Az Azure biztonsági alapkonfigurációja Azure SignalR Service

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza az Azure SignalR-hez. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure SignalR-hez kapcsolódó útmutatás szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Azure SignalR Service nem alkalmazható vezérlők és azok, amelyek esetében a globális útmutatást szó szerint ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy Azure SignalR Service hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure SignalR Service biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: A Microsoft Azure SignalR Service nem támogatja a virtuális hálózatba való közvetlen üzembe helyezést. Nem használhat bizonyos hálózati funkciókat az ajánlat erőforrásaival, például hálózati biztonsági csoportokkal, útvonaltáblákkal vagy más hálózatfüggő berendezésekkel, például Azure Firewall.

Azure SignalR Service azonban lehetővé teszi privát végpontok létrehozását a virtuális hálózat erőforrásai és Azure SignalR Service közötti forgalom védelméhez.

Szolgáltatáscímkék használatával hálózati biztonságicsoport-szabályokat is konfigurálhat a bejövő/kimenő forgalom Azure SignalR Service való korlátozásához.

Felelősség: Ügyfél

NS-2: Privát hálózatok összekapcsolása

Útmutató: Privát végpontok használatával biztonságossá teheti a virtuális hálózat és a Azure SignalR Service közötti forgalmat. Az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat (VPN) kiválasztásával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben.

Az ExpressRoute-kapcsolatok nem haladnak át a nyilvános interneten, és nagyobb megbízhatóságot, gyorsabb sebességet és alacsonyabb késést kínálnak, mint a tipikus internetkapcsolatok. Pont–hely VPN és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat ezen VPN-lehetőségek és az Azure ExpressRoute bármely kombinációjával csatlakoztathatja egy virtuális hálózathoz.

Két vagy több azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.SignalRService:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Azure SignalR Service privát kapcsolatot kell használnia Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat társít a Azure SignalR Service erőforráshoz a teljes szolgáltatás helyett, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról a következő címen: https://aka.ms/asrs/privatelink. Naplózás, megtagadás, letiltva 1.0.1

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: A Azure Private Link használatával privát hozzáférést engedélyezhet a virtuális hálózatokról az internet átlépése nélkül Azure SignalR Service.

A privát hozzáférés az Azure-szolgáltatások által kínált hitelesítés és forgalombiztonság mellett további részletes védelmi intézkedés.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.SignalRService:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Azure SignalR Service privát kapcsolatot kell használnia Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat társít a Azure SignalR Service erőforráshoz a teljes szolgáltatás helyett, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról a következő címen: https://aka.ms/asrs/privatelink. Naplózás, megtagadás, letiltva 1.0.1

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Virtual Network szolgáltatáscímkék használatával meghatározhatja a hálózati hozzáférés-vezérlőket a hálózati biztonsági csoportokon, vagy Azure Firewall konfigurálhatja a Azure SignalR Service-erőforrásokhoz. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például: AzureSignalR) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Azure SignalR Service az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell a Azure AD:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.
  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

Azure SignalR Service csak a felügyeleti sík Azure AD hitelesítését támogatja, az adatsík esetében azonban nem. Íme a beépített szerepkörök listája a Azure SignalR Service:

  • SignalR-közreműködő
  • SignalR AccessKey-olvasó

Az Azure AD biztonságának kiemelten fontosnak kell lennie a vállalat felhőbiztonsági gyakorlatában. Az Azure AD egy identitásbiztonsági pontszámmal segít felmérni az identitásbiztonsági helyzetet a Microsoft ajánlott eljárásaihoz viszonyítva. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Azure AD olyan külső identitásokat támogat, amelyek lehetővé teszik, hogy a Microsoft-fiókkal nem rendelkező felhasználók külső identitással jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Azure SignalR Service azure-beli felügyelt identitásokat használ nem emberi fiókokhoz, például egy kiszolgáló nélküli forgatókönyvben a felsőbb réteghez. Javasoljuk, hogy más Azure-erőforrások eléréséhez használja az Azure felügyelt identitás funkcióját. Azure SignalR Service natív hitelesítést végezhet az Azure Active Directory (Azure AD) hitelesítését támogató Azure-szolgáltatásokban vagy -erőforrásokon előre definiált hozzáférés-engedélyezési szabályon keresztül anélkül, hogy a forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat használ.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Azure SignalR Service az Azure Active Directory (Azure AD) használatával biztosítja a SignalR-erőforrások identitás- és hozzáférés-kezelését. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók. Ez lehetővé teszi az egyszeri bejelentkezést a szervezet adatainak és erőforrásainak helyszíni és felhőbeli kezeléséhez és biztonságos hozzáféréséhez. Az összes felhasználót, alkalmazást és eszközt beléptetheti az Azure AD-be a zökkenőmentes, biztonságos hozzáférés, valamint a jobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: A legfontosabb beépített szerepkörök az Azure Active Directory (Azure AD) globális rendszergazdai és emelt szintű szerepkör-rendszergazdai szerepkörök, mivel a két szerepkörhöz rendelt felhasználók rendszergazdai szerepköröket delegálhatnak:

  • Globális rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek a Azure AD összes felügyeleti funkciójához, valamint az Azure AD identitásokat használó szolgáltatásokhoz.
  • Kiemelt szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik a szerepkör-hozzárendeléseket Azure AD, valamint a Azure AD Privileged Identity Management (PIM) szolgáltatáson belül. Emellett ez a szerepkör lehetővé teszi a PIM és a felügyeleti egységek minden aspektusának kezelését.

Azure SignalR Service beépített, magas szintű jogosultságokkal rendelkező szerepkörök vannak. Korlátozza a magas jogosultságú fiókok vagy szerepkörök számát, és emelt szintű védelemmel Azure AD, mivel az ilyen jogosultsággal rendelkező felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az Azure-környezet összes erőforrását.

Az Azure AD Privileged Identity Management (PIM) használatával engedélyezheti az Azure-erőforrások és az Azure AD igény szerinti (just-in-time, JIT) jogosultságú hozzáférését. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Ellenőrizze rendszeresen a felhasználói fiókokat és a hozzáférés-hozzárendelést, hogy a fiókok és hozzáférési szintjeik érvényesek legyenek.

Azure SignalR Service Azure Active Directory-fiókokat (Azure AD) használ az erőforrások kezeléséhez, a felhasználói fiókok és a hozzáférés-hozzárendelés rendszeres ellenőrzéséhez, hogy a fiókok és hozzáférésük érvényes-e. A Azure AD hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A Azure AD Privileged Identity Management használatával hozzáférési felülvizsgálati jelentés munkafolyamatot is létrehozhat a felülvizsgálati folyamat megkönnyítése érdekében.

Az Azure SignalR Service beépített szerepkörei a következők:

  • SignalR-közreműködő
  • SignalR AccessKey-olvasó

Emellett az Azure Privileged Identity Management úgy is konfigurálható, hogy riasztást adjon meg, ha túl sok rendszergazdai fiók jön létre, és azonosítja az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazdák, a fejlesztők vagy a kritikus fontosságú szolgáltatások üzemeltetői. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat. Az Azure Active Directory (Azure AD), a Microsoft Defender Advanced Threat Protection (ATP) és/vagy Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. A védett munkaállomások központi kezelésével kikényszeríthető a biztonságos konfiguráció, beleértve az erős hitelesítést, a szoftveres és hardveres alapkonfigurációikat, valamint a korlátozott logikai és hálózati hozzáférést.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: SignalR Service integrálva van az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) az erőforrásainak kezeléséhez. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Rendelje hozzá ezeket a szerepköröket a felhasználókhoz, csoportokhoz a szolgáltatásnevekhez és a felügyelt identitásokhoz. Bizonyos erőforrásokhoz léteznek előre definiált beépített szerepkörök, és ezek a szerepkörök leltározhatók vagy lekérdezhetők olyan eszközökkel, mint az Azure CLI, a Azure PowerShell vagy a Azure Portal.

Az erőforrásokhoz az Azure RBAC-n keresztül hozzárendelt jogosultságokat mindig arra kell korlátozni, amit a szerepkörök megkövetelnek. Ez kiegészíti az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

Beépített szerepkörök a SignalR Service:

  • SignalR-közreműködő
  • SignalR AccessKey-olvasó

A beépített szerepkörök használatával engedélyeket rendelhet hozzá, és csak szükség esetén hozhat létre egyéni szerepköröket.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-2: A bizalmas adatok védelme

Útmutató: A bizalmas adatok védelme az Azure-beli szerepköralapú Access Control (Azure RBAC), a hálózati hozzáférés-vezérlők és az Azure-szolgáltatások adott vezérlői (például az SQL és más adatbázisok titkosítása) használatával történő hozzáférés korlátozásával.

A következetes hozzáférés-vezérlés biztosításához a hozzáférés-vezérlés összes típusát a vállalati szegmentálási stratégiához kell igazítani. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.

A Microsoft által felügyelt mögöttes platformon a Microsoft az összes ügyféltartalmat bizalmasként kezeli, és védelmet nyújt az ügyfelek adatainak elvesztése és mások általi hozzáférése ellen. Ahhoz, hogy az ügyféladatok az Azure-on belül biztonságban maradjanak, a Microsoft implementált néhány alapértelmezett adatvédelmi vezérlőt és képességet.

Felelősség: Megosztott

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A titkosítás kritikus fontosságú a külső és nyilvános hálózatokon történő forgalom szempontjából. Azure SignalR Service https (TLS v1.2) protokollt használ az összes bejövő és kimenő forgalomhoz a biztonság biztosítása érdekében. A mögöttes infrastruktúra szintjén az Azure alapértelmezés szerint adattovábbítási titkosítást biztosít az Azure-adatközpontok közötti adatforgalomhoz.

Felelősség: Microsoft

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségeinek struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat feladata lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Címkék alkalmazása Azure-erőforrásokra, erőforráscsoportokra és előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név-érték párból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezés – Az n jelű jelentés információt nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.
  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.
  • Kockázatos bejelentkezések – A kockázatos bejelentkezés olyan bejelentkezési kísérlet jele, amelyet olyan személy végezhetett el, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

A Microsoft Defender for Cloud bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról, az előfizetés elavult fiókjairól is tud riasztást küld. Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Threat Protection modulja részletesebb biztonsági riasztásokat is képes gyűjteni az egyes Azure-beli számítási erőforrásokról (virtuális gépekről, tárolókról, app service-ről), az adaterőforrásokról (SQL DB és tároló) és az Azure szolgáltatásrétegeiről. Ez a képesség lehetővé teszi, hogy az egyes erőforrásokon belül látható legyen a fiókanomáliák.

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: Azure SignalR Service nem virtuális hálózatokon való üzembe helyezésre szolgál, ezért nem lehet engedélyezni a hálózati biztonsági csoportok folyamatnaplózását, a forgalmat tűzfalon keresztül irányítani vagy csomagrögzítést végezni.

Azonban Azure SignalR Service naplózza a hálózati forgalmat, amelyet az ügyfélhozzáférés érdekében dolgoz fel. Engedélyezze az erőforrásnaplókat az üzembe helyezett ajánlat erőforrásain belül, és konfigurálja, hogy ezeket a naplókat hosszú távú megőrzés és naplózás céljából egy tárfiókba küldje.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az automatikusan elérhető tevékenységnaplók az olvasási műveletek (GET) kivételével tartalmazzák a Azure SignalR Service erőforrások összes írási műveletét (PUT, POST, DELETE). A tevékenységnaplók segítségével hibakeresést végezhet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Azure-erőforrásnaplók engedélyezése Azure SignalR Service. A Microsoft Defender for Cloud és a Azure Policy segítségével engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek későbbi kivizsgálásához és a törvényszéki gyakorlatok elvégzéséhez.

Felelősség: Ügyfél

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A naplózási tárolás és az elemzés központosítása a korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Győződjön meg arról, hogy az Azure-tevékenységnaplókat a központi naplózásba integrálja. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által generált biztonsági adatok összesítéséhez. Az Azure Monitorban a Log Analytics-munkaterületek használatával lekérdezheti és elvégezheti az elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Emellett engedélyezheti és előkészítheti az adatokat a Microsoft Sentinel vagy egy külső biztonsági információ- és eseménykezelő (SIEM) rendszerben.

Számos szervezet úgy dönt, hogy a Microsoft Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage pedig a ritkábban használt "ritka" adatokhoz.

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: Azure SignalR Service nem támogatja a saját időszinkronizálási források konfigurálását. A(z) {offering_name} szolgáltatás a Microsoft időszinkronizálási forrásaira támaszkodik, és nem érhető el az ügyfelek számára konfigurációs célokra.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: Azure SignalR Service a Microsoft Defender for Cloudban elérhető alábbi szolgáltatásspecifikus szabályzatokat támogatja az Azure-erőforrások konfigurációinak naplózásához és kikényszerítéséhez. Ez a Microsoft Defender for Cloudban vagy Azure Policy kezdeményezésekkel konfigurálható.

Az Azure Blueprints használatával automatizálhatja a szolgáltatások és alkalmazáskörnyezetek üzembe helyezését és konfigurálását, beleértve az Azure Resources Manager-sablonokat, az Azure szerepköralapú hozzáférés-vezérlőit és szabályzatait egyetlen tervdefinícióban.

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Útmutató: A Microsoft Defender for Cloud használatával monitorozhatja a konfigurációs alapkonfigurációt, és kikényszerítheti a Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] használatával, hogy biztonságos konfigurációt kényszerítsen ki Azure SignalR Service. Azure SignalR Service szabályzat a következőket tartalmazza:

További információ a hivatkozott hivatkozásokon érhető el.

Felelősség: Ügyfél

PV-3: Biztonságos konfigurációk létrehozása számítási erőforrásokhoz

Útmutató: A Microsoft Defender for Cloud és Azure Policy használatával biztonságos konfigurációkat hozhat létre Azure SignalR Service.

Felelősség: Ügyfél

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Győződjön meg arról, hogy rendelkezik olyan intézkedésekkel, amelyek megakadályozzák és helyreállítják a kulcsok elvesztését. Engedélyezze a helyreállítható törlést és a végleges törléssel szembeni védelmet az Azure Key Vaultban, hogy megvédje a kulcsokat a véletlen vagy rosszindulatú törléssel szemben.

Felelősség: Ügyfél

Következő lépések