Az Azure biztonsági alapkonfigurációja Azure Backup

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a Azure Backup. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és a Azure Backup vonatkozó kapcsolódó útmutató szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Azure Backup nem alkalmazható vezérlőket, valamint azokat, amelyek esetében a globális útmutatást szó szerint javasolták, kizártuk. Annak megtekintéséhez, hogy Azure Backup hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Backup biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Azure Backup nem támogatja a virtuális hálózatba való közvetlen üzembe helyezést. A biztonsági mentés nem használhat hálózati funkciókat, például hálózati biztonsági csoportokat, útvonaltáblákat vagy hálózatfüggő berendezéseket, például Azure Firewall.

A Microsoft Sentinel használatával felfedezheti az örökölt nem biztonságos protokollok használatát, például:

  • Transport Layer Security (TLS) v1

  • Kiszolgálói üzenetblokk (SMB) v1

  • LAN Manager (LM) vagy New Technology LAN Manager (NTLM) v1

  • wDigest

  • Unsigned Lightweight Directory Access Protocol (LDAP) kötések

  • Gyenge titkosítás a Kerberosban

Minden ajánlat kikényszeríti a TLS 1.2-s és újabb verzióját, kivéve a Microsoft Azure Recovery Services -ügynök biztonsági mentéseit. Csak MARS-ügynök biztonsági mentése esetén a Backup 2021. szeptember 1-ig támogatja a TLS 1.1-et és régebbieket. Ezt követően a MARS-ügynök biztonsági másolatai a TLS 1.2-s és újabb verzióját is kikényszeríteni fogják.

Amikor SQL-kiszolgálókról és SAP HANA-példányokról készít biztonsági másolatot azure-beli virtuális gépeken, engedélyeznie kell a kimenő hozzáférést a 443-es porthoz bizonyos teljes tartománynevek (FQDN-k) eléréséhez vagy szolgáltatáscímkék használata esetén.

Privát végpontokat használhat a Recovery Services-tárolókhoz. Csak a tárolóhoz privát végpontokat tartalmazó hálózatok férhetnek hozzá a tárolóhoz.

Felelősség: Ügyfél

NS-2: Privát hálózatok összekapcsolása

Útmutató: A helyszíni kiszolgálók biztonsági mentéséhez expressroute vagy virtuális magánhálózat (VPN) használatával csatlakozhat az Azure-hoz.

Használja a Azure Backup-közösséget az ExpressRoute-hoz készült Microsoft társviszony-létesítés használatakor. Privát társviszony-létesítés használata privát végpontok biztonsági mentéshez való használatakor. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Felelősség: Ügyfél

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: A tároló egy Azure-erőforrás, amely a Azure Portal, az Azure CLI, a PowerShell, az SDK és a REST használatával érhető el. A Biztonsági mentés a Recovery Services-tárolók privát végpontjait is támogatja.

A Azure Private Link használatával privát hozzáférést biztosít a Recovery Services-tárolókhoz a virtuális hálózatokról anélkül, hogy átkelene az interneten. A privát hozzáférés egy részletes védelmi mértéket ad hozzá az Azure-hitelesítéshez és a forgalombiztonsághoz.

A biztonsági mentés nem biztosítja a virtuális hálózati szolgáltatásvégpontok konfigurálását.

Felelősség: Ügyfél

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Virtual Network szolgáltatáscímkék használatával meghatározhatja a hálózati biztonsági csoportok (NSG-k) vagy Azure Firewall biztonsági mentési erőforrásainak hálózati hozzáférés-vezérlését. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Adja meg a szolgáltatáscímke nevét a megfelelő szabályforrás vagy célmezőben a forgalom engedélyezéséhez vagy letiltásához. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

A Backup szolgáltatással kommunikáló szolgáltatásokat üzemeltető hálózatok esetében engedélyezze az "AzureBackup", az "AzureStorage" és az "AzureActiveDirectory" szolgáltatáscímkéket az NSG-n kívülre.

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Nem alkalmazható. A biztonsági mentés nem teszi elérhetővé a mögöttes DNS-konfigurációkat. A Microsoft fenntartja ezeket a beállításokat.

Felelősség: Microsoft

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: A biztonsági mentés az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. Szabványosítsa Azure AD a szervezet identitás- és hozzáférés-kezelésének szabályozásához a következőben:

  • Microsoft Cloud-erőforrások. Az erőforrások a következők:

    • Azure Portal

    • Azure Storage

    • Azure Linux és Windows rendszerű virtuális gépek

    • Azure Key Vault

    • Szolgáltatásként nyújtott platform (PaaS)

    • Szolgáltatott szoftver (SaaS) alkalmazások

  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

A Azure AD biztonságossá tételének kiemelt fontosságúnak kell lennie a szervezet felhőbiztonsági gyakorlata számára. Azure AD identitásbiztonsági pontszámot biztosít, amellyel összehasonlíthatja identitásbiztonsági helyzetét a Microsoft ajánlott eljárásaival. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Megjegyzés: Azure AD olyan külső identitásokat támogat, amelyek lehetővé teszik, hogy a Microsoft-fiókkal nem rendelkező felhasználók bejelentkezhessenek alkalmazásaikba és erőforrásaikba.

A Backup azure-beli szerepköralapú hozzáférés-vezérléssel (RBAC) teszi lehetővé az erőforrásokhoz való részletes hozzáférést. A Biztonsági mentés három beépített szerepkört biztosít: a biztonsági mentés közreműködője, a biztonsági mentési operátor és a biztonsági mentési olvasó.

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: A Backup támogatja az Azure-erőforrások felügyelt identitásait. Felügyelt identitások használata a Backup szolgáltatásnévvel ahelyett, hogy szolgáltatásneveket hoz létre más erőforrások eléréséhez.

A biztonsági mentés natív hitelesítést végezhet Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A biztonsági mentés egy előre definiált hozzáférés-engedélyezési szabályt használ a forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatok helyett.

A biztonsági mentés felügyelt identitásokat használ a biztonsági mentési és visszaállítási műveletek végrehajtásához a védett adatforrásokon a Backup-tárolókban. A biztonsági mentés felügyelt identitásokat is használ az olyan biztonsági funkciók kezelésére, mint az ügyfél által felügyelt kulcsokkal és a Recovery Services-tárolók privát végpontjaival történő titkosítás.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az összes felhasználó, alkalmazás és eszköz csatlakoztatása Azure AD. Azure AD zökkenőmentes, biztonságos hozzáférést, valamint nagyobb átláthatóságot és vezérlést biztosít.

A Backup Azure AD használ az Azure-erőforrások identitás- és hozzáférés-kezelésének biztosítására. Az Azure AD biztonsági mentésben való hitelesítéshez használható identitások közé tartoznak a vállalati identitások, például az alkalmazottak, valamint a külső identitások, például partnerek, szállítók és szállítók. Azure AD egyszeri bejelentkezést (SSO) biztosít a szervezet helyszíni és felhőbeli adataihoz és erőforrásaihoz való hozzáférés kezeléséhez és biztonságos eléréséhez.

Felelősség: Ügyfél

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: Az Azure DevOps Credential Scanner használatával felderítheti a hitelesítő adatokat a Backup Azure Resource Manager (ARM)-sablonokban. A Credential Scanner elősegíti a felderített hitelesítő adatok biztonságosabb helyekre, például az Azure Key Vault-ba való áthelyezését.

A GitHub esetében a natív titkoskód-vizsgálati funkcióval azonosíthatja a hitelesítő adatokat vagy más titkos kódokat a kódban.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: A legfontosabb beépített Azure AD szerepkörök a globális rendszergazda és a kiemelt szerepkörű rendszergazda. A két szerepkörrel rendelkező felhasználók rendszergazdai szerepköröket delegálhatnak.

  • A globális rendszergazda vagy a vállalati rendszergazda hozzáfér az Azure AD identitásokat használó összes Azure AD rendszergazdai funkcióhoz és szolgáltatáshoz.

  • A kiemelt szerepkörök rendszergazdája kezelheti a szerepkör-hozzárendeléseket a Azure AD és a Azure AD Privileged Identity Management (PIM) szolgáltatásban. Ez a szerepkör a PIM és a felügyeleti egységek minden aspektusát képes kezelni.

Korlátozza a magas jogosultsági szintű fiókok vagy szerepkörök számát, és emelt szintű védelmet nyújt ezeknek a fiókoknak. A kiemelt jogosultságokkal rendelkező felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az összes Azure-erőforrást.

Igény szerinti (JIT) jogosultsági szintű hozzáférést engedélyezhet az Azure-erőforrásokhoz, és Azure AD Azure AD PIM használatával. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes generálni a Azure AD szervezet gyanús vagy nem biztonságos tevékenységeihez.

A Biztonsági mentés közreműködője RBAC szerepkör minden engedéllyel rendelkezik a biztonsági másolatok létrehozásához és kezeléséhez, kivéve a Recovery Services-tároló törlését és a másoknak való hozzáférést. Ez a szerepkör a biztonsági mentések kezelésének rendszergazdája, aki minden biztonsági mentéskezelési műveletet elvégezhet. Tekintse át a szerepkörhöz rendszeresen hozzárendelt identitásokat, és konfigurálja őket Azure AD PIM használatával.

Megjegyzés: Előfordulhat, hogy más kritikus szerepköröket is szabályoznia kell, ha bizonyos emelt szintű engedélyeket rendel az egyéni szerepkörökhöz. Érdemes lehet hasonló vezérlőket alkalmazni a kritikus fontosságú üzleti eszközök rendszergazdai fiókjaira.

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: A biztonsági mentés Azure AD-fiókokat és az Azure RBAC-t használja az erőforrásokhoz való engedélyek megadásához. Ellenőrizze a felhasználói fiókokat és a hozzáférési hozzárendeléseket, hogy a fiókok és hozzáférésük érvényes legyen. A Azure AD hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazáshozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A hozzáférési felülvizsgálati jelentés munkafolyamatait Azure AD Privileged Identity Management (PIM) is létrehozhatja a felülvizsgálati folyamat megkönnyítése érdekében.

Úgy is konfigurálhatja Azure AD PIM-et, hogy riasztást adjon, ha túl sok rendszergazdai fiók van. A PIM azonosítja az elavult vagy helytelenül konfigurált rendszergazdai fiókokat is.

A Backup támogatja az Azure RBAC-t a tárolók részletes hozzáférés-kezeléséhez. Azure Backup három beépített RBAC-szerepkört biztosít a biztonsági mentések kezelési műveleteinek vezérléséhez:

  • Biztonsági mentési közreműködő – Ez a szerepkör minden engedéllyel rendelkezik a biztonsági másolatok létrehozásához és kezeléséhez, kivéve a Recovery Services-tárolók törlését és a másoknak való hozzáférést. Ez a szerepkör a biztonsági mentések kezelésének rendszergazdája, aki minden biztonsági mentéskezelési műveletet elvégezhet.

  • Biztonsági mentési operátor – Ez a szerepkör engedéllyel rendelkezik mindenhez, amit a biztonsági mentési közreműködő végez, kivéve a biztonsági mentések eltávolítását és a biztonsági mentési szabályzatok kezelését. Ez a szerepkör ugyanaz, mint a Biztonsági mentési közreműködő, kivéve, ha nem hajthat végre romboló műveleteket, például nem állíthat le biztonsági mentést törlési adatokkal, vagy nem távolíthatja el a helyszíni erőforrások regisztrációját.

  • Biztonságimásolat-olvasó – Ez a szerepkör jogosult az összes biztonsági mentéskezelési művelet megtekintésére. Ez a szerepkör a figyeléshez használható.

  • Azure-erőforrásszerepkörök hozzáférési felülvizsgálatának létrehozása a Privileged Identity Management (PIM) szolgáltatásban

  • Az Azure AD identitás- és hozzáférési felülvizsgálatainak használata

  • Azure RBAC biztonsági mentéshez

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazda, a fejlesztő és a kritikus szolgáltatás üzemeltetője. A biztonsági mentési erőforrások felügyeleti feladataihoz magas biztonságú felhasználói munkaállomásokat és az Azure Bastiont használhatja.

A Azure AD, a Microsoft Defender Advanced Threat Protection (ATP) vagy a Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. Központilag felügyelheti a biztonságos munkaállomásokat egy olyan biztonsági konfiguráció kikényszerítéséhez, amely a következőket tartalmazza:

Felelősség: Ügyfél

PA-7: A minimális jogosultsági elv követése a megfelelő adminisztrációhoz

Útmutató: A biztonsági mentés integrálható az Azure RBAC-vel az erőforrásainak kezeléséhez. Az RBAC-vel szerepkör-hozzárendelésekkel kezelheti az Azure-erőforrások hozzáférését. Szerepköröket rendelhet felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz. Bizonyos erőforrások előre definiált, beépített szerepkörökhöz tartoznak. Ezeket a szerepköröket olyan eszközökkel leltárba helyezheti vagy kérdezheti le, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal.

Mindig korlátozza az erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat a szerepkörök által igényeltre. Ez a gyakorlat kiegészíti az Azure AD PIM igény szerinti (JIT) megközelítését. Rendszeresen tekintse át a szerepköröket és a hozzárendeléseket.

A biztonsági mentés integrálható az Azure RBAC-vel, és lehetővé teszi beépített és egyéni szerepkörök használatát az erőforrásokhoz való hozzáférés kezeléséhez. A beépített szerepkörök használatával engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.

Azure Backup három beépített szerepkört biztosít a biztonsági mentések kezelési műveleteinek vezérléséhez:

  • Biztonsági mentési közreműködő – Ez a szerepkör minden engedéllyel rendelkezik a biztonsági másolatok létrehozásához és kezeléséhez, kivéve a Recovery Services-tárolók törlését és a másoknak való hozzáférést. Ez a szerepkör a biztonsági mentések kezelésének rendszergazdája, aki minden biztonsági mentéskezelési műveletet elvégezhet.

  • Biztonsági mentési operátor – Ez a szerepkör engedéllyel rendelkezik mindenhez, amit a biztonsági mentési közreműködő végez, kivéve a biztonsági mentések eltávolítását és a biztonsági mentési szabályzatok kezelését. Ez a szerepkör ugyanaz, mint a Biztonsági mentési közreműködő, kivéve, ha nem hajthat végre romboló műveleteket, például nem állíthat le biztonsági mentést törlési adatokkal, vagy nem távolíthatja el a helyszíni erőforrások regisztrációját.

  • Biztonságimásolat-olvasó – Ez a szerepkör jogosult az összes biztonsági mentéskezelési művelet megtekintésére. Ez a szerepkör a figyeléshez használható.

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft-támogatáshoz

Útmutató: A biztonsági mentés nem támogatja az Ügyfélszéfet. A Microsoft más módszerekkel is együttműködik az ügyfelekkel az ügyféladatokhoz való hozzáférés jóváhagyásához.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Azure Backup nem rendelkezik a biztonsági mentési adatok besorolására vonatkozó képességekkel. Az adatokat saját maga rendszerezheti különböző tárolók használatával, és címkéket csatolhat ezekhez a tárolókhoz a tartalmuknak megfelelően.

Felelősség: Ügyfél

DP-2: A bizalmas adatok védelme

Útmutató: A bizalmas adatok védelme érdekében korlátozza a biztonsági mentési erőforrásokhoz való hozzáférést a következő használatával:

  • Azure RBAC-vel

  • Hálózatalapú hozzáférés-vezérlés

  • Konkrét vezérlők, például titkosítás az Azure-szolgáltatásokban

Az Azure IaaS virtuális gépek biztonsági mentésekor a Azure Backup független és elkülönített biztonsági másolatokat biztosít az eredeti adatok véletlen megsemmisülése elleni védelem érdekében. A biztonsági másolatok tárolása egy beépített helyreállításipont-kezeléssel rendelkező Helyreállítási tárban történik.

A konzisztencia érdekében minden hozzáférés-vezérlési típust a vállalati szegmentálási stratégiához kell igazítania. Tájékoztassa vállalati szegmentálási stratégiáját a bizalmas vagy üzletileg kritikus fontosságú adatok és rendszerek helye alapján.

A Microsoft bizalmasként kezeli az alapul szolgáló Microsoft által felügyelt platformon található összes ügyféltartalmat. A Microsoft védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. A Microsoft alapértelmezett adatvédelmi vezérlőkkel és képességekkel rendelkezik annak biztosítására, hogy az Azure-ügyféladatok biztonságban legyenek,

Felelősség: Ügyfél

DP-3: Bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: A biztonsági mentés támogatja az ügyféladatok átvitelét, de natív módon nem támogatja a bizalmas adatok jogosulatlan átvitelének figyelését. A tárolóból végrehajtott visszaállítási műveletekhez azonban riasztási szabályokat írhat a tevékenység- és erőforrásnaplókhoz.

Felelősség: Ügyfél

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A kiszolgálókról a Recovery Services-tárolóba irányuló forgalom biztonsági mentése biztonságos HTTPS-kapcsolaton keresztül történik. A tárolóban tárolt adatok az Advanced Encryption Standard (AES) 256 használatával titkosítva lesznek.

A biztonsági mentés támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során. Ez a követelmény nem kötelező a magánhálózatokon történő forgalom esetén, de a külső és nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek használhatják a TLS 1.2-s vagy újabb verziót.

Tiltsa le a gyenge titkosításokat, valamint az elavult SSL-, TLS- és SSH-verziókat és -protokollokat.

Az Azure alapértelmezés szerint titkosítja az Azure-adatközpontok közötti adatátvitel során használt adatokat.

Felelősség: Ügyfél

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A biztonsági mentés támogatja az inaktív adatok titkosítását. Helyszíni biztonsági mentés esetén az inaktív adatok titkosítása az Azure-ba történő biztonsági mentéskor megadott jelszót használja. A felhőbeli számítási feladatok esetében az inaktív adatok alapértelmezés szerint titkosítva vannak a Storage Service Encryption (SSE) és a Microsoft által felügyelt kulcsok használatával. A Biztonsági mentés az ügyfél által kezelt kulcsok számára is kínál lehetőségeket a jogszabályi követelményeknek való megfeleléshez.

Ha a MARS-ügynökkel készít biztonsági másolatot, vagy ügyfél által felügyelt kulccsal titkosított Recovery Services-tárolót használ, csak az ügyfél férhet hozzá a titkosítási kulcshoz. A Microsoft nem tart fenn másolatot, és nem rendelkezik hozzáféréssel a kulcshoz. Ha a kulcs téves helyű, a Microsoft nem tudja helyreállítani a biztonsági mentési adatokat.

Felelősség: Megosztott

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Győződjön meg arról, hogy a biztonsági csapat átlátta az eszközök kockázatait

Útmutató: Győződjön meg arról, hogy biztonsági mentési olvasói és olvasói engedélyeket ad a biztonsági csapatoknak az Azure-bérlőben és -előfizetésekben, hogy áttekinthetik a biztonsági mentés konfigurációit és adatait a biztonsági kockázatok szempontjából.

A biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat felelőssége lehet attól függően, hogy hogyan strukturálja a felelősségeket. A biztonsági megállapításokat és kockázatokat mindig központilag összesítheti egy szervezeten belül.

Felelősség: Ügyfél

AM-2: Győződjön meg arról, hogy a biztonsági csapat hozzáfér az eszközleltárhoz és a metaadatokhoz

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például a Backuphoz. A biztonsági csapatoknak gyakran van szükségük erre a leltárra, hogy kiértékeljék a szervezet potenciális kitettségét a felmerülő kockázatoknak, és hogy ez a folyamatos biztonsági fejlesztések bemenete legyen. Hozzon létre egy Azure AD csoportot, amely a szervezet engedélyezett biztonsági csapatát tartalmazza. és olvasási hozzáférést rendel hozzá az összes biztonsági mentési erőforráshoz. Az előfizetésben egyetlen magas szintű szerepkör-hozzárendeléssel egyszerűsítheti a folyamatot.

Címkéket alkalmazhat az Azure-erőforrásokra, -erőforráscsoportokra és -előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név- és értékpárból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A biztonsági mentés támogatja a konfigurációk Azure Policy használatával történő monitorozását és kikényszerítését. Rendeljen hozzá Azure Policy beépített definíciókat, amelyekkel naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetéseken belüli erőforrásokat. Az Azure Monitor használatával olyan szabályokat is létrehozhat, amelyek riasztásokat aktiválnak, ha nem jóváhagyott szolgáltatást észlelnek.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: A Microsoft Defender for Cloud beépített fenyegetésészlelési funkciójának használata. Engedélyezze a Microsoft Defendert a DDoS Protection Standard-erőforrásokhoz. A Microsoft Defender további biztonságiintelligencia-réteget biztosít. A Microsoft Defender észleli a DDoS Protection-erőforrások elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket.

Azure Backup tevékenység- és erőforrásnaplókat hoz létre, amelyekkel naplózhatja a biztonsági mentési erőforrásokon végzett műveleteket, és észlelheti a fenyegetéseket. Továbbítsa a biztonsági mentési naplókat a biztonsági információ- és eseménykezelő (SIEM) rendszerbe. A SIEM használatával egyéni fenyegetésészleléseket állíthat be.

Ügyeljen arra, hogy az Azure-objektumok különböző típusait figyelje a lehetséges fenyegetések és anomáliák szempontjából. Összpontosítson a kiváló minőségű riasztásokra, hogy csökkentse az elemzők által rendezett téves riasztásokat. Riasztásokat naplóadatokból, ügynökökből vagy más adatokból is származtathat.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A tevékenységnaplók automatikusan elérhetők. A naplók tartalmazzák az összes PUT, POST és DELETE műveletet, de a GET nem. A tevékenységnaplók segítségével megkeresheti a hibaelhárítás során felmerülő hibákat, vagy figyelheti, hogy a felhasználók hogyan módosították az erőforrásokat.

Engedélyezze az Azure-erőforrásnaplókat a biztonsági mentéshez. A Microsoft Defender for Cloud és a Azure Policy segítségével engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a törvényszéki gyakorlatok elvégzéséhez.

Felelősség: Megosztott

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A naplózási tárolás és az elemzés központosítása a biztonsági mentési naplóadatok korrelációjának lehetővé tétele érdekében. Minden naplóforráshoz jegyezze fel a következőt:

  • A hozzárendelt adattulajdonos
  • Hozzáférési útmutató
  • Tárolási hely
  • Az adatok feldolgozására és elérésére vonatkozó eszközök
  • Adatmegőrzési követelmények

Mindenképpen integrálja az Azure-tevékenységnaplókat a központi naplózásba. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitorban a Log Analytics-munkaterületek használatával kérdezhet le és hajthat végre elemzéseket. Azure Storage-fiókok használata hosszú távú és archivált tároláshoz.

Adatok engedélyezése és előkészítése a Microsoft Sentinel vagy egy külső SIEM számára. A Microsoft Sentinelt használhatja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage pedig a ritkábban használt "ritka" adatokhoz.

Felelősség: Megosztott

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Azure Storage- vagy Log Analytics-munkaterületfiókok használata hosszú távú és archivált tároláshoz. A biztonsági mentési naplókat tároló tárfiókok vagy Log Analytics-munkaterületek esetében állítson be egy olyan naplómegőrzési időszakot, amely megfelel a szervezet megfelelőségi előírásainak.

Felelősség: Megosztott

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: A biztonsági mentés nem támogatja a saját időszinkronizálási források konfigurálását. A biztonsági mentés olyan Microsoft-időszinkronizálási forrásokra támaszkodik, amelyek nem lesznek elérhetők az ügyfelek számára a konfigurációhoz.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: A Recovery Services-tároló biztonságos konfigurációinak monitorozása és kényszerítése beépített és egyéni Azure Policy definíciók hozzárendelésével. Ha a beépített szabályzatok nem felelnek meg a követelményeknek, a "Microsoft.RecoveryServices" névtérben Azure Policy aliasok használatával hozhat létre egyéni szabályzatokat.

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Útmutató: A biztonsági mentési konfigurációk figyelése és kényszerítése Azure Policy használatával, például:

  • A tárolók beállításai

  • Titkosítás az ügyfelek által felügyelt kulcsokkal

  • Privát végpontok használata a tárolókhoz

  • Diagnosztikai beállítások üzembe helyezése

A Azure Policy [deny] és a [deploy if not exist] használatával biztonságos konfigurációt kényszeríthet ki Azure Backup erőforrások között.

Felelősség: Ügyfél

PV-6: Szoftveres biztonsági rések felmérése

Útmutató: A biztonsági mentés nem helyez üzembe olyan ügyféloldali számítási erőforrásokat, amelyek támogatják a sebezhetőségi felmérési eszközöket. A Microsoft kezeli a biztonsági mentést támogató mögöttes platform biztonsági réseit és felméréseit.

Felelősség: Microsoft

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: A biztonsági mentés nem helyez üzembe olyan ügyféloldali számítási erőforrásokat, amelyek támogatják a sebezhetőségi felmérési eszközöket. A Microsoft kezeli a biztonsági mentést támogató mögöttes platform biztonsági réseit és felméréseit.

Felelősség: Microsoft

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség szerint végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon, és gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

Kövesse a Microsoft cloud behatolástesztelési szabályainak előjegyzési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. Használja a Microsoft Red Teaming stratégiáját és végrehajtását. Végezze el az élő webhely behatolási tesztelését a Microsoft által felügyelt felhőinfrastruktúrán, -szolgáltatásokon és -alkalmazásokon.

Felelősség: Ügyfél

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-2: Biztonsági mentési adatok titkosítása

Útmutató: A biztonsági mentés támogatja az inaktív állapotban lévő biztonsági mentési adatok titkosítását, amelyet felügyel. A felhőbeli számítási feladatok alapértelmezés szerint titkosítják az inaktív adatokat a Storage Service Encryption (SSE) és a Microsoft által felügyelt kulcsok használatával. Azure Backup lehetőséget biztosít az ügyfél által felügyelt kulcsok számára a szabályozási követelményeknek való megfeleléshez.

Felelősség: Megosztott

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.RecoveryServices:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Azure Backup engedélyezni kell Virtual Machines Az Azure Virtual Machines védelmének biztosítása a Azure Backup engedélyezésével. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Letiltva 2.0.0

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Győződjön meg arról, hogy rendelkezik olyan mértékekkel, amelyek megakadályozzák és helyreállítják a biztonsági mentési titkosítási kulcsok elvesztését. A kulcsok véletlen vagy rosszindulatú törlés elleni védelméhez engedélyezze a helyreállítható törlést és a végleges törlés elleni védelmet az Azure Key Vault.

Felelősség: Megosztott

Következő lépések