Az Azure biztonsági alapkonfigurációja Azure Database Migration Service

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a Azure Database Migration Service. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és a Azure Database Migration Service vonatkozó kapcsolódó útmutató szerint van csoportosítva.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsen felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Azure Database Migration Service nem alkalmazható vezérlőket és azokat, amelyek esetében a globális útmutatást szó szerint javasolták, kizárták. Annak megtekintéséhez, hogy Azure Database Migration Service hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Database Migration Service biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Azure Database Migration Service erőforrások üzembe helyezésekor létre kell hoznia vagy használnia kell egy meglévő virtuális hálózatot. Győződjön meg arról, hogy az összes Azure-beli virtuális hálózat az üzleti kockázatokhoz igazodó vállalati szegmentálási elvet követi. Minden olyan rendszert, amely nagyobb kockázatot jelenthet a szervezet számára, el kell különíteni a saját virtuális hálózatán belül, és megfelelő védelmet kell biztosítani egy hálózati biztonsági csoporttal (NSG) és/vagy Azure Firewall.

Azure Database Migration Service alapértelmezés szerint TLS 1.2-t használ. Ha az áttelepítendő adatforrás visszamenőleges kompatibilitásához van szükség, a TLS 1.0 vagy a TLS 1.1 támogatása engedélyezhető a Azure Database Migration Service szolgáltatáskonfigurációs paneljén.

A Microsoft Sentinel segítségével felfedezheti az olyan régi nem biztonságos protokollok használatát, mint az SSL/TLSv1, az SMBv1, az LM/NTLMv1, a wDigest, az Unsigned LDAP Binds és a gyenge titkosítás a Kerberosban.

Hálózati biztonsági csoport létrehozása biztonsági szabályokkal: /azure/virtual-network/tutorial-filter-network-traffic

Azure Firewall üzembe helyezése és konfigurálása: /azure/firewall/tutorial-firewall-deploy-portal

Felelősség: Ügyfél

NS-2: Privát hálózatok összekapcsolása

Útmutató: Ha a migrálási használati eset hálózati forgalmat is érint, az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat (VPN) használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben. Az ExpressRoute-kapcsolatok nem haladnak át a nyilvános interneten, és nagyobb megbízhatóságot, gyorsabb sebességet és alacsonyabb késést kínálnak, mint a tipikus internetkapcsolatok. Pont–hely VPN és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat ezen VPN-lehetőségek és az Azure ExpressRoute bármely kombinációjával csatlakoztathatja egy virtuális hálózathoz. Két vagy több azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Felelősség: Ügyfél

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutatás: Adott esetben a Azure Private Link használatával privát hozzáférést engedélyezhet a forrás- és célszolgáltatásokhoz, például a Azure SQL Serverhez vagy más szükséges szolgáltatásokhoz a migrálás során. Olyan helyzetekben, amikor a Azure Private Link még nem érhető el, használja az Azure Virtual Network szolgáltatásvégpontokat. A Azure Private Link és a szolgáltatásvégpontok egyaránt biztonságos hozzáférést biztosítanak a szolgáltatásokhoz egy optimalizált útvonalon keresztül az Azure gerinchálózatán anélkül, hogy átkelnek az interneten.

Emellett győződjön meg arról, hogy az előfeltételek teljesülnek a virtuális hálózaton Azure Database Migration Service kiépítése előtt, beleértve az engedélyezni kívánt kommunikációs portokat is.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Azure Database Migration Service az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell a Azure AD:

Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.

a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

Az Azure AD biztonságának kiemelten fontosnak kell lennie a vállalat felhőbiztonsági gyakorlatában. Az Azure AD egy identitásbiztonsági pontszámmal segít felmérni az identitásbiztonsági helyzetet a Microsoft ajánlott eljárásaihoz viszonyítva. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Megjegyzés: Az Azure AD támogatja a külső identitásokat, ezáltal a Microsoft-fiókkal nem rendelkező felhasználók a külső identitással jelentkezhetnek be az alkalmazásaikba és erőforrásaikba.

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Az Azure Database Migration service megköveteli, hogy a felhasználók létrehozzák az Alkalmazásazonosítót (szolgáltatáselv) és hitelesítési kulcsot az Azure Active Directoryban (Azure AD) Azure SQL felügyelt adatbázis-példányra való migráláshoz "Online" módban. Ehhez az alkalmazásazonosítóhoz vagy a közreműködői szerepkörre van szükség az előfizetés szintjén (ami a túlzott hozzáférési engedélyek miatt nem ajánlott, a közreműködői szerepkört meg kell adni), vagy egyéni szerepköröket kell létrehozni az Azure Database Migrations Service által igényelt konkrét engedélyekkel.

Javasoljuk, hogy az áttelepítés befejezése után távolítsa el ezt az alkalmazásazonosítót.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Azure Database Migration Service integrálva van az Azure Active Directoryval az Azure-erőforrások, felhőalkalmazások és helyszíni alkalmazások identitás- és hozzáférés-kezeléséhez. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók. Ez lehetővé teszi a vállalati adatok és erőforrások egyszeri bejelentkezéssel (SSO) megvalósított kezelését és védelmét a helyszínen és a felhőben. Az összes felhasználót, alkalmazást és eszközt beléptetheti az Azure AD-be a zökkenőmentes, biztonságos hozzáférés, valamint a jobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: Azure Database Migration Service lehetővé teszi az ügyfelek számára, hogy kódot vagy konfigurációkat vagy megőrzött adatokat telepítsenek/futtassanak identitásokkal/titkos kódokkal, javasoljuk, hogy implementálja a Credential Scannert a hitelesítő adatok azonosításához a kódban, konfigurációkban vagy a megőrzött adatokban. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Ha a GitHubot használja, a natív titkos kódvizsgálati funkcióval azonosíthatja a hitelesítő adatokat vagy a titkos kódok más formáit a kódban.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Az Azure Database Migration service megköveteli, hogy a felhasználók létrehozzák az Alkalmazásazonosítót (szolgáltatáselv) és hitelesítési kulcsot az Azure Active Directoryban (Azure AD) Azure SQL felügyelt adatbázis-példányra való migráláshoz "Online" módban. Javasoljuk, hogy az áttelepítés befejezése után távolítsa el ezt az alkalmazásazonosítót.

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazdák, a fejlesztők vagy a kritikus fontosságú szolgáltatások üzemeltetői. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat. Az Azure Active Directory, a Microsoft Defender Advanced Threat Protection (ATP) és/vagy a Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomásokat helyezhet üzembe a rendszergazdai tevékenységekhez. A védett munkaállomások központi kezelésével kikényszeríthető a biztonságos konfiguráció, beleértve az erős hitelesítést, a szoftveres és hardveres alapkonfigurációikat, valamint a korlátozott logikai és hálózati hozzáférést.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Azure Database Migration Service integrálva van az Azure szerepköralapú hozzáférés-vezérlésével (RBAC) az erőforrások kezeléséhez. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Ezeket a szerepköröket hozzárendelheti a felhasználókhoz, a csoportok szolgáltatásneveihez és a felügyelt identitásokhoz. Bizonyos erőforrásokhoz előre meghatározott beépített szerepkörök tartoznak, és ezek a szerepkörök olyan eszközökkel leltározhatók vagy kérdezhetők le, mint az Azure CLI, az Azure PowerShell vagy az Azure Portal. Az erőforrásokhoz az Azure RBAC-n keresztül hozzárendelt jogosultságokat mindig arra kell korlátozni, amit a szerepkörök megkövetelnek. Ez a megközelítés megfelel az Azure AD Privileged Identity Management (PIM) igény szerinti (JIT) módszerének, és a jogosultságok rendszeres felülvizsgálatával jár.

A beépített szerepkörökkel engedélyeket oszthat ki, és csak akkor kell egyéni szerepköröket létrehoznia, ha szükséges.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: Azure Database Migration Service alapértelmezés szerint a TLS 1.2 vagy újabb verziójával titkosítja az ügyfél által konfigurált forrásokból az adatbázis-migrálási szolgáltatás példányára átvitt adatokat. Ezt akkor tilthatja le, ha a forráskiszolgáló nem támogatja a TLS 1.2-kapcsolatot, bár erősen ajánlott ezt megtenni. Az adatok átvitele az adatbázis-áttelepítési szolgáltatás példányáról a célpéldányra mindig titkosítva van.

A Azure Database Migration Service kívül hozzáférés-vezérlést is használhat, az átvitt adatokat védeni kell a "sávon kívüli" támadásokkal szemben (pl. forgalomrögzítés) titkosítással, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat. Győződjön meg arról, hogy a HTTP-forgalom esetében az Azure-erőforrásokhoz csatlakozó ügyfelek egyeztethetik a TLS 1.2-s vagy újabb verziójának egyeztetését. Távoli felügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windowshoz) a titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL/TLS/SSH-verziókat, protokollokat és gyenge titkosításokat.

A mögöttes infrastruktúrában az Azure alapértelmezés szerint átviteltitkosítással biztosítja az Azure-adatközpontok közötti adatforgalmat.

Felelősség: Megosztott

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségeinek struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Címkék alkalmazása Azure-erőforrásokra, erőforráscsoportokra és előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név-érték párból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.

Azure Database Migration Service nem engedélyezi az alkalmazások futtatását vagy a szoftverek telepítését az erőforrásain.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Azure AD a következő felhasználói naplókat nyújtja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitoring eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.

  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.

  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.

  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

A Microsoft Defender for Cloud bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról, az előfizetés elavult fiókjairól is tud riasztást küld. Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Threat Protection modulja részletesebb biztonsági riasztásokat is képes gyűjteni az egyes Azure-beli számítási erőforrásokról (virtuális gépekről, tárolókról, app service-ről), az adaterőforrásokról (SQL DB és tároló) és az Azure szolgáltatásrétegeiről. Ezzel a funkcióval áttekintheti az egyes erőforrások fiókanomáliáit.

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: Hálózati biztonsági csoport (NSG) erőforrásnaplóinak, NSG-folyamatnaplóinak, Azure Firewall naplóinak és Web Application Firewall (WAF) naplóinak engedélyezése és gyűjtése biztonsági elemzésekhez az incidensvizsgálatok, a fenyegetéskeresés és a biztonsági riasztások generálása támogatására. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, majd a Traffic Analytics használatával elemzéseket biztosíthat.

Megjegyzés: Azure Database Migration Service nem hoz létre vagy dolgoz fel OLYAN DNS-lekérdezési naplókat, amelyeket engedélyezni kell.

Felelősség: Ügyfél

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A naplózási tárolás és az elemzés központosítása a korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Győződjön meg arról, hogy az Azure-tevékenységnaplókat a központi naplózásba integrálja. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által generált biztonsági adatok összesítéséhez. Az Azure Monitorban a Log Analytics-munkaterületek használatával lekérdezheti és elvégezheti az elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Emellett engedélyezheti és előkészítheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára.

Számos szervezet úgy dönt, hogy a Microsoft Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage pedig a ritkábban használt "ritka" adatokhoz.

Felelősség: Ügyfél

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Ügyfél

Következő lépések