Teljes felügyelet alapelvek alkalmazása az Amazon Web Services IaaS-alkalmazásaira

  • Cikk

Ez a cikk az Amazon Web Services (AWS) IaaS-alkalmazásaira vonatkozó Teljes felügyelet alapelveinek alkalmazását ismerteti:

Teljes felügyelet elv Definíció Megfelelteti:
Explicit ellenőrzés Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. A DevOps (DevSecOps) biztonsági funkciói a GitHub fejlett biztonságával és a DevOpsszal kódként ellenőrzik és védik az infrastruktúrát.
Minimális jogosultságú hozzáférés használata Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel.
  • Microsoft Entra Engedélykezelés észleli, méretezi és figyeli a nem használt és a túlzott engedélyeket.
  • A P2 Microsoft Entra-azonosítójú Privileged Identity Management (PIM) szolgáltatás lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását.
  • A felhasználók szerepköralapú hozzáférés-vezérlésének (RBAC) hozzárendelése az erőforrásokhoz az adattár, a csapat vagy a szervezet szintjén.
A szabálysértés feltételezése Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához.
  • Felhőhöz készült Microsoft Defender és Végponthoz készült Microsoft Defender (Microsoft 365) folyamatosan vizsgálja a környezetet a fenyegetések és a biztonsági rések keresése érdekében.
  • A Microsoft Sentinel elemzi az összegyűjtött adatokat, az entitások viselkedési tendenciáit, az anomáliákat és a vállalatok többfázisú fenyegetéseit a gyanús tevékenységek észleléséhez, és automatizálással válaszol.

A Teljes felügyelet alapelveinek Azure IaaS-környezetekben való alkalmazásáról az Teljes felügyelet alapelveinek alkalmazása az Azure IaaS-ben című témakörben talál további információt.

AWS- és AWS-összetevők

Az AWS a piacon elérhető nyilvános felhőszolgáltatók egyike, a Microsoft Azure-ral, a Google Cloud Platformmal és másokkal együtt. Gyakran előfordul, hogy a vállalatok több felhőszolgáltatóból álló többfelhős architektúrával rendelkeznek. Ebben a cikkben egy többfelhős architektúrára összpontosítunk, ahol:

  • Az Azure és az AWS integrálva van a számítási feladatok és az informatikai üzleti megoldások futtatásához.
  • Az AWS IaaS számítási feladatait Microsoft-termékek használatával biztosíthatja.

Az Amazon Elastic Compute Cloud (Amazon EC2) nevű AWS virtuális gépek egy Amazon Virtual Private Cloud (Amazon VPC) nevű AWS virtuális hálózat tetején futnak. A felhasználók és a felhőgazdák beállítanak egy Amazon VPC-t az AWS-környezetükben, és hozzáadják az Amazon EC2 virtuális gépeket.

Az AWS CloudTrail naplózza az AWS-fiók tevékenységeit az AWS-környezetben. Az Amazon EC2, az Amazon VPC és az AWS CloudTrail gyakoriak az AWS-környezetekben. A naplók gyűjtése ezekből a szolgáltatásokból elengedhetetlen az AWS-környezetben történtek megértéséhez, valamint a támadások elkerüléséhez vagy enyhítéséhez szükséges műveletek megértéséhez.

Az Amazon GuardDuty egy fenyegetésészlelési szolgáltatás, amely segít megvédeni az AWS-számítási feladatokat az AWS-környezet rosszindulatú tevékenységek és jogosulatlan viselkedés figyelésével.

Ebben a cikkben megtudhatja, hogyan integrálhatja ezeknek az AWS-erőforrásoknak és -szolgáltatásoknak a monitorozását és naplózását az Azure monitorozási megoldásaival és a Microsoft biztonsági vermével.

Referenciaarchitektúra

Az alábbi architektúradiagram az IaaS-számítási feladatok AWS-környezetben való futtatásához szükséges gyakori szolgáltatásokat és erőforrásokat mutatja be. Az ábrán a naplók és adatok AWS-környezetből az Azure-ba való betöltéséhez, valamint a veszélyforrások monitorozásához és védelméhez szükséges Azure-szolgáltatások is láthatók.

Az IaaS-alkalmazások Amazon Web Servicesben (AWS) való biztonságossá tételéhez használt referenciaarchitektúra ábrája.

A diagram bemutatja a naplók Azure-ba való betöltését az AWS-környezetben a következő erőforrásokhoz és szolgáltatásokhoz:

  • Amazon Elastic Compute Cloud (Amazon EC2)
  • Amazon Virtual Private Cloud (Amazon VPC)
  • Amazon Web Services CloudTrail (AWS CloudTrail)
  • Amazon GuardDuty

Az AWS-környezet erőforrásaihoz és szolgáltatásaihoz tartozó naplók Azure-ba való betöltéséhez meg kell határoznia az Amazon Simple Storage Service -t (Amazon S3) és az Amazon Simple Queue Service-t (SQS).

A naplók és adatok a Log Analyticsbe kerülnek az Azure Monitorban.

A következő Microsoft-termékek a betöltött adatokat használják a monitorozáshoz:

  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Microsoft Defender végponthoz

Feljegyzés

Az AWS-erőforrások és -szolgáltatások monitorozásához nem kell naplókat beolvasnia az összes felsorolt Microsoft-termékbe. Az összes Microsoft-termék együttes használata azonban nagyobb előnyt biztosít az AWS-napló és az Azure-ba történő adatbetöltés révén.

Ez a cikk az architektúradiagramot követi, és a következőket ismerteti:

  • Telepítse és konfigurálja a Microsoft-termékeket a naplók AWS-erőforrásokból való betöltéséhez.
  • Konfigurálja a figyelni kívánt biztonsági adatok mérőszámait.
  • Az általános biztonsági helyzet javítása és az AWS-számítási feladatok biztonságossá tétele.
  • Biztonságos infrastruktúra kódként.

1. lépés: Microsoft-termékek telepítése és csatlakoztatása naplókhoz és adatokhoz

Ez a szakasz bemutatja, hogyan telepítheti és csatlakoztathatja a Hivatkozott architektúrában található Microsoft-termékeket az AWS- és Amazon-szolgáltatások és -erőforrások naplóinak betöltéséhez. A kifejezetten Teljes felügyelet ellenőrzés elvének betartásához telepítenie kell a Microsoft-termékeket, és csatlakoznia kell az AWS-környezethez, hogy proaktív műveleteket hajtson végre a támadás előtt.

Lépések Task
A Telepítse az Azure Csatlakozás ed Machine Agentet az Amazon Elastic Compute Cloud (Amazon EC2) virtuális gépeire az operációs rendszer adatainak betöltéséhez és az Azure-ba való bejelentkezéshez.
h Telepítse az Azure Monitor Agentet az Amazon EC2 virtuális gépekre, hogy naplókat küldjön a Log Analytics-munkaterületre.
C Csatlakozás egy AWS-fiókot Felhőhöz készült Microsoft Defender.
T Csatlakozás Microsoft Sentinelt az AWS-be az AWS-naplóadatok betöltéséhez.
E Az AWS-összekötőkkel lekérhet AWS-szolgáltatásnaplókat a Microsoft Sentinelbe.

V. Telepítse az Azure Csatlakozás ed Machine Agentet az Amazon EC2 virtuális gépeire az operációs rendszer adatainak betöltéséhez és az Azure-ba való bejelentkezéshez

Az Azure Arc-kompatibilis kiszolgálók lehetővé teszik az Azure-on kívül, a vállalati hálózaton vagy más felhőszolgáltatón üzemeltetett Windows és Linux rendszerű fizikai kiszolgálók és virtuális gépek kezelését. Az Azure Arc esetében az Azure-on kívül üzemeltetett gépek hibrid gépeknek minősülnek. Az Amazon EC2 virtuális gépeinek (más néven hibrid gépeknek) az Azure-hoz való csatlakoztatásához minden gépen telepítenie kell az Azure Csatlakozás ed Machine-ügynököt.

További információ: Csatlakozás hibrid gépek az Azure-ba.

B. Az Azure Monitor Agent telepítése Az Amazon EC2 virtuális gépekre, hogy naplókat küldjön a Log Analytics-munkaterületre

Az Azure Monitor teljes körű monitorozást biztosít az Azure-ban és más felhőkben futó erőforrásokhoz és alkalmazásokhoz, beleértve az AWS-t is. Az Azure Monitor összegyűjti, elemzi és elvégzi a felhőből és a helyszíni környezetekből származó telemetriai adatokat. Az Azure Monitor virtuálisgép-elemzései Azure Arc-kompatibilis kiszolgálókat használnak az Azure-beli virtuális gépek és az Amazon EC2 virtuális gépek közötti konzisztens élmény biztosításához. Az Amazon EC2 virtuális gépeit közvetlenül az Azure-beli virtuális gépek mellett tekintheti meg. Az Amazon EC2 virtuális gépeit azonos módszerekkel helyezheti üzembe. Ez magában foglalja a szabványos Azure-szerkezetek, például az Azure Policy használatát és a címkék alkalmazását.

Amikor engedélyezi a virtuálisgép-elemzéseket egy gépen, az Azure Monitor Agent (AMA) telepítve lesz. Az AMA monitorozási adatokat gyűjt az Amazon EC2 virtuális gépekről, és továbbítja azOkat az Azure Monitornak funkciók, elemzések és egyéb szolgáltatások, például a Microsoft Sentinel és Felhőhöz készült Microsoft Defender általi használatra.

Fontos

A Log Analytics az Azure Portal egyik eszköze, amellyel napló lekérdezéseket szerkeszthet és futtathat az Azure Monitor Naplók tárolójában lévő adatokon. A Log Analytics automatikusan telepítve van.

Előfordulhat, hogy az Amazon EC2 virtuális gépeken telepítve van az örökölt Log Analytics-ügynök. Az ügynök 2024 szeptemberében megszűnik. A Microsoft azt javasolja, hogy telepítse az új Azure Monitor-ügynököt.

A Log Analytics-ügynöknek vagy a Windowshoz és Linuxhoz készült Azure Monitor-ügynöknek a következő célokra van szüksége:

  • Proaktívan monitorozza a számítógépen futó operációs rendszert és számítási feladatokat.
  • A gép kezelése Automation-runbookokkal vagy olyan megoldásokkal, mint az Update Management.
  • Használjon más Azure-szolgáltatásokat, például Felhőhöz készült Microsoft Defender.

Naplók és adatok gyűjtésekor az adatok egy Log Analytics-munkaterületen lesznek tárolva. Log Analytics-munkaterületre van szüksége, ha adatokat gyűjt az előfizetésében lévő Azure-erőforrásokból.

Az Azure Monitor-munkafüzetek az Azure Portalon elérhető vizualizációs eszközök. A munkafüzetek szövegeket, napló lekérdezéseket, metrikákat és paramétereket kombinálnak gazdag interaktív jelentésekben. A munkafüzetek beállításával az elemzések segítségével betarthatja a Teljes felügyelet szabálysértés elvét.

A munkafüzeteket a következő cikkben az Amazon Virtual Private Cloud (Amazon VPC), az AWS CloudTrail és az Amazon GuardDuty Microsoft Sentinel-naplóinak monitorozása című cikk ismerteti.

További információkért lásd:

C. AWS-fiók Csatlakozás Felhőhöz készült Microsoft Defender

Felhőhöz készült Microsoft Defender egy felhőbiztonsági helyzetkezelés (CSPM) és felhőbeli számítási feladatvédelmi platform (CWPP) az összes Azure-beli, helyszíni és többfelhős erőforráshoz, beleértve az AWS-t is. Felhőhöz készült Defender három alapvető szükségletet elég ki az erőforrások és számítási feladatok biztonságának felhőben és helyszínen történő kezelése során:

A Microsoft Defender for Servers az Felhőhöz készült Microsoft Defender által biztosított fizetős csomagok egyike. A Defender for Servers kiterjeszti a védelmet az Azure-ban, az AWS-ben, a Google Cloud Platformon és a helyszínen futó Windows- és Linux-gépekre. A Defender for Servers integrálható a Végponthoz készült Microsoft Defender, hogy végponti észlelés és reagálás (Végponti észlelés és reagálás) és egyéb veszélyforrások elleni védelmet biztosítson.

További információkért lásd:

Feljegyzés

Ha még nem telepítette az AMA-t a kiszolgálókon, az Azure Monitor-ügynököt üzembe helyezheti a kiszolgálókon, amikor engedélyezi a Defender for Servers szolgáltatást.

D. A Microsoft Sentinel Csatlakozás az AWS-be az AWS-naplóadatok betöltéséhez

A Microsoft Sentinel egy skálázható, natív felhőbeli megoldás, amely a következő szolgáltatásokat nyújtja:

  • Biztonságiadat- és eseménykezelés (SIEM)
  • Biztonsági vezénylés, automatizálás és válasz (SOAR)

A Microsoft Sentinel biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül. A Microsoft Sentinel egyetlen megoldást kínál a támadásészlelésre, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre.

A beállítási utasításokat a Microsoft Sentinel előkészítése című témakörben találja.

E. Az AWS-összekötők használatával lekérhet AWS-szolgáltatásnaplókat a Microsoft Sentinelbe

Az AWS szolgáltatásnaplók Microsoft Sentinelbe való lekéréséhez Microsoft Sentinel AWS-összekötőt kell használnia. Az összekötő úgy működik, hogy hozzáférést biztosít a Microsoft Sentinelnek az AWS-erőforrásnaplókhoz. Az összekötő beállítása megbízhatósági kapcsolatot létesít az AWS és a Microsoft Sentinel között. Az AWS-ben létrejön egy szerepkör, amely engedélyt ad a Microsoft Sentinel számára az AWS-naplók elérésére.

Az AWS-összekötő két verzióban érhető el: az új Amazon Simple Storage Service (Amazon S3) összekötő, amely egy Amazon S3-gyűjtőből való lekéréssel betölti a naplókat, valamint a CloudTrail-felügyelet és adatnaplók örökölt összekötője. Az Amazon S3-összekötő az Amazon Virtual Private Cloud (Amazon VPC), az AWS CloudTrail és az Amazon GuardDuty naplóit is betöltheti. Az Amazon S3-összekötő előzetes verzióban érhető el. Az Amazon S3-összekötő használatát javasoljuk.

Az Amazon VPC, az AWS CloudTrail és az Amazon GuardDuty naplóinak az Amazon S3-összekötővel való betöltéséhez tekintse meg Csatlakozás Microsoft Sentinelt az AWS-be.

Feljegyzés

A Microsoft az Amazon S3-összekötő üzembe helyezéséhez az automatikus beállítási szkript használatát javasolja. Ha manuálisan szeretné elvégezni az egyes lépéseket, kövesse a manuális beállítást a Microsoft Sentinel AWS-hez való csatlakoztatásához.

2. lépés: Metrikák konfigurálása a biztonsági adatokhoz

Most, hogy az Azure betölti a naplókat az AWS-erőforrásokból, létrehozhat fenyegetésészlelési szabályokat a környezetben, és figyelheti a riasztásokat. Ez a cikk végigvezeti a naplók és adatok gyűjtésének és a gyanús tevékenységek figyelésének lépésein. A Teljes felügyelet feltételezi, hogy a biztonsági rések és fenyegetések monitorozása a környezet figyelésével valósul meg.

Lépések Task
A Amazon Elastic Compute Cloud -naplók (Amazon EC2) gyűjtése az Azure Monitorban.
h Az Amazon EC2 Felhőhöz készült Microsoft Defender biztonsági riasztásainak és javaslatainak megtekintése és kezelése.
C Integrálja Végponthoz készült Microsoft Defender Felhőhöz készült Defender.
T Amazon EC2-adatok monitorozása a Microsoft Sentinelben.
E Monitorozás a Microsoft Sentinel naplóiban az Amazon Virtual Private Cloud (Amazon VPC), az AWS CloudTrail és az Amazon GuardDuty szolgáltatásból.
F A Microsoft Sentinel beépített észlelési szabályaival fenyegetésészlelési szabályokat hozhat létre és vizsgálhat meg a környezetben.

V. Amazon Elastic Compute Cloud -naplók (Amazon EC2) gyűjtése az Azure Monitorban

Az Amazon EC2 virtuális gépekre telepített Azure Csatlakozás ed Machine Agent lehetővé teszi, hogy az AWS-erőforrásokat úgy figyelje, mintha Azure-erőforrások lennének. Azure-szabályzatokkal szabályozhatja és kezelheti például az Amazon EC2 rendszerű virtuális gépek frissítéseit.

Az Amazon EC2 virtuális gépekre telepített Azure Monitor-ügynök (AMA) összegyűjti a monitorozási adatokat, és átadja azokat az Azure Monitornak. Ezek a naplók a Microsoft Sentinel és Felhőhöz készült Defender bemenetévé válnak.

Az Amazon EC2 virtuális gépek naplóinak gyűjtéséhez tekintse meg az adatgyűjtési szabályok létrehozását.

B. Az Amazon EC2 Felhőhöz készült Microsoft Defender biztonsági riasztásainak és ajánlásainak megtekintése és kezelése

Felhőhöz készült Microsoft Defender erőforrásnaplók használatával hoz létre biztonsági riasztásokat és javaslatokat. Felhőhöz készült Defender riasztásokat adhat meg, hogy figyelmeztessen az Amazon EC2 virtuális gépeken előforduló lehetséges fenyegetésekre. A riasztásokat súlyosság alapján rangsorolja a rendszer. Minden riasztás részletesen ismerteti az érintett erőforrásokat, problémákat és szervizelési javaslatokat.

Az Azure Portalon kétféleképpen tekintheti meg a javaslatokat. Az Felhőhöz készült Defender áttekintő lapon megtekintheti a javítani kívánt környezetre vonatkozó javaslatokat. Az Felhőhöz készült Defender eszközleltár oldalán a javaslatok az érintett erőforrásnak megfelelően jelennek meg.

Amazon EC2-riasztások és javaslatok megtekintése és kezelése:

Feljegyzés

A Microsoft felhőbiztonsági referenciamutatója (MCSB) számos nagy hatású biztonsági javaslatot tartalmaz, amelyekkel biztonságossá teheti felhőszolgáltatásait egyetlen vagy többfelhős környezetben. A Microsoft biztonsági teljesítménytesztek használatát javasolja a felhőbeli üzemelő példányok gyors biztonságossá tételéhez. További információ az MCSB-ről.

C. Végponthoz készült Microsoft Defender integrálása Felhőhöz készült Defender

A végpontok védelme Felhőhöz készült Defender integrált végponti észlelés és reagálás megoldásával, Végponthoz készült Microsoft Defender. Végponthoz készült Microsoft Defender védi a Windows- és Linux-gépeket, függetlenül attól, hogy az Azure-ban, a helyszínen vagy többfelhős környezetben vannak-e üzemeltetve. Végponthoz készült Microsoft Defender egy holisztikus, felhőalapú végpontbiztonsági megoldás. A fő funkciók a következők:

  • Kockázatalapú biztonságirés-kezelés és értékelés
  • Támadási felület csökkentése
  • Viselkedésalapú és felhőalapú védelem
  • Végpontészlelés és -válasz (Végponti észlelés és reagálás)
  • Automatikus vizsgálat és szervizelés
  • Felügyelt vadászati szolgáltatások

További információ: Az Végponthoz készült Microsoft Defender integráció engedélyezése.

D. Amazon EC2-adatok monitorozása a Microsoft Sentinelben

Az Azure Csatlakozás ed Machine Agent és az AMA telepítése után az Amazon EC2 operációs rendszerek elkezdenek naplókat küldeni a Microsoft Sentinel számára automatikusan elérhető Azure Log Analytics-táblákba.

Az alábbi kép bemutatja, hogy a Microsoft Sentinel hogyan betölti az Amazon EC2 operációsrendszer-naplóit. Az Azure Csatlakozás-alapú gépügynök az Amazon EC2 virtuális gépek részét képezi az Azure-ban. Az Windows biztonság események az AMA-adatösszekötőn keresztül adatokat gyűjtenek az Amazon EC2 virtuális gépekről.

A Microsoft Sentinel által betöltött operációsrendszer-naplók diagramja.

Feljegyzés

Nincs szüksége a Microsoft Sentinelre a naplók Amazon EC2-ből való betöltéséhez, de korábban be kell állítania egy Log Analytics-munkaterületet.

Részletes útmutatásért tekintse meg az Amazon EC2 Sentinel-betöltést az Arc és az AMA használatával, amely a GitHub egyik dokumentuma. A GitHub-dokumentum az AMA telepítésével foglalkozik, amelyet kihagyhat, mert korábban telepítette az AMA-t ebben a megoldási útmutatóban.

E. Monitorozás a Microsoft Sentinel naplóiban az Amazon Virtual Private Cloud (Amazon VPC), az AWS CloudTrail és az Amazon GuardDuty szolgáltatásból

Korábban csatlakoztatta a Microsoft Sentinelt az AWS-hez az Amazon Simple Storage Service (Amazon S3) összekötővel. Az Amazon S3 gyűjtő naplókat küld a Log Analytics-munkaterületre, amely a lekérdezés alapjául szolgáló eszköz. A munkaterületen a következő táblák jönnek létre:

  • AWSCloudTrail – Az AWS CloudTrail-naplók az AWS-fiók összes adat- és felügyeleti eseményét tárolják.
  • AWSGuardDuty – Az Amazon GuardDuty-eredmények a hálózaton észlelt potenciális biztonsági problémát jelölik. Az Amazon GuardDuty akkor hoz létre találatot, ha váratlan és potenciálisan rosszindulatú tevékenységet észlel az AWS-környezetben.
  • AWSVPCFlow – Amazon Virtual Private Cloud (Amazon VPC) Folyamatnaplók segítségével rögzítheti az Amazon VPC hálózati adapterei felé és felől érkező IP-forgalmat.

A Microsoft Sentinelben lekérdezheti az Amazon VPC folyamatnaplóit, az AWS CloudTrailt és az Amazon GuardDutyt. Az alábbiakban lekérdezési példákat láthat az egyes szolgáltatásokra és a Log Analytics megfelelő tábláira:

Amazon GuardDuty-naplók esetén:

AWSGuardDuty | where Severity > 7 | summarize count() by ActivityType

Amazon VPC Flow-naplók esetén:

AWSVPCFlow | where Action == "REJECT" | where Type == "Ipv4" | take 10

AWS CloudTrail-naplók esetén:

AWSCloudTrail | where EventName == "CreateUser" | count() összegzése AWSRegion szerint

A Microsoft Sentinelben az Amazon S3 munkafüzettel elemezhet további részleteket.

Az AWS CloudTrail esetében az alábbiakat elemezheti:

  • Adatfolyam az idő függvényében
  • Fiókazonosítók
  • Eseményforrás-lista

Az Amazon GuardDuty esetében elemezheti a következőt:

  • Amazon GuardDuty térkép szerint
  • Amazon GuardDuty régiónként
  • Amazon GuardDuty IP szerint

F. A Microsoft Sentinel beépített észlelési szabályainak használata fenyegetésészlelési szabályok létrehozásához és vizsgálatához a környezetben

Most, hogy csatlakoztatta az adatforrásokat a Microsoft Sentinelhez, a Microsoft Sentinels beépített észlelési szabálysablonjaival hozhat létre és vizsgálhat fenyegetésészlelési szabályokat a környezetben. A Microsoft Sentinel beépített sablonokat biztosít a fenyegetésészlelési szabályok létrehozásához.

A Microsoft biztonsági szakértőiből és elemzőiből álló csapata ismert fenyegetéseken, gyakori támadási vektorokon és gyanús tevékenység-eszkalációs láncokon alapuló szabálysablonokat tervez. Az ezekből a sablonokból létrehozott szabályok automatikusan keresik a környezetben a gyanúsnak tűnő tevékenységeket. Számos sablon testre szabható, hogy az igényeinek megfelelően keressen tevékenységeket, vagy szűrje ki őket. A szabályok által generált riasztások incidenseket hoznak létre, amelyeket hozzárendelhet és kivizsgálhat a környezetben.

További információ: Fenyegetések észlelése beépített elemzési szabályokkal a Microsoft Sentinelben.

3. lépés: Az általános biztonsági helyzet javítása

Ebben a szakaszban megtudhatja, hogyan segíthet a Microsoft Entra Engedélykezelés a nem használt és a túlzott engedélyek monitorozásában. Végigvezetheti a kulcsadatok konfigurálását, előkészítését és megtekintését. A Teljes felügyelet minimális jogosultságú hozzáférés elve az erőforrásokhoz való hozzáférés kezelésével, szabályozásával és monitorozásával érhető el.

Lépések Task
A Az Engedélyek kezelése és a Privileged Identity Management konfigurálása.
h AWS-fiók létrehozása.
C Főbb statisztikák és adatok megtekintése.

Engedélyek kezelésének konfigurálása

Az Engedélyek kezelése egy felhőinfrastruktúra-jogosultságkezelési (CIEM) megoldás, amely észleli, automatikusan méretezi és folyamatosan figyeli a nem használt és túlzott engedélyeket a többfelhős infrastruktúrában.

Az Engedélyek kezelése a minimális jogosultságú hozzáférési elv kibővítésével mélyíti Teljes felügyelet biztonsági stratégiákat, lehetővé téve az ügyfelek számára a következőket:

  • Átfogó láthatóság: Megtudhatja, hogy melyik identitás mit, hol és mikor végez.
  • A minimális jogosultságú hozzáférés automatizálása: Hozzáférés-elemzéssel biztosíthatja, hogy az identitások megfelelő engedélyekkel rendelkezzenek a megfelelő időben.
  • Hozzáférési szabályzatok egységesítése IaaS-platformokon: Egységes biztonsági szabályzatok implementálása a felhőinfrastruktúra egészében.

Az Engedélyek kezelése az AWS és az Azure legfontosabb statisztikáinak és adatainak összegzését tartalmazza. Az adatok olyan metrikákat tartalmaznak, amelyek az elkerülhető kockázattal kapcsolatosak. Ezek a metrikák lehetővé teszik, hogy az Engedélyek kezelése rendszergazdája azonosítsa azokat a területeket, ahol a Teljes felügyelet minimális jogosultságú hozzáférési elvével kapcsolatos kockázatok csökkenthetők.

Az adatok a Microsoft Sentinelbe is betáplálhatók további elemzések és automatizálás céljából.

A feladatok implementálásához lásd:

4. lépés: Az infrastruktúra biztonságossá tétele kódként

Ez a szakasz a DevSecOps kulcsfontosságú pillérét mutatja be, és kódként vizsgálja és biztosítja az infrastruktúrát. Kódként szolgáló infrastruktúra esetén a biztonsági és a DevOps-csapatoknak figyelnie kell azokat a helytelen konfigurációkat, amelyek biztonsági résekhez vezethetnek az infrastruktúra üzemelő példányaiban.

Az Azure Resource Manager- (ARM-), Bicep- vagy Terraform-sablonok folyamatos ellenőrzésének végrehajtásával megelőzheti a behatolásokat, és kihasználhatja a fejlesztés korai szakaszában, amikor azok kijavítása kevésbé költséges. Emellett a Microsoft Entra ID és a DevOps eszköz rendszergazdák és szolgáltatásfiók-csoportok szigorú felügyeletét is fenn szeretné tartani.

A Teljes felügyelet a minimális jogosultsági hozzáférési alapelvet a következővel valósítja meg:

  • A minimális jogosultságú identitáshozzáféréssel és hálózatkezeléssel rendelkező infrastruktúra-konfigurációk robusztus áttekintése.
  • Felhasználók szerepköralapú hozzáférés-vezérlésének (RBAC) hozzárendelése az erőforrásokhoz az adattár, a csapat vagy a szervezet szintjén.

Előfeltételek:

  • A kódtárak az Azure DevOpsban vagy a GitHubon találhatók
  • A folyamatok az Azure DevOpsban vagy a GitHubon vannak üzemeltetve
Lépések Task
A A DevSecOps engedélyezése kódként (IaC) az infrastruktúrához.
h RBAC implementálása DevOps-eszközökhöz.
C Engedélyezze a GitHub Advanced Securityt.
T Kód- és titkos kódok vizsgálatának eredményeinek megtekintése.

V. A DevSecOps engedélyezése az IaC-hez

A Defender for DevOps betekintést nyújt a többfolyamatos környezet biztonsági helyzetébe, függetlenül attól, hogy a kód és a folyamatok az Azure DevOpsban vagy a GitHubon találhatók-e. További előnye, hogy egyetlen üvegpanelt implementál, ahol a biztonsági és a DevOps-csapatok egyetlen irányítópulton tekinthetik meg az összes adattáruk vizsgálati eredményeit, és beállíthatnak egy lekéréses kérési folyamatot a problémák megoldásához.

További információkért lásd:

B. RBAC implementálása DevOps-eszközökhöz

Kezelnie kell és végre kell hajtania a csapat megfelelő szabályozási eljárásait, például a szerepköralapú hozzáférés-vezérlési engedélyeket. Ha ezt a modellt nem tükrözi a DevOps automation, előfordulhat, hogy a szervezet nyitva hagy egy biztonsági háttérajtót. Vegyünk egy példát, amikor egy fejlesztő nem rendelkezik hozzáféréssel ARM-sablonokon keresztül. Előfordulhat, hogy a fejlesztő továbbra is rendelkezik megfelelő engedélyekkel az alkalmazáskód vagy az infrastruktúra kódként való módosításához és egy automatizálási munkafolyamat elindításához. A fejlesztő közvetett módon a DevOpson keresztül hozzáférhet az ARM-sablonokhoz, és romboló módosításokat hajthat végre.

Amikor felhőalapú megoldásokat helyez üzembe az infrastruktúra üzemelő példányaihoz, a biztonságnak mindig a legfontosabb szempontnak kell lennie. A Microsoft megőrzi a mögöttes felhőinfrastruktúra biztonságát. A biztonságot az Azure DevOpsban vagy a GitHubon konfigurálhatja.

A biztonság konfigurálása:

  • Az Azure DevOpsban a szervezet/gyűjtemény, projekt vagy objektum szintjén használhat biztonsági csoportokat, szabályzatokat és beállításokat.
  • A GitHubon a felhasználók számára hozzáférést rendelhet az erőforrásokhoz, ha szerepköröket ad nekik az adattár, a csapat vagy a szervezet szintjén.

C. GitHub Advanced Security engedélyezése

A környezetek proaktív védelme érdekében fontos a DevOps biztonságának folyamatos monitorozása és megerősítése. A GitHub Advanced Security automatizálja a folyamaton belüli ellenőrzéseket, hogy feltárt titkos kulcsokat, függőségi sebezhetőségeket és egyebeket keressen. A GitHub további biztonsági funkciókat tesz elérhetővé az ügyfelek számára speciális biztonsági licenccel.

Alapértelmezés szerint a GitHub Advanced Security engedélyezve van a nyilvános adattárakhoz. A privát adattárakhoz a GitHub Advanced Security licencelését kell használnia. Ha engedélyezve van, elkezdheti használni a GitHub Advanced Security csomag számos funkcióját:

  • Kódvizsgálat
  • Függőségek vizsgálata
  • Titkos kódok vizsgálata
  • Hozzáférés-vezérlés
  • Biztonságirés-riasztások
  • Az auditnaplóban
  • Ágvédelmi szabályok
  • Lekéréses kérelmek véleményezése

Ezekkel a funkciókkal biztosíthatja, hogy a kód biztonságos és megfeleljen az iparági szabványoknak. Automatizált munkafolyamatokat is létrehozhat, amelyek segítenek gyorsan észlelni és kezelni a kód biztonsági problémáit. Emellett ágvédelmi szabályokkal megakadályozhatja a kódbázis jogosulatlan módosítását.

További információ: GitHub Advanced Security engedélyezése.

D. Kód- és titkos kódok vizsgálatának eredményeinek megtekintése

A Felhőhöz készült Defender-ban elérhető Defender for DevOps lehetővé teszi a biztonsági csapatok számára, hogy többfolyamatos környezetekben kezeljék a DevOps biztonságát. A DevOpshoz készült Defender egy központi konzollal teszi lehetővé a biztonságért felelős csapatok számára, hogy többfolyamatos környezetekben, például a GitHubon és az Azure DevOpsban is megvédhessék az alkalmazásokat és az erőforrásokat a kódtól a felhőig.

A Defender for DevOps a biztonsági megállapításokat széljegyzetekként teszi elérhetővé a lekéréses kérelmekben (PR). A biztonsági operátorok engedélyezhetik a pr-megjegyzések használatát a Felhőhöz készült Microsoft Defender. A feltárt problémákat a fejlesztők megoldhatják. Ez a folyamat megelőzheti és kijavíthatja a lehetséges biztonsági réseket és helytelen konfigurációkat, mielőtt belépnének az éles fázisba. Pr-megjegyzések konfigurálhatók az Azure DevOpsban. Ha Ön GitHub Advanced Security-ügyfél, lekérheti a GitHub pr-megjegyzéseit.

További információkért lásd:

Következő lépések

További információ a cikkben tárgyalt Azure-szolgáltatásokról:

További információ az AWS-ről és az Amazon-szolgáltatásokról és az ebben a cikkben tárgyalt erőforrásokról: