Azure biztonsági alapkonfiguráció az Azure nyilvános IP-címéhez

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza az Azure nyilvános IP-címére. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és az Azure nyilvános IP-címére vonatkozó kapcsolódó útmutatás szerint van csoportosítva.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsen felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure nyilvános IP-címére nem alkalmazható vagy a Microsoft felelősségi körébe tartozó vezérlők ki lettek zárva. Annak megtekintéséhez, hogy az Azure nyilvános IP-cím hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg az Azure nyilvános IP-címének alapkonfiguráció-leképezési fájljának teljes leírását.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Az Azure nyilvános IP-címei címkéket rendelhetnek hozzá. Használjon erőforráscímkéket a hálózati biztonsági csoportokhoz és a hálózati biztonsággal kapcsolatos egyéb erőforrásokhoz. A címkézéshez kapcsolódó bármely beépített Azure Policy definíciót használhatja, például a "Címke és érték megkövetelése", amely biztosítja, hogy az összes erőforrás címkékkel legyen létrehozva, és értesítse a meglévő címkézetlen erőforrásokról.

Azure PowerShell vagy az Azure CLI használható az erőforrásokon végzett műveletek keresésére vagy végrehajtására a címkék alapján.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: Az Azure-tevékenységnaplóval figyelheti a konfigurációkat, és észlelheti a nyilvános IP-példányok módosításait. A vezérlősíkon (például Azure Portal) kívül maga a nyilvános IP-cím nem hoz létre hálózati forgalomhoz kapcsolódó naplókat.

A nyilvános IP-cím eszközöket biztosít a metrikák monitorozásához, diagnosztizálásához, megtekintéséhez, valamint az Azure-beli virtuális hálózatok erőforrásainak naplóinak engedélyezéséhez vagy letiltásához.

Ehelyett engedélyezheti és kezelheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára.

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure-tevékenységnaplóval monitorozza a konfigurációkat, és észleli a nyilvános IP-példányok módosításait. A vezérlősíkon (például Azure Portal) kívül maga a nyilvános IP-cím nem hoz létre auditnaplókat. A nyilvános IP-cím eszközöket biztosít a metrikák monitorozásához, diagnosztizálásához, megtekintéséhez, valamint az Azure-beli virtuális hálózatok erőforrásainak naplóinak engedélyezéséhez vagy letiltásához.

Felelősség: Ügyfél

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Az Azure Monitor használatával beállíthatja a nyilvános IP-példányokhoz társított Log Analytics-munkaterületek naplómegőrzési időtartamát a szervezet megfelelőségi kötelezettségeinek megfelelően.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: A nyilvános IP-cím eszközöket biztosít a metrikák monitorozásához, diagnosztizálásához, megtekintéséhez, valamint az Azure-beli virtuális hálózatok erőforrásainak naplóinak engedélyezéséhez vagy letiltásához.

Az Azure-tevékenységnaplóval figyelheti a konfigurációkat, és észlelheti a nyilvános IP-példányok változásait.

Maga a nyilvános IP-cím nem hoz létre más hálózati forgalomhoz kapcsolódó naplókat, mint a vezérlősíkon (például Azure Portal).

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: Konfigurálja a riasztásokat a nyilvános IP-címhez kapcsolódó tevékenységnaplók alapján. Az Azure Monitor használatával riasztást konfigurálhat e-mail-értesítések küldéséhez, webhookok meghívásához vagy Azure Logic App meghívásához.

Felelősség: Ügyfél

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: Azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelheti az Azure-erőforrásokhoz, például a szerepkör-hozzárendeléssel rendelkező nyilvános IP-példányokhoz való hozzáférést. Ezeket a szerepköröket felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelheti.

Az Előre definiált Azure beépített szerepkörök leltározott vagy lekérdezése bizonyos erőforrásokhoz olyan eszközökkel érhető el, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal.

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Hozzon létre szabványos üzemeltetési eljárásokat a dedikált rendszergazdai fiókok használatával kapcsolatban.

Igény szerinti hozzáférés engedélyezése az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) és az Azure Resource Manager használatával.

Felelősség: Ügyfél

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender for Cloud Identity és az Access Management javaslatait.

Felelősség: Ügyfél

3.6: Dedikált gépek (Privileged Access-munkaállomások) használata minden felügyeleti feladathoz

Útmutató: Emelt szintű hozzáférési munkaállomás (PAW) használata Azure AD Multi-Factor Authentication engedélyezésével a Microsoft Sentinelhez kapcsolódó erőforrásokba való bejelentkezéshez és konfiguráláshoz.

Felelősség: Ügyfél

3.7: Napló és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: Az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) használatával naplókat és riasztásokat generálhat, ha gyanús vagy nem biztonságos tevékenység történik a környezetben.

A kockázatos felhasználói viselkedésre vonatkozó riasztások és jelentések kockázatészleléseinek áttekintése és Azure AD műveletek végrehajtása.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Feltételes hozzáféréssel elnevezett helyek használatával csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést a Azure Portal.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Használja az Azure Active Directoryt (Azure AD) központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt lévő adatok erős titkosításával védi az adatokat. Azure AD emellett sózza, kivonatolja és biztonságosan tárolja a felhasználói hitelesítő adatokat.

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Elavult fiókok felderítése naplókkal az Azure Active Directoryban (Azure AD).

Az Azure Identity Access-felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférés rendszeresen áttekinthető, hogy a felhasználók jóváhagyják és továbbra is hozzáférhessenek.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek figyelése

Útmutató: Integrálás implementálása bármilyen SIEM/monitorozási eszközzel az Azure Active Directory (Azure AD) bejelentkezési tevékenységi, naplózási és kockázati eseménynapló-forrásaihoz való hozzáférés alapján. Egyszerűsítheti ezt a folyamatot, ha diagnosztikai beállításokat hoz létre Azure AD felhasználói fiókokhoz, és elküldi az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. Konfigurálja a kívánt riasztásokat a Log Analytics-munkaterületen.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: Az Azure Active Directory (Azure AD) Identity Protection funkcióival automatikus válaszokat konfigurálhat a felhasználói identitásokkal kapcsolatos gyanús műveletekre. Adatok betöltése a Microsoft Sentinelbe további vizsgálat céljából, az üzleti követelmények alapján.

Felelősség: Ügyfél

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetések összes erőforrását (például számítási, tárolási, hálózati, portok és protokollok stb.). Győződjön meg a megfelelő (olvasási) engedélyekről a bérlőben, és sorolja fel az összes Azure-előfizetést és az előfizetéseken belüli erőforrásokat.

Bár a klasszikus Azure-erőforrások felderíthetők Resource Graph keresztül, erősen ajánlott azure-Resource Manager-erőforrásokat létrehozni és használni.

Felelősség: Ügyfél

6.2: Az eszköz metaadatainak karbantartása

Útmutató: Címkék alkalmazása Azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezésükhöz egy osztályozásban.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Az Azure-erőforrások rendszerezéséhez és nyomon követéséhez szükség esetén használjon címkézést, felügyeleti csoportokat és külön előfizetéseket. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.

Emellett az Azure Policy használatával korlátozhatja az ügyfél-előfizetésekben létrehozható erőforrások típusát az alábbi beépített szabályzatdefiníciókkal:

  • Nem engedélyezett erőforrástípusok
  • Engedélyezett erőforrástípusok

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: Az Azure Policy használatával korlátozhatja az előfizetésekben létrehozható erőforrások típusát.

Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Győződjön meg arról, hogy a környezetben található összes Azure-erőforrás jóvá van hagyva.

Felelősség: Ügyfél

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok
  • Engedélyezett erőforrástípusok

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure feltételes hozzáférésének konfigurálásával korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Az Azure biztonsági teljesítménytesztje: Biztonságos konfiguráció.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: Standard biztonsági konfigurációk definiálása és implementálása az Azure nyilvános IP-címéhez Azure Policy. A "Microsoft.Network" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre az Azure nyilvános IP-példányok hálózati konfigurációjának naplózásához vagy kikényszerítéséhez. Használhatja a beépített szabályzatdefiníciókat is.

Felelősség: Ügyfél

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Használja Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik], hogy biztonságos beállításokat kényszerítsen ki az Azure-erőforrásokban.

Felelősség: Ügyfél

7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Ha egyéni Azure Policy definíciókat használ, az Azure DevOps vagy az Azure Repos használatával biztonságosan tárolhatja és kezelheti a kódot.

Felelősség: Ügyfél

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: Standard biztonsági konfigurációk definiálása és implementálása az Azure nyilvános IP-címéhez Azure Policy. A "Microsoft.Network" névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre az Azure nyilvános IP-példányok hálózati konfigurációjának naplózásához vagy kikényszerítéséhez.

Felelősség: Ügyfél

7.9: Azure-erőforrások automatizált konfigurációmonitorozásának implementálása

Útmutató: A beépített Azure Policy-definíciók, valamint a "Microsoft.Network" névtérben Azure Policy aliasok használatával egyéni Azure Policy-definíciókat hozhat létre a rendszerkonfigurációk riasztásához, naplózásához és kényszerítéséhez. Használja Azure Policy [audit], [deny] és [deploy if not exist] parancsot az Azure-erőforrások konfigurációinak automatikus kikényszerítéséhez.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Emellett egyértelműen jelöljön meg előfizetéseket (például éles környezetben, nem prod) és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.

Felelősség: Ügyfél

10.4: Biztonsági incidensek kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Microsoft a biztonsági incidensek kapcsolattartási adatait használja fel Az Önnel való kapcsolatfelvételhez, ha a Microsoft Security Response Center (MSRC) észleli, hogy az ügyfél adataihoz jogosulatlan vagy jogellenes személy fért hozzá. Tekintse át az incidenseket a probléma megoldása érdekében.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidenskezelő rendszerbe

Útmutató: Exportálja a Microsoft Defender for Cloud riasztásait és javaslatait a Folyamatos exportálás funkcióval. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a Microsoft Sentinel riasztásokat.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft cloud behatolástesztelési szabályainak előjegyzési szabályait, hogy a behatolási tesztek ne sértse meg a Microsoft-szabályzatokat. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések