Azure biztonsági alapkonfiguráció az Azure Spring Cloud Service-hez

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza az Azure Spring Cloud Service-hez. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Spring Cloud Service-hez kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Spring Cloud Service-hez nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy az Azure Spring Cloud Service hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg az Azure Spring Cloud Service biztonsági alapkonfigurációjának teljes leképezési fájlát.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Az Azure Spring Cloud Service-erőforrások üzembe helyezésekor hozzon létre vagy használjon egy meglévő virtuális hálózatot. Győződjön meg arról, hogy az összes Azure-beli virtuális hálózat az üzleti kockázatoknak megfelelő vállalati szegmentálási elvet követi. Ha bármelyik rendszer nagyobb kockázatot jelent a szervezet számára, különítse el azt a saját virtuális hálózatán belül. Kellően biztonságos a rendszer hálózati biztonsági csoporttal (NSG) vagy Azure Firewall.

A Microsoft Defender for Cloud adaptív hálózati korlátozásának használatával olyan NSG-konfigurációkat javasoljon, amelyek korlátozzák a portokat és a forrás IP-címeket. A konfigurációkat külső hálózati forgalmi szabályok alapján kell alapulni.

Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat az NSG-szabályok használatával. Adott, jól definiált alkalmazások (például háromszintű alkalmazások) esetében ez a szabály alapértelmezés szerint rendkívül biztonságos megtagadás lehet.

• Biztonsági szabályokkal rendelkező NSG létrehozása

• Azure Firewall üzembe helyezése és konfigurálása

• Adaptív hálózatmegszűkítés a Microsoft Defender for Cloudban

• Az Azure Spring Cloud virtuális hálózaton való futtatásával kapcsolatos ügyfélfeladatok

Felelősség: Ügyfél

NS-2: Privát hálózatok összekapcsolása

Útmutató: Az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat (VPN) használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben. Az ExpressRoute-kapcsolatok nem a nyilvános interneten keresztül haladnak át. A tipikus internetkapcsolatokhoz képest az ExpressRoute-kapcsolatok a következő lehetőségeket kínálják:

• Nagyobb megbízhatóság
• Gyorsabb sebesség
• Alacsonyabb késések

Pont–hely VPN és helyek közötti VPN esetén csatlakoztassa a helyszíni eszközöket vagy hálózatokat egy virtuális hálózathoz. A VPN-lehetőségek és az Azure ExpressRoute bármilyen kombinációját használhatja.

Két vagy több Azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést. A társított virtuális hálózatok közti hálózati adatforgalom nem nyilvános. Az ilyen típusú forgalom az Azure gerinchálózatán marad.

• Mik azok az ExpressRoute-kapcsolati modellek?

• Az Azure VPN áttekintése

• Virtuális hálózati társviszony

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.AppPlatform:

Name (Név) (Azure Portal)	Leírás	Effektus(ok)	Verzió (GitHub)
Az Azure Spring Cloudnak hálózati injektálást kell használnia	Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internettől. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy más virtuális hálózatokon futó Azure-szolgáltatásban lévő rendszerekkel kommunikáljon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását.	Naplózás, Letiltva, Megtagadás	1.0.0

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: Az Azure Spring Cloud Service nem teszi lehetővé a felügyeleti végpontok védelmét egy magánhálózaton az Private Link szolgáltatással.

Az Azure Spring Cloud Service nem teszi lehetővé Virtual Network szolgáltatásvégpontok konfigurálását.

Felelősség: Ügyfél

NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadások ellen

Útmutató: Az Azure Spring Cloud Service-erőforrások védelme a külső hálózatokról érkező támadások ellen, beleértve a következőket:

• Elosztott szolgáltatásmegtagadásos (DDoS-) támadások.
• Alkalmazásspecifikus támadások.
• Kéretlen és potenciálisan rosszindulatú internetes forgalom.

Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalom ellen. Az adategységek DDoS-támadásokkal szembeni védelméhez engedélyezze a DDoS szabványos védelmét az Azure-beli virtuális hálózatokon. A Microsoft Defender for Cloud használatával észlelheti a hálózattal kapcsolatos erőforrások helytelen konfigurációs kockázatait.

Az Azure Spring Cloud Service-ben futó alkalmazások alkalmazásrétegbeli támadásokkal szembeni védelméhez használja a Web Application Firewall (WAF) funkcióit a következőben:

• Azure Application Gateway
• Azure Front Door
• Azure Content Delivery Network (CDN)

További információért olvassa el a következő cikkeket:

• Azure Firewall dokumentációja

• Az Azure DDoS Protection Standard kezelése a Azure Portal

• A Microsoft Defender for Cloud javaslatai

• Az Azure WAF üzembe helyezése

Felelősség: Ügyfél

NS-5: Behatolásészlelő/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése

Útmutató: Azure Firewall fenyegetésfelderítés-alapú szűrés használata, riasztás az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalom blokkolására. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája. Ha hasznosadat-vizsgálatra van szükség, helyezzen üzembe egy harmadik féltől származó behatolásészlelési/behatolás-megelőzési rendszert (IDS/IPS) Azure Marketplace hasznosadat-vizsgálati képességekkel. Vagy használhat gazdagépalapú IDS/IPS-t vagy gazdagépalapú végpontészlelést és -választ (EDR) hálózatalapú IDS/IPS-sel vagy helyett.

• Az Azure Firewall üzembe helyezése

• Azure Marketplace harmadik féltől származó IDS-képességeket tartalmaz

• Végponthoz készült Microsoft Defender képesség

Felelősség: Ügyfél

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure-beli virtuális hálózati szolgáltatáscímkék használatával határozza meg az Azure Spring Cloud Service-erőforrásokhoz konfigurált NSG-k vagy Azure Firewall hálózati hozzáférés-vezérlését. Biztonsági szabályok létrehozásakor használjon szolgáltatáscímkéket adott IP-címek helyett. Ha megadja a szolgáltatáscímke nevét a megfelelő szabály forrás- vagy célmezőjében, engedélyezze vagy tiltsa le a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat. A címek változásakor automatikusan frissíti a szolgáltatáscímkét.

• Szolgáltatáscímkék ismertetése és használata

• Az Azure Spring Cloud Service hálózati hozzáférés-biztonsági vezérlői

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Kövesse a DNS-biztonság ajánlott eljárásait a gyakori támadásokkal szembeni védekezéshez, például:

• Dangling DNS
• DNS-erősítő támadások
• DNS-mérgezés és hamisítás

Mi a teendő, ha az Azure DNS-t szeretné használni mérvadó DNS-szolgáltatásként? Ezután az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) és az erőforrás-zárolások használatával megvédheti a DNS-zónákat és -rekordokat a véletlen vagy rosszindulatú módosításoktól.

• Az Azure DNS áttekintése

• Biztonságos tartománynévrendszer (DNS) üzembehelyezési útmutatója

• Az értékhiányos DNS-bejegyzések megelőzése és az altartomány-átvétel elkerülése

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Az Azure Spring Cloud Service az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. Szabványosítsa Azure AD a szervezet identitás- és hozzáférés-kezelésének szabályozásához az alábbiakban:

• Microsoft Cloud-erőforrások, például:

  • Azure Portal
  • Azure Storage
  • Azure Virtual Machines (Linux és Windows)
  • Azure Key Vault
  • Szolgáltatásként nyújtott platform (PaaS)
  • Szolgáltatott szoftver (SaaS) alkalmazások

• a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

A Azure AD biztonságossá tétele magas prioritást élvez a szervezet felhőbiztonsági gyakorlatában. A Microsoft ajánlott eljárásainak megfelelő identitásbiztonsági helyzet felméréséhez Azure AD identitásbiztonsági pontszámot biztosít. Ezzel a pontszámmal felmérheti, hogy a konfiguráció milyen szorosan illeszkedik az ajánlott eljárásokra vonatkozó javaslatokhoz. Ezután végezze el a biztonsági helyzet javítását.

Megjegyzés: Azure AD támogatja a külső identitásokat. Azok a felhasználók, akik nem rendelkeznek Microsoft-fiókkal, külső identitásukkal jelentkezhetnek be az alkalmazásaikba és erőforrásaikba.

Az Azure Spring Cloud beépített Azure Spring Cloud-adatolvasó szerepkörével rendelkezik, amely az Azure Spring Cloud adatsík-erőforrásaihoz való "olvasási" hozzáférést jelzi. Mi a teendő, ha az ügyfelek engedélyezni szeretnék másoknak az Azure Spring Cloud-adatsík elérését? Ezután az ügyfelek használhatják ezt a szerepkört, és engedélyt adhatnak másoknak.

További információkat az alábbi hivatkozásokon találhat:

• Bérlők az Azure AD-ben

• Azure AD-példány létrehozása és konfigurálása

• Azure Spring Cloud-adatolvasó szerepkör

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Az Azure Spring Cloud Service támogatja az Azure-erőforrások felügyelt identitásait. Ahelyett, hogy szolgáltatásneveket hoz létre más erőforrások eléréséhez, felügyelt identitásokat használjon az Azure Spring Cloud Service-ben. Az Azure Spring Cloud Service natív hitelesítést tud végezni az Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítés egy előre meghatározott hozzáférési engedélyezési szabályon keresztül történik. Nem használ a forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat.

Konfigurálja a szolgáltatásneveket a tanúsítvány hitelesítő adataival, és visszavállalja az ügyfél titkos kulcsait? Ezután az Azure Spring Cloud Service azt javasolja, hogy Azure AD használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Mindkét esetben Key Vault használható az Azure által felügyelt identitásokkal. Ezután a futtatókörnyezet (például egy Azure-függvény) lekérheti a hitelesítő adatokat a kulcstartóból.

• Azure által felügyelt identitások

• Az Azure-erőforrások felügyelt identitását támogató szolgáltatások

• Azure-szolgáltatásnév

• Szolgáltatásnév létrehozása tanúsítványokkal

• A Key Vault használata a rendszerbiztonsági tagok regisztrációja során

Felelősség: Megosztott

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure Spring Cloud Service Azure AD használ identitás- és hozzáférés-kezelés biztosításához a következő célokra:

• Azure-erőforrások
• Felhőalkalmazások
• Helyszíni alkalmazások

Az identitás- és hozzáférés-kezelés magában foglalja a vállalati identitásokat, például az alkalmazottakat és a külső identitásokat, például:

• Partnerek
• Szállítók
• Szállítók

Ezzel a felügyelettel az egyszeri bejelentkezés (SSO) felügyelheti és biztonságossá teheti a szervezet adataihoz és erőforrásaihoz való hozzáférést. Az egyszeri bejelentkezést a helyszínen és a felhőben is alkalmazhatja. A zökkenőmentes, biztonságos hozzáférés, valamint a nagyobb láthatóság és vezérlés érdekében csatlakozzon Azure AD összes eszközéhez:

• Felhasználók
• Alkalmazások
• Eszközök

További információért olvassa el a következő cikket:

• Az Azure AD-vel megvalósított alkalmazás-SSO ismertetése

Felelősség: Ügyfél

IM-4: Erős hitelesítési vezérlők használata minden Azure AD-alapú hozzáféréshez

Útmutató: Az Azure Spring Cloud Service Azure AD használ, amely többtényezős hitelesítéssel (MFA) és erős jelszó nélküli módszerekkel támogatja az erős hitelesítési vezérlőket.

• MFA. Engedélyezze Azure AD MFA-t. Az MFA beállításának ajánlott eljárásaiért kövesse a Microsoft Defender for Cloud identitás- és hozzáférés-kezelési javaslatait. A bejelentkezési feltételek és kockázati tényezők alapján az MFA a következő esetekben kényszeríthető ki:

  • Minden felhasználó
  • Felhasználók kiválasztása
  • Felhasználónkénti szint

• Jelszó nélküli hitelesítés. Három jelszó nélküli hitelesítési lehetőség érhető el:

  • Vállalati Windows Hello
  • A Microsoft Authenticator alkalmazás
  • Helyszíni hitelesítési módszerek, például intelligens kártyák

Rendszergazdák és kiemelt jogosultsággal rendelkező felhasználók esetén használja az erős hitelesítési módszer legmagasabb szintjét. Ezután vezesse be a megfelelő erős hitelesítési szabályzatot más felhasználók számára.

• MFA engedélyezése az Azure-ban

• A Azure AD jelszó nélküli hitelesítési lehetőségeinek bemutatása

• Az Azure AD alapértelmezett jelszószabályzata

• A nem megfelelő jelszavak használatának kiküszöbölése az Azure AD Password Protectionnel

Felelősség: Ügyfél

IM-5: Fiókok rendellenességeinek monitorozása, és riasztás azok alapján

Útmutató: Az Azure Spring Cloud Service integrálva van a Azure AD, amely a következő adatforrásokat biztosítja:

• Bejelentkezések. A bejelentkezési jelentés információkat nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.

• Auditnaplók. Az auditnaplók a naplókon keresztül nyomon követhetővé teszik az összes olyan módosítást, amelyet a különböző funkciók hajtanak végre Azure AD. Ilyenek például az erőforrások Azure AD belüli módosításai, például a következők hozzáadása vagy eltávolítása:

  • Felhasználók
  • Alkalmazások
  • Csoportok
  • Szerepkörök
  • Szabályzatok

• Kockázatos bejelentkezések. A kockázatos bejelentkezés olyan bejelentkezési kísérletet jelez, amelyet olyan személy kísérelhetett meg, aki nem a felhasználói fiók jogos tulajdonosa.

• Kockázatosként megjelölt felhasználók. A kockázatos felhasználók olyan felhasználói fiókot jeleznek, amelyet esetleg feltörtek.

Ezek az adatforrások integrálhatók a következőkkel:

• Azure Monitor
• Microsoft Sentinel
• Külső biztonsági információs és eseménykezelő (SIEM) rendszerek

A Microsoft Defender for Cloud bizonyos gyanús tevékenységekről is riasztást küld. Ezek a tevékenységek magukban foglalják a sikertelen hitelesítési kísérletek vagy elavult fiókok túlzott számát az előfizetésben.

Az Azure Advanced Threat Protection (ATP) egy biztonsági megoldás. Active Directory-jeleket használhat az alábbiak azonosítására, észlelésére és vizsgálatára:

• Speciális fenyegetések
• Sérült identitások
• Rosszindulatú belső műveletek

További információért olvassa el a következő cikkeket:

• Tevékenységjelentések naplózása Azure AD

• Kockázatos bejelentkezések megtekintése Azure AD

• Kockázatos tevékenységként megjelölt Azure AD felhasználók azonosítása

• A felhasználók identitás- és hozzáférési tevékenységének figyelése a Microsoft Defender for Cloudban

• Riasztások a Microsoft Defender for Cloud fenyegetésfelderítés elleni védelmi moduljában

• Riasztások a Microsoft Defender for Cloud fenyegetésfelderítés elleni védelmi moduljában

Felelősség: Ügyfél

IM-6: Azure-erőforrásokhoz való hozzáférés korlátozása feltételek alapján

Útmutató: Az Azure Spring Cloud Service támogatja Azure AD feltételes hozzáférést a felhasználó által meghatározott feltételeken alapuló részletesebb hozzáférés-vezérléshez. Ezek közé a feltételek közé tartoznak bizonyos IP-tartományokból érkező felhasználói bejelentkezések, amelyeknek MFA használatával kell bejelentkezniük. A különböző használati esetekhez részletes hitelesítési munkamenet-kezelési szabályzatot is használhat. Ezek a feltételes hozzáférési szabályzatok csak azokra a felhasználói fiókokra vonatkoznak, amelyek hitelesítése Azure AD az Azure Spring Cloud Service eléréséhez és kezeléséhez. Ezek a szabályzatok nem vonatkoznak az Azure Spring Cloud Service-erőforráshoz való csatlakozáshoz használt szolgáltatásnevekre, kulcsokra vagy jogkivonatokra.

• Az Azure-beli feltételes hozzáférés áttekintése

• Gyakori feltételes hozzáférési szabályzatok

• Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel

Felelősség: Ügyfél

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: Az Azure Spring Cloud Service lehetővé teszi az ügyfelek számára a következő entitások üzembe helyezését és futtatását identitásokkal vagy titkos kódokkal:

• Code
• Konfigurációk
• Megőrzött adatok

Implementálja a Credential Scannert az entitások hitelesítő adatainak azonosításához. A Credential Scanner emellett a felderített hitelesítő adatok biztonságosabb helyekre, például Key Vault való áthelyezését is javasolja.

A GitHub esetében a natív titkoskód-vizsgálati funkcióval azonosíthatja a hitelesítő adatokat vagy a titkos kódok más formáit a kódban.

• A Credential Scanner beállítása

• Titkos kódok szűrése a GitHubban

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-2: Az üzletileg kritikus rendszerek rendszergazdai elérésének korlátozása

Útmutató: Az Azure Spring Cloud Service az Azure RBAC használatával elkülöníti az üzletileg kritikus rendszerekhez való hozzáférést. Korlátozza, hogy mely fiókok kapnak emelt szintű hozzáférést azokhoz az előfizetésekhez és felügyeleti csoportokhoz, amelyekben vannak.

Az üzletileg kritikus hozzáférés-vezérléshez rendszergazdai hozzáféréssel rendelkező felügyeleti, identitás- és biztonsági rendszerekhez való hozzáférést is korlátozhatja, például:

• Active Directory-tartomány Vezérlők (TARTOMÁNYVEZÉRLŐK).
• Biztonsági eszközök.
• Az üzletileg kritikus rendszerekre telepített ügynökökkel rendelkező rendszerfelügyeleti eszközök.

Azok a támadók, akik feltörik ezeket a felügyeleti és biztonsági rendszereket, azonnal fegyverbe helyezhetik őket, hogy veszélyeztetjék az üzleti szempontból kritikus fontosságú eszközöket.

A konzisztens hozzáférés-vezérlés érdekében minden típusú hozzáférés-vezérlést a vállalati szegmentálási stratégiához kell igazítania.

• Azure-összetevők és referenciamodell

• Hozzáférés a felügyeleti csoportokhoz

• Azure-előfizetések rendszergazdái

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Annak biztosítása érdekében, hogy Azure AD fiókok és hozzáférésük érvényes legyen, az Azure Spring Cloud Service az alábbi fiókokat használja a következőkre:

• Az erőforrásainak kezelése.
• Tekintse át a felhasználói fiókokat.
• Rendszeresen hozzáférhet a hozzárendelésekhez.

A Azure AD és a hozzáférési felülvizsgálatok segítségével:

• Csoporttagságok
• Hozzáférés vállalati alkalmazásokhoz
• Szerepkör-hozzárendelések

Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A felülvizsgálati folyamat segítéséhez a Azure AD Privileged Identity Management (PIM) használatával is létrehozhat jelentés-munkafolyamatokat hozzáférési felülvizsgálatokhoz.

Úgy is konfigurálhatja Azure AD PIM-et, hogy riasztást adjon, ha túl sok rendszergazdai fiók jön létre. Vagy konfigurálhatja az elavult vagy helytelenül konfigurált rendszergazdai fiókok azonosítására.

Megjegyzés: Egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem a Azure AD kezel. Ezeket a felhasználókat külön kezelheti.

Az Azure Spring Cloud beépített "Azure Spring Cloud-adatolvasó" szerepkört is kapott. Ez a szerepkör "olvasási" hozzáférést jelez az Adatsík-erőforrásokhoz az Azure Spring Cloudban. Mi a teendő, ha egy ügyfél hozzáférést szeretne adni másoknak az Azure Spring Cloud-adatsíkhoz? Ezután az ügyfél használhatja ezt a szerepkört, és engedélyt adhat másoknak,

További információkat az alábbi hivatkozásokon találhat:

• Azure-erőforrásszerepkörök hozzáférési felülvizsgálatának létrehozása a PIM-ben

• Azure AD identitás- és hozzáférési felülvizsgálatok használata

• Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis az Azure Spring Cloud Service-hez

Felelősség: Ügyfél

PA-4: Vészhelyzeti hozzáférés beállítása az Azure AD-ben

Útmutató: Az Azure Spring Cloud Service Azure AD használatával kezeli az erőforrásait. Szeretné megakadályozni, hogy véletlenül kizárják a Azure AD szervezetből? Ezután állítson be egy vészhelyzeti hozzáférési fiókot a hozzáféréshez, ha a normál rendszergazdai fiókok nem használhatók. A vészhelyzeti hozzáférési fiókok kiemelt jogosultságokkal rendelkeznek. Ezeket a fiókokat ne rendelje hozzá adott személyekhez. A vészhelyzeti hozzáférési fiókok vészhelyzeti vagy "biztonsági mentési" forgatókönyvekre korlátozódnak, amelyekben a normál rendszergazdai fiókok nem használhatók.

A vészhelyzeti hozzáférési fiókok hitelesítő adatainak (például jelszó, tanúsítvány vagy intelligens kártya) biztonságossá tételéhez. Csak azoknak a személyeknek fedje fel a hitelesítő adatokat, akik jogosultak arra, hogy csak vészhelyzetben használják őket.

• Vészhelyzeti hozzáférési fiókok kezelése az Azure AD-ben

Felelősség: Ügyfél

PA-5: Jogosultságkezelés automatizálása

Útmutató: Az Azure Spring Cloud Service integrálva van a Azure AD az erőforrásainak kezeléséhez. A Azure AD jogosultságkezelési funkciók használatával automatizálhatja a hozzáférési kérelmek munkafolyamatait, beleértve a következőket:

• Hozzáférés-hozzárendelések
• Felülvizsgálatok
• Lejárat

A kettős vagy többfázisú jóváhagyás is támogatott.

• Mik azok a Azure AD hozzáférési felülvizsgálatok?

• Mi az Azure AD jogosultságkezelés?

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak a bizalmas szerepkörök biztonsága szempontjából, például:

• Rendszergazda
• Fejlesztő
• Kritikus szolgáltatás operátora

A rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat vagy az Azure Bastiont használhatja. Biztonságos és felügyelt felhasználói munkaállomás üzembe helyezéséhez használja az alábbiak egyikét:

• Azure AD
• Microsoft Defender Komplex veszélyforrások elleni védelem (ATP)
• Microsoft Intune

Központilag felügyelheti a biztonságos munkaállomásokat a biztonságos konfiguráció kikényszerítése érdekében, beleértve a következőket:

• Erős hitelesítés
• Szoftver- és hardverkonfigurációk
• Korlátozott logikai és hálózati hozzáférés

További információért olvassa el a következő cikkeket:

• Emelt szintű hozzáférésű munkaállomások üzembe helyezése

• Emelt szintű hozzáférésű munkaállomás üzembe helyezése

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Az Azure Spring Cloud Service integrálva van az Azure RBAC-vel az erőforrásainak kezelése érdekében. Az Azure RBAC lehetővé teszi az Azure-erőforrások hozzáférésének kezelését szerepkör-hozzárendeléseken keresztül. Rendelje hozzá ezeket a szerepköröket a következőhöz:

• Felhasználók
• Csoportok
• Szolgáltatásnevek
• Felügyelt identitások

Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak. Ezeket a szerepköröket az alábbi eszközökkel leltárba helyezheti vagy kérdezheti le:

• Azure CLI
• Azure PowerShell
• Azure Portal

Mindig korlátozza az erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat a szerepkörök által igényeltre. Ez a gyakorlat kiegészíti az Azure AD PIM igény szerinti (JIT) megközelítését, és rendszeres időközönként felül kell vizsgálni.

Engedélyek megadásához használjon beépített szerepköröket. Csak szükség esetén hozzon létre egyéni szerepköröket.

Az Azure Spring Cloud beépített Azure Spring Cloud-adatolvasó szerepkörével rendelkezik, amely az Azure Spring Cloud adatsík-erőforrásaihoz való "olvasási" hozzáférést jelzi. Mi a teendő, ha az ügyfél hozzáférést szeretne adni másoknak az Azure Spring Cloud-adatsíkhoz? Ezután az ügyfél használhatja ezt a szerepkört, és engedélyt adhat másoknak,

További információkat az alábbi hivatkozásokon találhat:

• Mi az az Azure RBAC?

• RBAC konfigurálása az Azure-ban

• Azure AD identitás- és hozzáférési felülvizsgálatok használata

• Access konfigurációs kiszolgáló és szolgáltatásregisztrációs adatbázis

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Nem alkalmazható; Az Azure Spring Cloud Service kezeli az ügyféltartalmakat, de nem teszi lehetővé az ügyfelek számára az adatok felderítését, besorolását és címkézését.

Felelősség: Ügyfél

DP-2: A bizalmas adatok védelme

Útmutató: Bizalmas adatok védelme a hozzáférés korlátozásával, a következő használatával:

• Azure RBAC.
• Hálózatalapú hozzáférés-vezérlés.
• Az Azure-szolgáltatások speciális vezérlői, például a titkosítás.

A konzisztens hozzáférés-vezérlés érdekében minden hozzáférés-vezérlési típust a vállalati szegmentálási stratégiához kell igazítania. Tájékoztassa a vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus adatok és rendszerek helyéről.

A mögöttes platform (a Microsoft által felügyelt) esetében a Microsoft minden ügyféltartalmat bizalmasként kezel. Védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Annak érdekében, hogy az azure-beli ügyféladatok biztonságban legyenek, a Microsoft megvalósít néhány alapértelmezett adatvédelmi vezérlőt és képességet.

Felelősség: Ügyfél

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként védje az átvitt adatokat a sávon kívüli támadásoktól, például a forgalom rögzítésétől. Titkosítással biztosíthatja, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Az Azure Spring Cloud Service támogatja az átvitel közbeni adattitkosítást a Transport Layer Security (TLS) 1.2-es vagy újabb verziójával.

Bár ez a titkosítás nem kötelező a privát hálózatokon történő forgalomhoz, a külső és nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. A távfelügyelethez titkosítás nélküli protokoll helyett használja az alábbiak egyikét:

• Secure Shell (SSH) Linuxhoz
• Remote Desktop Protocol (RDP) és TLS For Windows

Tiltsa le a gyenge rejtjeleket, valamint a következő elavult verzióit és protokolljait:

• Secure Sockets Layer (SSL)
• TLS
• SSH

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

• Az Azure-ral történő átvitel közbeni titkosítás ismertetése

• Információk a TLS biztonságáról

• Dupla titkosítás az átvitel alatt lévő Azure-adatokhoz

Felelősség: Ügyfél

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként az Azure Spring Cloud Service titkosítással titkosítja az inaktív adatokat a sávon kívüli támadások (például a mögöttes tároló elérése) elleni védelem érdekében. Ez a gyakorlat segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

• Inaktív adatok Azure-ban való titkosításának ismertetése

• Inaktív adatok dupla titkosítása az Azure-ban

Felelősség: Ügyfél

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Biztonsági olvasói engedélyek megadása a biztonsági csapatok számára az Azure-bérlőben és az előfizetésekben. Ezután a csapatok a Microsoft Defender for Cloud használatával figyelhetik a biztonsági kockázatokat.

A biztonsági csapat felelősségi körének felépítésétől függően előfordulhat, hogy egy központi biztonsági csapat vagy egy helyi csapat felelős a biztonsági kockázatok monitorozásáért. A biztonsági megállapításokat és kockázatokat mindig központilag összesítheti egy szervezeten belül.

A Biztonsági olvasó engedélyeit széles körben alkalmazhatja egy teljes bérlőre (gyökérszintű felügyeleti csoportra). Vagy hatókörük felügyeleti csoportokra vagy adott előfizetésekre terjed ki.

Megjegyzés: További engedélyekre lehet szükség a számítási feladatok és szolgáltatások láthatóságának biztosításához.

• A Biztonsági olvasó szerepkör áttekintése

• Az Azure felügyeleti csoportjainak áttekintése

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például az Azure Spring Cloud Service-hez. A biztonsági csapatoknak gyakran szükségük van erre a leltárra annak kiértékeléséhez, hogy szervezetük milyen potenciálisan ki van téve a felmerülő kockázatoknak. A leltár a folyamatos biztonsági fejlesztések bemenete is. Hozzon létre egy Azure AD csoportot, amely tartalmazza a szervezet engedélyezett biztonsági csapatát. Rendelje hozzá a csapat olvasási hozzáférését az Összes Azure Spring Cloud Service-erőforráshoz. Ezeket a lépéseket leegyszerűsítheti egyetlen magas szintű szerepkör-hozzárendelésre az előfizetésen belül.

Ha logikailag rendszerezni szeretne egy osztályozást, alkalmazza a címkéket a következőre:

• Azure-erőforrások
• Erőforráscsoportok
• Előfizetések

Minden címke egy név-érték párból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.

Az Azure-beli virtuális gépek leltárának használatával automatizálhatja a virtuális gépeken lévő szoftverekkel kapcsolatos információk gyűjtését. A Azure Portal a következő elemek érhetők el:

• Szoftvernév
• Verzió
• Publisher
• Frissítési idő

A telepítési dátumokhoz és egyéb információkhoz való hozzáféréshez engedélyezze a vendégszintű diagnosztikát. Ezután hozza a Windows eseménynaplóit egy Log Analytics-munkaterületre.

A Microsoft Defender for Cloud adaptív alkalmazásvezérlőinek használatával megadhatja, hogy egy szabály mely fájltípusokat alkalmazhatja vagy melyekre nem.

• Lekérdezések létrehozása az Azure Resource Graph Explorerrel

• Microsoft Defender a felhőhöz készült eszközleltár-kezeléshez

• Útmutató az erőforrások elnevezésével és címkézésével kapcsolatos döntésekhez

• Azure-beli virtuális gépek leltárának engedélyezése

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: Naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetben Azure Policy használatával. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. A Monitor használatával hozzon létre szabályokat a riasztások aktiválásához, ha a rendszer nem jóváhagyott szolgáltatást észlel.

• Azure Policy konfigurálása és kezelése

• Adott erőforrástípus megtagadása Azure Policy

• Lekérdezések létrehozása az Resource Graph Explorerrel

Felelősség: Ügyfél

AM-4: Az objektuméletciklus-kezelés biztonságának garantálása

Útmutató: Nem alkalmazható; Nem használhatja az Azure Spring Cloud Service-t az eszközök biztonságának biztosítására az életciklus-felügyeleti folyamat során. Az ügyfél felelős a nagy hatásúnak ítélt objektumok attribútumainak és hálózati konfigurációinak fenntartásáért. Az ügyfél hozzon létre egy folyamatot a következőre:

• Rögzítse az attribútumot és a hálózati konfiguráció változásait.
• Mérje meg a változás hatását.
• Szükség szerint hozzon létre szervizelési feladatokat.

Felelősség: Ügyfél

AM-5: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure Feltételes hozzáférés használatával korlátozhatja a felhasználók azon képességét, hogy kommunikáljanak az Azure Resource Manager. Konfigurálja a "Hozzáférés letiltása" beállítást a "Microsoft Azure Management" alkalmazáshoz.

• Feltételes hozzáférés konfigurálása az Azure Resource Manager hozzáférésének letiltásához

Felelősség: Ügyfél

AM-6: Csak jóváhagyott alkalmazások használata számítási erőforrásokban

Útmutató: Az Azure-beli virtuális gépek leltárának használatával automatizálhatja a virtuális gépeken található összes szoftverre vonatkozó információk gyűjtését. A Azure Portal a következő elemeket teszi elérhetővé:

• Szoftvernév
• Verzió
• Publisher
• Frissítési idő

A telepítési dátumhoz és egyéb információkhoz való hozzáféréshez engedélyezze a vendégszintű diagnosztikát. Ezután hozza a Windows eseménynaplóit egy Log Analytics-munkaterületre.

• Azure-beli virtuális gépek leltárának engedélyezése

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: A Microsoft Defender for Cloud beépített fenyegetésészlelési funkciójának használata. Engedélyezze a Microsoft Defendert az Azure Spring Cloud Service-erőforrásokhoz. Az Azure Spring Cloud Service-hez készült Microsoft Defender a biztonsági intelligencia egy újabb rétegét biztosítja. Ez a réteg szokatlan és potenciálisan káros kísérleteket észlel az Azure Spring Cloud Service-erőforrások elérésére vagy kihasználására.

Az Azure Spring Cloud Service naplóit továbbíthatja a SIEM-nek, hogy egyéni fenyegetésészleléseket állítson be. Az Azure-eszközök különböző típusainak figyelése lehetséges fenyegetések és anomáliák esetén. Koncentráljon a kiváló minőségű riasztások beszerzésére, hogy az elemzőknek ne kelljen annyi hamis pozitív eredményt rendezniük. Riasztásokat naplóadatokból, ügynökökből vagy más adatokból is származtathat.

• Veszélyforrások elleni védelem a Microsoft Defender for Cloudban

• A Microsoft Defender for Cloud biztonsági riasztásainak referencia-útmutatója

• Egyéni elemzési szabályok létrehozása fenyegetések észleléséhez

• Számítógépes fenyegetésfelderítés a Microsoft Sentinellel

• Naplók és metrikák elemzése az Azure Spring Cloud Service diagnosztikai beállításaival

Felelősség: Ügyfél

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja:

• Bejelentkezések. A bejelentkezési jelentés információkat nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.

• Naplók. Az auditnaplók naplókon keresztül biztosítják a nyomon követhetőséget az összes olyan módosításhoz, amelyet a különböző funkciók végeznek Azure AD. Ilyenek például a Azure AD lévő erőforrások módosításai, például a hozzáadás vagy az eltávolítás:

  • Felhasználók
  • Alkalmazások
  • Csoportok
  • Szerepkörök
  • Szabályzatok

• Kockázatos bejelentkezések. A kockázatos bejelentkezés olyan bejelentkezési kísérletre utal, amelyet olyan személy kísérelhetett meg, aki nem a felhasználói fiók jogos tulajdonosa.

• Kockázatosként megjelölt felhasználók. A kockázatos felhasználók olyan felhasználói fiókot jelölnek, amelyet esetleg feltörtek.

Ezeket a naplókat Azure AD jelentéskészítésben tekintheti meg. A kifinomultabb monitorozási és elemzési használati esetekhez a naplókat a következőkkel integrálhatja:

• Monitor
• Microsoft Sentinel
• Egyéb SIEM/monitorozási eszközök

A Microsoft Defender for Cloud riasztásokat is képes aktiválni bizonyos gyanús tevékenységekről. Ezek a tevékenységek túl sok sikertelen hitelesítési kísérletet vagy elavult fiókot tartalmaznak az előfizetésben. Az alapvető biztonsági higiénia-monitorozás mellett a Microsoft Defender for Cloud Veszélyforrások elleni védelme modulja az alábbi személyektől is gyűjthet részletes biztonsági riasztásokat:

• Azure-beli számítási erőforrások (virtuális gépek, tárolók és app service)
• Adaterőforrások (SQL DB és tároló)
• Azure-szolgáltatásrétegek

Ez a funkció lehetővé teszi a fiókanomáliák megtekintését egyetlen erőforráson belül.

• Naplózási tevékenységjelentések a Azure AD

• Az Azure Identity Protection engedélyezése

• Veszélyforrások elleni védelem a Microsoft Defender for Cloudban

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: Biztonsági elemzéshez engedélyezze és gyűjtse össze a következő naplókat:

• NSG-erőforrások
• NSG-folyamatok
• Azure Firewall
• Webalkalmazási tűzfal (WAF)

Az alábbi naplók segítségével támogathatja az alábbiakat:

• Incidensvizsgálatok
• Veszélyforrás-keresés
• Biztonsági riasztások létrehozása

Küldje el a folyamatnaplókat egy Log Analytics-munkaterületre a Monitorban. Ezután a Traffic Analytics használatával biztosítson elemzéseket.

Az Azure Spring Cloud Service naplózza az összes olyan hálózati forgalmat, amelyet az ügyfélhozzáférés érdekében feldolgoz. Engedélyezze a hálózati folyamat képességét az üzembe helyezett ajánlat erőforrásain belül.

DNS-lekérdezési naplók gyűjtése más hálózati adatok korrelációja érdekében. A szervezet igényei szerint implementáljon egy külső megoldást Azure Marketplace a DNS-naplózáshoz.

• NSG-folyamatnaplók engedélyezése

• naplók és metrikák Azure Firewall

• A Traffic Analytics engedélyezése és használata

• Monitorozás az Azure Network Watcher

• Azure-beli hálózatfigyelési megoldások a Monitorban

• Elemzések gyűjtése a DNS-infrastruktúráról a DNS Analytics-megoldással

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: A tevékenységnaplók tartalmazzák az Azure Spring Cloud Service-erőforrások összes írási műveletét (PUT, POST és DELETE). A tevékenységnaplók automatikusan elérhetők, de nem tartalmaznak olvasási műveleteket (GET). A hibaelhárítás során a tevékenységnaplók segítségével kereshet hibát. Vagy a naplók segítségével figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Azure-erőforrásnaplók engedélyezése az Azure Spring Cloud Service-hez. A Microsoft Defender for Cloud és a Azure Policy használatával engedélyezheti az erőforrásnaplókat és a naplóadatok gyűjtését. Ezek a naplók kritikus fontosságúak lehetnek a biztonsági incidensek kivizsgálásához és a törvényszéki gyakorlatok elvégzéséhez.

Az Azure Spring Cloud Service biztonsági auditnaplókat is készít a helyi rendszergazdai fiókokhoz. Engedélyezze ezeket a helyi rendszergazdai auditnaplókat.

• Platformnaplók és metrikák gyűjtése a Monitorral

• A naplózás és a különböző naplótípusok megismerése az Azure-ban

• A Microsoft Defender for Cloud adatgyűjtésének ismertetése

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: Nem alkalmazható; Az Azure Spring Cloud Service nem támogatja a saját időszinkronizálási források konfigurálását.

Az Azure Spring Cloud Service szolgáltatás a Microsoft időszinkronizálási forrásaira támaszkodik. A konfiguráció nem érhető el az ügyfelek számára.

Felelősség: Microsoft

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

IR-1: Előkészítés – incidensválasz-folyamat frissítése az Azure-hoz

Útmutató: Győződjön meg arról, hogy a szervezet:

• Olyan folyamatokkal rendelkezik, amelyek reagálnak a biztonsági incidensekre.
• Frissítette ezeket a folyamatokat az Azure-ban.
• Rendszeresen gyakorolja a folyamatokat a felkészültség biztosítása érdekében.

További információért olvassa el a következő cikkeket:

• Biztonság implementálása a teljes nagyvállalati környezetben

• Incidensválasz referencia-útmutató

Felelősség: Ügyfél

IR-2: Előkészítés – incidensértesítés beállítása

Útmutató: Biztonsági incidensek kapcsolattartási adatainak beállítása a Microsoft Defender for Cloudban. Mi történik, ha a Microsoft Security Response Center (MSRC) jogellenes vagy jogosulatlan fél hozzáférését észleli az Ön adataihoz? Ezután a Microsoft ezeket a kapcsolattartási adatokat használja az Önnel való kapcsolatfelvételhez. Az incidensmegoldási igények alapján testre szabhatja az incidensriasztásokat és -értesítéseket a különböző Azure-szolgáltatásokban.

• A Microsoft Defender for Cloud biztonsági kapcsolattartójának beállítása

Felelősség: Ügyfél

IR-3: Észlelés és elemzés – incidensek létrehozása kiváló minőségű riasztások alapján

Útmutató: Kiváló minőségű riasztások létrehozására és a riasztások minőségének mérésére vonatkozó folyamat. Ez a gyakorlat lehetővé teszi, hogy levonja a tanulságokat a múltbeli incidensekből. Ezután az elemzők riasztásaira összpontosíthat, hogy ne pazarolják az időt a téves pozitív értékekre.

A különböző jelforrások összefűzésével és korrelálásával kiváló minőségű riasztásokat hozhat létre az alábbiak alapján:

• Korábbi incidensek tapasztalatai.
• Ellenőrzött közösségi források.
• Riasztások létrehozására és törlésére tervezett eszközök.

A Microsoft Defender for Cloud kiváló minőségű riasztásokat biztosít számos Azure-adategységben. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelnek. Ha automatikusan szeretne incidenseket generálni egy vizsgálathoz, a Microsoft Sentinel lehetővé teszi speciális riasztási szabályok létrehozását.

Az Azure-erőforrásokat érintő kockázatok azonosításához exportálja a Microsoft Defender for Cloud riasztásait és javaslatait az exportálási funkcióval. Riasztások és javaslatok manuális exportálása. Vagy exportálás folyamatos, folyamatos módon.

• Exportálás konfigurálása

• Riasztások streamelése a Microsoft Sentinelbe

Felelősség: Ügyfél

IR-4: Észlelés és elemzés – incidensek kivizsgálása

Útmutató: Győződjön meg arról, hogy az elemzők különböző adatforrásokat kérdezhetnek le és használhatnak a lehetséges incidensek kivizsgálása során. Ezután az elemzők teljes képet kaphatnak a történtekről. A felderítetlen problémák elkerülése érdekében gyűjtsön különböző naplókat, hogy nyomon követhesse egy potenciális támadó tevékenységeit a leölési láncban. Elemzések és tanulási eredmények rögzítése más elemzők számára és jövőbeli előzményreferenciákhoz.

A vizsgálat adatforrásai közé tartoznak a központi naplózási források, amelyeket már gyűjtenek a hatókörön belüli szolgáltatásokból és a futó rendszerekből. Az adatforrások a következőket is tartalmazhatják:

• Hálózati adatok. A hálózati forgalom naplóinak és egyéb elemzési adatainak rögzítéséhez használja a következőt:

  • NSG-k folyamatnaplói
  • Azure Network Watcher
  • Monitor

• A futó rendszerek pillanatképei:

  • Az Azure-beli virtuális gép pillanatkép-készítési funkciójával pillanatképet készíthet a futó rendszer lemezéről.

  • Az operációs rendszer natív memóriakép-készítési funkciójával pillanatképet készíthet a futó rendszer memóriájáról.

  • Az Azure-szolgáltatások vagy saját szoftvere pillanatkép-készítési funkciójával pillanatképeket készíthet a futó rendszerekről.

A Microsoft Sentinel széles körű adatelemzést biztosít gyakorlatilag bármilyen naplóforráshoz. Esetkezelési portált biztosít az incidensek teljes életciklusának kezeléséhez. Nyomon követési és jelentéskészítési célokból társítsa a felderítési információkat egy vizsgálat során egy incidenshez.

• Windows rendszerű gép lemezének pillanatképe

• Linux rendszerű gép lemezének pillanatképe

• Microsoft Azure-támogatás – diagnosztikai információk és memóriaképek gyűjtése

• Incidensek vizsgálata a Microsoft Sentinellel

Felelősség: Ügyfél

IR-5: Észlelés és elemzés – az incidensekre összpontosít

Útmutató: A riasztás súlyossága és az objektumok érzékenysége alapján adjon kontextust az elemzőknek, amelyekről először az incidensekre kell összpontosítani.

A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot. Ez a súlyosság segít kiemelni, hogy mely riasztásokat kell először megvizsgálni. A súlyosság alapja:

• Mennyire magabiztos a Microsoft Defender for Cloud a megállapításban.
• Mennyire magabiztos a Microsoft Defender for Cloud a riasztás kiadásához használt elemzésekben.
• A riasztáshoz vezető tevékenység mögötti rosszindulatú szándék megbízhatósági szintje.

Erőforrások megjelölése címkékkel. Hozzon létre egy elnevezési rendszert az Azure-erőforrások, különösen a bizalmas adatokat feldolgozó erőforrások azonosításához és kategorizálásához. Az Ön feladata a riasztások szervizelése az Azure-erőforrások kritikussága és az incidenst okozó környezet alapján.

• Biztonsági riasztások a Microsoft Defender for Cloudban

• Címkék használata az Azure-erőforrások rendszerezéséhez

Felelősség: Ügyfél

IR-6: Elszigetelés, felszámolás és helyreállítás – az incidenskezelés automatizálása

Útmutató: Az ismétlődő manuális tevékenységek automatizálásával jobb reakcióidő érhető el, és csökkenthető az elemzők terhelése. Manuális feladatok:

• A végrehajtás hosszabb időt vesz igénybe.
• Lelassítja az egyes incidensek előrehaladását.
• Csökkenti, hogy az elemző hány incidenst képes kezelni.

A manuális feladatok növelik az elemzők fáradtságát is, ami növeli a késést okozó emberi hibák kockázatát. A fáradtság rontja az elemzők azon képességét, hogy hatékonyan összpontosítsanak az összetett feladatokra.

A Microsoft Defender for Cloud és a Microsoft Sentinel munkafolyamat-automatizálási funkcióival automatikusan aktiválhat műveleteket. Vagy ezekkel a funkciókkal olyan forgatókönyvet futtathat, amely válaszol a bejövő biztonsági riasztásokra. A forgatókönyv a következő műveleteket hajtja végre:

• Értesítések küldése
• Fiókok letiltása
• A problémás hálózatok elkülönítése

További információért olvassa el a következő cikkeket:

• Munkafolyamat-automatizálás konfigurálása a Microsoft Defender for Cloudban

• Automatikus fenyegetésválaszok beállítása a Microsoft Defender for Cloudban

• Automatikus fenyegetésválaszok beállítása a Microsoft Sentinelben

Felelősség: Ügyfél

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-3: Számítási erőforrások biztonságos konfigurációinak létrehozása

Útmutató: A Microsoft Defender for Cloud és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson. Ezek az erőforrások virtuális gépeket, tárolókat és másokat is tartalmaznak.

• A Microsoft Defender for Cloud javaslatainak monitorozása

• Biztonsági javaslatok – gyorsútmutató

Felelősség: Ügyfél

PV-6: Szoftveres sebezhetőségi felmérések készítése

Útmutató: Nem alkalmazható; A Microsoft biztonságirés-kezelést végez az Azure Spring Cloud Service-t támogató mögöttes rendszereken.

Felelősség: Microsoft

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: Harmadik féltől származó szoftverekhez használjon külső javításkezelési megoldást. Vagy használja a System Center Frissítések Publishert Configuration Manager.

Felelősség: Ügyfél

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutatás: Szükség esetén végezzen behatolástesztelést vagy vörös csapattevékenységeket az Azure-erőforrásokon. Gondoskodjon az összes kritikus biztonsági megállapítás szervizeléséről.

Annak érdekében, hogy a behatolási tesztek ne sértse meg a Microsoft szabályzatait, kövesse a Microsoft felhőbe való behatolástesztelési szabályait. Használja a Microsoft stratégiáját és végrehajtását a Red Teaming és az élő webhely behatolási teszteléséhez a Microsoft által felügyelten:

• Felhőinfrastruktúra
• Szolgáltatások
• Alkalmazások

További információért olvassa el a következő cikkeket:

• Behatolási tesztek az Azure-ban

• Behatolástesztelési beavatkozási szabályok

• Riasztási tesztek a Microsoft-felhőben

Felelősség: Ügyfél

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Intézkedéseket kell hoznia a kulcsok elvesztésének megelőzésére és helyreállítására. A kulcsok véletlen vagy rosszindulatú törlés elleni védelméhez engedélyezze a helyreállítható törlést és a törlés elleni védelmet Key Vault.

• Helyreállítható törlés és végleges törlés elleni védelem engedélyezése Key Vault

Felelősség: Ügyfél

Irányítás és stratégia

További információ: Azure Security Benchmark: Irányítás és stratégia.

GS-1: Eszközkezelési és adatvédelmi stratégia

Útmutató: Világos stratégia dokumentálása és közlése a rendszerek és adatok folyamatos monitorozására és védelmére vonatkozóan. Az üzleti szempontból kritikus fontosságú adatok és rendszerek esetében a következőkre kell összpontosítania:

• Felderítés
• Értékelés
• Védelem
• Figyelés

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• Az üzleti kockázatokhoz igazodó adatbesorolási szabvány

• A kockázatok és az eszközleltár biztonsági szervezet általi láthatósága

• A használandó Azure-szolgáltatások biztonsági szervezet általi jóváhagyása

• Az biztonsága azok teljes életciklusában

• A szervezeti adatok besorolásához igazodó szükséges hozzáférés-vezérlési stratégia

• Natív Azure-beli és külső adatvédelmi képességek használata

• Átvitel közbeni és inaktív adattitkosításra vonatkozó követelmények

• A megfelelő titkosítási szabványok

További információkat az alábbi hivatkozásokon találhat:

• Az Azure biztonsági architektúrára vonatkozó javaslat – Tárolás, adatok és titkosítás

• Az Azure biztonsági alapjai – Az Azure adatbiztonsága, titkosítása és tárolása

• Felhőadaptálási keretrendszer – Az Azure-beli adatbiztonsághoz és titkosításhoz ajánlott eljárások

• Azure biztonsági teljesítményteszt – Eszközkezelés

• Azure biztonsági teljesítményteszt – Adatvédelem

Felelősség: Ügyfél

GS-2: Nagyvállalati szegmentálási stratégia definiálása

Útmutató: Vállalati szintű stratégia létrehozása az eszközökhöz való hozzáférés szegmentálására a következő kombinációk használatával:

• Identitás
• Network (Hálózat)
• Alkalmazás
• Előfizetés
• Felügyeleti csoport
• További vezérlők

Gondosan egyensúlyoz:

• A biztonsági elkülönítés szükségessége.
• Az adatokat kommunikáló és az azokhoz hozzáférő rendszerek napi működésének engedélyezése.

A szegmentálási stratégia következetes implementálása a vezérlőtípusok között, beleértve a következőket:

• Hálózati biztonság
• Identitás- és hozzáférési modellek
• Alkalmazásengedélyek és hozzáférési modellek
• Emberi folyamatvezérlők

További információért tekintse meg az alábbi hivatkozásokat:

• Útmutató Azure-beli szegmentálási stratégiához (videó)

• Útmutató Azure-beli szegmentálási stratégiához (dokumentum)

• Hálózati szegmentálás vállalati szegmentálási stratégiához igazítása

Felelősség: Ügyfél

GS-3: Biztonsági állapotot felügyelő stratégiája definiálása

Útmutató: Folyamatosan mérheti és csökkentheti az egyes eszközökre és a környezetre vonatkozó kockázatokat. Összpontosítson a nagy értékű eszközökre és a magas rendelkezésre állású támadási felületekre, például:

• Közzétett alkalmazások
• Hálózati bejövő és kimenő pontok
• Felhasználói és rendszergazdai végpontok

További információért olvassa el a következő cikket:

• Azure biztonsági teljesítményteszt – Testtartás- és sebezhetőség-kezelés

Felelősség: Ügyfél

GS-4: A vállalati szerepkörök, a felelősség és az elszámoltathatóság összehangolása

Útmutató: Egyértelmű stratégia dokumentálása és kommunikációja a biztonsági szervezet szerepköreivel és felelősségeivel kapcsolatban. Hangsúlyozni:

• Egyértelmű elszámoltathatóság biztosítása a biztonsági döntésekhez.
• Mindenki oktatása a megosztott felelősségi modellről.
• Technikai csapatok oktatása a felhő védelméhez használt technológiára.

További információért olvassa el a következő cikkeket:

• Azure-beli biztonsági ajánlott eljárás 1 – Személyek: Csapatok oktatása a felhőbeli biztonsági folyamatokról

• Azure biztonsági ajánlott eljárás 2 – Személyek: Csapatok oktatása a felhőbiztonsági technológiákról

• Azure biztonsági ajánlott eljárás 3 – Folyamat: Elszámoltathatóság hozzárendelése a felhőbeli biztonsági döntésekhez

Felelősség: Ügyfél

GS-5: Hálózati biztonsági stratégia definiálása

Útmutató: Azure-beli hálózati biztonsági megközelítés kialakítása. Tegye ezt a megközelítést a szervezet biztonsági hozzáférés-vezérlésre vonatkozó általános stratégiájának részévé,

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• Központosított hálózatkezelési és biztonsági felelősség

• A vállalati szegmentálási stratégiához igazodó virtuális hálózati szegmentálási modell

• Szervizelési stratégia különböző fenyegetési és támadási helyzetekre

• Internet peremhálózati, bejövő és kimenő forgalomra vonatkozó stratégia

• Hibrid felhős és helyszíni kapcsolódási stratégia

• Naprakész hálózati biztonsági összetevők, például hálózati diagramok és referenciahálózati architektúra

További információkat az alábbi hivatkozásokon találhat:

• Az Azure ajánlott biztonsági gyakorlata 11 – Architektúra: Egységesített biztonsági stratégia

• Azure biztonsági teljesítményteszt – Hálózati biztonság

• A nagyvállalati hálózati biztonság áttekintése

• Nagyvállalati hálózati architektúrára vonatkozó stratégia

Felelősség: Ügyfél

GS-6: Identitáskezelési és emelt jogosultságú hozzáférési stratégia definiálása

Útmutató: Azure-identitás- és emelt szintű hozzáférési megközelítések létrehozása. Ezeket az elemeket a szervezet biztonsági hozzáférés-vezérlésre vonatkozó általános stratégiájának részévé teheti.

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• Központosított identitás- és hitelesítési rendszer, valamint más belső és külső identitásrendszerekkel való összekapcsolása

• Erős hitelesítési módszerek különböző használati helyzetek és feltételek esetén

• Emelt jogosultságú felhasználók védelme

• Rendellenes felhasználói tevékenységek monitorozása és kezelése

• Felhasználói identitások és hozzáférések felülvizsgálati és egyeztetési folyamata

További információkat az alábbi hivatkozásokon találhat:

• Azure biztonsági teljesítményteszt – Identitáskezelés

• Azure biztonsági teljesítményteszt – Emelt szintű hozzáférés

• Az Azure ajánlott biztonsági gyakorlata 11 – Architektúra: Egységesített biztonsági stratégia

• Az Azure identitáskezelésének biztonsági áttekintése

Felelősség: Ügyfél

GS-7: Naplózási és veszélyforrás-kezelési stratégia definiálása

Útmutató: Ha gyorsan észlelni és elhárítani szeretné a fenyegetéseket a megfelelőségi követelmények teljesítése során, hozzon létre egy naplózási és fenyegetéskezelési stratégiát. Összpontosítson arra, hogy az elemzők kiváló minőségű riasztásokat és zökkenőmentes szolgáltatásokat nyújtsanak. Ezután az elemzők az integráció és a manuális lépések helyett a fenyegetésekre összpontosíthatnak.

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• A biztonsági műveletek (SecOps) szervezetének szerepköre és feladatai

• Egy jól meghatározott incidensmegoldási folyamat, amely egy iparági keretrendszerhez igazodik, például a Nemzeti Szabványügyi és Technológiai Intézethez (NIST)

• Naplórögzítés és -megőrzés a támogatáshoz:

  • Fenyegetések észlelése
  • Incidensmegoldás
  • Megfelelőségi igények

• A fenyegetésekre vonatkozó központosított láthatóság és korrelációs információk a következőkkel:

  • SIEM
  • Natív Azure-képességek
  • Egyéb források

• Kommunikációs és értesítési terv a következőkkel:

  • Ügyfelek
  • Szállítók
  • Közérdekű közfelek

• Natív Azure- és külső platformok használata incidenskezeléshez, például:

  • Naplózás és fenyegetésészlelés
  • Kriminalisztika
  • Támadás elhárítása és felszámolása

• Folyamatok az olyan incidenskezelési és incidens utáni tevékenységekhez, mint a tanulságok levonása és a nyomok megőrzése

További információkat az alábbi hivatkozásokon találhat:

• Azure biztonsági teljesítményteszt – Napló- és fenyegetésészlelés

• Azure biztonsági teljesítményteszt – Incidensmegoldás

• Az Azure ajánlott biztonsági gyakorlata 4 – Folyamat: Incidensmegoldási folyamatok frissítése a felhőben

• felhőadaptálási keretrendszer – Naplózási és jelentéskészítési döntési útmutató

• Azure-beli nagyvállalati szintű skálázás, felügyelet és monitorozás

Felelősség: Ügyfél

GS-8: Biztonsági mentési és helyreállítási stratégia meghatározása

Útmutató: Azure biztonsági mentési és helyreállítási stratégia létrehozása a szervezet számára.

Ennek a stratégiának magában kell foglalnia a dokumentált útmutatót, és az alábbi elemek szabványait:

• A helyreállítási idő célkitűzése (RTO) és a helyreállítási időkorlát (RPO) definíciói, amelyek összhangban vannak az üzleti rugalmassági célokkal

• Redundancia tervezése az alkalmazásokban és az infrastruktúra beállításakor

• A biztonsági mentés védelme hozzáférés-vezérléssel és adattitkosítással

További információkat az alábbi hivatkozásokon találhat:

• Azure biztonsági teljesítményteszt – Biztonsági mentés és helyreállítás

• Azure Well-Architected Framework – Biztonsági mentés és vészhelyreállítás Azure-alkalmazásokhoz

• felhőadaptálási keretrendszer – Üzletmenet-folytonosság és vészhelyreállítás

Felelősség: Ügyfél

Következő lépések

• Az Azure Security Benchmark v2 áttekintésének megtekintése
• További tudnivalók az Azure biztonsági alapterveiről