Az Azure biztonsági alapkonfigurációja Azure Cache for Redis

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza a Azure Cache for Redis. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Azure Cache for Redis vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Azure Cache for Redis nem alkalmazható vezérlők, illetve amelyekért a Microsoft a felelős, ki lettek zárva. Annak megtekintéséhez, hogy Azure Cache for Redis hogyan képezi le teljesen az Azure Biztonsági teljesítménytesztet, tekintse meg a teljes Azure Cache for Redis biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Útmutató: Helyezze üzembe a Azure Cache for Redis-példányt egy virtuális hálózaton (VNeten) belül. A virtuális hálózat egy magánhálózat a felhőben. Ha egy Azure Cache for Redis-példány virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el.

Megadhat tűzfalszabályokat is kezdő és záró IP-címtartománnyal. Tűzfalszabályok konfigurálásakor csak a megadott IP-címtartományokból származó ügyfélkapcsolatok csatlakozhatnak a gyorsítótárhoz.

Felelősség: Ügyfél

1.2: A virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: Ha Virtual Machines ugyanabban a virtuális hálózatban van üzembe helyezve, mint a Azure Cache for Redis-példány, hálózati biztonsági csoportokkal (NSG) csökkentheti az adatkiszivárgás kockázatát. Engedélyezze az NSG-forgalom naplóit, és küldjön naplókat egy Azure Storage-fiókba a forgalomnaplózáshoz. Emellett NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőbe irányuló forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.

Felelősség: Ügyfél

1.3: Kritikus fontosságú webalkalmazások védelme

Útmutató: Nem alkalmazható; ez a javaslat Azure App Service vagy számítási erőforrásokon futó webalkalmazásokhoz készült.

Felelősség: Ügyfél

1.4: Az ismert kártékony IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Az Azure Virtual Network (VNet) üzembe helyezése fokozott biztonságot és elkülönítést biztosít a Azure Cache for Redis számára, valamint alhálózatokat, hozzáférés-vezérlési szabályzatokat és más funkciókat a hozzáférés további korlátozásához. Virtuális hálózaton való üzembe helyezéskor a Azure Cache for Redis nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el.

Engedélyezze a DDoS Protection Standardet a Azure Cache for Redis-példányokhoz társított virtuális hálózatokon az elosztott szolgáltatásmegtagadási (DDoS) támadások elleni védelem érdekében. A Microsoft Defender for Cloud Integrated Threat Intelligence használatával megtagadhatja az ismert rosszindulatú vagy nem használt internetes IP-címekkel folytatott kommunikációt.

Felelősség: Ügyfél

1.5: Hálózati csomagok rögzítése

Útmutató: Ha a virtuális gépeket ugyanabban a virtuális hálózatban helyezik üzembe, mint a Azure Cache for Redis-példány, hálózati biztonsági csoportokkal (NSG) csökkentheti az adatkiszivárgás kockázatát. Engedélyezze az NSG-forgalom naplóit, és küldjön naplókat egy Azure Storage-fiókba a forgalomnaplózáshoz. Emellett NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőbe irányuló forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.

Felelősség: Ügyfél

1.6: Hálózatalapú behatolásészlelési/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése

Útmutató: Ha Azure Cache for Redis használ Azure App Service vagy számítási példányokon futó webalkalmazásaival, helyezze üzembe az összes erőforrást egy Azure-Virtual Network (VNeten) belül, és biztonságossá tegye a webes Azure Web Application Firewall (WAF) használatával Application Gateway. Konfigurálja a WAF-ot úgy, hogy "Megelőzési módban" fusson. A megelőzési mód blokkolja a szabályok által észlelt behatolásokat és támadásokat. A támadó "403 jogosulatlan hozzáférés" kivételt kap, és a kapcsolat lezárul. A megelőzési mód az ilyen támadásokat a WAF-naplókban rögzíti.

Másik lehetőségként választhat egy ajánlatot a Azure Marketplace, amely hasznosadat-vizsgálati és/vagy anomáliadetektálási képességekkel támogatja az IDS/IPS funkciót.

Felelősség: Ügyfél

1.7: Webalkalmazások forgalmának kezelése

Útmutató: Nem alkalmazható; ez a javaslat Azure App Service vagy számítási erőforrásokon futó webalkalmazásokhoz készült.

Felelősség: Ügyfél

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Útmutató: Virtuális hálózati szolgáltatáscímkék használata hálózati hozzáférés-vezérlés meghatározásához hálózati biztonsági csoportokon (NSG) vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (pl. ApiManagement) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

Az összetett biztonsági konfiguráció leegyszerűsítése érdekében alkalmazásbiztonsági csoportokat (ASG) is használhat. Az ASG-k lehetővé teszik a hálózati biztonság konfigurálását az alkalmazásstruktúra természetes kiterjesztéseként, lehetővé téve a virtuális gépek csoportosítását és a csoportokon alapuló hálózati biztonsági szabályzatok meghatározását.

Felelősség: Ügyfél

1.9: A hálózati eszközök szabványos biztonsági konfigurációinak karbantartása

Útmutató: A Azure Policy Azure Cache for Redis példányaihoz kapcsolódó hálózati erőforrások standard biztonsági konfigurációinak meghatározása és megvalósítása. A "Microsoft.Cache" és a "Microsoft.Network" névterekben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Azure Cache for Redis-példányok hálózati konfigurációjának naplózásához vagy kikényszerítéséhez. Használhat beépített szabályzatdefiníciókat is, például:

  • Csak a Redis Cache biztonságos kapcsolatait kell engedélyezni

  • A DDoS Protection Standardet engedélyezni kell

Az Azure Blueprints használatával leegyszerűsítheti a nagy léptékű Azure-üzemelő példányokat olyan kulcsfontosságú környezeti összetevők csomagolásával, mint az Azure Resource Manager (ARM)-sablonok, az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) és a szabályzatok egyetlen tervdefinícióban. Egyszerűen alkalmazhatja a tervet az új előfizetésekre és környezetekre, és a verziószámozással finomhangolhatja a vezérlést és a felügyeletet.

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Az Azure Cache for Redis üzemelő példányához társított hálózati erőforrások címkéivel logikailag rendszerezheti őket egy osztályozásban.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak figyeléséhez és a módosítások észleléséhez

Útmutató: Az Azure-tevékenységnapló használatával figyelheti a hálózati erőforrások konfigurációit, és észlelheti a Azure Cache for Redis-példányokhoz kapcsolódó hálózati erőforrások változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus hálózati erőforrások módosításakor aktiválódik.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: Engedélyezze az Azure-tevékenységnapló diagnosztikai beállításait, és küldje el a naplókat egy Log Analytics-munkaterületre, egy Azure-eseményközpontba vagy egy Azure Storage-fiókba archiválás céljából. A tevékenységnaplók betekintést nyújtanak a Azure Cache for Redis példányokon a vezérlősík szintjén végrehajtott műveletekbe. Az Azure-tevékenységnapló adatainak használatával meghatározhatja, hogy a Azure Cache for Redis példányok vezérlősíkjának szintjén végrehajtott írási műveletek (PUT, POST, DELETE) "mit, ki és mikor" típusúak.

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Engedélyezze az Azure-tevékenységnapló diagnosztikai beállításait, és küldje el a naplókat egy Log Analytics-munkaterületre, egy Azure-eseményközpontba vagy egy Azure Storage-fiókba archiválás céljából. A tevékenységnaplók betekintést nyújtanak a Azure Cache for Redis példányokon a vezérlősík szintjén végrehajtott műveletekbe. Az Azure-tevékenységnapló adatainak használatával meghatározhatja, hogy a Azure Cache for Redis példányok vezérlősíkjának szintjén végrehajtott írási műveletek (PUT, POST, DELETE) "mit, ki és mikor" típusúak.

Bár a metrikák a diagnosztikai beállítások engedélyezésével érhetők el, az adatsík naplózása még nem érhető el Azure Cache for Redis.

Felelősség: Ügyfél

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Az Azure Monitorban állítsa be a Azure Cache for Redis példányokhoz társított Log Analytics-munkaterületek naplómegőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően.

Vegye figyelembe, hogy az adatsík naplózása még nem érhető el Azure Cache for Redis.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: Engedélyezze az Azure-tevékenységnapló diagnosztikai beállításait, és küldje el a naplókat egy Log Analytics-munkaterületre. Lekérdezéseket hajthat végre a Log Analyticsben a kifejezések kereséséhez, a trendek azonosításához, a minták elemzéséhez és számos egyéb elemzéshez a Azure Cache for Redis gyűjtött tevékenységnapló-adatok alapján.

Vegye figyelembe, hogy az adatsík naplózása még nem érhető el Azure Cache for Redis.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: Konfigurálhatja a riasztások fogadását a Azure Cache for Redis-példányokhoz kapcsolódó metrikák és tevékenységnaplók alapján. Az Azure Monitor lehetővé teszi, hogy riasztást konfiguráljon e-mail-értesítés küldéséhez, webhook hívásához vagy Azure Logic Apps-alkalmazás meghívásához.

Bár a metrikák a diagnosztikai beállítások engedélyezésével érhetők el, az adatsík naplózása még nem érhető el Azure Cache for Redis.

Felelősség: Ügyfél

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: Az Azure Active Directory (Azure AD) beépített szerepkörökhöz tartozik, amelyeket explicit módon kell hozzárendelni, és lekérdezhetők. A Azure AD PowerShell-modul használatával alkalmi lekérdezéseket hajthat végre a felügyeleti csoportok tagjait tartalmazó fiókok felderítéséhez.

Felelősség: Ügyfél

3.2: Az alapértelmezett jelszavak módosítása, ha vannak

Útmutató: A Azure Cache for Redis vezérlősíkhoz való hozzáférését az Azure Active Directory (Azure AD) szabályozza. Azure AD nem rendelkezik az alapértelmezett jelszavak fogalmával.

A Azure Cache for Redis adatsíkhoz való hozzáférését hozzáférési kulcsok vezérlik. Ezeket a kulcsokat a gyorsítótárhoz csatlakozó ügyfelek használják, és bármikor újra létrehozhatóak.

Nem ajánlott alapértelmezett jelszavakat létrehozni az alkalmazásba. Ehelyett a jelszavakat az Azure Key Vault tárolhatja, majd a Azure AD használatával kérheti le őket.

Felelősség: Megosztott

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Szabványos üzemeltetési eljárások létrehozása a dedikált rendszergazdai fiókok használatával kapcsolatban. A Microsoft Defender for Cloud Identity és a Hozzáférés-kezelés használatával monitorozza a rendszergazdai fiókok számát.

Emellett a dedikált rendszergazdai fiókok nyomon követéséhez használhatja a Microsoft Defender for Cloud vagy a beépített Azure-szabályzatok javaslatait, például:

  • Az előfizetéshez egynél több tulajdonosnak kell tartoznia

  • A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből

  • A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

3.4: Az Azure Active Directory egyszeri bejelentkezés (SSO) használata

Útmutató: Azure Cache for Redis hozzáférési kulcsokkal hitelesíti a felhasználókat, és nem támogatja az egyszeri bejelentkezést (SSO) az adatsík szintjén. A Azure Cache for Redis vezérlősíkjának elérése REST API-val érhető el, és támogatja az egyszeri bejelentkezést. A hitelesítéshez állítsa a kérések engedélyezési fejlécét egy JSON-alapú webes jogkivonatra, amelyet az Azure Active Directoryból (Azure AD) szerezhet be.

Felelősség: Ügyfél

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender felhőbeli identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.6: Minden felügyeleti feladathoz használjon dedikált gépeket (Privileged Access Workstations)

Útmutató: Emelt szintű hozzáférésű munkaállomások (PAW) használata az Azure-erőforrásokba való bejelentkezéshez és konfiguráláshoz konfigurált többtényezős hitelesítéssel.

Felelősség: Ügyfél

3.7: Naplózás és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: Az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) használatával naplókat és riasztásokat generálhat, ha gyanús vagy nem biztonságos tevékenység történik a környezetben.

Emellett Azure AD kockázatészlelésekkel is megtekintheti a kockázatos felhasználói viselkedésre vonatkozó riasztásokat és jelentéseket.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Konfigurálja a nevesített helyeket az Azure Active Directory (Azure AD) feltételes hozzáférésében, hogy csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezze a hozzáférést.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Az Azure Active Directory (Azure AD) használata központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt lévő adatok erős titkosításával védi az adatokat. Azure AD emellett sókat, kivonatokat és biztonságosan tárolja a felhasználói hitelesítő adatokat.

Azure AD hitelesítés nem használható Azure Cache for Redis adatsíkjának közvetlen elérésére, Azure AD hitelesítő adatok azonban a vezérlősík szintjén (azaz a Azure Portal) is használhatók Azure Cache for Redis hozzáférési kulcsok vezérléséhez.

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Az Azure Active Directory (Azure AD) naplókat biztosít az elavult fiókok felderítéséhez. Emellett az Azure Identity Access Reviews használatával hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférés rendszeresen felülvizsgálható, hogy csak a megfelelő felhasználók rendelkezzenek további hozzáféréssel.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek figyelése

Útmutató: Hozzáféréssel rendelkezik az Azure Active Directory (Azure AD) bejelentkezési tevékenység- és naplózási eseménynaplóihoz, amelyek lehetővé teszik a Microsoft Sentinellel vagy egy külső SIEM-sel való integrációt.

A folyamat egyszerűsítése érdekében hozzon létre diagnosztikai beállításokat Azure AD felhasználói fiókokhoz, és küldje el az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. A kívánt naplóriasztásokat a Log Analyticsben konfigurálhatja.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: A fiók bejelentkezési viselkedésének eltérése a vezérlősíkon az Azure Active Directory (Azure AD) Identity Protection és a kockázatészlelési funkciók használatával konfigurálhatja az automatikus válaszokat a felhasználói identitásokkal kapcsolatos gyanús műveletekre. További vizsgálat céljából adatokat is betölthet a Microsoft Sentinelbe.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.1: Bizalmas információk leltárának karbantartása

Útmutató: Címkék használatával nyomon követheti a bizalmas információkat tároló vagy feldolgozó Azure-erőforrásokat.

Felelősség: Ügyfél

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Útmutató: Különálló előfizetések és/vagy felügyeleti csoportok implementálása fejlesztéshez, teszteléshez és éles környezethez. Azure Cache for Redis példányokat virtuális hálózattal/alhálózattal kell elválasztani, és megfelelően kell címkézni. A Azure Cache for Redis tűzfallal is megadhat szabályokat, így csak a megadott IP-címtartományokból származó ügyfélkapcsolatok csatlakozhatnak a gyorsítótárhoz.

Felelősség: Ügyfél

4.3: Bizalmas adatok jogosulatlan átvitelének monitorozása és letiltása

Útmutató: Még nem érhető el; az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el Azure Cache for Redis.

A Microsoft kezeli a Azure Cache for Redis mögöttes infrastruktúráját, és szigorú ellenőrzéseket vezetett be az ügyféladatok elvesztésének vagy kitettségének megelőzése érdekében.

Felelősség: Megosztott

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: Azure Cache for Redis alapértelmezés szerint TLS-titkosítású kommunikációt igényel. A TLS 1.0-s, 1.1-s és 1.2-s verziói jelenleg támogatottak. A TLS 1.0 és 1.1 azonban az egész iparágra kiterjedő elavulással jár, ezért ha lehetséges, használja a TLS 1.2-t. Ha az ügyfélkódtár vagy -eszköz nem támogatja a TLS-t, akkor a titkosítatlan kapcsolatok engedélyezése a Azure Portal vagy felügyeleti API-kkal végezhető el. Olyan esetekben, amikor a titkosított kapcsolatok nem lehetségesek, javasoljuk, hogy helyezze el a gyorsítótárat és az ügyfélalkalmazást egy virtuális hálózatba.

Felelősség: Megosztott

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Cache:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Csak a Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni Csak SSL-kapcsolaton keresztüli Azure Cache for Redis engedélyezésének naplózása. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati rétegbeli támadásoktól, például a közbeékeléssel, a lehallgatással és a munkamenet-eltérítéssel szemben. Naplózás, megtagadás, letiltva 1.0.0

4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához

Útmutató: Az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el Azure Cache for Redis. Címkézze fel a bizalmas információkat tartalmazó példányokat, és szükség esetén implementálja a megfelelőségi célokra szolgáló külső megoldást.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és nagy ideig őrzi meg az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságosak legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Ügyfél

4.6: Szerepköralapú hozzáférés-vezérlés használata az erőforrásokhoz való hozzáférés szabályozásához

Útmutató: Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) szabályozhatja a Azure Cache for Redis vezérlősíkhoz (például Azure Portal) való hozzáférést.

Felelősség: Ügyfél

4.8: Bizalmas adatok titkosítása inaktív állapotban

Útmutató: Azure Cache for Redis tárolja az ügyféladatokat a memóriában, és bár a Microsoft számos vezérlője erősen védi, a memória alapértelmezés szerint nincs titkosítva. Ha szervezete megköveteli, titkosítsa a tartalmat, mielőtt Azure Cache for Redis tárol.

Ha a "Redis Data Persistence" Azure Cache for Redis szolgáltatást használja, az adatok egy Ön tulajdonában lévő és felügyelt Azure Storage-fiókba kerülnek. Az adatmegőrzést az "Új Azure Cache for Redis" panelen konfigurálhatja a gyorsítótár létrehozásakor és a meglévő prémium szintű gyorsítótárak Erőforrás menüjében.

Az Azure Storage-ban lévő adatok titkosítása és visszafejtése transzparens módon történik a 256 bites AES-titkosítással, amely az egyik legerősebb elérhető blokk-titkosítás, és a FIPS 140-2 szabványnak megfelelő. Az Azure Storage-titkosítás nem tiltható le. A tárfiók titkosításához a Microsoft által felügyelt kulcsokra támaszkodhat, vagy saját kulcsokkal kezelheti a titkosítást.

Felelősség: Megosztott

4.9: Napló és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: Az Azure Monitor és az Azure-tevékenységnapló használatával riasztásokat hozhat létre az Azure Cache for Redis éles példányainak és más kritikus vagy kapcsolódó erőforrásoknak a változásairól.

Felelősség: Ügyfél

Biztonságirés-kezelés

További információ: Az Azure biztonsági teljesítménytesztje: Sebezhetőségek kezelése.

5.1: Automatizált biztonságirés-ellenőrző eszközök futtatása

Útmutató: Kövesse a Microsoft Defender for Cloud javaslatait a Azure Cache for Redis példányok és a kapcsolódó erőforrások védelmével kapcsolatban.

A Microsoft biztonsági rések kezelését végzi az Azure Cache for Redis támogató mögöttes rendszereken.

Felelősség: Megosztott

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben található összes erőforrást (például számítási, tárolási, hálózati, portok és protokollok stb.). Gondoskodjon a megfelelő (olvasási) engedélyekről a bérlőben, és sorolja fel az összes Azure-előfizetést, valamint az előfizetéseken belüli erőforrásokat.

Bár a klasszikus Azure-erőforrások Resource Graph keresztül fedezhetők fel, erősen ajánlott azure-Resource Manager-erőforrásokat létrehozni és használni.

Felelősség: Ügyfél

6.2: Az eszköz metaadatainak karbantartása

Útmutató: Címkék alkalmazása Azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezésükhöz egy osztályozásban.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Ha szükséges, címkézéssel, felügyeleti csoportokkal és külön előfizetésekkel rendszerezheti és nyomon követheti Azure Cache for Redis példányokat és a kapcsolódó erőforrásokat. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.

Emellett az Azure Policy használatával korlátozhatja az ügyfél-előfizetésekben létrehozható erőforrások típusát az alábbi beépített szabályzatdefiníciókkal:

  • Nem engedélyezett erőforrástípusok

  • Engedélyezett erőforrástípusok

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok
  • Engedélyezett erőforrástípusok

Emellett az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésekben lévő erőforrásokat.

Felelősség: Ügyfél

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciókkal:

  • Nem engedélyezett erőforrástípusok

  • Engedélyezett erőforrástípusok

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure feltételes hozzáférésének konfigurálásával korlátozhatja a felhasználók azure Resource Manager (ARM) használatát a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Az Azure biztonsági teljesítménytesztje: Biztonságos konfiguráció.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: Standard biztonsági konfigurációk definiálása és implementálása a Azure Policy Azure Cache for Redis példányaihoz. A "Microsoft.Cache" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Azure Cache for Redis-példányok konfigurációjának naplózásához vagy kikényszerítéséhez. A Azure Cache for Redis példányokhoz kapcsolódó beépített szabályzatdefiníciókat is használhat, például:

  • Csak a Redis Cache biztonságos kapcsolatait kell engedélyezni

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Használja Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik], hogy biztonságos beállításokat kényszerítsen ki az Azure-erőforrásokban.

Felelősség: Ügyfél

7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Ha egyéni Azure Policy-definíciókat vagy Azure Resource Manager-sablonokat használ a Azure Cache for Redis-példányokhoz és a kapcsolódó erőforrásokhoz, az Azure Repos használatával biztonságosan tárolhatja és kezelheti a kódot.

Felelősség: Ügyfél

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: A "Microsoft.Cache" névtérben Azure Policy aliasok használatával hozhat létre egyéni szabályzatokat a rendszerkonfigurációk riasztásához, naplózásához és kikényszerítéséhez. Emellett a szabályzatkivételeket kezelő folyamatot és folyamatot is fejleszthet.

Felelősség: Ügyfél

7.9: Azure-erőforrások automatizált konfigurációmonitorozásának implementálása

Útmutató: A "Microsoft.Cache" névtérben Azure Policy aliasok használatával hozhat létre egyéni szabályzatokat a rendszerkonfigurációk riasztásához, naplózásához és kikényszerítéséhez. A Azure Policy [audit], [deny] és [deploy if not exist] használatával automatikusan kikényszerítheti a konfigurációkat a Azure Cache for Redis példányokhoz és a kapcsolódó erőforrásokhoz.

Felelősség: Ügyfél

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: Az Azure Cache for Redis-példányok eléréséhez használt Azure App Service futó Azure-beli virtuális gépek vagy webalkalmazások esetén a Felügyeltszolgáltatás-identitás és az Azure Key Vault együttes használatával egyszerűsítheti és biztonságossá teheti Azure Cache for Redis titkos kulcsokat Kezelése. Győződjön meg arról, hogy Key Vault helyreállítható törlés engedélyezve van.

Felelősség: Ügyfél

7.12: Identitások biztonságos és automatikus kezelése

Útmutató: Az Azure Cache for Redis-példányok eléréséhez használt Azure App Service futó Azure-beli virtuális gépek vagy webalkalmazások esetén a Felügyeltszolgáltatás-identitás és az Azure Key Vault együttes használatával egyszerűsítheti és biztonságossá teheti Azure Cache for Redis titkos kulcsokat Kezelése. Győződjön meg arról, hogy Key Vault helyreállítható törlés engedélyezve van.

A Felügyelt identitások használatával automatikusan felügyelt identitást biztosíthat az Azure-szolgáltatásoknak az Azure Active Directoryban (Azure AD). A felügyelt identitások lehetővé teszik a hitelesítést bármely olyan szolgáltatásban, amely támogatja a Azure AD hitelesítést, beleértve az Azure Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezik.

Felelősség: Ügyfél

7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése

Útmutató: Implementálja a Hitelesítőadat-ellenőrzőt a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Felelősség: Ügyfél

Kártevők elleni védelem

További információ: Azure Security Benchmark: Malware Defense.

8.2: Nem számítási Azure-erőforrásokba feltöltendő fájlok előzetes vizsgálata

Útmutató: A Microsoft kártevőirtó engedélyezve van az Azure-szolgáltatásokat támogató mögöttes gazdagépen (például Azure Cache for Redis), de nem fut az ügyféltartalmakon.

A nem számítási azure-erőforrásokba (például App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL stb.) feltöltött tartalmak előzetes vizsgálata. A Microsoft ezekben a példányokban nem fér hozzá az Ön adataihoz.

Felelősség: Ügyfél

Adat-helyreállítás

További információ: Azure Security Benchmark: Data Recovery.

9.1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: A Redis-adatmegőrzés engedélyezése. A Redis-adatmegőrzés lehetővé teszi a Redisben tárolt adatok megőrzését. Készíthet pillanatképeket is, és biztonsági másolatot készíthet az adatokról, amelyeket hardverhiba esetén betölthet. Ez egy hatalmas előny az alapszintű vagy standard szinttel szemben, ahol az összes adat a memóriában van tárolva, és lehetséges adatvesztés is előfordulhat olyan hiba esetén, amikor a gyorsítótár-csomópontok leállnak.

Az Azure Cache for Redis Exportot is használhatja. Az exportálás lehetővé teszi, hogy a Azure Cache for Redis tárolt adatokat Redis-kompatibilis RDB-fájl(ok)ba exportálja. Ezzel a funkcióval adatokat helyezhet át az egyik Azure Cache for Redis példányból egy másikba vagy egy másik Redis-kiszolgálóra. Az exportálási folyamat során létrejön egy ideiglenes fájl a Azure Cache for Redis kiszolgálópéldányt futtató virtuális gépen, és a rendszer feltölti a fájlt a kijelölt tárfiókba. Ha az exportálási művelet sikeres vagy sikertelen állapottal fejeződik be, az ideiglenes fájl törlődik.

Felelősség: Ügyfél

9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése

Útmutató: A Redis-adatmegőrzés engedélyezése. A Redis-adatmegőrzés lehetővé teszi a Redisben tárolt adatok megőrzését. Készíthet pillanatképeket is, és biztonsági másolatot készíthet az adatokról, amelyeket hardverhiba esetén betölthet. Ez egy hatalmas előny az alapszintű vagy standard szinttel szemben, ahol az összes adat a memóriában van tárolva, és lehetséges adatvesztés is előfordulhat olyan hiba esetén, amikor a gyorsítótár-csomópontok leállnak.

Az Azure Cache for Redis Exportot is használhatja. Az exportálás lehetővé teszi, hogy a Azure Cache for Redis tárolt adatokat Redis-kompatibilis RDB-fájl(ok)ba exportálja. Ezzel a funkcióval adatokat helyezhet át az egyik Azure Cache for Redis példányból egy másikba vagy egy másik Redis-kiszolgálóra. Az exportálási folyamat során létrejön egy ideiglenes fájl a Azure Cache for Redis kiszolgálópéldányt futtató virtuális gépen, és a rendszer feltölti a fájlt a kijelölt tárfiókba. Ha az exportálási művelet sikeres vagy sikertelen állapottal fejeződik be, az ideiglenes fájl törlődik.

Ha az Azure Key Vault használja a Azure Cache for Redis-példányok hitelesítő adatainak tárolására, gondoskodjon a kulcsok rendszeres automatikus biztonsági mentéséről.

Felelősség: Ügyfél

9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is

Útmutató: Használja az Azure Cache for Redis Importálás parancsot. Az importálás segítségével Redis-kompatibilis RDB-fájlokat hozhat létre bármely, bármilyen felhőben vagy környezetben futó Redis-kiszolgálóról, beleértve a Linuxon, Windowson futó Redist vagy bármely felhőszolgáltatót, például az Amazon Web Servicest és másokat. Az adatok importálása egyszerű módja annak, hogy előre feltöltött adatokkal rendelkező gyorsítótárat hozzon létre. Az importálási folyamat során Azure Cache for Redis betölti az RDB-fájlokat az Azure Storage-ból a memóriába, majd beszúrja a kulcsokat a gyorsítótárba.

Rendszeresen tesztelje az Azure-Key Vault titkos kulcsainak visszaállítását.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Emellett egyértelműen megjelölheti az előfizetéseket (például éles környezetben, nem éles környezetben), és létrehozhat egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.

Felelősség: Ügyfél

10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) azt észleli, hogy az ügyfél adataihoz jogellenes vagy jogosulatlan fél fért hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe

Útmutató: A Microsoft Defender for Cloud riasztásainak és javaslatainak exportálása a Folyamatos exportálás funkcióval. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelnek.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft cloud behatolástesztelési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések