Řízení zabezpečení: Zabezpečená konfigurace

Poznámka

Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.

Vytvořte, implementujte a aktivně spravujte (sledování, hlášení, opravte) konfiguraci zabezpečení prostředků Azure, abyste zabránili útočníkům v zneužití ohrožených služeb a nastavení.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Azure ID ID CIS Odpovědnost
7.1 5,1 Zákazník

Pomocí aliasů Azure Policy můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace prostředků Azure. Můžete také použít integrované definice Azure Policy.

Azure Resource Manager má také možnost exportovat šablonu do formátu JSON (JavaScript Object Notation), který by se měl zkontrolovat, aby se zajistilo, že konfigurace splňují nebo překračují požadavky na zabezpečení pro vaši organizaci.

Můžete také použít doporučení z Azure Security Center jako zabezpečený směrný plán konfigurace pro prostředky Azure.

7.2: Vytvoření konfigurace zabezpečeného operačního systému

Azure ID ID CIS Odpovědnost
7.2 5,1 Zákazník

Používejte doporučení Azure Security Center k údržbě konfigurací zabezpečení u všech výpočetních prostředků. Kromě toho můžete použít vlastní image operačního systému nebo konfiguraci stavu Azure Automation stavu k vytvoření konfigurace zabezpečení operačního systému požadovaného vaší organizací.

7.3: Údržba zabezpečených konfigurací prostředků Azure

Azure ID ID CIS Odpovědnost
7.3 5.2 Zákazník

Pomocí Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečená nastavení napříč prostředky Azure. Kromě toho můžete pomocí šablon Azure Resource Manager udržovat konfiguraci zabezpečení prostředků Azure vyžadovaných vaší organizací.

7.4: Údržba zabezpečených konfigurací operačního systému

Azure ID ID CIS Odpovědnost
7,4 5.2 Shared

Postupujte podle doporučení z Azure Security Center k provádění posouzení ohrožení zabezpečení u výpočetních prostředků Azure. Kromě toho můžete použít šablony Azure Resource Manager, vlastní image operačního systému nebo konfiguraci stavu Azure Automation stavu k údržbě konfigurace zabezpečení operačního systému požadovaného vaší organizací. Šablony virtuálních počítačů Microsoftu v kombinaci s Azure Automation Desired State Configuration můžou pomoct při plnění a údržbě požadavků na zabezpečení.

Všimněte si také, že Azure Marketplace image virtuálních počítačů publikované společností Microsoft jsou spravovány a spravovány Společností Microsoft.

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Azure ID ID CIS Odpovědnost
7,5 5.3 Zákazník

Pomocí Azure DevOps můžete bezpečně ukládat a spravovat kód, jako jsou vlastní zásady Azure, šablony Azure Resource Manager a skripty Desired State Configuration. Pokud chcete získat přístup k prostředkům, které spravujete v Azure DevOps, můžete udělit nebo odepřít oprávnění konkrétním uživatelům, integrovaným skupinám zabezpečení nebo skupinám definovaným v Azure Active Directory (Azure AD), pokud jsou integrované s Azure DevOps nebo Active Directory, pokud jsou integrované se sadou TFS.

7.6: Bezpečné ukládání vlastních imagí operačního systému

Azure ID ID CIS Odpovědnost
7.6 5.3 Zákazník

Pokud používáte vlastní image, použijte řízení přístupu na základě role Azure (Azure RBAC), abyste zajistili, že k imagím budou mít přístup jenom autorizovaní uživatelé. Pomocí Shared Image Gallery můžete obrázky sdílet s různými uživateli, instančními objekty nebo skupinami AD ve vaší organizaci. U imagí kontejnerů je uložte do Azure Container Registry a využijte Azure RBAC, abyste zajistili, že k imagím budou mít přístup jenom autorizovaní uživatelé.

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Azure ID ID CIS Odpovědnost
7.7 5.4 Zákazník

Definujte a implementujte standardní konfigurace zabezpečení pro prostředky Azure pomocí Azure Policy. Pomocí aliasů Azure Policy můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě prostředků Azure. Můžete také využít předdefinované definice zásad související s vašimi konkrétními prostředky. Kromě toho můžete použít Azure Automation k nasazení změn konfigurace.

7.8: Nasazení nástrojů pro správu konfigurace pro operační systémy

Azure ID ID CIS Odpovědnost
7,8 5.4 Zákazník

Azure Automation State Configuration je služba správy konfigurace pro uzly Desired State Configuration (DSC) v libovolném cloudovém nebo místním datacentru. Počítače můžete snadno připojit, přiřadit je deklarativní konfigurace a zobrazit sestavy zobrazující dodržování předpisů jednotlivých počítačů do požadovaného stavu, který jste zadali.

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Azure ID ID CIS Odpovědnost
7.9 5.5 Zákazník

Pomocí Azure Security Center můžete provádět základní kontroly prostředků Azure. Kromě toho použijte Azure Policy k upozorňování a auditování konfigurací prostředků Azure.

7.10: Implementace automatizovaného monitorování konfigurace pro operační systémy

Azure ID ID CIS Odpovědnost
7.10 5.5 Zákazník

Použijte Azure Security Center k provádění standardních kontrol operačního systému a Nastavení Dockeru pro kontejnery.

7.11: Zabezpečená správa tajných kódů Azure

Azure ID ID CIS Odpovědnost
7.11 13.1 Zákazník

Použití identity spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení správy tajných kódů pro cloudové aplikace

7.12: Zabezpečená a automatická správa identit

Azure ID ID CIS Odpovědnost
7.12 4.1 Zákazník

Spravované identity můžete použít k poskytování služeb Azure automaticky spravovanou identitu v Azure AD. Spravované identity umožňují ověřit se ve všech službách, které podporují ověřování Azure AD, včetně Key Vault, bez jakýchkoli přihlašovacích údajů ve vašem kódu.

7.13: Eliminace nezamýšlené expozice přihlašovacích údajů

Azure ID ID CIS Odpovědnost
7.13 18.1, 18.7 Zákazník

Implementujte skener přihlašovacích údajů pro identifikaci přihlašovacích údajů v kódu. Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Další kroky