Az Azure biztonsági alapkonfigurációja Virtual Network
Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza az Azure Virtual Network. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és az Azure Virtual Network vonatkozó kapcsolódó útmutatók szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A Virtual Network nem alkalmazható vezérlők, illetve amelyekért a Microsoft a felelős, ki lettek zárva. A teljes Virtual Network biztonsági alapkonfiguráció-leképezési fájlból megtudhatja, hogyan képezi le teljesen Virtual Network az Azure Biztonsági teljesítménytesztet.
Hálózati biztonság
További információ: Azure Security Benchmark: Hálózati biztonság.
1.2: A virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása
Útmutató: Használja a Microsoft Defender for Cloud szolgáltatást, és kövesse a hálózatvédelmi javaslatokat a hálózati erőforrások védelmének biztosításához az Azure-ban.
Küldje el a hálózati biztonsági csoport folyamatnaplóit egy Log Analytics-munkaterületre, és a Traffic Analytics használatával betekintést nyújt az Azure-felhőbe irányuló forgalomba. A Traffic Analytics lehetővé teszi a hálózati tevékenységek megjelenítését és a gyakori elérésű pontok azonosítását, a biztonsági fenyegetések azonosítását, a forgalmi minták megértését és a hálózati konfigurációk azonosítását.
Az Azure Monitor-naplók használatával betekintést nyerhet a környezetébe. Egy munkaterületet kell használni az adatok összeválogatásához és elemzéséhez, és integrálható más Azure-szolgáltatásokkal, például az Application Insightsszal és a Microsoft Defender for Cloud szolgáltatással.
Válassza ki az azure-tárfiókba vagy eseményközpontba küldendő erőforrásnaplókat. A naplók elemzéséhez egy másik platform is használható.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Network:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Network Watcher engedélyezni kell | Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálása végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy Network Watcher-erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor van engedélyezve, ha egy Network Watcher-erőforráscsoport nem érhető el egy adott régióban. | AuditIfNotExists, Letiltva | 3.0.0 |
1.4: Az ismert kártékony IP-címekkel folytatott kommunikáció megtagadása
Útmutató: Engedélyezze az elosztott szolgáltatásmegtagadási (DDoS) standard védelmet az Azure Virtual Network a DDoS-támadások elleni védelem érdekében.
Helyezzen üzembe Azure Firewall a szervezet minden hálózati határán úgy, hogy engedélyezve van a fenyegetésfelderítésen alapuló szűrés, és konfigurálva van a rosszindulatú hálózati forgalom "Riasztás és megtagadás" beállítására.
A Microsoft Defender for Cloud veszélyforrások elleni védelmi funkcióival észlelheti az ismert rosszindulatú IP-címekkel folytatott kommunikációt.
Alkalmazza a Microsoft Defender for Cloud adaptív hálózatmegerősítési javaslatait olyan hálózati biztonsági csoportok konfigurációihoz, amelyek a tényleges forgalom és a fenyegetésfelderítés alapján korlátozzák a portokat és a forrás IP-címeket.
Veszélyforrások elleni védelem a Microsoft Defender for Cloudban
Adaptív hálózatmegszűkítés a Microsoft Defender for Cloudban
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Network:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden internetes forgalmat az üzembe helyezett Azure Firewall | A Microsoft Defender for Cloud azt észlelte, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetésekkel szemben azáltal, hogy Azure Firewall vagy egy támogatott következő generációs tűzfal használatával korlátozza a hozzáférésüket | AuditIfNotExists, Letiltva | 3.0.0-s előzetes verzió |
| Engedélyezni kell az Azure DDoS Protection Standardot | A DDoS Protection szabványt minden olyan alhálózattal rendelkező virtuális hálózathoz engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Letiltva | 3.0.0 |
1.5: Hálózati csomagok rögzítése
Útmutató: A hálózati csomagok rögzítéséhez használja VPN Gateway csomagrögzítési eszközeit a gyakran elérhető csomagrögzítési eszközök mellett.
Az Azure Marketplace-ajánlatokban elérhető csomagközvetítő partnermegoldásokon keresztül olyan ügynökalapú vagy NVA-megoldásokat is áttekinthet, amelyek terminálelérési pontot (TAP) vagy hálózati láthatóságot biztosítanak.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Network:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Network Watcher engedélyezni kell | Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálása végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy Network Watcher-erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor van engedélyezve, ha egy Network Watcher-erőforráscsoport nem érhető el egy adott régióban. | AuditIfNotExists, Letiltva | 3.0.0 |
1.6: Hálózatalapú behatolásészlelési/behatolásmegelőző rendszerek (IDS/IPS) üzembe helyezése
Útmutató: Olyan Azure Firewall használata, amely a virtuális hálózaton van üzembe helyezve, és engedélyezve van a fenyegetésfelderítés. A Azure Firewall Fenyegetésfelderítés-alapú szűréssel riasztást jeleníthet meg, illetve letilthatja az ismert rosszindulatú IP-címekre és tartományokra érkező és onnan érkező forgalmat. Az IP-címek és -tartományok forrása a Microsoft veszélyforrás-felderítési hírcsatornája.
Kiválaszthat egy megfelelő ajánlatot is a Azure Marketplace, amely hasznosadat-vizsgálati képességekkel támogatja az IDS/IPS funkciót.
A kártékony forgalom észleléséhez és/vagy letiltásához helyezze üzembe az Ön által választott tűzfalmegoldást a szervezet minden hálózati határán.
Felelősség: Ügyfél
1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása
Útmutató: Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozásakor a szolgáltatáscímkék adott IP-címek helyett használhatók. Engedélyezze vagy tiltsa le a megfelelő szolgáltatás forgalmát a szabály megfelelő forrás- vagy célmezőjében a szolgáltatáscímke nevének (például ApiManagement) megadásával. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.
Alkalmazásbiztonsági csoportok használatával egyszerűsítheti az összetett biztonsági konfigurációt. Az alkalmazásbiztonsági csoportok lehetővé teszik a hálózati biztonság konfigurálását az alkalmazásstruktúra természetes kiterjesztéseként. Így csoportosíthatja a virtuális gépeket, és ezek alapján hálózati biztonsági házirendeket határozhat meg.
Felelősség: Ügyfél
1.9: A hálózati eszközök szabványos biztonsági konfigurációinak karbantartása
Útmutató: A hálózati erőforrások standard biztonsági konfigurációinak definiálása és megvalósítása Azure Policy és a megvalósításhoz szükséges beépített hálózati szabályzatdefiníciók áttekintése.
Tekintse meg a Microsoft Defender for Cloud alapértelmezett szabályzatát, amely a virtuális hálózatokkal kapcsolatos elérhető biztonsági javaslatokat tartalmaz.
Az Azure Blueprints használatával leegyszerűsítheti a nagy léptékű Azure-üzemelő példányokat a kulcsfontosságú környezeti összetevők, például az Azure Resource Manager-sablonok, a szerepköralapú hozzáférés-vezérlési (Azure RBAC-) hozzárendelések és szabályzatok egyetlen tervdefinícióban való csomagolásával. Az Azure Blueprints a verziószámozással alkalmazható az új előfizetésekre a finomhangolt vezérlés és felügyelet érdekében.
Felelősség: Ügyfél
1.10: Forgalomkonfigurációs szabályok dokumentálása
Útmutató: Címkék használata hálózati biztonsági csoportokhoz és a hálózati biztonsággal és forgalommal kapcsolatos egyéb erőforrásokhoz. A "Leírás" mezőben megadhatja az üzleti szükségletet, időtartamot és egyéb információkat minden olyan szabályhoz, amely engedélyezi a hálózati forgalmat az egyes hálózati biztonsági csoportok szabályai számára. A címkézéshez kapcsolódó beépített Azure Policy-definíciók (például "Címke és érték megkövetelése") használatával biztosíthatja, hogy az összes erőforrás címkékkel legyen létrehozva, és értesítést küldhessen a meglévő címkézetlen erőforrásokról.
Válassza ki Azure PowerShell vagy az Azure CLI-t, hogy címkék alapján keressen vagy hajtson végre műveleteket az erőforrásokon.
Felelősség: Ügyfél
1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak figyeléséhez és a módosítások észleléséhez
Útmutató: Az Azure-tevékenységnapló használatával monitorozza az erőforrás-konfigurációkat, és észleli a virtuális hálózat változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus erőforrások módosításakor aktiválódik.
Felelősség: Ügyfél
Naplózás és monitorozás
További információ: Azure Security Benchmark: Naplózás és monitorozás.
2.2: Központi biztonsági naplókezelés konfigurálása
Útmutató: Engedélyezze az Azure Monitor számára az audit- és tevékenységnaplókhoz való hozzáférést, beleértve az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és más hasznos elemeket.
Az Azure Monitorban a Log Analytics-munkaterületekkel lekérdezheti és elvégezheti az elemzéseket, és Azure Storage-fiókokat használhat hosszú távú/archivált tároláshoz. Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek.
Felelősség: Ügyfél
2.3: Naplózás engedélyezése Azure-erőforrásokhoz
Útmutató: Engedélyezze az Azure Monitor számára az audit- és tevékenységnaplókhoz való hozzáférést, beleértve az eseményforrást, a dátumot, a felhasználót, az időbélyeget, a forráscímeket, a célcímeket és más hasznos elemeket.
Felelősség: Ügyfél
2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása
Útmutató: Az Azure Monitoron belül állítsa be a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Az Azure Storage-fiókokat a biztonsági naplók tárterületének hosszú távú/archivált tárolásához használhatja.
Felelősség: Ügyfél
2.6: Naplók figyelése és áttekintése
Útmutató: Naplók elemzése és monitorozása rendellenes viselkedés esetén, valamint az eredmények rendszeres áttekintése. Az Azure Monitor Log Analytics-munkaterületének használatával lekérdezheti és elvégezheti az elemzéseket, és Azure Storage-fiókokat használhat hosszú távú/archivált tároláshoz.
Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek.
Felelősség: Ügyfél
2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése
Útmutató: A Microsoft Defender for Cloud és a Log Analytics-munkaterület használatával figyelhet és riasztásokat jeleníthet meg a biztonsági naplókban és eseményekben található rendellenes tevékenységekről.
Másik lehetőségként engedélyezheti és előkészítheti az adatokat a Microsoft Sentinel vagy egy külső SIEM számára riasztás céljából.
Felelősség: Ügyfél
2.9: DNS-lekérdezések naplózásának engedélyezése
Útmutató: Implementáljon egy külső megoldást a Azure Marketplace dns-naplózási megoldásához a szervezeti igényeinek megfelelően.
Felelősség: Ügyfél
Identitás- és hozzáférés-vezérlés
További információ: Azure Security Benchmark: Identity és Access Control.
3.1: A felügyeleti fiókok leltárának karbantartása
Útmutató: Az Azure Active Directory (Azure AD) beépített rendszergazdai szerepköreinek használata, amelyek explicit módon hozzárendelhetők és lekérdezhetők.
A Azure AD PowerShell-modul használatával alkalmi lekérdezéseket hajthat végre a felügyeleti csoportok tagjait tartalmazó fiókok felderítéséhez.
Felelősség: Ügyfél
3.3: Dedikált rendszergazdai fiókok használata
Útmutató: Szabványos üzemeltetési eljárások létrehozása a dedikált rendszergazdai fiókok használatával kapcsolatban. A Microsoft Defender for Cloud identitás- és hozzáférés-kezelési szolgáltatásával monitorozza a felügyeleti fiókok számát.
Igény szerinti/igény szerinti hozzáférés engedélyezése az Azure Active Directory (Azure AD) Privileged Identity Management Kiemelt szerepkörök használatával a Microsoft-szolgáltatásokhoz és az Azure Resource Manager-hoz.
Felelősség: Ügyfél
3.4: Az Azure Active Directory egyszeri bejelentkezés (SSO) használata
Útmutató: Az egyszeri bejelentkezés használata az Azure Active Directoryval (Azure AD) ahelyett, hogy szolgáltatásonként konfigurálja az önálló hitelesítő adatokat. Használja a Microsoft Defender for Cloud identitás- és hozzáférés-kezelési javaslatait.
Felelősség: Ügyfél
3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez
Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender for Cloud identitás- és hozzáférés-kezelési javaslatait.
Felelősség: Ügyfél
3.6: Biztonságos, Azure által felügyelt munkaállomások használata felügyeleti feladatokhoz
Útmutató: A Privileged Access Workstations (PAW) használata többtényezős hitelesítéssel, amely az Azure hálózati erőforrásokba való bejelentkezéshez és az azokhoz való hozzáféréshez van konfigurálva.
Felelősség: Ügyfél
3.7: Naplózás és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről
Útmutató: Használja az Azure Active Directory (Azure AD) kockázatészleléseit a kockázatos felhasználói viselkedésre vonatkozó riasztások és jelentések megtekintéséhez.
A Microsoft Defender for Cloud Risk Detection riasztásainak betöltése az Azure Monitorba, és egyéni riasztások/értesítések konfigurálása műveletcsoportok használatával.
A Microsoft Defender for Cloud kockázatészleléseinek (gyanús tevékenységek) ismertetése
Műveletcsoportok konfigurálása egyéni riasztásokhoz és értesítésekhez
Felelősség: Ügyfél
3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről
Útmutató: Feltételes hozzáféréssel elnevezett helyek használatával csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.
Felelősség: Ügyfél
3.9: Az Azure Active Directory használata
Útmutató: Az Azure Active Directory (Azure AD) használata a szolgáltatások központi hitelesítési és engedélyezési rendszereként. Azure AD erős titkosítással védi az inaktív és az átvitel alatt álló adatokat, valamint sókat, kivonatokat és biztonságosan tárolja a felhasználói hitelesítő adatokat.
Felelősség: Ügyfél
3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése
Útmutató: Az Azure Active Directory (Azure AD) segítségével naplókat adhat meg az elavult fiókok felderítéséhez.
Az Azure Identity Access felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználói hozzáférést rendszeresen felül kell vizsgálni, hogy csak az aktív felhasználók rendelkezzenek folyamatos hozzáféréssel.
Felelősség: Ügyfél
3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek figyelése
Útmutató: Integrálja az Azure Active Directory (Azure AD) bejelentkezési tevékenységeit, naplózási és kockázati eseménynapló-forrásait bármely SIEM- vagy monitorozási eszközzel a hozzáférése alapján.
Egyszerűsítheti ezt a folyamatot, ha diagnosztikai beállításokat hoz létre Azure AD felhasználói fiókokhoz, és elküldi az auditnaplókat és a bejelentkezési naplókat egy Log Analytics-munkaterületre. A kívánt riasztások a Log Analytics-munkaterületen konfigurálhatók.
Felelősség: Ügyfél
3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről
Útmutató: Az Azure Active Directory (Azure AD) kockázat- és identitásvédelmi funkcióival automatikus válaszokat konfigurálhat a virtuális hálózat felhasználói identitásaival kapcsolatos gyanús műveletekre. Adatok betöltése a Microsoft Sentinelbe további vizsgálatok céljából.
Felelősség: Ügyfél
Adatvédelem
További információ: Azure Security Benchmark: Adatvédelem.
4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása
Útmutató: Az átvitel alatt lévő összes bizalmas információ titkosítása. Győződjön meg arról, hogy a virtuális hálózatok azure-erőforrásaihoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Kövesse a Microsoft Defender for Cloudra vonatkozó javaslatokat az inaktív adatok titkosítására és az átvitel közbeni titkosításra vonatkozóan.
A Microsoft számos lehetőséget kínál, amelyeket az ügyfelek felhasználhatnak a belső, az Azure-hálózaton belüli és az interneten keresztül a végfelhasználók számára történő átvitel során használt adatok védelmére. Ezek közé tartozik a virtuális magánhálózatokon keresztüli kommunikáció (IPsec/IKE-titkosítással), a Transport Layer Security (TLS) 1.2-es vagy újabb verziója (olyan Azure-összetevőkön keresztül, mint a Application Gateway vagy az Azure Front Door), a közvetlenül az Azure-beli virtuális gépeken futó protokollok (például Windows IPsec vagy SMB) és egyebek.
Emellett a MACsec (az adatkapcsolati réteg IEEE szabványa) használatával történő "alapértelmezés szerinti titkosítás" engedélyezve van az Azure-adatközpontok között áthaladó összes Azure-forgalom számára az ügyféladatok titkosságának és integritásának biztosítása érdekében.
Felelősség: Megosztott
4.6: Az Azure RBAC használata az erőforrásokhoz való hozzáférés kezeléséhez
Útmutató: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával kezelheti az adatokhoz és erőforrásokhoz való hozzáférést. Egyéb esetben használjon szolgáltatásspecifikus hozzáférés-vezérlési módszereket.
Válassza ki a beépített szerepköröket, például a Tulajdonos, a Közreműködő vagy a Hálózati közreműködőt, és rendelje hozzá a szerepkört a megfelelő hatókörhöz. Hozzárendelheti például a virtuális hálózati képességek egy részhalmazát a virtuális hálózatokhoz szükséges engedélyekkel ezen szerepkörök bármelyikéhez.
Felelősség: Ügyfél
4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól
Útmutató: Az Azure Monitor és az Azure-tevékenységnaplók együttes használatával riasztásokat hozhat létre a kritikus Fontosságú Azure-erőforrások, például a virtuális hálózatok és a hálózati biztonsági csoportok változásairól.
Felelősség: Ügyfél
Leltár-és eszközfelügyelet
További információ: Azure Security Benchmark: Inventory and Asset Management.
6.1: Automatizált eszközfelderítési megoldás használata
Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az összes hálózati erőforrást, például a virtuális hálózatokat és az előfizetéseken belüli alhálózatokat. Győződjön meg arról, hogy megfelelő (olvasási) engedélyekkel rendelkezik a bérlőben, és képes az összes Azure-előfizetés, valamint az előfizetéseken belüli erőforrások számbavételére.
Felelősség: Ügyfél
6.2: Az eszköz metaadatainak karbantartása
Útmutató: Címkék alkalmazása Azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezésükhöz egy osztályozásban.
Felelősség: Ügyfél
6.3: Jogosulatlan Azure-erőforrások törlése
Útmutató: Címkézéssel, felügyeleti csoportokkal és adott esetben külön előfizetésekkel rendszerezheti és követheti nyomon a virtuális hálózatokat és a kapcsolódó erőforrásokat. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.
Felelősség: Ügyfél
6.4: A jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása
Útmutató: Létre kell hoznia egy leltárt a jóváhagyott Azure-erőforrásokról és a jóváhagyott szoftverekről a számítási erőforrásokhoz a szervezeti igényeknek megfelelően.
Felelősség: Ügyfél
6.5: Nem jóváhagyott Azure-erőforrások monitorozása
Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:
Nem engedélyezett erőforrástípusok
Engedélyezett erőforrástípusok
Az Azure Resource Graph-előfizetések erőforrásainak lekérdezése vagy felderítése magas biztonságú környezetekben, például Azure Storage-fiókokkal.
Felelősség: Ügyfél
6.7: Nem jóváhagyott Azure-erőforrások és -szoftveralkalmazások eltávolítása
Útmutató: Az erőforrások létrehozásának vagy használatának megakadályozása a szervezeti szabályzatok által megkövetelt Azure Policy használatával. A jogosulatlan erőforrások eltávolítására szolgáló folyamatok implementálása.
Felelősség: Ügyfél
6.9: Csak jóváhagyott Azure-szolgáltatások használata
Útmutató: A Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetésekben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:
Nem engedélyezett erőforrástípusok
Engedélyezett erőforrástípusok
További információkat az alábbi hivatkozásokon találhat:
Felelősség: Ügyfél
6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása
Útmutató: Az Azure Feltételes hozzáféréssel korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.
Felelősség: Ügyfél
Biztonságos konfiguráció
További információ: Az Azure biztonsági teljesítménytesztje: Biztonságos konfiguráció.
7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz
Útmutató: Az Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre az Azure-beli hálózati erőforrások konfigurációjának naplózásához vagy kikényszerítéséhez, valamint beépített Azure Policy-definíciókat is használhat.
Exportálja bármelyik buildsablont az Azure Resource Manager JavaScript Object Notation (JSON) űrlapon, és tekintse át, hogy a konfigurációk megfeleljenek vagy meghaladják-e a szervezet biztonsági követelményeit.
Implementálja a Microsoft Defender for Cloud javaslatait az Azure-erőforrások biztonságos konfigurációs alapkonfigurációjaként.
Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez
Egy- és több erőforrásból álló exportálás sablonba Azure Portal
Felelősség: Ügyfél
7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása
Útmutató: Az Azure Resource Manager-sablonok és az Azure-szabályzatok használatával biztonságosan konfigurálhatja a virtuális hálózathoz és a kapcsolódó erőforrásokhoz társított Azure-erőforrásokat. Az Azure Resource Manager-sablonok JSON- (JavaScript Object Notation-) alapú fájlok, amelyek virtuális gépek és Azure-erőforrások üzembe helyezésére szolgálnak. A Microsoft elvégzi a karbantartást az alapsablonokon.
Használja Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik] hatásokat, hogy biztonságos beállításokat kényszerítsen ki az Azure-erőforrásokban.
Felelősség: Ügyfél
7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása
Útmutató: Az Azure DevOps használatával biztonságosan tárolhatja és kezelheti a kódot, például az egyéni Azure-szabályzatokat, az Azure Resource Manager-sablonokat és a kívánt állapotkonfigurációs szkripteket. és így tovább.
Engedélyekkel kell rendelkeznie az Azure DevOpsban kezelni kívánt erőforrások eléréséhez, például a kódhoz, a buildekhez és a munkakövetéshez. A legtöbb engedély a beépített biztonsági csoportokon keresztül adható meg. Engedélyeket adhat vagy tagadhat meg adott felhasználóknak, beépített biztonsági csoportoknak vagy az Azure Active Directoryban (Azure AD) meghatározott csoportoknak, ha az Azure DevOpsba van integrálva, vagy az Active Directorynak, ha a Team Foundation Serverrel van integrálva.
Felelősség: Ügyfél
7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz
Útmutató: Standard biztonsági konfigurációk definiálása és implementálása Azure-erőforrásokhoz Azure Policy használatával. Az Azure Policy aliasok használatával egyéni szabályzatokat hozhat létre az Azure-erőforrások és az adott erőforrásokhoz kapcsolódó beépített szabályzatdefiníciók hálózati konfigurációjának naplózásához vagy kényszerítéséhez.
Felelősség: Ügyfél
7.9: Azure-erőforrások automatizált konfigurációmonitorozásának implementálása
Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet az Azure-Virtual Network és a kapcsolódó erőforrásokon. Az Azure Policy használatával riasztást és naplózást végezhet az Azure-erőforrások konfigurációiban.
Felelősség: Ügyfél
7.11: Azure-titkos kódok biztonságos kezelése
Útmutató: A felügyeltszolgáltatás-identitás és az Azure Key Vault együttes használata az Azure-Virtual Network üzemeltetett Azure-erőforrások titkos kulcskezelésének egyszerűsítéséhez és biztonságossá tételéhez.
Felelősség: Ügyfél
7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése
Útmutató: Implementálja a Hitelesítőadat-ellenőrzőt a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.
Felelősség: Ügyfél
Adat-helyreállítás
További információ: Azure Security Benchmark: Data Recovery.
9.1: Rendszeres automatikus biztonsági mentések biztosítása
Útmutató: Virtuális hálózat és kapcsolódó erőforrások üzembe helyezése az Azure Resource Manager használatával. Az Azure Resource Manager lehetővé teszi a sablonok exportálását, amelyek biztonsági másolatként használhatók a virtuális hálózat és a kapcsolódó erőforrások visszaállításához. Használja az Azure Automation az Azure Resource Manager-sablon exportálási API-jának rendszeres meghívásához.
Felelősség: Ügyfél
9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése
Útmutató: Virtuális hálózat és kapcsolódó erőforrások üzembe helyezése az Azure Resource Manager használatával. Az Azure Resource Manager lehetővé teszi a sablonok exportálását, amelyek biztonsági másolatként használhatók a virtuális hálózat és a kapcsolódó erőforrások visszaállításához. Használja az Azure Automation az Azure Resource Manager-sablon exportálási API-jának rendszeres meghívásához. Ügyfél által felügyelt kulcsok biztonsági mentése az Azure Key Vault.
Felelősség: Ügyfél
9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is
Útmutató: Azure-Resource Manager-sablonok rendszeres üzembe helyezését egy elkülönített előfizetésben, és tesztelje az ügyfél által felügyelt biztonsági mentési kulcsok visszaállítását.
Felelősség: Ügyfél
9.4: A biztonsági másolatok és az ügyfél által felügyelt kulcsok védelmének biztosítása
Útmutató: Az Azure DevOps használatával biztonságosan tárolhatja és kezelheti a kódot, például egyéni Azure Policy-definíciókat és Azure-Resource Manager-sablonokat.
Engedélyek megadása vagy megtagadása adott felhasználóknak, beépített biztonsági csoportoknak vagy az Azure Active Directoryban (Azure AD) meghatározott csoportoknak, ha integrálva van az Azure DevOpsszal, vagy az Active Directory, ha a Team Foundation Serverrel van integrálva.
Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával védheti az ügyfél által felügyelt kulcsokat.
Engedélyezze a Soft-Delete és a törlés elleni védelmet Key Vault a kulcsok véletlen vagy rosszindulatú törlés elleni védelméhez.
Felelősség: Ügyfél
Incidensmegoldás
További információ: Azure Security Benchmark: Incidensek kezelése.
10.1: Incidenskezelési útmutató létrehozása
Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.
Felelősség: Ügyfél
10.2: Incidenspontozási és rangsorolási eljárás létrehozása
Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire magabiztos a riasztás kibocsátásához használt keresésben vagy elemzésben, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.
Egyértelműen jelöljön meg előfizetéseket (például éles vagy nem éles) címkékkel, és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához, különösen a bizalmas adatok feldolgozásához. Az Ön felelőssége, hogy rangsorolja a riasztások megoldását azon Azure-erőforrások és -környezetek kritikussága alapján, ahol az incidens történt.
Felelősség: Ügyfél
10.3: Biztonsági reagálási eljárások tesztelése
Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez az Azure-erőforrások védelme érdekében. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.
Felelősség: Ügyfél
10.4: Biztonsági incidensek kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez
Útmutató: A Microsoft a biztonsági incidensek kapcsolattartási adatait használja fel Az Önnel való kapcsolatfelvételhez, ha a Microsoft Security Response Center (MSRC) észleli, hogy adataihoz jogosulatlan vagy jogellenes személy fért hozzá. Tekintse át az incidenseket a probléma megoldása érdekében.
Felelősség: Ügyfél
10.5: Biztonsági riasztások beépítése az incidenskezelő rendszerbe
Útmutató: Exportálja a Microsoft Defender for Cloud riasztásait és javaslatait a Folyamatos exportálás funkcióval az Azure-erőforrásokra vonatkozó kockázatok azonosításához. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását.
A Microsoft Defender for Cloud adatösszekötőjével is streamelheti a riasztásokat a Microsoft Sentinelnek.
Felelősség: Ügyfél
10.6: A biztonsági riasztásokra adott válasz automatizálása
Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhatja a válaszokat a "Logic Apps" használatával az Azure-erőforrások védelmére vonatkozó biztonsági riasztásokra és javaslatokra vonatkozóan.
Felelősség: Ügyfél
Behatolási tesztek és Red Team-gyakorlatok
További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.
11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése
Útmutató: Kövesse a Microsoft előjegyzési szabályait annak érdekében, hogy a behatolási tesztek ne sértse meg a Microsoft-szabályzatokat. Használja a Microsoft red teaming stratégiáját és végrehajtását, valamint a Microsoft által felügyelt felhőinfrastruktúra, -szolgáltatások és -alkalmazások helyszíni behatolási tesztelését.
Felelősség: Megosztott
Következő lépések
- Az Azure Security Benchmark v2 áttekintésének megtekintése
- További tudnivalók az Azure biztonsági alapterveiről