Az Azure biztonsági alapkonfigurációja Virtual Network

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Virtual Network. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és az Azure Virtual Network vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Virtual Network nem alkalmazható vezérlők, illetve amelyekért a Microsoft a felelős, ki lettek zárva. A teljes Virtual Network biztonsági alapkonfiguráció-leképezési fájlból megtudhatja, hogyan képezi le teljesen Virtual Network az Azure Biztonsági teljesítménytesztet.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

1.2: A virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása

Útmutató: Használja a Microsoft Defender for Cloud szolgáltatást, és kövesse a hálózatvédelmi javaslatokat a hálózati erőforrások védelmének biztosításához az Azure-ban.

Küldje el a hálózati biztonsági csoport folyamatnaplóit egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyújt az Azure-felhőbe irányuló forgalomba. A Traffic Analytics lehetővé teszi a hálózati tevékenységek megjelenítését és a gyakori elérésű pontok azonosítását, a biztonsági fenyegetések azonosítását, a forgalmi minták megértését és a hálózati konfigurációk azonosítását.

Az Azure Monitor-naplók használatával betekintést nyerhet a környezetébe. Egy munkaterületet kell használni az adatok összeválogatásához és elemzéséhez, és integrálható más Azure-szolgáltatásokkal, például az Application Insightsszal és a Microsoft Defender for Cloud szolgáltatással.

Válassza ki az azure-tárfiókba vagy eseményközpontba küldendő erőforrásnaplókat. A naplók elemzéséhez egy másik platform is használható.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Network:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Network Watcher engedélyezni kell Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálása végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy Network Watcher-erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor van engedélyezve, ha egy Network Watcher-erőforráscsoport nem érhető el egy adott régióban. AuditIfNotExists, Letiltva 3.0.0

1.4: Az ismert kártékony IP-címekkel folytatott kommunikáció megtagadása

Útmutató: Engedélyezze az elosztott szolgáltatásmegtagadási (DDoS) standard védelmet az Azure Virtual Network a DDoS-támadások elleni védelem érdekében.

Helyezzen üzembe Azure Firewall a szervezet minden hálózati határán úgy, hogy engedélyezve van a fenyegetésfelderítésen alapuló szűrés, és konfigurálva van a rosszindulatú hálózati forgalom "Riasztás és megtagadás" beállítására.

A Microsoft Defender for Cloud veszélyforrások elleni védelmi funkcióival észlelheti az ismert rosszindulatú IP-címekkel folytatott kommunikációt.

Alkalmazza a Microsoft Defender for Cloud adaptív hálózatmegerősítési javaslatait olyan hálózati biztonsági csoportok konfigurációihoz, amelyek a tényleges forgalom és a fenyegetésfelderítés alapján korlátozzák a portokat és a forrás IP-címeket.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Network:

Name (Név)
(Azure Portal)
Leírás Effektus(ok) Verzió
(GitHub)
Minden internetes forgalmat az üzembe helyezett Azure Firewall A Microsoft Defender for Cloud azt észlelte, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetésekkel szemben azáltal, hogy Azure Firewall vagy egy támogatott következő generációs tűzfal használatával korlátozza a hozzáférésüket AuditIfNotExists, Letiltva 3.0.0-s előzetes verzió
Engedélyezni kell az Azure DDoS Protection Standardot A DDoS Protection szabványt minden olyan alhálózattal rendelkező virtuális hálózathoz engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. AuditIfNotExists, Letiltva 3.0.0

1.5: Hálózati csomagok rögzítése

Útmutató: A hálózati csomagok rögzítéséhez használja VPN Gateway csomagrögzítési eszközeit a gyakran elérhető csomagrögzítési eszközök mellett.

Az Azure Marketplace-ajánlatokban elérhető csomagközvetítő partnermegoldásokon keresztül olyan ügynökalapú vagy NVA-megoldásokat is áttekinthet, amelyek terminálelérési pontot (TAP) vagy hálózati láthatóságot biztosítanak.

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Network:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Network Watcher engedélyezni kell Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálása végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy Network Watcher-erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor van engedélyezve, ha egy Network Watcher-erőforráscsoport nem érhető el egy adott régióban. AuditIfNotExists, Letiltva 3.0.0

1.6: Hálózatalapú behatolásészlelési/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése

Útmutató: Olyan Azure Firewall használata, amely a virtuális hálózaton van üzembe helyezve, és engedélyezve van a fenyegetésfelderítés. A Azure Firewall Fenyegetésfelderítés-alapú szűréssel riasztást jeleníthet meg, illetve letilthatja az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalmat. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.

Kiválaszthat egy megfelelő ajánlatot is a Azure Marketplace, amely hasznosadat-vizsgálati képességekkel támogatja az IDS/IPS funkciót.

A kártékony forgalom észleléséhez és/vagy letiltásához helyezze üzembe az Ön által választott tűzfalmegoldást a szervezet minden hálózati határán.

Felelősség: Ügyfél

1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása

Útmutató: Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozásakor a szolgáltatáscímkék adott IP-címek helyett használhatók. Engedélyezze vagy tiltsa le a megfelelő szolgáltatás forgalmát a szabály megfelelő forrás- vagy célmezőjében a szolgáltatáscímke nevének (például ApiManagement) megadásával. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

Alkalmazásbiztonsági csoportok használatával egyszerűsítheti az összetett biztonsági konfigurációt. Az alkalmazásbiztonsági csoportok lehetővé teszik a hálózati biztonság konfigurálását az alkalmazásstruktúra természetes kiterjesztéseként. Így csoportosíthatja a virtuális gépeket, és ezek alapján hálózati biztonsági házirendeket határozhat meg.

Felelősség: Ügyfél

1.9: A hálózati eszközök szabványos biztonsági konfigurációinak karbantartása

Útmutató: A hálózati erőforrások standard biztonsági konfigurációinak definiálása és megvalósítása Azure Policy és a megvalósításhoz szükséges beépített hálózati szabályzatdefiníciók áttekintése.

Tekintse meg a Microsoft Defender for Cloud alapértelmezett szabályzatát, amely a virtuális hálózatokkal kapcsolatos elérhető biztonsági javaslatokat tartalmaz.

Az Azure Blueprints használatával leegyszerűsítheti a nagy léptékű Azure-üzemelő példányokat a kulcsfontosságú környezeti összetevők, például az Azure Resource Manager-sablonok, a szerepköralapú hozzáférés-vezérlési (Azure RBAC-) hozzárendelések és szabályzatok egyetlen tervdefinícióban való csomagolásával. Az Azure Blueprints a verziószámozással alkalmazható az új előfizetésekre a finomhangolt vezérlés és felügyelet érdekében.

Felelősség: Ügyfél

1.10: Forgalomkonfigurációs szabályok dokumentálása

Útmutató: Címkék használata hálózati biztonsági csoportokhoz és a hálózati biztonsággal és forgalommal kapcsolatos egyéb erőforrásokhoz. A "Leírás" mezőben megadhatja az üzleti szükségletet, időtartamot és egyéb információkat minden olyan szabályhoz, amely engedélyezi a hálózati forgalmat az egyes hálózati biztonsági csoportok szabályai számára. A címkézéshez kapcsolódó beépített Azure Policy-definíciók (például "Címke és érték megkövetelése") használatával biztosíthatja, hogy az összes erőforrás címkékkel legyen létrehozva, és értesítést küldhessen a meglévő címkézetlen erőforrásokról.

Válassza ki Azure PowerShell vagy az Azure CLI-t, hogy címkék alapján keressen vagy hajtson végre műveleteket az erőforrásokon.

Felelősség: Ügyfél

1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak figyeléséhez és a módosítások észleléséhez

Útmutató: Az Azure-tevékenységnapló használatával monitorozza az erőforrás-konfigurációkat, és észleli a virtuális hálózat változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus erőforrások módosításakor aktiválódik.

Felelősség: Ügyfél

Naplózás és monitorozás

További információ: Azure Security Benchmark: Naplózás és monitorozás.

2.2: Központi biztonsági naplókezelés konfigurálása

Útmutató: Engedélyezze az Azure Monitor számára az audit- és tevékenységnaplókhoz való hozzáférést, beleértve az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és más hasznos elemeket.

Az Azure Monitorban a Log Analytics-munkaterületekkel lekérdezheti és elvégezheti az elemzéseket, és Azure Storage-fiókokat használhat hosszú távú/archivált tároláshoz. Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek.

Felelősség: Ügyfél

2.3: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Engedélyezze az Azure Monitor számára az audit- és tevékenységnaplókhoz való hozzáférést, beleértve az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és más hasznos elemeket.

Felelősség: Ügyfél

2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása

Útmutató: Az Azure Monitoron belül állítsa be a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Az Azure Storage-fiókokat a biztonsági naplók tárterületének hosszú távú/archivált tárolásához használhatja.

Felelősség: Ügyfél

2.6: Naplók figyelése és áttekintése

Útmutató: Naplók elemzése és monitorozása rendellenes viselkedés esetén, valamint az eredmények rendszeres áttekintése. Az Azure Monitor Log Analytics-munkaterületének használatával lekérdezheti és elvégezheti az elemzéseket, és Azure Storage-fiókokat használhat hosszú távú/archivált tároláshoz.

Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek.

Felelősség: Ügyfél

2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése

Útmutató: A Microsoft Defender for Cloud és a Log Analytics-munkaterület használatával figyelhet és riasztásokat jeleníthet meg a biztonsági naplókban és eseményekben található rendellenes tevékenységekről.

Másik lehetőségként engedélyezheti és előkészítheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára riasztás céljából.

Felelősség: Ügyfél

2.9: DNS-lekérdezések naplózásának engedélyezése

Útmutató: Implementáljon egy külső megoldást a Azure Marketplace dns-naplózási megoldásához a szervezeti igényeinek megfelelően.

Felelősség: Ügyfél

Identitás- és hozzáférés-vezérlés

További információ: Azure Security Benchmark: Identity és Access Control.

3.1: A felügyeleti fiókok leltárának karbantartása

Útmutató: Az Azure Active Directory (Azure AD) beépített rendszergazdai szerepköreinek használata, amelyek explicit módon hozzárendelhetők és lekérdezhetők.

A Azure AD PowerShell-modul használatával alkalmi lekérdezéseket hajthat végre a felügyeleti csoportok tagjait tartalmazó fiókok felderítéséhez.

Felelősség: Ügyfél

3.3: Dedikált rendszergazdai fiókok használata

Útmutató: Szabványos üzemeltetési eljárások létrehozása a dedikált rendszergazdai fiókok használatával kapcsolatban. A Microsoft Defender for Cloud identitás- és hozzáférés-kezelési szolgáltatásával monitorozza a felügyeleti fiókok számát.

Igény szerinti/igény szerinti hozzáférés engedélyezése az Azure Active Directory (Azure AD) Privileged Identity Management Kiemelt szerepkörök használatával a Microsoft-szolgáltatásokhoz és az Azure Resource Manager-hoz.

Felelősség: Ügyfél

3.4: Az Azure Active Directory egyszeri bejelentkezés (SSO) használata

Útmutató: Az egyszeri bejelentkezés használata az Azure Active Directoryval (Azure AD) ahelyett, hogy szolgáltatásonként konfigurálja az önálló hitelesítő adatokat. Használja a Microsoft Defender for Cloud identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez

Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender for Cloud identitás- és hozzáférés-kezelési javaslatait.

Felelősség: Ügyfél

3.6: Biztonságos, Azure által felügyelt munkaállomások használata felügyeleti feladatokhoz

Útmutató: A Privileged Access Workstations (PAW) használata többtényezős hitelesítéssel, amely az Azure hálózati erőforrásokba való bejelentkezéshez és az azokhoz való hozzáféréshez van konfigurálva.

Felelősség: Ügyfél

3.7: Naplózás és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről

Útmutató: Használja az Azure Active Directory (Azure AD) kockázatészleléseit a kockázatos felhasználói viselkedésre vonatkozó riasztások és jelentések megtekintéséhez.

A Microsoft Defender for Cloud Risk Detection riasztásainak betöltése az Azure Monitorba, és egyéni riasztások/értesítések konfigurálása műveletcsoportok használatával.

Felelősség: Ügyfél

3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről

Útmutató: Feltételes hozzáféréssel elnevezett helyek használatával csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.

Felelősség: Ügyfél

3.9: Az Azure Active Directory használata

Útmutató: Az Azure Active Directory (Azure AD) használata a szolgáltatások központi hitelesítési és engedélyezési rendszereként. Azure AD erős titkosítással védi az inaktív és az átvitel alatt álló adatokat, valamint sókat, kivonatokat és biztonságosan tárolja a felhasználói hitelesítő adatokat.

Felelősség: Ügyfél

3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése

Útmutató: Az Azure Active Directory (Azure AD) segítségével naplókat adhat meg az elavult fiókok felderítéséhez.

Az Azure Identity Access felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférést rendszeresen felül kell vizsgálni, hogy csak az aktív felhasználók rendelkezzenek folyamatos hozzáféréssel.

Felelősség: Ügyfél

3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek figyelése

Útmutató: Integrálja az Azure Active Directory (Azure AD) bejelentkezési tevékenységeit, naplózási és kockázati eseménynapló-forrásait bármely SIEM- vagy monitorozási eszközzel a hozzáférése alapján.

Egyszerűsítheti ezt a folyamatot, ha diagnosztikai beállításokat hoz létre Azure AD felhasználói fiókokhoz, és elküldi az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. A kívánt riasztások a Log Analytics-munkaterületen konfigurálhatók.

Felelősség: Ügyfél

3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről

Útmutató: Az Azure Active Directory (Azure AD) kockázat- és identitásvédelmi funkcióival automatikus válaszokat konfigurálhat a virtuális hálózat felhasználói identitásaival kapcsolatos gyanús műveletekre. Adatok betöltése a Microsoft Sentinelbe további vizsgálatok céljából.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása

Útmutató: Az átvitel alatt lévő összes bizalmas információ titkosítása. Győződjön meg arról, hogy a virtuális hálózatok azure-erőforrásaihoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Kövesse a Microsoft Defender for Cloudra vonatkozó javaslatokat az inaktív adatok titkosítására és az átvitel közbeni titkosításra vonatkozóan.

A Microsoft számos lehetőséget kínál, amelyeket az ügyfelek felhasználhatnak a belső, az Azure-hálózaton belüli és az interneten keresztül a végfelhasználók számára történő átvitel során használt adatok védelmére. Ezek közé tartozik a virtuális magánhálózatokon keresztüli kommunikáció (IPsec/IKE-titkosítással), a Transport Layer Security (TLS) 1.2-es vagy újabb verziója (olyan Azure-összetevőkön keresztül, mint a Application Gateway vagy az Azure Front Door), a közvetlenül az Azure-beli virtuális gépeken futó protokollok (például Windows IPsec vagy SMB) és egyebek.

Emellett a MACsec (az adatkapcsolati réteg IEEE szabványa) használatával történő "alapértelmezés szerinti titkosítás" engedélyezve van az Azure-adatközpontok között áthaladó összes Azure-forgalom számára az ügyféladatok titkosságának és integritásának biztosítása érdekében.

Felelősség: Megosztott

4.6: Az Azure RBAC használata az erőforrásokhoz való hozzáférés kezeléséhez

Útmutató: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával kezelheti az adatokhoz és erőforrásokhoz való hozzáférést. Egyéb esetben használjon szolgáltatásspecifikus hozzáférés-vezérlési módszereket.

Válassza ki a beépített szerepköröket, például a Tulajdonos, a Közreműködő vagy a Hálózati közreműködőt, és rendelje hozzá a szerepkört a megfelelő hatókörhöz. Hozzárendelheti például a virtuális hálózati képességek egy részhalmazát a virtuális hálózatokhoz szükséges engedélyekkel ezen szerepkörök bármelyikéhez.

Felelősség: Ügyfél

4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól

Útmutató: Az Azure Monitor és az Azure-tevékenységnaplók együttes használatával riasztásokat hozhat létre a kritikus Fontosságú Azure-erőforrások, például a virtuális hálózatok és a hálózati biztonsági csoportok változásairól.

Felelősség: Ügyfél

Leltár-és eszközfelügyelet

További információ: Azure Security Benchmark: Inventory and Asset Management.

6.1: Automatizált eszközfelderítési megoldás használata

Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az összes hálózati erőforrást, például a virtuális hálózatokat és az előfizetéseken belüli alhálózatokat. Győződjön meg arról, hogy megfelelő (olvasási) engedélyekkel rendelkezik a bérlőben, és képes az összes Azure-előfizetés, valamint az előfizetéseken belüli erőforrások számbavételére.

Felelősség: Ügyfél

6.2: Az eszköz metaadatainak karbantartása

Útmutató: Címkék alkalmazása Azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezésükhöz egy osztályozásban.

Felelősség: Ügyfél

6.3: Jogosulatlan Azure-erőforrások törlése

Útmutató: Címkézéssel, felügyeleti csoportokkal és adott esetben külön előfizetésekkel rendszerezheti és követheti nyomon a virtuális hálózatokat és a kapcsolódó erőforrásokat. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.

Felelősség: Ügyfél

6.4: A jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása

Útmutató: Létre kell hoznia egy leltárt a jóváhagyott Azure-erőforrásokról és a jóváhagyott szoftverekről a számítási erőforrásokhoz a szervezeti igényeknek megfelelően.

Felelősség: Ügyfél

6.5: Nem jóváhagyott Azure-erőforrások monitorozása

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok

  • Engedélyezett erőforrástípusok

Az Azure Resource Graph-előfizetések erőforrásainak lekérdezése vagy felderítése magas biztonságú környezetekben, például Azure Storage-fiókokkal.

Felelősség: Ügyfél

6.7: Nem jóváhagyott Azure-erőforrások és -szoftveralkalmazások eltávolítása

Útmutató: Az erőforrások létrehozásának vagy használatának megakadályozása a szervezeti szabályzatok által megkövetelt Azure Policy használatával. A jogosulatlan erőforrások eltávolítására szolgáló folyamatok implementálása.

Felelősség: Ügyfél

6.9: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:

  • Nem engedélyezett erőforrástípusok

  • Engedélyezett erőforrástípusok

További információkat az alábbi hivatkozásokon találhat:

Felelősség: Ügyfél

6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása

Útmutató: Az Azure Feltételes hozzáféréssel korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.

Felelősség: Ügyfél

Biztonságos konfiguráció

További információ: Az Azure biztonsági teljesítménytesztje: Biztonságos konfiguráció.

7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz

Útmutató: Az Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre az Azure-beli hálózati erőforrások konfigurációjának naplózásához vagy kikényszerítéséhez, valamint beépített Azure Policy-definíciókat is használhat.

Exportálja bármelyik buildsablont az Azure Resource Manager JavaScript Object Notation (JSON) űrlapon, és tekintse át, hogy a konfigurációk megfeleljenek vagy meghaladják-e a szervezet biztonsági követelményeit.

Implementálja a Microsoft Defender for Cloud javaslatait az Azure-erőforrások biztonságos konfigurációs alapkonfigurációjaként.

Felelősség: Ügyfél

7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása

Útmutató: Az Azure Resource Manager-sablonok és az Azure-szabályzatok használatával biztonságosan konfigurálhatja a virtuális hálózathoz és a kapcsolódó erőforrásokhoz társított Azure-erőforrásokat. Az Azure Resource Manager-sablonok JSON- (JavaScript Object Notation-) alapú fájlok, amelyek virtuális gépek és Azure-erőforrások üzembe helyezésére szolgálnak. A Microsoft elvégzi a karbantartást az alapsablonokon.

Használja Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] hatásokat, hogy biztonságos beállításokat kényszerítsen ki az Azure-erőforrásokban.

Felelősség: Ügyfél

7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása

Útmutató: Az Azure DevOps használatával biztonságosan tárolhatja és kezelheti a kódot, például az egyéni Azure-szabályzatokat, az Azure Resource Manager-sablonokat és a kívánt állapotkonfigurációs szkripteket. és így tovább.

Engedélyekkel kell rendelkeznie az Azure DevOpsban kezelni kívánt erőforrások eléréséhez, például a kódhoz, a buildekhez és a munkakövetéshez. A legtöbb engedély a beépített biztonsági csoportokon keresztül adható meg. Engedélyeket adhat vagy tagadhat meg adott felhasználóknak, beépített biztonsági csoportoknak vagy az Azure Active Directoryban (Azure AD) meghatározott csoportoknak, ha az Azure DevOpsba van integrálva, vagy az Active Directorynak, ha a Team Foundation Serverrel van integrálva.

Felelősség: Ügyfél

7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz

Útmutató: Standard biztonsági konfigurációk definiálása és implementálása Azure-erőforrásokhoz Azure Policy használatával. Az Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre az Azure-erőforrások és az adott erőforrásokhoz kapcsolódó beépített szabályzatdefiníciók hálózati konfigurációjának naplózásához vagy kényszerítéséhez.

Felelősség: Ügyfél

7.9: Azure-erőforrások automatizált konfigurációmonitorozásának implementálása

Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet az Azure-Virtual Network és a kapcsolódó erőforrásokon. Az Azure Policy használatával riasztást és naplózást végezhet az Azure-erőforrások konfigurációiban.

Felelősség: Ügyfél

7.11: Azure-titkos kódok biztonságos kezelése

Útmutató: A felügyeltszolgáltatás-identitás és az Azure Key Vault együttes használata az Azure-Virtual Network üzemeltetett Azure-erőforrások titkos kulcskezelésének egyszerűsítéséhez és biztonságossá tételéhez.

Felelősség: Ügyfél

7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése

Útmutató: Implementálja a Hitelesítőadat-ellenőrzőt a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.

Felelősség: Ügyfél

Adat-helyreállítás

További információ: Azure Security Benchmark: Data Recovery.

9.1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Virtuális hálózat és kapcsolódó erőforrások üzembe helyezése az Azure Resource Manager használatával. Az Azure Resource Manager lehetővé teszi a sablonok exportálását, amelyek biztonsági másolatként használhatók a virtuális hálózat és a kapcsolódó erőforrások visszaállításához. Használja az Azure Automation az Azure Resource Manager-sablon exportálási API-jának rendszeres meghívásához.

Felelősség: Ügyfél

9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése

Útmutató: Virtuális hálózat és kapcsolódó erőforrások üzembe helyezése az Azure Resource Manager használatával. Az Azure Resource Manager lehetővé teszi a sablonok exportálását, amelyek biztonsági másolatként használhatók a virtuális hálózat és a kapcsolódó erőforrások visszaállításához. Használja az Azure Automation az Azure Resource Manager-sablon exportálási API-jának rendszeres meghívásához. Ügyfél által felügyelt kulcsok biztonsági mentése az Azure Key Vault.

Felelősség: Ügyfél

9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is

Útmutató: Azure-Resource Manager-sablonok rendszeres üzembe helyezését egy elkülönített előfizetésben, és tesztelje az ügyfél által felügyelt biztonsági mentési kulcsok visszaállítását.

Felelősség: Ügyfél

9.4: A biztonsági másolatok és az ügyfél által felügyelt kulcsok védelmének biztosítása

Útmutató: Az Azure DevOps használatával biztonságosan tárolhatja és kezelheti a kódot, például egyéni Azure Policy-definíciókat és Azure-Resource Manager-sablonokat.

Engedélyek megadása vagy megtagadása adott felhasználóknak, beépített biztonsági csoportoknak vagy az Azure Active Directoryban (Azure AD) meghatározott csoportoknak, ha integrálva van az Azure DevOpsszal, vagy az Active Directory, ha a Team Foundation Serverrel van integrálva.

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával védheti az ügyfél által felügyelt kulcsokat.

Engedélyezze a Soft-Delete és a törlés elleni védelmet Key Vault a kulcsok véletlen vagy rosszindulatú törlés elleni védelméhez.

Felelősség: Ügyfél

Incidensmegoldás

További információ: Azure Security Benchmark: Incidensek kezelése.

10.1: Incidenskezelési útmutató létrehozása

Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.

Felelősség: Ügyfél

10.2: Incidenspontozási és rangsorolási eljárás létrehozása

Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire magabiztos a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.

Egyértelműen jelöljön meg előfizetéseket (például éles vagy nem éles) címkékkel, és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához, különösen a bizalmas adatok feldolgozásához. Az Ön felelőssége, hogy rangsorolja a riasztások megoldását azon Azure-erőforrások és -környezetek kritikussága alapján, ahol az incidens történt.

Felelősség: Ügyfél

10.3: Biztonsági reagálási eljárások tesztelése

Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez az Azure-erőforrások védelme érdekében. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.

Felelősség: Ügyfél

10.4: Biztonsági incidensek kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez

Útmutató: A Microsoft a biztonsági incidensek kapcsolattartási adatait használja fel Az Önnel való kapcsolatfelvételhez, ha a Microsoft Security Response Center (MSRC) észleli, hogy adataihoz jogosulatlan vagy jogellenes személy fért hozzá. Tekintse át az incidenseket a probléma megoldása érdekében.

Felelősség: Ügyfél

10.5: Biztonsági riasztások beépítése az incidenskezelő rendszerbe

Útmutató: Exportálja a Microsoft Defender for Cloud riasztásait és javaslatait a Folyamatos exportálás funkcióval az Azure-erőforrásokra vonatkozó kockázatok azonosításához. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását.

A Microsoft Defender for Cloud adatösszekötőjével is streamelheti a riasztásokat a Microsoft Sentinelnek.

Felelősség: Ügyfél

10.6: A biztonsági riasztásokra adott válasz automatizálása

Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhatja a válaszokat a "Logic Apps" használatával az Azure-erőforrások védelmére vonatkozó biztonsági riasztásokra és javaslatokra vonatkozóan.

Felelősség: Ügyfél

Behatolási tesztek és Red Team-gyakorlatok

További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.

11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése

Útmutató: Kövesse a Microsoft előjegyzési szabályait annak érdekében, hogy a behatolási tesztek ne sértse meg a Microsoft-szabályzatokat. Használja a Microsoft red teaming stratégiáját és végrehajtását, valamint a Microsoft által felügyelt felhőinfrastruktúra, -szolgáltatások és -alkalmazások helyszíni behatolási tesztelését.

Felelősség: Megosztott

Következő lépések