Az Azure-beli biztonsági alapkonfiguráció az Azure Virtual Desktophoz

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza az Azure Virtual Desktopra. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Security Benchmark által meghatározott biztonsági vezérlők és a kapcsolódó útmutató szerint van csoportosítva
Azure Virtual Desktop.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, hogy segítsen felmérni az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Virtual Desktopra nem alkalmazható vezérlők, valamint azok, amelyek esetében a globális útmutatást szó szerint ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy az Azure Virtual Desktop hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Virtual Desktop biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Az Azure Virtual Desktopban regisztrálandó virtuális gépek üzembe helyezésekor létre kell hoznia vagy használnia kell egy meglévő virtuális hálózatot. Győződjön meg arról, hogy az összes Azure-beli virtuális hálózat az üzleti kockázatokhoz igazodó vállalati szegmentálási elvet követi. Minden olyan rendszert, amely nagyobb kockázatot jelenthet a szervezet számára, el kell különíteni a saját virtuális hálózatán belül, és megfelelően kell védeni egy hálózati biztonsági csoporttal vagy Azure Firewall.

A Microsoft Defender for Cloud adaptív hálózatkonfigurációs funkcióival olyan hálózati biztonsági csoportkonfigurációkat javasolhat, amelyek korlátozzák a portokat és a forrás IP-címeket a külső hálózati forgalmi szabályokra való hivatkozással.

Az alkalmazások és a vállalati szegmentálási stratégia alapján korlátozza vagy engedélyezze a belső erőforrások közötti forgalmat a hálózati biztonsági csoport szabályai alapján. Bizonyos jól definiált alkalmazások (például háromrétegű alkalmazások) esetében ez egy rendkívül biztonságos "alapértelmezés szerint megtagadás, kivétel szerinti engedélyezés" megközelítés lehet. Ez nem feltétlenül skálázható jól, ha sok alkalmazás és végpont kommunikál egymással. A Azure Firewall olyan esetekben is használhatja, amikor nagy számú vállalati szegmenshez vagy küllőhez (küllős topológiában) központi felügyeletre van szükség.

A virtuális géphez társított (az Azure Virtual Desktop részét képező) alhálózatokhoz társított hálózati biztonsági csoportok esetében engedélyeznie kell a kimenő forgalmat adott végpontokra.

Hálózati biztonsági csoport létrehozása biztonsági szabályokkal: /azure/virtual-network/tutorial-filter-network-traffic

Azure Firewall üzembe helyezése és konfigurálása: /azure/firewall/tutorial-firewall-deploy-portal

Felelősség: Ügyfél

NS-2: Privát hálózatok összekapcsolása

Útmutató: Az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között egy közös elhelyezési környezetben. Az ExpressRoute-kapcsolatok nem haladnak át a nyilvános interneten, nagyobb megbízhatóságot, gyorsabb sebességet és alacsonyabb késést kínálnak, mint a tipikus internetkapcsolatok.

Pont–hely típusú és helyek közötti virtuális magánhálózatok esetén a helyszíni eszközöket vagy hálózatokat virtuális hálózathoz csatlakoztathatja a virtuális magánhálózati lehetőségek és az Azure ExpressRoute bármilyen kombinációjával.

Virtuális hálózatok közötti társviszony-létesítéssel összekapcsolhat két vagy több virtuális hálózatot az Azure-ban. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Felelősség: Ügyfél

NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadásokkal szemben

Útmutató: Az Azure Firewall használatával megvédheti az alkalmazásokat és szolgáltatásokat az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalom ellen. Az Azure Virtual Desktop-erőforrások védelme külső hálózatok támadásai ellen, beleértve az elosztott szolgáltatásmegtagadásos támadásokat, az alkalmazásspecifikus támadásokat, a kéretlen és potenciálisan rosszindulatú internetes forgalmat. Az azure-beli virtuális hálózatokon a DDoS standard szintű védelmének engedélyezésével megvédheti eszközeit az elosztott szolgáltatásmegtagadásos támadásoktól. A Microsoft Defender for Cloud használatával észlelheti a hálózattal kapcsolatos erőforrásokhoz kapcsolódó helytelen konfigurációs kockázatokat.

Az Azure Virtual Desktop nem webalkalmazások futtatására szolgál, és nem követeli meg további beállítások konfigurálását vagy további hálózati szolgáltatások üzembe helyezését a webalkalmazásokat célzó külső hálózati támadások elleni védelem érdekében.

Felelősség: Ügyfél

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Virtual Network szolgáltatáscímkék használatával hálózati hozzáférési vezérlőket határozhat meg a hálózati biztonsági csoportokon vagy az Azure Virtual Desktop-erőforrásokhoz konfigurált Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például: AzureVirtualDesktop) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Az Azure Virtual Desktop az Azure Active Directoryt (Azure AD) használja alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell a Azure AD:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.

  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

Az Azure AD biztonságának kiemelten fontosnak kell lennie a vállalat felhőbiztonsági gyakorlatában. Az Azure AD egy identitásbiztonsági pontszámmal segít felmérni az identitásbiztonsági helyzetet a Microsoft ajánlott eljárásaihoz viszonyítva. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Azure AD támogatja a külső identitásokat, amelyek lehetővé teszik, hogy a Microsoft-fiókkal nem rendelkező felhasználók külső identitással jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Az Azure Virtual Desktop támogatja az Azure által felügyelt identitásokat nem emberi fiókokhoz, például szolgáltatásokhoz vagy automatizáláshoz. Javasoljuk, hogy az Erőforrások eléréséhez vagy végrehajtásához egy hatékonyabb emberi fiók létrehozása helyett az Azure felügyelt identitás funkcióját használja.

Az Azure Virtual Desktop azt javasolja, hogy az Azure Active Directory (Azure AD) használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrásszinten a szolgáltatásnevek tanúsítvány-hitelesítő adatokkal való konfigurálásához, és térjen vissza az ügyfél titkos kódjaihoz. Az Azure Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal együtt, így a futtatókörnyezet (például egy Azure-függvény) le tudja kérni a hitelesítő adatokat a kulcstartóból.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure Virtual Desktop az Azure Active Directoryt (Azure AD) használja identitás- és hozzáférés-kezelés biztosításához az Azure-erőforrások, a felhőalkalmazások és a helyszíni alkalmazások számára. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók. Ez lehetővé teszi a vállalati adatok és erőforrások egyszeri bejelentkezéssel (SSO) megvalósított kezelését és védelmét a helyszínen és a felhőben. Csatlakoztassa az összes felhasználót, alkalmazást és eszközt a Azure AD a zökkenőmentes biztonságos hozzáférés érdekében, nagyobb átláthatóság és vezérlés mellett.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Az Azure Virtual Desktop Azure Active Directory-fiókokat (Azure AD) használ az erőforrások kezeléséhez, a felhasználói fiókok és a hozzáférés-hozzárendelés rendszeres áttekintéséhez, hogy a fiókok és hozzáférésük érvényes legyen.

A Azure AD hozzáférési felülvizsgálatokkal áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez.

Emellett az Azure Privileged Identity Management úgy is konfigurálható, hogy riasztást adjon meg, ha túl sok rendszergazdai fiók jön létre, és azonosítja az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Egyes Azure-szolgáltatások támogatják azokat a helyi felhasználókat és szerepköröket, amelyeket nem Azure AD kezelnek. Ezeket a felhasználókat külön kell kezelnie.

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos és elkülönített munkaállomások kritikus fontosságúak a bizalmas szerepkörök, például a rendszergazdák, a fejlesztők és a kritikus fontosságú szolgáltatásüzemeltetők biztonsága szempontjából. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat.

Az Azure Active Directory (Azure AD), a Microsoft Defender Advanced Threat Protection (ATP) vagy a Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomást helyezhet üzembe felügyeleti feladatokhoz. A biztonságos munkaállomás központilag felügyelhető a biztonságos konfiguráció kikényszerítéséhez, beleértve az erős hitelesítést, a szoftver- és hardverkonfigurációkat, a korlátozott logikai és hálózati hozzáférést.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Az Azure Virtual Desktop integrálva van az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) az erőforrásainak kezeléséhez. Az Azure RBAC lehetővé teszi, hogy szerepkörök hozzárendelésével felügyelje az Azure-erőforrások hozzáférését. Ezeket a szerepköröket hozzárendelheti felhasználókhoz, csoportok szolgáltatásneveihez és felügyelt identitásaihoz. Bizonyos erőforrásokhoz előre meghatározott beépített szerepkörök tartoznak, és ezek a szerepkörök olyan eszközökkel leltározhatók vagy kérdezhetők le, mint az Azure CLI, az Azure PowerShell vagy az Azure Portal.

Az Azure RBAC-vel erőforrásokhoz hozzárendelt jogosultságokat mindig a szerepkörök által megkövetelt jogosultságokra kell korlátozni. Ez kiegészíti a Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését az Azure Active Directoryval (Azure AD), és rendszeresen felül kell vizsgálni.

Emellett a beépített szerepkörök használatával engedélyeket oszthat ki, és csak szükség esetén hozhat létre egyéni szerepköröket.

Felelősség: Ügyfél

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft-támogatáshoz

Útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz, az Azure Virtual Desktop támogatja az Ügyfélszéfet, hogy olyan felületet biztosítson, amelyen áttekintheti és jóváhagyhatja vagy elutasíthatja az ügyféladatok hozzáférési kéréseit.

Felelősség: Megosztott

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: A bizalmas adatok felderítése, besorolása és címkézése, hogy megtervezhesse a megfelelő vezérlőket. Ez biztosítja, hogy a bizalmas információkat a szervezet technológiai rendszerei biztonságosan tárolják, dolgozzák fel és továbbítják.

Az Azure Information Protection (és a hozzá tartozó vizsgálati eszköz) használatával bizalmas információkat kaphat az Office-dokumentumokban az Azure-ban, a helyszínen, Office 365 és más helyeken.

Az Azure SQL Information Protection segítséget nyújthat az Azure SQL-adatbázisokban tárolt adatok besorolásában és címkézésében.

Felelősség: Ügyfél

DP-2: A bizalmas adatok védelme

Útmutató: A bizalmas adatok védelme az Azure szerepköralapú Access Control (Azure RBAC), a hálózatalapú hozzáférés-vezérlés és az Azure-szolgáltatások meghatározott vezérlői (például az SQL és más adatbázisok titkosítása) használatával történő hozzáférés korlátozásával.

A következetes hozzáférés-vezérlés biztosításához a hozzáférés-vezérlés összes típusát a vállalati szegmentálási stratégiához kell igazítani. A vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének tudatában kell kialakítani.

A Microsoft minden ügyféltartalmat bizalmasként kezel, és védelmet nyújt az ügyfelek adatvesztése és kitettsége ellen. Ahhoz, hogy az ügyféladatok az Azure-on belül biztonságban maradjanak, a Microsoft implementált néhány alapértelmezett adatvédelmi vezérlőt és képességet.

Felelősség: Ügyfél

DP-3: A bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: Monitorozhatja az adatok jogosulatlan átvitelét olyan területekre, amelyek kívül esnek a vállalat látóterén és irányításán. Ez általában az olyan rendellenes tevékenységek (nagy méretű vagy szokatlan átvitelek) monitorozását jelenti, amelyek jogosulatlan adatkiszivárogtatást jelezhetnek.

Az Advanced Threat Protection (ATP) azure storage-beli és Azure SQL ATP-funkciói riasztást küldenek az információk rendellenes átviteléről, jelezve, hogy mi lehet a bizalmas adatok jogosulatlan átvitele.

Az Azure Information Protection (AIP) a besorolt és címkézett információk monitorozását teszi lehetővé.

Adatveszteség-megelőzési megoldásokkal, például gazdagépalapú megoldásokkal kényszerítheti ki a detektív és/vagy a megelőző vezérlőket az adatkiszivárgás megelőzése érdekében.

Felelősség: Ügyfél

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként az átvitt adatokat titkosítással kell védeni a sávon kívüli támadások (pl. forgalomrögzítés) ellen, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

A Windows Virtual Desktop támogatja az átvitel közbeni adattitkosítást a Transport Layer Security (TLS) 1.2-es vagy újabb verziójával. Bár ez nem kötelező a magánhálózatokon, a külső és nyilvános hálózatokon történő forgalom szempontjából kritikus fontosságú. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Bármilyen távoli felügyelet esetén a feladatokat Biztonságos rendszerhéjon (SSH) kell végrehajtani Linux rendszeren, vagy TLS-en (Windows esetén) RDP-n keresztül, titkosítatlan protokoll helyett.

Minden elavult SSL-, TLS- és SSH-verziót és -protokollt, valamint gyenge titkosítást le kell tiltani. Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Felelősség: Microsoft

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként a Windows Virtual Desktop titkosítja az inaktív adatokat a sávon kívüli támadások, például a mögöttes tároló elérése elleni védelem érdekében. Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Felelősség: Microsoft

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségi körének struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat felelőssége lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

A számítási feladatok és szolgáltatások láthatóságához további engedélyekre lehet szükség.

Felelősség: Ügyfél

AM-2: Az összetevőleltár és a metaadatok biztonsági csapat általi elérhetőségének biztosítása

Útmutató: Címkék alkalmazása az Azure-erőforrásokra, -erőforráscsoportokra és -előfizetésekre, hogy logikusan rendszerezze őket egy osztályozásba. Minden címke egy név-érték párból áll. Alkalmazhatja például a „Környezet” nevet és az „Éles” értéket az összes éles üzemben használt erőforrásra.

Az Azure Virtual Machine Inventory használatával automatizálhatja a szoftveradatok gyűjtését a Virtual Machines. A szoftvernév, a verzió, a közzétevő és a frissítés ideje a Azure Portal érhető el. A telepítési dátumhoz és egyéb információkhoz való hozzáféréshez engedélyezze a vendégszintű diagnosztikát, és helyezze a Windows-eseménynaplókat egy Log Analytics-munkaterületre.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával naplózhatja és korlátozhatja, hogy a felhasználók mely szolgáltatásokat építhetik ki a környezetében. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitort is használhatja olyan szabályok létrehozásához, amelyek riasztást aktiválnak nem jóváhagyott szolgáltatás észlelésekor.

Felelősség: Ügyfél

AM-6: Csak jóváhagyott alkalmazások használata számítási erőforrásokban

Útmutató: Az Azure-beli virtuálisgép-leltár használatával automatizálhatja a virtuális gépeken található összes szoftverre vonatkozó információk gyűjtését. A szoftvernév, a verzió, a közzétevő és a frissítés ideje a Azure Portal érhető el. A telepítési dátumhoz és egyéb információkhoz való hozzáféréshez engedélyezze a vendégszintű diagnosztikát, és helyezze a Windows-eseménynaplókat egy Log Analytics-munkaterületre.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Használja a Microsoft Defender for Cloud beépített fenyegetésészlelési képességét, és engedélyezze a Microsoft Defendert (formálisan Azure Advanced Threat Protection) az Azure Virtual Desktop-erőforrásokhoz. Az Azure Virtual Desktophoz készült Microsoft Defender további biztonságiintelligencia-réteget biztosít, amely észleli az Azure Virtual Desktop-erőforrások elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket.

Az Azure Virtual Desktop naplóinak továbbítása a biztonsági információkezelési (SIEM) megoldásba, amely egyéni fenyegetésészlelések beállítására használható. Győződjön meg arról, hogy különböző típusú Azure-eszközöket figyel a lehetséges fenyegetések és anomáliák szempontjából. Koncentráljon arra, hogy kiváló minőségű riasztásokat kapjon, hogy csökkentse az elemzők által a rendezéshez szükséges téves riasztásokat. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

Felelősség: Ügyfél

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, a Microsoft Sentinellel vagy más biztonsági információkkal és eseménykezeléssel (SIEM) vagy monitorozási eszközökkel a további kifinomult monitorozási és elemzési használati esetekhez:

  • Bejelentkezés – A bejelentkezési jelentés információkat nyújt a felügyelt alkalmazások használatáról és a felhasználói bejelentkezési tevékenységekről.

  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.

  • Kockázatos bejelentkezés – A kockázatos bejelentkezés olyan bejelentkezési kísérlet jele, amelyet olyan személy végezhetett el, aki nem a felhasználói fiók jogos tulajdonosa.

  • Kockázatosként megjelölt felhasználók – A kockázatos felhasználó egy olyan felhasználói fiókot jelöl, amelynek elképzelhető, hogy sérült a biztonsága.

A Microsoft Defender for Cloud bizonyos gyanús tevékenységekről, például a sikertelen hitelesítési kísérletek túlzott számáról és az előfizetésben elavult fiókokról is tud riasztást küld. A Microsoft Defender for Cloud fenyegetésvédelmi modulja az alapvető biztonsági higiénia-monitorozás mellett részletesebb biztonsági riasztásokat is képes gyűjteni az egyes Azure-beli számítási erőforrásokról (virtuális gépekről, tárolókról, app service-ről), az adaterőforrásokról (SQL DB és tárolók) és az Azure szolgáltatásrétegeiről. Ez a képesség lehetővé teszi, hogy az egyes erőforrásokon belül látható legyen a fiókanomáliák.

Felelősség: Ügyfél

LT-3: Naplózás engedélyezése Azure-beli hálózati tevékenységekhez

Útmutató: Az Azure Virtual Desktop nem készít vagy dolgoz fel dns-lekérdezési naplókat. A szolgáltatásban regisztrált erőforrások azonban folyamatnaplókat készíthetnek.

Engedélyezze és gyűjtse össze a hálózati biztonsági csoport erőforrás- és folyamatnaplóit, Azure Firewall naplóit és Web Application Firewall (WAF) naplóit az incidensvizsgálatok, a fenyegetéskeresés és a biztonsági riasztások generálása támogatására. A folyamatnaplókat elküldheti egy Azure Monitor Log Analytics-munkaterületre, majd a Traffic Analytics használatával elemzéseket biztosíthat.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az automatikusan engedélyezett tevékenységnaplók az Olvasási műveletek (GET) kivételével tartalmazzák az Azure Virtual Desktop-erőforrások összes írási műveletét (PUT, POST, DELETE). A tevékenységnaplók segítségével hibakeresést végezhet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Felelősség: Megosztott

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutató: A naplózási tárolás és az elemzés központosítása a korreláció engedélyezéséhez. Minden naplóforrás esetében győződjön meg arról, hogy hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

Győződjön meg arról, hogy az Azure-tevékenységnaplókat a központi naplózásba integrálja. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által generált biztonsági adatok összesítéséhez. Az Azure Monitorban a Log Analytics-munkaterületek használatával lekérdezheti és elvégezheti az elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

Emellett engedélyezze és előkészítse az adatokat a Microsoft Sentinel vagy egy külső biztonsági információs eseménykezelés (SIEM) számára. Számos szervezet úgy dönt, hogy a Microsoft Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage pedig a ritkábban használt "ritka" adatokhoz.

Felelősség: Ügyfél

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-3: Biztonságos konfigurációk létrehozása számítási erőforrásokhoz

Útmutató: A Microsoft Defender for Cloud és a Azure Policy használatával biztonságos konfigurációkat hozhat létre az összes számítási erőforráson, beleértve a virtuális gépeket, a tárolókat és másokat.

Egyéni operációsrendszer-lemezképekkel vagy Azure Automation állapotkonfigurációval állapíthatja meg a szervezet által igényelt operációs rendszer biztonsági konfigurációját.

Felelősség: Ügyfél

PV-4: A számítási erőforrások biztonságos konfigurációinak fenntartása

Útmutató: A Microsoft Defender for Cloud és a Azure Policy használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrásainak konfigurációs kockázatait, beleértve a virtuális gépeket, a tárolókat és másokat. Emellett azure-Resource Manager-sablonokat, egyéni operációsrendszer-lemezképeket vagy Azure Automation State Configuration is használhat a szervezet által igényelt operációs rendszer biztonsági konfigurációjának fenntartásához. A Microsoft virtuálisgép-sablonjai és a Azure Automation State Configuration együttesen segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.

Azure Marketplace Microsoft által közzétett virtuálisgép-rendszerképeket a Microsoft kezeli és tartja karban.

A Microsoft Defender for Cloud a tárolórendszerkép biztonsági réseit is megvizsgálja, és folyamatosan monitorozza a Docker-konfigurációt a tárolókban a Center Internet Security Docker-teljesítménytesztje alapján. A Microsoft Defender for Cloud javaslatok lapján megtekintheti a javaslatokat és elháríthatja a problémákat.

Felelősség: Ügyfél

PV-5: Egyéni operációs rendszer és tárolólemezképek biztonságos tárolása

Útmutató: Az Azure Virtual Desktop lehetővé teszi az ügyfelek számára az operációsrendszer-lemezképek kezelését. Az Azure szerepköralapú hozzáférés-vezérlésének (Azure RBAC) használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez. Azure-Shared Image Gallery a rendszerképeket megoszthatja a szervezet különböző felhasználóival, szolgáltatásnevekkel vagy Active Directory-csoportokkal. Tárolórendszerképeket tárolhat Azure Container Registry, és RBAC használatával biztosíthatja, hogy csak a jogosult felhasználók rendelkezzenek hozzáféréssel.

Felelősség: Ügyfél

PV-6: Szoftveres biztonsági rések felmérése

Útmutató: Az Azure Virtual Desktop lehetővé teszi saját virtuális gépek üzembe helyezését és a szolgáltatásban való regisztrálását, valamint az SQL-adatbázis futtatását a környezetben.

Az Azure Virtual Desktop külső megoldással végezhet biztonságirés-felméréseket hálózati eszközökön és webalkalmazásokon. Távoli vizsgálatok végrehajtásakor ne használjon egyetlen, végleges rendszergazdai fiókot. Fontolja meg a JIT-kiépítési módszertan implementálását a vizsgálati fiókhoz. A vizsgálati fiók hitelesítő adatait védeni, figyelni kell, és csak a biztonsági rések vizsgálatához kell használni.

Kövesse a Microsoft Defender for Cloud javaslatait az Azure-beli virtuális gépeken (és SQL-kiszolgálókon) végzett sebezhetőségi felmérésekhez. A Microsoft Defender for Cloud beépített biztonságirés-ellenőrzővel rendelkezik a virtuális gépekhez, a tárolórendszerképekhez és az SQL-adatbázishoz.

Szükség szerint exportálja a vizsgálati eredményeket konzisztens időközönként, és hasonlítsa össze az eredményeket a korábbi vizsgálatokkal annak ellenőrzéséhez, hogy a biztonsági rések helyre lettek-e javítva. A Microsoft Defender for Cloud által javasolt biztonságirés-kezelési javaslatok használatakor a kiválasztott megoldás portálján forgatva megtekintheti az előzményvizsgálati adatokat.

Felelősség: Ügyfél

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: Az Azure Virtual Desktop nem használ vagy igényel harmadik féltől származó szoftvereket. Az Azure Virtual Desktop azonban lehetővé teszi saját virtuális gépek üzembe helyezését és a szolgáltatásban való regisztrálását.

Az Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Windows Server rendszerű virtuális gépeken. Windows rendszerű virtuális gépek esetén győződjön meg arról, hogy a Windows Update engedélyezve van, és automatikus frissítésre van beállítva.

Külső gyártótól származó javításkezelési megoldást használhat harmadik féltől származó szoftverekhez vagy a System Center Frissítések Publisher for Configuration Manager-hez.

Felelősség: Ügyfél

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Végpontbiztonság

További információ: Azure Security Benchmark: Endpoint Security.

ES-1: Végpontészlelés és -válasz (EDR) használata

Útmutató: Az Azure Virtual Desktop nem biztosít konkrét képességeket a végpontészlelési és -válaszfolyamatokhoz. A szolgáltatásban regisztrált erőforrások azonban kihasználhatják a végpontészlelési és válaszképességeket.

Lehetővé teszi a végpontészlelési és válaszképességeket a kiszolgálók és ügyfelek számára, és integrálható a biztonsági információ- és eseménykezelési (SIEM) megoldásokkal és a biztonsági üzemeltetési folyamatokkal.

A Microsoft Defender Advanced Threat Protection végpontészlelési és -válaszképességeket biztosít egy vállalati végpontbiztonsági platform részeként a speciális fenyegetések megelőzésére, észlelésére, kivizsgálására és elhárítására.

Felelősség: Ügyfél

ES-2: Központilag felügyelt modern kártevőirtó szoftverek használata

Útmutató: Az Azure Virtual Desktop erőforrásainak védelme egy központilag felügyelt és modern, kártevőirtó megoldással, amely valós idejű és rendszeres vizsgálatra képes.

A Microsoft Defender for Cloud képes automatikusan azonosítani számos népszerű kártevőirtó megoldás használatát a virtuális gépeken, és jelentheti a végpontvédelem futási állapotát, és javaslatokat tehet.

az Azure Cloud Services-hez készült Microsoft Antimalware a Windows rendszerű virtuális gépek (VM-ek) alapértelmezett kártevőirtója. Az adatszolgáltatásokhoz a Microsoft Defender for Cloud fenyegetésészlelési funkciójával is észlelheti az Azure Storage-fiókokba feltöltött kártevőket.

Felelősség: Ügyfél

ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: Győződjön meg arról, hogy a kártevőirtó aláírások gyorsan és következetesen frissülnek.

Kövesse a Microsoft Defender for Cloud javaslatait: "Compute & Apps", hogy az összes virtuális gép és/vagy tároló naprakész legyen a legújabb aláírásokkal.

Microsoft Antimalware alapértelmezés szerint automatikusan telepíti a legújabb aláírásokat és motorfrissítéseket.

Felelősség: Ügyfél

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Győződjön meg arról, hogy biztonsági másolatot készít a rendszerekről és az adatokról az üzletmenet folytonosságának fenntartása érdekében egy váratlan esemény után. Ennek a helyreállítási időkorlátra (RPO) és a helyreállítási időre vonatkozó célkitűzésre (RTO) vonatkozó célkitűzéseknek kell iránymutatást adniuk.

Engedélyezze Azure Backup és konfigurálja a biztonsági mentés forrását (például Azure-beli virtuális gépeket, SQL Server, HANA-adatbázisokat vagy fájlmegosztásokat), valamint a kívánt gyakoriságot és megőrzési időtartamot.

A magasabb szintű redundancia érdekében engedélyezheti a georedundáns tárolást a biztonsági mentési adatok másodlagos régióba történő replikálásához és a régiók közötti visszaállítással történő helyreállításhoz.

Felelősség: Ügyfél

BR-2: Biztonsági mentési adatok titkosítása

Útmutató: Győződjön meg arról, hogy a biztonsági másolatok védve vannak a támadások ellen. Ennek tartalmaznia kell a biztonsági másolatok titkosítását a bizalmasság elvesztése elleni védelem érdekében.

Az Azure-szolgáltatások rendszeres biztonsági mentéséhez a biztonsági mentési adatok automatikusan titkosítva lesznek az Azure platform által felügyelt kulcsokkal. A biztonsági mentést ügyfél által felügyelt kulccsal titkosíthatja. Ebben az esetben győződjön meg arról, hogy ez az ügyfél által felügyelt kulcs a kulcstartóban is szerepel a biztonsági mentés hatókörében.

Szerepköralapú hozzáférés-vezérlés használata Azure Backup, Azure Key Vault vagy más erőforrásokban a biztonsági másolatok és az ügyfél által felügyelt kulcsok védelméhez. Emellett engedélyezheti, hogy a speciális biztonsági funkciók többtényezős hitelesítést igényeljenek a biztonsági másolatok módosítása vagy törlése előtt.

Az Azure Backup biztonsági funkcióinak áttekintése /azure/backup/security-overview

Felelősség: Ügyfél

BR-3: Az összes biztonsági másolat és az ügyfelek által kezelt kulcsok ellenőrzése

Útmutató: Ajánlott rendszeresen ellenőrizni az adatok integritását a biztonsági mentési adathordozón egy adat-visszaállítási folyamat végrehajtásával, hogy a biztonsági mentés megfelelően működjön.

Felelősség: Ügyfél

Következő lépések