Az Azure biztonsági alapkonfigurációja az Azure Cloud Services

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza a Microsoft Azure Cloud Services. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a Cloud Services vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Cloud Services nem alkalmazható vezérlők, illetve amelyekért a Microsoft a felelős, ki lettek zárva. Annak megtekintéséhez, hogy az Azure Cloud Services hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Cloud Services biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Útmutató: Hozzon létre egy klasszikus Azure-Virtual Network különálló nyilvános és privát alhálózatokkal, hogy megbízható portok és IP-tartományok alapján kényszerítse ki az elkülönítést. Ezeknek a virtuális hálózatoknak és alhálózatoknak a klasszikus Virtual Network (klasszikus üzembe helyezés) alapú erőforrásoknak kell lenniük, nem pedig a jelenlegi Azure Resource Manager-erőforrásoknak.

Forgalom engedélyezése vagy megtagadása egy hálózati biztonsági csoport használatával, amely a forgalomirány, a protokoll, a forráscím és a port, valamint a célcím és port alapján tartalmaz hozzáférés-vezérlési szabályokat. A hálózati biztonsági csoportok szabályai bármikor módosíthatók, és a módosítások az összes társított példányra érvényesek lesznek.

Microsoft Azure Cloud Services (klasszikus) nem helyezhető el az Azure Resource Manager virtuális hálózatokban. A Resource Manager-alapú virtuális hálózatok és a klasszikus üzembe helyezésen alapuló virtuális hálózatok azonban társviszony-létesítéssel csatlakoztathatók.

Felelősség: Ügyfél

1.2: Virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: Dokumentálja az Azure Cloud Services konfigurációját, és figyelje a módosításokat. A szolgáltatás konfigurációs fájljával megadhatja a szolgáltatásban lévő szerepkörpéldányok számát, a konfigurációs beállítások értékeit és a szerepkörhöz társított tanúsítványok ujjlenyomatait.

Ha a szolgáltatás egy virtuális hálózat része, a hálózat konfigurációs adatait a szolgáltatás konfigurációs fájljában és a virtuális hálózat konfigurációs fájljában kell megadni. A szolgáltatáskonfigurációs fájl alapértelmezett kiterjesztése a .cscfg. Vegye figyelembe, hogy a Azure Policy nem támogatott a klasszikus központi telepítések esetében a konfigurációk kikényszerítése érdekében.

Állítsa be egy felhőszolgáltatás konfigurációs értékeit a szolgáltatáskonfigurációs fájlban (.cscfg) és a definíciót egy szolgáltatásdefiníciós (.csdef) fájlban. A szolgáltatásdefiníciós fájllal definiálhatja egy alkalmazás szolgáltatásmodellét. Definiálja a felhőszolgáltatás számára elérhető szerepköröket, és adja meg a szolgáltatásvégpontokat is. Az Azure Cloud Services konfigurációjának naplózása szolgáltatáskonfigurációs fájllal. Az újrakonfigurálás a ServiceConfig.cscfg fájlon keresztül végezhető el.

Figyelje az opcionális NetworkTrafficRules elemszolgáltatás definícióját, amely korlátozza, hogy mely szerepkörök kommunikálhatnak a megadott belső végpontokkal. Konfigurálja a NetworkTrafficRules csomópontot, amely a szolgáltatásdefiníciós fájl nem kötelező eleme, és adja meg, hogy a szerepkörök hogyan kommunikáljanak egymással. Korlátozza, hogy mely szerepkörök férhetnek hozzá az adott szerepkör belső végpontjaihoz. Vegye figyelembe, hogy a szolgáltatásdefiníció nem módosítható.

Engedélyezze a hálózati biztonsági csoport folyamatnaplóit, és küldje el a naplókat egy Azure Storage-fiókba naplózás céljából. Küldje el a forgalmi naplókat egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyújt az Azure-bérlő forgalmi mintáiba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat és a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.

Felelősség: Ügyfél

1.3: Kritikus fontosságú webalkalmazások védelme

Útmutató: A Microsoft a Transport Layer Security (TLS) 1.2-es protokollt használja az adatok védelmére az Azure Cloud Services és az ügyfelek közötti utazás során. A Microsoft adatközpontjai TLS-kapcsolatot egyeztetnek az Azure-szolgáltatásokhoz csatlakozó ügyfélrendszerekkel. A TLS erős hitelesítést, üzenetvédelmet és integritást biztosít (lehetővé teszi az üzenetek illetéktelen módosításának, elfogásának és hamisításának észlelését), az együttműködési képességet, az algoritmus rugalmasságát, valamint az üzembe helyezés és használat egyszerűségét.

Felelősség: Ügyfél

1.4: Az ismert rosszindulatú IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Az Azure Cloud többrétegű hálózati biztonságot valósít meg, hogy megvédje platformszolgáltatásait az elosztott szolgáltatásmegtagadásos (DDoS)-támadásokkal szemben. Az Azure DDoS Protection az Azure Cloud folyamatos monitorozási folyamatának része, amelyet a behatolástesztelés folyamatosan fejleszt. Ezt a DDoS Protectiont úgy tervezték, hogy ne csak kívülről, hanem más Azure-bérlőkről érkező támadásokat is ellenálljon.

Az Azure Cloud Services platformszintű védelme mellett a kommunikációt többféleképpen is blokkolhatja vagy tilthatja le. Ezek a következők:

  • Indítási feladat létrehozása bizonyos IP-címek szelektív letiltásához
  • Azure-beli webes szerepkörök hozzáférésének korlátozása megadott IP-címekre az IIS-web.config fájl módosításával

Tiltsa le a bejövő forgalmat az Cloud Services alapértelmezett URL-címére vagy nevére, például .cloudapp.net. Állítsa be a gazdagép fejlécét egy egyéni DNS-névre a Cloud Services definíciós (.csdef) fájl helykötési konfigurációja alatt.

Megtagadási alkalmazás szabály konfigurálása klasszikus előfizetés-rendszergazdai hozzárendelésekhez. Alapértelmezés szerint a belső végpont definiálása után a kommunikáció bármilyen szerepkörből átfolyhat a szerepkör belső végpontjára korlátozás nélkül. A kommunikáció korlátozásához hozzá kell adnia egy NetworkTrafficRules elemet a szolgáltatásdefiníciós fájl ServiceDefinition eleméhez.

Felelősség: Ügyfél

1.5: Hálózati csomagok rögzítése

Útmutató: Az Azure-hálózatok monitorozását lehetővé tevő Azure Network Watcher, hálózati teljesítményfigyelési, diagnosztikai és elemzési szolgáltatás használata. Az Network Watcher Agent virtuálisgép-bővítmény követelmény a hálózati forgalom igény szerinti rögzítéséhez, valamint az Azure Virtual Machines egyéb speciális funkcióihoz. Telepítse a Network Watcher Agent virtuálisgép-bővítményt, és kapcsolja be a hálózati biztonsági csoport folyamatnaplóit.

Folyamatnaplózás konfigurálása hálózati biztonsági csoporton. Tekintse át a Network Watcher virtuálisgép-bővítmény klasszikus üzemi modellel üzembe helyezett meglévő virtuális gépen való üzembe helyezésének részleteit.

Felelősség: Ügyfél

1.6: Hálózatalapú behatolásészlelési/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése

Útmutató: Az Azure Cloud Services nem rendelkezik beépített IDS- vagy IPS-képességgel. Az ügyfelek kiválaszthatják és üzembe helyezhetik a Azure Marketplace egy kiegészítő hálózatalapú IDS- vagy IPS-megoldást a szervezeti követelmények alapján. Külső megoldások használatakor alaposan tesztelje a kiválasztott IDS- vagy IPS-megoldást az Azure Cloud Services a megfelelő működés és működés biztosítása érdekében.

Felelősség: Ügyfél

1.7: Webalkalmazások forgalmának kezelése

Útmutató: Az Azure Cloud Services-hez csatolt szolgáltatástanúsítványok lehetővé teszik a szolgáltatással való biztonságos kommunikációt. Ezek a tanúsítványok a szolgáltatások definíciójában vannak definiálva, és automatikusan üzembe lesznek helyezve a webes szerepkör egy példányát futtató virtuális gépen. Webes szerepkör esetén például használhat egy szolgáltatástanúsítványt, amely hitelesíthet egy közzétett HTTPS-végpontot.

A tanúsítvány frissítéséhez csak fel kell töltenie egy új tanúsítványt, és módosítania kell az ujjlenyomat értékét a szolgáltatás konfigurációs fájljában.

Használja a TLS 1.2 protokollt, az adatok védelmének leggyakrabban használt módszerét a titkosság és az integritás védelmének biztosításához.

A webalkalmazások védelme és az olyan támadások elleni védelem érdekében, mint az OWASP Top 10, általában üzembe helyezhet egy Azure Web Application Firewall-kompatibilis Azure Application Gateway a webalkalmazások védelméhez.

Felelősség: Ügyfél

1.9: A hálózati eszközök szabványos biztonsági konfigurációinak karbantartása

Útmutató: Megerősítheti az Azure Cloud Services konfigurációját, és figyelheti a módosításokat. A szolgáltatáskonfigurációs fájl megadja a szolgáltatás egyes szerepköreihez üzembe helyezendő szerepkörpéldányok számát, a konfigurációs beállítások értékeit és a szerepkörhöz társított tanúsítványok ujjlenyomatait.

Ha a szolgáltatás egy virtuális hálózat része, a hálózat konfigurációs adatait a szolgáltatás konfigurációs fájljában és a virtuális hálózat konfigurációs fájljában kell megadni. A szolgáltatáskonfigurációs fájl alapértelmezett kiterjesztése a .cscfg.

Vegye figyelembe, hogy Azure Policy az Azure Cloud Services nem támogatja a konfigurációk kikényszerítéséhez.

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Az Azure-beli hálózati biztonsági csoportok segítségével szűrhetők az Azure-erőforrásokba érkező és onnan érkező hálózati forgalom egy Azure-Virtual Network. A hálózati biztonsági csoportok olyan biztonsági szabályokat tartalmaznak, amelyek különböző típusú Azure-erőforrások bejövő hálózati forgalmát engedélyezik vagy tiltják le. Az egyes szabályokhoz meghatározhatja a forrást és a célt, valamint a használni kívánt portot és protokollt.

Az Azure-Cloud Services egyes hálózati biztonsági csoportokra vonatkozó szabályaihoz használja a "Leírás" mezőt a szabályok dokumentálásához, amelyek engedélyezik a hálózatra irányuló vagy onnan érkező forgalmat.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak monitorozásához és a változások észleléséhez

Útmutató: Használja az Azure Traffic Manager beépített végpontfigyelési és automatikus végpont-feladatátvételi funkcióit. Segítenek magas rendelkezésre állású alkalmazások biztosításában, amelyek ellenállnak a végpontok és az Azure-régió hibáinak. A végpontfigyelés konfigurálásához meg kell adnia bizonyos beállításokat a Traffic Manager-profilon.

Elemzéseket gyűjthet a tevékenységnaplóból, egy Azure-beli platformnaplóból az előfizetési szintű eseményekbe. Olyan információkat tartalmaz, mint például egy erőforrás módosítása vagy egy virtuális gép elindítása. Tekintse meg a tevékenységnaplót a Azure Portal, vagy kérjen le bejegyzéseket a PowerShell és a parancssori felület használatával.

Hozzon létre egy diagnosztikai beállítást, amely elküldi a tevékenységnaplót az Azure Monitornak, Azure Event Hubs az Azure-on kívülre vagy az Azure Storage-ba archiválás céljából. Az Azure Monitor konfigurálása értesítési riasztásokhoz, ha az Azure-Cloud Services kritikus fontosságú erőforrásai módosulnak.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.1: Jóváhagyott időszinkronizálási források használata

Útmutató: A Microsoft időforrásokat tart fenn az Azure-erőforrásokhoz az Azure Cloud Services számára. Előfordulhat, hogy az ügyfeleknek létre kell hozniuk egy hálózati szabályt a környezetükben használt időkiszolgálóhoz való hozzáférés engedélyezéséhez az UDP protokollt használó 123-as porton keresztül.

Felelősség: Megosztott

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: A felhőszolgáltatás streamelési adatainak felhasználása programozott módon Azure Event Hubs. Integrálhatja és elküldheti ezeket az adatokat a Microsoft Sentinelnek a naplók monitorozásához és áttekintéséhez, vagy használhat külső SIEM-et. A központi biztonsági naplók kezeléséhez konfigurálja a választott Microsoft Defender for Cloud-adatok folyamatos exportálását a Azure Event Hubs és állítsa be a megfelelő összekötőt az SIEM-hez. Íme néhány lehetőség a Microsoft Sentinelhez, beleértve a külső eszközöket is:

  • Microsoft Sentinel – A natív Microsoft Defender for Cloud-riasztások adatösszekötőjének használata
  • Splunk – Az Azure Monitor bővítmény használata a Splunkhoz
  • IBM QRadar – Manuálisan konfigurált naplóforrás használata
  • ArcSight – SmartConnector használata

A Microsoft Sentinellel elérhető összekötőkkel kapcsolatos további részletekért tekintse át a Microsoft Sentinel dokumentációját.

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Konfigurálja a Visual Studiót úgy, hogy Azure Diagnostics állítson be az Azure-Cloud Services hibaelhárításához, amely rögzíti a rendszer- és naplózási adatokat a virtuális gépeken, beleértve az Azure-Cloud Services futtató virtuálisgép-példányokat is. A diagnosztikai adatokat a rendszer egy ön által választott tárfiókba továbbítja. Az Üzembe helyezés előtt kapcsolja be a diagnosztikát az Azure-Cloud Services-projektekben.

Tekintse meg az Azure Monitor tevékenységnaplójában szereplő egyes események változási előzményeit. Az esemény időszakában történt változások naplózása. Válasszon egy eseményt a tevékenységnaplóból a Változáselőzmények (előzetes verzió) lap részletesebb vizsgálatához. Küldje el a diagnosztikai adatokat az Application Insightsnak, amikor közzétesz egy Azure-Cloud Services a Visual Studióból. Akkor hozza létre az Application Insights Azure-erőforrást, vagy küldje el az adatokat egy meglévő Azure-erőforrásnak.

Az Azure Cloud Services az Application Insights monitorozza a rendelkezésre állást, a teljesítményt, a hibákat és a használatot. Az Application Insightshoz egyéni diagramok is hozzáadhatók, így a legfontosabb adatokat láthatja. A szerepkörpéldányok adatai az Application Insights SDK-val gyűjthetők az Azure Cloud Services-projektben.

Felelősség: Ügyfél

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Az Azure Cloud Services fejlett monitorozását használhatja, amely lehetővé teszi további metrikák mintavételét és gyűjtését 5 perces, 1 órás és 12 órás időközönként. Az összesített adatokat a rendszer tárfiókban, táblákban tárolja, és 10 nap elteltével törli. A használt tárfiókot azonban szerepkörök konfigurálják, és különböző tárfiókokat használhat a különböző szerepkörökhöz. Ez egy kapcsolati sztring van konfigurálva a .csdef és a .cscfg fájlokban.

Vegye figyelembe, hogy a speciális figyelés magában foglalja a Azure Diagnostics bővítmény használatát (az Application Insights SDK nem kötelező) a figyelni kívánt szerepkörön. A diagnosztikai bővítmény egy diagnostics.wadcfgx nevű konfigurációs fájlt (szerepkörenként) használ a figyelt diagnosztikai metrikák konfigurálásához. Az Azure Diagnostic bővítmény adatokat gyűjt és tárol egy Azure Storage-fiókban. Ezek a beállítások a .wadcfgx, .csdef és .cscfg fájlokban vannak konfigurálva.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: Alapszintű vagy speciális monitorozási módok érhetők el az Azure Cloud Services. Az Azure Cloud Services automatikusan gyűjti az alapszintű monitorozási adatokat (cpu-százalék, hálózati be- és kimenő hálózat, valamint a lemez olvasása/írása) a gazdagép virtuális gépéről. Az összegyűjtött monitorozási adatok megtekintése egy felhőszolgáltatás áttekintési és metrikaoldalain a Azure Portal.

Az Azure Diagnostics bővítmény használata során engedélyezheti a diagnosztikát az Azure Cloud Services diagnosztikai adatok, például alkalmazásnaplók, teljesítményszámlálók stb. gyűjtéséhez. A diagnosztikai konfiguráció engedélyezése vagy frissítése olyan felhőszolgáltatáson, amely már fut Set-AzureServiceDiagnosticsExtension parancsmaggal, vagy automatikusan üzembe helyez egy diagnosztikai bővítménnyel rendelkező felhőszolgáltatást. Igény szerint telepítse az Application Insights SDK-t. Teljesítményszámlálók küldése az Azure Monitorba.

Az Azure Diagnostic bővítmény adatokat gyűjt és tárol egy Azure Storage-fiókban. Diagnosztikai adatok átvitele a Microsoft Azure Storage Emulatorba vagy az Azure Storage-ba, mivel azokat nem tárolja véglegesen. Miután a tárolóba kerül, számos elérhető eszköz egyikével tekinthető meg, például a Server Explorerrel a Visual Studióban, Microsoft Azure Storage Explorer, az Azure Management Studióval. Konfigurálja a diagnosztikai metrikákat úgy, hogy egy diagnostics.wadcfgx nevű konfigurációs fájllal (szerepkörenként) monitorozzák a diagnosztikai bővítményben.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: Az Azure Cloud Services naplóadatait a Microsoft Sentinellel való integrációval vagy egy külső SIEM-sel való integrációval figyelheti, ha engedélyezi a rendellenes tevékenységekre vonatkozó riasztásokat.

Felelősség: Ügyfél

2.8: Kártevőirtó naplózás központosítása

Útmutató: Microsoft Antimalware az Azure-hoz, védi az Azure-Cloud Services és a virtuális gépeket. Emellett külső biztonsági megoldásokat is üzembe helyezhet, például webalkalmazási tűzfalakat, hálózati tűzfalakat, kártevőirtókat, behatolásészlelő és -megelőző rendszereket (IDS vagy IPS) stb.

Felelősség: Ügyfél

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: A Microsoft azt javasolja, hogy az Azure-erőforrásokhoz való hozzáférést azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelje. Az Azure Cloud Services azonban nem támogatja az Azure RBAC-modellt, mivel nem Azure Resource Manager-alapú szolgáltatás, és klasszikus előfizetést kell használnia

Alapértelmezés szerint a fiókadminisztrátor, a szolgáltatásadminisztrátor és a Co-Administrator a három klasszikus előfizetés-rendszergazdai szerepkör az Azure-ban.

A hagyományos előfizetés-rendszergazdák teljes körű hozzáféréssel rendelkeznek az Azure-előfizetéshez. Az Azure Portal, Azure Resource Manager API-k és a klasszikus üzemi modell segítségével végzik az erőforrások felügyeletét. Az Azure-beli regisztrációhoz használt fiók lesz automatikusan a fiókadminisztrátor és a szolgáltatás-rendszergazda. Később további Co-Administrators adhat hozzá.

A szolgáltatásadminisztrátor és a társadminisztrátor ugyanolyan szintű hozzáféréssel rendelkeznek az előfizetés hatókörében, mint a Tulajdonos szerepkörrel (Azure-szerepkör) rendelkező felhasználók. A Co-Administrators kezelése vagy a szolgáltatásadminisztrátor megtekintése a Azure Portal Klasszikus rendszergazdák lapján.

A Klasszikus szolgáltatásadminisztrátor és társadminisztrátorok szerepkör-hozzárendeléseinek listázása a PowerShell-lel a következő paranccsal:

Get-AzRoleAssignment -IncludeClassicAdministrators

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Ajánlott szabványos üzemeltetési eljárásokat létrehozni a dedikált rendszergazdai fiókok használatára vonatkozóan az elérhető szerepkörök és az Azure Cloud Services-erőforrások üzemeltetéséhez és kezeléséhez szükséges engedélyek alapján.

Felelősség: Ügyfél

3.4: Egyszeri bejelentkezés (SSO) használata az Azure Active Directoryval

Útmutató: Kerülje az Azure Cloud Services-on futó alkalmazások különálló identitásainak kezelését. Az egyszeri bejelentkezés implementálása annak elkerülése érdekében, hogy a felhasználóknak több identitást és hitelesítő adatot kelljen kezelniük.

Felelősség: Ügyfél

3.6: Minden felügyeleti feladathoz használjon dedikált gépeket (Privileged Access Workstations)

Útmutató: A rendszergazdai feladatokhoz ajánlott biztonságos, Azure által felügyelt munkaállomást (más néven Privileged Access-munkaállomást) használni, amely emelt szintű jogosultságokat igényel.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.1: Bizalmas információk leltárának karbantartása

Útmutató: Az Azure Cloud Service REST API-kkal leltározhatja az Azure Cloud Service-erőforrásokat bizalmas információkhoz. A konfiguráció és a .pkg-erőforrások lekéréséhez kérje le az üzembe helyezett felhőszolgáltatás erőforrásait.

Az alábbiakban néhány API-t sorolunk fel például:

  • Központi telepítés lekérése – A Központi telepítés lekérése művelet a központi telepítés konfigurációs adatait, állapotát és rendszertulajdonságait adja vissza.
  • Csomag lekérése – A Csomag lekérése művelet lekéri egy felhőszolgáltatás-csomagot egy üzemelő példányhoz, és a csomagfájlokat a Microsoft Azure Blob Storage-ban tárolja
  • Felhőszolgáltatás tulajdonságainak lekérése – A Felhőszolgáltatás tulajdonságainak lekérése művelet lekéri a megadott felhőszolgáltatás tulajdonságait

Tekintse át az Azure Cloud Service REST API-k dokumentációját, és hozzon létre egy folyamatot a bizalmas adatok védelmére a szervezeti követelmények alapján.

Felelősség: Ügyfél

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Útmutató: Elkülönítés megvalósítása különálló előfizetések és felügyeleti csoportok használatával az egyes biztonsági tartományokhoz, például a környezettípushoz és az adatok bizalmassági szintjéhez az Azure Cloud Services esetében.

Az "permissionLevel" értékét az Azure Cloud Service Tanúsítvány elemében is szerkesztheti a szerepkör-folyamatokhoz megadott hozzáférési engedélyek megadásához. Ha azt szeretné, hogy csak emelt szintű folyamatok férhessenek hozzá a titkos kulcshoz, adjon meg emelt szintű engedélyt. A limitedOrElevated engedély lehetővé teszi, hogy minden szerepkörfolyamat hozzáférjen a titkos kulcshoz. A lehetséges értékek limitedOrElevated vagy emelt szintűek. Az alapértelmezett érték limitedOrElevated.

Felelősség: Ügyfél

4.3: Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása

Útmutató: Javasoljuk, hogy Azure Marketplace külső megoldását használja a hálózati szegélyhálózatokon a bizalmas adatok jogosulatlan átvitelének figyelésére, és az ilyen átvitelek blokkolására, miközben riasztást küld az információbiztonsági szakembereknek.

Felelősség: Megosztott

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: A TLS v2 konfigurálása az Azure Cloud Services-hez. A Azure Portal segítségével adja hozzá a tanúsítványt a szakaszos Azure Cloud Services üzemelő példányhoz, és adja hozzá a tanúsítványadatokat a szolgáltatások CSDEF- és CSCFG-fájljaihoz. Csomagolja újra az alkalmazást, és frissítse a szakaszos üzembe helyezést az új csomag használatára.

Az Azure-ban az Azure Cloud Services csatolt szolgáltatástanúsítványokkal biztonságos kommunikációt biztosíthat a szolgáltatással és a szolgáltatásból. Adjon meg egy tanúsítványt, amely képes hitelesíteni egy közzétett HTTPS-végpontot. Definiálja a szolgáltatástanúsítványokat a felhőszolgáltatás szolgáltatásdefiníciójában, és automatikusan üzembe helyezi őket a virtuális gépen, és futtatja a szerepkör egy példányát.

Hitelesítés a felügyeleti API-val felügyeleti tanúsítványokkal) A felügyeleti tanúsítványok lehetővé teszik a klasszikus üzemi modellel való hitelesítést. Számos program és eszköz (például a Visual Studio vagy az Azure SDK) ezeket a tanúsítványokat használja a különböző Azure-szolgáltatások konfigurációjának és üzembe helyezésének automatizálására.

További referenciaként a klasszikus üzemi modell API programozott hozzáférést biztosít a Azure Portal keresztül elérhető klasszikus üzemi modell funkcióihoz. Az Azure SDK for Python azure Cloud Services- és Azure Storage-fiókok kezelésére használható. A Python-hoz készült Azure SDK burkolja a klasszikus üzembehelyezési modell API-t, egy REST API-t. Minden API-műveletet TLS-en keresztül hajtunk végre, és kölcsönösen hitelesítünk X.509 v3-tanúsítványokkal. A felügyeleti szolgáltatás egy Azure-ban futó szolgáltatásból érhető el. Közvetlenül az interneten keresztül is elérhető bármely olyan alkalmazásból, amely KÉPES HTTPS-kérést küldeni és HTTPS-választ fogadni.

Felelősség: Megosztott

4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához

Útmutató: Javasoljuk, hogy egy külső gyártótól származó aktív felderítési eszközt használjon a szervezet technológiai rendszerei által tárolt, feldolgozott vagy továbbított bizalmas információk azonosítására, beleértve a helyszínen vagy egy távoli szolgáltatónál található adatokat is, majd frissítse a szervezet bizalmas adatainak leltárát.

Felelősség: Megosztott

4.7: Gazdagépalapú adatveszteség-megelőzés használata a hozzáférés-vezérlés kényszerítéséhez

Útmutató: Nem alkalmazható a felhőszolgáltatásra (klasszikus). Nem kényszeríti ki az adatveszteség-megelőzést.

Javasoljuk, hogy implementáljon egy harmadik féltől származó eszközt, például egy automatizált gazdagépalapú adatveszteség-megelőzési megoldást, amely akkor is kényszeríti a hozzáférés-vezérlést az adatokon, ha az adatokat kimásolják egy rendszerből.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és nagy léptékű védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az azure-beli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Megosztott

4.8: Bizalmas adatok titkosítása inaktív állapotban

Útmutató: Az Azure Cloud Services nem támogatja az inaktív adatok titkosítását. Ennek az az oka, hogy az Azure Cloud Services állapot nélkülinek lett tervezve. Az Azure Cloud Services támogatja a külső tárolót, például az azure storage-ot, amely alapértelmezés szerint titkosítva van inaktív állapotban.

Az ideiglenes lemezeken tárolt alkalmazásadatok nincsenek titkosítva. Az ügyfél felelőssége, hogy szükség esetén kezelje és titkosítsa ezeket az adatokat.

Felelősség: Ügyfél

4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: Az Azure Monitor klasszikus metrikariasztásaival értesítést kaphat, ha a kritikus erőforrásokra alkalmazott metrikák egyike átlép egy küszöbértéket. A klasszikus metrikariasztások olyan régebbi funkciók, amelyek csak nem dimenziós metrikákon engedélyezik a riasztásokat. Létezik egy meglévő, metrikariasztásoknak nevezett újabb funkció, amely a klasszikus metrikariasztásokkal szemben továbbfejlesztett funkciókkal rendelkezik.

Az Application Insights emellett monitorozni tudja az Azure Cloud Services-alkalmazásokat a rendelkezésre állás, a teljesítmény, a hibák és a használat szempontjából. Ez az Application Insights SDK-k egyesített adatait használja az Azure Cloud Services Azure Diagnostics adataival.

Felelősség: Ügyfél

Biztonságirés-kezelés

További információkért lásd az Azure Biztonsági teljesítményteszt: Sebezhetőségi felügyelet című témakört.

5.2: Automatizált operációsrendszer-javításkezelési megoldás üzembe helyezése

Útmutató: Vegye figyelembe, hogy ezek az információk az Azure Cloud Services szolgáltatásként nyújtott platformmal (PaaS) rendelkező azure-beli vendég operációs rendszerre és webes szerepkörökre vonatkoznak. Ez azonban nem vonatkozik a szolgáltatott infrastruktúrával (IaaS) rendelkező Virtual Machines.

Alapértelmezés szerint az Azure rendszeres időközönként frissíti az ügyfél vendég operációs rendszerét a szolgáltatáskonfigurációban (.cscfg) megadott operációsrendszer-család legújabb támogatott lemezképére, például Windows Server 2016.

Amikor egy ügyfél egy adott operációsrendszer-verziót választ az Azure Cloud Services üzemelő példányához, letiltja az operációs rendszer automatikus frissítéseit, és a saját felelősségét javító javításokat tesz lehetővé. Az ügyfélnek gondoskodnia kell arról, hogy a szerepkörpéldányok frissítéseket kapjanak, vagy hogy az alkalmazás biztonsági réseknek legyen kitéve.

Felelősség: Megosztott

5.3: Automatizált javításkezelési megoldás üzembe helyezése külső szoftvercímekhez

Útmutató: Külső javításkezelési megoldás használata. A környezetben már Configuration Manager használó ügyfelek a System Center Frissítések Publishert is használhatják, így egyéni frissítéseket tehetnek közzé a Windows Server Update Service-ben.

Ez lehetővé teszi, hogy az Update Management kijavítsa azokat a gépeket, amelyek Configuration Manager használják frissítési adattárként harmadik féltől származó szoftverekkel.

Felelősség: Ügyfél

5.5: Kockázatminősítési folyamat használata a felderített biztonsági rések elhárításának rangsorolására

Útmutató: Javasoljuk, hogy az ügyfelek folyamatosan megértsék a DDoS-támadások kockázatának hatókörét.

Javasoljuk, hogy gondolja át ezeket a forgatókönyveket:

  • Milyen új, nyilvánosan elérhető Azure-erőforrásoknak kell védelmet biztosítaniuk?
  • Van egy meghibásodási pont a szolgáltatásban?
  • Hogyan különíthetők el a szolgáltatások a támadások hatásának korlátozása érdekében, miközben továbbra is elérhetővé teszik a szolgáltatásokat az érvényes ügyfelek számára?
  • Vannak olyan virtuális hálózatok, amelyeken engedélyezni kell a DDoS Protection Standardet, de nem?
  • A szolgáltatásaim aktívak/aktívak több régió feladatátvételével?

Támogatási dokumentáció:

Felelősség: Ügyfél

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Cloud Services nem alkalmazható. Ez a javaslat az IaaS számítási erőforrásokra vonatkozik.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Javasoljuk, hogy rendszeresen egyeztetje a leltárt, és győződjön meg arról, hogy a jogosulatlan erőforrások időben törlődnek az előfizetésből.

Felelősség: Ügyfél

6.4: A jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása

Útmutató: Az ügyfélnek meg kell határoznia a jóváhagyott Azure-erőforrásokat és a jóváhagyott szoftvereket a számítási erőforrásokhoz.

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: Használja a Microsoft Defender for Cloudban elérhető adaptív alkalmazásvezérlési funkciót. A Microsoft Defender for Cloud intelligens, automatizált, végpontok közötti megoldása, amely segít szabályozni, hogy mely alkalmazások futtathatók Windows- és Linux-, Azure- és nem Azure-gépeken. Emellett segít a gépek kártevők elleni védekezésében is.

Ez a funkció azure-beli és nem Azure-beli Windows (minden verzió, klasszikus vagy Azure Resource Manager) és Linux rendszerű gépeken is elérhető.

A Microsoft Defender for Cloud gépi tanulást használ a gépeken futó alkalmazások elemzéséhez, és engedélyezési listát hoz létre ebből az intelligenciából. Ez a képesség jelentősen leegyszerűsíti az alkalmazásengedélyezési szabályzatok konfigurálásának és karbantartásának folyamatát, így a következőket teszi lehetővé:

  • Rosszindulatú alkalmazások futtatására tett kísérletek blokkolása vagy riasztása, beleértve azokat is, amelyeket egyébként kihagyhatnak a kártevőirtó megoldások.

  • A cég vagy szervezet biztonsági házirendjének való megfelelést, amely csak a licencelt szoftverek használatát engedélyezi.

  • A nem kívánt szoftverek adott környezetben való használatának megelőzését.

  • Az elavult és nem támogatott alkalmazások futtatásának letiltását.

  • A szervezetben nem engedélyezett szoftvereszközök használatának megelőzését.

  • Azt, hogy az informatikai részleg szabályozhassa a bizalmas adatokhoz való hozzáférést az alkalmazások használata során.

További részleteket a hivatkozott hivatkozásokon talál.

Felelősség: Ügyfél

6.6: Nem jóváhagyott szoftveralkalmazások monitorozása a számítási erőforrásokon belül

Útmutató: Használja a Microsoft Defender for Cloudban elérhető adaptív alkalmazásvezérlési funkciót. A Microsoft Defender for Cloud intelligens, automatizált, végpontok közötti megoldása, amely segít szabályozni, hogy mely alkalmazások futtathatók Windows- és Linux-, Azure- és nem Azure-gépeken. Emellett segít a gépek kártevők elleni védekezésében is.

Ez a funkció azure-beli és nem Azure-beli Windows (minden verzió, klasszikus vagy Azure Resource Manager) és Linux rendszerű gépeken is elérhető.

A Microsoft Defender for Cloud gépi tanulást használ a gépeken futó alkalmazások elemzéséhez, és engedélyezési listát hoz létre ebből az intelligenciából. Ez a képesség jelentősen leegyszerűsíti az alkalmazásengedélyezési szabályzatok konfigurálásának és karbantartásának folyamatát, így a következőket teszi lehetővé:

  • Rosszindulatú alkalmazások futtatására tett kísérletek blokkolása vagy riasztása, beleértve azokat is, amelyeket egyébként kihagyhatnak a kártevőirtó megoldások.

  • A cég vagy szervezet biztonsági házirendjének való megfelelést, amely csak a licencelt szoftverek használatát engedélyezi.

  • A nem kívánt szoftverek adott környezetben való használatának megelőzését.

  • Az elavult és nem támogatott alkalmazások futtatásának letiltását.

  • A szervezetben nem engedélyezett szoftvereszközök használatának megelőzését.

  • Azt, hogy az informatikai részleg szabályozhassa a bizalmas adatokhoz való hozzáférést az alkalmazások használata során.

További részleteket a hivatkozott hivatkozásokon talál.

Felelősség: Ügyfél

6.7: Nem jóváhagyott Azure-erőforrások és -szoftveralkalmazások eltávolítása

Útmutató: Használja a Microsoft Defender for Cloudban elérhető adaptív alkalmazásvezérlési funkciót. A Microsoft Defender for Cloud intelligens, automatizált, végpontok közötti megoldása, amely segít szabályozni, hogy mely alkalmazások futtathatók Windows- és Linux-, Azure- és nem Azure-gépeken. Emellett segít a gépek kártevők elleni védekezésében is.

Ez a funkció azure-beli és nem Azure-beli Windows (minden verzió, klasszikus vagy Azure Resource Manager) és Linux rendszerű gépeken is elérhető.

A Microsoft Defender for Cloud gépi tanulást használ a gépeken futó alkalmazások elemzéséhez, és engedélyezési listát hoz létre ebből az intelligenciából. Ez a képesség jelentősen leegyszerűsíti az alkalmazásengedélyezési szabályzatok konfigurálásának és karbantartásának folyamatát, így a következőket teszi lehetővé:

  • Rosszindulatú alkalmazások futtatására tett kísérletek blokkolása vagy riasztása, beleértve azokat is, amelyeket egyébként kihagyhatnak a kártevőirtó megoldások.

  • A cég vagy szervezet biztonsági házirendjének való megfelelést, amely csak a licencelt szoftverek használatát engedélyezi.

  • A nem kívánt szoftverek adott környezetben való használatának megelőzését.

  • Az elavult és nem támogatott alkalmazások futtatásának letiltását.

  • A szervezetben nem engedélyezett szoftvereszközök használatának megelőzését.

  • Azt, hogy az informatikai részleg szabályozhassa a bizalmas adatokhoz való hozzáférést az alkalmazások használata során.

További részleteket a hivatkozott hivatkozásokon talál.

Felelősség: Ügyfél

6.8: Csak jóváhagyott alkalmazások használata

Útmutató: Használja a Microsoft Defender for Cloudban elérhető adaptív alkalmazásvezérlési funkciót. A Microsoft Defender for Cloud intelligens, automatizált, végpontok közötti megoldása, amely segít szabályozni, hogy mely alkalmazások futtathatók Windows- és Linux-, Azure- és nem Azure-gépeken. Emellett segít a gépek kártevők elleni védekezésében is.

Ez a funkció azure-beli és nem Azure-beli Windows (minden verzió, klasszikus vagy Azure Resource Manager) és Linux rendszerű gépeken is elérhető.

A Microsoft Defender for Cloud gépi tanulást használ a gépeken futó alkalmazások elemzéséhez, és engedélyezési listát hoz létre ebből az intelligenciából. Ez a képesség jelentősen leegyszerűsíti az alkalmazásengedélyezési szabályzatok konfigurálásának és karbantartásának folyamatát, így a következőket teszi lehetővé:

  • Rosszindulatú alkalmazások futtatására tett kísérletek blokkolása vagy riasztása, beleértve azokat is, amelyeket egyébként kihagyhatnak a kártevőirtó megoldások.

  • A cég vagy szervezet biztonsági házirendjének való megfelelést, amely csak a licencelt szoftverek használatát engedélyezi.

  • A nem kívánt szoftverek adott környezetben való használatának megelőzését.

  • Az elavult és nem támogatott alkalmazások futtatásának letiltását.

  • A szervezetben nem engedélyezett szoftvereszközök használatának megelőzését.

  • Azt, hogy az informatikai részleg szabályozhassa a bizalmas adatokhoz való hozzáférést az alkalmazások használata során.

További részletek a hivatkozott hivatkozásokon érhetők el.

Felelősség: Ügyfél

6.10: A jóváhagyott szoftvercímek leltárának karbantartása

Útmutató: Használja a Microsoft Defender for Cloudban elérhető adaptív alkalmazásvezérlési funkciót. A Microsoft Defender for Cloud intelligens, automatizált, végpontok közötti megoldása, amely segít szabályozni, hogy mely alkalmazások futtathatók Windows- és Linux-, Azure- és nem Azure-gépeken. Emellett segít a gépek kártevők elleni keményítésében is.

Ez a funkció azure-beli és nem Azure-beli Windows (minden verzió, klasszikus vagy Azure Resource Manager) és Linux rendszerű gépeken is elérhető.

A Microsoft Defender for Cloud gépi tanulás segítségével elemzi a gépeken futó alkalmazásokat, és létrehoz egy engedélyezési listát ebből az intelligenciából. Ez a képesség jelentősen leegyszerűsíti az alkalmazásengedélyezési szabályzatok konfigurálásának és karbantartásának folyamatát, így a következőket teszi lehetővé:

  • Rosszindulatú alkalmazások futtatására tett kísérletek blokkolása vagy riasztása, beleértve azokat is, amelyeket egyébként kihagyhatnak a kártevőirtó megoldások.

  • A cég vagy szervezet biztonsági házirendjének való megfelelést, amely csak a licencelt szoftverek használatát engedélyezi.

  • A nem kívánt szoftverek adott környezetben való használatának megelőzését.

  • Az elavult és nem támogatott alkalmazások futtatásának letiltását.

  • A szervezetben nem engedélyezett szoftvereszközök használatának megelőzését.

  • Azt, hogy az informatikai részleg szabályozhassa a bizalmas adatokhoz való hozzáférést az alkalmazások használata során.

További részletek a hivatkozott hivatkozásokon érhetők el.

Felelősség: Ügyfél

6.12: A felhasználók szkriptek számítási erőforrásokban való végrehajtásának korlátozása

Útmutató: Használja a Microsoft Defender for Cloudban elérhető adaptív alkalmazásvezérlési funkciót. A Microsoft Defender for Cloud intelligens, automatizált, végpontok közötti megoldása, amely segít szabályozni, hogy mely alkalmazások futtathatók Windows- és Linux-, Azure- és nem Azure-gépeken. Emellett segít a gépek kártevők elleni keményítésében is.

Ez a funkció azure-beli és nem Azure-beli Windows (minden verzió, klasszikus vagy Azure Resource Manager) és Linux rendszerű gépeken is elérhető.

A Microsoft Defender for Cloud gépi tanulás segítségével elemzi a gépeken futó alkalmazásokat, és létrehoz egy engedélyezési listát ebből az intelligenciából. Ez a képesség jelentősen leegyszerűsíti az alkalmazásengedélyezési szabályzatok konfigurálásának és karbantartásának folyamatát, így a következőket teszi lehetővé:

  • Rosszindulatú alkalmazások futtatására tett kísérletek blokkolása vagy riasztása, beleértve azokat is, amelyeket egyébként kihagyhatnak a kártevőirtó megoldások.

  • A cég vagy szervezet biztonsági házirendjének való megfelelést, amely csak a licencelt szoftverek használatát engedélyezi.

  • A nem kívánt szoftverek adott környezetben való használatának megelőzését.

  • Az elavult és nem támogatott alkalmazások futtatásának letiltását.

  • A szervezetben nem engedélyezett szoftvereszközök használatának megelőzését.

  • Azt, hogy az informatikai részleg szabályozhassa a bizalmas adatokhoz való hozzáférést az alkalmazások használata során.

További részletek a hivatkozott hivatkozásokon érhetők el.

Felelősség: Ügyfél

6.13: A nagy kockázatú alkalmazások fizikai vagy logikai elkülönítése

Útmutató: Az Azure Cloud Services bizalmas vagy magas kockázatú alkalmazásai esetén hozzon létre külön előfizetéseket vagy felügyeleti csoportokat az elkülönítés biztosítása érdekében.

Használjon hálózati biztonsági csoportot, hozzon létre egy bejövő biztonsági szabályt, válasszon ki egy szolgáltatást, például http-t, válasszon egy egyéni portot is, adjon neki prioritást és nevet. A prioritás befolyásolja a szabályok alkalmazásának sorrendjét, minél alacsonyabb a numerikus érték, annál korábban alkalmazza a szabályt. A hálózati biztonsági csoportot egy alhálózathoz vagy egy adott hálózati adapterhez kell társítania, hogy elkülönítse vagy szegmentálhassa a hálózati forgalmat az üzleti igények alapján.

További részletek a hivatkozott hivatkozásokon érhetők el.

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Azure Security Benchmark: Secure Configuration.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: Használja a Microsoft Defender for Cloud javaslatait az Azure Cloud Services-erőforrások biztonságos konfigurációs alapkonfigurációjaként.

A Azure Portal válassza a Microsoft Defender for Cloud, majd a Compute-alkalmazások & és az Azure Cloud Services lehetőséget a szolgáltatás erőforrásaira vonatkozó javaslatok megtekintéséhez.

Felelősség: Ügyfél

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Nem alkalmazható az Azure Cloud Services. Ez a klasszikus üzemi modellen alapul. Ajánlott külső megoldás használata a biztonságos Azure-erőforráskonfigurációk fenntartásához

Felelősség: Ügyfél

7.5: Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Az Azure Cloud Service konfigurációs fájlja tárolja az erőforrás működési attribútumait. A konfigurációs fájlok másolatát egy biztonságos tárfiókban tárolhatja.

Felelősség: Ügyfél

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: Nem alkalmazható az Azure Cloud Services. Ez a klasszikus üzemi modellen alapul, és nem felügyelhető az Azure Resource Manager üzembe helyezési alapú konfigurációs eszközökkel.

Felelősség: Ügyfél

7.8: Konfigurációkezelő eszközök telepítése operációs rendszerekhez

Útmutató: Nem alkalmazható az Azure Cloud Services. Ez a javaslat a szolgáltatott infrastruktúra (IaaS) alapú számítási erőforrásokra vonatkozik.

Felelősség: Ügyfél

7.9: Azure-erőforrások automatizált konfigurációs monitorozásának implementálása

Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet az Azure-erőforrásokon.

Felelősség: Ügyfél

7.10: Automatizált konfigurációfigyelés implementálása operációs rendszerekhez

Útmutató: A Microsoft Defender for Cloudban válassza a Compute & Apps szolgáltatást, és kövesse a virtuális gépekre, kiszolgálókra és tárolókra vonatkozó javaslatokat.

Felelősség: Ügyfél

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: Az Azure Cloud Services egy klasszikus üzemi modellen alapul, és nem integrálható az Azure Key Vault.

Az Azure-Cloud Services által használt titkos kulcsokat, például hitelesítő adatokat biztonságossá teheti, így nem kell minden alkalommal jelszót megadnia. Első lépésként adjon meg egy egyszerű szöveges jelszót, konvertálja azt biztonságos sztringgé a ConvertTo-SecureString, PowerShell parancs használatával. Ezután konvertálja ezt a biztonságos sztringet titkosított standard sztringgé a ConvertFrom-SecureString használatával. Ezt a titkosított szabványos sztringet mostantól fájlba mentheti a Set-Content használatával.

Emellett ajánlott az Azure Cloud Services-ban használt tanúsítványok titkos kulcsait egy biztonságos tárolóban tárolni.

Felelősség: Ügyfél

7.13: A nem szándékos hitelesítő adatok expozíciójának megszüntetése

Útmutató: Biztonságos titkos kulcsok, például az Azure Cloud Services által használt hitelesítő adatok, hogy ne kelljen minden alkalommal jelszót beírnia.

Első lépésként adjon meg egy egyszerű szöveges jelszót, és módosítsa biztonságos sztringre a ConvertTo-SecureString, PowerShell paranccsal. Ezután konvertálja ezt a biztonságos sztringet titkosított standard sztringgé a ConvertFrom-SecureString használatával. Most mentse ezt a titkosított szabványos sztringet egy fájlba Set-Content paranccsal.

Tárolja az Azure-Cloud Services által használt tanúsítványok titkos kulcsait egy biztonságos tárolóhelyen.

Felelősség: Ügyfél

Kártevők elleni védelem

További információ: Azure Security Benchmark: Malware Defense.

8.1: Központilag felügyelt kártevőirtó szoftverek használata

Útmutató: az Azure-hoz készült Microsoft Antimalware az Azure Cloud Services és Virtual Machines érhető el. Ez egy ingyenes valós idejű védelem, amely segít azonosítani és eltávolítani a vírusokat, kémprogramokat és más rosszindulatú szoftvereket. Riasztásokat hoz létre, ha egy ismert rosszindulatú vagy nemkívánatos szoftver megpróbálja telepíteni magát vagy futtatni az Azure-rendszereken.

A "Get-AzureServiceAntimalwareConfig" parancsmaggal kérje le a Kártevőirtó konfigurációt a PowerShell-alapú Kártevőirtó parancsmaggal.

Engedélyezze a Kártevőirtó bővítményt egy PowerShell-szkripttel az Azure Cloud Services indítási feladatában.

Válassza ki a Microsoft Defender for Cloud adaptív alkalmazásvezérlési funkcióját, amely egy intelligens, automatizált, végpontok közötti megoldás. Segít a kártevők elleni védekezésben, és lehetővé teszi a rosszindulatú alkalmazások futtatására tett kísérletek blokkolását vagy riasztását, beleértve azokat is, amelyeket egyébként kihagyhatnak a kártevőirtó megoldások.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Egyértelműen jelölje meg az előfizetéseket (például éles, nem éles), és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.

Felelősség: Ügyfél

10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) azt észleli, hogy az ügyfél adataihoz jogellenes vagy jogosulatlan fél fért hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe

Útmutató: A Microsoft Defender for Cloud riasztásainak és javaslatainak exportálása a Folyamatos exportálás funkcióval. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelnek.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft cloud behatolástesztelési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések