A Cost Management Azure-os biztonsági alapkonfigurációja

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a Microsoft Azure Cost Managementre. Az Azure biztonsági teljesítménytesztje javaslatokat nyújt ahhoz, hogyan védheti meg felhőalapú megoldásait az Azure-ban. A tartalma az Azure-biztonsági teljesítményteszt és a Cost Managementre érvényes kapcsolódó útmutatások által meghatározott biztonsági vezérlők szerint van csoportosítva.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsen felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Cost Managementre nem alkalmazható vezérlők, valamint azok, amelyek esetében a globális útmutatást szó szerint ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy a Cost Management hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a Cost Management biztonsági alapkonfigurációjának teljes leképezési fájlát.

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory szabványosítása központi identitáskezelési és hitelesítési rendszerként

Útmutató: Az Azure Cost Management az Azure Active Directoryval (Azure AD) van integrálva, amely az Azure alapértelmezett identitás- és hozzáférés-kezelési szolgáltatása. Érdemes szabványosítani az Azure AD-t, hogy irányítani tudja vele a szervezet identitás- és hozzáférés-vezérlését a következőkben:

  • a Microsoft felhőalapú erőforrásaiban, például az Azure Portalon, az Azure Storage-ban, az Azure-beli (Linux és Windows rendszerű) virtuális gépeken, az Azure Key Vaultban, illetve a PaaS- és az SaaS-alkalmazásokban;
  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

Kitüntetett figyelmet kell fordítani rá a cég vagy szervezet felhőalapú biztonsági gyakorlatában, hogy az Azure AD-t biztonságossá tegyék. Az Azure AD megad egy identitásbiztonsági pontszámot, amely alapján kiértékelheti, milyen az identitásbiztonság állapota a Microsoft ajánlott eljárásokra vonatkozó javaslataihoz képest. A pontszám segít felmérni, hogy a használt konfiguráció milyen mértékben felel meg az ajánlott eljárásokkal kapcsolatos javaslatoknak, és javíthatja a cég vagy szervezet biztonsági állapotát.

Megjegyzés: Az Azure AD támogatja a külső identitásszolgáltatókat, így a Microsoft-fiók nélküli felhasználók is bejelentkezhetnek az alkalmazásokba és erőforrásokba egy külső identitással.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure Cost Management az Azure Active Directoryt (Azure AD) használja identitás- és hozzáférés-kezelés biztosításához az Azure-erőforrások, a felhőalkalmazások és a helyszíni alkalmazások számára. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók. Ez lehetővé teszi a vállalati adatok és erőforrások egyszeri bejelentkezéssel (SSO) megvalósított kezelését és védelmét a helyszínen és a felhőben. Az összes felhasználót, alkalmazást és eszközt beléptetheti az Azure AD-be a zökkenőmentes, biztonságos hozzáférés, valamint a jobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Magas jogosultsági szintű felhasználók védelme és korlátozása

Útmutató: A Nagyvállalati Szerződések (EA) Cost Managementje az alábbi magas jogosultsági szintű fiókkal rendelkezik.

  • Vállalati rendszergazda

Javasoljuk, hogy rendszeresen ellenőrizze a Nagyvállalati Szerződésben (EA) a szerepkörökhöz hozzárendelt felhasználókat.

Az is ajánlott, hogy korlátozza a magas jogosultsági szintű fiókok vagy szerepkörök számát, és ezeket a fiókokat megerősített védelemmel lással el, mert az ilyen jogosultsággal rendelkező felhasználók közvetlenül vagy közvetve elolvashatják és módosíthatják az Azure-környezet minden erőforrását.

Az azure-erőforrásokhoz és az Azure Active Directoryhoz (Azure AD) való igény szerinti hozzáférést (JIT) a Azure AD Privileged Identity Management (PIM) használatával engedélyezheti. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.

Felelősség: Ügyfél

PA-3: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Az Azure Cost Management a megfelelő hozzáféréssel tudja biztosítani a céges vagy szervezeti költségadatok megtekintését és kezelését. A hozzáférés az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) vezérelhető az előfizetés szintjén, valamint Nagyvállalati Szerződésekben (EA) vagy Microsoft Ügyfélszerződésekben (MCA) meghatározott rendszergazdai szerepkörökkel a számlázási hatókörökhöz. Rendszeresen ellenőrizze és tekintse át a hozzáféréseket, hogy a felhasználók és a csoportok biztosan a szükséges hozzáféréssel rendelkezzenek.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Az Azure Cost Management integrálva van az Azure szerepköralapú hozzáférés-vezérléssel (RBAC) az erőforrások (költségvetések, mentett jelentések stb.) kezelése érdekében. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Ezeket a szerepköröket felhasználókhoz, csoportokhoz és szolgáltatásnevekhez rendelheti. Bizonyos erőforrásokhoz előre meghatározott beépített szerepkörök tartoznak, és ezek a szerepkörök olyan eszközökkel leltározhatók vagy kérdezhetők le, mint az Azure CLI, az Azure PowerShell vagy az Azure Portal. Az erőforrásokhoz az Azure RBAC-n keresztül hozzárendelt jogosultságokat mindig arra kell korlátozni, amit a szerepkörök megkövetelnek. Ez kiegészíti az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

A beépített szerepkörökkel engedélyeket oszthat ki, és csak akkor kell egyéni szerepköröket létrehoznia, ha szükséges.

Az Azure Cost Management beépített szerepköröket, olvasókat és közreműködőket kínál.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Érdemes felderíteni, besorolni és címkézni a bizalmas adatait, hogy megfelelő vezérlőket tudjon megtervezni, amelyekkel a bizalmas adatok biztonságosan tárolhatók, dolgozhatók fel és továbbíthatók a cég vagy szervezet technológiai rendszereivel.

Az Azure-ban, a helyszínen, az Office 365-ben és máshol lévő Office-dokumentumokban található bizalmas információkhoz használja az Azure Information Protectiont (és a hozzá tartozó vizsgálati eszközt).

Az Azure SQL Information Protection segítséget nyújthat az Azure SQL-adatbázisokban tárolt adatok besorolásában és címkézésében.

Felelősség: Ügyfél

DP-2: A bizalmas adatok védelme

Útmutató: A bizalmas adatok védelme érdekében ajánlott korlátozni a hozzáférést az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC), hálózatalapú hozzáférés-vezérlőkkel és az Azure-szolgáltatások adott vezérlőivel (például titkosítással SQL- és más adatbázisokban).

A következetes hozzáférés-vezérlés biztosításához a hozzáférés-vezérlés összes típusát a vállalati szegmentálási stratégiához kell igazítani. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.

A Microsoft által felügyelt mögöttes platformon a Microsoft az összes ügyféltartalmat bizalmasként kezeli, és védelmet nyújt az ügyfelek adatainak elvesztése és mások általi hozzáférése ellen. Ahhoz, hogy az ügyféladatok az Azure-on belül biztonságban maradjanak, a Microsoft implementált néhány alapértelmezett adatvédelmi vezérlőt és képességet.

Felelősség: Ügyfél

DP-3: A bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: Monitorozhatja az adatok jogosulatlan átvitelét olyan területekre, amelyek kívül esnek a vállalat látóterén és irányításán. Ez általában az olyan rendellenes tevékenységek (nagy méretű vagy szokatlan átvitelek) monitorozását jelenti, amelyek jogosulatlan adatkiszivárogtatást jelezhetnek.

Az Azure Storage Advanced Threat Protection (ATP) és az Azure SQL ATP riasztást küldhet olyan rendellenes információátvitelekről, amelyek bizalmas adatok jogosulatlan átvitelét jelezhetik.

Az Azure Information Protection (AIP) monitorozási képességeket biztosít a besorolt és címkézett információkhoz.

Ha az adatveszteség-megelőzési (data loss prevention, DLP) megfelelőséghez szükséges, egy gazdagépalapú DLP-megoldással észlelési és/vagy megelőzési célú vezérlőket kényszeríthet ki az adatok kiszivárogtatásának megakadályozása érdekében.

Felelősség: Ügyfél

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként az átvitt adatokat védeni kell a "sávon kívüli" támadásokkal (pl. forgalomrögzítéssel) szemben, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat. Az Azure Cost Management támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során. Bár ez nem kötelező a privát hálózatok forgalmához, ez kritikus fontosságú a külső és a nyilvános hálózatokon. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Távfelügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-, TLS- és SSH-verziókat és -protokollokat, valamint a gyenge titkosításokat. Alapértelmezés szerint az Azure titkosítást biztosít a

Felelősség: Microsoft

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlők kiegészítéseként az Azure Cost Management exportálási funkciója támogatja az inaktív adatok Azure Storage-beli titkosítását a Microsoft által felügyelt kulcstitkosítás használatával, hogy ki tudja védeni a sávon kívüli támadásokat (például a mögöttes tároló elérését). Ez az alapértelmezett beállítás segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

További információ:

Felelősség: Ügyfél

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségi körének struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat felelőssége lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.
  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.
  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

A Microsoft Defender for Cloud bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról, az előfizetés elavult fiókjairól is képes riasztást küld. Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Threat Protection modulja részletesebb biztonsági riasztásokat is képes gyűjteni az egyes Azure számítási erőforrásokból (virtuális gépek, tárolók, App Service), adaterőforrásokból (SQL DB és tárolók) és az Azure-szolgáltatásrétegekből. Ez a képesség lehetővé teszi az egyes erőforrások fiókanomáliáinak láthatóságát.

Javasoljuk továbbá, hogy rendszeresen ellenőrizze a Nagyvállalati Szerződésben (EA) a szerepkörökhöz hozzárendelt felhasználókat.

Felelősség: Ügyfél

A biztonsági állapot és a biztonsági rések kezelése

További információért lásd: Az Azure biztonsági teljesítménytesztje: Állapot- és biztonságirés-kezelés.

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: Szoftverfrissítések gyors telepítése az operációs rendszerek és alkalmazások szoftveres biztonsági réseinek elhárítása érdekében. Rangsoroljon egy közös kockázatpontozó programot (például common vulnerability scoring system) vagy a külső vizsgálati eszköz által biztosított alapértelmezett kockázati minősítéseket, és szabja testre a környezetet annak kontextusában, hogy mely alkalmazások jelentenek magas biztonsági kockázatot, és melyek igényelnek magas üzemidőt.

Felelősség: Ügyfél

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések