Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Advisor

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Azure Advisor. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure Advisor.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki , które nie mają zastosowania do usługi Azure Advisor, oraz te, dla których zalecane są wskazówki globalne, zostały wykluczone. Aby dowiedzieć się, jak usługa Azure Advisor całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Advisor.

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: usługa Azure Advisor używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Ustandaryzuj Azure AD, aby zarządzać tożsamościami i dostępem organizacji w programie:

  • Zasoby w chmurze firmy Microsoft, takie jak aplikacje Azure Portal, Azure Storage, Azure Virtual Machine (Linux i Windows), Azure Key Vault, PaaS i SaaS
  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub zasoby sieci firmowej

Upewnij się, że zabezpieczanie Azure AD jest wysokim priorytetem w praktyce zabezpieczeń w chmurze w organizacji. Azure AD zapewnia również wskaźnik bezpieczeństwa tożsamości, który ułatwia ocenę stanu zabezpieczeń tożsamości względem zaleceń dotyczących najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Należy pamiętać, że Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Azure Advisor używa usługi Azure Active Directory (Azure AD), aby zapewnić zarządzanie tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Obejmuje to tożsamości przedsiębiorstwa, takie jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy.

Użyj logowania jednokrotnego, aby zarządzać i zabezpieczać dostęp do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu, lepszego wglądu i większej kontroli.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: usługa Azure Advisor używa kont usługi Azure Active Directory (Azure AD) do zarządzania zasobami, regularnie przegląda konta użytkowników i przypisywania dostępu, aby upewnić się, że konta i ich dostęp są prawidłowe. Zaimplementuj przeglądy dostępu Azure AD, aby przejrzeć członkostwa w grupach, dostęp do aplikacji dla przedsiębiorstw i przypisania ról. Azure AD raportowanie może zapewnić dzienniki, aby ułatwić odnajdywanie nieaktualnych kont.

Ponadto użyj funkcji Privileged Identity Management Azure AD, aby utworzyć przepływ pracy przeglądu raportu dostępu w celu ułatwienia procesu przeglądu. Privileged Identity Management można również skonfigurować tak, aby otrzymywać alerty w przypadku utworzenia nadmiernej liczby kont administratorów oraz identyfikować konta administratora, które są nieaktualne lub nieprawidłowo skonfigurowane.

Należy pamiętać, że niektóre usługi platformy Azure obsługują użytkowników lokalnych i ról, które nie są zarządzane za pośrednictwem Azure AD. Klienci będą musieli oddzielnie zarządzać tymi użytkownikami.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówka: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla bezpieczeństwa poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług o kluczowym znaczeniu.

Do wykonywania zadań administracyjnych należy używać stacji roboczych użytkowników o wysokim poziomie bezpieczeństwa i/lub usługi Azure Bastion. Wybierz usługę Azure Active Directory (Azure AD), zaawansowaną ochronę przed zagrożeniami w usłudze Microsoft Defender (ATP), w tym Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych.

Centralne zarządzanie zabezpieczonymi stacjami roboczymi w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu, ograniczonego dostępu logicznego i sieciowego.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: usługa Azure Advisor jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Kontrola dostępu oparta na rolach platformy Azure umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról.

Przypisz role do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Istnieją wstępnie zdefiniowane wbudowane role dla niektórych zasobów, które można spisać lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal. Uprawnienia przypisane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez role. Uzupełnia to podejście just in time (JIT) usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) i należy je okresowo przeglądać.

Używaj wbudowanych ról do przydzielenia uprawnień i utwórz własną rolę tylko wtedy, gdy jest to wymagane.

Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) /azure/role-based-access-control/overview

Odpowiedzialność: Klient

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówki: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia czytelnika zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Dzienniki aktywności są automatycznie dostępne i zawierają wszystkie operacje zapisu (PUT, POST, DELETE) dla zasobów usługi Azure Advisor z wyjątkiem operacji odczytu (GET).

Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu modyfikowania zasobu przez użytkownika w organizacji.

Odpowiedzialność: Klient

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówki: Scentralizowane rejestrowanie magazynu i analizy w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.

Upewnij się, że integrujesz dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i przeprowadzania analiz oraz używania kont usługi Azure Storage na potrzeby długoterminowego i archiwizacji magazynu.

Ponadto włącz i dołącz dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy. Wiele organizacji decyduje się używać usługi Microsoft Sentinel na potrzeby "gorących" danych, które są często używane, a usługa Azure Storage dla "zimnych" danych używanych rzadziej.

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówki: Upewnij się, że wszystkie konta magazynu lub obszary robocze usługi Log Analytics używane do przechowywania dzienników usługi Azure Advisor mają ustawiony okres przechowywania dzienników zgodnie z przepisami dotyczącymi zgodności organizacji. W usłudze Azure Monitor można ustawić okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności organizacji. Używaj kont obszarów roboczych usługi Azure Storage, Data Lake lub Log Analytics na potrzeby długoterminowego i archiwalnego magazynu.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: usługa Azure Advisor nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Usługa Azure Advisor korzysta ze źródeł synchronizacji czasu firmy Microsoft i nie jest uwidoczniona dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: usługa Azure Advisor nie ujawnia podstawowej infrastruktury usług klientom, a klienci nie mogą korzystać z własnych rozwiązań do oceny luk w zabezpieczeniach w usłudze. Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w systemach bazowych, które obsługują usługę Azure Advisor.

Odpowiedzialność: Microsoft

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: usługa Azure Advisor nie ujawnia podstawowej infrastruktury usług klientom, a klienci nie mogą korzystać z własnych rozwiązań do oceny luk w zabezpieczeniach w usłudze. Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w systemach bazowych, które obsługują usługę Azure Advisor.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)

Wskazówki: usługa Azure Advisor nie uwidacznia żadnych maszyn wirtualnych ani kontenerów, co wymaga ochrony wykrywania i reagowania (EDR). Jednak podstawowa infrastruktura advisor jest obsługiwana przez firmę Microsoft, która obejmuje obsługę oprogramowania chroniącego przed złośliwym kodem oraz wykrywania punktów końcowych i obsługi odpowiedzi.

Odpowiedzialność: Microsoft

ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: Microsoft Antimalware dla usługi Azure Cloud Services to domyślna ochrona przed złośliwym kodem dla systemu Windows Virtual Machines. W przypadku systemu Linux Virtual Machines użyj rozwiązania chroniącego przed złośliwym kodem innej firmy.

Wykrywanie zagrożeń w usługach danych za pomocą usługi Microsoft Defender for Cloud umożliwia wykrywanie złośliwego oprogramowania przekazanego do kont usługi Azure Storage.

Odpowiedzialność: Microsoft

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Wskazówki: Microsoft Antimalware dla usługi Azure Cloud Services to domyślna ochrona przed złośliwym oprogramowaniem dla maszyn wirtualnych z systemem Windows. W przypadku maszyn wirtualnych z systemem Linux użyj rozwiązania chroniącego przed złośliwym kodem innej firmy. Ponadto możesz użyć funkcji wykrywania zagrożeń w usłudze Microsoft Defender for Cloud w celu wykrywania złośliwego oprogramowania przekazanego na konta usługi Azure Storage.

Podstawowa infrastruktura w usłudze Advisor jest obsługiwana przez firmę Microsoft, która obejmuje często aktualizowane oprogramowanie chroniące przed złośliwym kodem.

Odpowiedzialność: Microsoft

Następne kroki