Az ISO 27001 Megosztott szolgáltatások tervminta vezérlőelem-leképezése

A következő cikk részletesen bemutatja, Azure Blueprints ISO 27001 Megosztott szolgáltatások tervminta hogyan van leképezve az ISO 27001 vezérlőire. További információ a vezérlőkről: ISO 27001.

Az alábbi leképezések az ISO 27001:2013 vezérlőkre vannak leképezve. A jobb oldalon a navigációval közvetlenül egy adott vezérlőelem-leképezéshez ugorhat. Számos leképezett vezérlő egy Azure Policy van megvalósítva. A teljes kezdeményezés áttekintéshez nyissa meg a szabályzatot a Azure Portal, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki az [ ] ISO 27001:2013 előzetes naplózási vezérlőit, és telepítsen adott virtuálisgép-bővítményeket a naplózási követelmények beépített szabályzat kezdeményezésének támogatásához.

Fontos

Az alábbi vezérlők egy vagy több Azure Policy vannak társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget; A vezérlők és egy vagy több szabályzat között azonban gyakran nincs egy-az-egyhez vagy egy teljes egyezés. Ezért a szabályzatok Azure Policy csak magukra a szabályzatra vonatkoznak; Ez nem biztosítja, hogy teljes mértékben megfelel egy vezérlő összes követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyekre jelenleg egyetlen Azure Policy sem vonatkoznak. Ezért a megfelelőségi Azure Policy csak részlegesen látható a teljes megfelelőségi állapotról. A megfelelőségi tervminta vezérlői és Azure Policy definíciói közötti társítások idővel változhatnak. A módosítási előzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.

A.6.1.2 A feladatok elkülönítése

Ha csak egy Azure-előfizetés tulajdonosa van, az nem teszi lehetővé a rendszergazdai redundanciát. Ezzel szemben ha túl sok Azure-előfizetés-tulajdonossal rendelkezik, az a feltört tulajdonosi fiókkal növelheti a biztonsági incidensek veszélyét. Ennek a tervnek a segítségével megfelelő számú Azure-előfizetés-tulajdonos tartható fenn két Azure Policy, amelyek naplót végeznek az Azure-előfizetések tulajdonosainak számán. Az előfizetés-tulajdonosi engedélyek kezelése segíthet a feladatok megfelelő elkülönítésében.

  • Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni
  • Az előfizetéshez egynél több tulajdonosnak kell hozzárendelve lennie

A.8.2.1 Információbesorolás

Az Azure SQL sebezhetőségi felmérési szolgáltatásával felderítheti az adatbázisokban tárolt bizalmas adatokat, és javaslatokat tehet az adatok besorolására. Ez a terv hozzárendel egy Azure Policy, amely naplója az SQL sebezhetőségi felmérésének vizsgálatával azonosított biztonsági réseket.

  • Az SQL-adatbázisok biztonsági réseit helyre kell ásni

A.9.1.2 Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz

Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) segít annak felügyeletében, hogy ki férhet hozzá az Azure-erőforrásokhoz. Ennek a tervnek a segítségével hét különböző definíció hozzárendelése révén szabályozhatja az Azure-erőforrásokhoz Azure Policy hozzáférést. Ezek a szabályzatok olyan erőforrástípusok és konfigurációk használatát naplólják, amelyek megengedőbb hozzáférést hatnak az erőforrásokhoz. A szabályzatokat megsértő erőforrások megértése segíthet korrekciós műveletek elvégzésében annak érdekében, hogy az Azure-erőforrásokhoz való hozzáférés a jogosult felhasználókra legyen korlátozva.

  • Naplóeredmények megjelenítése jelszavak nélküli fiókkal rendelkező Linux rendszerű virtuális gépekről
  • Naplóeredmények megjelenítése olyan Linux rendszerű virtuális gépekről, amelyek lehetővé teszik a jelszavak nélküli fiókok távoli kapcsolatait
  • A tárfiókokat át kell migrálni az új Azure Resource Manager erőforrásokba
  • A virtuális gépeket át kell migrálni az új Azure Resource Manager erőforrásokba
  • Felügyelt lemezeket nem használó virtuális gépek naplózása

A.9.2.3 Az emelt szintű hozzáférési jogosultságok kezelése

Ennek a tervnek a segítségével négy Azure Policy-definíció hozzárendelésével korlátozhatja és szabályozhatja az emelt szintű hozzáférési jogosultságokat a tulajdonosi és/vagy írási engedélyekkel rendelkező külső fiókok és tulajdonosi és/vagy írási engedélyekkel rendelkező fiókok naplózásához, amelyeken nincs engedélyezve a többtényezős hitelesítés. Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) segít annak felügyeletében, hogy ki férhet hozzá az Azure-erőforrásokhoz. Ez a terv három definíciót Azure Policy az SQL-kiszolgálók és -kiszolgálók Azure Active Directory hitelesítésének Service Fabric. A Azure Active Directory lehetővé teszi az adatbázis-felhasználók és más felhasználók egyszerűsített engedélykezelését és központosított identitáskezelését Microsoft-szolgáltatások. Ez a terv hozzárendel egy Azure Policy az egyéni Azure RBAC-szabályok használatának naplózásához. Az egyéni Azure RBAC-szabályok megvalósításának megértése segíthet az szükség és a megfelelő implementáció ellenőrzésében, mivel az egyéni Azure RBAC-szabályok hibaarányt jeleznek.

  • Az MFA-t engedélyezni kell az előfizetés tulajdonosi engedélyekkel rendelkező fiókjainál
  • Az MFA-t engedélyezni kell az előfizetés minden írási engedéllyel rendelkező fiókjában
  • A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből
  • Az írási engedéllyel rendelkező külső fiókokat el kell távolítani az előfizetésből
  • Egy Azure Active Directory kell kiépítve az SQL-kiszolgálókhoz
  • Service Fabric fürtök csak ügyfél Azure Active Directory hitelesítéshez használjanak
  • Egyéni RBAC-szabályok használatának naplózása

A.9.2.4 A felhasználók titkos hitelesítési információinak kezelése

Ez a terv három Azure Policy rendel a többtényezős hitelesítést nem engedélyező fiókok naplózásához. A többtényezős hitelesítés akkor is biztonságossá teszi a fiókokat, ha egy hitelesítési információ biztonsága sérül. A többtényezős hitelesítés nélküli fiókok monitorozása lehetővé tette a nagyobb valószínűséggel feltört fiókok azonosítását. Ez a terv két olyan definíciót Azure Policy, amelyek naplózják a Linux rendszerű virtuális gép jelszófájljának engedélyét, és riasztást küld, ha helytelenül vannak beállítva. Ez a beállítás lehetővé teszi korrekciós műveletek elvégzését annak érdekében, hogy a hitelesítők biztonsága ne sérülje.

  • Az MFA-t engedélyezni kell az előfizetés tulajdonosi engedélyekkel rendelkező fiókjaiban
  • Az MFA-t engedélyezni kell az előfizetéséhez olvasási engedélyekkel rendelkező fiókokon
  • Az MFA-t engedélyezni kell az előfizetés minden írási engedéllyel rendelkező fiókjában
  • Naplóeredmények megjelenítése olyan Linux rendszerű virtuális gépekről, amelyek nem 0644-re vannak beállítva a passwd fájlengedélyekkel

A.9.2.5 A felhasználói hozzáférési jogosultságok áttekintése

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével kezelheti, hogy ki férhet hozzá az Azure-beli erőforrásokhoz. A Azure Portal áttekintheti, hogy ki férhet hozzá az Azure-erőforrásokhoz és azok engedélyeihez. Ez a terv négy Azure Policy rendel a naplózási fiókokhoz, amelyek felülvizsgálatra vannak priorizáltak, beleértve az elavult fiókokat és az emelt szintű engedélyekkel rendelkező külső fiókokat.

  • Az elavult fiókokat el kell távolítani az előfizetésből
  • A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből
  • A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből
  • Az írási engedéllyel rendelkező külső fiókokat el kell távolítani az előfizetésből

A.9.2.6 Hozzáférési jogosultságok eltávolítása vagy módosítása

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével kezelheti, hogy ki férhet hozzá az Azure-beli erőforrásokhoz. A Azure Active Directory és az Azure RBAC használatával frissítheti a felhasználói szerepköröket a szervezeti változásoknak megfelelően. Szükség esetén a fiókok bejelentkezése (vagy eltávolítása) letiltható, ami azonnal eltávolítja az Azure-erőforrásokhoz való hozzáférési jogosultságokat. Ez a terv két Azure Policy rendel hozzá az elavult fiók naplózásához, amelyek eltávolítása megfontolható.

  • Az elavult fiókokat el kell távolítani az előfizetésből
  • A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből

A.9.4.2 Biztonságos bejelentkezési eljárások

Ez a terv három Azure Policy rendel a többtényezős hitelesítéssel nem rendelkező fiókok naplózásához. Az Azure AD Multi-Factor Authentication további biztonságot nyújt azáltal, hogy egy második hitelesítési formát követel meg, és erős hitelesítést biztosít. A többtényezős hitelesítés nélküli fiókok monitorozása lehetővé tette, hogy azonosítsa azokat a fiókokat, amelyek nagyobb valószínűséggel sérülhetnek.

  • Az MFA-t engedélyezni kell az előfizetés tulajdonosi engedélyekkel rendelkező fiókjaiban
  • Az MFA-t engedélyezni kell az előfizetéséhez olvasási engedélyekkel rendelkező fiókokon
  • Az MFA-t engedélyezni kell az előfizetés minden írási engedéllyel rendelkező fiókjában

A.9.4.3 jelszókezelő rendszer

Ennek a tervnek a segítségével erős jelszavakat kényszeríthet ki 10 Azure Policy definíció hozzárendelése révén, amelyek naplóznak olyan Windows rendszerű virtuális gépeket, amelyek nem kényszerítik a minimális erősséget és más jelszókövetelményeket. Ha tudatában van a virtuális gépeknek, hogy megsérti a jelszóerősségi szabályzatot, korrekciós műveleteket kell eszközlni annak érdekében, hogy az összes virtuálisgép-felhasználói fiók jelszavai megfeleljenek a szabályzatnak.

  • Naplóeredmények megjelenítése olyan Windows rendszerű virtuális gépekről, amelyeken nincs engedélyezve a jelszó bonyolultsága beállítás
  • Olyan Windows rendszerű virtuális gépek naplózási eredményeinek megjelenítése, amelyek nem 70 napos maximális jelszóval
  • Naplóeredmények megjelenítése olyan Windows rendszerű virtuális gépekről, amelyek nem legalább 1 napos jelszóval
  • Naplóeredmények megjelenítése olyan Windows rendszerű virtuális gépekről, amelyek nem korlátozzák a jelszó minimális hosszát 14 karakterre
  • Az előző 24 jelszó újrahasználatát lehetővé tő Windows rendszerű virtuális gépek naplózási eredményeinek megjelenítése

A.10.1.1-es szabályzat a titkosítási funkciók használatával kapcsolatban

Ennek a tervnek a segítségével 13 olyan definíció hozzárendelése révén kényszerítheti ki a titkosítási vezérlők használatára vonatkozó szabályzatot, Azure Policy meghatározott kriptográfiai vezérlőket kényszerít ki, és naplóli a gyenge titkosítási beállítások használatát. Annak megértése, hogy az Azure-erőforrások hol használhatnak nem optimális titkosítási konfigurációkat, segíthet korrekciós műveletek elvégzésében annak érdekében, hogy az erőforrások az információbiztonsági szabályzatnak megfelelően legyen konfigurálva. Pontosabban, a terv által hozzárendelt szabályzatok titkosítást igényelnek a Blob Storage-fiókokhoz és a Data Lake Storage-fiókokhoz; transzparens adattitkosítás megkövetelása az SQL-adatbázisokon; a tárfiókok, SQL-adatbázisok, virtuálisgép-lemezek és Automation-fiókváltozók hiányzó titkosításának naplózása; a tárfiókok, a függvényalkalmazások, a webalkalmazások, a API Apps és a Redis Cache; gyenge virtuálisgép-jelszótitkosítás naplózása; A és a titkosítatlan Service Fabric naplózása.

  • A függvényalkalmazásnak csak HTTPS-protokollon keresztül szabad elérhetőnek lennie
  • A webalkalmazásnak csak HTTPS-protokollon keresztül szabad elérhetőnek lennie
  • Az API-alkalmazásnak csak HTTPS-protokollon keresztül szabad elérhetőnek lennie
  • Naplóeredmények megjelenítése olyan Windows rendszerű virtuális gépekről, amelyek nem tárolnak visszatitkosítást használó jelszavakat
  • Lemeztitkosítást kell alkalmazni a virtuális gépeken
  • Az Automation-fiók változóit titkosítani kell
  • Csak a biztonságos kapcsolatok Azure Cache for Redis engedélyezni kell
  • Engedélyezni kell a tárfiókokba történő biztonságos átvitelt
  • Service Fabric fürtök ClusterProtectionLevel tulajdonságát EncryptAndSign beállításra kell állítani
  • transzparens adattitkosítás SQL-adatbázisokon engedélyezni kell a biztonsági adatokat

A.12.4.1 eseménynaplózás

Ennek a tervnek a segítségével hét olyan definíció hozzárendelésével biztosíthatja a rendszeresemények naplózását, Azure Policy naplóbeállításokat naplóznak az Azure-erőforrásokon. A diagnosztikai naplók betekintést nyújtanak az Azure-erőforrásokon belül végrehajtott műveletekbe.

  • Függőségi ügynök üzembe helyezésének naplózása – A virtuálisgép-rendszerkép (OS) nem található a listán
  • Függőségi ügynök üzembe helyezésének naplózása virtuálisgép-méretezési készletekben – A virtuálisgép-rendszerkép (OS) nem található a listán
  • [Előzetes verzió]: Log Analytics-ügynök üzembe helyezésének naplózása – A virtuálisgép-rendszerkép (OS) nem található a listán
  • Log Analytics-ügynök üzembe helyezésének naplózása virtuálisgép-méretezési készletekben – A virtuálisgép-rendszerkép (OS) nem található a listán
  • Diagnosztikai beállítás naplózása
  • Engedélyezni kell az SQL Server naplózását

A.12.4.3 Rendszergazdai és operátori naplók

Ennek a tervnek a segítségével hét olyan definíció hozzárendelésével biztosíthatja a rendszeresemények naplózását, Azure Policy naplóbeállításokat naplóznak az Azure-erőforrásokon. A diagnosztikai naplók betekintést nyújtanak az Azure-erőforrásokon belül végrehajtott műveletekbe.

  • Függőségi ügynök üzembe helyezésének naplózása – A virtuálisgép-rendszerkép (OS) nem található a listán
  • Függőségi ügynök üzembe helyezésének naplózása virtuálisgép-méretezési készletekben – A virtuálisgép-rendszerkép (OS) nem található a listán
  • [Előzetes verzió]: A Log Analytics-ügynök üzembe helyezésének naplózása – A virtuálisgép-rendszerkép (OS) nem látható a listán
  • Log Analytics-ügynök üzembe helyezésének naplózása virtuálisgép-méretezési készletekben – A virtuálisgép-rendszerkép (OS) nem található a listán
  • Diagnosztikai beállítás naplózása
  • Engedélyezni kell az SQL Server naplózását

A.12.4.4 Óraszinkronizálás

Ennek a tervnek a segítségével hét olyan definíció hozzárendelésével biztosíthatja a rendszeresemények naplózását, Azure Policy naplóbeállításokat naplóznak az Azure-erőforrásokon. Az Azure-naplók szinkronizált belső órákra támaszkodnak az erőforrások közötti események időkorrelált rekordja létrehozásához.

  • Függőségi ügynök üzembe helyezésének naplózása – A virtuálisgép-rendszerkép (OS) nem található a listán
  • Függőségi ügynök üzembe helyezésének naplózása virtuálisgép-méretezési készletekben – A virtuálisgép-rendszerkép (OS) nem található a listán
  • [Előzetes verzió]: Log Analytics-ügynök üzembe helyezésének naplózása – A virtuálisgép-rendszerkép (OS) nem található a listán
  • Log Analytics-ügynök üzembe helyezésének naplózása virtuálisgép-méretezési készletekben – A virtuálisgép-rendszerkép (OS) nem található a listán
  • Diagnosztikai beállítás naplózása
  • Engedélyezni kell az SQL Server naplózását

A.12.5.1 Szoftverek telepítése operatív rendszereken

Az adaptív alkalmazásvezérlés a Azure Security Center, amely segít szabályozni, hogy mely alkalmazások futtassanak az Azure-beli virtuális gépeken. Ez a terv hozzárendel egy Azure Policy, amely figyeli az engedélyezett alkalmazások készletének változásait. Ezzel a képességgel vezérelhető a szoftverek és alkalmazások Telepítése Azure-beli virtuális gépeken.

  • A biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket engedélyezni kell a gépeken

A.12.6.1 A technikai biztonsági rések kezelése

Azure Policy Ennek a tervnek a segítségével öt olyan definíciót rendelhet hozzá az információs rendszerek biztonsági réseihez, amelyek figyelik a rendszer hiányzó frissítéseit, az operációs rendszer biztonsági réseit, az SQL biztonsági réseit és a virtuális gépek biztonsági réseit a Azure Security Center. Azure Security Center olyan jelentéskészítési képességeket biztosít, amelyek valós idejű betekintést nyújtanak az üzembe helyezett Azure-erőforrások biztonsági állapotába.

  • Hiányzó Endpoint Protection figyelése a Azure Security Center
  • A rendszerfrissítéseket telepíteni kell a gépeken
  • A gépek biztonsági konfigurációjának biztonsági réseit helyre kell ásni
  • Az SQL-adatbázisok biztonsági réseit helyre kell ásni
  • A biztonsági réseket egy sebezhetőségi felmérési megoldásnak kell orvosolni

A.12.6.2 A szoftvertelepítés korlátozásai

Az adaptív alkalmazásvezérlés a Azure Security Center, amely segít szabályozni, hogy mely alkalmazások futtassanak az Azure-beli virtuális gépeken. Ez a terv hozzárendel egy Azure Policy, amely figyeli az engedélyezett alkalmazások készletének változásait. A szoftvertelepítés korlátozásai segíthetnek csökkenteni a szoftveres biztonsági rések előfordulásának valószínűségét.

  • A biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket engedélyezni kell a gépeken

A.13.1.1 Hálózati vezérlők

Ennek a tervnek a segítségével kezelheti és vezérelheti a hálózatokat egy olyan Azure Policy definíció hozzárendelésével, amely megengedő szabályokkal figyeli a hálózati biztonsági csoportokat. A túl megengedő szabályok nem engedik a nem szándékolt hálózati hozzáférést, ezért érdemes áttekinteni őket. Ez a terv három olyan definíciót Azure Policy, amelyek nem védett végpontokat, alkalmazásokat és tárfiókokat figyelnek. A tűzfal által nem védett végpontok és alkalmazások, valamint a korlátlan hozzáféréssel rendelkező tárfiókok nem szándékolt hozzáférést engedélyeznek az információs rendszerben található információkhoz.

  • Az internetes végponton keresztüli elérést korlátozni kell
  • A tárfiókok korlátozzák a hálózati hozzáférést

A.13.2.1 Információátviteli szabályzatok és eljárások

A terv segítségével biztosíthatja az Azure-szolgáltatásokkal történő adatátvitel biztonságát, ha két Azure Policy-definíciót rendel a tárfiókokhoz való nem biztonságos kapcsolatok naplózásához, és Azure Cache for Redis.

  • Csak a biztonságos kapcsolatok Azure Cache for Redis engedélyezhető
  • Engedélyezni kell a tárfiókokba történő biztonságos átvitelt

Következő lépések

Most, hogy áttekintotta az ISO 27001 Megosztott szolgáltatások terv vezérlőelem-leképezését, a következő cikkekben megismerheti az architektúrát és a minta üzembe helyezését:

További cikkek a tervekről és a használatukról: