Mapowanie kontrolek przykładowej strategii usług udostępnionych ISO 27001

W poniższym artykule szczegółowo opisano sposób mapowania przykładowej strategii usług Azure Blueprints ISO 27001 na kontrolki ISO 27001. Aby uzyskać więcej informacji na temat kontrolek, zobacz ISO 27001.

Następujące mapowania są do kontrolek ISO 27001:2013. Użyj nawigacji po prawej stronie, aby przejść bezpośrednio do określonego mapowania kontrolek. Wiele zamapowanych kontrolek jest implementowanych z Azure Policy inicjatywą. Aby przejrzeć pełną inicjatywę, otwórz pozycję Zasady w Azure Portal i wybierz stronę Definicje. Następnie znajdź i wybierz kontrolki Audit ISO 27001:2013 (Inspekcja w wersji zapoznawczej iso [ ] 27001:2013) i wd wdrażaj określone rozszerzenia maszyn wirtualnych, aby obsługiwać wbudowaną inicjatywę zasad wymagań inspekcji.

Ważne

Każda kontrolka poniżej jest skojarzona z co najmniej jedną Azure Policy definicją. Te zasady mogą ułatwić ocenę zgodności z kontrolą; Jednak często nie występuje dopasowanie "jeden do jednego" lub pełne dopasowanie między kontrolą a co najmniej jedną zasadą. W związku z tym zgodność w Azure Policy odnosi się tylko do samych zasad; Nie gwarantuje to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie Azure Policy przez żadne definicje. Dlatego zgodność w Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między kontrolkami Azure Policy definicjami dla tego przykładu strategii zgodności mogą zmieniać się z czasem. Aby wyświetlić historię zmian, zobacz GitHub Historia zatwierdzń.

A.6.1.2 Podział obowiązków

Posiadanie tylko jednego właściciela subskrypcji platformy Azure nie zezwala na nadmiarowość administracyjną. Z drugiej strony zbyt wielu właścicieli subskrypcji platformy Azure może zwiększyć ryzyko naruszenia zabezpieczeń za pośrednictwem naruszonego konta właściciela. Ta strategia pomaga zachować odpowiednią liczbę właścicieli subskrypcji platformy Azure, przypisując dwie Azure Policy, które przejmą inspekcję liczby właścicieli subskrypcji platformy Azure. Zarządzanie uprawnieniami właściciela subskrypcji może pomóc w zaimplementowaniu odpowiedniego podziału obowiązków.

  • W ramach subskrypcji należy wyznaczyć maksymalnie 3 właścicieli
  • Do subskrypcji powinien być przypisany więcej niż jeden właściciel

A.8.2.1 Klasyfikacja informacji

Usługa oceny luk SQL na platformie Azure może pomóc w odnajdywaniu poufnych danych przechowywanych w bazach danych i zawiera rekomendacje dotyczące klasyfikowania tych danych. Ta strategia przypisuje definicję Azure Policy inspekcji, czy luki w zabezpieczeniach zidentyfikowane podczas skanowania SQL oceny luk w zabezpieczeniach zostały skorygowane.

  • Należy skorygować luki w SQL w bazach danych

A.9.1.2 Dostęp do sieci i usług sieciowych

Kontrola dostępu oparta na rolach (RBAC) platformy Azure ułatwia zarządzanie osobami, które mają dostęp do zasobów platformy Azure. Ta strategia ułatwia kontrolowanie dostępu do zasobów platformy Azure przez przypisanie siedmiu Azure Policy zasobów. Te zasady umożliwiają inspekcję użycia typów zasobów i konfiguracji, które mogą umożliwić bardziej nieograniczony dostęp do zasobów. Zrozumienie zasobów naruszających te zasady może pomóc w podjęciu działań naprawczych w celu zapewnienia, że dostęp do zasobów platformy Azure jest ograniczony do autoryzowanych użytkowników.

  • Wyświetlanie wyników inspekcji z maszyn wirtualnych z systemem Linux, które mają konta bez haseł
  • Wyświetlanie wyników inspekcji z maszyn wirtualnych z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł
  • Storage konta powinny być migrowane do nowych Azure Resource Manager zasobów
  • Maszyny wirtualne powinny być migrowane do nowych Azure Resource Manager zasobów
  • Inspekcja maszyn wirtualnych, które nie korzystają z dysków zarządzanych

A.9.2.3 Zarządzanie prawami dostępu uprzywilejowanego

Ta strategia pomaga ograniczyć i kontrolować uprzywilejowane prawa dostępu, przypisując cztery definicje usługi Azure Policy w celu inspekcji kont zewnętrznych z uprawnieniami właściciela i/lub zapisu oraz kontami z uprawnieniami właściciela i/lub zapisu, które nie mają włączonego uwierzytelniania wieloskładnikowego. Kontrola dostępu oparta na rolach (RBAC) platformy Azure ułatwia zarządzanie osobami, które mają dostęp do zasobów platformy Azure. Ta strategia przypisuje również trzy definicje Azure Policy inspekcji użycia uwierzytelniania Azure Active Directory dla serwerów SQL i Service Fabric. Uwierzytelnianie Azure Active Directory upraszcza zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft. Ta strategia przypisuje również definicję Azure Policy do inspekcji użycia niestandardowych reguł RBAC platformy Azure. Zrozumienie, gdzie są implementowanie niestandardowych reguł RBAC platformy Azure, może pomóc zweryfikować potrzebę i właściwą implementację, ponieważ niestandardowe reguły RBAC platformy Azure są podatne na błędy.

  • Uwierzytelniania wieloskładnikowego należy włączyć na kontach z uprawnieniami właściciela w subskrypcji
  • Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji
  • Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
  • Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji
  • Administrator Azure Active Directory powinien być aprowizowany dla SQL serwerów
  • Service Fabric klastry powinny używać tylko Azure Active Directory do uwierzytelniania klienta
  • Inspekcja użycia niestandardowych reguł RBAC

A.9.2.4 Zarządzanie tajnymi informacjami uwierzytelniania użytkowników

Ta strategia przypisuje trzy Azure Policy do kont inspekcji, które nie mają włączonego uwierzytelniania wieloskładnikowego. Uwierzytelnianie wieloskładnikowe pomaga zapewnić bezpieczeństwo kont nawet w przypadku naruszenia zabezpieczeń jednego elementu informacji uwierzytelniania. Monitorując konta bez włączonego uwierzytelniania wieloskładnikowego, można zidentyfikować konta, których bezpieczeństwo może być bardziej prawdopodobne. Ta strategia przypisuje również dwie definicje Azure Policy, które przejmują uprawnienia do pliku haseł maszyn wirtualnych z systemem Linux w celu alertu, jeśli są ustawione niepoprawnie. Ta konfiguracja umożliwia podjęcia działań naprawczych w celu zapewnienia, że wystawcy uwierzytelnień nie będą złamani.

  • Uwierzytelniania wieloskładnikowego należy włączyć na kontach z uprawnieniami właściciela w subskrypcji
  • Uwierzytelniania wieloskładnikowego należy włączyć na kontach z uprawnieniami do odczytu w subskrypcji
  • Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji
  • Wyświetlanie wyników inspekcji z maszyn wirtualnych z systemem Linux, które nie mają uprawnień do pliku passwd ustawionych na wartość 0644

A.9.2.5 Przegląd praw dostępu użytkowników

Kontrola dostępu oparta na rolach (RBAC) platformy Azure ułatwia zarządzanie osobami, które mają dostęp do zasobów na platformie Azure. Korzystając z Azure Portal, możesz sprawdzić, kto ma dostęp do zasobów platformy Azure i ich uprawnienia. Ta strategia przypisuje cztery definicje Azure Policy do kont inspekcji, które powinny mieć priorytet do przeglądu, w tym zdemortyzowane konta i konta zewnętrzne z podwyższonym poziomem uprawnień.

  • Przestarzałe konta powinny zostać usunięte z subskrypcji
  • Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
  • Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
  • Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji

A.9.2.6 Usunięcie lub dostosowanie praw dostępu

Kontrola dostępu oparta na rolach (RBAC) platformy Azure ułatwia zarządzanie osobami, które mają dostęp do zasobów na platformie Azure. Za Azure Active Directory rbac platformy Azure można zaktualizować role użytkowników w celu odzwierciedlenia zmian w organizacji. W razie potrzeby konta mogą być blokowane (lub usuwane), co powoduje natychmiastowe usunięcie praw dostępu do zasobów platformy Azure. Ta strategia przypisuje dwie definicje Azure Policy inspekcji zdemortyzowanych kont, które należy rozważyć do usunięcia.

  • Przestarzałe konta powinny zostać usunięte z subskrypcji
  • Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

A.9.4.2 Procedury bezpiecznego logowania

Ta strategia przypisuje trzy definicje Azure Policy inspekcji kont, które nie mają włączonego uwierzytelniania wieloskładnikowego. Usługa Azure AD Multi-Factor Authentication zapewnia dodatkowe zabezpieczenia przez wymaganie drugiej formy uwierzytelniania i zapewnia silne uwierzytelnianie. Monitorując konta bez włączonego uwierzytelniania wieloskładnikowego, można zidentyfikować konta, których bezpieczeństwo może być bardziej prawdopodobne.

  • Uwierzytelniania wieloskładnikowego należy włączyć na kontach z uprawnieniami właściciela w subskrypcji
  • Uwierzytelniania wieloskładnikowego należy włączyć na kontach z uprawnieniami do odczytu w subskrypcji
  • Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji

A.9.4.3 System zarządzania hasłami

Ta strategia ułatwia wymuszanie silnych haseł przez przypisanie 10 definicji Azure Policy, które Windows inspekcji maszyn wirtualnych, które nie wymuszają minimalnej siły i innych wymagań dotyczących haseł. Świadomość, że maszyny wirtualne narusza zasady siły hasła, pomaga w podjęciu działań naprawczych w celu zapewnienia, że hasła dla wszystkich kont użytkowników maszyn wirtualnych są zgodne z zasadami.

  • Pokazywanie wyników inspekcji Windows maszyn wirtualnych, które nie mają włączonego ustawienia złożoności hasła
  • Pokazywanie wyników inspekcji Windows maszyn wirtualnych, które nie mają maksymalnego wieku hasła 70 dni
  • Pokazywanie wyników inspekcji Windows maszyn wirtualnych, które nie mają minimalnego wieku hasła 1 dnia
  • Pokazywanie wyników inspekcji Windows wirtualnych, które nie ograniczają minimalnej długości hasła do 14 znaków
  • Wyświetlanie wyników inspekcji Windows wirtualnych, które umożliwiają ponowne użycie 24 poprzednich haseł

A.10.1.1 Zasady dotyczące używania kontrolek kryptograficznych

Ta strategia ułatwia wymuszanie zasad dotyczących używania kontrolek kryptograficznych przez przypisanie 13 Azure Policy definicji, które wymuszają określone kontrolki kryptograficzne i inspekcję użycia słabych ustawień kryptograficznych. Zrozumienie, gdzie zasoby platformy Azure mogą mieć nie optymalne konfiguracje kryptograficzne, może pomóc w podjęciu działań naprawczych w celu zapewnienia, że zasoby są skonfigurowane zgodnie z zasadami zabezpieczeń informacji. W szczególności zasady przypisane przez tę strategia wymagają szyfrowania dla kont usługi Blob Storage i kont usługi Data Lake Storage. wymagać przezroczystego szyfrowania danych SQL baz danych; inspekcja braku szyfrowania na kontach magazynu, SQL danych, dyskach maszyny wirtualnej i zmiennych konta automatyzacji; inspekcja niezabezpieczonych połączeń z kontami magazynu, aplikacjami funkcji, aplikacją internetową, API Apps i Redis Cache; inspekcja słabego szyfrowania haseł maszyny wirtualnej; i inspekcji niezaszyfrowanej Service Fabric komunikacji.

  • Aplikacja funkcji powinna być dostępna tylko za pośrednictwem protokołu HTTPS
  • Aplikacja internetowa powinna być dostępna tylko za pośrednictwem protokołu HTTPS
  • Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS
  • Pokazywanie wyników inspekcji Windows wirtualnych, które nie przechowują haseł przy użyciu szyfrowania odwracalnego
  • Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych
  • Zmienne konta usługi Automation powinny być szyfrowane
  • Należy włączyć tylko bezpieczne Azure Cache for Redis połączenia z siecią
  • Należy włączyć bezpieczny transfer na konta magazynu
  • Service Fabric klastry powinny mieć właściwość ClusterProtectionLevel ustawioną na EncryptAndSign
  • Transparent Data Encryption na SQL należy włączyć bazy danych

Rejestrowanie zdarzeń A.12.4.1

Ta strategia pomaga zapewnić rejestrowanie zdarzeń systemowych przez przypisanie siedmiu definicji Azure Policy, które przejdą do ustawień dziennika inspekcji zasobów platformy Azure. Dzienniki diagnostyczne zapewniają wgląd w operacje, które zostały wykonane w ramach zasobów platformy Azure.

  • Inspekcja wdrożenia agenta zależności — obraz maszyny wirtualnej (OS) nie ma na liście
  • Inspekcja wdrożenia agenta zależności w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
  • [Wersja zapoznawcza]: Inspekcja wdrożenia agenta usługi Log Analytics — obraz maszyny wirtualnej (OS) nie ma na liście
  • Inspekcja wdrożenia agenta usługi Log Analytics w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
  • Przeprowadzanie inspekcji ustawienia diagnostyki
  • Inspekcja na SQL powinna być włączona

A.12.4.3 Dzienniki administratora i operatora

Ta strategia pomaga zapewnić rejestrowanie zdarzeń systemowych przez przypisanie siedmiu Azure Policy, które przejdą do ustawień dziennika inspekcji zasobów platformy Azure. Dzienniki diagnostyczne zapewniają wgląd w operacje, które zostały wykonane w ramach zasobów platformy Azure.

  • Inspekcja wdrożenia agenta zależności — obraz maszyny wirtualnej (OS) nie ma na liście
  • Inspekcja wdrożenia agenta zależności w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
  • [Wersja zapoznawcza]: Inspekcja wdrożenia agenta usługi Log Analytics — obraz maszyny wirtualnej (OS) nie ma na liście
  • Inspekcja wdrożenia agenta usługi Log Analytics w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
  • Przeprowadzanie inspekcji ustawienia diagnostyki
  • Inspekcja na SQL powinna być włączona

Synchronizacja zegara A.12.4.4

Ta strategia pomaga zapewnić rejestrowanie zdarzeń systemowych przez przypisanie siedmiu Azure Policy, które przejdą do ustawień dziennika inspekcji zasobów platformy Azure. Dzienniki platformy Azure korzystają z zsynchronizowanych zegarów wewnętrznych w celu utworzenia rekordu zdarzeń skorelowanych w czasie między zasobami.

  • Inspekcja wdrożenia agenta zależności — obraz maszyny wirtualnej (OS) nie ma na liście
  • Inspekcja wdrożenia agenta zależności w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
  • [Wersja zapoznawcza]: Inspekcja wdrożenia agenta usługi Log Analytics — obraz maszyny wirtualnej (OS) nie ma na liście
  • Inspekcja wdrożenia agenta usługi Log Analytics w zestawach skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
  • Przeprowadzanie inspekcji ustawienia diagnostyki
  • Inspekcja na SQL powinna być włączona

A.12.5.1 Instalacja oprogramowania w systemach operacyjnych

Adaptacyjna kontrola aplikacji to rozwiązanie Azure Security Center które pomaga kontrolować, które aplikacje mogą być uruchamiane na twoich maszyn wirtualnych znajdujących się na platformie Azure. Ta strategia przypisuje Azure Policy, która monitoruje zmiany w zestawie dozwolonych aplikacji. Ta funkcja ułatwia kontrolowanie instalacji oprogramowania i aplikacji na maszyn wirtualnych platformy Azure.

  • Na maszynach należy włączyć funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji

A.12.6.1 Zarządzanie lukami w zabezpieczeniach technicznych

Ta strategia ułatwia zarządzanie lukami w zabezpieczeniach systemu informacji przez przypisanie pięciu definicji systemu Azure Policy, które monitorują brakujące aktualizacje systemu, luki w zabezpieczeniach systemu operacyjnego, luki w zabezpieczeniach systemu SQL i luki w zabezpieczeniach maszyn wirtualnych w Azure Security Center. Azure Security Center udostępnia funkcje raportowania, które umożliwiają wgląd w stan zabezpieczeń wdrożonych zasobów platformy Azure w czasie rzeczywistym.

  • Monitorowanie brakujących Endpoint Protection w Azure Security Center
  • Należy zainstalować aktualizacje systemu na maszynach
  • Należy skorygować luki w zabezpieczeniach konfiguracji zabezpieczeń na maszynach
  • Należy skorygować luki w zabezpieczeniach SQL baz danych
  • Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach

A.12.6.2 Ograniczenia instalacji oprogramowania

Adaptacyjna kontrola aplikacji to rozwiązanie Azure Security Center które pomaga kontrolować, które aplikacje mogą być uruchamiane na twoich maszyn wirtualnych znajdujących się na platformie Azure. Ta strategia przypisuje Azure Policy, która monitoruje zmiany w zestawie dozwolonych aplikacji. Ograniczenia dotyczące instalacji oprogramowania mogą pomóc w ograniczeniu prawdopodobieństwa wprowadzenia luk w zabezpieczeniach oprogramowania.

  • Na maszynach należy włączyć funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji

A.13.1.1 Kontrolki sieciowe

Ta strategia ułatwia zarządzanie sieciami i kontrolowanie ich przez przypisanie Azure Policy, która monitoruje sieciowe grupy zabezpieczeń przy użyciu reguł istycznych. Reguły, które są zbyt permisywne, mogą zezwalać na niezamierzony dostęp do sieci i powinny być przeglądane. Ta strategia przypisuje również trzy definicje Azure Policy, które monitorują niechronione punkty końcowe, aplikacje i konta magazynu. Punkty końcowe i aplikacje, które nie są chronione przez zaporę, oraz konta magazynu z nieograniczonym dostępem mogą umożliwić niezamierzony dostęp do informacji zawartych w systemie informacyjnym.

  • Dostęp za pośrednictwem punktu końcowego dostępnego z Internetu powinien być ograniczony
  • Storage powinny ograniczać dostęp do sieci

A.13.2.1 Zasady i procedury transferu informacji

Strategia pomaga zapewnić bezpieczeństwo transferu informacji za pomocą usług platformy Azure, przypisując dwie definicje Azure Policy do inspekcji niezabezpieczonych połączeń z kontami magazynu i Azure Cache for Redis.

  • Należy włączyć tylko bezpieczne Azure Cache for Redis połączenia z siecią
  • Należy włączyć bezpieczny transfer na konta magazynu

Następne kroki

Teraz, po przejrzenia mapowania kontrolek strategii usług udostępnionych ISO 27001, zapoznaj się z następującymi artykułami, aby dowiedzieć się więcej na temat architektury i sposobu wdrażania tego przykładu:

Dodatkowe artykuły na temat strategii i sposobu ich używania: