Azure biztonsági alapkonfiguráció az Azure Advisorhoz

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza az Azure Advisorra. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Advisorra vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Advisorra nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy az Azure Advisor hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Advisor biztonsági alapkonfiguráció-leképezési fájlt.

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Az Azure Advisor az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. Szabványosítsa Azure AD a szervezet identitás- és hozzáférés-kezelésének szabályozásához az alábbiakban:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások
  • A szervezet erőforrásai, például az Azure-ra vagy a vállalati hálózati erőforrásokra vonatkozó alkalmazások

Győződjön meg arról, hogy a Azure AD biztonságossá tétele magas prioritást élvez a szervezet felhőbiztonsági gyakorlatában. Azure AD egy identitásbiztonsági pontszámot is biztosít, amellyel felmérheti az identitásbiztonsági állapotot a Microsoft ajánlott eljárásaihoz képest. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Vegye figyelembe, hogy Azure AD támogatja a külső identitásokat, amelyek lehetővé teszik, hogy a Microsoft-fiókkal nem rendelkező felhasználók a külső identitásukkal jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure Advisor az Azure Active Directory (Azure AD) használatával biztosít identitás- és hozzáférés-kezelést az Azure-erőforrásokhoz, a felhőalkalmazásokhoz és a helyszíni alkalmazásokhoz. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók.

Egyszeri bejelentkezéssel kezelheti és biztonságossá teheti a szervezet adataihoz és erőforrásaihoz való hozzáférést a helyszínen és a felhőben. Az összes felhasználót, alkalmazást és eszközt beléptetheti az Azure AD-be a zökkenőmentes, biztonságos hozzáférés, valamint a jobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Az Azure Advisor Azure Active Directory- (Azure AD-) fiókokat használ az erőforrások kezeléséhez, a felhasználói fiókok és a hozzáférés-hozzárendelés rendszeres áttekintéséhez, hogy a fiókok és hozzáférésük érvényes legyen. Azure AD hozzáférési felülvizsgálatok implementálása a csoporttagságok, a vállalati alkalmazásokhoz való hozzáférés és a szerepkör-hozzárendelések áttekintéséhez. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez.

Emellett Azure AD Privileged Identity Management funkcióival létrehozhatja a hozzáférési felülvizsgálati jelentés munkafolyamatát a felülvizsgálati folyamat megkönnyítése érdekében. Privileged Identity Management konfigurálható úgy is, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre, és azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Vegye figyelembe, hogy egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem a Azure AD kezel. Az ügyfeleknek külön kell kezelniük ezeket a felhasználókat.

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazdák, a fejlesztők vagy a kritikus fontosságú szolgáltatások üzemeltetői.

Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat. Válassza az Azure Active Directory (Azure AD), a Microsoft Defender Komplex veszélyforrások elleni védelem (ATP) lehetőséget, beleértve a Microsoft Intune is, ha biztonságos és felügyelt felhasználói munkaállomást szeretne üzembe helyezni a felügyeleti feladatokhoz.

Központilag felügyelheti a biztonságos munkaállomásokat a biztonságos konfiguráció kikényszerítéséhez, beleértve az erős hitelesítést, a szoftveres és hardveres alapkonfigurációkat, a korlátozott logikai és hálózati hozzáférést.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Az Azure Advisor integrálva van az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) az erőforrásainak kezeléséhez. Az Azure RBAC használatával szerepkör-hozzárendelésekkel kezelheti az Azure-erőforrások hozzáférését.

Szerepkörök hozzárendelése felhasználókhoz, csoportok szolgáltatásneveihez és felügyelt identitásaihoz. Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak, amelyek leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal. Az Azure RBAC-ben az erőforrásokhoz rendelt jogosultságokat mindig a szerepkörök által igényelt jogosultságokra kell korlátozni. Ez kiegészíti az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

A beépített szerepkörökkel engedélyeket oszthat ki, és csak akkor kell egyéni szerepköröket létrehoznia, ha szükséges.

Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) /azure/role-based-access-control/overview

Felelősség: Ügyfél

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségi körének struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat felelőssége lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A tevékenységnaplók automatikusan elérhetők, és az olvasási műveletek (GET) kivételével minden írási műveletet (PUT, POST, DELETE) tartalmaznak az Azure Advisor-erőforrásokhoz.

A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Felelősség: Ügyfél

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A naplózási tárolás és az elemzés központosítása a korreláció engedélyezéséhez. Győződjön meg arról, hogy minden naplóforráshoz hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Győződjön meg arról, hogy az Azure-tevékenységnaplókat a központi naplózásba integrálja. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitorban Log Analytics-munkaterületek használatával kérdezhet le és végezhet elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Emellett engedélyezheti és előkészítheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára. Számos szervezet úgy dönt, hogy a Microsoft Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage-ot pedig a ritkán használt adatokhoz.

Felelősség: Ügyfél

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Győződjön meg arról, hogy az Azure Advisor-naplók tárolására használt tárfiókok vagy Log Analytics-munkaterületek esetében a szervezet megfelelőségi előírásainak megfelelően beállított naplómegőrzési időszak van beállítva. Az Azure Monitorban beállíthatja a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Az Azure Storage, a Data Lake vagy a Log Analytics-munkaterület fiókjait hosszú távú és archiválási tároláshoz használhatja.

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: Az Azure Advisor nem támogatja a saját időszinkronizálási források konfigurálását. Az Azure Advisor szolgáltatás a Microsoft időszinkronizálási forrásaira támaszkodik, és nem érhető el az ügyfelek számára konfiguráció céljából.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-6: Szoftveres biztonsági rések felmérése

Útmutató: Az Azure Advisor nem teszi elérhetővé a mögöttes szolgáltatási infrastruktúrát az ügyfelek számára, és az ügyfelek nem tudják használni a saját sebezhetőségi felmérési megoldásaikat a szolgáltatással. A Microsoft biztonsági rések kezelését végzi az Azure Advisort támogató mögöttes rendszereken.

Felelősség: Microsoft

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: Az Azure Advisor nem teszi elérhetővé a mögöttes szolgáltatási infrastruktúrát az ügyfelek számára, és az ügyfelek nem tudják használni a saját sebezhetőségi felmérési megoldásaikat a szolgáltatással. A Microsoft biztonsági rések kezelését végzi az Azure Advisort támogató mögöttes rendszereken.

Felelősség: Microsoft

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Végpontbiztonság

További információ: Azure Security Benchmark: Endpoint Security.

ES-1: Végpontészlelés és -válasz (EDR) használata

Útmutató: Az Azure Advisor nem tesz közzé olyan virtuális gépeket vagy tárolókat, amelyek végpontészlelést és válaszvédelmet (EDR) igényelnének. Az advisor alapjául szolgáló infrastruktúrát azonban a Microsoft kezeli, amely magában foglalja a kártevőirtót, valamint a végpontészlelést és a válaszkezelést.

Felelősség: Microsoft

ES-2: Központilag felügyelt modern kártevőirtó szoftverek használata

Útmutató: az Azure Cloud Services Microsoft Antimalware a Windows Virtual Machines alapértelmezett kártevőirtója. Linux Virtual Machines esetén használjon külső gyártótól származó kártevőirtó megoldást.

Használja a Microsoft Defender for Cloud fenyegetésészlelését az adatszolgáltatásokhoz az Azure Storage-fiókokba feltöltött kártevők észleléséhez.

Felelősség: Microsoft

ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: az Azure Cloud Services Microsoft Antimalware a Windows rendszerű virtuális gépek (VM-ek) alapértelmezett kártevőirtója. Linux rendszerű virtuális gépekhez használjon külső gyártótól származó kártevőirtó megoldást. Emellett a Microsoft Defender for Cloud fenyegetésészlelési funkcióját is használhatja az adatszolgáltatásokhoz az Azure Storage-fiókokba feltöltött kártevők észlelésére.

Az Advisor alatt található mögöttes infrastruktúrát a Microsoft kezeli, amely tartalmazza a gyakran frissített kártevőirtó szoftvereket.

Felelősség: Microsoft

Következő lépések