Az Event Grid Azure biztonsági alapkonfigurációja

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza a Microsoft Azure Event Grid. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a Azure Event Grid vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Event Gridre nem alkalmazható vagy a Microsoft felelőssége alá tartozó vezérlők ki lettek zárva. Annak megtekintéséhez, hogy az Event Grid hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg az Event Grid biztonsági alapkonfigurációjának teljes leképezési fájlját.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Útmutató: Privát végpontok használatával engedélyezheti az események közvetlen bejövő forgalmát közvetlenül a virtuális hálózatról az Event Grid-témakörökbe és -tartományokba egy privát kapcsolaton keresztül, anélkül, hogy a nyilvános interneten keresztül lépkednél. Amikor privát végpontot hoz létre az Event Grid-témakörhöz vagy -tartományhoz, az biztonságos kapcsolatot biztosít a virtuális hálózaton lévő ügyfelek és az Event Grid-erőforrás között. A privát végponthoz egy IP-cím van hozzárendelve a virtuális hálózat IP-címtartományából. A privát végpont és az Event Grid szolgáltatás közötti kapcsolat biztonságos privát kapcsolatot használ.

Azure Event Grid a nyilvános IP-alapú hozzáférés-vezérlést is támogatja a témakörökben és tartományokban való közzétételhez. Az IP-alapú vezérlőkkel a közzétevőket egy témakörre vagy tartományra korlátozhatja, és csak jóváhagyott gépek és felhőszolgáltatások készletére korlátozhatja. Ez a funkció kiegészíti az Event Grid által támogatott hitelesítési mechanizmusokat.

Felelősség: Ügyfél

1.2: Virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: Használja a Microsoft Defender for Cloudot, és kövesse a hálózatvédelmi javaslatokat az Event Grid-erőforrások védelmének biztosításához az Azure-ban. Ha ezt használja

Azure-beli virtuális gépek az Event Grid-erőforrások eléréséhez, a hálózati biztonsági csoport (NSG) folyamatnaplóinak engedélyezéséhez és a naplók egy tárfiókba való elküldéséhez a forgalomnaplózáshoz.

Felelősség: Ügyfél

1.3: Kritikus fontosságú webalkalmazások védelme

Útmutató: Nem alkalmazható; ez a javaslat Azure App Service vagy számítási erőforrásokon futó webalkalmazásokhoz készült.

Felelősség: Nem alkalmazható

1.4: Az ismert rosszindulatú IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Az Event Grid-erőforrás IP-tűzfalát úgy konfigurálhatja, hogy a nyilvános interneten keresztüli hozzáférést csak bizonyos IP-címek vagy IP-címtartományok közül korlátozza.

Privát végpontok konfigurálhatók úgy, hogy csak a kiválasztott virtuális hálózatokról korlátozzák a hozzáférést.

Engedélyezze a DDoS Protection Standardet ezeken a virtuális hálózatokon az elosztott szolgáltatásmegtagadásos (DDoS) támadások elleni védelem érdekében. A Microsoft Defender for Cloud Integrated Threat Intelligence használatával megtagadhatja az ismert rosszindulatú vagy nem használt internetes IP-címekkel folytatott kommunikációt. További információért tekintse át a következő cikkeket:

Felelősség: Ügyfél

1.5: Hálózati csomagok rögzítése

Útmutató: Ha Azure-beli virtuális gépeket használ az Event Grid-erőforrások eléréséhez, engedélyezze a hálózati biztonsági csoport (NSG) folyamatnaplóit, és küldjön naplókat egy tárfiókba a forgalomnaplózáshoz. Emellett NSG-forgalomnaplókat is küldhet egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyerhet az Azure-felhőbe irányuló forgalomba. A Traffic Analytics néhány előnye, hogy képes megjeleníteni a hálózati tevékenységeket, azonosítani a gyakori pontokat, azonosítani a biztonsági fenyegetéseket, megérteni a forgalmi mintákat, és azonosítani a hálózati helytelen konfigurációkat.

Vegye figyelembe, hogy a hálózati házirendek alapértelmezés szerint le vannak tiltva, amikor privát végpontok jönnek létre az Event Gridhez, így előfordulhat, hogy a fenti munkafolyamat nem működik.

Ha a rendellenes tevékenységek vizsgálatához szükséges, engedélyezze Network Watcher csomagrögzítést.

Felelősség: Ügyfél

1.6: Hálózatalapú behatolásészlelési/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése

Útmutató: Válasszon ki egy ajánlatot a Azure Marketplace, amely támogatja az IDS/IPS funkciót hasznosadat-vizsgálati képességekkel. Ha a hasznos adatok vizsgálata nem követelmény, Azure Firewall fenyegetésfelderítés használható. Azure Firewall fenyegetésfelderítés-alapú szűrés az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalom riasztására és/vagy letiltására szolgál. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.

A kártékony forgalom észleléséhez és/vagy letiltásához helyezze üzembe az Ön által választott tűzfalmegoldást a szervezet minden hálózati határán.

Felelősség: Ügyfél

1.7: Webalkalmazások forgalmának kezelése

Útmutató: Nem alkalmazható; ez a javaslat Azure App Service vagy számítási erőforrásokon futó webalkalmazásokhoz készült.

Felelősség: Nem alkalmazható

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Útmutató: A Azure Event Grid-erőforrásokhoz hozzáférést igénylő virtuális hálózatok erőforrásaihoz Virtual Network szolgáltatáscímkék használatával határozhatja meg a hálózati hozzáférés-vezérlést a hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például AzureEventGrid) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

Felelősség: Ügyfél

1.9: A hálózati eszközök szabványos biztonsági konfigurációinak karbantartása

Útmutató: Szabványos biztonsági konfigurációk definiálása és implementálása a Azure Event Grid-névterekhez és a Azure Policy társított hálózati erőforrásokhoz. A "Microsoft.EventGrid" és a "Microsoft.Network" névterekben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre az Event Grid-erőforrások hálózati konfigurációjának naplózásához vagy kikényszerítéséhez.

Használhatja az Azure Event Grid kapcsolatos beépített szabályzatdefiníciókat is, például:

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Az Azure Event Grid-erőforrásokhoz társított hálózati erőforrások címkéivel logikailag rendszerezheti őket egy osztályozásban.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak figyeléséhez és a módosítások észleléséhez

Útmutató: Az Azure-tevékenységnaplóval figyelheti a hálózati erőforrások konfigurációit, és észlelheti a Azure Event Grid kapcsolatos hálózati erőforrások változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus hálózati erőforrások módosításakor aktiválódik.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: Naplók betöltése az Azure Monitoron keresztül a Azure Event Grid által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitoron belül a Log Analytics-munkaterület(ek) használatával lekérdezheti és elvégezheti az elemzéseket, és tárfiókokat használhat a hosszú távú/archivált tároláshoz. Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső biztonsági incidens- és eseménykezelésnek (SIEM).

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A diagnosztikai beállítások lehetővé teszik, hogy az Event Grid-felhasználók rögzítsék és megtekintsék a közzétételi és kézbesítési hibák naplóit egy Storage-fiókban, egy eseményközpontban vagy egy Log Analytics-munkaterületen.

Felelősség: Ügyfél

2.4: Biztonsági naplók gyűjtése operációs rendszerekről

Útmutató: Nem alkalmazható; ez a javaslat számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Az Azure Monitorban állítsa be a Azure Event Grid-erőforrásokhoz társított Log Analytics-munkaterületek naplómegőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: Naplók elemzése és monitorozása rendellenes viselkedés esetén, valamint a Azure Event Grid eredményeinek rendszeres áttekintése. Az Azure Monitor és egy Log Analytics-munkaterület használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre a naplóadatokon.

Másik lehetőségként engedélyezheti és kezelheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: Diagnosztikai beállítások engedélyezése az eseményrácson a közzétételi és kézbesítési hibák naplóihoz való hozzáféréshez. Az automatikusan elérhető tevékenységnaplók tartalmazzák az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és más hasznos elemeket. A naplókat elküldheti egy Log Analytics-munkaterületre. A Microsoft Defender for Cloud és a Log Analytics használatával figyelhet és riasztást jeleníthet meg a biztonsági naplókban és eseményekben található rendellenes tevékenységekről.

Riasztásokat is létrehozhat Azure Event Grid metrikákhoz és tevékenységnapló-műveletekhez. Riasztásokat hozhat létre mind a közzétételi, mind a kézbesítési metrikákhoz Azure Event Grid erőforrásokhoz (témakörökhöz és tartományokhoz).

Emellett előkészítheti Log Analytics-munkaterületét a Microsoft Sentinelbe, mivel ez egy biztonsági vezénylési automatizált válaszmegoldást (SOAR) biztosít. Ez lehetővé teszi forgatókönyvek (automatizált megoldások) létrehozását és használatát a biztonsági problémák elhárításához.

Felelősség: Ügyfél

2.8: A kártevőirtó naplózás központosítása

Útmutató: Nem alkalmazható; Azure Event Grid nem dolgoz fel és nem állít elő kártevőirtó naplókat.

Felelősség: Nem alkalmazható

2.9: DNS-lekérdezések naplózásának engedélyezése

Útmutató: Nem alkalmazható; Azure Event Grid nem dolgoz fel vagy állít elő DNS-sel kapcsolatos naplókat.

Felelősség: Nem alkalmazható

2.10: Parancssori naplózás engedélyezése

Útmutató: Nem alkalmazható; ez a javaslat számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: Azure Event Grid lehetővé teszi a különböző felhasználók számára biztosított hozzáférési szint szabályozását különböző felügyeleti műveletekhez, például esemény-előfizetések listázásához, újak létrehozásához és kulcsok létrehozásához. Az Event Grid azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) használ. Az Event Grid támogatja a beépített és az egyéni szerepköröket is.

Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) lehetővé teszi az Azure-erőforrásokhoz való hozzáférés kezelését szerepkör-hozzárendelésekkel. Ezeket a szerepköröket hozzárendelheti felhasználókhoz, csoportok szolgáltatásneveihez és felügyelt identitásaihoz. Bizonyos erőforrásokhoz előre meghatározott beépített szerepkörök tartoznak, és ezek a szerepkörök olyan eszközökkel leltározhatók vagy kérdezhetők le, mint az Azure CLI, az Azure PowerShell vagy az Azure Portal.

Felelősség: Ügyfél

3.2: Az alapértelmezett jelszavak módosítása, ha vannak

Útmutató: Az Event Grid-erőforrások hozzáférés-kezelését az Azure Active Directory (Azure AD) szabályozza. Azure AD nem rendelkezik az alapértelmezett jelszavak fogalmával.

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Szabványos üzemeltetési eljárások létrehozása a dedikált rendszergazdai fiókok használatával kapcsolatban.

Igény szerinti hozzáférést is engedélyezhet az Azure Active Directory (Azure AD) Privileged Identity Management és az Azure Resource Manager használatával.

Az Event Grid lehetővé teszi egy felügyeltszolgáltatás-identitás engedélyezését az Azure Event Grid-témakörökhöz vagy -tartományokhoz, és segítségével továbbíthatja az eseményeket olyan támogatott célhelyekre, mint a Service Bus-üzenetsorok és -témakörök, az eseményközpontok és a tárfiókok. A közös hozzáférésű jogosultságkód (SAS) jogkivonat az események Azure Event Grid való közzétételére szolgál. Hozzon létre egy szabványos üzemeltetési eljárást az eseményhozzáférés, -továbbítás és -közzététel körül ezekkel a fiókokkal.

Felelősség: Ügyfél

3.4: Egyszeri bejelentkezés (SSO) használata az Azure Active Directoryval

Útmutató: Nem alkalmazható; Az Event Grid szolgáltatás nem támogatja az egyszeri bejelentkezést.

Felelősség: Nem alkalmazható

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: Nem alkalmazható; Az Event Grid szolgáltatás nem használ többtényezős hitelesítést.

Felelősség: Nem alkalmazható

3.6: Minden felügyeleti feladathoz használjon dedikált gépeket (Privileged Access Workstations)

Útmutató: Nem alkalmazható; Egyetlen Event Grid-forgatókönyv sem igényel emelt szintű hozzáférésű munkaállomásokat.

Felelősség: Nem alkalmazható

3.7: Naplózás és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: Az Azure Active Directory (Azure AD) biztonsági jelentéseivel és monitorozásával észlelheti, ha gyanús vagy nem biztonságos tevékenység történik a környezetben. A Microsoft Defender for Cloud használatával monitorozza az identitás- és hozzáférési tevékenységeket.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Nem alkalmazható. Az Event Grid nem az Azure Active Directoryt (Azure AD) használja az esemény-közzétételi ügyfelek hitelesítéséhez; támogatja a SAS-kulcsokkal történő hitelesítést.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Az Azure Active Directory (Azure AD) használata központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt lévő adatok erős titkosításával védi az adatokat. Azure AD emellett sózza, kivonatolja és biztonságosan tárolja a felhasználói hitelesítő adatokat.

Az Event Grid lehetővé teszi egy felügyelt szolgáltatásidentitás engedélyezését az Azure Event Grid-témakörök vagy -tartományok számára, és segítségével továbbíthatja az eseményeket olyan támogatott célhelyekre, mint a Service Bus-üzenetsorok és -témakörök, az eseményközpontok és a tárfiókok. A közös hozzáférésű jogosultságkód (SAS) jogkivonat az események Azure Event Grid való közzétételéhez használatos.

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Az Azure Active Directory (Azure AD) naplókat biztosít az elavult fiókok felderítéséhez. Emellett Azure AD identitás- és hozzáférési felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférés rendszeresen áttekinthető, hogy csak a megfelelő felhasználók rendelkezzenek folyamatos hozzáféréssel.

A Azure AD Privileged Identity Management (PIM) használatával naplókat és riasztásokat generálhat, ha gyanús vagy nem biztonságos tevékenység történik a környezetben.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek monitorozása

Útmutató: Hozzáféréssel rendelkezik az Azure Active Directory (Azure AD) bejelentkezési tevékenység-, naplózási és kockázati eseménynapló-forrásaihoz, amelyek lehetővé teszik, hogy integrálható legyen bármely SIEM/monitorozási eszközzel.

Ezt a folyamatot leegyszerűsítheti, ha diagnosztikai beállításokat hoz létre Azure AD felhasználói fiókokhoz, és elküldi az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. A kívánt riasztásokat a Log Analytics-munkaterületen konfigurálhatja.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: Az Azure Active Directory (Azure AD) Identity Protection funkcióival automatikus válaszokat konfigurálhat a felhasználói identitásokkal kapcsolatos gyanús műveletek észleléséhez. További vizsgálat céljából adatokat is betölthet a Microsoft Sentinelbe.

Felelősség: Ügyfél

3.13: Hozzáférés biztosítása a Microsoft számára a megfelelő ügyféladatokhoz a támogatási forgatókönyvek során

Útmutató: Nem alkalmazható; Az Event Grid szolgáltatás jelenleg nem támogatja az Ügyfélszéfet.

Felelősség: Nem alkalmazható

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.1: Bizalmas információk leltárának karbantartása

Útmutató: Címkék használatával nyomon követheti a bizalmas információkat tároló vagy feldolgozó Azure-erőforrásokat.

Felelősség: Ügyfél

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Útmutató: Elkülönítés megvalósítása különálló előfizetések és felügyeleti csoportok használatával az egyes biztonsági tartományokhoz, például a környezet típusához és az adatok bizalmassági szintjéhez. Korlátozhatja az alkalmazások és a vállalati környezetek által igényelt Azure-erőforrásokhoz való hozzáférést. Az Azure-erőforrásokhoz való hozzáférést az Azure RBAC-vel szabályozhatja.

Felelősség: Ügyfél

4.3: Bizalmas adatok jogosulatlan átvitelének monitorozása és letiltása

Útmutató: A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és nagy ideig őrzi meg az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságosak legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Megosztott

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: Azure Event Grid https-t igényel a közzétételhez, és támogatja a HTTPS-t az események webhookvégpontra történő továbbításához. Az Azure Globalban az Event Grid a TLS 1.1-es és 1.2-es verzióját is támogatja, de határozottan javasoljuk, hogy az 1.2-es verziót használja. Az olyan nemzeti felhőkben, mint a 21Vianet által kínában üzemeltetett Azure Government és Azure, az Event Grid csak a TLS 1.2-es verzióját támogatja.

Felelősség: Ügyfél

4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához

Útmutató: Az adatazonosítási, besorolási és veszteségmegelőzési funkciók még nem érhetők el Azure Event Grid. Szükség esetén implementálja a harmadik féltől származó megoldást a megfelelőség érdekében.

A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel, és nagy ideig őrzi meg az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságosak legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.

Felelősség: Ügyfél

4.6: Az Azure RBAC használata az erőforrásokhoz való hozzáférés kezeléséhez

Útmutató: Azure Event Grid támogatja az Azure Active Directory (Azure AD) használatát az Event Grid-erőforrásokra irányuló kérések engedélyezéséhez. A Azure AD azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyeket adhat egy olyan rendszerbiztonsági tagnak, amely lehet egy felhasználó vagy egy alkalmazás-szolgáltatásnév.

Felelősség: Ügyfél

4.9: Napló és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: Az Azure Monitor és az Azure Tevékenységnapló használatával riasztásokat hozhat létre az Azure Event Grid erőforrások éles példányainak és más kritikus vagy kapcsolódó erőforrásoknak a változásairól.

Felelősség: Ügyfél

Biztonságirés-kezelés

További információ: Az Azure biztonsági teljesítménytesztje: Sebezhetőségek kezelése.

5.3: Automatizált javításkezelési megoldás üzembe helyezése külső szoftvercímekhez

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

5.4: A biztonsági rések back-to-back vizsgálatainak összehasonlítása

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

5.5: Kockázatbesorolási folyamat használata a felderített biztonsági rések elhárításának rangsorolásához

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

6.2: Eszköz metaadatainak karbantartása

Útmutató: Címkék alkalmazása Azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezéshez egy osztályozásban.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Címkézés, felügyeleti csoportok és adott esetben különálló előfizetések használata az eszközök rendszerezéséhez és nyomon követéséhez. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.

Felelősség: Ügyfél

6.4: Jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása

Útmutató: Hozzon létre egy leltárt a jóváhagyott Azure-erőforrásokról és a jóváhagyott szoftverekről a számítási erőforrásokhoz a szervezeti igényeknek megfelelően.

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára a következő beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok
  • Engedélyezett erőforrástípusok

Emellett az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben lévő erőforrásokat.

Felelősség: Ügyfél

6.6: Nem jóváhagyott szoftveralkalmazások monitorozása a számítási erőforrásokon belül

Útmutató: Nem alkalmazható; ez a javaslat számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

6.7: Nem jóváhagyott Azure-erőforrások és szoftveralkalmazások eltávolítása

Útmutató: Nem alkalmazható; ez a javaslat számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

6.8: Csak jóváhagyott alkalmazások használata

Útmutató: Nem alkalmazható; ez a javaslat számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára a következő beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok
  • Engedélyezett erőforrástípusok

Emellett az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben lévő erőforrásokat.

Felelősség: Ügyfél

6.10: A jóváhagyott szoftvercímek leltárának karbantartása

Útmutató: Nem alkalmazható; ez a javaslat számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure Active Directory (Azure AD) feltételes hozzáférésének használatával korlátozhatja a felhasználók azure Resources Managerrel való interakcióját a "Hozzáférés letiltása" beállítással a "Microsoft Azure Management" alkalmazáshoz.

Felelősség: Ügyfél

6.12: A felhasználók szkriptek számítási erőforrásokban való végrehajtásának korlátozása

Útmutató: Nem alkalmazható; ez a javaslat számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

6.13: A nagy kockázatú alkalmazások fizikai vagy logikai elkülönítése

Útmutató: Nem alkalmazható; ez a javaslat Azure App Service vagy számítási erőforrásokon futó webalkalmazásokhoz készült.

Felelősség: Nem alkalmazható

Biztonságos konfiguráció

További információ: Azure Security Benchmark: Secure Configuration.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: Standard biztonsági konfigurációk definiálása és implementálása a Azure Event Grid szolgáltatáshoz Azure Policy. A "Microsoft.EventGrid" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Azure Event Grid-szolgáltatások konfigurációjának naplózásához vagy kikényszerítéséhez.

Az Azure Resource Manager képes exportálni a sablont a JavaScript Object Notation (JSON) szolgáltatásban, amelyet felül kell vizsgálni, hogy a konfigurációk megfeleljenek a szervezet biztonsági követelményeinek az üzembe helyezés előtt.

Felelősség: Ügyfél

7.2: Biztonságos operációsrendszer-konfigurációk létrehozása

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Használja Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik], hogy biztonságos beállításokat kényszerítsen ki az Azure-erőforrások között. Emellett azure-Resource Manager-sablonokkal is fenntarthatja a szervezet által igényelt Azure-erőforrások biztonsági konfigurációját.

Felelősség: Ügyfél

7.4: Biztonságos operációsrendszer-konfigurációk fenntartása

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

7.5: Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Ha egyéni Azure Policy definíciókat használ az Event Gridhez vagy a kapcsolódó erőforrásokhoz, az Azure Repos használatával biztonságosan tárolhatja és kezelheti a kódot.

Felelősség: Ügyfél

7.6: Egyéni operációsrendszer-lemezképek biztonságos tárolása

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: A "Microsoft.EventGrid" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a rendszerkonfigurációk riasztásához, naplózásához és kényszerítéséhez. Emellett dolgozzon ki egy folyamatot és egy folyamatot a szabályzatkivételeket kezelő folyamathoz.

Felelősség: Ügyfél

7.8: Konfigurációkezelő eszközök telepítése operációs rendszerekhez

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

7.9: Azure-erőforrások automatizált konfigurációs monitorozásának implementálása

Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet az Azure-erőforrásokon. Emellett a Azure Policy használatával riasztást és naplózást végezhet az Azure-erőforrások konfigurációiban.

Felelősség: Ügyfél

7.10: Automatizált konfigurációfigyelés implementálása operációs rendszerekhez

Útmutató: Nem alkalmazható; ez az útmutató a számítási erőforrásokhoz készült.

Felelősség: Nem alkalmazható

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: Az Event Grid közös hozzáférésű jogosultságkód (SAS) jogkivonatot használ az események Event Grid-témakörökben vagy -tartományokban való közzétételéhez. SAS-jogkivonatok létrehozása, amelyek csak korlátozott időkeretben férnek hozzá a szükséges erőforrásokhoz.

A felügyelt identitások és az Azure Key Vault együttes használatával egyszerűsítheti a felhőalkalmazások titkos kulcskezelését.

Felelősség: Ügyfél

7.12: Identitások biztonságos és automatikus kezelése

Útmutató: Az Event Grid lehetővé teszi egy felügyeltszolgáltatás-identitás engedélyezését az Azure Event Grid-témakörökhöz vagy -tartományokhoz. Segítségével eseményeket továbbíthat olyan támogatott célhelyekre, mint a Service Bus-üzenetsorok és -témakörök, az eseményközpontok és a tárfiókok.

Felelősség: Ügyfél

7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése

Útmutató: Implementálja a Hitelesítőadat-ellenőrzőt a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Felelősség: Ügyfél

Kártevők elleni védelem

További információ: Azure Security Benchmark: Malware Defense.

8.2: Nem számítási Azure-erőforrásokba feltöltendő fájlok előzetes vizsgálata

Útmutató: A Microsoft Anti-malware engedélyezve van az Azure-szolgáltatásokat támogató mögöttes gazdagépen (például Azure Event Grid), de nem fut az ügyféltartalomon.

Az Ön felelőssége, hogy előre megvizsgálja a nem számítási Azure-erőforrásokba feltöltött tartalmakat. A Microsoft nem fér hozzá az ügyféladatokhoz, ezért nem végezhet kártevőirtó vizsgálatokat az ügyféltartalmakon az Ön nevében.

Felelősség: Ügyfél

Adat-helyreállítás

További információ: Azure Security Benchmark: Data Recovery.

9.1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Az Event Grid a metaadatok automatikus geo-vészhelyreállításával (GeoDR) rendelkezik nemcsak az új, hanem az összes meglévő tartományhoz, témakörhöz és esemény-előfizetéshez. Ha egy teljes Azure-régió leáll, az Event Grid már szinkronizálja az eseményhez kapcsolódó infrastruktúra metaadatait egy párosított régióba.

Felelősség: Ügyfél

9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése

Útmutató: Az Event Grid a metaadatok automatikus geo-vészhelyreállításával (GeoDR) rendelkezik nemcsak az új, hanem az összes meglévő tartományhoz, témakörhöz és esemény-előfizetéshez. Ha egy teljes Azure-régió leáll, az Event Grid már szinkronizálja az eseményhez kapcsolódó infrastruktúra metaadatait egy párosított régióba.

Az Event Grid jelenleg nem támogatja az ügyfél által kezelt kulcsokat.

Felelősség: Ügyfél

9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is

Útmutató: Az Event Grid a metaadatok automatikus geo-vészhelyreállításával (GeoDR) rendelkezik nemcsak az új, hanem az összes meglévő tartományhoz, témakörhöz és esemény-előfizetéshez. Ha egy teljes Azure-régió leáll, az Event Grid már szinkronizálja az eseményhez kapcsolódó infrastruktúra metaadatait egy párosított régióba.

Az Event Grid jelenleg nem támogatja az ügyfél által kezelt kulcsokat.

Felelősség: Ügyfél

9.4: A biztonsági másolatok és az ügyfél által kezelt kulcsok védelmének biztosítása

Útmutató: Engedélyezze a helyreállítható törlést és a törlés elleni védelmet Key Vault a kulcsok véletlen vagy rosszindulatú törlés elleni védelméhez.

Az Event Grid jelenleg nem támogatja az ügyfél által kezelt kulcsokat.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Incidenskezelési útmutató kidolgozása a szervezet számára. Győződjön meg arról, hogy vannak olyan írásos incidenskezelési tervek, amelyek meghatározzák a személyzet összes szerepkörét, valamint az incidenskezelés és -kezelés fázisait az észleléstől az incidens utáni felülvizsgálatig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás keresésében vagy elemzési felhasználásában, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Emellett címkékkel jelölheti meg az előfizetéseket, és létrehozhat egy elnevezési rendszert az Azure-erőforrások azonosításához és kategorizálásához, különösen a bizalmas adatok feldolgozásához. Az Ön felelőssége, hogy rangsorolja a riasztások szervizelését azon Azure-erőforrások és környezet kritikussága alapján, ahol az incidens történt.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez az Azure-erőforrások védelme érdekében. Azonosítsa a gyenge pontokat és hiányosságokat, majd szükség szerint módosítsa a választervet.

Felelősség: Ügyfél

10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) észleli, hogy adatait egy jogellenes vagy jogosulatlan fél férte hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe

Útmutató: A Microsoft Defender for Cloud riasztásainak és javaslatainak exportálása a folyamatos exportálási funkcióval az Azure-erőforrásokat érintő kockázatok azonosításához. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelbe.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a biztonsági riasztásokra és javaslatokra az Azure-erőforrások védelme érdekében.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft cloud behatolástesztelési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések