Punkt odniesienia zabezpieczeń platformy Azure dla Azure Backup

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do Azure Backup. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące Azure Backup.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrole nie mają zastosowania do Azure Backup, a te, dla których zalecane są globalne wskazówki, zostały wykluczone. Aby dowiedzieć się, jak Azure Backup całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure Backup.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: Azure Backup nie obsługuje wdrażania bezpośrednio w sieci wirtualnej. Kopia zapasowa nie może używać funkcji sieciowych, takich jak sieciowe grupy zabezpieczeń, tabele tras lub urządzenia zależne od sieci, takie jak Azure Firewall.

Użyj usługi Microsoft Sentinel, aby odnaleźć użycie starszych niezabezpieczonych protokołów, takich jak:

• Transport Layer Security (TLS) v1

• Blok komunikatów serwera (SMB) v1

• LAN Manager (LM) lub New Technology LAN Manager (NTLM) v1

• wDigest

• Powiązania protokołu LDAP (Unsigned Lightweight Directory Access Protocol)

• Słabe szyfry w protokole Kerberos

Wszystkie oferty wymuszają protokół TLS 1.2 lub nowszy z wyjątkiem kopii zapasowych agenta usługi Microsoft Azure Recovery Services (MARS). Tylko w przypadku kopii zapasowych agenta MARS kopia zapasowa obsługuje protokół TLS 1.1 i starsze do 1 września 2021 r. Następnie kopie zapasowe agenta MARS będą również wymuszać protokół TLS 1.2 i nowsze.

Podczas tworzenia kopii zapasowych serwerów SQL i wystąpień SAP HANA na maszynach wirtualnych platformy Azure należy zezwolić na dostęp wychodzący do portu 443 w celu uzyskania dostępu do niektórych w pełni kwalifikowanych nazw domen (FQDN) lub używania tagów usługi.

Prywatne punkty końcowe można używać dla magazynów usługi Recovery Services. Tylko sieci zawierające prywatne punkty końcowe magazynu mogą uzyskiwać dostęp do magazynu.

• Upewnij się, że kopie zapasowe agenta MARS nie używają starszych wersji protokołu TLS

• Ustanawianie łączności sieciowej dla kopii zapasowej SQL

• Prywatne punkty końcowe kopii zapasowej

Odpowiedzialność: Klient

NS-2: Łączenie sieci prywatnych

Wskazówki: Aby utworzyć kopię zapasową serwerów lokalnych, możesz użyć usługi ExpressRoute lub wirtualnej sieci prywatnej (VPN), aby nawiązać połączenie z platformą Azure.

Użyj społeczności Azure Backup podczas korzystania z komunikacji równorzędnej firmy Microsoft dla usługi ExpressRoute. Użyj prywatnej komunikacji równorzędnej podczas korzystania z prywatnych punktów końcowych na potrzeby tworzenia kopii zapasowej. Ruch sieciowy między równorzędną sieciami wirtualnymi jest prywatny i pozostaje w sieci szkieletowej platformy Azure.

• Ustanawianie łączności dla kopii zapasowych agenta MARS

Odpowiedzialność: Klient

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówki: Magazyn to zasób platformy Azure, do którego można uzyskać dostęp za pośrednictwem Azure Portal, interfejsu wiersza polecenia platformy Azure, programu PowerShell, zestawu SDK i interfejsu REST. Kopia zapasowa obsługuje również prywatne punkty końcowe dla magazynów usługi Recovery Services.

Użyj Azure Private Link w celu uzyskania prywatnego dostępu do magazynów usługi Recovery Services z sieci wirtualnych bez przekraczania Internetu. Dostęp prywatny dodaje szczegółową miarę obrony do uwierzytelniania platformy Azure i zabezpieczeń ruchu.

Tworzenie kopii zapasowej nie zapewnia możliwości konfigurowania punktów końcowych usługi sieci wirtualnej.

• Omówienie Azure Private Link

• Prywatne punkty końcowe kopii zapasowej

Odpowiedzialność: Klient

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówki: użyj tagów usługi Azure Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci dla zasobów kopii zapasowych w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określ nazwę tagu usługi w odpowiednim polu źródła reguły lub miejsca docelowego, aby zezwolić na ruch lub go odrzucić. Firma Microsoft zarządza prefiksami adresów, które obejmuje tag usługi, i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

W przypadku sieci hostujących usługi komunikujące się z usługą Backup zezwalają na ruch wychodzący tagów usługi "AzureBackup", "AzureStorage" i "AzureActiveDirectory".

• Omówienie tagów usługi i korzystanie z nich

• Tagi usługi sieciowej grupy zabezpieczeń dla kopii zapasowej

• Azure Firewall tagów kopii zapasowej

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Nie dotyczy. Kopia zapasowa nie uwidacznia podstawowych konfiguracji DNS. Firma Microsoft utrzymuje te ustawienia.

Odpowiedzialność: Microsoft

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Kopia zapasowa używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Ustandaryzuj Azure AD, aby zarządzać tożsamościami i dostępem organizacji w programie:

• Zasoby usługi Microsoft Cloud. Zasoby obejmują:

  • Witryna Azure Portal

  • Azure Storage

  • Maszyny wirtualne platformy Azure z systemem Linux i Windows

  • Azure Key Vault

  • Platforma jako usługa (PaaS)

  • Aplikacje Typu oprogramowanie jako usługa (SaaS)

• Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie Azure AD powinno być wysokim priorytetem dla praktyki w zakresie zabezpieczeń w chmurze w organizacji. Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który ułatwia porównanie stanu zabezpieczeń tożsamości z zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Uwaga: Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez konta Microsoft logowanie się do swoich aplikacji i zasobów.

Usługa Backup używa kontroli dostępu opartej na rolach (RBAC) platformy Azure w celu umożliwienia szczegółowego dostępu do zasobów. Kopia zapasowa udostępnia trzy wbudowane role: Współautor kopii zapasowych, Operator kopii zapasowych i Czytelnik kopii zapasowych.

• Dzierżawa w usłudze Azure Active Directory

• Jak utworzyć i skonfigurować wystąpienie usługi Azure AD

• Używanie kontroli dostępu opartej na rolach platformy Azure do tworzenia kopii zapasowych

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: Usługa Backup obsługuje tożsamości zarządzane dla swoich zasobów platformy Azure. Użyj tożsamości zarządzanych z kopią zapasową zamiast tworzenia jednostek usługi w celu uzyskania dostępu do innych zasobów.

Tworzenie kopii zapasowej może natywnie uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD. Kopia zapasowa używa wstępnie zdefiniowanej reguły udzielania dostępu zamiast poświadczeń zakodowanych w kodzie źródłowym lub plikach konfiguracji.

Kopia zapasowa używa tożsamości zarządzanych do wykonywania operacji tworzenia kopii zapasowych i przywracania chronionych źródeł danych w magazynach kopii zapasowych. Usługa Backup używa również tożsamości zarządzanych do zarządzania funkcjami zabezpieczeń, takimi jak szyfrowanie przy użyciu kluczy zarządzanych przez klienta i prywatnych punktów końcowych dla magazynów usługi Recovery Services.

• Włączanie tożsamości zarządzanej dla magazynu

• Tożsamości zarządzane przez platformę Azure

• Prywatne punkty końcowe kopii zapasowej

• Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta

• Omówienie magazynu kopii zapasowych

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: łączenie wszystkich użytkowników, aplikacji i urządzeń z Azure AD. Azure AD oferuje bezproblemowy, bezpieczny dostęp oraz większą widoczność i kontrolę.

Usługa Backup używa Azure AD do zapewnienia zarządzania tożsamościami i dostępem dla zasobów platformy Azure. Tożsamości, które mogą używać Azure AD do uwierzytelniania w usłudze Backup, obejmują tożsamości przedsiębiorstwa, takie jak pracownicy i tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Azure AD zapewnia logowanie jednokrotne (SSO) do zarządzania i zabezpieczania dostępu do danych i zasobów w chmurze w organizacji.

• Omówienie logowania jednokrotnego aplikacji przy użyciu Azure AD

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: Użyj skanera poświadczeń usługi Azure DevOps, aby odnaleźć poświadczenia w szablonach usługi Azure Resource Manager (ARM). Skaner poświadczeń zachęca do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak azure Key Vault.

W przypadku usługi GitHub możesz użyć natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inne wpisy tajne w kodzie.

• Jak skonfigurować skaner poświadczeń

• Skanowanie wpisów tajnych usługi GitHub

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: Najważniejsze wbudowane role Azure AD są administratorem globalnym i administratorem ról uprzywilejowanych. Użytkownicy z tymi dwoma rolami mogą delegować role administratora.

• Administrator globalny lub administrator firmy ma dostęp do wszystkich Azure AD funkcji administracyjnych i usług korzystających z tożsamości Azure AD.

• Administrator ról uprzywilejowanych może zarządzać przypisaniami ról w Azure AD i Azure AD Privileged Identity Management (PIM). Ta rola może zarządzać wszystkimi aspektami usługi PIM i jednostek administracyjnych.

Ogranicz liczbę kont lub ról z wysokim poziomem uprawnień i chroń te konta na podwyższonym poziomie. Użytkownicy z wysokimi uprawnieniami mogą bezpośrednio lub pośrednio odczytywać i modyfikować wszystkie zasoby platformy Azure.

Możesz włączyć uprzywilejowany dostęp just in time (JIT) do zasobów platformy Azure i Azure AD przy użyciu Azure AD PIM. Dostęp JIT polega na przyznawaniu uprawnień tymczasowych do wykonywania zadań uprzywilejowanych tylko wtedy, gdy użytkownicy ich potrzebują. Usługa PIM może również generować alerty zabezpieczeń dotyczące podejrzanych lub niebezpiecznych działań w organizacji Azure AD.

Rola RBAC współautora kopii zapasowych ma wszystkie uprawnienia do tworzenia kopii zapasowych i zarządzania nimi, z wyjątkiem usuwania magazynu usługi Recovery Services i udzielania dostępu innym osobom. Ta rola jest administratorem zarządzania kopiami zapasowymi, który może wykonywać każdą operację zarządzania kopiami zapasowymi. Przejrzyj tożsamości, które są regularnie przypisywane tej roli, i konfiguruj je przy użyciu usługi Azure AD PIM.

Uwaga: w przypadku przypisywania określonych uprawnień uprzywilejowanych do ról niestandardowych może być konieczne zarządzanie innymi rolami krytycznymi. Możesz chcieć zastosować podobne mechanizmy kontroli do kont administratorów krytycznych zasobów biznesowych.

• Uprawnienia ról administratora w usłudze Azure AD

• Używanie alertów zabezpieczeń usługi Azure Privileged Identity Management

• Zabezpieczanie uprzywilejowanego dostępu dla wdrożeń hybrydowych i wdrożeń w chmurze w usłudze Azure AD

• Kontrola dostępu oparta na rolach dla Azure Backup

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Usługa Backup używa kont Azure AD i kontroli dostępu opartej na rolach platformy Azure do udzielania uprawnień do jej zasobów. Regularnie przeglądaj konta użytkowników i przypisań dostępu, aby upewnić się, że konta i ich dostęp są prawidłowe. Przeglądy dostępu Azure AD umożliwiają przeglądanie członkostwa w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowanie może zapewnić dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również utworzyć przepływy pracy raportów przeglądu dostępu w usłudze Azure AD Privileged Identity Management (PIM), aby ułatwić proces przeglądu.

Można również skonfigurować Azure AD PIM, aby otrzymywać alerty, gdy istnieje zbyt wiele kont administratorów. Usługa PIM może również identyfikować konta administratora, które są nieaktualne lub nieprawidłowo skonfigurowane.

Usługa Backup obsługuje kontrolę dostępu na podstawie ról platformy Azure na potrzeby precyzyjnego zarządzania dostępem dla magazynów. Azure Backup zapewnia trzy wbudowane role RBAC do sterowania operacjami zarządzania kopiami zapasowymi:

• Współautor kopii zapasowych — ta rola ma wszystkie uprawnienia do tworzenia kopii zapasowych i zarządzania nimi, z wyjątkiem usuwania magazynów usługi Recovery Services i udzielania dostępu innym osobom. Ta rola jest administratorem zarządzania kopiami zapasowymi, który może wykonywać każdą operację zarządzania kopiami zapasowymi.

• Operator kopii zapasowej — ta rola ma uprawnienia do wszystkich działań współautora kopii zapasowych, z wyjątkiem usuwania kopii zapasowych i zarządzania zasadami tworzenia kopii zapasowych. Ta rola jest taka sama jak współautor kopii zapasowej, z wyjątkiem tego, że nie może wykonywać destrukcyjnych operacji, takich jak zatrzymywanie tworzenia kopii zapasowej za pomocą usuwania danych lub usuwanie rejestracji zasobów lokalnych.

• Czytelnik kopii zapasowych — ta rola ma uprawnienia do wyświetlania wszystkich operacji zarządzania kopiami zapasowymi. Ta rola jest przeznaczona do monitorowania.

• Tworzenie przeglądu dostępu ról zasobów platformy Azure w usłudze Privileged Identity Management (PIM)

• Jak korzystać z przeglądów tożsamości i dostępu w usłudze Azure AD

• Kontrola dostępu oparta na rolach platformy Azure dla kopii zapasowej

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówki: Zabezpieczone, izolowane stacje robocze mają krytyczne znaczenie dla zabezpieczeń poufnych ról, takich jak administrator, deweloper i operator usługi krytycznej. Używaj wysoce zabezpieczonych stacji roboczych użytkowników i usługi Azure Bastion do wykonywania zadań administracyjnych w zasobach kopii zapasowej.

Użyj Azure AD, usługi Microsoft Defender Advanced Threat Protection (ATP) lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Możesz centralnie zarządzać zabezpieczonymi stacjami roboczymi, aby wymusić konfigurację zabezpieczeń obejmującą następujące elementy:

• Silne uwierzytelnianie

• Plany bazowe oprogramowania i sprzętu

• Ograniczony dostęp logiczny i sieciowy

• Wdrażanie uprzywilejowanych stacji roboczych dostępu

• Wdrażanie stacji roboczej z dostępem uprzywilejowanym

Odpowiedzialność: Klient

PA-7: Postępuj zgodnie z zasadą najniższych uprawnień wystarczy do administrowania

Wskazówki: Kopia zapasowa integruje się z kontrolą dostępu opartej na rolach platformy Azure w celu zarządzania zasobami. Dzięki kontroli dostępu opartej na rolach można zarządzać dostępem do zasobów platformy Azure za pomocą przypisań ról. Role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych. Niektóre zasoby mają wstępnie zdefiniowane, wbudowane role. Możesz spisać lub wykonywać zapytania dotyczące tych ról za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal.

Zawsze ograniczaj uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure do wymaganej ról. Ta praktyka uzupełnia podejście just in time (JIT) Azure AD PIM. Okresowo przeglądaj role i przypisania.

Kopia zapasowa integruje się z kontrolą dostępu opartą na rolach platformy Azure i umożliwia zarządzanie dostępem do zasobów za pomocą wbudowanych i niestandardowych ról. Użyj wbudowanych ról, aby przydzielić uprawnienia i utworzyć role niestandardowe tylko w razie potrzeby.

Azure Backup zapewnia trzy wbudowane role do kontrolowania operacji zarządzania kopiami zapasowymi:

• Współautor kopii zapasowych — ta rola ma wszystkie uprawnienia do tworzenia kopii zapasowych i zarządzania nimi, z wyjątkiem usuwania magazynów usługi Recovery Services i udzielania dostępu innym osobom. Ta rola jest administratorem zarządzania kopiami zapasowymi, który może wykonywać każdą operację zarządzania kopiami zapasowymi.

• Operator kopii zapasowej — ta rola ma uprawnienia do wszystkich działań współautora kopii zapasowych, z wyjątkiem usuwania kopii zapasowych i zarządzania zasadami tworzenia kopii zapasowych. Ta rola jest taka sama jak współautor kopii zapasowej, z wyjątkiem tego, że nie może wykonywać destrukcyjnych operacji, takich jak zatrzymywanie tworzenia kopii zapasowej za pomocą usuwania danych lub usuwanie rejestracji zasobów lokalnych.

• Czytelnik kopii zapasowych — ta rola ma uprawnienia do wyświetlania wszystkich operacji zarządzania kopiami zapasowymi. Ta rola jest przeznaczona do monitorowania.

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

• Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)

• Jak skonfigurować kontrolę RBAC na platformie Azure

• Jak korzystać z przeglądów tożsamości i dostępu w usłudze Azure AD

• Role RBAC platformy Azure dla kopii zapasowej

Odpowiedzialność: Klient

PA-8: Wybierz proces zatwierdzania dla pomocy technicznej firmy Microsoft

Wskazówki: Kopia zapasowa nie obsługuje blokady klienta. Firma Microsoft współpracuje z klientami za pośrednictwem innych metod zatwierdzania w celu uzyskania dostępu do danych klientów.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Wskazówki: Azure Backup nie ma możliwości klasyfikowania danych kopii zapasowej. Dane można organizować samodzielnie przy użyciu różnych magazynów i dołączać tagi do tych magazynów zgodnie z ich zawartością.

• Organizowanie zasobów platformy Azure przy użyciu tagów

Odpowiedzialność: Klient

DP-2: Ochrona poufnych danych

Wskazówki: Aby chronić poufne dane, ogranicz dostęp do zasobów kopii zapasowej przy użyciu:

• Kontrola dostępu na podstawie ról platformy Azure

• Kontrola dostępu oparta na sieci

• Określone kontrolki, takie jak szyfrowanie w usługach platformy Azure

Podczas tworzenia kopii zapasowych maszyn wirtualnych IaaS platformy Azure Azure Backup zapewnia niezależne i izolowane kopie zapasowe, aby chronić przed przypadkowym zniszczeniem oryginalnych danych. Kopie zapasowe są przechowywane w magazynie usługi Recovery Services z wbudowanym zarządzaniem punktami odzyskiwania.

W celu zapewnienia spójności dostosuj wszystkie typy kontroli dostępu do strategii segmentacji przedsiębiorstwa. Poinformuj strategię segmentacji przedsiębiorstwa według lokalizacji poufnych lub krytycznych dla działania firmy danych i systemów.

Firma Microsoft traktuje całą zawartość klienta na podstawowej platformie zarządzanej przez firmę Microsoft jako poufne. Firma Microsoft chroni przed utratą i ekspozycją danych klientów. Firma Microsoft ma domyślne mechanizmy kontroli i możliwości ochrony danych, aby zapewnić bezpieczeństwo danych klienta platformy Azure.

• Kontrola dostępu oparta na rolach dla Azure Backup

Odpowiedzialność: Klient

DP-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: Kopia zapasowa obsługuje przesyłanie danych klientów, ale nie obsługuje natywnie monitorowania nieautoryzowanego transferu poufnych danych. Reguły alertów można jednak zapisywać w dziennikach aktywności i zasobów dla wszystkich operacji przywracania, które odbywają się z magazynu.

• Monitorowanie i zgłaszanie alertów w Azure Backup

Odpowiedzialność: Klient

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Tworzenie kopii zapasowej ruchu z serwerów do magazynu usługi Recovery Services przez bezpieczny link HTTPS. Dane są szyfrowane przy użyciu usługi Advanced Encryption Standard (AES) 256 w przypadku przechowywania w magazynie.

Kopia zapasowa obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej. To wymaganie jest opcjonalne dla ruchu w sieciach prywatnych, ale krytyczne dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą używać protokołu TLS w wersji 1.2 lub nowszej.

Wyłącz słabe szyfry i przestarzałe protokoły SSL, TLS i SSH.

Platforma Azure domyślnie szyfruje dane przesyłane między centrami danych platformy Azure.

• Omówienie szyfrowania magazynowanych w Azure Backup

• Omówienie szyfrowania podczas przesyłania za pomocą platformy Azure

• Informacje o zabezpieczeniach protokołu TLS

Odpowiedzialność: Klient

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Kopia zapasowa obsługuje szyfrowanie danych magazynowanych. W przypadku lokalnej kopii zapasowej szyfrowanie magazynowane używa hasła podanego podczas tworzenia kopii zapasowej na platformie Azure. W przypadku obciążeń w chmurze dane są domyślnie szyfrowane w spoczynku przy użyciu szyfrowania usługi Storage (SSE) i kluczy zarządzanych przez firmę Microsoft. Kopia zapasowa udostępnia również opcje kluczy zarządzanych przez klienta w celu spełnienia wymagań prawnych.

Podczas tworzenia kopii zapasowej za pomocą agenta MARS lub używania magazynu usługi Recovery Services zaszyfrowanego przy użyciu klucza zarządzanego przez klienta tylko klient ma dostęp do klucza szyfrowania. Firma Microsoft nie utrzymuje kopii ani nie ma dostępu do klucza. W przypadku utraty klucza firma Microsoft nie może odzyskać danych kopii zapasowej.

• Szyfrowanie w usłudze Azure Backup

• Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta

• Informacje o szyfrowaniu danych magazynowanych na platformie Azure

• Jak skonfigurować klucze szyfrowania zarządzane przez klienta

Odpowiedzialność: Współużytkowane

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w zagrożenia dla zasobów

Wskazówki: Upewnij się, że przyznaj zespołom ds. zabezpieczeń uprawnienia Czytelnik kopii zapasowych i Czytelnik w dzierżawie i subskrypcjach platformy Azure, aby móc przejrzeć konfiguracje i dane kopii zapasowej pod kątem zagrożeń bezpieczeństwa.

Monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu w zależności od tego, jak strukturę ponosisz. Zawsze agreguj szczegółowe informacje o zabezpieczeniach i zagrożenia centralnie w organizacji.

• Kontrola dostępu oparta na rolach w Azure Backup

• Omówienie roli czytelnika zabezpieczeń

• Omówienie grup zarządzania platformy Azure

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu zasobów i metadanych

Wskazówki: upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure, takich jak kopia zapasowa. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia i jako wkład w ciągłe ulepszenia zabezpieczeń. Utwórz grupę Azure AD zawierającą autoryzowany zespół ds. zabezpieczeń organizacji. i przypisz mu dostęp do odczytu do wszystkich zasobów kopii zapasowej. Proces można uprościć przy użyciu pojedynczego przypisania roli wysokiego poziomu w ramach subskrypcji.

Zastosuj tagi do zasobów platformy Azure, grup zasobów i subskrypcji, aby logicznie zorganizować je w taksonomię. Każdy tag składa się z pary nazw i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

• Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph

• Aby uzyskać więcej informacji na temat tagowania zasobów, zobacz przewodnik po decyzjach dotyczących nazewnictwa zasobów i tagowania

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Kopia zapasowa obsługuje monitorowanie i wymuszanie konfiguracji przy użyciu Azure Policy. Przypisz wbudowane definicje Azure Policy do inspekcji i ograniczenia, które użytkownicy usług mogą aprowizować w danym środowisku. Użyj usługi Azure Resource Graph, aby wykonywać zapytania dotyczące zasobów i odnajdywać je w ramach subskrypcji. Możesz również użyć usługi Azure Monitor, aby utworzyć reguły wyzwalające alerty po wykryciu niezatwierdzonej usługi.

• Jak skonfigurować usługę Azure Policy i zarządzać nią

• Jak odmówić określonego typu zasobu za pomocą Azure Policy

• Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph

• Azure Policy wbudowane definicje kopii zapasowej

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: użyj wbudowanej funkcji wykrywania zagrożeń w usłudze Microsoft Defender for Cloud. Włącz usługę Microsoft Defender dla zasobów usługi DDoS Protection w warstwie Standardowa. Usługa Microsoft Defender zapewnia dodatkową warstwę analizy zabezpieczeń. Usługa Microsoft Defender wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do zasobów usługi DDoS Protection lub wykorzystania ich.

Azure Backup generuje dzienniki aktywności i zasobów, których można użyć do inspekcji akcji względem zasobów kopii zapasowej i wykrywania zagrożeń. Przekaż dzienniki kopii zapasowej do systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Rozwiązanie SIEM umożliwia skonfigurowanie niestandardowych wykrywania zagrożeń.

Pamiętaj, aby monitorować różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty można tworzyć na podstawie danych dziennika, agentów lub innych danych.

• Monitorowanie obciążeń Azure Backup

• Tworzenie niestandardowych reguł analizy do wykrywania zagrożeń

• Analiza zagrożeń cybernetycznych w usłudze Microsoft Sentinel

• Dzienniki aktywności do monitorowania i inspekcji zagrożeń i działań

• Dzienniki diagnostyczne do monitorowania i wykrywania zagrożeń

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Dzienniki aktywności są dostępne automatycznie. Dzienniki zawierają wszystkie operacje PUT, POST i DELETE, ale nie GET, dla zasobów kopii zapasowej. Dzienniki aktywności umożliwiają znajdowanie błędów podczas rozwiązywania problemów lub monitorowanie sposobu modyfikowania zasobów przez użytkowników.

Włącz dzienniki zasobów platformy Azure dla usługi Backup. Usługi Microsoft Defender for Cloud i Azure Policy można używać do włączania zbierania dzienników zasobów i danych dzienników. Te dzienniki mogą mieć kluczowe znaczenie dla badania zdarzeń zabezpieczeń i wykonywania ćwiczeń kryminalistycznych.

• Model danych usługi Log Analytics dla Azure Backup danych

• Jak zbierać dzienniki i metryki platformy za pomocą usługi Azure Monitor

• Omówienie rejestrowania i różnych typów dzienników na platformie Azure

Odpowiedzialność: Współużytkowane

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówka: Scentralizowane przechowywanie i analiza rejestrowania w celu umożliwienia korelacji danych dziennika kopii zapasowej. Dla każdego źródła dziennika upewnij się, że zarejestrowano następujące elementy:

• Przypisany właściciel danych
• Wskazówki dotyczące dostępu
• Lokalizacja magazynu
• Narzędzia, które przetwarzają dane i uzyskują do nich dostęp
• Wymagania dotyczące przechowywania danych

Pamiętaj, aby zintegrować dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy. Używaj kont usługi Azure Storage do przechowywania długoterminowego i archiwalnego.

Włączanie i dołączanie danych do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy. Usługi Microsoft Sentinel można używać na potrzeby "gorących" danych, których używasz często, a usługa Azure Storage dla "zimnych" danych, których używasz rzadziej.

• Używanie ustawień diagnostycznych dla magazynów usługi Recovery Services

• Model danych usługi Log Analytics dla Azure Backup danych

• Jak zbierać dzienniki i metryki platformy za pomocą usługi Azure Monitor

• Jak dołączyć usługę Microsoft Sentinel

Odpowiedzialność: Współużytkowane

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówki: Używanie kont obszaru roboczego usługi Azure Storage lub Log Analytics na potrzeby długoterminowego i archiwalnego magazynu. W przypadku kont magazynu lub obszarów roboczych usługi Log Analytics, które przechowują dzienniki kopii zapasowej, ustaw okres przechowywania dzienników spełniający przepisy dotyczące zgodności organizacji.

• Używanie ustawień diagnostycznych dla magazynów usługi Recovery Services

• Dzienniki diagnostyczne usługi Microsoft Purview na koncie usługi Azure Storage

• Jak skonfigurować okres przechowywania obszaru roboczego usługi Log Analytics

• Przechowywanie dzienników zasobów na koncie usługi Azure Storage

Odpowiedzialność: Współużytkowane

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: Kopia zapasowa nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Kopia zapasowa opiera się na źródłach synchronizacji czasu firmy Microsoft, które nie są widoczne dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: Monitorowanie i wymuszanie bezpiecznych konfiguracji magazynu usługi Recovery Services przez przypisanie wbudowanych i niestandardowych definicji Azure Policy. Jeśli wbudowane zasady nie spełniają Twoich wymagań, użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.RecoveryServices", aby utworzyć zasady niestandardowe.

• Praca z zasadami zabezpieczeń w usłudze Microsoft Defender for Cloud

• Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

• Wbudowane zasady platformy Azure dla kopii zapasowych

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: użyj Azure Policy do monitorowania i wymuszania konfiguracji kopii zapasowych, takich jak:

• Ustawienia dla magazynów

• Szyfrowanie przy użyciu kluczy zarządzanych przez klienta

• Używanie prywatnych punktów końcowych dla magazynów

• Wdrażanie ustawień diagnostycznych

Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami Azure Backup.

• Omówienie efektów usługi Azure Policy

• Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

• Wbudowane definicje Azure Policy kopii zapasowej

Odpowiedzialność: Klient

PV-6: Wykonywanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Kopia zapasowa nie wdraża zasobów obliczeniowych przeznaczonych dla klientów, które obsługują narzędzia do oceny luk w zabezpieczeniach. Firma Microsoft obsługuje luki w zabezpieczeniach i oceny dla bazowej platformy obsługującej usługę Backup.

Odpowiedzialność: Microsoft

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: Kopia zapasowa nie wdraża zasobów obliczeniowych przeznaczonych dla klientów, które obsługują narzędzia do oceny luk w zabezpieczeniach. Firma Microsoft obsługuje luki w zabezpieczeniach i oceny dla bazowej platformy obsługującej usługę Backup.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówki: Przeprowadź testy penetracyjne lub działania zespołu czerwonego w zasobach platformy Azure zgodnie z potrzebami i zapewnij korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Użyj strategii i wykonywania red teamingu firmy Microsoft. Przetestuj penetracyjne witryny na żywo dla zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze.

• Testy penetracyjne na platformie Azure

• Reguły testów penetracyjnych zaangażowania

• Testy typu „red team” w chmurze firmy Microsoft

Odpowiedzialność: Klient

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-2: Szyfrowanie danych kopii zapasowej

Wskazówki: Kopia zapasowa obsługuje szyfrowanie danych kopii zapasowych magazynowanych, którymi zarządza. Obciążenia w chmurze domyślnie szyfrują dane magazynowane przy użyciu szyfrowania usługi Storage (SSE) i kluczy zarządzanych przez firmę Microsoft. Azure Backup udostępnia opcje kluczy zarządzanych przez klienta w celu spełnienia wymagań prawnych.

• Szyfrowanie w usłudze Azure Backup

Odpowiedzialność: Współużytkowane

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.RecoveryServices:

Nazwa (Azure Portal)	Opis	Efekty	Wersja (GitHub)
Azure Backup należy włączyć dla Virtual Machines	Zapewnij ochronę Virtual Machines platformy Azure, włączając Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych na platformie Azure.	AuditIfNotExists, Disabled	2.0.0

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: upewnij się, że masz środki, aby zapobiec utracie kluczy szyfrowania kopii zapasowych i odzyskać je. Aby chronić klucze przed przypadkowym lub złośliwym usunięciem, włącz ochronę usuwania nietrwałego i przeczyszczania w usłudze Azure Key Vault.

• Jak włączyć ochronę w formie usuwania nietrwałego i przeczyszczania w usłudze Key Vault

Odpowiedzialność: Współużytkowane

Następne kroki

• Zobacz Omówienie testu porównawczego zabezpieczeń platformy Azure w wersji 2
• Dowiedz się więcej o punktach odniesienia zabezpieczeń platformy Azure