Punkt odniesienia zabezpieczeń platformy Azure dla Azure Cache for Redis

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do Azure Cache for Redis. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące Azure Cache for Redis.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrole nie mają zastosowania do Azure Cache for Redis lub za które ponosi odpowiedzialność firma Microsoft, zostały wykluczone. Aby zobaczyć, jak Azure Cache for Redis całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure Cache for Redis.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1: Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: wdrażanie wystąpienia Azure Cache for Redis w sieci wirtualnej. Sieć wirtualna to sieć prywatna w chmurze. Po skonfigurowaniu wystąpienia Azure Cache for Redis z siecią wirtualną nie jest on publicznie adresowany i można uzyskać do niego dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej.

Możesz również określić reguły zapory z zakresem początkowych i końcowych adresów IP. Po skonfigurowaniu reguł zapory tylko połączenia klientów z określonych zakresów adresów IP mogą łączyć się z pamięcią podręczną.

Odpowiedzialność: Klient

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i interfejsów sieciowych

Wskazówka: Po wdrożeniu Virtual Machines w tej samej sieci wirtualnej co wystąpienie Azure Cache for Redis można użyć sieciowych grup zabezpieczeń w celu zmniejszenia ryzyka eksfiltracji danych. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta usługi Azure Storage na potrzeby inspekcji ruchu. Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i używać analizy ruchu w celu zapewnienia wglądu w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów dynamicznych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.3: Ochrona krytycznych aplikacji internetowych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla aplikacji internetowych działających na Azure App Service lub w zasobach obliczeniowych.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: Wdrożenie usługi Azure Virtual Network (VNet) zapewnia zwiększone zabezpieczenia i izolację dla Azure Cache for Redis, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Po wdrożeniu w sieci wirtualnej Azure Cache for Redis nie jest publicznie adresowana i może być dostępna tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej.

Włącz usługę DDoS Protection w warstwie Standardowa w sieciach wirtualnych skojarzonych z wystąpieniami Azure Cache for Redis w celu ochrony przed rozproszonymi atakami typu "odmowa usługi" (DDoS). Użyj zintegrowanej analizy zagrożeń w usłudze Microsoft Defender for Cloud, aby uniemożliwić komunikację ze znanymi złośliwymi lub nieużywanymi internetowymi adresami IP.

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówka: Gdy maszyny wirtualne są wdrażane w tej samej sieci wirtualnej co wystąpienie Azure Cache for Redis, można użyć sieciowych grup zabezpieczeń w celu zmniejszenia ryzyka eksfiltracji danych. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta usługi Azure Storage na potrzeby inspekcji ruchu. Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i używać analizy ruchu w celu zapewnienia wglądu w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów dynamicznych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania nieautoryzowanego dostępu/nieautoryzowanego dostępu (IDS/IPS)

Wskazówka: W przypadku korzystania z Azure Cache for Redis z aplikacjami internetowymi działającymi na Azure App Service lub wystąpieniach obliczeniowych należy wdrożyć wszystkie zasoby w sieci Web w usłudze Azure Virtual Network (VNet) i zabezpieczyć je za pomocą usługi Azure Web Application Firewall (WAF) w sieci Web Application Gateway. Skonfiguruj zaporę aplikacji internetowej do uruchamiania w trybie zapobiegania. Tryb zapobiegania blokuje włamania i ataki wykrywane przez reguły. Osoba atakująca otrzymuje wyjątek "403 brak autoryzacji dostępu" i połączenie jest zamknięte. Tryb zapobiegania rejestruje takie ataki w dziennikach zapory aplikacji internetowej.

Alternatywnie możesz wybrać ofertę z Azure Marketplace, która obsługuje funkcje IDS/IPS z inspekcją ładunku i/lub możliwościami wykrywania anomalii.

Odpowiedzialność: Klient

1.7: Zarządzanie ruchem do aplikacji internetowych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla aplikacji internetowych działających na Azure App Service lub w zasobach obliczeniowych.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych związanych z regułami zabezpieczeń sieci

Wskazówka: Użyj tagów usługi sieci wirtualnej, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. ApiManagement) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Możesz również użyć grup zabezpieczeń aplikacji (ASG), aby uprościć złożoną konfigurację zabezpieczeń. Grupy zabezpieczeń aplikacji umożliwiają skonfigurowanie zabezpieczeń sieci jako naturalnego rozszerzenia struktury aplikacji, co umożliwia grupowanie maszyn wirtualnych i definiowanie zasad zabezpieczeń sieci na podstawie tych grup.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówka: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych związanych z wystąpieniami Azure Cache for Redis za pomocą Azure Policy. Użyj aliasów Azure Policy w przestrzeniach nazw "Microsoft.Cache" i "Microsoft.Network", aby utworzyć niestandardowe zasady inspekcji lub wymuszania konfiguracji sieci wystąpień Azure Cache for Redis. Możesz również używać wbudowanych definicji zasad, takich jak:

  • Należy włączyć tylko bezpieczne połączenia z usługą Redis Cache

  • Należy włączyć usługę DDoS Protection w warstwie Standardowa

Za pomocą usługi Azure Blueprints można również uprościć wdrożenia platformy Azure na dużą skalę, pakując kluczowe artefakty środowiska, takie jak szablony usługi Azure Resource Manager (ARM), kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) i zasady, w jednej definicji strategii. Łatwe stosowanie strategii do nowych subskrypcji i środowisk oraz dostosowywanie kontroli i zarządzania przez przechowywanie wersji.

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówka: Użyj tagów dla zasobów sieciowych skojarzonych z wdrożeniem Azure Cache for Redis, aby logicznie zorganizować je w taksonomię.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówka: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany zasobów sieciowych związanych z wystąpieniami Azure Cache for Redis. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach sieciowych.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2: Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: Włączanie ustawień diagnostycznych dziennika aktywności platformy Azure i wysyłanie dzienników do obszaru roboczego usługi Log Analytics, centrum zdarzeń platformy Azure lub konta usługi Azure Storage na potrzeby archiwizacji. Dzienniki aktywności zapewniają wgląd w operacje, które zostały wykonane na wystąpieniach Azure Cache for Redis na poziomie płaszczyzny sterowania. Przy użyciu danych dziennika aktywności platformy Azure można określić "co, kto i kiedy" dla wszystkich operacji zapisu (PUT, POST, DELETE) wykonywanych na poziomie płaszczyzny sterowania dla wystąpień Azure Cache for Redis.

Odpowiedzialność: Klient

2.3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: Włączanie ustawień diagnostycznych dziennika aktywności platformy Azure i wysyłanie dzienników do obszaru roboczego usługi Log Analytics, centrum zdarzeń platformy Azure lub konta usługi Azure Storage na potrzeby archiwizacji. Dzienniki aktywności zapewniają wgląd w operacje, które zostały wykonane na wystąpieniach Azure Cache for Redis na poziomie płaszczyzny sterowania. Przy użyciu danych dziennika aktywności platformy Azure można określić "co, kto i kiedy" dla wszystkich operacji zapisu (PUT, POST, DELETE) wykonywanych na poziomie płaszczyzny sterowania dla wystąpień Azure Cache for Redis.

Chociaż metryki są dostępne przez włączenie ustawień diagnostycznych, rejestrowanie inspekcji na płaszczyźnie danych nie jest jeszcze dostępne dla Azure Cache for Redis.

Odpowiedzialność: Klient

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: W usłudze Azure Monitor ustaw okres przechowywania dzienników dla obszarów roboczych usługi Log Analytics skojarzonych z wystąpieniami Azure Cache for Redis zgodnie z przepisami dotyczącymi zgodności w organizacji.

Należy pamiętać, że rejestrowanie inspekcji na płaszczyźnie danych nie jest jeszcze dostępne dla Azure Cache for Redis.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: włączanie ustawień diagnostycznych dziennika aktywności platformy Azure i wysyłanie dzienników do obszaru roboczego usługi Log Analytics. Wykonywanie zapytań w usłudze Log Analytics w celu wyszukiwania terminów, identyfikowania trendów, analizowania wzorców i udostępniania wielu innych szczegółowych informacji na podstawie danych dziennika aktywności, które mogły zostać zebrane dla Azure Cache for Redis.

Należy pamiętać, że rejestrowanie inspekcji na płaszczyźnie danych nie jest jeszcze dostępne dla Azure Cache for Redis.

Odpowiedzialność: Klient

2.7: Włączanie alertów dotyczących nietypowych działań

Wskazówka: możesz skonfigurować odbieranie alertów na podstawie metryk i dzienników aktywności związanych z wystąpieniami Azure Cache for Redis. Usługa Azure Monitor umożliwia skonfigurowanie alertu w celu wysyłania powiadomień e-mail, wywoływania elementu webhook lub wywoływania aplikacji logiki platformy Azure.

Chociaż metryki są dostępne przez włączenie ustawień diagnostycznych, rejestrowanie inspekcji na płaszczyźnie danych nie jest jeszcze dostępne dla Azure Cache for Redis.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1: Utrzymywanie spisu kont administracyjnych

Wskazówki: Usługa Azure Active Directory (Azure AD) ma wbudowane role, które muszą być jawnie przypisane i można wykonywać zapytania. Użyj modułu Azure AD programu PowerShell, aby wykonywać zapytania ad hoc w celu odnajdywania kont, które są członkami grup administracyjnych.

Odpowiedzialność: Klient

3.2: Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: Dostęp płaszczyzny sterowania do Azure Cache for Redis jest kontrolowany za pośrednictwem usługi Azure Active Directory (Azure AD). Azure AD nie ma pojęcia haseł domyślnych.

Dostęp do płaszczyzny danych do Azure Cache for Redis jest kontrolowany za pomocą kluczy dostępu. Te klucze są używane przez klientów łączących się z pamięcią podręczną i mogą być ponownie generowane w dowolnym momencie.

Nie zaleca się kompilowanie domyślnych haseł w aplikacji. Zamiast tego możesz przechowywać hasła w usłudze Azure Key Vault, a następnie pobierać je przy użyciu Azure AD.

Odpowiedzialność: Współużytkowane

3.3: Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych. Użyj usługi Microsoft Defender for Cloud Identity and Access Management, aby monitorować liczbę kont administracyjnych.

Ponadto, aby ułatwić śledzenie dedykowanych kont administracyjnych, możesz użyć zaleceń usługi Microsoft Defender for Cloud lub wbudowanych zasad platformy Azure, takich jak:

  • Do twojej subskrypcji powinno być przypisanych więcej niż jeden właściciel

  • Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

  • Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

3.4: Korzystanie z logowania jednokrotnego (SSO) usługi Azure Active Directory

Wskazówka: Azure Cache for Redis używa kluczy dostępu do uwierzytelniania użytkowników i nie obsługuje logowania jednokrotnego na poziomie płaszczyzny danych. Dostęp do płaszczyzny sterowania dla Azure Cache for Redis jest dostępny za pośrednictwem interfejsu API REST i obsługuje logowanie jednokrotne. Aby przeprowadzić uwierzytelnianie, ustaw nagłówek autoryzacji dla żądań na token internetowy JSON uzyskany z usługi Azure Active Directory (Azure AD).

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włącz uwierzytelnianie wieloskładnikowe usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.6: Użyj dedykowanych maszyn (stacji roboczych z dostępem uprzywilejowanym) do wszystkich zadań administracyjnych

Wskazówki: Używanie stacji roboczych z dostępem uprzywilejowanym (PAW) z uwierzytelnianiem wieloskładnikowym skonfigurowanym do logowania się i konfigurowania zasobów platformy Azure.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) do generowania dzienników i alertów, gdy w środowisku wystąpi podejrzane lub niebezpieczne działanie.

Ponadto użyj Azure AD wykrywania ryzyka, aby wyświetlić alerty i raporty dotyczące ryzykownych zachowań użytkowników.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Skonfiguruj nazwane lokalizacje w usłudze Azure Active Directory (Azure AD) Dostęp warunkowy, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

Azure AD uwierzytelniania nie można użyć do bezpośredniego dostępu do płaszczyzny danych Azure Cache for Redis, jednak Azure AD poświadczenia mogą być używane do administrowania na poziomie płaszczyzny sterowania (tj. Azure Portal) do kontrolowania Azure Cache for Redis kluczy dostępu.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: usługa Azure Active Directory (Azure AD) udostępnia dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj przeglądów dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówki: Masz dostęp do aktywności logowania usługi Azure Active Directory (Azure AD), inspekcji i źródeł dzienników zdarzeń ryzyka, które umożliwiają integrację z usługą Microsoft Sentinel lub rozwiązaniem SIEM innej firmy.

Ten proces można usprawnić, tworząc ustawienia diagnostyczne dla kont użytkowników Azure AD i wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Log Analytics. W usłudze Log Analytics można skonfigurować żądane alerty dziennika.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówka: W przypadku odchylenia zachowania logowania konta na płaszczyźnie sterowania użyj funkcji ochrony tożsamości usługi Azure Active Directory (Azure AD) i wykrywania ryzyka w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Możesz również pozyskiwać dane do usługi Microsoft Sentinel w celu dalszego badania.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu informacji poufnych

Wskazówki: używanie tagów do śledzenia zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2: Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: Implementowanie oddzielnych subskrypcji i/lub grup zarządzania na potrzeby programowania, testowania i produkcji. Azure Cache for Redis wystąpienia powinny być rozdzielone przez sieć wirtualną/podsieć i odpowiednio oznakowane. Opcjonalnie użyj zapory Azure Cache for Redis, aby zdefiniować reguły, aby tylko połączenia klientów z określonych zakresów adresów IP mogły łączyć się z pamięcią podręczną.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: jeszcze niedostępne; funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla Azure Cache for Redis.

Firma Microsoft zarządza podstawową infrastrukturą dla Azure Cache for Redis i wdrożyła ścisłe mechanizmy kontroli, aby zapobiec utracie lub narażeniu danych klientów.

Odpowiedzialność: Współużytkowane

4.4: Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Azure Cache for Redis domyślnie wymaga komunikacji zaszyfrowanej przy użyciu protokołu TLS. Obecnie obsługiwane są protokoły TLS w wersji 1.0, 1.1 i 1.2. Jednak protokoły TLS 1.0 i 1.1 znajdują się na ścieżce do wycofania całej branży, dlatego należy używać protokołu TLS 1.2, jeśli jest to możliwe. Jeśli biblioteka lub narzędzie klienta nie obsługuje protokołu TLS, można włączyć niezaszyfrowane połączenia za pośrednictwem interfejsów API Azure Portal lub zarządzania. W takich przypadkach, gdy szyfrowane połączenia nie są możliwe, zaleca się umieszczenie pamięci podręcznej i aplikacji klienckiej w sieci wirtualnej.

Odpowiedzialność: Współużytkowane

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Cache:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Należy włączyć tylko bezpieczne połączenia z Azure Cache for Redis Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji Inspekcja, Odmowa, Wyłączone 1.0.0

4.5: Używanie aktywnego narzędzia do odnajdywania do identyfikowania poufnych danych

Wskazówki: funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla Azure Cache for Redis. Wystąpienia tagów zawierające poufne informacje, takie jak takie, i implementują rozwiązanie innej firmy, jeśli jest to wymagane do celów zgodności.

W przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i znacznie chroni przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Klient

4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach

Wskazówki: Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia kontrolowanie dostępu do płaszczyzny kontroli Azure Cache for Redis (tj. Azure Portal).

Odpowiedzialność: Klient

4.8: Szyfrowanie poufnych informacji magazynowanych

Wskazówki: Azure Cache for Redis przechowuje dane klienta w pamięci i jest silnie chroniony przez wiele kontrolek implementowanych przez firmę Microsoft, pamięć nie jest domyślnie szyfrowana. Jeśli jest to wymagane przez organizację, szyfruj zawartość przed zapisaną w Azure Cache for Redis.

Jeśli używasz funkcji Azure Cache for Redis "Trwałość danych Redis", dane są wysyłane do konta usługi Azure Storage, którego jesteś właścicielem i którymi zarządzasz. Trwałość można skonfigurować w bloku "Nowy Azure Cache for Redis" podczas tworzenia pamięci podręcznej i w menu Zasób dla istniejących pamięci podręcznych w warstwie Premium.

Dane w usłudze Azure Storage są szyfrowane i odszyfrowywane w sposób przezroczysty przy użyciu 256-bitowego szyfrowania AES, jednego z najsilniejszych dostępnych szyfrów blokowych i są zgodne ze standardem FIPS 140-2. Nie można wyłączyć szyfrowania usługi Azure Storage. Możesz polegać na kluczach zarządzanych przez firmę Microsoft na potrzeby szyfrowania konta magazynu lub zarządzać szyfrowaniem przy użyciu własnych kluczy.

Odpowiedzialność: Współużytkowane

4.9: Rejestrowanie i zgłaszanie alertów dotyczących zmian krytycznych zasobów platformy Azure

Wskazówka: Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wystąpieniach produkcyjnych Azure Cache for Redis i innych krytycznych lub powiązanych zasobów.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1: Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud w zakresie zabezpieczania wystąpień Azure Cache for Redis i powiązanych zasobów.

Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w podstawowych systemach, które obsługują Azure Cache for Redis.

Odpowiedzialność: Współużytkowane

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1: Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań o wszystkie zasoby (takie jak obliczenia, magazyn, sieć, porty i protokoły itp.) w ramach subskrypcji. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w ramach subskrypcji.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem Resource Graph, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.

Odpowiedzialność: Klient

6.2: Obsługa metadanych elementów zawartości

Wskazówka: Stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: Używanie tagowania, grup zarządzania i oddzielnych subskrypcji, jeśli jest to konieczne, do organizowania i śledzenia Azure Cache for Redis wystąpień i powiązanych zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Ponadto należy użyć Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówka: Użyj Azure Policy, aby wprowadzić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań dotyczących zasobów i odnajdywania ich w ramach subskrypcji.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówka: Użyj Azure Policy, aby zastosować ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówka: Skonfiguruj dostęp warunkowy platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager (ARM), konfigurując opcję "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówka: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla wystąpień Azure Cache for Redis za pomocą Azure Policy. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Cache", aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji wystąpień Azure Cache for Redis. Możesz również używać wbudowanych definicji zasad związanych z wystąpieniami Azure Cache for Redis, takimi jak:

  • Należy włączyć tylko bezpieczne połączenia z usługą Redis Cache

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: Jeśli używasz niestandardowych definicji Azure Policy lub szablonów usługi Azure Resource Manager dla wystąpień Azure Cache for Redis i powiązanych zasobów, użyj Azure Repos do bezpiecznego przechowywania kodu i zarządzania nim.

Odpowiedzialność: Klient

7.7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Cache", aby utworzyć niestandardowe zasady do zgłaszania alertów, inspekcji i wymuszania konfiguracji systemu. Ponadto opracuj proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Cache", aby utworzyć niestandardowe zasady do zgłaszania alertów, inspekcji i wymuszania konfiguracji systemu. Użyj Azure Policy [audit], [deny] i [deploy if not exist], aby automatycznie wymuszać konfiguracje wystąpień Azure Cache for Redis i powiązanych zasobów.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: W przypadku maszyn wirtualnych platformy Azure lub aplikacji internetowych działających w Azure App Service używanych do uzyskiwania dostępu do wystąpień Azure Cache for Redis użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć wpis tajny Azure Cache for Redis Zarządzania. Upewnij się, że włączono Key Vault usuwania nietrwałego.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: W przypadku maszyn wirtualnych platformy Azure lub aplikacji internetowych działających w Azure App Service używanych do uzyskiwania dostępu do wystąpień Azure Cache for Redis użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć wpis tajny Azure Cache for Redis Zarządzania. Upewnij się, że Key Vault usuwanie nietrwałe jest włączone.

Użyj tożsamości zarządzanych, aby zapewnić usługom platformy Azure automatyczną tożsamość zarządzaną w usłudze Azure Active Directory (Azure AD). Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym usługę Azure Key Vault, bez poświadczeń w kodzie.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówka: Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.2: Wstępne skanowanie plików do przekazania do zasobów platformy Azure nieobsadowanych

Wskazówki: Ochrona przed złośliwym oprogramowaniem firmy Microsoft jest włączona na hoście bazowym, który obsługuje usługi platformy Azure (na przykład Azure Cache for Redis), ale nie jest uruchamiany w zawartości klienta.

Przeskanuj wstępnie dowolną zawartość przekazywaną do zasobów platformy Azure, takich jak App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL itp. Firma Microsoft nie może uzyskać dostępu do danych w tych wystąpieniach.

Odpowiedzialność: Klient

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnienie regularnego automatycznego tworzenia kopii zapasowych

Wskazówka: Włączanie trwałości usługi Redis. Trwałość usługi Redis umożliwia utrwalanie danych przechowywanych w usłudze Redis. Można również tworzyć migawki i tworzyć kopie zapasowe danych, które można załadować w przypadku awarii sprzętu. Jest to ogromna przewaga nad warstwą Podstawowa lub Standardowa, w której wszystkie dane są przechowywane w pamięci i mogą wystąpić potencjalne straty danych w przypadku awarii, w której węzły pamięci podręcznej są wyłączone.

Możesz również użyć Azure Cache for Redis Export. Funkcja Eksportuj umożliwia eksportowanie danych przechowywanych w Azure Cache for Redis do plików RDB zgodnych z usługą Redis. Za pomocą tej funkcji można przenosić dane z jednego wystąpienia Azure Cache for Redis do innego lub innego serwera Redis. Podczas procesu eksportowania na maszynie wirtualnej, która hostuje wystąpienie serwera Azure Cache for Redis, jest tworzony plik tymczasowy, a plik jest przekazywany do wyznaczonego konta magazynu. Po zakończeniu operacji eksportowania ze stanem powodzenia lub niepowodzenia plik tymczasowy zostanie usunięty.

Odpowiedzialność: Klient

9.2: Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówka: Włączanie trwałości usługi Redis. Trwałość usługi Redis umożliwia utrwalanie danych przechowywanych w usłudze Redis. Można również tworzyć migawki i tworzyć kopie zapasowe danych, które można załadować w przypadku awarii sprzętu. Jest to ogromna przewaga nad warstwą Podstawowa lub Standardowa, w której wszystkie dane są przechowywane w pamięci i mogą wystąpić potencjalne straty danych w przypadku awarii, w której węzły pamięci podręcznej są wyłączone.

Możesz również użyć Azure Cache for Redis Export. Funkcja Eksportuj umożliwia eksportowanie danych przechowywanych w Azure Cache for Redis do plików RDB zgodnych z usługą Redis. Za pomocą tej funkcji można przenosić dane z jednego wystąpienia Azure Cache for Redis do innego lub innego serwera Redis. Podczas procesu eksportowania na maszynie wirtualnej, która hostuje wystąpienie serwera Azure Cache for Redis, jest tworzony plik tymczasowy, a plik jest przekazywany do wyznaczonego konta magazynu. Po zakończeniu operacji eksportowania ze stanem powodzenia lub niepowodzenia plik tymczasowy zostanie usunięty.

Jeśli używasz usługi Azure Key Vault do przechowywania poświadczeń dla wystąpień Azure Cache for Redis, upewnij się, że regularne automatyczne kopie zapasowe kluczy.

Odpowiedzialność: Klient

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Użyj Azure Cache for Redis Import. Importowanie może służyć do przeniesienia plików RDB zgodnych z usługą Redis z dowolnego serwera Redis działającego w dowolnej chmurze lub środowisku, w tym usługi Redis działającej w systemie Linux, Windows lub dowolnego dostawcy usług w chmurze, takiego jak Amazon Web Services i inne. Importowanie danych to prosty sposób tworzenia pamięci podręcznej ze wstępnie wypełnionymi danymi. Podczas procesu importowania Azure Cache for Redis ładuje pliki RDB z usługi Azure Storage do pamięci, a następnie wstawia klucze do pamięci podręcznej.

Okresowo testuje przywracanie danych wpisów tajnych usługi Azure Key Vault.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1: Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziło do alertu.

Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, nieprodowe) i utwórz system nazewnictwa, aby wyraźnie identyfikować i kategoryzować zasoby platformy Azure.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że dostęp do danych klienta był uzyskiwany przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówka: Użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w przypadku alertów zabezpieczeń i zaleceń.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki