Cégirányítás, kockázatok és megfelelőség

Az összes méretű szervezetet korlátozza a rendelkezésre álló erőforrásaik; pénzügyi, emberek és idő. Ahhoz, hogy hatékony megtérülést érjenek el, a szervezeteknek rangsorolniuk kell, hogy hol fognak befektetni. A szervezet biztonságának megvalósítását ez is korlátozza, ezért ahhoz, hogy megfelelő megtérülést érjen el a biztonság terén, a szervezetnek először meg kell értenie és meg kell határoznia a biztonsági prioritásait.

Irányítás – Hogyan történik a szervezet biztonságának monitorozása, naplózása és jelentése? A szervezeten belüli biztonsági vezérlők tervezése és megvalósítása csak a történet kezdete. Honnan tudja a szervezet, hogy a dolgok valóban működnek? Javulnak? Vannak új követelmények? Kötelező a jelentéskészítés? A megfelelőséghez hasonlóan előfordulhatnak külső iparági, kormányzati vagy szabályozási szabványok is, amelyeket figyelembe kell venni.

Kockázat – Milyen típusú kockázatokkal szembesül a szervezet az azonosítható információk, a szellemi tulajdon (IP) és a pénzügyi információk védelme során? Ki lehet érdekelt, vagy hasznosíthatja ezeket az információkat, ha ellopják, beleértve a külső és belső fenyegetéseket, valamint a nem szándékos vagy rosszindulatú? A kockázaton belül gyakran elfelejtett, de rendkívül fontos szempont a vészhelyreállítás és az üzletmenet folytonosságának kezelése.

Megfelelőség – Léteznek olyan iparági, kormányzati vagy szabályozási követelmények, amelyek meghatározzák vagy javaslatot tesznek a szervezet biztonsági vezérlőinek teljesítendő feltételeire? Ilyen szabványok, szervezetek, ellenőrzések és jogszabályok például az ISO27001, az NIST, a PCI-DSS.

A szervezet(ek) közös szerepe a szervezet biztonsági szabványainak kezelése életciklusukon keresztül:

  • Definiálás – Szervezeti szabványok és szabályzatok beállítása eljárásokhoz, technológiákhoz és konfigurációkhoz belső tényezők (szervezeti kultúra, kockázatvállalás, eszközértékelés, üzleti kezdeményezések stb.) és külső tényezők (teljesítménytesztek, szabályozási szabványok, fenyegetési környezet stb.) alapján

  • Fejlesztés – Folyamatosan tolja ezeket a szabványokat növekményesen az ideális állapot felé a folyamatos kockázatcsökkentés biztosítása érdekében.

  • Fenntartás – A szervezeti szabványoknak való megfelelés naplózásával és monitorozásával biztosíthatja, hogy a biztonsági helyzet nem romlik természetes módon az idő múlásával.

Ajánlott biztonsági eljárásokra vonatkozó befektetések rangsorolása

A biztonsági ajánlott eljárások ideális esetben proaktívan és teljes mértékben alkalmazhatók minden rendszerre a felhőprogram létrehozásakor, de ez a legtöbb vállalati szervezet számára nem valóság. Az üzleti célok, a projektkorlátozások és más tényezők miatt a szervezetek gyakran kiegyensúlyozzák a biztonsági kockázatokat más kockázatokkal szemben, és az ajánlott eljárások egy részhalmazát alkalmazzák egy adott ponton.

Javasoljuk, hogy a lehető leghamarabb alkalmazza az ajánlott eljárásokat, majd a biztonsági program kifejlése során végezze el az esetleges hiányosságok utólagos átdolgozását. Javasoljuk, hogy értékelje ki a következő szempontokat, amikor rangsorolni szeretné, hogy melyik legyen az első:

  • Nagy üzleti hatás és magas rendelkezésre állású rendszerek – Ezek közé tartoznak a közvetlen belső értékkel rendelkező rendszerek, valamint azok a rendszerek, amelyek utat biztosítanak a támadók számára. További információ: Üzletileg kritikus fontosságú alkalmazások azonosítása és besorolása.

  • A legegyszerűbb megoldás a kockázatcsökkentések megvalósítása– A gyors győzelem azonosítása az ajánlott eljárások rangsorolásával, amelyeket a szervezet gyorsan végrehajthat, mivel már rendelkezik a szükséges készségekkel, eszközökkel és ismeretekkel (például egy webalkalmazási tűzfal (WAF) implementálása egy örökölt alkalmazás védelméhez).
    Ügyeljen arra, hogy ne kizárólag ezt a rövid távú rangsorolási módszert használja (vagy használja túl). Ezzel növelheti a kockázatot, ha megakadályozza, hogy a program hosszabb ideig kitehesse a kritikus kockázatokat.

A Microsoft a saját környezetünkben és az ügyfeleinkben szerzett fenyegetésekkel és kockázatcsökkentési kezdeményezésekkel kapcsolatos tapasztalataink alapján rangsoros listát biztosított a biztonsági kezdeményezésekről, amelyek segítségével a szervezetek elkezdhetik ezeket a döntéseket. Lásd a Microsoft CISO Workshop4a. modulját

Csatlakoztatott bérlők kezelése

Győződjön meg arról, hogy a biztonsági szervezet ismeri a meglévő környezethez (ExpressRoute-on vagy Site-Site VPN-en keresztül) kapcsolódó összes regisztrációt és előfizetést, és a teljes vállalat részeként figyeli azt.

Ezek az Azure-erőforrások a vállalati környezet részét képezik, és a biztonsági szervezeteknek átláthatóságot kell biztosítaniuk. A biztonsági szervezeteknek szükségük van erre a hozzáférésre a kockázat felméréséhez és annak megállapításához, hogy a szervezeti szabályzatok és az alkalmazandó szabályozási követelmények teljesülnek-e.

Győződjön meg arról, hogy az éles környezethez/hálózathoz csatlakozó összes Azure-környezet alkalmazza a szervezet szabályzat- és informatikai szabályozási vezérlőit a biztonság érdekében. A meglévő csatlakoztatott bérlőket a Microsoft által biztosított eszközzel fedezheti fel. A biztonsági engedélyekre vonatkozó útmutatást a környezet kezeléséhez szükséges jogosultságok hozzárendelése című szakaszban találja.

Felelősségi sorok törlése

Az Azure adott funkcióiért felelős felek kijelölése

Az egyes funkciókért felelős kapcsolattartók egyértelmű dokumentálása és megosztása konzisztenciát teremt, és elősegíti a kommunikációt. A számos felhőbevezetési projekttel kapcsolatos tapasztalataink alapján ez elkerüli azokat a félreértéseket, amelyek biztonsági kockázatot jelentő emberi és automatizálási hibákhoz vezethetnek.

Jelölje ki azokat a csoportokat (vagy egyéni szerepköröket), amelyek a kulcsfüggvényekért lesznek felelősek:

Csoport- vagy egyéni szerepkör Felelősség
Hálózati biztonság Általában meglévő hálózati biztonsági csapat. Az Azure Firewall, a hálózati virtuális berendezések (és a kapcsolódó útválasztás), WAF-ek, NSG-k, ASG-k stb. konfigurálása és karbantartása.
Hálózatkezelés Általában meglévő hálózatüzemeltetési csapat. Nagyvállalati szintű virtuális hálózat és alhálózatok lefoglalása.
Kiszolgálóvégpont biztonsága Általában informatikai műveletek, biztonság vagy közösen. A kiszolgáló biztonságának figyelése és javítása (javítás, konfiguráció, végpontbiztonság stb.).
Incidensfigyelés és -reagálás Általában biztonsági üzemeltetési csapat. Biztonsági incidensek kivizsgálása és elhárítása a Biztonsági információ és eseménykezelés (SIEM) vagy a forráskonzolon.
Szabályzatkezelés Általában GRC csapat + architektúra. Irányt állíthat be a szerepköralapú hozzáférés-vezérlés (RBAC), a Felhőhöz készült Microsoft Defender, a rendszergazdai védelmi stratégia és az Azure Policy használatához az Azure-erőforrások szabályozásához.
Identitásbiztonság és -szabványok Általában a Security Team + Identity Team közösen. Irányt állíthat be az Azure AD-címtárakhoz, a PIM-/PAM-használathoz, az MFA-hoz, a jelszó-/szinkronizálási konfigurációhoz, az alkalmazásidentitás-szabványokhoz.

Vállalati szegmentálási stratégia

Azonosítsa azokat az erőforráscsoportokat, amelyek elkülöníthetők a vállalat más részeitől, hogy a vállalaton belül kártékony mozgásokat tartalmazzon (és észleljen). Ez az egységes vállalati szegmentálási stratégia az összes technikai csapatot arra fogja irányítani, hogy a hozzáférést folyamatosan szegmentálták a hálózatkezelés, az alkalmazások, az identitások és minden más hozzáférés-vezérlés használatával.

A világos és egyszerű szegmentálási stratégia segít a kockázatvállalásban, miközben lehetővé teszi a hatékonyságot és az üzleti műveleteket.

A vállalati szegmentálási stratégia magasabb, mint a hagyományos "hálózati szegmentálási" biztonsági stratégia. A helyszíni környezetek hagyományos szegmentálási megközelítései gyakran nem jártak sikerrel, mivel különböző technikai csapatok "alulról felfelé" fejlesztették ki őket, és nem voltak jól összhangban az üzleti használati esetekkel és az alkalmazás számítási feladataival. Ez elsöprő összetettséghez vezetett, amely támogatási problémákat eredményezett, és gyakran aláássa az eredeti célt a széles körű hálózati tűzfalak kivételeivel.

Egy egységes vállalati szegmentálási stratégia létrehozása lehetővé teszi az összes műszaki csapat érdekelt felének (IT, biztonság, alkalmazások stb.) irányítását. Az üzleti kockázatokra és igényekre épülő üzleti egységek jobban igazodnak a biztonsági elszigetelési ígéretek fenntarthatóságához és megértéséhez és támogatásához. Ez az egyértelműség és igazítás csökkenti az emberi hibák és automatizálási hibák kockázatát is, amelyek biztonsági résekhez, működési állásidőhöz vagy mindkettőhöz vezethetnek.

Bár a hálózat mikroszegmentációja a kockázat csökkentésének ígéretét is kínálja (erről bővebben a Hálózatbiztonság és -elszigetelés szakaszban olvashat), nem kell összehangolni a műszaki csapatokat. A mikroszegmentálást utána kell megfontolni, és terveket kell készíteni annak biztosítása érdekében, hogy a technikai csapatok igazodjanak egymáshoz, így elkerülhetők a helyszíni hálózatgenerálási szegmentálási stratégiákat sújtó belső ütközések ismétlődése és zavarai.

Az alábbiakban a Microsoft javaslatait találja az elszigeteléssel és szegmentálással kapcsolatos kezdeményezések rangsorolására (a zéró megbízhatósági alapelvek alapján). Ezek a javaslatok prioritási sorrendben vannak felsorolva a legnagyobb fontosság szerint.

  • A műszaki csapatok egyetlen vállalati szegmentálási stratégiához való igazításának biztosítása.

  • Fektessen be az elszigetelés bővítésébe egy olyan modern peremhálózat létrehozásával, amely az identitásra, az eszközökre, az alkalmazásokra és más jelekre összpontosító megbízhatósági elveken alapul (az új erőforrások és támadástípusok védelme érdekében a hálózati vezérlők korlátozásának leküzdése érdekében).

  • A mikroszegmentálási stratégiák vizsgálatával erősítheti az örökölt alkalmazások hálózati vezérlőit.

A jó vállalati szegmentálási stratégia megfelel az alábbi feltételeknek:

  • Műveletek engedélyezése – Minimalizálja a műveletek súrlódását az üzleti eljárásokhoz és alkalmazásokhoz igazodva

  • Kockázatokat tartalmaz – Költség és súrlódás hozzáadása a támadókhoz a következővel:

    • Bizalmas számítási feladatok elkülönítése más eszközök biztonságának sérülésétől

    • A magas expozíciós rendszerek elkülönítése a kimutatásként való használattól más rendszerekhez

  • Figyelve – A biztonsági műveleteknek figyelnie kell a szegmensek integritásának esetleges megsértését (fiókhasználat, váratlan forgalom stb.)

Cell phone Description automatically generated

Biztonsági csapat láthatósága

Csak olvasási hozzáférés biztosítása a biztonsági csapatok számára az összes technikai erőforrás biztonsági aspektusaihoz a saját hatáskörükben

A biztonsági szervezeteknek átláthatóvá kell tenniük a műszaki környezetet, hogy el tudják végezni a szervezeti kockázatok felmérésével és jelentésével kapcsolatos feladataikat. E láthatóság nélkül a biztonságnak a környezetet üzemeltető csoportoktól származó információkra kell támaszkodnia, akik potenciálisan összeférhetetlenséget (és más prioritásokat) kapnak.

Vegye figyelembe, hogy a biztonsági csapatok külön kaphatnak további jogosultságokat, ha üzemeltetési felelősségi körük van, vagy kötelező kikényszeríteni a megfelelőséget az Azure-erőforrásokon.

Az Azure-ban például rendeljen biztonsági csapatokat a Biztonsági olvasók engedélyhez, amely hozzáférést biztosít a biztonsági kockázatok méréséhez (az adatokhoz való hozzáférés biztosítása nélkül)

Az Azure biztonságáért széles körben felelős nagyvállalati biztonsági csoportok esetében az alábbi módon rendelheti hozzá ezt az engedélyt:

  • Gyökérszintű felügyeleti csoport – az összes erőforrás kockázatának felméréséért és jelentéséért felelős csapatok számára

  • Szegmenskezelési csoport(ok) – korlátozott felelősségi körrel rendelkező csapatok számára (jellemzően a szervezeti határok vagy a szabályozási követelmények miatt szükséges)

Mivel a biztonság széles körű hozzáféréssel rendelkezik a környezethez (és láthatóvá válik a potenciálisan kihasználható biztonsági rések), kritikus fontosságúnak kell tekintenie a fiókokat, és ugyanazokat a védelmet kell alkalmaznia, mint a rendszergazdák. Az Adminisztráció szakasz részletesen ismerteti ezeket a vezérlőket az Azure-ban.

Jogosultságok hozzárendelése a környezet kezeléséhez

Az Azure-ban üzemeltetési felelősségi körökkel rendelkező szerepköröknek megfelelő engedélyeket adhat a minimális jogosultság elve és az üzemeltetési igények alapján létrehozott, jól dokumentált stratégia alapján.

A referenciamodellt követő egyértelmű útmutatás csökkenti a kockázatokat, mivel ezáltal egyértelműbbé válik az engedélyeket megvalósító műszaki csapatok számára. Ez az egyértelműség megkönnyíti az emberi hibák észlelését és kijavítását, például a túllépést, és csökkenti az általános kockázatot.

A Microsoft azt javasolja, hogy ezekből a Microsoft-referenciamodellekből kiindulva alkalmazkodjon az Ön szervezetéhez.

Diagram of the Core Services Reference Permissions, showing enterprise and resource role permissions.

Alapvető szolgáltatások referenciaengedélyek

Ez a szegmens a szervezeten belül használt megosztott szolgáltatásokat üzemelteti. Ezek a megosztott szolgáltatások általában magukban foglalják az Active Directory Domain Servicest, a DNS-t/DHCP-t, az Azure Szolgáltatott infrastruktúra (IaaS) virtuális gépeken üzemeltetett rendszerfelügyeleti eszközöket.

Biztonsági láthatóság az összes erőforráson – A biztonsági csapatoknak csak olvasási hozzáférést kell biztosítani az összes technikai környezet biztonsági attribútumaihoz. Ez a hozzáférési szint szükséges a kockázati tényezők értékeléséhez, a lehetséges kockázatcsökkentések azonosításához és a kockázatokat elfogadó szervezeti érdekelt felek tanácsához. További részletekért tekintse meg a biztonsági csapat láthatóságát .

Szabályzatkezelés néhány vagy az összes erőforrásra – A külső (vagy belső) szabályozásoknak, szabványoknak és biztonsági szabályzatoknak való megfelelés figyeléséhez és érvényesítéséhez rendeljen megfelelő engedélyeket ezekhez a szerepkörökhöz. A választott szerepkörök és engedélyek a szabályzatprogram szervezeti kultúrájától és elvárásaitól függnek. Lásd: Microsoft Cloud Adoption Framework for Azure.

Központi informatikai műveletek az összes erőforráson – Engedélyeket adhat a központi informatikai részlegnek (gyakran az infrastruktúra-csapatnak) az olyan erőforrások létrehozásához, módosításához és törléséhez, mint a virtuális gépek és a tárolók.

Központi hálózati csoport hálózati erőforrások között – A konzisztencia biztosítása és a technikai ütközések elkerülése érdekében rendelje hozzá a hálózati erőforrások felelősségét egyetlen központi hálózatkezelési szervezethez. Ezeknek az erőforrásoknak tartalmazniuk kell a virtuális hálózatokat, az alhálózatokat, a hálózati biztonsági csoportokat (NSG-ket) és a virtuális hálózati berendezéseket üzemeltető virtuális gépeket. További részletekért lásd: Hálózatfelügyelet és biztonság központosítása

Erőforrásszerepkör-engedélyek – A legtöbb alapvető szolgáltatás esetében a felügyeletükhöz szükséges rendszergazdai jogosultságok az alkalmazáson keresztül vannak megadva (Active Directory, DNS/DHCP, rendszerfelügyeleti eszközök stb.), így nincs szükség további Azure-erőforrásengedélyekre. Ha a szervezeti modell megköveteli, hogy ezek a csapatok saját virtuális gépeket, tárolókat vagy más Azure-erőforrásokat kezeljenek, ezeket az engedélyeket hozzárendelheti ezekhez a szerepkörökhöz.

Szolgáltatásadminisztrátor (Break Glass-fiók) – A szolgáltatásadminisztrátori szerepkört csak vészhelyzetek esetén használja (és szükség esetén a kezdeti beállításhoz). Ne használja ezt a szerepkört a napi feladatokhoz. További részletekért tekintse meg a vészhelyzeti hozzáféréssel kapcsolatos tudnivalókat .

Diagram of the reference permissions, showing the relationship between the Enterprise Role Permissions and Subscriptions.

Szegmensreferencia-engedélyek

Ez a szegmensengedély-kialakítás konzisztenciát biztosít, ugyanakkor rugalmasságot biztosít a szervezeti modellek egy központosított informatikai csoporttól a többnyire független informatikai és DevOps-csapatokig.

Biztonsági láthatóság az összes erőforráson – A biztonsági csapatoknak csak olvasási hozzáférést kell biztosítani az összes technikai környezet biztonsági attribútumaihoz. Ez a hozzáférési szint szükséges a kockázati tényezők értékeléséhez, a lehetséges kockázatcsökkentések azonosításához és a kockázatokat elfogadó szervezeti érdekelt felek tanácsához. Lásd a biztonsági csapat láthatóságát.

Szabályzatkezelés néhány vagy az összes erőforrásra – A külső (vagy belső) szabályozásoknak, szabványoknak és biztonsági szabályzatoknak való megfelelés figyeléséhez és érvényesítéséhez rendeljen megfelelő engedélyeket ezekhez a szerepkörökhöz. A választott szerepkörök és engedélyek a szabályzatprogram szervezeti kultúrájától és elvárásaitól függnek. Lásd: Microsoft Cloud Adoption Framework for Azure.

It-műveletek az összes erőforráson – Engedélyek megadása erőforrások létrehozásához, módosításához és törléséhez. A szegmens célja (és az eredményként kapott engedélyek) a szervezeti struktúrától függnek.

  • A központosított informatikai szervezet által kezelt erőforrásokkal rendelkező szegmensek engedélyt adhatnak a központi informatikai részlegnek (gyakran az infrastruktúra-csapatnak) ezeknek az erőforrásoknak a módosítására.

  • A független üzleti egységek vagy függvények (például az emberi erőforrásokat kezelő informatikai csapat) által kezelt szegmensek engedélyt adhatnak ezeknek a csapatoknak a szegmens összes erőforrásához.

  • Az autonóm DevOps-csapatokkal rendelkező szegmenseknek nem kell engedélyeket adniuk az összes erőforráshoz, mert az erőforrásszerepkör (alább) engedélyeket ad az alkalmazáscsapatoknak. Vészhelyzet esetén használja a szolgáltatásadminisztrátori fiókot (break-glass fiók).

Központi hálózati csoport hálózati erőforrások között – A konzisztencia biztosítása és a technikai ütközések elkerülése érdekében rendelje hozzá a hálózati erőforrások felelősségét egyetlen központi hálózatkezelési szervezethez. Ezeknek az erőforrásoknak tartalmazniuk kell a virtuális hálózatokat, az alhálózatokat, a hálózati biztonsági csoportokat (NSG-ket) és a virtuális hálózati berendezéseket üzemeltető virtuális gépeket. Lásd: Hálózatkezelés és biztonság központosítása.

Erőforrás-szerepkör engedélyei – Az autonóm DevOps-csapatokkal rendelkező szegmensek kezelik az egyes alkalmazásokhoz társított erőforrásokat. A tényleges szerepkörök és engedélyük az alkalmazás méretétől és összetettségétől, az alkalmazáscsapat méretétől és összetettségétől, valamint a szervezet és az alkalmazáscsapat kultúrájától függ.

Szolgáltatásadminisztrátor (break glass account) – A szolgáltatásadminisztrátori szerepkört csak vészhelyzetek esetén használja (és szükség esetén a kezdeti beállításhoz). Ne használja ezt a szerepkört a napi feladatokhoz. További részletekért tekintse meg a vészhelyzeti hozzáféréssel kapcsolatos tudnivalókat .

Útmutató és tippek az engedélyekkel kapcsolatban

  • A konzisztencia biztosítása és az alkalmazás jövőbeli előfizetésekhez való biztosítása érdekében az engedélyeket a szegmens felügyeleti csoportjához kell hozzárendelni az egyes előfizetések helyett. További részletekért lásd: Részletes és egyéni engedélyek elkerülése .

  • Először tekintse át a beépített szerepköröket, és ellenőrizze, hogy alkalmazható-e ilyen szerepkör, mielőtt létrehoz egy egyéni szerepkört, amely megfelelő engedélyeket ad a virtuális gépeknek és más objektumoknak. További részletekért lásd: Beépített szerepkörök használata

  • A biztonsági vezetők csoporttagság megfelelő lehet kisebb csapatok/szervezetek számára, ahol a biztonsági csapatok kiterjedt üzemeltetési feladatokkal rendelkeznek.

Szegmentálás létrehozása felügyeleti csoportokkal

Strukturálja a felügyeleti csoportokat egy egyszerű kialakításra, amely végigvezeti a vállalati szegmentálási modellen.

A felügyeleti csoportok lehetővé teszi az erőforrások konzisztens és hatékony kezelését (szükség esetén több előfizetést is beleértve). A rugalmasságuk miatt azonban egy túlságosan összetett kialakítás is létrehozható. Az összetettség zavart okoz, és negatív hatással van mind a műveletekre, mind a biztonságra (ahogy azt a túlságosan összetett szervezeti egység (OU) és az Active Directory csoportházirend-objektumának (GPO) tervei szemléltetik).

A Microsoft azt javasolja, hogy a felső szintű felügyeleti csoportokat (MG-ket) egy 1 vagy 2 szintre korlátozott egyszerű vállalati szegmentálási stratégiához igazítsa.

A gyökérszintű felügyeleti csoport körültekintő használata

A vállalati konzisztenciához használja a gyökérszintű felügyeleti csoportot (MG), de gondosan tesztelje a módosításokat a működési zavarok kockázatának minimalizálása érdekében.

A gyökérszintű felügyeleti csoport lehetővé teszi a konzisztenciát a vállalaton belül úgy, hogy szabályzatokat, engedélyeket és címkéket alkalmaz az összes előfizetésre. A gyökérszintű felügyeleti csoporthoz való hozzárendelések tervezésekor és megvalósításakor ügyelni kell rá, mert ez az Azure minden erőforrására hatással lehet, és hibák vagy váratlan hatások esetén leállást vagy más negatív hatást gyakorolhat a termelékenységre.

Útmutató a gyökérszintű felügyeleti csoporthoz:

  • Körültekintő tervezés – Válassza ki a vállalati szintű elemeket a gyökérszintű felügyeleti csoporthoz, amelyeknek egyértelmű követelményt kell alkalmazniuk minden erőforrásra és/vagy alacsony hatásra.

    A jó jelöltek közé tartoznak a következők:

    • Egyértelmű üzleti kockázattal/hatással rendelkező szabályozási követelmények (például az adatok szuverenitásával kapcsolatos korlátozások).

    • Közel nulla potenciális negatív hatás a műveletekre, például a naplózási hatással rendelkező szabályzatra, a címke-hozzárendelésre, az RBAC-engedélyek gondosan ellenőrzött hozzárendelésére.

  • Első teszt – Gondosan tesztelje az összes nagyvállalati szintű módosítást a gyökérszintű felügyeleti csoporton, mielőtt alkalmazza (szabályzat, címkék, RBAC-modell stb.) egy

    • Tesztkörnyezet – Reprezentatív tesztkörnyezeti bérlő vagy tesztkörnyezeti szegmens az éles bérlőben.

    • Üzemi próbaüzem – Az MG vagy a kijelölt részhalmaz szegmense az előfizetés(ek)ben/ MG-ban.

  • Módosítások ellenőrzése – annak biztosítása érdekében, hogy a kívánt hatást érjék el.

Virtuális gép (VM) biztonsági frissítései és erős jelszavai

Győződjön meg arról, hogy a szabályzatok és folyamatok lehetővé teszik (és megkövetelik) a biztonsági frissítések gyors alkalmazását a virtuális gépeken.

A támadók folyamatosan ellenőrzik a nyilvános felhőBELI IP-címtartományokat a nyitott felügyeleti portokon, és "egyszerű" támadásokat kísérelnek meg, például a gyakori jelszavakat és a nem kicsomagolt biztonsági réseket.

Engedélyezze a Microsoft Defender for Cloudot a hiányzó biztonsági frissítések & alkalmazásának azonosításához.

A helyi rendszergazdai jelszómegoldás (LAPS) vagy egy külső emelt szintű hozzáférés-kezelés erős helyi rendszergazdai jelszavakat állíthat be, és igény szerint hozzáférhet hozzájuk.

Virtuális gép (VM) közvetlen internetkapcsolatának eltávolítása

Győződjön meg arról, hogy a szabályzatok és folyamatok megkövetelik a virtuális gépek közvetlen internetkapcsolatának korlátozását és monitorozását

A támadók folyamatosan ellenőrzik a nyilvános felhőBELI IP-címtartományokat a nyitott felügyeleti portokon, és "egyszerű" támadásokat kísérelnek meg, például a gyakori jelszavakat és az ismert, nem kicsomagolt biztonsági réseket

Ez egy vagy több Azure-beli metódussal valósítható meg:

  • Nagyvállalati szintű megelőzés – Megakadályozza a véletlen expozíciót egy vállalati hálózattal és engedélymodellel, például az útmutatóban ismertetett referenciamodellel. Ez jelentősen csökkenti a véletlen virtuális gépek internetes kitettségének kockázatát azáltal, hogy

    • Annak biztosítása, hogy a hálózati forgalom alapértelmezés szerint jóváhagyott kimenő pontokon legyen átirányítva

    • A kivételeknek (például egy nyilvános IP-cím erőforráshoz való hozzáadásának) egy központosított csoporton kell keresztülmenniük (amely gondosan képes kiértékelni a kivételkéréseket a megfelelő vezérlők alkalmazásának biztosítása érdekében)

  • A közzétett virtuális gépek azonosítása és szervizelése a Microsoft Defender for Cloud hálózati vizualizációval az internetes erőforrások gyors azonosításához.

  • Korlátozza a felügyeleti portokat (RDP, SSH) a Microsoft Defender for Cloud igény szerinti hozzáférésével .

Incidensértesítési kapcsolattartó hozzárendelése

Győződjön meg arról, hogy egy biztonsági partner értesítést kap a Microsofttól az Azure-beli incidensekről, általában arról, hogy az erőforrás biztonsága sérül, és/vagy egy másik ügyfelet támad meg.

Ez lehetővé teszi, hogy a biztonsági üzemeltetési csapat gyorsan reagáljon a lehetséges biztonsági kockázatokra, és elhárítsa azokat.

Győződjön meg arról, hogy az Azure regisztrációs portálon található rendszergazdai kapcsolattartási adatok olyan kapcsolattartási adatokat tartalmaznak, amelyek a biztonsági műveleteket (közvetlenül vagy gyorsan, belső folyamaton keresztül) értesítik.

Kritikus hozzáférés rendszeres áttekintése

Rendszeresen tekintse át az üzleti szempontból kritikus hatással rendelkező jogosultságokkal rendelkező szerepköröket.

Állítson be egy ismétlődő felülvizsgálati mintát, hogy a szerepkörök változásakor a fiókok törlődjenek az engedélyekből. A felülvizsgálatot manuálisan vagy automatizált folyamaton keresztül is elvégezheti olyan eszközökkel, mint az Azure AD hozzáférési felülvizsgálatok.

Gyakori kockázatok felderítése és elhárítése

Azonosíthatja az Azure-bérlők jól ismert kockázatait, elháríthatja ezeket a kockázatokat, és nyomon követheti előrehaladását a biztonsági pontszám használatával.

A gyakori biztonsági higiéniai kockázatok azonosítása és elhárítása jelentősen csökkenti a szervezetre vonatkozó általános kockázatot a támadók költségeinek növelésével. Ha eltávolítja az olcsó és jól bevált támadási vektorokat, a támadóknak speciális vagy nem tesztelt támadási módszereket kell beszerezniük és használniuk.

A Microsoft Defender for Cloud Azure biztonsági pontszáma figyeli a gépek, hálózatok, tárolási és adatszolgáltatások és alkalmazások biztonsági állapotát a lehetséges biztonsági problémák (internetkapcsolattal rendelkező virtuális gépek vagy hiányzó biztonsági frissítések, hiányzó végpontvédelem vagy titkosítás, az alapkonfigurációktól való eltérések, hiányzó webalkalmazási tűzfal (WAF) és egyebek felderítéséhez. Engedélyezze ezt a képességet (nincs további költség), tekintse át az eredményeket, és kövesse a mellékelt javaslatokat a műszaki szervizelés megtervezéséhez és végrehajtásához a legmagasabb prioritású elemektől kezdve.

A kockázatok kezelése során nyomon követheti a haladást, és rangsorolhatja a folyamatban lévő beruházásokat a szabályozási és kockázatcsökkentő programokban.

Az automatizálás növelése az Azure Blueprints használatával

Használja az Azure natív automatizálási képességeit a számítási feladatok konzisztenciájának, megfelelőségének és üzembe helyezési sebességének növeléséhez.

Az üzembe helyezési és karbantartási feladatok automatizálása csökkenti a biztonsági és megfelelőségi kockázatokat azáltal, hogy korlátozza az emberi hibák manuális feladatok során történő bevezetésének lehetőségét. Ez azt is lehetővé teszi, hogy az informatikai üzemeltetési csapatok és a biztonsági csapatok az ismétlődő manuális feladatokról a nagyobb értékű feladatokra összpontosítsanak, például a fejlesztők és az üzleti kezdeményezések engedélyezésére, az információk védelmére stb.

Az Azure Blueprint szolgáltatással gyorsan és következetesen helyezhet üzembe olyan alkalmazáskörnyezeteket, amelyek megfelelnek a szervezet szabályzatainak és külső szabályozásainak. Az Azure Blueprint Service automatizálja a környezetek üzembe helyezését, beleértve az RBAC-szerepköröket, szabályzatokat, erőforrásokat (VM/Net/Storage/stb.) és egyebeket. Az Azure Blueprints a Microsoft Azure Resource Managerbe történő jelentős befektetésére épül az azure-beli erőforrások üzembe helyezésének szabványosítása, valamint az erőforrások kívánt állapoton alapuló üzembe helyezésének és szabályozásának lehetővé tétele érdekében. Az Azure Blueprint beépített konfigurációit használhatja, sajátokat készíthet, vagy csak Resource Manager-szkripteket használhat kisebb hatókörökhöz.

Számos biztonsági és megfelelőségi tervminta érhető el kiindulási sablonként.

A biztonság kiértékelése teljesítménytesztekkel

Iparági standard teljesítményteszt használatával értékelje ki a szervezetek aktuális biztonsági helyzetét.

A teljesítménytesztelés lehetővé teszi, hogy külső szervezetektől tanulva javítsa a biztonsági programot. A teljesítményteszt segítségével megtudhatja, hogyan viszonyul a jelenlegi biztonsági állapot a többi szervezetéhez, és külső ellenőrzést is biztosít a jelenlegi rendszer sikeres elemeihez, valamint azonosítja azokat a hiányosságokat, amelyek lehetőséget nyújtanak a csapat általános biztonsági stratégiájának bővítésére. Még akkor is, ha a biztonsági program nem kötődik egy adott teljesítményteszthez vagy szabályozási szabványhoz, akkor is élvezheti az iparágon kívüli és az iparágon belüliek által dokumentált ideális állapotok megértését.

  • A Center for Internet Security (CIS) például olyan biztonsági teljesítményteszteket hozott létre az Azure-hoz, amelyek a CIS-vezérlési keretrendszerre vannak leképezve. Egy másik referencia-példa a MITRE ATT&CK™ keretrendszer, amely a valós megfigyeléseken alapuló különböző támadói taktikákat és technikákat határozza meg. Ezek a külső hivatkozások szabályozzák a leképezéseket, és segítenek megérteni a jelenlegi stratégia és az iparág más szakértői közötti esetleges hiányosságokat.

Szabályzatmegfelelés naplózása és kikényszerítése

Győződjön meg arról, hogy a biztonsági csapat a környezetet naplózva jelentést készít a szervezet biztonsági szabályzatának való megfelelésről. A biztonsági csapatok ezen szabályzatoknak való megfelelést is kikényszeríthetik.

A minden méretű szervezeteknek biztonsági megfelelőségi követelményekkel kell rendelkezniük. Az iparági, kormányzati és belső vállalati biztonsági szabályzatokat minden esetben naplózni és kikényszeríteni kell. A szabályzatfigyelés kritikus fontosságú annak ellenőrzéséhez, hogy a kezdeti konfigurációk helyesek-e, és hogy az idő múlásával továbbra is megfelelőek-e.

Az Azure-ban az Azure Policy segítségével hozhat létre és kezelhet megfelelőségi szabályzatokat. Az Azure Blueprintshez hasonlóan az Azure Policy is az Azure platform mögöttes Azure Resource Manager-képességeire épül (és az Azure Policy az Azure Blueprintsen keresztül is hozzárendelhető).

Az Azure-ban történő végrehajtásával kapcsolatos további információkért tekintse át a következő oktatóanyagot: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez.

Identitáskockázat monitorozása

Monitorozza az identitással kapcsolatos kockázati eseményeket a potenciálisan sérült identitásokra vonatkozó figyelmeztetés érdekében, és elhárítsa ezeket a kockázatokat.

A legtöbb biztonsági incidens akkor következik be, ha egy támadó kezdetben ellopott személyazonosságot használva fér hozzá. Ezek az identitások gyakran alacsony jogosultságokkal kezdődnek, de a támadók ezt az identitást használják az oldalirányú bejáráshoz és a több kiemelt identitáshoz való hozzáféréshez. Ez szükség szerint ismétlődik, amíg a támadó nem szabályozza a végső céladatokhoz vagy rendszerekhez való hozzáférést.

Az Azure Active Directory adaptív gépi tanulási algoritmusokat, heurisztikusokat és ismert feltört hitelesítő adatokat (felhasználónév-jelszó párokat) használ a felhasználói fiókokhoz kapcsolódó gyanús műveletek észleléséhez. Ezek a felhasználónév-jelszó párok a nyilvános és sötét webhelyek figyeléséből származnak (ahol a támadók gyakran feltört jelszavakat dobnak ki), valamint a biztonsági kutatókkal, a bűnüldözéssel, a Microsoft biztonsági csapataival és másokkal együttműködve.

Két helyen tekintheti át a jelentett kockázati eseményeket:

Emellett az Identity Protection kockázati események API-jának használatával programozott hozzáférést kaphat a biztonsági észlelésekhez a Microsoft Graph használatával.

Ezeket a kockázatokat úgy orvosolhatja, hogy manuálisan kezeli az egyes jelentett fiókokat, vagy beállít egy felhasználói kockázati szabályzatot , hogy jelszómódosítást követeljen meg ezekhez a magas kockázatú eseményekhez.

Behatolás tesztelése

Behatolástesztelés használata a biztonsági védelem ellenőrzéséhez.

A biztonsági védelem valós érvényesítése kritikus fontosságú a védelmi stratégia és a megvalósítás ellenőrzéséhez. Ez egy behatolási teszttel (egyszeri támadás szimulálásával) vagy egy piros csapatprogramtal (a környezetet célzó állandó fenyegetés aktort szimulál) valósítható meg.

Kövesse a Microsoft által közzétett útmutatást a szimulált támadások tervezéséhez és végrehajtásához.

Nem biztonságos protokollok cseréjének felderítése &

Felderítheti és letilthatja az SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP-kötések és gyenge titkosítások használatát a Kerberosban.

A hitelesítési protokollok szinte minden biztonsági garancia kritikus alapját képezik. Ezeket a régebbi verziókat a támadók kihasználhatják a hálózathoz való hozzáféréssel, és gyakran használják széles körben a szolgáltatott infrastruktúra (IaaS) örökölt rendszerein.

A kockázatok csökkentésének módjai:

  • A protokollhasználat felderítéséhez tekintse át a naplókat a Microsoft Sentinel Nem biztonságos protokoll irányítópultjával vagy külső eszközökkel

  • A protokollok használatának korlátozása vagy letiltása az SMB, az NTLM és a WDigest használatával kapcsolatos útmutatást követve

Javasoljuk, hogy a módosításokat kísérleti vagy más tesztelési módszerrel hajtsa végre a működési megszakítás kockázatának csökkentése érdekében.

Emelt szintű biztonsági képességek

Fontolja meg, hogy speciális biztonsági képességeket szeretne-e használni a vállalati architektúrában.

Ezek az intézkedések növelhetik a biztonságot és eleget tehetnek a szabályozási követelményeknek, de olyan összetettséghez vezethetnek, amely negatív hatással lehet a műveletekre és a hatékonyságra.

Javasoljuk, hogy szükség szerint körültekintően mérlegelje és körültekintően alkalmazza ezeket a biztonsági intézkedéseket:

Következő lépések

A Microsoft további biztonsági útmutatóiért tekintse meg a Microsoft biztonsági dokumentációját.