Azure biztonsági alapkonfiguráció az Azure Cosmos DB-hez

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza az Azure Cosmos DB-hez. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Cosmos DB-hez kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Cosmos DB-hez nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy az Azure Cosmos DB hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Cosmos DB biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Cosmos DB-erőforrások üzembe helyezésekor hozzon létre vagy használjon egy meglévő virtuális hálózatot. Győződjön meg arról, hogy az összes Azure-beli virtuális hálózat az üzleti kockázatoknak megfelelő vállalati szegmentálási elvet követi. Minden olyan rendszert, amely nagyobb kockázatot jelenthet a szervezet számára, el kell különíteni a saját virtuális hálózatán belül, és megfelelően kell védeni egy hálózati biztonsági csoporttal (NSG) és/vagy Azure Firewall.

A Microsoft Defender for Cloud Adaptive Network Hardening használatával olyan hálózati biztonsági csoportkonfigurációkat javasolhat, amelyek a külső hálózati forgalmi szabályokra való hivatkozás alapján korlátozzák a portokat és a forrás IP-címeket.

Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat a hálózati biztonsági csoport szabályai alapján. Adott, jól definiált alkalmazások (például háromszintű alkalmazások) esetében ez alapértelmezés szerint rendkívül biztonságos megtagadás lehet.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.DocumentDB:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Az Azure Cosmos DB-fiókoknak tűzfalszabályokkal kell rendelkezniük Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. Az engedélyezett virtuális hálózati szűrővel definiált legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.0.0

NS-2: Privát hálózatok összekapcsolása

Útmutató: Az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat (VPN) használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben. Az ExpressRoute-kapcsolatok nem a nyilvános interneten haladnak át, így az általános internetes kapcsolatoknál megbízhatóbbak, gyorsabbak és alacsonyabb a késésük. Pont–hely VPN és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat ezen VPN-lehetőségek és az Azure ExpressRoute bármilyen kombinációjával csatlakoztathatja egy virtuális hálózathoz.

Két vagy több Azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Felelősség: Ügyfél

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: A Azure Private Link használatával privát hozzáférést engedélyezhet a Cosmos DB-hez a virtuális hálózatokról anélkül, hogy átküldi az internetet.

A privát hozzáférés egy további mélységi védelmi intézkedés az Azure-szolgáltatások által kínált hitelesítéshez és forgalombiztonsághoz.

Felelősség: Ügyfél

NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadások ellen

Útmutató: A Cosmos DB-erőforrások védelme a külső hálózatokról érkező támadások ellen, beleértve az elosztott szolgáltatásmegtagadásos (DDoS-) támadásokat, az alkalmazásspecifikus támadásokat, valamint a kéretlen és potenciálisan rosszindulatú internetes forgalmat. Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalom ellen. Az azure-beli virtuális hálózatokon a DDoS standard szintű védelmének engedélyezésével védheti eszközeit a DDoS-támadások ellen. A Microsoft Defender for Cloud használatával észlelheti a hálózattal kapcsolatos erőforrások helytelen konfigurációs kockázatait.

A Cosmos DB nem webalkalmazások futtatására szolgál, és nem követeli meg további beállítások konfigurálását vagy további hálózati szolgáltatások üzembe helyezését a webalkalmazásokat célzó külső hálózati támadások elleni védelem érdekében.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.DocumentDB:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Az Azure Cosmos DB-fiókoknak tűzfalszabályokkal kell rendelkezniük Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. Az engedélyezett virtuális hálózati szűrővel definiált legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. Naplózás, megtagadás, letiltva 2.0.0

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a hálózati biztonsági csoportokon vagy a Cosmos DB-erőforrásokhoz konfigurált Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

Az AzureCosmosDB szolgáltatáscímke a kimenő használathoz támogatott, regionális és Azure Firewall is használható.

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Kövesse a DNS-biztonság ajánlott eljárásait az olyan gyakori támadások elhárításához, mint a dangling DNS, DNS-erősítő támadások, DNS-mérgezés és hamisítás stb.

Ha az Azure DNS-t használja mérvadó DNS-szolgáltatásként, győződjön meg arról, hogy a DNS-zónák és -rekordok védve vannak a véletlen vagy rosszindulatú módosításoktól az Azure RBAC és az erőforrás-zárolások használatával.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: A Cosmos DB az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell Azure AD:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.
  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

A Azure AD biztonságossá tételének kiemelt fontosságúnak kell lennie a szervezet felhőbiztonsági gyakorlatában. Azure AD egy identitásbiztonsági pontszámot biztosít, amellyel felmérheti az identitásbiztonsági állapotot a Microsoft ajánlott eljárásaihoz képest. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Megjegyzés: Azure AD támogatja a külső identitásokat, amelyek lehetővé teszik, hogy a Microsoft-fiókkal nem rendelkező felhasználók a külső identitásukkal jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

Az Azure Cosmos DB beépített Azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) biztosít az általános felügyeleti forgatókönyvekhez az Azure Cosmos DB-ben. Az Azure Active Directoryban profillal rendelkező személyek hozzárendelhetik ezeket az Azure-szerepköröket felhasználókhoz, csoportokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz, hogy hozzáférést biztosítsanak vagy megtagadjanak az Azure Cosmos DB-erőforrások erőforrásaihoz és műveleteihez. A szerepkör-hozzárendelések hatóköre csak a vezérlősíkhoz való hozzáférésre terjed ki, amely magában foglalja az Azure Cosmos-fiókokhoz, adatbázisokhoz, tárolókhoz és ajánlatokhoz való hozzáférést (átviteli sebességet).

Az Azure Cosmos DB három módszert kínál az adatokhoz való hozzáférés szabályozására. Az elsődleges kulcsok közös titkos kulcsok, amelyek bármilyen felügyeleti vagy adatműveletet lehetővé teszik. Írásvédett és írásvédett változatokban is. A szerepköralapú hozzáférés-vezérlés részletes, szerepköralapú engedélymodellt biztosít az Azure Active Directory- (AAD-) identitások használatával a hitelesítéshez. Az erőforrás-jogkivonatok részletes engedélymodellt biztosítanak a natív Azure Cosmos DB-felhasználók és -engedélyek alapján.

Felelősség: Megosztott

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: A Cosmos DB támogatja az Azure-erőforrások felügyelt identitásait. Felügyelt identitások használata a Cosmos DB-vel szolgáltatásnevek létrehozása helyett más erőforrások eléréséhez. A Cosmos DB natív módon képes hitelesíteni azokat az Azure-szolgáltatásokat/erőforrásokat, amelyek támogatják a Azure AD hitelesítést egy előre definiált hozzáférés-engedélyezési szabályon keresztül anélkül, hogy a forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat használnak.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: A Cosmos DB integrálható az Azure Active Directoryval (Azure AD), hogy identitás- és hozzáférés-kezelést biztosítson az Azure-erőforrásokhoz. Az Azure Cosmos DB kétféle kulcstípussal engedélyezi a felhasználókat, és nem támogatja az egyszeri Sign-On (SSO) az adatsík szintjén. A Cosmos DB vezérlősíkjának elérése azonban REST API-val érhető el, és támogatja az egyszeri bejelentkezést. A hitelesítéshez állítsa be a kérések engedélyezési fejlécét egy JSON webes jogkivonatra, amelyet Azure AD szerezhet be.

Felelősség: Megosztott

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: A Cosmos DB nem a kód tárolására szolgál, azonban a Cosmos DB üzemelő példányaival kapcsolatos ARM-sablonok esetében ajánlott a Hitelesítőadat-ellenőrző implementálása azokon az adattárakban, amelyek ezeket a sablonokat tárolják a hitelesítő adatok konfigurációkon belüli azonosítása érdekében. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: A Azure AD legfontosabb beépített szerepkörei a globális rendszergazda és a kiemelt szerepkörök rendszergazdái, mivel a két szerepkörhöz rendelt felhasználók rendszergazdai szerepköröket delegálhatnak:

  • Globális rendszergazda/vállalati rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek a Azure AD összes felügyeleti funkciójához, valamint az Azure AD identitásokat használó szolgáltatásokhoz.
  • Emelt szintű szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik a szerepkör-hozzárendeléseket Azure AD, valamint a Azure AD Privileged Identity Management (PIM) szolgáltatásban. Emellett ez a szerepkör lehetővé teszi a PIM és a felügyeleti egységek minden aspektusának kezelését.

Megjegyzés: Előfordulhat, hogy más kritikus szerepkörökkel is rendelkezik, amelyeket szabályozni kell, ha bizonyos emelt szintű engedélyekkel rendelkező egyéni szerepköröket használ. Érdemes lehet hasonló vezérlőket alkalmazni a kritikus fontosságú üzleti eszközök rendszergazdai fiókjára is.

Korlátoznia kell a magas jogosultsági szintű fiókok vagy szerepkörök számát, és emelt szintű védelemmel kell ellátnia ezeket a fiókokat. Az ezzel a jogosultsággal rendelkező felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az Azure-környezet összes erőforrását.

Igény szerinti (JIT) jogosultsági szintű hozzáférést engedélyezhet az Azure-erőforrásokhoz, és Azure AD Azure AD PIM használatával. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: A Cosmos DB Azure Active Directory- (Azure AD-) fiókokkal kezeli az erőforrásait, rendszeresen ellenőrzi a felhasználói fiókokat és a hozzáférési hozzárendeléseket, hogy biztosítsa a fiókok és hozzáférésük érvényességét. A Azure AD és a hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A Azure AD Privileged Identity Management (PIM) használatával hozzáférési felülvizsgálati jelentés munkafolyamatokat is létrehozhat a felülvizsgálati folyamat megkönnyítése érdekében.

Emellett Azure AD PIM konfigurálható úgy is, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre, és azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Megjegyzés: Egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem a Azure AD kezel. Ezeket a felhasználókat külön kell kezelnie.

Az Azure Cosmos DB 5 beépített szerepkört biztosít:

  • A DocumentDB-fiók közreműködője kezelheti az Azure Cosmos DB-fiókokat.
  • A Cosmos DB-fiók olvasója be tudja olvasni az Azure Cosmos DB-fiókadatokat.
  • A Cosmos biztonsági mentési operátora visszaállítási kérelmet küldhet Azure Portal számára egy rendszeres biztonsági mentést engedélyező adatbázishoz vagy tárolóhoz, és módosíthatja a biztonsági mentés időközét és a Azure Portal megőrzési időtartamát.
  • A CosmosRestoreOperator képes visszaállítási műveletet végrehajtani az Azure Cosmos DB-fiókhoz folyamatos biztonsági mentési módban.
  • A Cosmos DB-operátor Kiépítheti az Azure Cosmos-fiókokat, -adatbázisokat és -tárolókat.

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazda, a fejlesztő és a kritikus szolgáltatás üzemeltetője. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat. Az Azure Active Directory (Azure AD), a Microsoft Defender Advanced Threat Protection (ATP) és/vagy a Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. A biztonságos munkaállomások központilag kezelhetők a biztonságos konfiguráció kikényszerítéséhez, beleértve az erős hitelesítést, a szoftveres és hardveres alapkonfigurációkat, valamint a korlátozott logikai és hálózati hozzáférést.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: A Cosmos DB integrálva van az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) az erőforrásainak kezelése érdekében. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Ezeket a szerepköröket felhasználókhoz, csoportok szolgáltatásneveihez és felügyelt identitásaihoz rendelheti hozzá. Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak, és ezek a szerepkörök leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal. Az erőforrásokhoz az Azure RBAC-n keresztül hozzárendelt jogosultságokat mindig arra kell korlátozni, amit a szerepkörök megkövetelnek. Ez kiegészíti a Azure AD Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

A beépített szerepkörök használatával engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.

Az Azure Cosmos DB 5 beépített szerepkört biztosít a konfigurációhoz és az adatokhoz való hozzáférés kezeléséhez. A munkájuk elvégzéséhez szükséges legalacsonyabb szintű hozzáférés biztosítása a felhasználóknak.

Felelősség: Ügyfél

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft-támogatáshoz

Útmutató: A Cosmos DB nem támogatja az ügyfélszéfet. A Microsoft nem zárolt módszerrel működhet együtt az ügyfelekkel az ügyféladatokhoz való hozzáférés jóváhagyásához.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Az automatikus adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el az Azure Cosmos DB-hez. A besoroláshoz és az adatelemzéshez azonban használhatja a Azure Cognitive Search-integrációt. Ha megfelelőségi célokból szükséges, külső megoldást is implementálhat.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és nagy léptékű védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Ügyfél

DP-2: A bizalmas adatok védelme

Útmutató: A bizalmas adatok védelme az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC), a hálózatalapú hozzáférés-vezérlés és az Azure-szolgáltatások adott vezérlői (például titkosítás) használatával történő hozzáférés korlátozásával.

Az egységes hozzáférés-vezérlés érdekében minden hozzáférés-vezérlési típusnak igazodnia kell a vállalati szegmentálási stratégiához. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.

A mögöttes platform (a Microsoft által felügyelt) esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Ahhoz, hogy az ügyféladatok az Azure-on belül biztonságban maradjanak, a Microsoft implementált néhány alapértelmezett adatvédelmi vezérlőt és képességet.

A Cosmos DB az ügyfél által felügyelt kulcsokat is támogatja egy további titkosítási szint érdekében.

Felelősség: Megosztott

DP-3: Bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: A Cosmos DB támogatja az Advanced Threat Protectiont. Az Advanced Threat Protection az Azure Cosmos DB-hez egy további biztonságiintelligencia-réteget biztosít, amely észleli az Azure Cosmos DB-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. Ez a védelmi réteg biztonsági szakértő nélkül is lehetővé teszi a fenyegetések elhárítását, és integrálható a központi biztonsági monitorozási rendszerekkel.

Felelősség: Ügyfél

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként az átvitt adatokat titkosítással kell védeni a sávon kívüli támadások (például a forgalomrögzítés) ellen, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

A Cosmos DB támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során.

Bár ez nem kötelező a privát hálózatok forgalmához, ez kritikus fontosságú a külső és a nyilvános hálózatokon. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Távfelügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-t, TLS-t, SSH-verziókat és -protokollokat, valamint a gyenge titkosításokat.

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Az Azure Cosmos DB-hez csatlakozó összes kapcsolat támogatja a HTTPS-t. A 2020. július 29. után létrehozott fiókok alapértelmezés szerint a TLS 1.2 minimális TLS-verziójával rendelkeznek. Kérheti a fiókok 2020. július 29. előtt létrehozott minimális TLS-verziójának TLS 1.2-re azurecosmosdbtls@service.microsoft.comvaló frissítését.

Felelősség: Megosztott

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként a Cosmos DB titkosítással titkosítja az inaktív adatokat a sávon kívüli támadások (például a mögöttes tároló elérése) elleni védelem érdekében. Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Az Azure Cosmos-fiókban tárolt adatok automatikusan és zökkenőmentesen titkosítva lesznek a Microsoft által kezelt kulcsokkal (szolgáltatás által felügyelt kulcsokkal). Másik lehetőségként hozzáadhat egy második titkosítási réteget a kezelt kulcsokkal (ügyfél által felügyelt kulcsokkal).

Felelősség: Megosztott

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.DocumentDB:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat Az Azure Cosmos DB többi részén az ügyfél által kezelt kulcsok használatával kezelheti a titkosítást. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által kezelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. A kulcs életciklusa teljes körű vezérléssel és felelősségsel rendelkezik, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. naplózás, megtagadás, letiltva 1.0.2

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségi körének struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat felelőssége lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Címkék alkalmazása Az Azure Cosmos DB-példányokra és a kapcsolódó erőforrásokra vonatkozó metaadatokkal, például a bizalmas adatokat tároló vagy feldolgozó Azure Cosmos DB-példányok nyomon követésével. A Cosmos DB nem engedélyezi az alkalmazások futtatását és a szoftverek telepítését az erőforrásain.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Cosmos DB támogatja az erőforrás-telepítések megtagadását Azure Policy, így korlátozhatja azokat az üzemelő példányokat, amelyekben a szolgáltatás még nincs jóváhagyva. A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetében a biztonsági igényeknek megfelelően. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetéseken belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Használja a Microsoft Defender for Cloud beépített fenyegetésészlelési képességét, és engedélyezze a Microsoft Defendert a Cosmos DB-erőforrásokhoz. A Microsoft Defender for Cosmos DB egy további biztonságiintelligencia-réteget biztosít, amely észleli a Cosmos DB-erőforrások elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket.

A Cosmos DB naplóit továbbíthatja a SIEM-nek, amelyekkel egyéni fenyegetésészleléseket állíthat be. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a lehetséges fenyegetések és anomáliák szempontjából. Összpontosítson a kiváló minőségű riasztások szerzésére, hogy csökkentse az elemzők számára a téves riasztások rendezését. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

Felelősség: Ügyfél

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.
  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. Az auditnaplók közé tartoznak az erőforrások Azure AD belüli módosításai, például felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadása vagy eltávolítása.
  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

A Microsoft Defender for Cloud riasztásokat is aktiválhat bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról vagy az előfizetés elavult fiókjairól. Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Threat Protection modulja részletesebb biztonsági riasztásokat is képes gyűjteni az egyes Azure számítási erőforrásokból (virtuális gépek, tárolók, App Service), adaterőforrásokból (SQL DB és tárolók) és az Azure-szolgáltatásrétegekből. Ez a képesség lehetővé teszi az egyes erőforrásokon belüli fiókanomáliák láthatóságát.

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: A Cosmos DB egyetlen erőforrást sem helyez üzembe közvetlenül egy virtuális hálózaton. A Cosmos DB azonban lehetővé teszi privát végpontok használatát, hogy biztonságosan csatlakozzon az erőforrásaihoz egy virtuális hálózatról. A Cosmos DB emellett nem hoz létre vagy dolgoz fel DNS-lekérdezési naplókat, amelyeket engedélyezni kell.

Engedélyezze a naplózást a konfigurált Privát Cosmos DB-végpontokon a következő adatok rögzítéséhez:

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az automatikusan elérhető tevékenységnaplók az olvasási műveletek (GET) kivételével tartalmazzák a Cosmos DB-erőforrások összes írási műveletét (PUT, POST, DELETE). A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Azure-erőforrásnaplók engedélyezése a Cosmos DB-hez. A Microsoft Defender for Cloud és a Azure Policy használatával engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a kriminalisztikai gyakorlatok elvégzéséhez.

Felelősség: Ügyfél

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A Cosmos DB-naplók naplózásának, tárolásának és elemzésének központosítása. Győződjön meg arról, hogy a Cosmos DB felügyeleti műveletei által létrehozott Azure-tevékenységnaplókat integrálja a központi naplózási megoldásba. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitorban Log Analytics-munkaterületek használatával kérdezhet le és végezhet elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Emellett engedélyezheti és előkészítheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára.

Számos szervezet úgy dönt, hogy a Microsoft Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage-ot pedig a ritkán használt adatokhoz.

Felelősség: Ügyfél

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Győződjön meg arról, hogy a Cosmos DB-erőforrások által létrehozott naplók tárolására használt tárfiókok vagy Log Analytics-munkaterületek naplómegőrzési ideje a szervezet megfelelőségi előírásainak megfelelően van beállítva.

Az Azure Monitorban beállíthatja a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Azure Storage-, Data Lake- vagy Log Analytics-munkaterületfiókok használata hosszú távú és archivált tároláshoz.

Felelősség: Ügyfél

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: Az Azure Blueprints használatával automatizálhatja a Cosmos DB szolgáltatás üzembe helyezését és konfigurálását, beleértve az Azure Resources Manager-sablonokat, az Azure RBAC-vezérlőket és a szabályzatokat egyetlen tervdefinícióban.

Az Advanced Threat Protection az Azure Cosmos DB-hez egy további biztonságiintelligencia-réteget biztosít, amely észleli az Azure Cosmos DB-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. Ez a védelmi réteg biztonsági szakértő nélkül is lehetővé teszi a fenyegetések elhárítását, és integrálható a központi biztonsági monitorozási rendszerekkel.

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Útmutató: A Microsoft Defender for Cloud használatával monitorozhatja a konfigurációs alapkonfigurációt, és kikényszerítheti ezeket a konfigurációkat Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] hatásokkal a cosmos DB-erőforrások biztonságos konfigurációjának fenntartása érdekében.

A "Microsoft.DocumentDB" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a rendszerkonfigurációk riasztásához, naplózásához és kikényszerítéséhez. Emellett a szabályzatkivételeket kezelő folyamatot és folyamatot is fejleszthet.

Felelősség: Ügyfél

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása.

A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Ügyfél

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Az Azure Cosmos DB rendszeres időközönként automatikusan biztonsági másolatot készít az adatokról. Ha törli az adatbázist vagy a tárolót, küldjön támogatási jegyet, vagy hívja Azure-támogatás, hogy visszaállítsa az adatokat az automatikus online biztonsági másolatokból. Azure-támogatás csak olyan kiválasztott csomagokhoz érhető el, mint a Standard, a Developer és a magasabb csomagok. A biztonsági mentés adott pillanatképének visszaállításához az Azure Cosmos DB megköveteli, hogy az adatok a pillanatkép biztonsági mentési ciklusának idejére elérhetők legyen.

Ha Key Vault használ a Cosmos DB-példányok hitelesítő adatainak tárolására, gondoskodjon a kulcsok rendszeres automatikus biztonsági mentéséről.

Felelősség: Megosztott

BR-2: Biztonsági mentési adatok titkosítása

Útmutató: A Cosmos DB-ben tárolt összes felhasználói adat alapértelmezés szerint inaktív állapotban van titkosítva. Nincs olyan vezérlő, amely kikapcsolhatja. Az Azure Cosmos DB AES-256 titkosítást használ minden olyan régióban, ahol a fiók fut.

Alapértelmezés szerint a Microsoft kezeli az Azure Cosmos-fiókban lévő adatok titkosításához használt kulcsokat. Másik titkosítási réteget is hozzáadhat saját kulcsaival.

Felelősség: Microsoft

BR-3: Az összes biztonsági másolat és az ügyfelek által kezelt kulcsok ellenőrzése

Útmutató: Az Azure Cosmos DB rendszeres időközönként automatikusan biztonsági másolatot készít az adatokról. Ha törli az adatbázist vagy a tárolót, küldjön támogatási jegyet, vagy hívja Azure-támogatás, hogy visszaállítsa az adatokat az automatikus online biztonsági másolatokból. A biztonsági mentés adott pillanatképének visszaállításához az Azure Cosmos DB megköveteli, hogy az adatok a pillanatkép biztonsági mentési ciklusának idejére elérhetők legyen.

Ha Key Vault használ az ügyfél által felügyelt kulcsokkal titkosított Cosmos DB-példányok hitelesítő adatainak tárolására, gondoskodjon a kulcsok rendszeres automatikus biztonsági mentéséről.

Felelősség: Ügyfél

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Győződjön meg arról, hogy rendelkezik olyan mértékekkel, amelyek megakadályozzák és helyreállítják a kulcsok elvesztését. Engedélyezze a helyreállítható törlést és a törlés elleni védelmet az Azure Key Vault, hogy megvédje a titkosítási kulcsokat a véletlen vagy rosszindulatú törlésekkel szemben.

Felelősség: Ügyfél

Következő lépések