Punkt odniesienia zabezpieczeń platformy Azure dla Application Gateway

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do Application Gateway. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące Application Gateway.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrole nie mają zastosowania do Application Gateway lub za które ponosi odpowiedzialność firmy Microsoft, zostały wykluczone. Aby dowiedzieć się, jak Application Gateway całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Application Gateway.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: Upewnij się, że wszystkie wdrożenia podsieci Virtual Network Azure Application Gateway mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji. Chociaż sieciowe grupy zabezpieczeń są obsługiwane w Azure Application Gateway, istnieją pewne ograniczenia i wymagania, które należy spełnić, aby sieciowa grupa zabezpieczeń i Azure Application Gateway działały zgodnie z oczekiwaniami.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Network:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonego Azure Firewall Usługa Microsoft Defender for Cloud ustaliła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą Azure Firewall lub obsługiwanej zapory nowej generacji AuditIfNotExists, Disabled 3.0.0-preview
Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy Access Control list (ACL), które zezwalają na ruch sieciowy do podsieci lub zezwalają na nie. AuditIfNotExists, Disabled 3.0.0
Maszyny wirtualne powinny być połączone z zatwierdzoną siecią wirtualną Te zasady przeprowadzają inspekcję każdej maszyny wirtualnej połączonej z siecią wirtualną, która nie została zatwierdzona. Inspekcja, odmowa, wyłączone 1.0.0
Sieci wirtualne powinny używać określonej bramy sieci wirtualnej Te zasady przeprowadzają inspekcję dowolnej sieci wirtualnej, jeśli trasa domyślna nie wskazuje określonej bramy sieci wirtualnej. AuditIfNotExists, Disabled 1.0.0

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i interfejsów sieciowych

Wskazówki: W przypadku sieciowych grup zabezpieczeń skojarzonych z podsieciami Azure Application Gateway włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i użyć analizy ruchu, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania działań sieciowych i identyfikowania gorących punktów, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Uwaga: w niektórych przypadkach dzienniki przepływu sieciowej grupy zabezpieczeń skojarzone z podsieciami Azure Application Gateway nie będą pokazywać ruchu, który został dozwolony. Jeśli konfiguracja jest zgodna z następującym scenariuszem, w dziennikach przepływu sieciowej grupy zabezpieczeń nie będzie widoczny dozwolony ruch:

  • Wdrożono Application Gateway w wersji 2
  • W podsieci bramy aplikacji masz sieciową grupę zabezpieczeń
  • Włączono dzienniki przepływu sieciowej grupy zabezpieczeń dla tej sieciowej grupy zabezpieczeń

Aby uzyskać dodatkowe informacje, zapoznaj się z poniższymi odwołaniami.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Network:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Network Watcher należy włączyć Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieciowego na platformie Azure i z niej. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na końcu widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. AuditIfNotExists, Disabled 3.0.0

1.3: Ochrona krytycznych aplikacji internetowych

Wskazówki: wdrażanie usługi Azure Web Application Firewall (WAF) przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) to usługa (funkcja Azure Application Gateway), która zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach. Zapora aplikacji internetowych platformy Azure może pomóc w zabezpieczeniu Azure App Service aplikacji internetowych przez inspekcję przychodzącego ruchu internetowego w celu blokowania ataków, takich jak iniekcje SQL, wykonywanie skryptów między witrynami, przekazywanie złośliwego oprogramowania i ataki DDoS. Zapora aplikacji internetowej jest oparta na regułach z podstawowych zestawów reguł OWASP (Open Web Application Security Project) 3.1 (tylko WAF_v2), 3.0 i 2.2.9.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: włączanie ochrony przed atakami DDoS w warstwie Standardowa w sieciach wirtualnych platformy Azure skojarzonych z wystąpieniami produkcyjnymi Azure Application Gateway w celu ochrony przed atakami DDoS. Użyj usługi Microsoft Defender for Cloud Integrated Threat Intelligence, aby odmówić komunikacji ze znanymi złośliwymi adresami IP.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Network:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonego Azure Firewall Usługa Microsoft Defender for Cloud wykryła, że niektóre z Twoich podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą Azure Firewall lub obsługiwanej zapory nowej generacji AuditIfNotExists, Disabled 3.0.0—wersja zapoznawcza
Należy włączyć usługę Azure DDoS Protection w warstwie Standardowa Należy włączyć standard ochrony przed atakami DDoS dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. AuditIfNotExists, Disabled 3.0.0

1.5: Rejestrowanie pakietów sieciowych

Wskazówka: W przypadku sieciowych grup zabezpieczeń skojarzonych z podsieciami Azure Application Gateway włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i korzystać z analizy ruchu w celu zapewnienia wglądu w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów dynamicznych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Uwaga: w niektórych przypadkach dzienniki przepływu sieciowej grupy zabezpieczeń skojarzone z podsieciami Azure Application Gateway nie będą pokazywać ruchu, który został dozwolony. Jeśli konfiguracja jest zgodna z następującym scenariuszem, w dziennikach przepływu sieciowej grupy zabezpieczeń nie będzie widoczny dozwolony ruch:

  • Wdrożono Application Gateway w wersji 2
  • Sieciowa grupa zabezpieczeń jest w podsieci bramy aplikacji
  • Włączono dzienniki przepływu sieciowej grupy zabezpieczeń w tej sieciowej grupie zabezpieczeń

Aby uzyskać dodatkowe informacje, zapoznaj się z poniższymi odwołaniami.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Network:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
należy włączyć Network Watcher Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieciowego na platformie Azure, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów w widoku na poziomie sieci końcowej. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. AuditIfNotExists, Disabled 3.0.0

1.6: Wdrażanie opartych na sieci systemów wykrywania nieautoryzowanego dostępu/nieautoryzowanego dostępu (IDS/IPS)

Wskazówki: Wdrażanie usługi Azure Web Application Firewall (WAF) przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) to usługa (funkcja Azure Application Gateway), która zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach. Zapora aplikacji internetowej platformy Azure może pomóc w zabezpieczeniu Azure App Service aplikacji internetowych przez inspekcję przychodzącego ruchu internetowego w celu blokowania ataków, takich jak iniekcje SQL, wykonywanie skryptów między witrynami, przekazywanie złośliwego oprogramowania i ataki DDoS. Zapora aplikacji internetowej jest oparta na regułach z podstawowych zestawów reguł OWASP (Open Web Application Security Project) 3.1 (tylko WAF_v2), 3.0 i 2.2.9.

Alternatywnie istnieje wiele opcji platformy handlowej, takich jak zapora aplikacji internetowej Barracuda dla platformy Azure, która jest dostępna na Azure Marketplace, która obejmuje funkcje IDS/IPS.

Odpowiedzialność: Klient

1.7: Zarządzanie ruchem do aplikacji internetowych

Wskazówki: Wdrażanie Azure Application Gateway dla aplikacji internetowych z włączonym protokołem HTTPS/SSL dla zaufanych certyfikatów.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych związanych z regułami zabezpieczeń sieci

Wskazówka: Użyj tagów usługi Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. GatewayManager) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

W przypadku sieciowych grup zabezpieczeń skojarzonych z podsieciami Azure Application Gateway należy zezwolić na przychodzący ruch internetowy na portach TCP 65503-65534 dla jednostki SKU Application Gateway v1 oraz porty TCP 65200-65535 dla jednostki SKU v2 z podsiecią docelową jako dowolną i źródło jako tag usługi GatewayManager. Ten zakres portów jest wymagany do komunikacji infrastruktury platformy Azure. Porty są zabezpieczone (zablokowane) z użyciem certyfikatów Azure. Jednostki zewnętrzne, w tym klienci tych bram, nie mogą się komunikować z tymi punktami końcowymi.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla ustawień sieci związanych z wdrożeniami Azure Application Gateway. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Network", aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci bram aplikacja systemu Azure, sieci wirtualnych platformy Azure i sieciowych grup zabezpieczeń. Możesz również użyć wbudowanej definicji zasad.

Za pomocą usługi Azure Blueprints można również uprościć wdrożenia platformy Azure na dużą skalę, pakując kluczowe artefakty środowiska, takie jak szablony usługi Azure Resource Manager, kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) i zasady w jednej definicji strategii. Strategię można łatwo zastosować do nowych subskrypcji, środowisk i dostroić kontrolę i zarządzanie przy użyciu przechowywania wersji.

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówka: Użyj tagów dla sieciowych grup zabezpieczeń skojarzonych z podsiecią Azure Application Gateway oraz innych zasobów związanych z zabezpieczeniami sieci i przepływem ruchu. W przypadku poszczególnych reguł sieciowej grupy zabezpieczeń użyj pola "Opis", aby określić potrzebę biznesową i/lub czas trwania (itp.) dla wszystkich reguł, które zezwalają na ruch do/z sieci.

Użyj dowolnych wbudowanych definicji zasad platformy Azure związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone za pomocą tagów i powiadamiać o istniejących nieoznakowanych zasobach.

Możesz użyć Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na podstawie ich tagów.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówka: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany ustawień sieciowych i zasobów związanych z wdrożeniami Azure Application Gateway. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych ustawieniach sieci lub zasobach.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2. Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: W przypadku rejestrowania inspekcji płaszczyzny sterowania włącz ustawienia diagnostyczne dziennika aktywności platformy Azure i wyślij dzienniki do obszaru roboczego usługi Log Analytics, centrum zdarzeń platformy Azure lub konta usługi Azure Storage. Korzystając z danych dziennika aktywności platformy Azure, można określić "co, kto i kiedy" dla wszystkich operacji zapisu (PUT, POST, DELETE) wykonywanych na poziomie płaszczyzny sterowania dla Azure Application Gateway i powiązanych zasobów, takich jak sieciowe grupy zabezpieczeń(NSG), używane do ochrony podsieci Azure Application Gateway.

Oprócz dzienników aktywności można skonfigurować ustawienia diagnostyczne dla wdrożeń Azure Application Gateway. ustawienia diagnostyczne służą do konfigurowania eksportu strumieniowego dzienników i metryk platformy dla wybranego zasobu (konta magazynu, usługi Event Hubs i usługi Log Analytics).

Azure Application Gateway oferuje również wbudowaną integrację z usługą aplikacja systemu Azure Insights. Usługa Application Insights zbiera dane dzienników, wydajności i błędów. Usługa Application Insights automatycznie wykrywa anomalie wydajności i zawiera zaawansowane narzędzia analityczne, które ułatwiają diagnozowanie problemów i zrozumienie sposobu korzystania z aplikacji internetowych. Możesz włączyć eksport ciągły w celu wyeksportowania danych telemetrycznych z usługi Application Insights do scentralizowanej lokalizacji, aby przechowywać dane przez dłuższy niż standardowy okres przechowywania.

Odpowiedzialność: Klient

2.3. Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: W przypadku rejestrowania inspekcji płaszczyzny sterowania włącz ustawienia diagnostyczne dziennika aktywności platformy Azure i wyślij dzienniki do obszaru roboczego usługi Log Analytics, centrum zdarzeń platformy Azure lub konta usługi Azure Storage. Korzystając z danych dziennika aktywności platformy Azure, można określić "co, kto i kiedy" dla wszystkich operacji zapisu (PUT, POST, DELETE) wykonywanych na poziomie płaszczyzny sterowania dla Azure Application Gateway i powiązanych zasobów, takich jak sieciowe grupy zabezpieczeń(NSG), używane do ochrony podsieci Azure Application Gateway.

Oprócz dzienników aktywności można skonfigurować ustawienia diagnostyczne dla wdrożeń Azure Application Gateway. ustawienia diagnostyczne służą do konfigurowania eksportu strumieniowego dzienników i metryk platformy dla wybranego zasobu (konta magazynu, usługi Event Hubs i usługi Log Analytics).

Azure Application Gateway oferuje również wbudowaną integrację z usługą aplikacja systemu Azure Insights. Usługa Application Insights zbiera dane dzienników, wydajności i błędów. Usługa Application Insights automatycznie wykrywa anomalie wydajności i zawiera zaawansowane narzędzia analityczne, które ułatwiają diagnozowanie problemów i zrozumienie sposobu korzystania z aplikacji internetowych. Możesz włączyć eksport ciągły w celu wyeksportowania danych telemetrycznych z usługi Application Insights do scentralizowanej lokalizacji, aby przechowywać dane przez dłuższy niż standardowy okres przechowywania.

Odpowiedzialność: Klient

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: W usłudze Azure Monitor ustaw okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności organizacji. Użyj kont usługi Azure Storage na potrzeby długoterminowego/archiwizacji magazynu.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: Włączanie ustawień diagnostycznych dziennika aktywności platformy Azure oraz ustawień diagnostycznych dla Azure Application Gateway i wysyłanie dzienników do obszaru roboczego usługi Log Analytics. Wykonywanie zapytań w usłudze Log Analytics w celu wyszukiwania terminów, identyfikowania trendów, analizowania wzorców i udostępniania wielu innych szczegółowych informacji na podstawie zebranych danych.

Użyj usługi Azure Monitor for Networks, aby uzyskać kompleksowy widok kondycji i metryk dla wszystkich wdrożonych zasobów sieciowych, w tym bram aplikacja systemu Azure.

Opcjonalnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.7. Włączanie alertów dla nietypowych działań

Wskazówki: Wdrażanie jednostki SKU usługi Azure Web Application Firewall (WAF) w wersji 2 przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) to usługa (funkcja Azure Application Gateway), która zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach. Zapora aplikacji internetowych platformy Azure może pomóc w zabezpieczeniu Azure App Service aplikacji internetowych przez inspekcję przychodzącego ruchu internetowego w celu blokowania ataków, takich jak iniekcje SQL, wykonywanie skryptów między witrynami, przekazywanie złośliwego oprogramowania i ataki DDoS. Zapora aplikacji internetowej jest oparta na regułach z podstawowych zestawów reguł OWASP (Open Web Application Security Project) 3.1 (tylko WAF_v2), 3.0 i 2.2.9.

Włącz ustawienia diagnostyczne dziennika aktywności platformy Azure, a także ustawienia diagnostyczne zapory aplikacji internetowej platformy Azure i wyślij dzienniki do obszaru roboczego usługi Log Analytics. Wykonywanie zapytań w usłudze Log Analytics w celu wyszukiwania terminów, identyfikowania trendów, analizowania wzorców i udostępniania wielu innych szczegółowych informacji na podstawie zebranych danych. Alerty można tworzyć na podstawie zapytań obszaru roboczego usługi Log Analytics.

Użyj usługi Azure Monitor for Networks, aby uzyskać kompleksowy widok kondycji i metryk dla wszystkich wdrożonych zasobów sieciowych, w tym bram aplikacja systemu Azure. W konsoli usługi Azure Monitor for Networks można wyświetlać i tworzyć alerty dla Azure Application Gateway.

Odpowiedzialność: Klient

2.8: Scentralizowane rejestrowanie chroniące przed złośliwym oprogramowaniem

Wskazówki: Wdrażanie usługi Azure Web Application Firewall (WAF) w wersji 2 przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) to usługa (funkcja Azure Application Gateway), która zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach. Zapora aplikacji internetowych platformy Azure może pomóc w zabezpieczeniu Azure App Service aplikacji internetowych przez inspekcję przychodzącego ruchu internetowego w celu blokowania ataków, takich jak iniekcje SQL, wykonywanie skryptów między witrynami, przekazywanie złośliwego oprogramowania i ataki DDoS.

Skonfiguruj ustawienia diagnostyczne dla wdrożeń Azure Application Gateway. ustawienia diagnostyczne służą do konfigurowania eksportu strumieniowego dzienników i metryk platformy dla wybranego zasobu (konta magazynu, usługi Event Hubs i usługi Log Analytics).

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1. Utrzymywanie spisu kont administracyjnych

Wskazówki: usługa Azure Active Directory (Azure AD) ma wbudowane role, które muszą być jawnie przypisane i można wykonywać zapytania. Użyj modułu Azure AD PowerShell, aby wykonywać zapytania ad hoc w celu odnajdywania kont należących do grup administracyjnych.

Odpowiedzialność: Klient

3.2. Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: Kontrola dostępu płaszczyzny do Azure Application Gateway jest kontrolowana za pośrednictwem usługi Azure Active Directory (Azure AD). Azure AD nie ma pojęcia haseł domyślnych.

Odpowiedzialność: Klient

3.3. Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych. Użyj usługi Microsoft Defender for Cloud Identity and Access Management, aby monitorować liczbę kont administracyjnych.

Ponadto, aby ułatwić śledzenie dedykowanych kont administracyjnych, możesz użyć zaleceń usługi Microsoft Defender for Cloud lub wbudowanych zasad platformy Azure, takich jak:

  • Do subskrypcji powinno być przypisanych więcej niż jeden właściciel
  • Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
  • Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

Aby uzyskać dodatkowe informacje, zapoznaj się z poniższymi odwołaniami.

Odpowiedzialność: Klient

3.4: Używanie logowania jednokrotnego usługi Azure Active Directory (SSO)

Wskazówki: Użyj rejestracji aplikacji platformy Azure (jednostki usługi), aby pobrać token, który może służyć do interakcji z bramami aplikacja systemu Azure za pośrednictwem wywołań interfejsu API.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włączanie uwierzytelniania wieloskładnikowego usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.6: Używanie bezpiecznych, zarządzanych przez platformę Azure stacji roboczych na potrzeby zadań administracyjnych

Wskazówki: Użyj stacji roboczych z dostępem uprzywilejowanym z uwierzytelnianiem wieloskładnikowym skonfigurowanym do logowania się i konfigurowania zasobów platformy Azure.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: Użyj raportów zabezpieczeń usługi Azure Active Directory (Azure AD) na potrzeby generowania dzienników i alertów w przypadku wystąpienia podejrzanej lub niebezpiecznej aktywności w środowisku. Monitorowanie działań związanych z tożsamościami i dostępem za pomocą usługi Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówka: Użyj nazwanych lokalizacji dostępu warunkowego, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj przeglądów dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówka: Masz dostęp do źródeł dzienników logowań, inspekcji i zdarzeń ryzyka usługi Azure Active Directory (Azure AD), które umożliwiają integrację z dowolnym narzędziem SIEM/Monitoring.

Ten proces można usprawnić, tworząc ustawienia diagnostyczne dla kont użytkowników Azure AD i wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Log Analytics. Żądane alerty można skonfigurować w obszarze roboczym usługi Log Analytics.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówki: Korzystanie z usługi Azure Active Directory (Azure AD) Identity Protection i funkcji wykrywania ryzyka w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Możesz również pozyskiwać dane do usługi Microsoft Sentinel w celu dalszego badania.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu informacji poufnych

Wskazówki: użyj tagów, aby pomóc w śledzeniu zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2: Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: Implementowanie oddzielnych subskrypcji i/lub grup zarządzania na potrzeby programowania, testowania i produkcji. Upewnij się, że wszystkie wdrożenia podsieci Virtual Network Azure Application Gateway mają zastosowaną sieciową grupę zabezpieczeń z kontrolą dostępu do sieci specyficzną dla zaufanych portów i źródeł aplikacji. Chociaż sieciowe grupy zabezpieczeń są obsługiwane w Azure Application Gateway, istnieją pewne ograniczenia i wymagania, które muszą być spełnione, aby sieciowa grupa zabezpieczeń i Azure Application Gateway działały zgodnie z oczekiwaniami.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówka: Upewnij się, że wszystkie wdrożenia podsieci Virtual Network Azure Application Gateway mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji. Ogranicz ruch wychodzący tylko do zaufanych lokalizacji, aby pomóc w ograniczeniu zagrożenia eksfiltracją danych. Chociaż sieciowe grupy zabezpieczeń są obsługiwane w Azure Application Gateway, istnieją pewne ograniczenia i wymagania, które muszą być spełnione, aby sieciowa grupa zabezpieczeń i Azure Application Gateway działały zgodnie z oczekiwaniami.

Odpowiedzialność: Współużytkowane

4.4: Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Konfigurowanie kompleksowego szyfrowania przy użyciu protokołu TLS dla bram aplikacja systemu Azure.

Odpowiedzialność: Współużytkowane

4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach

Wskazówki: Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia kontrolowanie dostępu do płaszczyzny kontroli Azure Application Gateway (Azure Portal).

Odpowiedzialność: Klient

4.9: Rejestrowanie i zgłaszanie alertów dotyczących zmian krytycznych zasobów platformy Azure

Wskazówki: Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wystąpienia Azure Application Gateway produkcyjnych, a także innych krytycznych lub powiązanych zasobów.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1: Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: Obecnie niedostępne; ocena luk w zabezpieczeniach w usłudze Microsoft Defender for Cloud nie jest jeszcze dostępna dla Azure Application Gateway.

Podstawowa platforma zeskanowana i poprawiona przez firmę Microsoft. Przejrzyj mechanizmy kontroli zabezpieczeń dostępne dla Azure Application Gateway w celu zmniejszenia luk w zabezpieczeniach związanych z konfiguracją.

Odpowiedzialność: Klient

5.4. Porównanie skanowania luk w zabezpieczeniach back-to-back

Wskazówki: jeszcze niedostępne; ocena luk w zabezpieczeniach w usłudze Microsoft Defender for Cloud nie jest jeszcze dostępna dla Azure Application Gateway.

Podstawowa platforma zeskanowana i poprawiona przez firmę Microsoft. Przejrzyj mechanizmy kontroli zabezpieczeń dostępne dla Azure Application Gateway w celu zmniejszenia luk w zabezpieczeniach związanych z konfiguracją.

Odpowiedzialność: Klient

5.5: Użyj procesu oceny ryzyka, aby ustalić priorytety korygowania wykrytych luk w zabezpieczeniach

Wskazówki: jeszcze niedostępne; ocena luk w zabezpieczeniach w usłudze Microsoft Defender for Cloud nie jest jeszcze dostępna dla Azure Application Gateway.

Podstawowa platforma zeskanowana i poprawiona przez firmę Microsoft. Przejrzyj mechanizmy kontroli zabezpieczeń dostępne dla Azure Application Gateway w celu zmniejszenia luk w zabezpieczeniach związanych z konfiguracją.

Odpowiedzialność: Klient

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1: Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań o wszystkie zasoby (takie jak obliczenia, magazyn, sieć, porty i protokoły itp.) w ramach subskrypcji. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w ramach subskrypcji.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem Resource Graph, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.

Odpowiedzialność: Klient

6.2: Obsługa metadanych elementów zawartości

Wskazówka: Stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: Używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia zasobów platformy Azure. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Ponadto zasady platformy Azure umożliwiają wprowadzenie ograniczeń dotyczących typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Aby uzyskać dodatkowe informacje, zapoznaj się z poniższymi odwołaniami.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówka: Użyj Azure Policy, aby zastosować ograniczenia dotyczące typu zasobów, które można utworzyć w ramach subskrypcji.

Korzystanie z usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji lub odnajdywania ich zasobów. Upewnij się, że wszystkie zasoby platformy Azure obecne w środowisku są zatwierdzone.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówka: Użyj Azure Policy, aby zastosować ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Aby uzyskać dodatkowe informacje, zapoznaj się z poniższymi odwołaniami.

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: Konfigurowanie dostępu warunkowego platformy Azure w celu ograniczenia możliwości interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Wskazówki: Implementowanie oddzielnych subskrypcji i/lub grup zarządzania na potrzeby programowania, testowania i produkcji. Upewnij się, że wszystkie wdrożenia podsieci Virtual Network Azure Application Gateway mają zastosowaną sieciową grupę zabezpieczeń z kontrolą dostępu do sieci specyficzną dla zaufanych portów i źródeł aplikacji. Chociaż sieciowe grupy zabezpieczeń są obsługiwane w Azure Application Gateway, istnieją pewne ograniczenia i wymagania, które muszą być spełnione, aby sieciowa grupa zabezpieczeń i Azure Application Gateway działały zgodnie z oczekiwaniami.

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla ustawień sieci związanych z wdrożeniami Azure Application Gateway. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Network", aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci bram aplikacja systemu Azure, sieci wirtualnych platformy Azure i sieciowych grup zabezpieczeń. Możesz również użyć wbudowanej definicji zasad.

Odpowiedzialność: Klient

7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj zasad platformy Azure [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: Jeśli używasz niestandardowych definicji zasad platformy Azure, użyj usługi Azure DevOps lub Azure Repos, aby bezpiecznie przechowywać kod i zarządzać nim.

Odpowiedzialność: Klient

7.7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: Użyj wbudowanych definicji Azure Policy, a także aliasów Azure Policy w przestrzeni nazw "Microsoft.Network", aby utworzyć niestandardowe zasady do zgłaszania alertów, inspekcji i wymuszania konfiguracji systemu. Ponadto opracuj proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Użyj wbudowanych definicji Azure Policy, a także aliasów Azure Policy w przestrzeni nazw "Microsoft.Network", aby utworzyć niestandardowe zasady do zgłaszania alertów, inspekcji i wymuszania konfiguracji systemu. Użyj zasad platformy Azure [audit], [deny] i [deploy if not exist], aby automatycznie wymuszać konfiguracje dla zasobów platformy Azure.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: Użyj tożsamości zarządzanych, aby udostępnić Azure Application Gateway automatycznie zarządzaną tożsamość w usłudze Azure Active Directory (Azure AD). Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault, bez poświadczeń w kodzie.

Użyj usługi Azure Key Vault do bezpiecznego przechowywania certyfikatów. Usługa Azure Key Vault to zarządzany przez platformę magazyn wpisów tajnych, którego można użyć do ochrony wpisów tajnych, kluczy i certyfikatów SSL. Azure Application Gateway obsługuje integrację z Key Vault dla certyfikatów serwera dołączonych do odbiorników z obsługą protokołu HTTPS. Ta obsługa jest ograniczona do jednostki SKU Application Gateway w wersji 2.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: Użyj tożsamości zarządzanych, aby udostępnić Azure Application Gateway automatycznie zarządzaną tożsamość w usłudze Azure Active Directory (Azure AD). Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault, bez poświadczeń w kodzie.

Użyj usługi Azure Key Vault do bezpiecznego przechowywania certyfikatów. Usługa Azure Key Vault to zarządzany przez platformę magazyn wpisów tajnych, którego można użyć do ochrony wpisów tajnych, kluczy i certyfikatów SSL. Azure Application Gateway obsługuje integrację z Key Vault dla certyfikatów serwera dołączonych do odbiorników z obsługą protokołu HTTPS. Ta obsługa jest ograniczona do jednostki SKU Application Gateway w wersji 2.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówka: Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.1: Korzystanie z zarządzanego centralnie oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: Wdróż usługę Azure Web Application Firewall (WAF) w wersji 2 przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) to usługa (funkcja Azure Application Gateway), która zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach. Zapora aplikacji internetowej platformy Azure może pomóc w zabezpieczeniu Azure App Service aplikacji internetowych przez inspekcję przychodzącego ruchu internetowego w celu blokowania ataków, takich jak iniekcje SQL, wykonywanie skryptów między witrynami, przekazywanie złośliwego oprogramowania i ataki DDoS.

Skonfiguruj ustawienia diagnostyczne dla wdrożeń Azure Application Gateway. ustawienia diagnostyczne służą do konfigurowania eksportu strumieniowego dzienników i metryk platformy dla wybranego zasobu (konta magazynu, usługi Event Hubs i usługi Log Analytics).

Odpowiedzialność: Klient

8.3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Wskazówki: w przypadku korzystania z usługi Azure Web Application Firewall (WAF) można skonfigurować zasady zapory aplikacji internetowej. Zasady zapory aplikacji internetowej składają się z dwóch typów reguł zabezpieczeń: niestandardowych reguł utworzonych przez klienta oraz zarządzanych zestawów reguł, które są kolekcją wstępnie skonfigurowanych zestawów reguł zarządzanych przez platformę Azure. Zestawy reguł zarządzanych przez platformę Azure zapewniają łatwy sposób wdrażania ochrony przed typowym zestawem zagrożeń bezpieczeństwa. Ponieważ takie zestawy reguł są zarządzane przez platformę Azure, reguły są aktualizowane zgodnie z potrzebami w celu ochrony przed nowymi podpisami ataków.

Odpowiedzialność: Współużytkowane

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnienie regularnego automatycznego tworzenia kopii zapasowych

Wskazówki: Azure Application Gateway nie przechowuje danych klientów. Jeśli jednak używasz niestandardowych definicji zasad platformy Azure, użyj usługi Azure DevOps lub Azure Repos do bezpiecznego przechowywania kodu i zarządzania nim.

Usługa Azure DevOps Services wykorzystuje wiele funkcji usługi Azure Storage w celu zapewnienia dostępności danych w przypadku awarii sprzętowej, przerw w działaniu usługi lub awarii regionu. Ponadto zespół usługi Azure DevOps postępuje zgodnie z procedurami w celu ochrony danych przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

9.2: Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówka: Tworzenie kopii zapasowych certyfikatów zarządzanych przez klienta w usłudze Azure Key Vault.

Odpowiedzialność: Klient

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Testowanie przywracania kopii zapasowych certyfikatów zarządzanych przez klienta.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówka: Upewnij się, że usuwanie nietrwałe jest włączone dla usługi Azure Key Vault. Usuwanie nietrwałe umożliwia odzyskiwanie usuniętych magazynów kluczy i obiektów magazynu, takich jak klucze, wpisy tajne i certyfikaty.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1: Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziło do alertu.

Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, nieprodowe) i utwórz system nazewnictwa, aby wyraźnie identyfikować i kategoryzować zasoby platformy Azure.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że dostęp do danych klienta był uzyskiwany przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówka: Użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w przypadku alertów zabezpieczeń i zaleceń.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki