Az Azure biztonsági alapkonfigurációja Azure Policy

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a Azure Policy. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott megfelelőségi tartományok és biztonsági vezérlők, valamint a Azure Policy vonatkozó kapcsolódó útmutató alapján van csoportosítva.

Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Azure Policy nem alkalmazható vezérlők, valamint azok, amelyek esetében a globális útmutatást szó szerint ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy Azure Policy hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Policy biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Azure Policy nem teszi közzé a mögöttes DNS-konfigurációkat, ezeket a beállításokat a Microsoft tartja karban.

Felelősség: Microsoft

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Azure Policy az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell a Azure AD:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások. – A szervezet erőforrásai, például az Azure-beli alkalmazások vagy a vállalati hálózati erőforrások. A Azure AD biztonságossá tételének kiemelt prioritásnak kell lennie a szervezet felhőbiztonsági gyakorlatában. Az Azure AD egy identitásbiztonsági pontszámmal segít felmérni az identitásbiztonsági helyzetet a Microsoft ajánlott eljárásaihoz viszonyítva. A pontszám segítségével felmérheti, hogy a konfiguráció mennyire felel meg az ajánlott eljárásokra vonatkozó javaslatoknak, és javíthat a biztonsági helyzeten. Megjegyzés: Azure AD támogatja a külső identitásokat, amelyek lehetővé teszik, hogy a Microsoft-fiókkal nem rendelkező felhasználók külső identitással jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

  • Bérlői viszony az Azure Active Directoryban

  • Azure AD-példány létrehozása és konfigurálása

  • Külső identitásszolgáltatók használata alkalmazáshoz

  • Az identitásbiztonsági pontszám fogalma az Azure Active Directoryban

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Azure Policy azure-beli felügyelt identitásokat használ nem emberi fiókokhoz, például szolgáltatásokhoz vagy automatizáláshoz, és javasoljuk, hogy az Azure által felügyelt identitás funkciót használja ahelyett, hogy egy hatékonyabb emberi fiókot hoz létre az erőforrások eléréséhez vagy végrehajtásához. Azure Policy natív hitelesítést végezhet a Azure AD hitelesítést támogató Azure-szolgáltatásokban/-erőforrásokban egy előre meghatározott hozzáférési engedélyezési szabályon keresztül anélkül, hogy a forráskódban vagy konfigurációs fájlokban rögzített, rögzített hitelesítő adatokkal rendelkezik. Azure Policy létrehoz egy felügyelt identitást a szervizelési alapú szabályzat-hozzárendelésekhez. Ha a hozzárendelés a Portálon jön létre, Azure Policy a szabályzatdefinícióban szereplő szerepköröket a felügyelt identitásnak adja. Ha a hozzárendelés SDK-val jön létre, az ügyfél felelős a szükséges szerepkörök megadásáért a felügyelt identitás számára.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Azure Policy az Azure Active Directoryt (Azure AD) használja identitás- és hozzáférés-kezelés biztosításához az Azure-erőforrások, felhőalkalmazások és helyszíni alkalmazások számára. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók. Azure AD lehetővé teszi, hogy az egyszeri bejelentkezés (SSO) a Azure Policy szolgáltatást a Azure Portal keresztül kezelje a szinkronizált vállalati Active Directory-identitások használatával. Az összes felhasználót, alkalmazást és eszközt beléptetheti az Azure AD-be a zökkenőmentes, biztonságos hozzáférés, valamint a jobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: Azure Policy definíciók bizalmas információkat vagy titkos kulcsokat tartalmazhatnak. Ajánlott a hitelesítő adatok naplózása

vagy titkos kódokat a JSON-definíciókban.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: A Azure AD legkritikusabb beépített szerepkörei a globális rendszergazda és a kiemelt szerepkör-rendszergazda, mivel a két szerepkörhöz rendelt felhasználók rendszergazdai szerepköröket delegálhatnak:

  • Globális rendszergazda/vállalati rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek a Azure AD összes felügyeleti funkciójához, valamint az Azure AD identitásokat használó szolgáltatásokhoz.- Kiemelt szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik a szerepkör-hozzárendeléseket Azure AD, valamint a Azure AD Privileged Identity Management (PIM). Emellett ez a szerepkör lehetővé teszi a PIM és a felügyeleti egységek minden aspektusának kezelését. Megjegyzés: Előfordulhat, hogy más kritikus szerepkörökkel is rendelkeznie kell, amelyeket szabályozni kell, ha bizonyos jogosultsági szintű engedélyekkel rendelkező egyéni szerepköröket használ. Érdemes lehet hasonló vezérlőket alkalmazni a kritikus üzleti eszközök rendszergazdai fiókjára is. Korlátoznia kell a kiemelt jogosultságú fiókok vagy szerepkörök számát, és emelt szintű védelmet kell biztosítania ezeknek a fiókoknak. Az ezzel a jogosultsággal rendelkező felhasználók közvetlenül vagy közvetve elolvashatják és módosíthatják az Azure-környezet összes erőforrását. Igény szerinti (JIT) jogosultsági szintű hozzáférést engedélyezhet az Azure-erőforrásokhoz és Azure AD Azure AD PIM használatával. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.

  • Rendszergazdai szerepköri engedélyek az Azure AD-ben

  • Az Azure Privileged Identity Management biztonsági riasztásainak használata

  • Emelt szintű hozzáférés biztosítása Azure AD hibrid- és felhőkörnyezetekhez

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Azure Policy Azure Active Directory-fiókokat (Azure AD) használ az erőforrások kezeléséhez, a felhasználói fiókok áttekintéséhez és a hozzáférési hozzárendelések rendszeres ellenőrzéséhez, hogy a fiókok és hozzáférésük érvényesek legyenek. A Azure AD és a hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A Azure AD Privileged Identity Management (PIM) használatával hozzáférési felülvizsgálati jelentés munkafolyamatokat is létrehozhat a felülvizsgálati folyamat megkönnyítése érdekében.

Emellett Azure AD PIM konfigurálható úgy is, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre, és azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat. Megjegyzés: Egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem a Azure AD kezelnek. Ezeket a felhasználókat külön kell kezelnie.

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazda, a fejlesztő és a kritikus szolgáltatáskezelő. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat. Az Azure Active Directory (Azure AD), a Microsoft Defender Advanced Threat Protection (ATP) és/vagy Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. A biztonságos munkaállomások központilag felügyelhetők a biztonságos konfiguráció kikényszerítéséhez, beleértve az erős hitelesítést, a szoftver- és hardverkonfigurációkat, valamint a korlátozott logikai és hálózati hozzáférést.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Azure Policy integrálva van az Azure szerepköralapú hozzáférés-vezérlésével (RBAC) az erőforrásainak kezeléséhez. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Ezeket a szerepköröket hozzárendelheti a felhasználókhoz, a csoportok szolgáltatásneveihez és a felügyelt identitásokhoz. Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak, és ezek a szerepkörök leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal. Az erőforrásokhoz az Azure RBAC-n keresztül hozzárendelt jogosultságokat mindig arra kell korlátozni, amit a szerepkörök megkövetelnek. Ez kiegészíti a Azure AD Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

A beépített szerepkörök használatával engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: Azure Policy támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával történő átvitel során. Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Felelősség: Microsoft

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.GuestConfiguration:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A Windows-webkiszolgálókat biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül közölt információk védelméhez a webkiszolgálóknak az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS biztonsági tanúsítványokkal védi a hálózaton keresztüli kommunikációt a gépek közötti kapcsolat titkosításához. AuditIfNotExists, Letiltva 3.0.0

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: Alapértelmezés szerint a Microsoft titkosítással titkosítja az inaktív szolgáltatásadatokat a "sávon kívüli" támadások (például a mögöttes tároló elérése) elleni védelem érdekében. Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Felelősség: Microsoft

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például Azure Policy. A biztonsági csapatoknak gyakran van szükségük erre a leltárra, hogy kiértékeljék a szervezet potenciális kitettségét a felmerülő kockázatoknak, és hogy ez a folyamatos biztonsági fejlesztések bemenete legyen. Hozzon létre egy Azure Active Directory- (Azure AD-) csoportot, amely tartalmazza a szervezet engedélyezett biztonsági csapatát, és olvasási hozzáférést rendel hozzájuk az összes Azure Policy erőforráshoz, ami leegyszerűsíthető egyetlen magas szintű szerepkör-hozzárendeléssel az előfizetésen vagy egy felügyeleti csoporton belül.

Azure Policy nem használ címkéket, és nem teszi lehetővé az ügyfelek számára, hogy metaadatként alkalmazzák vagy használják az erőforrások címkéjét az osztályozás logikai rendszerezéséhez.

Azure Policy a DeployIfNotExists effektussal támogatja Resource Manager-alapú erőforrás-telepítéseket. Az Azure Resource Graph-lekérdezéseket is támogatja, és egyéni táblák is támogatják.

Azure Policy nem engedélyezi az alkalmazások futtatását vagy a szoftverek telepítését az erőforrásain. Ismertesse az ajánlat egyéb olyan funkcióit, amelyek lehetővé teszik vagy támogatják ezt a funkciót, adott esetben.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetében. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Azure Policy nem biztosít natív képességeket az erőforrásaival kapcsolatos biztonsági fenyegetések monitorozásához.

Az Azure Policy naplóit továbbíthatja a SIEM-nek, amelyekkel egyéni fenyegetésészleléseket állíthat be. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a lehetséges fenyegetések és anomáliák szempontjából. Összpontosítson a kiváló minőségű riasztások szerzésére, hogy csökkentse az elemzők számára a téves riasztások rendezését. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

Felelősség: Ügyfél

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.

  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. Az auditnaplók közé tartoznak az erőforrások Azure AD belüli módosításai, például felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadása vagy eltávolítása.

  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.

  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

A Microsoft Defender for Cloud riasztásokat is aktiválhat bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról vagy az előfizetés elavult fiókjairól. Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Threat Protection modulja részletesebb biztonsági riasztásokat is képes gyűjteni az egyes Azure számítási erőforrásokból (virtuális gépek, tárolók, App Service), adaterőforrásokból (SQL DB és tárolók) és az Azure-szolgáltatásrétegekből. Ez a képesség lehetővé teszi az egyes erőforrásokon belüli fiókanomáliák láthatóságát.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az automatikusan elérhető tevékenységnaplók az olvasási műveletek (GET) kivételével tartalmazzák az Azure Policy-erőforrások összes írási műveletét (PUT, POST, DELETE). A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Azure Policy jelenleg nem készít Azure-erőforrásnaplókat.

Felelősség: Ügyfél

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A naplózási tárolás és az elemzés központosítása a korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Győződjön meg arról, hogy az Azure-tevékenységnaplókat a központi naplózásba integrálja. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitorban Log Analytics-munkaterületek használatával kérdezhet le és végezhet elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz. Emellett engedélyezheti és előkészítheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára. Számos szervezet úgy dönt, hogy a Microsoft Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage-ot pedig a ritkábban használt adatokhoz.

Felelősség: Ügyfél

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Győződjön meg arról, hogy a Azure Policy naplók tárolására használt tárfiókok vagy Log Analytics-munkaterületek esetében a naplómegőrzési időtartam a szervezet megfelelőségi előírásainak megfelelően van beállítva.

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: Azure Policy nem támogatja a saját időszinkronizálási források konfigurálását.

Azure Policy szolgáltatás a Microsoft időszinkronizálási forrásaira támaszkodik, és nem érhető el az ügyfelek számára a konfiguráláshoz.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása.

A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Ügyfél

Következő lépések