.

Azure VMware Solution může použít řešení třetích stran k provádění posouzení ohrožení zabezpečení na síťových zařízeních a webových aplikacích. Při provádění vzdálených kontrol nepoužívejte jeden trvalý účet pro správu. Zvažte implementaci metodologie zřizování JIT pro účet kontroly. Přihlašovací údaje pro účet kontroly by měly být chráněné, monitorované a používány pouze pro kontrolu ohrožení zabezpečení.

Podle potřeby exportujte výsledky kontroly v konzistentních intervalech a porovnejte výsledky s předchozími kontrolami a ověřte, že došlo k nápravě ohrožení zabezpečení.

Odpovědnost: Zákazník

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Azure VMware Solution umožňuje nasazení služeb na virtuální počítače zákazníků. Rychle nasaďte aktualizace softwaru pro nápravu ohrožení zabezpečení softwaru v operačních systémech a aplikacích.

Upřednostněte použití společného programu pro vyhodnocování rizik, jako je Common Vulnerability Scoring System nebo výchozí hodnocení rizik poskytovaná nástrojem pro kontrolu třetích stran. Přizpůsobte prostředí pomocí kontextu, pro které aplikace představují vysoce bezpečnostní riziko a které vyžadují vysokou dobu provozu.

Pomocí Azure Automation Update Management nebo řešení třetích stran se ujistěte, že jsou na virtuálních počítačích s Windows a Linuxem nainstalované nejnovější aktualizace zabezpečení. U virtuálních počítačů s Windows se ujistěte, že jste povolili služba Windows Update a nastavili ji tak, aby se aktualizovala automaticky.

Odpovědnost: Zákazník

PV-8: Provádění pravidelné simulace útoku

Pokyny: Provedení testování průniku nebo červených týmových aktivit na prostředcích Azure podle potřeby a zajištění nápravy všech důležitých zjištění zabezpečení.

Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy porušují zásady Microsoftu. Použijte strategii a provádění red teaming od Microsoftu. Proveďte živé testování průniku webů s využitím cloudové infrastruktury, služeb a aplikací spravovaných Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

Pokyny: Povolení funkcí detekce koncových bodů a odpovědí (EDR) pro servery a klienty Integrace s procesy operací zabezpečení a SIEM

Rozšířená ochrana před internetovými útoky v programu Microsoft Defender poskytuje funkci EDR jako součást podnikové platformy zabezpečení koncových bodů, která brání, detekuje, prozkoumává a reaguje na pokročilé hrozby.

Odpovědnost: Zákazník

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Ochrana služby Azure Machine Learning a jejích prostředků pomocí centrálně spravovaného moderního antimalwarového softwaru Použijte centrálně spravované antimalwarové řešení koncového bodu, které může provádět pravidelné kontroly v reálném čase.

  • Microsoft Antimalware pro Azure Cloud Services je výchozím antimalwarovým řešením pro virtuální počítače s Windows.

  • Pro virtuální počítače s Linuxem použijte antimalwarové řešení třetích stran.

  • K detekci malwaru nahraných do účtů Azure Storage použijte Microsoft Defender pro detekci cloudových hrozeb.

  • Pomocí programu Microsoft Defender for Cloud můžete automaticky:

    • Identifikace několika oblíbených antimalwarových řešení pro vaše virtuální počítače

    • Sestava stavu spuštění ochrany koncových bodů

    • Vytváření doporučení

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Nezapomeňte rychle a konzistentně aktualizovat antimalwarové podpisy.

Postupujte podle doporučení v Programu Microsoft Defender pro Cloud Compute & Apps, abyste měli jistotu, že jsou všechny virtuální počítače a kontejnery aktuální s nejnovějšími podpisy.

Pro Windows Microsoft Antimalware automaticky nainstaluje nejnovější podpisy a aktualizace modulu ve výchozím nastavení. Pokud pracujete v linuxovém prostředí, použijte antimalwarové řešení třetích stran.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Ujistěte se, že zálohujete systémy a data, abyste mohli udržovat provozní kontinuitu po neočekávané události. Pokyny použijte pro všechny cíle doby obnovení (RTO) a cíle bodu obnovení (RPO).

Povolte Azure Backup. Nakonfigurujte zdroje záloh, jako jsou virtuální počítače Azure, SQL Server, databáze HANA nebo sdílené složky. Nakonfigurujte požadovanou frekvenci a dobu uchovávání.

Pokud chcete vyšší redundanci, povolte možnosti geograficky redundantního úložiště pro replikaci zálohovaných dat do sekundární oblasti a obnovení pomocí obnovení mezi oblastmi.

Odpovědnost: Sdílené

BR-2: Šifrování zálohovaných dat

Pokyny: Nezapomeňte chránit zálohy proti útokům. Ochrana zálohování by měla zahrnovat šifrování, které chrání před ztrátou důvěrnosti.

Místní zálohování pomocí Azure Backup poskytuje šifrování neaktivních uložených uložených uložených dat pomocí hesla, které zadáte. Pravidelné zálohování služeb Azure automaticky šifruje zálohovaná data pomocí klíčů spravovaných platformou Azure. Zálohování můžete zašifrovat pomocí klíče spravovaného zákazníkem. V tomto případě se ujistěte, že tento klíč spravovaný zákazníkem v trezoru klíčů je také v oboru zálohování.

RBAC můžete používat v Azure Backup, Azure Key Vault a dalších prostředcích k ochraně záloh a klíčů spravovaných zákazníkem. Před změnou nebo odstraněním záloh můžete také povolit pokročilé funkce zabezpečení, které vyžadují vícefaktorové ověřování.

Odpovědnost: Sdílené

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pravidelné obnovení dat zálohování související s Azure VMware Solution

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte na místě opatření, abyste zabránili ztrátě klíčů a obnovili je. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

Odpovědnost: Zákazník

Další kroky