Az Azure Biztonsági alapkonfigurációja az Azure Storage-hoz

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Storage-ra. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és az Azure Storage-ra vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és annak javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender felhőhöz irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsenek felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Storage-ra nem alkalmazható vagy a Microsoft felelősségi körébe tartozó vezérlők ki lettek zárva. Annak megtekintéséhez, hogy az Azure Storage hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg az Azure Storage biztonsági alapkonfiguráció-leképezési fájljának teljes leírását.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.1: Azure-erőforrások védelme virtuális hálózatokon belül

Útmutató: A tárfiók tűzfalának konfigurálásához korlátozza az ügyfelek hozzáférését adott nyilvános IP-címtartományokból, válassza ki a virtuális hálózatokat vagy adott Azure-erőforrásokat. A privát végpontokat úgy is konfigurálhatja, hogy a vállalati tárolószolgáltatás felé érkező forgalom kizárólag magánhálózatokon haladjon.

Megjegyzés: A klasszikus tárfiókok nem támogatják a tűzfalakat és a virtuális hálózatokat.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Storage:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A tárfiókok korlátozhatják a hálózati hozzáférést Korlátozni kell a tárfiókokhoz való hálózati hozzáférést. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Adott internetes vagy helyszíni ügyfelek kapcsolatainak engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatok vagy nyilvános internetes IP-címtartományok forgalmához Naplózás, megtagadás, letiltva 1.1.1
A tárfiókok virtuális hálózati szolgáltatásvégpontot használnak Ez a szabályzat naplóz minden olyan tárfiókot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. Naplózás, letiltva 1.0.0

1.2: Virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: Az Azure Storage rétegzett biztonsági modellt biztosít. A tárfiókhoz való hozzáférést korlátozhatja a megadott IP-címekről, IP-tartományokból vagy egy Azure-Virtual Network lévő alhálózatok listájából származó kérelmekre. A Microsoft Defender for Cloud használatával hálózatvédelmi javaslatokat követve biztonságossá teheti hálózati erőforrásait az Azure-ban. Emellett engedélyezze a tárfiókokhoz konfigurált virtuális hálózatok vagy alhálózatok hálózati biztonságicsoport-forgalmi naplóit a Storage-fiók tűzfalán keresztül, és küldjön naplókat egy tárfiókba a forgalom naplózásához.

Vegye figyelembe, hogy ha privát végpontok vannak csatlakoztatva a tárfiókhoz, nem konfigurálhat hálózati biztonságicsoport-szabályokat az alhálózatokhoz.

Felelősség: Ügyfél

1.3: Kritikus fontosságú webalkalmazások védelme

Útmutató: Nem alkalmazható; A javaslat Azure App Service vagy számítási erőforrásokon futó webalkalmazásokhoz készült.

Felelősség: Ügyfél

1.4: Az ismert kártékony IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Engedélyezze a Microsoft Defender for Storage-t az Azure Storage-fiókjához. A Microsoft Defender for Storage egy további biztonságiintelligencia-réteget biztosít, amely észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. A Microsoft Defender for Cloud integrált riasztásai olyan tevékenységeken alapulnak, amelyekhez a hálózati kommunikációt sikeresen feloldott IP-címhez társították, függetlenül attól, hogy az IP-cím egy ismert kockázatos IP-cím (például egy ismert kriptovaluta) vagy egy olyan IP-cím, amelyet korábban nem ismernek fel kockázatosnak. A biztonsági riasztások akkor aktiválódnak, ha a tevékenységben rendellenességek történnek.

Felelősség: Ügyfél

1.5: Hálózati csomagok rögzítése

Útmutató: Network Watcher csomagrögzítés lehetővé teszi rögzítési munkamenetek létrehozását a Tárfiók és egy virtuális gép közötti forgalom nyomon követéséhez. A rögzítési munkamenethez szűrők biztosítják, hogy csak a kívánt forgalmat rögzítse. A csomagrögzítés segít diagnosztizálni a hálózati rendellenességeket, mind aktívan, mind proaktívan. Más felhasználási módok például a hálózati statisztikák összegyűjtése, a hálózati behatolásokkal kapcsolatos információk megszerzése, az ügyfél-kiszolgáló kommunikáció hibakeresése és még sok más. A csomagrögzítések távoli aktiválása megkönnyíti a csomagrögzítés manuális futtatásának terhét egy kívánt virtuális gépen, ami értékes időt takarít meg.

Felelősség: Ügyfél

1.6: Hálózati behatolásészlelési/behatolás-megelőzési rendszerek (IDS/IPS) üzembe helyezése

Útmutató: A Microsoft Defender for Storage egy további biztonságiintelligencia-réteget biztosít, amely észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. A biztonsági riasztások akkor aktiválódnak, ha a tevékenységben rendellenességek történnek. Ezek a biztonsági riasztások integrálva vannak a Microsoft Defender for Cloud szolgáltatással, és e-mailben is elküldve az előfizetés rendszergazdáinak, a gyanús tevékenységek részleteivel és a fenyegetések kivizsgálására és elhárítására vonatkozó javaslatokkal.

Felelősség: Ügyfél

1.7: Webalkalmazások felé történő forgalom kezelése

Útmutató: Nem alkalmazható; A javaslat Azure App Service vagy számítási erőforrásokon futó webalkalmazásokhoz készült.

Felelősség: Ügyfél

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Útmutató: A Tárfiókhoz hozzáféréssel rendelkező virtuális hálózatokban lévő erőforrások esetében a konfigurált Virtual Network Virtual Network szolgáltatáscímkék használatával határozhatja meg a hálózati biztonsági csoportok vagy Azure Firewall hálózati hozzáférés-vezérlését. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például a Storage-t) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

Ha a hálózati hozzáférést adott tárfiókokra kell korlátozni, használjon Virtual Network szolgáltatásvégpont-szabályzatokat.

Felelősség: Ügyfél

1.9: Standard biztonsági konfigurációk karbantartása hálózati eszközökhöz

Útmutató: Standard biztonsági konfigurációk definiálása és implementálása az Azure Storage-fiókhoz és a Azure Policy társított hálózati erőforrásokhoz. A "Microsoft.Storage" és a "Microsoft.Network" névterekben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Storage-fiók erőforrásainak hálózati konfigurációjának naplózásához vagy kikényszerítéséhez.

Használhatja a Storage-fiókhoz kapcsolódó beépített szabályzatdefiníciókat is, például: A tárfiókoknak virtuális hálózati szolgáltatásvégpontot kell használniuk

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Használjon címkéket a hálózati biztonsági csoportokhoz és a hálózati biztonsághoz és a forgalomhoz kapcsolódó egyéb erőforrásokhoz. A címkézéssel beépített és egyéni név-érték párokat társíthat egy adott hálózati erőforráshoz, így rendszerezheti a hálózati erőforrásokat, és az Azure-erőforrásokat a hálózat kialakításához kapcsolhatja.

A címkézéshez kapcsolódó beépített Azure Policy-definíciók ( például "Címke és érték megkövetelése" – használatával gondoskodhat arról, hogy az összes erőforrás címkékkel legyen létrehozva, és értesítést küldhessen a meglévő címkézetlen erőforrásokról.

A hálózati biztonsági csoportok támogatják a címkéket, de az egyes biztonsági szabályok nem. A biztonsági szabályok rendelkeznek egy Leírás mezővel, amellyel tárolhat néhány olyan információt, amelyet általában egy címkében tárolna.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak monitorozásához és a változások észleléséhez

Útmutató: A Azure Policy használatával naplózhatja a hálózati erőforrások konfigurációs változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus hálózati erőforrások módosításakor aktiválódik.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitoron belül használja a Log Analytics-munkaterület(ek)et az elemzések lekérdezéséhez és végrehajtásához, valamint az Azure Storage-fiókokat hosszú távú/archiválási tároláshoz, opcionálisan olyan biztonsági funkciókkal, mint például a nem módosítható tárolás és a kényszerített megőrzési visszatartások.

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure Storage Analytics blobokhoz, üzenetsorokhoz és táblákhoz biztosít naplókat. A Azure Portal használatával konfigurálhatja, hogy mely naplók legyenek rögzítve a fiókjához.

Felelősség: Ügyfél

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Ha biztonsági eseménynaplókat tárol az Azure Storage-fiókban vagy a Log Analytics-munkaterületen, a szervezet igényeinek megfelelően állíthatja be a megőrzési szabályzatot.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: Az Azure Storage-naplók áttekintéséhez rendelkezésre állnak a szokásos lehetőségek, például a Log Analytics-ajánlaton keresztüli lekérdezések, valamint egy egyedi lehetőség a naplófájlok közvetlen megtekintésére. Az Azure Storage-ban a naplók olyan blobokban vannak tárolva, amelyekhez közvetlenül http://accountname.blob.core.windows.net/$logs hozzá kell férni (a naplózási mappa alapértelmezés szerint rejtett, ezért közvetlenül kell navigálnia. Nem jelenik meg a Lista parancsokban)

Emellett engedélyezze a Microsoft Defender for Storage-t a tárfiókhoz. A Microsoft Defender for Storage egy további biztonságiintelligencia-réteget biztosít, amely észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. A biztonsági riasztások akkor aktiválódnak, ha a tevékenységben rendellenességek történnek. Ezek a biztonsági riasztások integrálva vannak a Microsoft Defender for Cloud szolgáltatással, és e-mailben is elküldve az előfizetés rendszergazdáinak, a gyanús tevékenységek részleteivel és a fenyegetések kivizsgálására és elhárítására vonatkozó javaslatokkal.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: A Microsoft Defender for Cloudban engedélyezze a Microsoft Defender for Storage-fiókot. Engedélyezze a Storage-fiók diagnosztikai beállításait, és küldjön naplókat egy Log Analytics-munkaterületre. A Log Analytics-munkaterület előkészítése a Microsoft Sentinelbe, mivel biztonsági vezénylési automatizált válaszmegoldást (SOAR) biztosít. Ez lehetővé teszi forgatókönyvek (automatizált megoldások) létrehozását és használatát a biztonsági problémák elhárításához.

Felelősség: Ügyfél

2.8: Kártevőirtó naplózás központosítása

Útmutató: Használja a Microsoft Defendert a felhőhöz, és engedélyezze a Microsoft Defender for Storage-t az Azure Storage-ba történő kártevőfeltöltések észleléséhez kivonatok hírnevének elemzésével és gyanús hozzáféréssel egy aktív Tor-kilépési csomópontról (egy anonimizáló proxyról).

Felelősség: Ügyfél

2.9: DNS-lekérdezések naplózásának engedélyezése

Útmutató: Az Azure MonitorBan található Azure DNS Analytics (előzetes verzió) megoldás biztonsági, teljesítménybeli és üzemeltetési elemzéseket gyűjt a DNS-infrastruktúráról. Ez jelenleg nem támogatja az Azure Storage-fiókokat, de használhat külső dns-naplózási megoldást.

Felelősség: Ügyfél

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: Az Azure Active Directory (Azure AD) beépített szerepkörei explicit módon hozzárendelendők és lekérdezhetők. A Azure AD PowerShell-modul használatával alkalmi lekérdezéseket hajthat végre a felügyeleti csoportok tagjait tartalmazó fiókok felderítéséhez.

Felelősség: Ügyfél

3.2: Az alapértelmezett jelszavak módosítása, ha vannak

Útmutató: Az Azure Storage-fiókok és az Azure Active Directory (Azure AD) az alapértelmezett vagy üres jelszavak fogalmával rendelkeznek. Az Azure Storage olyan hozzáférés-vezérlési modellt implementál, amely támogatja az Azure szerepköralapú hozzáférés-vezérlését (Azure RBAC), valamint a megosztott kulcsokat és a közös hozzáférésű jogosultságkódokat (SAS). A megosztott kulcs és SAS-hitelesítés egyik jellemzője, hogy nincs identitás társítva a hívóhoz, ezért a rendszerbiztonsági tag engedélyalapú hitelesítése nem hajtható végre.

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Hozzon létre szabványos üzemeltetési eljárásokat a Tárfiókhoz hozzáféréssel rendelkező dedikált rendszergazdai fiókok használatával kapcsolatban. A Microsoft Defender for Cloud Identity és a hozzáférés-kezelés használatával monitorozza a felügyeleti fiókok számát.

Igény szerinti/igény szerinti hozzáférést is engedélyezhet az Azure Active Directory (Azure AD) Privileged Identity Management Kiemelt szerepkörökkel a Microsoft Services és az Azure Resource Manager használatával.

Felelősség: Ügyfél

3.4: Az Azure Active Directory egyszeri bejelentkezés (SSO) használata

Útmutató: Ahol csak lehetséges, használja az Azure Active Directory (Azure AD) egyszeri bejelentkezést ahelyett, hogy különálló, szolgáltatásonkénti hitelesítő adatokat konfigurálna. Használja a Microsoft Defender felhőalapú identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender for Cloud Identity és a hozzáférés-kezelési javaslatokat a Storage-fiók erőforrásainak védelme érdekében.

Felelősség: Ügyfél

3.6: Biztonságos, Azure által felügyelt munkaállomások használata felügyeleti feladatokhoz

Útmutató: Emelt hozzáférési szintű munkaállomások (emelt szintű hozzáférésű munkaállomások) használata többtényezős hitelesítéssel, amely a Storage-fiók erőforrásaiba való bejelentkezéshez és konfiguráláshoz van konfigurálva.

Felelősség: Ügyfél

3.7: Napló és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: A Microsoft Defender for Cloud Risk Detection riasztásainak elküldése az Azure Monitorba, és egyéni riasztások/értesítések konfigurálása műveletcsoportok használatával. Engedélyezze a Microsoft Defender for Storage-fiókot a gyanús tevékenységekre vonatkozó riasztások létrehozásához. Emellett az Azure Active Directory (Azure AD) kockázatészleléseit is használhatja a kockázatos felhasználói viselkedésre vonatkozó riasztások és jelentések megtekintéséhez.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Feltételes hozzáféréssel elnevezett helyek használatával csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Az Azure Active Directory (Azure AD) használata központi hitelesítési és engedélyezési rendszerként. Az Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC) biztosít az ügyfelek tárfiókbeli erőforrásokhoz való hozzáférésének részletes vezérléséhez. Ha lehetséges, használja Azure AD hitelesítő adatait ajánlott biztonsági eljárásként a fiókkulcs használata helyett, amely könnyebben feltörhető. Ha az alkalmazás kialakításához közös hozzáférésű jogosultságkódra van szükség a Blob Storage-hoz való hozzáféréshez, Azure AD hitelesítő adatokkal hozzon létre egy felhasználódelegálási közös hozzáférésű jogosultságkódokat (SAS), ha lehetséges, a magas szintű biztonság érdekében.

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Tekintse át az Azure Active Directory-naplókat (Azure AD) az elavult fiókok felderítéséhez, amelyekbe belefoglalhatják a Tárfiók rendszergazdai szerepkörrel rendelkező fiókokat is. Emellett az Azure Identity Access Reviews használatával hatékonyan kezelheti a csoporttagságokat, a storage-fiók erőforrásainak eléréséhez használható vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférést rendszeresen felül kell vizsgálni, hogy csak a megfelelő felhasználók rendelkezzenek folyamatos hozzáféréssel.

A közös hozzáférésű jogosultságkód (SAS) használatával biztonságos delegált hozzáférést biztosíthat a tárfiók erőforrásaihoz anélkül, hogy veszélyeztetné az adatok biztonságát. Többek között szabályozhatja, hogy az ügyfél milyen erőforrásokhoz férhet hozzá, milyen engedélyekkel rendelkezik ezekhez az erőforrásokhoz, és hogy mennyi ideig érvényes az SAS.

Emellett tekintse át a tárolókhoz és blobokhoz való névtelen olvasási hozzáférést is. Alapértelmezés szerint a tárolóhoz és az abban elhelyezkedő blobokhoz csak olyan felhasználó férhet hozzá, akinek megadta a megfelelő engedélyeket. Az Azure Monitor használatával névtelen hitelesítési feltétel használatával riasztást kaphat a tárfiókok névtelen hozzáféréséről.

A gyanútlan felhasználói fiókok hozzáférésének kockázatának csökkentésének egyik hatékony módja a felhasználók számára biztosított hozzáférés időtartamának korlátozása. Az időkorlátos SAS URI-k az egyik hatékony módja a Storage-fiókhoz való felhasználói hozzáférés automatikus lejáratának. Emellett a tárfiókkulcsok gyakori rotálása biztosítja, hogy a tárfiókkulcsokon keresztüli váratlan hozzáférés korlátozott ideig tartson.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek figyelése

Útmutató: A Storage Analytics használatával részletes információkat naplózhat a tárolószolgáltatásnak küldött sikeres és sikertelen kérelmekről. Minden napló blokkblobokban van tárolva egy $logs nevű tárolóban, amely automatikusan létrejön, ha Storage Analytics engedélyezve van egy tárfiókhoz.

Hozzon létre diagnosztikai beállításokat az Azure Active Directory (Azure AD) felhasználói fiókjaihoz, és küldje el az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. A kívánt riasztásokat a Log Analytics-munkaterületen konfigurálhatja.

Az Azure Storage-fiókok hitelesítési hibáinak monitorozásához riasztásokat hozhat létre, amelyek értesítik, ha elérte a tárolási erőforrások metrikáinak bizonyos küszöbértékeit. Emellett az Azure Monitor használatával riasztást is küld a tárfiókok névtelen hozzáféréséről névtelen hitelesítési feltétel használatával.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: Az Azure Active Directory (Azure AD) kockázat- és identitásvédelmi funkcióival automatikus válaszokat konfigurálhat a Storage-fiók erőforrásaival kapcsolatos gyanús műveletekre. A szervezet biztonsági válaszainak implementálásához engedélyeznie kell az automatizált válaszokat a Microsoft Sentinelen keresztül.

Felelősség: Ügyfél

3.13: Hozzáférés biztosítása a Microsoft számára a megfelelő ügyféladatokhoz a támogatási forgatókönyvek során

Útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz, az Ügyfélszéf (tárfiók előzetes verziója) egy felületet biztosít az ügyfelek számára az ügyféladatok hozzáférési kérelmeinek áttekintéséhez és jóváhagyásához vagy elutasításához. A Microsoft nem követeli meg, és nem is kér hozzáférést a szervezet Storage-fiókban tárolt titkos kulcsaihoz.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.1: Bizalmas információk leltárának karbantartása

Útmutató: Címkék használatával nyomon követheti a tárfiók bizalmas adatokat tároló vagy feldolgozó erőforrásait.

Felelősség: Ügyfél

4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése

Útmutató: Elkülönítés megvalósítása különálló előfizetések, felügyeleti csoportok és tárfiókok használatával az egyes biztonsági tartományokhoz, például a környezethez és az adatok bizalmasságához. A tárfiókot korlátozhatja az alkalmazások és vállalati környezetek által igényelt tárfiókok hozzáférési szintjének szabályozására a használt hálózatok típusa és részhalmaza alapján. Ha hálózati szabályok vannak konfigurálva, csak a megadott hálózatokon adatokat kérő alkalmazások férhetnek hozzá a tárfiókhoz. Az Azure Storage-hoz való hozzáférést az Azure RBAC (Azure RBAC) használatával szabályozhatja.

Privát végpontokat is konfigurálhat a biztonság növelése érdekében, mivel a virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán halad át, így kiküszöbölhető a nyilvános internetről való kitettség.

Felelősség: Ügyfél

4.3: Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása

Útmutató: A tárfiók bizalmas adatokat tároló vagy feldolgozó erőforrásai esetében címkék használatával jelölje meg bizalmasként az erőforrásokat. A kiszivárgással járó adatvesztés kockázatának csökkentése érdekében korlátozza az Azure Storage-fiókok kimenő hálózati forgalmát Azure Firewall használatával.

Emellett virtuális hálózati szolgáltatásvégpont-szabályzatokkal szűrheti az Azure Storage-fiókokba irányuló kimenő virtuális hálózati forgalmat a szolgáltatásvégponton keresztül, és engedélyezheti az adatok kiszűrését csak bizonyos Azure Storage-fiókokra.

Felelősség: Ügyfél

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: A HTTPS használatát kényszerítheti a tárfiókhoz szükséges biztonságos átvitel engedélyezésével. A HTTP-t használó kapcsolatok ez követően el lesznek utasítva. Emellett a Microsoft Defender for Cloud és a Azure Policy használatával kényszerítheti ki a tárfiók biztonságos átvitelét.

Felelősség: Megosztott

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Storage:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Engedélyezni kell a tárfiókokba történő biztonságos átvitelt A tárfiók biztonságos átvitelének naplózási követelményei. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokról (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati rétegbeli támadásoktól, például a közbeékeléssel, a lehallgatással és a munkamenet-eltérítéssel szemben. Naplózás, megtagadás, letiltva 2.0.0

4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához

Útmutató: Az adatazonosítási funkciók még nem érhetők el az Azure Storage-fiókhoz és a kapcsolódó erőforrásokhoz. Szükség esetén implementáljuk a harmadik féltől származó megoldást a megfelelőség érdekében.

Felelősség: Ügyfél

4.6: Szerepköralapú hozzáférés-vezérlés használata az erőforrásokhoz való hozzáférés szabályozásához

Útmutató: Az Azure Active Directory (Azure AD) azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyezi a védett erőforrások hozzáférési jogosultságait. Az Azure Storage az Azure beépített RBAC-szerepköreinek készletét határozza meg, amelyek a blob- vagy üzenetsoradatok eléréséhez használt általános engedélykészleteket foglalják magukban.

Felelősség: Ügyfél

4.8: Bizalmas adatok titkosítása inaktív állapotban

Útmutató: Az Azure Storage-titkosítás minden tárfiókhoz engedélyezve van, és nem tiltható le. Az Azure Storage automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzi. Amikor beolvassa az Azure Storage adatait, azok titkosítását az Azure Storage oldja fel. Az Azure Storage-titkosítás lehetővé teszi az inaktív adatok védelmét anélkül, hogy módosítania kellene a kódot, vagy bármilyen alkalmazáshoz hozzá kellene adnia a kódot.

Felelősség: Ügyfél

4.9: Napló és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: Az Azure Monitor és az Azure Tevékenységnapló használatával riasztásokat hozhat létre a Tárfiók erőforrásainak változásairól. Az Azure Storage naplózásának engedélyezését is engedélyezheti az Azure Storage-ra irányuló egyes kérések engedélyezésének nyomon követéséhez. A naplók azt jelzik, hogy a kérés névtelenül, OAuth 2.0-jogkivonat használatával, megosztott kulcs használatával vagy közös hozzáférésű jogosultságkód (SAS) használatával történt-e. Emellett az Azure Monitor használatával névtelen hitelesítési feltétel használatával riasztást adhat a tárfiókok névtelen hozzáféréséről.

Felelősség: Ügyfél

Biztonságirés-kezelés

További információ: Az Azure biztonsági teljesítménytesztje: Sebezhetőségek kezelése.

5.1: Automatizált biztonságirés-ellenőrző eszközök futtatása

Útmutató: Kövesse a Microsoft Defender for Cloud javaslatait a tárfiókok konfigurációjának folyamatos naplózásához és monitorozásához.

Felelősség: Ügyfél

5.4: A biztonsági rések back-to-back vizsgálatainak összehasonlítása

Útmutató: Nem alkalmazható; A Microsoft biztonsági rések kezelését végzi a Storage-fiókokat támogató mögöttes rendszereken.

Felelősség: Ügyfél

5.5: Kockázatbesorolási folyamat használata a felderített biztonsági rések elhárításának rangsorolásához

Útmutató: Használja a Microsoft Defender for Cloud által biztosított alapértelmezett kockázati minősítéseket (biztonsági pontszámot).

Felelősség: Ügyfél

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben található összes erőforrást (beleértve a Storage-fiókokat is). Győződjön meg arról, hogy megfelelő (olvasási) engedélyekkel rendelkezik a bérlőben, és képes az összes Azure-előfizetés és az előfizetésen belüli erőforrások számbavételére.

Felelősség: Ügyfél

6.2: Eszköz metaadatainak karbantartása

Útmutató: Címkék alkalmazása a Storage-fiók erőforrásaira, amelyek metaadatokat adnak a logikai rendszerezéshez egy osztályozásba.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: A tárfiókok és a kapcsolódó erőforrások rendszerezéséhez és nyomon követéséhez szükség esetén használjon címkézést, felügyeleti csoportokat és külön előfizetéseket. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.

Emellett a Microsoft Defender for Storage használatával észlelheti a jogosulatlan Azure-erőforrásokat.

Felelősség: Ügyfél

6.4: A jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása

Útmutató: Létre kell hoznia egy leltárt a jóváhagyott Azure-erőforrásokról a szervezeti igényeknek megfelelően.

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok

  • Engedélyezett erőforrástípusok

Emellett az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésekben lévő erőforrásokat. Ez segíthet a magas biztonságú környezetekben, például a Storage-fiókokkal rendelkezőkben.

Felelősség: Ügyfél

6.7: Nem jóváhagyott Azure-erőforrások és szoftveralkalmazások eltávolítása

Útmutató: Az ügyfél megakadályozhatja az erőforrások létrehozását vagy használatát Azure Policy az ügyfél vállalati szabályzatai által megkövetelt módon.

Felelősség: Ügyfél

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok
  • Engedélyezett erőforrástípusok

További információ a hivatkozott hivatkozásokon érhető el.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.ClassicStorage:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A tárfiókokat új Azure-Resource Manager-erőforrásokba kell migrálni Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, kulcstartó-hozzáférés a titkos kódokhoz, Azure AD-alapú hitelesítés, valamint címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése Naplózás, megtagadás, letiltva 1.0.0

Azure Policy beépített definíciók – Microsoft.Storage:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
A tárfiókokat új Azure-Resource Manager-erőforrásokba kell migrálni Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, kulcstartó-hozzáférés a titkos kódokhoz, Azure AD-alapú hitelesítés, valamint címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése Naplózás, megtagadás, letiltva 1.0.0

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure feltételes hozzáféréssel korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz. Ez megakadályozhatja az erőforrások létrehozását és módosítását magas biztonsági környezetben, például a Storage-fiókokkal rendelkezőkben.

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Az Azure biztonsági teljesítménytesztje: Biztonságos konfiguráció.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: A Microsoft.Storage-névtérben Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre a Storage-fiókpéldányok konfigurációjának naplózásához vagy kikényszerítéséhez. Az Azure Storage-fiók beépített Azure Policy-definícióit is használhatja, például:

  • Tárfiókokhoz való korlátlan hálózati hozzáférés naplózása
  • A Microsoft Defender for Storage üzembe helyezése
  • A tárfiókokat új Azure-Resource Manager-erőforrásokba kell migrálni
  • Engedélyezni kell a tárfiókokba történő biztonságos átvitelt

Használja a Microsoft Defender for Cloud javaslatait a tárfiókok biztonságos konfigurációs alapkonfigurációjaként.

Felelősség: Ügyfél

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: A Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] használatával kényszerítheti ki a biztonságos beállításokat a tárfiók erőforrásai között.

Felelősség: Ügyfél

7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Az Azure Repos használatával biztonságosan tárolhatja és kezelheti a kódot, például egyéni Azure-szabályzatokat, Azure-Resource Manager-sablonokat, Desired State Configuration szkripteket stb. Az Azure DevOpsban kezelt erőforrások eléréséhez engedélyeket adhat vagy tagadhat meg adott felhasználóknak, beépített biztonsági csoportoknak vagy az Azure Active Directoryban (Azure AD) meghatározott csoportoknak, ha integrálva van az Azure DevOpsszal, vagy Azure AD, ha integrálva van a TFS-sel.

Felelősség: Ügyfél

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: A Azure Policy használatával riasztást, naplózást és rendszerkonfigurációk kikényszerítését végezheti el a Storage-fiókban. Emellett a szabályzatkivételeket kezelő folyamatot és folyamatot is fejleszthet.

Felelősség: Ügyfél

7.9: Azure-erőforrások automatizált konfigurációmonitorozásának implementálása

Útmutató: Használja a Microsoft Defender for Cloudot az Azure Storage-fiók erőforrásainak alapkonfiguráció-vizsgálatához.

Felelősség: Ügyfél

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: Az Azure Storage automatikusan titkosítja az adatokat, amikor azokat a felhőben megőrzi. A Tárfiók titkosításához HasználhatJa a Microsoft által felügyelt kulcsokat, vagy kezelheti a titkosítást a saját kulcsaival. Ha ügyfél által megadott kulcsokat használ, az Azure Key Vault használatával biztonságosan tárolhatja a kulcsokat.

Emellett gyakran forgassa el a tárfiókkulcsokat, hogy korlátozza a tárfiókkulcsok elvesztésének vagy közzétételének hatását.

Felelősség: Ügyfél

7.12: Identitások biztonságos és automatikus kezelése

Útmutató: Blobokhoz és üzenetsorokhoz való hozzáférés engedélyezése az Azure Storage-fiókokban az Azure Active Directoryval (Azure AD) és a felügyelt identitásokkal. Az Azure Blob és a Queue Storage támogatja Azure AD Hitelesítést az Azure-erőforrások felügyelt identitásaival.

Az Azure-erőforrások felügyelt identitásai Azure AD azure-beli Virtual Machines r-ben, függvényalkalmazásokban, virtuálisgép-méretezési csoportokban és más szolgáltatásokban futó alkalmazások hitelesítő adataival engedélyezhetik a blob- és üzenetsoradatokhoz való hozzáférést. Ha felügyelt identitásokat használ az Azure-erőforrásokhoz Azure AD hitelesítéssel együtt, elkerülheti a hitelesítő adatok tárolását a felhőben futó alkalmazásokkal.

Felelősség: Ügyfél

7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése

Útmutató: Implementálja a Hitelesítőadat-ellenőrzőt a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Felelősség: Ügyfél

Kártevők elleni védelem

További információ: Azure Security Benchmark: Malware Defense.

8.2: Nem számítási Azure-erőforrásokba feltöltendő fájlok előzetes vizsgálata

Útmutató: A Microsoft Defender for Storage használatával észlelheti az Azure Storage-ba történő kártevőfeltöltéseket kivonatolási hírnévelemzéssel és gyanús hozzáféréssel egy aktív Tor kilépési csomópontról (egy anonimizáló proxyról).

A nem számítási Azure-erőforrásokba, például App Service, Data Lake Storage, Blob Storage-ba és más erőforrásokba való feltöltés előtt előre is megvizsgálhatja a tartalmakat, hogy megfeleljenek a szervezet követelményeinek.

Felelősség: Ügyfél

Adat-helyreállítás

További információ: Azure Security Benchmark: Data Recovery.

9.1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: A Microsoft Azure-tárfiókban lévő adatok mindig automatikusan replikálódnak a tartósság és a magas rendelkezésre állás biztosítása érdekében. Az Azure Storage úgy másolja az adatokat, hogy azok védve legyenek a tervezett és nem tervezett eseményektől, beleértve az átmeneti hardverhibákat, a hálózati vagy áramkimaradásokat és a súlyos természeti katasztrófákat. Dönthet úgy, hogy az adatokat ugyanabban az adatközpontban, az ugyanazon régión belüli zónaszintű adatközpontokban vagy földrajzilag elkülönített régiókban replikálja.

Azt is engedélyezheti, hogy az Azure Automation rendszeres pillanatképeket készítsen a blobokról.

Felelősség: Ügyfél

9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése

Útmutató: A Tárfiók által támogatott szolgáltatásokból származó adatok biztonsági mentéséhez több módszer is rendelkezésre áll, például az azcopy vagy külső eszközök használata. Az Azure Blob Storage nem módosítható tárolója lehetővé teszi, hogy a felhasználók üzleti szempontból kritikus fontosságú adatobjektumokat tároljanak WORM (Egyszer írható, több olvasási) állapotban. Ez az állapot nem teszi az adatokat törölhetővé és nem módosíthatóvá a felhasználó által megadott időközönként.

Az ügyfél által felügyelt/megadott kulcsok az Azure Key Vault az Azure CLI vagy a PowerShell használatával támogatottak.

Felelősség: Ügyfél

9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is

Útmutató: A Key Vault tanúsítványok, kulcsok, felügyelt tárfiókok és titkos kódok rendszeres adat-visszaállítását a következő PowerShell-parancsokkal végezheti el:

Restore-AzKeyVaultCertificate Restore-AzKeyVaultKey Restore-AzKeyVaultManagedStorageAccount Restore-AzKeyVaultSecret

Megjegyzés: Ha adatokat szeretne másolni az Azure Table Storage szolgáltatásba és onnan, telepítse az AzCopy 7.3-at.

Felelősség: Ügyfél

9.4: A biztonsági másolatok és az ügyfél által kezelt kulcsok védelmének biztosítása

Útmutató: Az ügyfél által felügyelt kulcsok tárfiókon való engedélyezéséhez azure-Key Vault kell használnia a kulcsok tárolásához. Engedélyeznie kell a Helyreállítható törlés és a Törlés tiltása tulajdonságot is a kulcstartón. Key Vault Helyreállítható törlés funkciója lehetővé teszi a törölt tárolók és tárolóobjektumok, például kulcsok, titkos kódok és tanúsítványok helyreállítását. Ha a Storage-fiók adatainak azure storage-blobokra való biztonsági mentésekor engedélyezi a helyreállítható törlést az adatok mentéséhez és helyreállításához a blobok vagy blobok pillanatképeinek törlésekor. A biztonsági másolatokat bizalmas adatokként kell kezelnie, és ennek az alapkonfigurációnak a részeként kell alkalmaznia a megfelelő hozzáférési és adatvédelmi vezérlőket. A nagyobb védelem érdekében üzletileg kritikus fontosságú adatobjektumokat is tárolhat WORM (Egyszer írható, Több olvasás) állapotban.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidensmegoldási útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Emellett egyértelműen jelöljön meg előfizetéseket (például éles környezetben, nem prod) címkék használatával, és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához, különösen a bizalmas adatokat feldolgozók számára. Az Ön felelőssége, hogy rangsorolja a riasztások megoldását azon Azure-erőforrások és -környezetek kritikussága alapján, ahol az incidens történt.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez az Azure-erőforrások védelme érdekében. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.

Felelősség: Ügyfél

10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) észleli, hogy adatait egy jogellenes vagy jogosulatlan fél férte hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe

Útmutató: Exportálja a Microsoft Defender for Cloud riasztásait és javaslatait a Folyamatos exportálás funkcióval az Azure-erőforrásokra vonatkozó kockázatok azonosításához. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelnek.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan az Azure-erőforrások védelme érdekében.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft előjegyzési szabályait annak ellenőrzéséhez, hogy a behatolási tesztek nem sértik-e a Microsoft szabályzatait. Használja a Microsoft stratégiáját és a Red Teaming és az élő webhely behatolási tesztelését a Microsoft által felügyelt felhőinfrastruktúrán, szolgáltatásokon és alkalmazásokon.

Felelősség: Megosztott

Következő lépések