Az Azure biztonsági alapkonfigurációja Application Gateway

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza Application Gateway. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a Application Gateway vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Application Gateway nem alkalmazható vezérlők, illetve amelyekért a Microsoft felel, ki lettek zárva. Annak megtekintéséhez, hogy Application Gateway hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Application Gateway biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Útmutató: Győződjön meg arról, hogy minden Virtual Network Azure Application Gateway alhálózati üzemelő példány rendelkezik egy hálózati biztonsági csoporttal (NSG), amely az alkalmazás megbízható portjaira és forrásaira jellemző hálózati hozzáférés-vezérléssel rendelkezik. Bár a hálózati biztonsági csoportok Azure Application Gateway támogatottak, bizonyos korlátozásokat és követelményeket be kell tartani ahhoz, hogy az NSG és a Azure Application Gateway a várt módon működjenek.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Network:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Minden internetes forgalmat az üzembe helyezett Azure Firewall A Microsoft Defender for Cloud azt észlelte, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetésekkel szemben azáltal, hogy Azure Firewall vagy egy támogatott következő generációs tűzfal használatával korlátozza a hozzáférésüket AuditIfNotExists, Letiltva 3.0.0-s előzetes verzió
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani Egy hálózati biztonsági csoporttal (NSG- vel) megvédheti az alhálózatot a lehetséges fenyegetésektől. Az NSG-k Access Control listára (ACL) vonatkozó szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják az alhálózatra bejövő hálózati forgalmat. AuditIfNotExists, Letiltva 3.0.0
A virtuális gépeket jóváhagyott virtuális hálózathoz kell csatlakoztatni Ez a szabályzat naplóz minden olyan virtuális gépet, amely nem jóváhagyott virtuális hálózathoz csatlakozik. Naplózás, megtagadás, letiltva 1.0.0
A virtuális hálózatoknak a megadott virtuális hálózati átjárót kell használniuk Ez a szabályzat naplóz minden virtuális hálózatot, ha az alapértelmezett útvonal nem a megadott virtuális hálózati átjáróra mutat. AuditIfNotExists, Letiltva 1.0.0

1.2: A virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: A Azure Application Gateway alhálózatokhoz társított hálózati biztonsági csoportok (NSG-k) esetében engedélyezze az NSG-forgalomnaplókat, és küldjön naplókat egy tárfiókba a forgalomnaplózáshoz. Emellett NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőbe irányuló forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.

Megjegyzés: Bizonyos esetekben a Azure Application Gateway alhálózatokhoz társított NSG-forgalomnaplók nem jelenítik meg az engedélyezett forgalmat. Ha a konfiguráció megfelel a következő forgatókönyvnek, nem fogja látni az engedélyezett forgalmat az NSG-folyamatnaplókban:

  • Üzembe helyezte Application Gateway v2-t
  • NSG-vel rendelkezik az Application Gateway alhálózatán
  • Engedélyezte az NSG-folyamatnaplókat az adott NSG-n

További információkért tekintse meg az alábbi hivatkozásokat.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Network:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Network Watcher engedélyezni kell Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálása végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy Network Watcher-erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor van engedélyezve, ha egy Network Watcher-erőforráscsoport nem érhető el egy adott régióban. AuditIfNotExists, Letiltva 3.0.0

1.3: Kritikus fontosságú webalkalmazások védelme

Útmutató: Az Azure Web Application Firewall (WAF) üzembe helyezése kritikus webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) egy olyan szolgáltatás (a Azure Application Gateway szolgáltatása), amely központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések ellen. Az Azure WAF segíthet a Azure App Service-webalkalmazások biztonságossá tételében azáltal, hogy megvizsgálja a bejövő webes forgalmat az olyan támadások blokkolása érdekében, mint az SQL-injektálások, a webhelyek közötti szkriptelés, a kártevő-feltöltések és a DDoS-támadások. A WAF az OWASP (Open Web Application Security Project) 3.1(csak WAF_v2), 3.0 és 2.2.9 alapvető szabálykészleteinek szabályain alapul.

Felelősség: Ügyfél

1.4: Az ismert kártékony IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Engedélyezze a DDoS Standard szintű védelmet a Azure Application Gateway éles példányaihoz társított Azure-beli virtuális hálózatokon a DDoS-támadások elleni védelem érdekében. A Microsoft Defender for Cloud Integrated Threat Intelligence használatával megtagadhatja az ismert rosszindulatú IP-címekkel folytatott kommunikációt.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Network:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Minden internetes forgalmat az üzembe helyezett Azure Firewall A Microsoft Defender for Cloud azt észlelte, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetésekkel szemben azáltal, hogy Azure Firewall vagy egy támogatott következő generációs tűzfal használatával korlátozza a hozzáférésüket AuditIfNotExists, Letiltva 3.0.0-s előzetes verzió
Engedélyezni kell az Azure DDoS Protection Standardot A DDoS Protection szabványt minden olyan alhálózattal rendelkező virtuális hálózathoz engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. AuditIfNotExists, Letiltva 3.0.0

1.5: Hálózati csomagok rögzítése

Útmutató: A Azure Application Gateway alhálózatokhoz társított hálózati biztonsági csoportok (NSG-k) esetében engedélyezze az NSG-forgalomnaplókat, és küldjön naplókat egy tárfiókba a forgalomnaplózáshoz. Emellett NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőbe irányuló forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.

Megjegyzés: Bizonyos esetekben a Azure Application Gateway alhálózatokhoz társított NSG-forgalomnaplók nem jelenítik meg az engedélyezett forgalmat. Ha a konfiguráció megfelel a következő forgatókönyvnek, nem fogja látni az engedélyezett forgalmat az NSG-folyamatnaplókban:

  • Üzembe helyezte Application Gateway v2-t
  • NSG-vel rendelkezik az Application Gateway alhálózatán
  • Engedélyezte az NSG-folyamatnaplókat az adott NSG-n

További információkért tekintse meg az alábbi hivatkozásokat.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Network:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Network Watcher engedélyezni kell Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálása végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy Network Watcher-erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor van engedélyezve, ha egy Network Watcher-erőforráscsoport nem érhető el egy adott régióban. AuditIfNotExists, Letiltva 3.0.0

1.6: Hálózatalapú behatolásészlelési/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése

Útmutató: Az Azure Web Application Firewall (WAF) üzembe helyezése kritikus webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) egy olyan szolgáltatás (a Azure Application Gateway szolgáltatása), amely központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések ellen. Az Azure WAF segíthet a Azure App Service-webalkalmazások biztonságossá tételében azáltal, hogy megvizsgálja a bejövő webes forgalmat az olyan támadások blokkolása érdekében, mint az SQL-injektálások, a webhelyek közötti szkriptelés, a kártevő-feltöltések és a DDoS-támadások. A WAF az OWASP (Open Web Application Security Project) 3.1(csak WAF_v2), 3.0 és 2.2.9 alapvető szabálykészleteinek szabályain alapul.

Alternatív megoldásként több marketplace-lehetőség is rendelkezésre áll, például az Azure-hoz készült Barracuda WAF, amelyek az IDS/IPS-funkciókat tartalmazó Azure Marketplace érhetők el.

Felelősség: Ügyfél

1.7: Webalkalmazások forgalmának kezelése

Útmutató: Azure Application Gateway üzembe helyezése olyan webalkalmazásokhoz, amelyeken engedélyezve van a HTTPS/SSL a megbízható tanúsítványokhoz.

Felelősség: Ügyfél

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Útmutató: A Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (pl. GatewayManager) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

A Azure Application Gateway-alhálózatokhoz társított hálózati biztonsági csoportok (NSG-k) esetében engedélyeznie kell a bejövő internetes forgalmat a 65503-65534-as TCP-portokon az Application Gateway v1 termékváltozathoz, valamint a 65200-65535-ös TCP-portot a v2 termékváltozathoz a cél alhálózathoz Bármely, a forrást pedig GatewayManager szolgáltatáscímkeként. Ez a porttartomány az Azure-infrastruktúra kommunikációjához szükséges. Ezeket a portokat Azure-tanúsítványok védik (zárják le). A külső entitások, beleértve az átjárók ügyfeleit is, nem tudnak kommunikálni ezeken a végpontokkal.

Felelősség: Ügyfél

1.9: A hálózati eszközök szabványos biztonsági konfigurációinak karbantartása

Útmutató: Szabványos biztonsági konfigurációk definiálása és implementálása a Azure Application Gateway üzemelő példányaihoz kapcsolódó hálózati beállításokhoz. A "Microsoft.Network" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Azure-alkalmazás-átjárók, azure-beli virtuális hálózatok és hálózati biztonsági csoportok hálózati konfigurációjának naplózásához vagy kikényszerítéséhez. Használhatja a beépített szabályzatdefiníciót is.

Az Azure Blueprints használatával leegyszerűsítheti a nagy méretű Azure-beli üzemelő példányokat olyan kulcsfontosságú környezeti összetevők csomagolásával, mint az Azure Resource Manager-sablonok, az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) és a szabályzatok egyetlen tervdefinícióban. A terv egyszerűen alkalmazható az új előfizetésekre, környezetekre, és a verziószámozással finomhangolhatja az irányítást és a felügyeletet.

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Címkék használata a Azure Application Gateway alhálózathoz társított hálózati biztonsági csoportokhoz (NSG-khez), valamint a hálózati biztonsággal és forgalommal kapcsolatos egyéb erőforrásokhoz. Egyéni NSG-szabályok esetén a "Leírás" mezőben adja meg az üzleti szükségletet és/vagy időtartamot (stb.) minden olyan szabályhoz, amely engedélyezi a hálózatra irányuló vagy onnan érkező forgalmat.

A címkézéshez kapcsolódó beépített Azure-szabályzatdefiníciók ( például "Címke és érték megkövetelése" – használatával biztosíthatja, hogy az összes erőforrás címkékkel legyen létrehozva, és értesítést kap a meglévő címkézetlen erőforrásokról.

A Azure PowerShell vagy az Azure CLI használatával megkeresheti vagy végrehajthatja az erőforrásokon végzett műveleteket a címkék alapján.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak figyeléséhez és a módosítások észleléséhez

Útmutató: Az Azure-tevékenységnapló használatával figyelheti a hálózati erőforrások konfigurációit, és észlelheti a Azure Application Gateway üzemelő példányaihoz kapcsolódó hálózati beállítások és erőforrások változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus hálózati beállítások vagy erőforrások módosításakor aktiválódik.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: A vezérlősík naplózásához engedélyezze az Azure-tevékenységnapló diagnosztikai beállításait, és küldje el a naplókat egy Log Analytics-munkaterületre, egy Azure-eseményközpontba vagy egy Azure Storage-fiókba. Az Azure-tevékenységnapló adatainak használatával meghatározhatja, hogy a Azure Application Gateway és a kapcsolódó erőforrások, például a hálózati biztonsági csoportok (NSG-k) vezérlősíkszintjén végrehajtott írási műveletek (PUT, POST, DELETE) milyen "mit, ki és mikor" típusúak a Azure Application Gateway alhálózat védelmére.

A tevékenységnaplók mellett a Azure Application Gateway üzemelő példányok diagnosztikai beállításait is konfigurálhatja. A diagnosztikai beállítások segítségével konfigurálható egy erőforrás platformnaplóinak és metrikáinak streamelési exportálása a választott célhelyre (Tárfiókok, Event Hubs és Log Analytics).

Azure Application Gateway beépített integrációt is kínál az Azure-alkalmazás Insights szolgáltatással. Az Application Insights napló-, teljesítmény- és hibaadatokat gyűjt. Az Application Insights automatikusan észleli a teljesítményanomáliákat, és hatékony elemzési eszközöket tartalmaz a problémák diagnosztizálásához és a webalkalmazások használatának megértéséhez. Engedélyezheti a folyamatos exportálást, hogy telemetriát exportáljon az Application Insightsból egy központi helyre, hogy az adatok a szokásos megőrzési időtartamnál hosszabb ideig maradjanak.

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A vezérlősík naplózásához engedélyezze az Azure-tevékenységnapló diagnosztikai beállításait, és küldje el a naplókat egy Log Analytics-munkaterületre, egy Azure-eseményközpontba vagy egy Azure Storage-fiókba. Az Azure-tevékenységnapló adatainak használatával meghatározhatja, hogy a Azure Application Gateway és a kapcsolódó erőforrások, például a hálózati biztonsági csoportok (NSG-k) vezérlősíkszintjén végrehajtott írási műveletek (PUT, POST, DELETE) milyen "mit, ki és mikor" típusúak a Azure Application Gateway alhálózat védelmére.

A tevékenységnaplók mellett a Azure Application Gateway üzemelő példányok diagnosztikai beállításait is konfigurálhatja. A diagnosztikai beállítások segítségével konfigurálható egy erőforrás platformnaplóinak és metrikáinak streamelési exportálása a választott célhelyre (Tárfiókok, Event Hubs és Log Analytics).

Azure Application Gateway beépített integrációt is kínál az Azure-alkalmazás Insights szolgáltatással. Az Application Insights napló-, teljesítmény- és hibaadatokat gyűjt. Az Application Insights automatikusan észleli a teljesítményanomáliákat, és hatékony elemzési eszközöket tartalmaz a problémák diagnosztizálásához és a webalkalmazások használatának megértéséhez. Engedélyezheti a folyamatos exportálást, hogy telemetriát exportáljon az Application Insightsból egy központi helyre, hogy az adatok a szokásos megőrzési időtartamnál hosszabb ideig maradjanak.

Felelősség: Ügyfél

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Az Azure Monitoron belül állítsa be a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Használjon Azure Storage-fiókokat hosszú távú/archivált tároláshoz.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: Engedélyezze az Azure-tevékenységnapló diagnosztikai beállításait, valamint a Azure Application Gateway diagnosztikai beállításait, és küldje el a naplókat egy Log Analytics-munkaterületre. Lekérdezéseket hajthat végre a Log Analyticsben a kifejezések kereséséhez, a trendek azonosításához, a minták elemzéséhez és számos más elemzéshez az összegyűjtött adatok alapján.

Az Azure Monitor for Networks használatával átfogó képet alkot az összes üzembe helyezett hálózati erőforrás állapotáról és metrikáiról, beleértve a Azure-alkalmazás-átjárókat is.

Igény szerint engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: Az Azure Web Application Firewall (WAF) v2 termékváltozat üzembe helyezése kritikus webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) egy olyan szolgáltatás (a Azure Application Gateway szolgáltatása), amely központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések ellen. Az Azure WAF segíthet a Azure App Service-webalkalmazások biztonságossá tételében azáltal, hogy megvizsgálja a bejövő webes forgalmat az olyan támadások blokkolása érdekében, mint az SQL-injektálások, a webhelyek közötti szkriptelés, a kártevő-feltöltések és a DDoS-támadások. A WAF az OWASP (Open Web Application Security Project) 3.1(csak WAF_v2), 3.0 és 2.2.9 alapvető szabálykészleteinek szabályain alapul.

Engedélyezze az Azure-tevékenységnapló diagnosztikai beállításait, valamint az Azure WAF diagnosztikai beállításait, és küldje el a naplókat egy Log Analytics-munkaterületre. Lekérdezéseket hajthat végre a Log Analyticsben a kifejezések kereséséhez, a trendek azonosításához, a minták elemzéséhez és számos más elemzéshez az összegyűjtött adatok alapján. A Log Analytics-munkaterület lekérdezései alapján riasztásokat hozhat létre.

Az Azure Monitor for Networks használatával átfogó képet alkot az összes üzembe helyezett hálózati erőforrás állapotáról és metrikáiról, beleértve a Azure-alkalmazás-átjárókat is. Az Azure Monitor for Networks konzolon megtekintheti és létrehozhatja a Azure Application Gateway riasztásokat.

Felelősség: Ügyfél

2.8: A kártevőirtó naplózás központosítása

Útmutató: Az Azure Web Application Firewall (WAF) v2 üzembe helyezése kritikus webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) egy olyan szolgáltatás (a Azure Application Gateway szolgáltatása), amely központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések ellen. Az Azure WAF segíthet a Azure App Service-webalkalmazások biztonságossá tételében azáltal, hogy megvizsgálja a bejövő webes forgalmat az olyan támadások blokkolása érdekében, mint az SQL-injektálások, a webhelyek közötti szkriptelés, a kártevő-feltöltések és a DDoS-támadások.

Konfigurálja a Azure Application Gateway üzemelő példányok diagnosztikai beállításait. A diagnosztikai beállítások segítségével konfigurálható egy erőforrás platformnaplóinak és metrikáinak streamelési exportálása a választott célhelyre (Tárfiókok, Event Hubs és Log Analytics).

Felelősség: Ügyfél

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: Az Azure Active Directory (Azure AD) beépített szerepkörökhöz tartozik, amelyeket explicit módon kell hozzárendelni, és lekérdezhetők. A Azure AD PowerShell-modul használatával alkalmi lekérdezéseket hajthat végre a felügyeleti csoportok tagjait tartalmazó fiókok felderítéséhez.

Felelősség: Ügyfél

3.2: Az alapértelmezett jelszavak módosítása, ha vannak

Útmutató: A Azure Application Gateway vezérlősíkhoz való hozzáférését az Azure Active Directory (Azure AD) szabályozza. Azure AD nem rendelkezik az alapértelmezett jelszavak fogalmával.

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Szabványos üzemeltetési eljárások létrehozása a dedikált rendszergazdai fiókok használatával kapcsolatban. A Microsoft Defender for Cloud Identity és a Hozzáférés-kezelés használatával monitorozza a rendszergazdai fiókok számát.

Emellett a dedikált rendszergazdai fiókok nyomon követéséhez használhatja a Microsoft Defender for Cloud vagy a beépített Azure-szabályzatok javaslatait, például:

  • Az előfizetéshez egynél több tulajdonosnak kell tartoznia
  • A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből
  • A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből

További információkért tekintse meg az alábbi hivatkozásokat.

Felelősség: Ügyfél

3.4: Az Azure Active Directory egyszeri bejelentkezés (SSO) használata

Útmutató: Azure-alkalmazásregisztráció (szolgáltatásnév) használatával lekérhet egy jogkivonatot, amellyel API-hívásokon keresztül kommunikálhat a Azure-alkalmazás-átjárókkal.

Felelősség: Ügyfél

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender felhőbeli identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.6: Biztonságos, Azure által felügyelt munkaállomások használata felügyeleti feladatokhoz

Útmutató: Emelt hozzáférési szintű munkaállomások (emelt szintű hozzáférésű munkaállomások) használata az Azure-erőforrásokba való bejelentkezéshez és konfiguráláshoz konfigurált többtényezős hitelesítéssel.

Felelősség: Ügyfél

3.7: Napló és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: Az Azure Active Directory (Azure AD) biztonsági jelentéseivel naplókat és riasztásokat generálhat, ha gyanús vagy nem biztonságos tevékenység történik a környezetben. A Microsoft Defender for Cloud használatával monitorozza az identitás- és hozzáférési tevékenységeket.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Feltételes hozzáféréssel elnevezett helyek használatával csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Használja az Azure Active Directoryt (Azure AD) központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt lévő adatok erős titkosításával védi az adatokat. Azure AD emellett sózza, kivonatolja és biztonságosan tárolja a felhasználói hitelesítő adatokat.

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Az Azure Active Directory (Azure AD) naplókat biztosít az elavult fiókok felderítéséhez. Emellett az Azure Identity Access-felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférés rendszeresen áttekinthető, hogy csak a megfelelő felhasználók rendelkezzenek folyamatos hozzáféréssel.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek monitorozása

Útmutató: Hozzáféréssel rendelkezik az Azure Active Directory (Azure AD) bejelentkezési tevékenység-, naplózási és kockázati eseménynapló-forrásaihoz, amelyek lehetővé teszik, hogy integrálható legyen bármely SIEM/Monitorozási eszközzel.

Ezt a folyamatot leegyszerűsítheti, ha diagnosztikai beállításokat hoz létre Azure AD felhasználói fiókokhoz, és elküldi az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületnek. A kívánt riasztásokat a Log Analytics-munkaterületen konfigurálhatja.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: Az Azure Active Directory (Azure AD) Identity Protection és kockázatészlelési funkcióival automatikus válaszokat konfigurálhat a felhasználói identitásokkal kapcsolatos gyanús műveletekre. További vizsgálat céljából adatokat is betölthet a Microsoft Sentinelbe.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.1: Bizalmas információk leltárának karbantartása

Útmutató: Címkék használatával nyomon követheti a bizalmas információkat tároló vagy feldolgozó Azure-erőforrásokat.

Felelősség: Ügyfél

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Útmutató: Különálló előfizetések és/vagy felügyeleti csoportok implementálása fejlesztéshez, teszteléshez és éles környezethez. Győződjön meg arról, hogy minden Virtual Network Azure Application Gateway alhálózati üzemelő példány rendelkezik egy hálózati biztonsági csoporttal (NSG), amely az alkalmazás megbízható portjaira és forrásaira jellemző hálózati hozzáférés-vezérléssel rendelkezik. Bár a hálózati biztonsági csoportok Azure Application Gateway támogatottak, bizonyos korlátozásokat és követelményeket be kell tartani ahhoz, hogy az NSG és a Azure Application Gateway a várt módon működjenek.

Felelősség: Ügyfél

4.3: Bizalmas adatok jogosulatlan átvitelének monitorozása és letiltása

Útmutató: Győződjön meg arról, hogy minden Virtual Network Azure Application Gateway alhálózati üzemelő példány rendelkezik egy hálózati biztonsági csoporttal (NSG), amely az alkalmazás megbízható portjaira és forrásaira vonatkozó hálózati hozzáférés-vezérléssel rendelkezik. A kimenő forgalom korlátozása csak megbízható helyekre az adatkiszivárgás veszélyének mérséklése érdekében. Bár a hálózati biztonsági csoportok Azure Application Gateway támogatottak, bizonyos korlátozásokat és követelményeket be kell tartani ahhoz, hogy az NSG és a Azure Application Gateway a várt módon működjenek.

Felelősség: Megosztott

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: Teljes körű titkosítás konfigurálása TLS-lel a Azure-alkalmazás-átjárókhoz.

Felelősség: Megosztott

4.6: Szerepköralapú hozzáférés-vezérlés használata az erőforrásokhoz való hozzáférés szabályozásához

Útmutató: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával szabályozhatja a Azure Application Gateway vezérlősíkhoz (a Azure Portal) való hozzáférést.

Felelősség: Ügyfél

4.9: Napló és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: Az Azure Monitor és az Azure Tevékenységnapló használatával riasztásokat hozhat létre az éles Azure Application Gateway példányok, valamint más kritikus vagy kapcsolódó erőforrások változásairól.

Felelősség: Ügyfél

Biztonságirés-kezelés

További információ: Az Azure biztonsági teljesítménytesztje: Sebezhetőségek kezelése.

5.1: Automatizált biztonságirés-ellenőrző eszközök futtatása

Útmutató: Jelenleg nem érhető el; A Microsoft Defender for Cloud biztonságirés-felmérése még nem érhető el Azure Application Gateway.

A mögöttes platformot a Microsoft vizsgálta és javította. Tekintse át a Azure Application Gateway elérhető biztonsági vezérlőket a konfigurációval kapcsolatos biztonsági rések csökkentése érdekében.

Felelősség: Ügyfél

5.4: A biztonsági rések back-to-back vizsgálatainak összehasonlítása

Útmutató: Még nem érhető el; A Microsoft Defender for Cloud biztonságirés-felmérése még nem érhető el Azure Application Gateway.

A mögöttes platformot a Microsoft vizsgálta és javította. Tekintse át a Azure Application Gateway elérhető biztonsági vezérlőket a konfigurációval kapcsolatos biztonsági rések csökkentése érdekében.

Felelősség: Ügyfél

5.5: Kockázatbesorolási folyamat használata a felderített biztonsági rések elhárításának rangsorolásához

Útmutató: Még nem érhető el; A Microsoft Defender for Cloud biztonságirés-felmérése még nem érhető el Azure Application Gateway.

A mögöttes platformot a Microsoft vizsgálta és javította. Tekintse át a Azure Application Gateway elérhető biztonsági vezérlőket a konfigurációval kapcsolatos biztonsági rések csökkentése érdekében.

Felelősség: Ügyfél

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben található összes erőforrást (például számítási, tárolási, hálózati, portok és protokollok stb.). Gondoskodjon a megfelelő (olvasási) engedélyekről a bérlőben, és sorolja fel az összes Azure-előfizetést, valamint az előfizetéseken belüli erőforrásokat.

Bár a klasszikus Azure-erőforrások Resource Graph keresztül fedezhetők fel, erősen ajánlott azure-Resource Manager-erőforrásokat létrehozni és használni.

Felelősség: Ügyfél

6.2: Eszköz metaadatainak karbantartása

Útmutató: Címkék alkalmazása Azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezéshez egy osztályozásban.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Az Azure-erőforrások rendszerezéséhez és nyomon követéséhez használjon címkézést, felügyeleti csoportokat és külön előfizetéseket. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.

Emellett az Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok
  • Engedélyezett erőforrástípusok

További információkért tekintse meg az alábbi hivatkozásokat.

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: Az Azure Policy használatával korlátozhatja az előfizetés(ek)ben létrehozható erőforrások típusát.

Az Azure Resource Graph használatával lekérdezheti vagy felderítheti az előfizetés(ek)ben lévő erőforrásokat. Győződjön meg arról, hogy a környezetben található összes Azure-erőforrás jóvá van hagyva.

Felelősség: Ügyfél

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára a következő beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok
  • Engedélyezett erőforrástípusok

További információkért tekintse meg az alábbi hivatkozásokat.

Felelősség: Ügyfél

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure Feltételes hozzáférés konfigurálása a felhasználók Azure Resource Manager való interakciójának korlátozásához a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.

Felelősség: Ügyfél

6.13: A nagy kockázatú alkalmazások fizikai vagy logikai elkülönítése

Útmutató: Különálló előfizetések és/vagy felügyeleti csoportok implementálása fejlesztéshez, teszteléshez és éles környezethez. Győződjön meg arról, hogy minden Virtual Network Azure Application Gateway alhálózati üzemelő példány rendelkezik egy hálózati biztonsági csoporttal (NSG), amely az alkalmazás megbízható portjaira és forrásaira jellemző hálózati hozzáférés-vezérléssel rendelkezik. Bár a hálózati biztonsági csoportok Azure Application Gateway támogatottak, bizonyos korlátozásokat és követelményeket be kell tartani ahhoz, hogy az NSG és a Azure Application Gateway a várt módon működjenek.

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Azure Security Benchmark: Secure Configuration.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: Szabványos biztonsági konfigurációk definiálása és implementálása a Azure Application Gateway üzemelő példányokhoz kapcsolódó hálózati beállításokhoz. A "Microsoft.Network" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Azure-alkalmazás-átjárók, azure-beli virtuális hálózatok és hálózati biztonsági csoportok hálózati konfigurációjának naplózásához vagy kikényszerítéséhez. Használhatja a beépített szabályzatdefiníciót is.

Felelősség: Ügyfél

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Az Azure-szabályzat [megtagadása] és [üzembe helyezése, ha nem létezik] használatával kényszerítheti ki a biztonságos beállításokat az Azure-erőforrások között.

Felelősség: Ügyfél

7.5: Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Egyéni Azure-szabályzatdefiníciók használata esetén az Azure DevOps vagy az Azure Repos használatával biztonságosan tárolhatja és kezelheti a kódot.

Felelősség: Ügyfél

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: A "Microsoft.Network" névtérben beépített Azure Policy definíciók és Azure Policy aliasok használatával hozhat létre egyéni szabályzatokat a rendszerkonfigurációk riasztásához, naplózásához és kikényszerítéséhez. Emellett dolgozzon ki egy folyamatot és egy folyamatot a szabályzatkivételeket kezelő folyamathoz.

Felelősség: Ügyfél

7.9: Azure-erőforrások automatizált konfigurációs monitorozásának implementálása

Útmutató: A "Microsoft.Network" névtérben beépített Azure Policy definíciók és Azure Policy aliasok használatával hozhat létre egyéni szabályzatokat a rendszerkonfigurációk riasztásához, naplózásához és kikényszerítéséhez. Az Azure Policy [audit], [deny] és [deploy if not exist] használatával automatikusan kikényszerítheti a konfigurációkat az Azure-erőforrásokhoz.

Felelősség: Ügyfél

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: A felügyelt identitások használatával automatikusan felügyelt identitást biztosíthat Azure Application Gateway az Azure Active Directoryban (Azure AD). A felügyelt identitások lehetővé teszik a hitelesítést bármely olyan szolgáltatásban, amely támogatja a Azure AD hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezne.

Az Azure Key Vault használatával biztonságosan tárolhatja a tanúsítványokat. Az Azure Key Vault egy platform által felügyelt titkos kódtár, amely a titkos kódok, kulcsok és SSL-tanúsítványok védelmére használható. Azure Application Gateway támogatja a HTTPS-kompatibilis figyelőkhöz csatolt kiszolgálótanúsítványok Key Vault való integrációját. Ez a támogatás a Application Gateway v2 termékváltozatra korlátozódik.

Felelősség: Ügyfél

7.12: Identitások biztonságos és automatikus kezelése

Útmutató: A felügyelt identitások használatával automatikusan felügyelt identitást biztosíthat Azure Application Gateway az Azure Active Directoryban (Azure AD). A felügyelt identitások lehetővé teszik a hitelesítést bármely olyan szolgáltatásban, amely támogatja a Azure AD hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezne.

Az Azure Key Vault használatával biztonságosan tárolhatja a tanúsítványokat. Az Azure Key Vault egy platform által felügyelt titkos kódtár, amely a titkos kódok, kulcsok és SSL-tanúsítványok védelmére használható. Azure Application Gateway támogatja a HTTPS-kompatibilis figyelőkhöz csatolt kiszolgálótanúsítványok Key Vault való integrációját. Ez a támogatás a Application Gateway v2 termékváltozatra korlátozódik.

Felelősség: Ügyfél

7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése

Útmutató: Implementálja a Hitelesítőadat-ellenőrzőt a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Felelősség: Ügyfél

Kártevők elleni védelem

További információ: Azure Security Benchmark: Malware Defense.

8.1: Központilag felügyelt kártevőirtó szoftverek használata

Útmutató: Az Azure Web Application Firewall (WAF) v2 üzembe helyezése kritikus webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) egy olyan szolgáltatás (a Azure Application Gateway szolgáltatása), amely központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések ellen. Az Azure WAF segíthet a Azure App Service-webalkalmazások biztonságossá tételében azáltal, hogy megvizsgálja a bejövő webes forgalmat az olyan támadások blokkolása érdekében, mint az SQL-injektálások, a webhelyek közötti szkriptelés, a kártevő-feltöltések és a DDoS-támadások.

Konfigurálja a Azure Application Gateway üzemelő példányok diagnosztikai beállításait. A diagnosztikai beállítások segítségével konfigurálható egy erőforrás platformnaplóinak és metrikáinak streamelési exportálása a választott célhelyre (Tárfiókok, Event Hubs és Log Analytics).

Felelősség: Ügyfél

8.3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: Az Azure Web Application Firewall (WAF) használatakor WAF-szabályzatokat konfigurálhat. A WAF-szabályzatok két biztonsági szabálytípusból állnak: az ügyfél által létrehozott egyéni szabályokból és felügyelt szabálykészletekből, amelyek az Azure által felügyelt, előre konfigurált szabálykészletek gyűjteményei. Az Azure által felügyelt szabálykészletek egyszerű módot kínálnak a gyakori biztonsági fenyegetések elleni védelem üzembe helyezésére. Mivel az ilyen szabálykészleteket az Azure felügyeli, a szabályok szükség szerint frissülnek az új támadási aláírások elleni védelem érdekében.

Felelősség: Megosztott

Adat-helyreállítás

További információ: Azure Security Benchmark: Data Recovery.

9.1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Azure Application Gateway nem tárol ügyféladatokat. Ha azonban egyéni Azure-szabályzatdefiníciókat használ, az Azure DevOps vagy az Azure Repos használatával biztonságosan tárolhatja és kezelheti a kódot.

Az Azure DevOps Services számos Azure Storage-funkciót használ, hogy gondoskodni tudjon az adatok rendelkezésre állásáról hardverhiba, szolgáltatáskimaradás vagy régiós katasztrófa esetén. Az Azure DevOps csapata olyan eljárásokat is követ, amelyek a véletlen vagy rosszindulatú törlésektől védi az adatokat.

Felelősség: Ügyfél

9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése

Útmutató: Ügyfél által felügyelt tanúsítványok biztonsági mentése az Azure Key Vault.

Felelősség: Ügyfél

9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is

Útmutató: Tesztelje az ügyfél által felügyelt tanúsítványok biztonsági másolatának visszaállítását.

Felelősség: Ügyfél

9.4: A biztonsági másolatok és az ügyfél által kezelt kulcsok védelmének biztosítása

Útmutató: Győződjön meg arról, hogy a helyreállítható törlés engedélyezve van az Azure Key Vault. A helyreállítható törlés lehetővé teszi a törölt kulcstartók és tárolóobjektumok, például kulcsok, titkos kódok és tanúsítványok helyreállítását.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Emellett egyértelműen megjelölheti az előfizetéseket (például éles környezetben, nem éles környezetben), és létrehozhat egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.

Felelősség: Ügyfél

10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) azt észleli, hogy az ügyfél adataihoz jogellenes vagy jogosulatlan fél fért hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe

Útmutató: A Microsoft Defender for Cloud riasztásainak és javaslatainak exportálása a Folyamatos exportálás funkcióval. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelnek.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft cloud behatolástesztelési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések