Az Azure biztonsági alapkonfigurációja Microsoft Defender for Cloud Apps

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza Microsoft Defender for Cloud Apps. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Microsoft Defender for Cloud Apps vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Microsoft Defender for Cloud Apps nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást szó szerint ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy Microsoft Defender for Cloud Apps hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Microsoft Defender for Cloud Apps biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a hálózati biztonsági csoportokon vagy a Microsoft Defender for Cloud Apps-erőforrásokhoz konfigurált Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. A szolgáltatáscímke nevének (például "MicrosoftCloudAppSecurity") egy szabály megfelelő forrás- vagy célmezőjében való megadásával engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Microsoft Defender for Cloud Apps az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell Azure AD:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.
  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

Az Azure AD biztonságának kiemelten fontosnak kell lennie a vállalat felhőbiztonsági gyakorlatában. Az Azure AD egy identitásbiztonsági pontszámmal segít felmérni az identitásbiztonsági helyzetet a Microsoft ajánlott eljárásaihoz viszonyítva. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Megjegyzés: Azure AD támogatja a külső identitást, amely lehetővé teszi, hogy a Microsoft-fiókkal nem rendelkező felhasználók a külső identitásukkal jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Microsoft Defender for Cloud Apps az Azure Active Directory (Azure AD) használatával biztosít identitás- és hozzáférés-kezelést az Azure-erőforrásokhoz, felhőalkalmazásokhoz és helyszíni alkalmazásokhoz. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók. Ez lehetővé teszi a vállalati adatok és erőforrások egyszeri bejelentkezéssel (SSO) megvalósított kezelését és védelmét a helyszínen és a felhőben. Csatlakoztassa az összes felhasználót, alkalmazást és eszközt a Azure AD a zökkenőmentes, biztonságos hozzáférés, valamint a nagyobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: Microsoft Defender for Cloud Apps a következő kiemelt jogosultságú fiókokkal rendelkezik:

  • globális rendszergazda és biztonsági rendszergazda: A teljes hozzáféréssel rendelkező rendszergazdák teljes körű engedélyekkel rendelkeznek Microsoft Defender for Cloud Apps. Hozzáadhatnak rendszergazdákat, házirendeket és beállításokat adhatnak hozzá, naplókat tölthetnek fel, és irányítási műveleteket hajthatnak végre.

  • Megfelelőségi rendszergazda: Írásvédett engedélyekkel rendelkezik, és kezelheti a riasztásokat. A felhőplatformokra vonatkozó biztonsági javaslatok nem érhetők el. Fájlszabályzatokat hozhat létre és módosíthat, fájlszabályozási műveleteket engedélyezhet, és megtekintheti az összes beépített jelentést a adatkezelés alatt.

  • Megfelelőségi adatok rendszergazdája: Írásvédett engedélyekkel rendelkezik, fájlszabályzatokat hozhat létre és módosíthat, fájlszabályozási műveleteket engedélyezhet, és megtekintheti az összes felderítési jelentést. A felhőplatformokra vonatkozó biztonsági javaslatok nem érhetők el.

  • Biztonsági operátor: Írásvédett engedélyekkel rendelkezik, és kezelheti a riasztásokat.

  • Biztonsági olvasó: csak olvasási jogosultsága van, és riasztásokat kezelhet. A Biztonsági olvasó nem végezheti el a következő műveleteket:

  • Új szabályzatok létrehozása és létező szabályzatok szerkesztése vagy módosítása

  • Bármilyen irányítási művelet elvégzése

  • Felderítési naplók feltöltése

  • Harmadik féltől származó alkalmazások tiltása vagy jóváhagyása

  • Az IP-címtartományok beállítási oldalának elérése és megtekintése

  • A rendszerbeállítások lapjainak elérése és megtekintése

  • A felderítési beállítások elérése és megtekintése

  • Az Alkalmazás-összekötők lap elérése és megtekintése

  • Az Irányítási napló elérése és megtekintése

  • A Pillanatkép-jelentések kezelése oldal elérése és megtekintése

  • A SIEM-ügynök elérése és szerkesztése

  • Globális olvasó: Teljes körű olvasási hozzáféréssel rendelkezik a Microsoft Defender for Cloud Apps minden aspektusához. A beállítások nem módosíthatók, és nem hajthatók végre műveletek.

Korlátozza a kiemelt jogosultságú fiókok vagy szerepkörök számát, és emelt szintű védelmet biztosítson ezeknek a fiókoknak, mivel az ilyen jogosultsággal rendelkező felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az Azure-környezet összes erőforrását.

Az Azure-erőforrásokhoz és az Azure Active Directoryhoz (Azure AD) való igény szerinti (JIT) emelt szintű hozzáférést Azure AD Privileged Identity Management (PIM) használatával engedélyezheti. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Microsoft Defender for Cloud Apps Azure Active Directory- (Azure AD-) fiókokat használ az erőforrások kezeléséhez, a felhasználói fiókok és a hozzáférési hozzárendelések rendszeres áttekintéséhez, hogy a fiókok és a hozzáférésük érvényes legyen. A Azure AD hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A Azure AD Privileged Identity Management használatával hozzáférési felülvizsgálati jelentés munkafolyamatot is létrehozhat a felülvizsgálati folyamat megkönnyítése érdekében.

Emellett az Azure Privileged Identity Management konfigurálható úgy is, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre, és azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Megjegyzés: Egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem a Azure AD kezel. Ezeket a felhasználókat külön kell kezelnie.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Microsoft Defender for Cloud Apps integrálva van az Azure szerepköralapú hozzáférés-vezérlésével (RBAC) az erőforrásainak kezeléséhez. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Ezeket a szerepköröket felhasználókhoz, csoportok szolgáltatásneveihez és felügyelt identitásaihoz rendelheti hozzá. Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak, és ezek a szerepkörök leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal. Az erőforrásokhoz az Azure RBAC-n keresztül hozzárendelt jogosultságokat mindig arra kell korlátozni, amit a szerepkörök megkövetelnek. Ez kiegészíti az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

A beépített szerepkörök használatával lefoglalhat engedélyeket, és csak szükség esetén hozhat létre egyéni szerepköröket.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Microsoft Defender for Cloud Apps kezeli a bizalmas adatokat; minden adatfolyamra kiterjed a Microsoft adatvédelmi áttekintése és az SDL folyamata. Az ügyfelek nem tudják szabályozni az adatokat,

Felelősség: Microsoft

DP-2: A bizalmas adatok védelme

Útmutató: Microsoft Defender for Cloud Apps bizalmas adatokat kezel, és Azure Active Directory-szerepkörök (Azure AD) használatával szabályozza a különböző típusú adatok engedélyeit.

Felelősség: Ügyfél

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: Microsoft Defender for Cloud Apps támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során.

Bár ez nem kötelező a privát hálózatok forgalmához, ez kritikus fontosságú a külső és a nyilvános hálózatok forgalmához. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek egyeztethetik a TLS 1.2-s vagy újabb verziójának egyeztetését. Távoli felügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) a titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-, TLS- és SSH-verziókat és protokollokat, valamint a gyenge titkosításokat.

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Felelősség: Megosztott

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: Microsoft Defender for Cloud Apps titkosítja az inaktív adatokat a "sávon kívüli" támadások (például a mögöttes tároló elérése) elleni védelem érdekében titkosítással. Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Felelősség: Microsoft

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségeinek struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: A Microsoft Defender for Cloud Apps naplóinak továbbítása a SIEM-be, amelyek egyéni fenyegetésészlelések beállítására használhatók. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a lehetséges fenyegetések és anomáliák szempontjából. Koncentráljon arra, hogy kiváló minőségű riasztásokat kapjon, hogy csökkentse az elemzők által a rendezéshez szükséges téves riasztásokat. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: Nem alkalmazható; Microsoft Defender for Cloud Apps nem támogatja a saját időszinkronizálási források konfigurálását. A Microsoft Defender for Cloud Apps szolgáltatás a Microsoft időszinkronizálási forrásaira támaszkodik, és nem érhető el az ügyfelek számára konfigurációs célokra.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-6: Szoftveres biztonsági rések felmérése

Útmutató: A Microsoft biztonságirés-kezelést végez a Microsoft Defender for Cloud Apps támogató mögöttes rendszereken.

Felelősség: Microsoft

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések