Az Azure biztonsági alapkonfigurációja Container Instances

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza a Container Instances. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Container Instances vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Container Instances nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást szó szerint ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy Container Instances hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Container Instances biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Útmutató: A tárolócsoportok integrálása Azure Container Instances egy Azure-beli virtuális hálózattal. Az Azure-beli virtuális hálózatok lehetővé teszik, hogy számos Azure-erőforrást, például tárolócsoportot egy nem internetes irányítható hálózaton helyezzen el.

A Azure Firewall használatával szabályozhatja a kimenő hálózati hozzáférést egy Azure Container Instances delegált alhálózatról.

Felelősség: Ügyfél

1.2: A virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: Használja a Microsoft Defender for Cloud szolgáltatást, és kövesse a hálózatvédelmi javaslatokat a hálózati erőforrások védelmének biztosításához az Azure-ban. Engedélyezze az NSG-forgalom naplóit, és küldjön naplókat egy tárfiókba a forgalomnaplózáshoz. Emellett NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőbe irányuló forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.

Felelősség: Ügyfél

1.3: Kritikus fontosságú webalkalmazások védelme

Útmutató: Az ACI-ban az internetről elérhető alkalmazások biztonságossá tételéhez helyezzen üzembe egy Azure-Web Application Firewall (Application Gateway) az alkalmazás előtt. Az alkalmazás minden kimenő forgalmának irányítása egy Azure Firewall eszközön keresztül, és a naplók figyelése.

Felelősség: Ügyfél

1.4: Az ismert kártékony IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Engedélyezze a DDoS Standard védelmet a virtuális hálózatokon a DDoS-támadások elleni védelem érdekében. A Microsoft Defender for Cloud Integrated Threat Intelligence használatával megtagadhatja az ismert rosszindulatú vagy nem használt internetes IP-címekkel folytatott kommunikációt. Helyezzen üzembe Azure Firewall a szervezet minden hálózati határán úgy, hogy a fenyegetésfelderítés engedélyezve van, és úgy van konfigurálva, hogy "Riasztás és megtagadás" legyen a rosszindulatú hálózati forgalom esetén.

A Microsoft Defender for Cloud Just In Time Network használatával konfigurálhatja az NSG-ket, hogy korlátozott ideig korlátozzák a végpontok engedélyezett IP-címeknek való kitettségét. Emellett a Microsoft Defender for Cloud Adaptive Network Hardening használatával olyan NSG-konfigurációkat javasolhat, amelyek a tényleges forgalom és fenyegetésfelderítés alapján korlátozzák a portokat és a forrás IP-címeket.

Felelősség: Ügyfél

1.5: Hálózati csomagok rögzítése

Útmutató: Ha felhőalapú privát regisztrációs adatbázist használ, például azure-beli tárolóregisztrációs adatbázist Azure Container Instances, engedélyezheti a hálózati biztonsági csoport (NSG) folyamatnaplóit az Azure tárolóregisztrációs adatbázis védelméhez használt alhálózathoz csatolt NSG-hez. Ezután rögzítheti az NSG-forgalom naplóit egy Azure Storage-fiókban. Ha a rendellenes tevékenységek kivizsgálásához szükséges, engedélyezheti az Azure Network Watcher csomagrögzítést is.

Felelősség: Ügyfél

1.6: Hálózatalapú behatolásészlelési/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése

Útmutató: Válasszon ki egy ajánlatot a Azure Marketplace, amely támogatja az IDS/IPS funkciót hasznosadat-vizsgálati képességekkel. Ha a behatolásészlelés és/vagy a hasznosadat-ellenőrzésen alapuló megelőzés nem követelmény, Azure Firewall a fenyegetésfelderítéssel használható. Azure Firewall fenyegetésintelligencia-alapú szűrés riasztást küld, és megtagadja az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalmat. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.

A kártékony forgalom észleléséhez és/vagy letiltásához helyezze üzembe az Ön által választott tűzfalmegoldást a szervezet minden hálózati határán.

Felelősség: Ügyfél

1.7: Webalkalmazások forgalmának kezelése

Útmutató: Ha Azure Container Instances használ webalkalmazások üzemeltetéséhez, Azure Application Gateway telepíthet a megbízható tanúsítványokhoz engedélyezett HTTPS/SSL protokollal. Ezután átirányíthatja az alkalmazás webes forgalmát a Application Gateway a tárolócsoporthoz.

Felelősség: Ügyfél

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Útmutató: Ha felhőalapú privát regisztrációs adatbázist használ, például az Azure Container Registryt Azure Container Instances, a tárolóregisztrációs adatbázishoz hozzáférést igénylő erőforrások esetében a Azure Container Registry szolgáltatás virtuális hálózati szolgáltatáscímkék használatával határozza meg a hálózati hozzáférés-vezérlést a hálózati biztonsági csoportokban, vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja az "AzureContainerRegistry" szolgáltatáscímkenevet egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

Felelősség: Ügyfél

1.9: A hálózati eszközök szabványos biztonsági konfigurációinak karbantartása

Útmutató: Ha Azure Container Registry használ Azure Container Instances, javasoljuk, hogy definiáljon és implementáljon standard biztonsági konfigurációkat az Azure Container Registryhez társított hálózati erőforrásokhoz.

A Microsoft.ContainerRegistry és a Microsoft.Network névterekben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a tárolóregisztrációs adatbázisok hálózati konfigurációjának naplózásához vagy kikényszerítéséhez.

Az Azure Blueprints használatával leegyszerűsítheti a nagyméretű Azure-beli üzemelő példányokat, ha a kulcsfontosságú környezeti összetevőket, például az Azure Resource Manager-sablonokat, az Azure RBAC-vezérlőket és a szabályzatdefiníciókat egyetlen tervdefinícióba csomagolja. Egyszerűen alkalmazhatja a tervet az új előfizetésekre, és a verziószámozással finomhangolhatja az irányítást és a felügyeletet.

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Az ügyfél az Azure Blueprints használatával egyszerűsítheti a nagyméretű Azure-beli üzemelő példányokat a kulcsfontosságú környezeti összetevők, például az Azure Resource Manager-sablonok, az Azure RBAC-vezérlők és a szabályzatok egyetlen tervdefinícióban való csomagolásával. Egyszerűen alkalmazhatja a tervet az új előfizetésekre, és a verziószámozással finomhangolhatja az irányítást és a felügyeletet.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak figyeléséhez és a módosítások észleléséhez

Útmutató: Az Azure-tevékenységnapló használatával monitorozza a hálózati erőforrások konfigurációit, és észleli a tárolóregisztrációs adatbázisokhoz kapcsolódó hálózati erőforrások változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus hálózati erőforrások módosításakor aktiválódik.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.1: Jóváhagyott időszinkronizálási források használata

Útmutató: A Microsoft időforrásokat tart fenn az Azure-erőforrásokhoz, ön azonban kezelheti a számítási erőforrások időszinkronizálási beállításait.

Felelősség: Microsoft

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: Naplók betöltése az Azure Monitoron keresztül az Azure Container Instance által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitoron belül egy Log Analytics-munkaterület használatával kérdezheti le és hajthatja végre az elemzéseket, és használhatja az Azure Storage-fiókokat hosszú távú/archiválási tároláshoz.

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure Monitor erőforrásnaplókat (korábbi nevén diagnosztikai naplókat) gyűjt a felhasználóalapú eseményekhez. Gyűjtse össze és használja fel ezeket az adatokat a tárolóhitelesítési események naplózásához, és adjon meg egy teljes tevékenységnaplót az összetevőkön, például lekéréses és leküldéses eseményeken, hogy diagnosztizálhassa a tárolócsoport biztonsági problémáit.

Felelősség: Ügyfél

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Az Azure Monitoron belül állítsa be a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Hosszú távú/archiválási tároláshoz használja az Azure Storage-fiókokat.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: Azure Container Instances naplók elemzése és monitorozása rendellenes viselkedés és az eredmények rendszeres áttekintése érdekében. Az Azure Monitor Log Analytics-munkaterületének használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre a naplóadatokon.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: Az Azure Log Analytics-munkaterület használatával figyelheti és riasztásokat jeleníthet meg a Azure Container Instances vagy az Azure Container Registrieshez kapcsolódó biztonsági naplókban és eseményekben végzett rendellenes tevékenységekről.

Felelősség: Ügyfél

2.8: Kártevőirtó naplózás központosítása

Útmutató: a Azure Container Instances egy teljes körűen felügyelt PaaS-ajánlat, és a Microsoft felelős a kártevőirtó-védelmi & naplózás telepítéséért és kezeléséért.

Felelősség: Microsoft

2.9: DNS-lekérdezések naplózásának engedélyezése

Útmutató: Azure Container Instances nem teszi közzé a mögöttes DNS-konfigurációkat, ezeket a beállításokat a Microsoft tartja karban.

Felelősség: Microsoft

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: Az Azure Active Directory (Azure AD) beépített szerepkörei explicit módon hozzárendelendők és lekérdezhetők. A Azure AD PowerShell-modul használatával alkalmi lekérdezéseket hajthat végre a felügyeleti csoportok tagjait tartalmazó fiókok felderítéséhez.

Ha felhőalapú magánregisztrációs adatbázist használ, például az Azure Container Registryt Azure Container Instances, akkor minden azure-beli tárolóregisztrációs adatbázis esetében nyomon követheti, hogy a beépített rendszergazdai fiók engedélyezve van-e vagy le van-e tiltva. Tiltsa le a fiókot, ha nincs használatban.

Felelősség: Ügyfél

3.2: Az alapértelmezett jelszavak módosítása, ha vannak

Útmutató: Az Azure Active Directory (Azure AD) nem rendelkezik az alapértelmezett jelszavak fogalmával. A jelszót igénylő egyéb Azure-erőforrások összetettségi követelményekkel és minimális jelszóhosszsal rendelkező jelszót követelnek meg, amelyek a szolgáltatástól függően eltérnek. Ön felelős az alapértelmezett jelszavakat használó külső alkalmazásokért és Marketplace-szolgáltatásokért.

Ha felhőalapú magánregisztrációs adatbázist használ, például az Azure Container Registryt Azure Container Instances, ha egy Azure-tárolóregisztrációs adatbázis alapértelmezett rendszergazdai fiókja engedélyezve van, a rendszer automatikusan létrehozza az összetett jelszavakat, és el kell forgatni. Tiltsa le a fiókot, ha nincs használatban.

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Hozzon létre szabványos üzemeltetési eljárásokat a dedikált rendszergazdai fiókok használatával kapcsolatban. A Microsoft Defender for Cloud Identity és az Access Management használatával monitorozza a felügyeleti fiókok számát.

Ha felhőalapú privát regisztrációs adatbázist használ, például az Azure Container Registryt Azure Container Instances, hozzon létre eljárásokat a tárolóregisztrációs adatbázis beépített rendszergazdai fiókjának engedélyezéséhez. Tiltsa le a fiókot, ha nincs használatban.

Felelősség: Ügyfél

3.4: Az Azure Active Directory egyszeri bejelentkezés (SSO) használata

Útmutató: Ahol csak lehetséges, használja az Azure Active Directory (Azure AD) egyszeri bejelentkezést ahelyett, hogy különálló, szolgáltatásonkénti hitelesítő adatokat konfigurálna. Használja a Microsoft Defender felhőalapú identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender for Cloud Identity and Access Management javaslatait.

Felelősség: Ügyfél

3.6: Dedikált gépek (Privileged Access-munkaállomások) használata minden felügyeleti feladathoz

Útmutató: Emelt hozzáférési szintű munkaállomások (emelt szintű hozzáférési munkaállomások) használata az Azure-erőforrásokba való bejelentkezéshez és konfiguráláshoz konfigurált többtényezős hitelesítéssel.

Felelősség: Ügyfél

3.7: Napló és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: Az Azure Active Directory (Azure AD) biztonsági jelentéseivel naplókat és riasztásokat generálhat, ha gyanús vagy nem biztonságos tevékenység történik a környezetben. A Microsoft Defender for Cloud használatával monitorozza az identitás- és hozzáférési tevékenységeket.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Feltételes hozzáféréssel elnevezett helyek használatával csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Használja az Azure Active Directoryt (Azure AD) központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt lévő adatok erős titkosításával védi az adatokat. Azure AD emellett sózza, kivonatolja és biztonságosan tárolja a felhasználói hitelesítő adatokat.

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Az Azure Active Directory (Azure AD) naplókat biztosít az elavult fiókok felderítéséhez. Emellett az Azure Identity Access-felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférés rendszeresen áttekinthető, hogy csak a megfelelő felhasználók rendelkezzenek folyamatos hozzáféréssel.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek figyelése

Útmutató: Hozzáféréssel rendelkezik az Azure Active Directory (Azure AD) bejelentkezési tevékenység-, naplózási és kockázati eseménynapló-forrásaihoz, amelyek lehetővé teszik, hogy integrálható legyen bármely biztonsági információval és eseménykezeléssel (SIEM) és monitorozási eszközzel.

A folyamat egyszerűsítése érdekében hozzon létre diagnosztikai beállításokat Azure AD felhasználói fiókokhoz, és küldje el az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. A kívánt riasztásokat a Log Analytics-munkaterületen konfigurálhatja.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: Az Azure Active Directory (Azure AD) kockázat- és identitásvédelmi funkcióival automatikus válaszokat konfigurálhat a felhasználói identitásokkal kapcsolatos gyanús műveletekre.

Felelősség: Ügyfél

3.13: Hozzáférés biztosítása a Microsoft számára a megfelelő ügyféladatokhoz a támogatási forgatókönyvek során

Útmutató: Nem érhető el; Az Ügyfélszéf jelenleg nem támogatott Azure Container Instances.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.1: Bizalmas információk leltárának karbantartása

Útmutató: Erőforráscímkék használata a bizalmas adatokat tároló vagy feldolgozó Azure-tárolóregisztrációs adatbázisok nyomon követéséhez.

Tárolólemezképek vagy más összetevők címkézése és verziója egy beállításjegyzékben, valamint képek vagy adattárak zárolása a bizalmas adatokat tároló vagy feldolgozó rendszerképek nyomon követéséhez.

Felelősség: Ügyfél

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Útmutató: Különálló tárolóregisztrációs adatbázisok, előfizetések és/vagy felügyeleti csoportok implementálása fejlesztéshez, teszteléshez és éles környezethez. A bizalmas adatokat tartalmazó vagy feldolgozó erőforrásokat megfelelően el kell különíteni.

Az erőforrásokat virtuális hálózattal vagy alhálózattal kell elválasztani, megfelelően fel kell címkézni, és egy hálózati biztonsági csoport (NSG) vagy Azure Firewall kell biztosítani.

Felelősség: Ügyfél

4.3: Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása

Útmutató: Helyezzen üzembe egy automatizált eszközt a hálózat peremhálózatán, amely figyeli a bizalmas adatok jogosulatlan átvitelét, és blokkolja az ilyen átviteleket, miközben riasztást küld az információbiztonsági szakembereknek.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféladatot bizalmasként kezel, és az ügyfelek adatvesztése és kitettsége elleni védelem érdekében hosszú ideig tart. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Megosztott

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: Győződjön meg arról, hogy a Azure Container Registry csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. A Microsoft Azure-erőforrások alapértelmezés szerint egyeztetik a TLS 1.2-t.

Kövesse a Microsoft Defender for Cloudra vonatkozó javaslatokat az inaktív adatok titkosítására és az átvitel közbeni titkosításra, ha van ilyen.

Felelősség: Megosztott

4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához

Útmutató: Ha felhőalapú privát regisztrációs adatbázist használ, például az Azure Container Registryt Azure Container Instances, az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el Azure Container Registry. Ha a megfelelőséghez szükség van rá, implementálja a harmadik féltől származó megoldást.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféladatot bizalmasként kezel, és az ügyfelek adatvesztése és kitettsége elleni védelem érdekében hosszú ideig tart. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Megosztott

4.6: Szerepköralapú hozzáférés-vezérlés használata az erőforrásokhoz való hozzáférés szabályozásához

Útmutató: Ha felhőalapú privát regisztrációs adatbázist használ, például Azure Container Registry Azure Container Instances, az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával kezelheti az Azure-beli tárolóregisztrációs adatbázisban lévő adatokhoz és erőforrásokhoz való hozzáférést.

Felelősség: Ügyfél

4.7: Gazdagépalapú adatveszteség-megelőzés használata a hozzáférés-vezérlés kényszerítéséhez

Útmutató: Ha a számítási erőforrások megfelelőségéhez szükséges, implementáljon egy külső eszközt, például egy automatizált, gazdagépalapú adatveszteség-megelőzési megoldást, amely akkor is kényszeríti a hozzáférés-vezérlést az adatokra, ha az adatokat kimásolják egy rendszerből.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféladatot bizalmasként kezel, és az ügyfelek adatvesztése és kitettsége elleni védelem érdekében hosszú ideig tart. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Megosztott

4.8: Bizalmas adatok titkosítása inaktív állapotban

Útmutató: Titkosítás használata inaktív állapotban az összes Azure-erőforráson. Ha felhőalapú privát regisztrációs adatbázist használ, például azure-beli tárolóregisztrációs adatbázist Azure Container Instances, alapértelmezés szerint az Azure-beli tárolóregisztrációs adatbázis összes adata titkosítva lesz a Microsoft által felügyelt kulcsokkal.

Felelősség: Ügyfél

4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: A Log Analytics-munkaterületek központi helyet biztosítanak a naplóadatok tárolásához és lekérdezéséhez nemcsak az Azure-erőforrásokból, hanem a helyszíni erőforrásokból és más felhőkben található erőforrásokból is. Azure Container Instances beépített támogatást nyújt a naplók és az eseményadatok Azure Monitor-naplókba való küldéséhez.

Felelősség: Ügyfél

Biztonságirés-kezelés

További információkért lásd az Azure Biztonsági teljesítményteszt: Sebezhetőségi felügyelet című témakört.

5.1: Automatizált biztonságirés-ellenőrző eszközök futtatása

Útmutató: Használja ki a megoldások előnyeit egy privát regisztrációs adatbázisban található tárolórendszerképek vizsgálatához és a lehetséges biztonsági rések azonosításához. Fontos tisztában lenni a különböző megoldások által biztosított fenyegetésészlelés mélységével. Kövesse a Microsoft Defender for Cloud javaslatait a tárolólemezképeken végzett biztonságirés-felmérésekkel kapcsolatban. Külső megoldásokat is üzembe helyezhet Azure Marketplace rendszerképek sebezhetőségi felméréséhez.

Felelősség: Ügyfél

5.2: Automatizált operációsrendszer-javításkezelési megoldás üzembe helyezése

Útmutató: A tárolólemezképek frissítésének automatizálása az operációs rendszer és más javítások alaplemezképeinek frissítésekor.

A Microsoft elvégzi a Azure Container Instances futtatását támogató mögöttes rendszerek javításkezelését.

Felelősség: Megosztott

5.3: Automatizált javításkezelési megoldás üzembe helyezése külső szoftvercímekhez

Útmutató: Harmadik féltől származó megoldással javíthatja az alkalmazásképeket. Emellett, ha felhőalapú privát regisztrációs adatbázist használ, például az Azure Container Registryt Azure Container Instances, Azure Container Registry feladatokat futtathat a tárolóregisztrációs adatbázisban található alkalmazásképek frissítéseinek automatizálásához biztonsági javítások vagy az alapként szolgáló rendszerképek egyéb frissítései alapján.

Felelősség: Ügyfél

5.4: A biztonsági rések back-to-back vizsgálatainak összehasonlítása

Útmutató: Ha felhőalapú privát regisztrációs adatbázist használ, például az Azure Container Registryt Azure Container Instances, integrálja az Azure Container Registryt (ACR) a Microsoft Defender for Cloud szolgáltatással, hogy lehetővé tegye a tárolórendszerképek biztonsági réseinek rendszeres vizsgálatát. Igény szerint külső megoldásokat is üzembe helyezhet a Azure Marketplace-ből a rendszerkép biztonsági réseinek rendszeres vizsgálatához.

Felelősség: Ügyfél

5.5: Kockázatbesorolási folyamat használata a felderített biztonsági rések elhárításának rangsorolásához

Útmutató: Ha felhőalapú privát regisztrációs adatbázist használ, például az Azure Container Registryt Azure Container Instances, integrálja a Azure Container Registry (ACR) a Microsoft Defender for Cloud szolgáltatással, hogy lehetővé tegye a tárolólemezképek biztonsági réseinek rendszeres vizsgálatát és a kockázatok besorolását. Igény szerint külső megoldásokat is üzembe helyezhet a Azure Marketplace-ból a rendszerkép biztonsági réseinek rendszeres vizsgálatához és a kockázatbesoroláshoz.

Felelősség: Ügyfél

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben található összes erőforrást (például számítási, tárolási, hálózati, portok és protokollok stb.). Gondoskodjon a megfelelő (olvasási) engedélyekről a bérlőben, és sorolja fel az összes Azure-előfizetést, valamint az előfizetéseken belüli erőforrásokat.

Bár a klasszikus Azure-erőforrások Resource Graph keresztül fedezhetők fel, erősen ajánlott azure-Resource Manager-erőforrásokat létrehozni és használni.

Felelősség: Ügyfél

6.2: Eszköz metaadatainak karbantartása

Útmutató: Ha felhőalapú magánregisztrációs adatbázist (például Azure Container Registry (ACR) használ Azure Container Instances, az ACR metaadatokat, például címkéket és jegyzékfájlokat kezel a regisztrációs adatbázisban lévő rendszerképekhez. Kövesse az összetevők címkézésére vonatkozó ajánlott eljárásokat.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Ha felhőalapú magánregisztrációs adatbázist (például Azure Container Registry (ACR) használ Azure Container Instances, az ACR metaadatokat, például címkéket és jegyzékfájlokat kezel a regisztrációs adatbázisban lévő rendszerképekhez. Kövesse az összetevők címkézésére vonatkozó ajánlott eljárásokat.

Felelősség: Ügyfél

6.4: A jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása

Útmutató: Létre kell hoznia egy leltárt a jóváhagyott Azure-erőforrásokról a szervezeti igényeknek megfelelően.

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: Az Azure Policy használatával korlátozhatja az előfizetés(ek)ben létrehozható erőforrások típusát.

Az Azure Resource Graph használatával lekérdezheti vagy felderítheti az előfizetés(ek)ben lévő erőforrásokat. Győződjön meg arról, hogy a környezetben található összes Azure-erőforrás jóvá van hagyva.

Felelősség: Ügyfél

6.6: Nem jóváhagyott szoftveralkalmazások monitorozása a számítási erőforrásokon belül

Útmutató: Ha felhőalapú privát regisztrációs adatbázist (például Azure Container Registry (ACR) használ Azure Container Instances, elemezze és monitorozza Azure Container Registry naplókat rendellenes viselkedés esetén, és rendszeresen tekintse át az eredményeket. Az Azure Monitor Log Analytics-munkaterületének használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre a naplóadatokon.

Felelősség: Ügyfél

6.7: Nem jóváhagyott Azure-erőforrások és szoftveralkalmazások eltávolítása

Útmutató: Azure Automation teljes körű ellenőrzést biztosít a számítási feladatok és erőforrások üzembe helyezése, üzemeltetése és leszerelése során. Implementálhatja a saját megoldását a jogosulatlan Azure-erőforrások eltávolítására.

Felelősség: Ügyfél

6.8: Csak jóváhagyott alkalmazások használata

Útmutató: Az alkalmazás megfelelő működéséhez szükséges fájlok és végrehajtható fájlok engedélyezési listájának fejlesztése és kezelése, valamint tárolóvizsgálat beállítása a nem jóváhagyott alkalmazások felderítéséhez. A Azure Container Registry-ben tárolt tárolórendszerképeket is megvizsgálhatja a Microsoft Defender for Containers szolgáltatással, hogy megtalálja az ezekben a képekben található biztonsági réseket.

Felelősség: Ügyfél

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával korlátozhatja, hogy mely szolgáltatásokat építheti ki a környezetben.

Felelősség: Ügyfél

6.10: A jóváhagyott szoftvercímek leltárának karbantartása

Útmutató: A Azure Container Instances futó alkalmazás megfelelő működéséhez szükséges fájlok és végrehajtható fájlok engedélyezési listájának kidolgozása és kezelése. Rendszeres biztonsági felülvizsgálatokat végezhet a lista módosításairól, és központi folyamatot hozhat létre a jóváhagyott szoftvercímek kezelésére és frissítésére a szervezet számára.

Felelősség: Ügyfél

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Operációs rendszerspecifikus konfigurációk vagy külső erőforrások használatával korlátozhatja a felhasználók azon képességét, hogy szkripteket hajtsanak végre az Azure számítási erőforrásain belül.

Felelősség: Ügyfél

6.12: A felhasználók szkriptek számítási erőforrásokon belüli végrehajtásának korlátozása

Útmutató: Használjon operációsrendszer-specifikus konfigurációkat vagy külső erőforrásokat, hogy korlátozza a felhasználók azon képességét, hogy szkripteket hajtsanak végre az Azure számítási erőforrásain belül.

Felelősség: Ügyfél

6.13: A nagy kockázatú alkalmazások fizikai vagy logikai elkülönítése

Útmutató: Az üzleti műveletekhez szükséges, de a szervezetre nézve magasabb kockázattal járó szoftvereket el kell különíteni a saját virtuális gépén és/vagy virtuális hálózatán belül, és megfelelően kell védeni egy Azure Firewall vagy hálózati biztonsági csoporttal.

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Azure Security Benchmark: Secure Configuration.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: A Azure Policy vagy a Microsoft Defender for Cloud használatával minden Azure-erőforrás biztonsági konfigurációit fenntarthatja.

Felelősség: Ügyfél

7.2: Biztonságos operációsrendszer-konfigurációk létrehozása

Útmutató: Nem alkalmazható a Azure Container Instances (ACI) esetében. Az ACI alapértelmezés szerint biztonsági optimalizált gazdagép operációs rendszert (OS) biztosít a mögöttes infrastruktúra számára. Jelenleg nincs lehetőség alternatív vagy egyéni operációs rendszer kiválasztására.

Felelősség: Nem alkalmazható

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Az Azure Policy [deny] és a [deploy if not exist] (üzembe helyezés, ha nem létezik) hatásaival kényszerítheti ki a biztonságos beállításokat az Azure-erőforrások között.

Ha felhőalapú magánregisztrációs adatbázist (például Azure Container Registry (ACR) használ Azure Container Instances, az Azure-tárolóregisztrációs adatbázisok megfelelőségének naplózása Azure Policy használatával.

Felelősség: Ügyfél

7.4: Biztonságos operációsrendszer-konfigurációk fenntartása

Útmutató: Nem alkalmazható a Azure Container Instances (ACI) esetében. Az ACI alapértelmezés szerint biztonsági optimalizált gazdagép-operációs rendszert (OS) biztosít a mögöttes infrastruktúra számára. Jelenleg nincs lehetőség alternatív vagy egyéni operációs rendszer kiválasztására.

Felelősség: Nem alkalmazható

7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Ha egyéni Azure-szabályzatdefiníciókat használ, az Azure Repos használatával biztonságosan tárolhatja és kezelheti a kódot.

Felelősség: Ügyfél

7.6: Egyéni operációsrendszer-lemezképek biztonságos tárolása

Útmutató: Nem alkalmazható a Azure Container Instances (ACI) esetében. Az ACI alapértelmezés szerint egy biztonsági optimalizált gazdagép operációs rendszert (OS) biztosít. Jelenleg nincs lehetőség alternatív vagy egyéni operációs rendszer kiválasztására.

Felelősség: Nem alkalmazható

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: A Azure Policy használatával riasztást, naplózást és rendszerkonfigurációk kikényszerítését végezheti el. Emellett a szabályzatkivételeket kezelő folyamatot és folyamatot is fejleszthet.

Ha felhőalapú privát regisztrációs adatbázist használ, például Azure Container Registry (ACR) Azure Container Instances, az Azure-tárolóregisztrációs adatbázisok megfelelőségét a Azure Policy használatával naplózhatja.

Felelősség: Ügyfél

7.8: Konfigurációkezelő eszközök telepítése operációs rendszerekhez

Útmutató: Nem alkalmazható, Azure Container Instances mögöttes gazdagép operációs rendszerét a Microsoft védi és konfigurálja. A szolgáltatáson futó tárolórendszerképek esetében a rendszerképek kezelését ajánlott biztonságos rendszerkép-összeállítási folyamattal, CI/CD-folyamattal vagy rendszerképkészítő eszközzel elvégezni.

Felelősség: Nem alkalmazható

7.9: Azure-erőforrások automatizált konfigurációmonitorozásának implementálása

Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet az Azure-erőforrásokon.

A Azure Policy alkalmazásával korlátozhatja az előfizetésekben létrehozható erőforrások típusát.

Ha felhőalapú privát regisztrációs adatbázist használ, például Azure Container Registry (ACR) Azure Container Instances, az Azure-tárolóregisztrációs adatbázisok megfelelőségét a Azure Policy használatával naplózhatja.

Felelősség: Ügyfél

7.10: Automatizált konfigurációfigyelés implementálása operációs rendszerekhez

Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet a tárolók operációs rendszerének és Docker-beállításainak vizsgálatához.

Felelősség: Ügyfél

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: A felügyeltszolgáltatás-identitás és az Azure Key Vault együttes használatával leegyszerűsítheti és biztonságossá teheti a felhőalkalmazások titkos kulcsainak kezelését.

Felelősség: Ügyfél

7.12: Identitások biztonságos és automatikus kezelése

Útmutató: A Felügyelt identitások használatával automatikusan felügyelt identitást biztosíthat az Azure-szolgáltatások számára az Azure Active Directoryban (Azure AD). A felügyelt identitások lehetővé teszik a hitelesítést bármely olyan szolgáltatásban, amely támogatja a Azure AD hitelesítést, beleértve az Azure Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezik.

Ha felhőalapú privát regisztrációs adatbázist használ, például Azure Container Registry (ACR) Azure Container Instances, az Azure-tárolóregisztrációs adatbázisok megfelelőségét a Azure Policy használatával naplózhatja.

Felelősség: Ügyfél

7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése

Útmutató: Implementálja a Hitelesítőadat-ellenőrzőt a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Felelősség: Ügyfél

Kártevők elleni védelem

További információ: Azure Security Benchmark: Malware Defense.

8.1: Központilag felügyelt kártevőirtó szoftverek használata

Útmutató: Az erőforrások folyamatos monitorozásához és védelméhez használja az Azure Cloud Services és Virtual Machines microsoftos kártevőirtóját. Linux esetén használjon harmadik féltől származó kártevőirtó megoldást.

Felelősség: Ügyfél

8.2: Nem számítási Azure-erőforrásokba feltöltendő fájlok előzetes vizsgálata

Útmutató: Az ACI-erőforrásokba feltöltött fájlok előzetes vizsgálata. A Security Center fenyegetésészlelési funkciójával észlelheti a tárfiókokba feltöltött kártevőket, ha adattárként használ Azure Storage-fiókot.

A mögöttes szolgáltatási infrastruktúra esetében a Microsoft kezeli a fájlok vizsgálatát.

Felelősség: Megosztott

8.3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: A Microsoft kezeli a kártevőirtót a mögöttes Container Instance szolgáltatás és az Azure platform esetében.

Felelősség: Microsoft

Adat-helyreállítás

További információ: Azure Security Benchmark: Data Recovery.

9.1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Ha felhőalapú privát regisztrációs adatbázist (például Azure Container Registry (ACR) használ Azure Container Instances, a Rendszer mindig automatikusan replikálja a Microsoft Azure tárolóregisztrációs adatbázisában lévő adatokat a tartósság és a magas rendelkezésre állás biztosítása érdekében. Azure Container Registry átmásolja az adatokat, hogy védve legyen a tervezett és nem tervezett eseményektől.

Egy tárolóregisztrációs adatbázis georeplikálása a beállításjegyzék replikáinak több Azure-régióban való fenntartásához.

Felelősség: Ügyfél

9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése

Útmutató: Tárolórendszerképek biztonsági mentése opcionálisan az egyik beállításjegyzékből a másikba történő importálással.

Ügyfél által felügyelt kulcsok biztonsági mentése az Azure Key Vault azure-beli parancssori eszközök vagy SDK-k használatával.

Felelősség: Ügyfél

9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is

Útmutató: Tesztelje a felhasználó által felügyelt kulcsok biztonsági másolatának visszaállítását az Azure Key Vault azure-beli parancssori eszközök vagy SDK-k használatával.

Felelősség: Ügyfél

9.4: A biztonsági másolatok és az ügyfél által kezelt kulcsok védelmének biztosítása

Útmutató: Engedélyezze a helyreállítható törlést az Azure Key Vault, hogy megvédje a kulcsokat a véletlen vagy rosszindulatú törléssel szemben.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire magabiztos a keresésben, vagy a riasztás kiadásához használt elemzésekben. A súlyosság ahhoz a megbízhatósági szinthez is hozzá van kötve, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék állt.

Emellett címkékkel jelölheti meg az előfizetéseket, és létrehozhat egy elnevezési rendszert az Azure-erőforrások azonosításához és kategorizálásához, különösen a bizalmas adatok feldolgozásához. Az Ön felelőssége, hogy rangsorolja a riasztások szervizelését azon Azure-erőforrások és környezet kritikussága alapján, ahol az incidens történt.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.

Felelősség: Ügyfél

10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) azt észleli, hogy az ügyfél adataihoz jogellenes vagy jogosulatlan fél fért hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe

Útmutató: A Microsoft Defender for Cloud riasztásainak és javaslatainak exportálása a Folyamatos exportálás funkcióval. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelnek.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft cloud behatolástesztelési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések