Az Azure biztonsági alapkonfigurációja az Azure HPC Cache

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a Microsoft Azure HPC Cache. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és az Azure HPC Cache vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure HPC Cache nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy az Azure HPC Cache hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure HPC Cache biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Az Azure HPC Cache-erőforrások üzembe helyezésekor létre kell hoznia vagy használnia kell egy meglévő virtuális hálózatot.

Győződjön meg arról, hogy az összes Azure-beli virtuális hálózat az üzleti kockázatokhoz igazodó vállalati szegmentálási elvet követi. Minden olyan rendszert, amely nagyobb kockázatot jelenthet a szervezet számára, el kell különíteni a saját virtuális hálózatán belül, és megfelelő védelmet kell biztosítani egy hálózati biztonsági csoporttal (NSG) és/vagy Azure Firewall.

A gyorsítótár használatához két, hálózattal kapcsolatos előfeltételt kell beállítani:

  • Dedikált alhálózat az Azure HPC Cache-példányhoz

  • DNS-támogatás, hogy a gyorsítótár hozzáférhessen a tárolóhoz és más erőforrásokhoz

Az Azure HPC Cache egy dedikált alhálózatra van szüksége, amely a következő tulajdonságokkal rendelkezik:

  • Az alhálózatnak legalább 64 ELÉRHETŐ IP-címmel kell rendelkeznie.

  • Az alhálózaton belüli kommunikációnak korlátlannak kell lennie. Ha hálózati biztonsági csoportot használ a gyorsítótár-alhálózathoz, győződjön meg arról, hogy a belső IP-címek közötti összes szolgáltatást engedélyezi.

  • Az alhálózat nem tud más virtuális gépeket üzemeltetni, még a kapcsolódó szolgáltatások, például az ügyfélszámítógépek esetében sem.

  • Ha több Azure HPC Cache-példányt használ, mindegyiknek saját alhálózatra van szüksége.

Az ajánlott eljárás egy új alhálózat létrehozása minden gyorsítótárhoz. A gyorsítótár létrehozásakor létrehozhat egy új virtuális hálózatot és alhálózatot.

A HPC Cache helyszíni NAS-tárolóval való használatához meg kell győződnie arról, hogy a helyszíni hálózat bizonyos portjai engedélyezik az Azure HPC Cache alhálózatáról érkező korlátlan forgalmat.

Hálózati biztonsági csoport létrehozása biztonsági szabályokkal: /azure/virtual-network/tutorial-filter-network-traffic

Azure Firewall üzembe helyezése és konfigurálása: /azure/firewall/tutorial-firewall-deploy-portal

Felelősség: Ügyfél

NS-2: Privát hálózatok összekapcsolása

Útmutató: Az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat (VPN) használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben. Az ExpressRoute-kapcsolatok nem a nyilvános interneten keresztül haladnak át, és nagyobb megbízhatóságot, gyorsabb sebességet és alacsonyabb késést kínálnak, mint a tipikus internetkapcsolatok. Pont–hely VPN és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat ezen VPN-lehetőségek és az Azure ExpressRoute bármilyen kombinációjával csatlakoztathatja egy virtuális hálózathoz.

Két vagy több Azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

A HPC Cache erőforrások csak az Azure Virtual Network kapcsolódnak, és nem érhetők el az Azure éles belső hálózataiból. Ezért a HPC Cache szolgáltatást közvetlenül a virtuális hálózatról, a társviszonyban álló virtuális hálózatokról, vagy egy Virtual Network-átjárón (ExpressRoute vagy VPN Gateway) keresztül a helyszínen érheti el. A HPC Cache számítási erőforrásokhoz való hozzáférést csak az auditált JIT-hozzáférést igénylő, engedéllyel rendelkező szolgáltatás-/mérnöki személyzet engedélyezi.

Felelősség: Ügyfél

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: Az Azure Virtual Network-szolgáltatásvégpontok használatával biztonságos hozzáférést biztosíthat a HPC Cache. A szolgáltatásvégpontok optimalizált útvonalak az Azure gerinchálózatán az internet átlépése nélkül.

HPC Cache nem támogatja a Azure Private Link használatát a felügyeleti végpontok magánhálózaton való védelméhez.

A privát hozzáférés egy további mélységi védelmi intézkedés az Azure-szolgáltatások által kínált hitelesítés és forgalombiztonság mellett.

Felelősség: Ügyfél

NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadások ellen

Útmutató: Az HPC Cache-erőforrások védelme külső hálózatokról érkező támadásokkal szemben, beleértve az elosztott szolgáltatásmegtagadásos (DDoS)-támadásokat, az alkalmazásspecifikus támadásokat, valamint a kéretlen és potenciálisan rosszindulatú internetes forgalmat.

Az Azure natív képességeket biztosít ehhez a védelemhez:

  • Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalom ellen.
  • Az azure-beli virtuális hálózatokon a DDoS standard szintű védelmének engedélyezésével védheti eszközeit a DDoS-támadások ellen.
  • A Microsoft Defender for Cloud használatával észlelheti a hálózati erőforrásokhoz kapcsolódó helytelen konfigurációs kockázatokat.

Az Azure HPC Cache nem webalkalmazások futtatására szolgál, és nem követeli meg további beállítások konfigurálását vagy további hálózati szolgáltatások üzembe helyezését a webalkalmazásokat célzó külső hálózati támadások elleni védelem érdekében.

Felelősség: Ügyfél

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Nem alkalmazható; Ez a javaslat olyan ajánlatokhoz készült, amelyek üzembe helyezhetők az Azure-beli virtuális hálózatokban, vagy amelyek képesek az engedélyezett IP-tartományok csoportosításának meghatározására a hatékony felügyelet érdekében. HPC Cache jelenleg nem támogatja a szolgáltatáscímkéket.

Az ajánlott eljárás egy új alhálózat létrehozása minden gyorsítótárhoz. A gyorsítótár létrehozásakor létrehozhat egy új virtuális hálózatot és alhálózatot.

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Kövesse a DNS-biztonság ajánlott eljárásait, hogy elhárítsa az olyan gyakori támadásokat, mint a dangling DNS, DNS-erősítő támadások, DNS-mérgezés és hamisítás stb.

Az Azure HPC Cache dns-sel kell hozzáférnie a gyorsítótár privát virtuális hálózatán kívüli erőforrásokhoz. Ha a munkafolyamat azure-on kívüli erőforrásokat is tartalmaz, az Azure DNS használata mellett saját DNS-kiszolgálót is be kell állítania és biztonságossá kell tennie.

  • Az Azure Blob Storage-végpontok, Az Azure-alapú ügyfélgépek vagy más Azure-erőforrások eléréséhez használja az Azure DNS-t.
  • A helyszíni tároló eléréséhez vagy a gyorsítótárhoz az Azure-on kívüli ügyfelekről való csatlakozáshoz létre kell hoznia egy egyéni DNS-kiszolgálót, amely képes feloldani ezeket az állomásneveket.
  • Ha a munkafolyamat belső és külső erőforrásokat is tartalmaz, állítsa be az egyéni DNS-kiszolgálót úgy, hogy az Azure-specifikus feloldási kéréseket továbbítsa az Azure DNS-kiszolgálónak.

Ha az Azure DNS-t használja mérvadó DNS-szolgáltatásként, az Azure RBAC és az erőforrás-zárolások használatával győződjön meg arról, hogy a DNS-zónák és -rekordok védve vannak a véletlen vagy rosszindulatú módosításoktól.

Ha saját DNS-kiszolgálót konfigurál, mindenképpen kövesse az alábbi biztonsági irányelveket:

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Az Azure HPC Cache nincs integrálva az Azure Active Directoryval a belső műveletekhez. A Azure AD azonban a Azure Portal vagy a parancssori felület felhasználóinak hitelesítésére is használható HPC Cache üzemelő példányok és kapcsolódó összetevők létrehozásához, megtekintéséhez és kezeléséhez.

Az Azure Active Directory (Azure AD) az Azure alapértelmezett identitás- és hozzáférés-kezelési szolgáltatása. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell Azure AD:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.

  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

Az Azure AD biztonságának kiemelten fontosnak kell lennie a vállalat felhőbiztonsági gyakorlatában. Az Azure AD egy identitásbiztonsági pontszámmal segít felmérni az identitásbiztonsági helyzetet a Microsoft ajánlott eljárásaihoz viszonyítva. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Megjegyzés: Azure AD támogatja a külső identitást, amely lehetővé teszi, hogy a Microsoft-fiókkal nem rendelkező felhasználók a külső identitásukkal jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: HPC Cache azure-beli felügyelt identitásokat használ nem emberi fiókokhoz, például szolgáltatásokhoz vagy automatizáláshoz. Javasoljuk, hogy az Azure felügyelt identitás funkcióját használja ahelyett, hogy egy hatékonyabb emberi fiókot hoz létre az erőforrások eléréséhez vagy végrehajtásához.

HPC Cache natív módon végezhet hitelesítést az Azure Active Directory -hitelesítést (Azure AD) támogató Azure-szolgáltatásokban/-erőforrásokban előre meghatározott hozzáférési engedélyezési szabályokkal. Így elkerülhető, hogy a forráskódban vagy konfigurációs fájlokban használjon rögzített hitelesítő adatokat.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure HPC Cache nem integrálható az Azure Active Directoryval (Azure AD) a belső műveletekhez. A Azure AD azonban a Azure Portal vagy a parancssori felület felhasználóinak hitelesítésére is használhatók HPC Cache üzemelő példányok és kapcsolódó összetevők létrehozásához, megtekintéséhez és kezeléséhez.

Azure AD identitás- és hozzáférés-kezelést biztosít az Azure-erőforrásokhoz, a felhőalkalmazásokhoz és a helyszíni alkalmazásokhoz. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók. Ez lehetővé teszi a vállalati adatok és erőforrások egyszeri bejelentkezéssel (SSO) megvalósított kezelését és védelmét a helyszínen és a felhőben. Az összes felhasználót, alkalmazást és eszközt beléptetheti az Azure AD-be a zökkenőmentes, biztonságos hozzáférés, valamint a jobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Ellenőrizze rendszeresen a felhasználói fiókokat és a hozzáférés-hozzárendelést, hogy a fiókok és hozzáférési szintjeik érvényesek legyenek.

Az Azure HPC Cache Azure Active Directory-fiókokkal (Azure AD) kezelheti a felhasználói hozzáférést a Azure Portal és a kapcsolódó felületeken keresztül. Azure AD hozzáférési felülvizsgálatokat kínál, amelyek segítenek áttekinteni a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A Azure AD Privileged Identity Management használatával hozzáférési felülvizsgálati jelentés munkafolyamatot is létrehozhat a felülvizsgálati folyamat megkönnyítése érdekében.

Emellett az Azure Privileged Identity Management konfigurálható úgy, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre, és azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Megjegyzés: Egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem a Azure AD kezelnek. Ezeket a felhasználókat külön kell kezelnie.

Az NFS-tárolópéldányok használatakor a hálózati rendszergazdákkal és a tűzfalkezelőkkel kell együttműködnie a hozzáférési beállítások ellenőrzéséhez, valamint annak biztosításához, hogy az Azure HPC Cache képes legyen kommunikálni az NFS-tárolórendszerekkel.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: HPC Cache integrálva van az Azure szerepköralapú hozzáférés-vezérlésével (RBAC) az erőforrásainak kezeléséhez. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Ezeket a szerepköröket hozzárendelheti a felhasználókhoz, a csoportok szolgáltatásneveihez és a felügyelt identitásokhoz. Bizonyos erőforrásokhoz előre meghatározott beépített szerepkörök tartoznak, és ezek a szerepkörök olyan eszközökkel leltározhatók vagy kérdezhetők le, mint az Azure CLI, az Azure PowerShell vagy az Azure Portal.

Az erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat mindig a szerepkörök által megkövetelt jogosultságokra kell korlátozni. Ez kiegészíti az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

A beépített szerepkörökkel engedélyeket oszthat ki, és csak akkor kell egyéni szerepköröket létrehoznia, ha szükséges.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: HPC Cache kezeli a bizalmas adatokat, de nem képes a bizalmas adatok felderítésére, besorolására és címkézésére.

Felelősség: Megosztott

DP-2: A bizalmas adatok védelme

Útmutató: A bizalmas adatok védelme az Azure-beli szerepköralapú Access Control (Azure RBAC), a hálózati hozzáférés-vezérlők és az Azure-szolgáltatások adott vezérlői (például az SQL és más adatbázisok titkosítása) használatával történő hozzáférés korlátozásával.

A következetes hozzáférés-vezérlés biztosításához a hozzáférés-vezérlés összes típusát a vállalati szegmentálási stratégiához kell igazítani. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.

A Microsoft által felügyelt mögöttes platformon a Microsoft az összes ügyféltartalmat bizalmasként kezeli, és védelmet nyújt az ügyfelek adatainak elvesztése és mások általi hozzáférése ellen. Ahhoz, hogy az ügyféladatok az Azure-on belül biztonságban maradjanak, a Microsoft implementált néhány alapértelmezett adatvédelmi vezérlőt és képességet.

Felelősség: Megosztott

DP-3: Bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: HPC Cache bizalmas adatokat továbbít, de nem támogatja a bizalmas adatok jogosulatlan átvitelének figyelését.

Felelősség: Megosztott

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: HPC Cache támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során.

Bár ez nem kötelező a privát hálózatok forgalmához, ez kritikus fontosságú a külső és a nyilvános hálózatok forgalmához. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek egyeztethetik a TLS 1.2-s vagy újabb verziójának egyeztetését. Távoli felügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) a titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-, TLS- és SSH-verziókat és protokollokat, valamint a gyenge titkosításokat.

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Felelősség: Megosztott

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítése érdekében az inaktív adatokat titkosítással kell védeni a "sávon kívüli" támadásokkal szemben (például a mögöttes tárolóhoz való hozzáféréssel). Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Az Azure alapértelmezés szerint inaktív titkosítással biztosít adatokat. A rendkívül bizalmas adatok esetében lehetőség van további titkosítás implementálására az összes Azure-erőforráson, ahol elérhető. Az Azure alapértelmezés szerint kezeli a titkosítási kulcsokat, de az Azure bizonyos Azure-szolgáltatásokhoz saját kulcsokat (ügyfél által felügyelt kulcsokat) is kezelhet.

Az Azure-ban tárolt összes adat, beleértve a gyorsítótárlemezeket is, alapértelmezés szerint a Microsoft által felügyelt kulcsokkal van titkosítva inaktív állapotban. Csak akkor kell testre szabnia az Azure HPC Cache beállításait, ha kezelni szeretné az adatok titkosításához használt kulcsokat.

Ha a számítási erőforrások megfelelőségéhez szükséges, implementáljon egy harmadik féltől származó eszközt, például egy automatizált gazdagépalapú adatveszteség-megelőzési megoldást, amely akkor is kényszeríti a hozzáférés-vezérlést az adatokra, ha az adatokat kimásolják egy rendszerből.

Felelősség: Megosztott

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségeinek struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Az Azure HPC Cache támogatja a címkék használatát. Címkéket alkalmazhat az Azure-erőforrásokra, -erőforráscsoportokra és -előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név-érték párból áll.

Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra. A címkék a gyorsítótár létrehozásakor és a gyorsítótár üzembe helyezése után is hozzáadhatók.

Az Azure Virtual Machine Inventory használatával automatizálhatja a szoftveradatok gyűjtését a Virtual Machines. A szoftvernév, a verzió, a közzétevő és a frissítés ideje a Azure Portal érhető el. A telepítési dátumhoz és egyéb információkhoz való hozzáféréshez engedélyezze a vendégszintű diagnosztikát, és helyezze a Windows-eseménynaplókat egy Log Analytics-munkaterületre. HPC Cache nem teszi lehetővé alkalmazások futtatását vagy szoftverek telepítését az erőforrásain.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: HPC Cache támogatja az Azure Resource Manager üzemelő példányait. Az Azure Policy használatával ellenőrizheti és korlátozhatja a felhasználók által a környezetben kiépíthető szolgáltatások körét. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Használja a Microsoft Defender for Cloud beépített fenyegetésészlelési funkcióját, és engedélyezze a Microsoft Defendert a HPC Cache-erőforrásokhoz. A Microsoft Defender for HPC Cache egy további biztonságiintelligencia-réteget biztosít, amely észleli a gyorsítótár-erőforrások elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket.

Az egyéni fenyegetésészlelések beállításához használható naplókat továbbíthatja az HPC Cache-ból a SIEM-be. Győződjön meg arról, hogy különböző típusú Azure-objektumokat figyel a lehetséges fenyegetések és anomáliák szempontjából. Összpontosítson a kiváló minőségű riasztások szerzésére, hogy csökkentse az elemzők számára a téves riasztások rendezését. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

Felelősség: Ügyfél

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.
  • Auditnaplók – Nyomon követhetőség biztosítása naplókon keresztül az Azure AD különböző funkciói által végrehajtott módosításokhoz. Az auditnaplók közé tartoznak az erőforrások Azure AD belüli módosításai, például felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadása vagy eltávolítása.
  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

A Microsoft Defender for Cloud riasztást is képes jelezni bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról vagy az előfizetés elavult fiókjairól. Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Threat Protection modulja részletesebb biztonsági riasztásokat is képes gyűjteni az egyes Azure számítási erőforrásokból (virtuális gépek, tárolók, App Service), adaterőforrásokból (SQL DB és tárolók) és az Azure-szolgáltatásrétegekből. Ez a képesség lehetővé teszi az egyes erőforrások fiókanomáliáinak láthatóságát.

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: A VPN-átjárók és csomagrögzítési képességeik a gyakran elérhető csomagrögzítési eszközök mellett a virtuális hálózatok között áthaladó hálózati csomagok rögzítésére is használhatók.

Helyezzen üzembe egy hálózati biztonsági csoportot azon a hálózaton, amelyen az Azure HPC Cache-erőforrások üzembe vannak helyezve. Engedélyezze a hálózati biztonsági csoport forgalmi naplóit a hálózati biztonsági csoportokon a forgalom naplózásához.

A folyamatnaplókat a rendszer egy tárfiókban őrzi meg. Engedélyezze a Traffic Analytics-megoldásnak, hogy feldolgozhassa és elküldhesse ezeket a folyamatnaplókat egy Log Analytics-munkaterületre. A Traffic Analytics további betekintést nyújt az Azure-hálózatok forgalmi folyamatába. A Traffic Analytics segítségével megjelenítheti a hálózati tevékenységeket, azonosíthatja a gyakori pontokat, azonosíthatja a biztonsági fenyegetéseket, megértheti a forgalmi mintákat, és azonosíthatja a hálózati helytelen konfigurációkat.

A gyorsítótárnak DNS-sel kell hozzáférnie a virtuális hálózaton kívüli erőforrásokhoz. A használt erőforrásoktól függően előfordulhat, hogy egyéni DNS-kiszolgálót kell beállítania, és konfigurálnia kell a továbbítást a kiszolgáló és az Azure DNS-kiszolgálók között.

Implementáljon egy külső megoldást a Azure Marketplace dns-naplózási megoldásához a szervezet igényeinek megfelelően.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure HPC Cache-erőforrások automatikusan létrehoznak tevékenységnaplókat. Ezek a naplók tartalmazzák az összes írási műveletet (PUT, POST, DELETE), de nem tartalmaznak olvasási műveleteket (GET). A tevékenységnaplók felhasználhatók hibák keresésére a hibaelhárítás során, vagy annak figyelésére, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

A Microsoft Defender for Cloud és a Azure Policy használatával engedélyezheti az Azure-erőforrásnaplókat a HPC Cache számára, valamint naplózhatja az adatgyűjtést. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek későbbi kivizsgálásához és a kriminalisztikai gyakorlatok elvégzéséhez.

Felelősség: Megosztott

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A naplózási tárolás és az elemzés központosítása a korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Győződjön meg arról, hogy az Azure-tevékenységnaplókat a központi naplózásba integrálja. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitorban Log Analytics-munkaterületek használatával kérdezhet le és végezhet elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Emellett engedélyezheti és előkészítheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára.

Számos szervezet úgy dönt, hogy a Microsoft Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage-ot pedig a ritkán használt adatokhoz.

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: HPC Cache nem támogatja a saját időszinkronizálási források konfigurálását. A HPC Cache szolgáltatás a Microsoft időszinkronizálási forrásaira támaszkodik, amelyek nem érhetők el az ügyfelek számára a konfiguráláshoz.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-3: Számítási erőforrások biztonságos konfigurációinak létrehozása

Útmutató: A Microsoft Defender for Cloud és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson, beleértve a virtuális gépeket, a tárolókat és más erőforrásokat is.

Felelősség: Ügyfél

PV-6: Szoftveres sebezhetőségi felmérések végrehajtása

Útmutató: Nem alkalmazható; A Microsoft biztonságirés-kezelést végez az HPC Cache támogató mögöttes rendszereken.

Felelősség: Microsoft

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Mivel az Azure HPC Cache egy gyorsítótárazási megoldás, nem pedig egy tárolórendszer, a tárolóhelyeken lévő adatok rendszeres biztonsági mentésére kell összpontosítania. Kövesse az Azure Blob-tárolókra és a helyszíni tárolók biztonsági mentésére vonatkozó szabványos eljárásokat.

A regionális kimaradások miatti fennakadások minimalizálása érdekében lépéseket tehet a régiók közötti adathozzáférés biztosításához.

Minden Azure HPC Cache-példány egy adott előfizetésen belül és egy régióban fut. Ez azt jelenti, hogy a gyorsítótár-munkafolyamat esetleg megszakadhat, ha a régióban teljes szolgáltatáskimaradás van. A fennakadás minimalizálása érdekében a szervezetnek több régióból elérhető háttértárat kell használnia. Ez a tároló lehet egy megfelelő DNS-támogatással rendelkező helyszíni NAS-rendszer, vagy olyan Azure Blob Storage, amely a gyorsítótártól eltérő régióban található.

Ahogy a munkafolyamat az elsődleges régióban folytatódik, a rendszer a régión kívüli hosszú távú tárolóba menti az adatokat. Ha a gyorsítótár-régió elérhetetlenné válik, létrehozhat egy duplikált Azure HPC Cache-példányt egy másodlagos régióban, csatlakozhat ugyanahhoz a tárolóhoz, és folytathatja a munkát az új gyorsítótárból.

Felelősség: Ügyfél

BR-2: Biztonsági mentési adatok titkosítása

Útmutató: Győződjön meg arról, hogy a biztonsági másolatok védve vannak a támadások ellen. Ennek tartalmaznia kell a biztonsági másolatok titkosítását a bizalmasság elvesztése elleni védelem érdekében.

Az Azure Backup-t használó helyszíni biztonsági mentések esetében az inaktív állapotban történő titkosítás a megadott jelszóval történik. Az Azure-szolgáltatások rendszeres biztonsági mentéséhez a biztonsági mentési adatok automatikusan titkosítva lesznek az Azure platform által felügyelt kulcsokkal. A biztonsági mentést ügyfél által felügyelt kulcsokkal titkosíthatja. Ebben az esetben győződjön meg arról, hogy ez az ügyfél által felügyelt kulcs a kulcstartóban is szerepel a biztonsági mentés hatókörében.

Az Azure HPC Cache virtuálisgép-gazdagép titkosítása is védi a gyorsítótárazott adatokat tároló felügyelt lemezeken, még akkor is, ha hozzáad egy ügyfélkulcsot a gyorsítótárlemezekhez. Az ügyfél által felügyelt kulcs dupla titkosításhoz való hozzáadása további biztonsági szintet biztosít a magas biztonsági igényű ügyfelek számára. A részletekért olvassa el az Azure Disk Storage kiszolgálóoldali titkosítását.

Szerepköralapú hozzáférés-vezérlés használata Azure Backup, Azure Key Vault vagy más erőforrásokban a biztonsági másolatok és az ügyfél által felügyelt kulcsok védelméhez. Emellett engedélyezheti, hogy a speciális biztonsági funkciók többtényezős hitelesítést igényeljenek a biztonsági másolatok módosítása vagy törlése előtt.

Felelősség: Ügyfél

BR-3: Az összes biztonsági másolat és az ügyfelek által kezelt kulcsok ellenőrzése

Útmutató: Rendszeresen győződjön meg arról, hogy visszaállíthatja az ügyfél által felügyelt biztonsági másolatok kulcsait.

Felelősség: Ügyfél

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Győződjön meg arról, hogy rendelkezik olyan intézkedésekkel, amelyek megakadályozzák és helyreállítják a kulcsok elvesztését. Engedélyezze a helyreállítható törlést és a végleges törléssel szembeni védelmet az Azure Key Vaultban, hogy megvédje a kulcsokat a véletlen vagy rosszindulatú törléssel szemben.

Felelősség: Ügyfél

Következő lépések