Javaslatok az erőforrások megerősítéséhez

  • Cikk

Az Azure Well-Architected Framework Security ellenőrzőlista-javaslatára vonatkozik:

SE:08 Az összes számításifeladat-összetevőt megerősítheti a felesleges felület csökkentésével és a konfigurációk szigorításával a támadók költségeinek növelése érdekében.

Ez az útmutató az erőforrások megerősítésére vonatkozó javaslatokat ismerteti azáltal, hogy honosított vezérlőket fejleszt ki egy számítási feladaton belül, és fenntartja őket az ismétlődő támadások ellen.

A biztonsági megkeményedés szándékos önmegőrzési gyakorlat. A cél a támadási felület csökkentése és a támadók költségeinek növelése más területeken, ami korlátozza a rosszindulatú szereplők lehetőségeit a biztonsági rések kihasználására. A számítási feladatok védelme érdekében alkalmazzon biztonsági ajánlott eljárásokat és konfigurációkat.

A biztonsági megkeményedés egy folyamatos folyamat , amely folyamatos monitorozást és alkalmazkodást igényel a változó fenyegetésekhez és biztonsági résekhez.

Definíciók

Időszak Definíció
Szolgáltatáskorlátozás A támadási felület csökkentésének gyakorlata a felesleges erőforrások eltávolításával vagy a konfigurációk módosításával.
Emelt szintű hozzáférési munkaállomás (PAW) Egy dedikált és biztonságos gép, amellyel bizalmas feladatokat hajthat végre, ami csökkenti a kockázatokat.
Biztonságos felügyeleti munkaállomás (SAW) Egy speciális emelt hozzáférési szintű munkaállomás, amelyet a kritikus hatással rendelkező fiókok használnak.
Felületi terület A biztonsági réseket tartalmazó számítási feladatok logikai lábnyoma.

Fő tervezési stratégiák

A biztonsági szigorítás egy nagymértékben honosított gyakorlat, amely megerősíti az összetevők szintjén lévő vezérlőket, legyen szó erőforrásokról vagy folyamatokról. Ha az egyes összetevők biztonságát szigorítja, az javítja a számítási feladat összesített biztonsági garanciáit.

A biztonsági korlátozások nem veszik figyelembe a számítási feladat funkcióit, és nem észlelik a fenyegetéseket, és nem végeznek automatikus vizsgálatot. A biztonsági megkeményedés a konfiguráció finomhangolására összpontosít, feltételezve, hogy a biztonsági réseket és a mélységi védelmet is szemügyre veszi. A cél az, hogy megnehezítse a támadók számára a rendszer irányítását. A megkeményedés nem módosíthatja egy számítási feladat vagy annak műveleteinek tervezett segédprogramját.

A keményítési folyamat első lépése az összes hardver-, szoftver- és adategység átfogó leltárának összegyűjtése. Új eszközök hozzáadásával és a leszerelt eszközök eltávolításával naprakészen tarthatja a leltárrekordokat. A leltárban lévő összes eszköz esetében vegye figyelembe az alábbi ajánlott eljárásokat:

  • Csökkentse a lábnyomot. Távolítsa el a felesleges felületet, vagy csökkentse a hatókört. Kiküszöbölheti az egyszerű célokat, vagy az olcsó és jól bevált támadási vektorokat, például a nem kicsomagolt szoftveres kiaknázásokat és a találgatásos támadásokat. Az éles üzembe helyezés előtt a forrásfáról törölnie kell az identitásokat, az összetevőket és az egyéb nem lekért eszközöket.

  • Konfigurációk finomhangolása. Értékelje ki és húzza meg a fennmaradó felületet. Ha az erőforrások meg vannak erősítve, a támadók által használt kipróbált és tesztelt módszerek már nem lesznek sikeresek. Arra kényszeríti a támadókat, hogy speciális vagy nem tesztelt támadási módszereket szerezzenek be és használjanak, ami növeli a költségeiket.

  • Őrizze meg a védelmet. Tartsa fenn a védelmi intézkedéseket a folyamatos fenyegetésészlelés végrehajtásával, hogy a megerősítési erőfeszítések az idő múlásával megbízhatóak legyenek.

Vegye figyelembe az alábbi tényezőket is.

Megbízható forrás. A megkeményítési gyakorlat része a szoftverellátási lánc. Ez az útmutató feltételezi, hogy az összes összetevő megbízható forrásból származik. A szervezetnek jóvá kell hagynia a külső gyártóktól beszerzett szoftvereket. Ez a jóváhagyás az operációs rendszer, a rendszerképek és más külső eszközök forrásaira vonatkozik. Megbízható erőforrások nélkül a megkeményedés a nem megbízható források biztonsági garanciáinak végtelen leeresztője lehet.

Az ellátási lánc biztonságával kapcsolatos javaslatokért lásd: Javaslatok a fejlesztési életciklus biztonságossá tételéhez.

Képzés. A megkeményedés speciális képesség. Ez módszeres, és magas szintű kompetenciát igényel. Meg kell ismernie egy összetevő működését, és azt, hogy a változások milyen hatással vannak az összetevőre. A csapattagnak képesnek kell lennie felismerni az iparági szakértőktől és a platformtól kapott útmutatást, hogy megkülönböztesse azt a bizonytalan forrásoktól. A csapattagok oktatása a biztonságtudatos kultúra létrehozására. Győződjön meg arról, hogy csapata jártas a biztonsági ajánlott eljárásokban, tudatában van a lehetséges fenyegetéseknek, és tanul az incidens utáni visszatekintésekből.

Dokumentáció. Dokumentálja és közzéteszi a korlátozási követelményeket, a döntéseket és a definiált módszereket. Az átláthatóság érdekében dokumentálja a kivételeket vagy a követelményektől való eltéréseket is.

A megkeményedés nehézkes lehet, de fontos biztonsági gyakorlat, amelyet dokumentálnia kell. Először feszítse meg az alapvető összetevőket, majd bontsa ki azokat más területekre, például az automatizált folyamatokra és az emberi folyamatokra, a potenciális hiányosságok szűkítése érdekében. Legyen aprólékos a változásokról. A szükséges lépés például az alapértelmezett beállítások letiltása, mert az alapértelmezett értékek módosítása nem befolyásolhatja a rendszer stabilitását. Még ha a cserekonfiguráció megegyezik az alapértelmezett konfigurációval, meg kell határozni. Az alábbi szakaszok a keményítés gyakori céljait ismertetik. Értékelje ki a számítási feladat legfontosabb tervezési területeit, és kövesse a kulcsfontosságú stratégiákat az összetevők szintjén történő megerősítéséhez.

Hálózatkezelés

Ossza el a hálózatot szegmensekre , hogy elkülönítse a kritikus fontosságú eszközöket és a bizalmas adatokat a kevésbé biztonságos eszközöktől, ami csökkenti a támadók oldalirányú mozgását. Ezekben a szegmensekben alkalmazzon egy alapértelmezett megtagadási megközelítést. Csak akkor adjon hozzá hozzáférést az engedélyezési listához, ha az indokolt.

Tiltsa le az aktívan nem használt portokat és protokollokat. Ha például Azure App Service nem kell FTP-n keresztül üzembe helyeznie, letilthatja. Vagy ha belső hálózaton keresztül hajt végre felügyeleti műveleteket, letilthatja a rendszergazdai hozzáférést az internetről.

Távolítsa el vagy tiltsa le az örökölt protokollokat. A támadók kihasználják a régi verziókat használó rendszereket. Azure-észlelési szolgáltatás használata a naplók áttekintéséhez és a protokollhasználat meghatározásához. A protokollok eltávolítása nehéz lehet, mert megzavarhatja a rendszer működését. Tesztelje az összes módosítást az implementáció előtt, hogy mérsékelje a működés megszakadásának kockázatát.

A nyilvános IP- (PIP-) címeket magas kockázatú adategységként kell kezelni , mert könnyen elérhetők és széles körű globális hozzáféréssel rendelkeznek. Az expozíció csökkentése érdekében távolítsa el a számítási feladathoz való szükségtelen internetkapcsolatot. Olyan megosztott nyilvános IP-címeket használjon, amelyeket a Microsoft-szolgáltatások, például az Azure Front Door biztosítanak. Ezek a szolgáltatások úgy vannak kialakítva, hogy internetkapcsolattal legyenek elérhetővé, és letiltják a letiltott protokollokhoz való hozzáférést. Sok ilyen szolgáltatás kezdeti ellenőrzéseket végez a bejövő kérelmeken a hálózati peremhálózaton. Egy dedikált PIP-nek köszönhetően Ön felel a biztonsági szempontok kezeléséért, a portok engedélyezéséért vagy blokkolásáért, valamint a bejövő kérések ellenőrzéséért az érvényesség biztosítása érdekében.

Internetes alkalmazások esetén korlátozza a hozzáférést egy 7. rétegbeli szolgáltatás hozzáadásával , amely szűrheti az érvénytelen forgalmat. Megismerheti azokat a natív szolgáltatásokat, amelyek az elosztott szolgáltatásmegtagadási (DDoS) védelmet kényszerítik ki, webalkalmazási tűzfalakat használnak, és védelmet nyújtanak a peremhálózaton, mielőtt a forgalom elérná az alkalmazásszintet.

A tartománynévrendszer (DNS) megkeményítése egy másik hálózati biztonsági gyakorlat. A DNS-infrastruktúra biztonságossá tételéhez javasoljuk, hogy megbízható DNS-feloldókat használjon. A DNS-feloldóktól származó információk ellenőrzéséhez és egy további biztonsági réteg biztosításához, ha lehetséges, használjon DNS-biztonsági protokollt a rendkívül érzékeny DNS-zónákhoz. Az olyan támadások megelőzése érdekében, mint a DNS-gyorsítótár-mérgezés, a DDoS-támadások és az erősítő támadások, fedezze fel a DNS-sel kapcsolatos egyéb biztonsági vezérlőket, például a lekérdezési sebesség korlátozását, a válaszsebesség korlátozását és a DNS-cookie-kat.

Identitás

Távolítsa el a nem használt vagy alapértelmezett fiókokat. Tiltsa le a nem használt hitelesítési és engedélyezési módszereket.

Tiltsa le az örökölt hitelesítési módszereket , mert gyakran támadási vektorok. A régi protokollok gyakran nem rendelkeznek támadáselhárító intézkedésekkel, például fiókzárolásokkal. A hitelesítési követelményeket az identitásszolgáltató (IDP) felé, például Microsoft Entra ID kell külsőleg kivenni.

Előnyben részesítse az összevonást a duplikált identitások létrehozása helyett. Ha egy identitás biztonsága sérül, egyszerűbb visszavonni a hozzáférését a központi felügyelet során.

A továbbfejlesztett hitelesítés és engedélyezés platformképességeinek ismertetése. A hozzáférés-vezérlés megerősítéséhez használja ki a többtényezős hitelesítést, a jelszó nélküli hitelesítést, a feltételes hozzáférést és az identitás ellenőrzésére Microsoft Entra ID egyéb szolgáltatásokat. További védelmet adhat a bejelentkezési eseményekhez, és csökkentheti a hatókört, amelyben a támadók kérést kezdeményezhetnek.

Ha lehetséges, használjon felügyelt identitásokat és számításifeladat-identitásokat hitelesítő adatok nélkül. A hitelesítő adatok kiszivároghatnak. További információ: Javaslatok az alkalmazás titkos kulcsainak védelmére.

Használja a minimális jogosultsági szintű megközelítést a felügyeleti folyamatokhoz. Távolítsa el a szükségtelen szerepkör-hozzárendeléseket, és végezzen rendszeres Microsoft Entra hozzáférési felülvizsgálatokat. A szerepkör-hozzárendelési leírások segítségével megőrizhet egy papíralapú indoklási naplót, amely elengedhetetlen az auditokhoz.

Felhőbeli erőforrások

Az előző, hálózatkezelésre és identitásra vonatkozó javaslatokat az egyes felhőszolgáltatásokra kell alkalmazni. A hálózatkezeléshez különös figyelmet kell fordítani a szolgáltatásszintű tűzfalakra, és kiértékelni a bejövő szabályokat.

Felderítheti és letilthatja a nem használt képességeket vagy funkciókat, például a nem használt adatsík-hozzáférést és a termékfunkciókat, amelyeket más összetevők is lefedhetnek. A App Service például támogatja a Kudu-t, amely FTP-telepítéseket, távoli hibakeresést és egyéb funkciókat biztosít. Ha nincs szüksége ezekre a funkciókra, kapcsolja ki őket.

Mindig tartsa a lépést az Azure ütemtervével és a számítási feladatok ütemtervével. Az Azure-szolgáltatások által kínált javítási és verziószámozási frissítések alkalmazása. Engedélyezze a platform által biztosított frissítéseket, és iratkozzon fel az automatikus frissítési csatornákra.

Kockázat: A felhőbeli erőforrások gyakran rendelkeznek kibocsátási egységekre vonatkozó követelményekkel, vagy dokumentált konfigurációkban kell futniuk, hogy támogatottnak minősüljenek. Bizonyos megerősítési technikák, például a kimenő forgalom agresszív blokkolása, a szolgáltatás a támogatott konfiguráción kívül eshet, még akkor is, ha a szolgáltatás normál módon működik. Ismerje meg az egyes felhőerőforrás-futtatókörnyezeti követelményeket a platformról, hogy biztosítsa az adott erőforrás támogatását.

Alkalmazások

Értékelje ki azokat a területeket, ahol az alkalmazás véletlenül információkat szivárogtathat ki. Tegyük fel például, hogy rendelkezik egy API-val, amely lekéri a felhasználói adatokat. Előfordulhat, hogy egy kérelem érvényes felhasználói azonosítóval rendelkezik, és az alkalmazás 403-at ad vissza. Érvénytelen ügyfél-azonosítóval azonban a kérés 404-et ad vissza. Ezután gyakorlatilag kiszivárogtat információkat a felhasználói azonosítókról.

Lehet, hogy finomabb esetek is vannak. Az érvényes felhasználói azonosítóval rendelkező válaszkésés például nagyobb, mint egy érvénytelen ügyfél-azonosító.

Fontolja meg az alkalmazások megerősítését a következő területeken:

  • Bemenet ellenőrzése és tisztítása: Az összes felhasználói bemenet ellenőrzésével és megtisztításával megelőzheti az olyan injektálási támadásokat, mint az SQL-injektálás és a helyek közötti szkriptelés (XSS). A bemeneti tisztítás automatizálása bemeneti érvényesítési kódtárak és keretrendszerek használatával.

  • Munkamenet-kezelés: Biztonságos munkamenet-kezelési technikákkal megvédheti a munkamenet-azonosítókat és -jogkivonatokat a lopási vagy munkamenet-rögzítési támadásoktól. Munkamenet-időtúllépések implementálása és a bizalmas műveletek újbóli hitelesítésének kényszerítése.

  • Hibakezelés: Egyéni hibakezelés implementálása a bizalmas információk támadók számára történő közzétételének minimalizálása érdekében. Biztonságosan naplózza a hibákat, és figyelje ezeket a naplókat gyanús tevékenységek esetén.

  • HTTP-biztonsági fejlécek: A gyakori webes biztonsági rések elhárításához használja a biztonsági fejléceket a HTTP-válaszokban, például a tartalombiztonsági házirendet (CSP), az X-Content-Type-Optionst és az X-Frame-Optionst.

  • API-biztonság: Biztonságossá teheti AZ API-kat a megfelelő hitelesítési és engedélyezési mechanizmusokkal. A biztonság további növelése érdekében implementáljon sebességkorlátozást, kérjen ellenőrzést és hozzáférés-vezérlést az API-végpontokhoz.

Alkalmazások fejlesztésekor és karbantartásakor kövesse a biztonságos kódolási eljárásokat. Rendszeresen végezzen kódvizsgálatokat, és keressen biztonsági réseket az alkalmazásokban. További információ: Javaslatok a fejlesztési életciklus biztonságossá tételéhez.

Felügyeleti műveletek

A többi nem futásidejű erőforrást is meg kell edzeni. Csökkentheti például a buildműveletek erőforrásigényét azáltal, hogy leltárt készít az összes eszközről, és eltávolítja a nem használt eszközöket a folyamatból. Ezután lekérheti a megbízható források által közzétett feladatokat, és csak ellenőrzött feladatokat futtathat.

Állapítsa meg, hogy szüksége van-e a Microsoft által üzemeltetett vagy saját üzemeltetésű fordítóügynökökre. A saját üzemeltetésű buildügynököknek további felügyeletre van szükségük, és meg kell keményíteni.

Megfigyelhetőség szempontjából implementáljon egy folyamatot a naplók esetleges megsértésének ellenőrzésére . A hozzáférési naplók alapján rendszeresen tekintse át és frissítse a hozzáférés-vezérlési szabályokat. A központi csapatokkal együttműködve elemezheti a biztonsági információk eseménykezelésének (SIEM) és a biztonsági vezénylés automatikus válasznaplóinak (SOAR) naplóit az anomáliák észleléséhez.

Fontolja meg emelt hozzáférési szintű munkaállomások vagy SAW-k megkövetelt használatát a kiemelt felügyeleti műveletekhez. Az emelt hozzáférési szintű munkaállomások és SAW-k olyan edzett fizikai eszközök, amelyek jelentős biztonsági előnyökkel járnak, de implementálásuk gondos tervezést és felügyeletet igényel. További információ: Eszközök biztonságossá tétele a kiemelt hozzáférési történet részeként.

Azure-beli segítségnyújtás

Microsoft Defender a Felhőhöz számos korlátozási lehetőséget kínál:

A Center for Internet Security (CIS) rögzített képeket kínál Azure Marketplace.

Az Azure VM Image Builder használatával megismételhető folyamatot hozhat létre a megkeményített operációsrendszer-rendszerképekhez. A Common Base Linux-Mariner a Microsoft által fejlesztett, biztonsági szabványokat és iparági tanúsítványokat követő, edzett Linux-disztribúció. Az Azure-infrastruktúra-termékekkel együtt használhatja számítási feladatok implementációinak létrehozásához.

Példa

Az alábbi eljárás egy példa az operációs rendszer megerősítésére:

  1. Csökkentse a lábnyomot. Távolítsa el a felesleges összetevőket a lemezképből. Csak azt telepítse, amire szüksége van.

  2. Konfigurációk finomhangolása. Tiltsa le a nem használt fiókokat. Az operációs rendszerek alapértelmezett konfigurációja további fiókokkal rendelkezik, amelyek biztonsági csoportokhoz vannak csatolva. Ha nem használja ezeket a fiókokat, tiltsa le vagy távolítsa el őket a rendszerből. Az extra identitások fenyegetésvektorok, amelyek a kiszolgálóhoz való hozzáféréshez használhatók.

    Tiltsa le a fájlrendszerhez való szükségtelen hozzáférést. Titkosítja a fájlrendszert, és finomhangolja az identitás- és hálózatkezelési hozzáférés-vezérlést.

    Csak a szükséges elemeket futtassa. Alapértelmezés szerint futó alkalmazások és szolgáltatások letiltása. Csak a számítási feladatok működéséhez szükséges alkalmazásokat és szolgáltatásokat hagyja jóvá.

  3. Őrizze meg a védelmet. Rendszeresen frissítse az operációs rendszer összetevőit a legújabb biztonsági frissítésekkel és javításokkal az ismert biztonsági rések csökkentése érdekében.

CIS-teljesítménytesztek

Biztonsági ellenőrzőlista

Tekintse meg a javaslatok teljes készletét.

Biztonsági ellenőrzőlista