Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Bot Service

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Microsoft Azure Bot Service. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące usługi Azure Bot Service.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Azure Bot Service, a te, dla których zalecenia dotyczące globalnego wytycznych są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa Azure Bot Service całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Bot Service.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: Podczas wdrażania zasobów usługi Azure Bot Service należy utworzyć istniejącą sieć wirtualną lub użyć jej. Upewnij się, że wszystkie sieci wirtualne platformy Azure są zgodne z zasadą segmentacji przedsiębiorstwa, która jest zgodna z ryzykiem biznesowym. Każdy system, który może stanowić większe ryzyko dla organizacji, powinien być odizolowany w ramach własnej sieci wirtualnej i wystarczająco zabezpieczony za pomocą sieciowej grupy zabezpieczeń i/lub Azure Firewall.

Jak utworzyć sieciową grupę zabezpieczeń z regułami zabezpieczeń: /azure/virtual-network/tutorial-filter-network-traffic

Jak wdrożyć i skonfigurować Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Odpowiedzialność: Klient

NS-2: Łączenie sieci prywatnych

Wskazówki: Użyj usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN), aby utworzyć połączenia prywatne między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują większą niezawodność, szybkość i mniejsze opóźnienia niż typowe połączenia internetowe. W przypadku sieci VPN typu punkt-lokacja i sieci VPN typu lokacja-lokacja można połączyć lokalne urządzenia lub sieci z siecią wirtualną przy użyciu dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute.

Aby połączyć dwie lub więcej sieci wirtualnych na platformie Azure, użyj komunikacji równorzędnej sieci wirtualnych. Ruch sieciowy między równorzędną siecią wirtualną jest prywatny i jest przechowywany w sieci szkieletowej platformy Azure.

Odpowiedzialność: Klient

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówki: Ochrona zasobów usługi Azure Bot Service przed atakami z sieci zewnętrznych, w tym atakami DDoS (Distributed Denial of Service), atakami specyficznymi dla aplikacji oraz niechcianym i potencjalnie złośliwym ruchem internetowym. Użyj Azure Firewall, aby chronić aplikacje i usługi przed potencjalnie złośliwym ruchem z Internetu i innych lokalizacji zewnętrznych. Ochrona zasobów przed atakami DDoS przez włączenie standardowej ochrony przed atakami DDoS w sieciach wirtualnych platformy Azure. Użyj usługi Microsoft Defender for Cloud, aby wykrywać błędy związane z konfiguracją ryzyka związane z zasobami związanymi z siecią.

Użyj funkcji Web Application Firewall (WAF) w bramie aplikacja systemu Azure, usłudze Azure Front Door i usłudze Azure Content Delivery Network (CDN), aby chronić aplikacje działające na platformie Azure Bot Service przed atakami warstwy aplikacji.

Odpowiedzialność: Klient

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówka: Użyj tagów usługi Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall skonfigurowanych dla zasobów usługi Azure Bot Service. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład AzureBotService) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Usługa Azure Bot Service używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Ustandaryzuj Azure AD, aby zarządzać tożsamościami i dostępem w organizacji w następujących zasobach w chmurze firmy Microsoft, takich jak Azure Portal, Azure Storage, Azure Virtual Machines (Linux i Windows), Azure Key Vault, PaaS i SaaS.

  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczenie usługi Azure AD powinno być jednym z najważniejszych priorytetów w zakresie zabezpieczeń w chmurze organizacji. Usługa Azure AD oferuje wskaźnik bezpieczeństwa tożsamości, który pomaga ocenić stan zabezpieczeń tożsamości względem zaleceń firmy Microsoft dotyczących najlepszych rozwiązań. Użyj tego wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań oraz poprawić stan zabezpieczeń.

Uwaga: usługa Azure AD obsługuje zewnętrznych dostawców tożsamości, którzy umożliwiają użytkownikom nieposiadającym konta Microsoft logowanie się do aplikacji i zasobów za pomocą tożsamości zewnętrznej.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Azure Active Directory (Azure AD) zapewnia zarządzanie tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Zarządzanie tożsamościami i dostępem ma zastosowanie do tożsamości przedsiębiorstwa, takich jak pracownicy, a także tożsamości zewnętrznych, takich jak partnerzy, dostawcy i dostawcy.

Użyj Azure AD logowania jednokrotnego (SSO), aby zarządzać i zabezpieczać dostęp do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia, aby Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu oraz większej widoczności i kontroli.

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: Usługa Azure Bot Service umożliwia klientom wdrażanie/uruchamianie kodu lub konfiguracji lub utrwalanych danych potencjalnie przy użyciu tożsamości/wpisów tajnych, zaleca się zaimplementowanie skanera poświadczeń w celu identyfikowania poświadczeń w kodzie lub konfiguracjach lub utrwalanych danych. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

W usłudze GitHub można używać funkcji skanowania natywnego wpisu tajnego do identyfikowania poświadczeń lub innej formy wpisów tajnych w kodzie.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: usługa Azure Bot Service używa kont usługi Azure Active Directory (Azure AD) do zarządzania swoimi zasobami, regularnego przeglądania kont użytkowników i przypisywania dostępu w celu upewnienia się, że konta i ich poziom dostępu są prawidłowe. Możesz użyć Azure AD przeglądów dostępu do przeglądania członkostw w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowania mogą udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również użyć Azure AD Privileged Identity Management, aby utworzyć przepływ pracy przeglądu dostępu do raportu, który ułatwia proces przeglądu.

Ponadto można skonfigurować usługę Azure Privileged Identity Management do powiadamiania o nadmiernej liczbie kont administratorów oraz identyfikowaniu kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane. Uwaga: niektóre usługi platformy Azure obsługują lokalnych użytkowników i role, które nie są zarządzane za pośrednictwem Azure AD. Musisz zarządzać tymi użytkownikami oddzielnie.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówka: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla bezpieczeństwa poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług o kluczowym znaczeniu. Używaj stacji roboczych użytkowników o wysokim poziomie zabezpieczeń i/lub usługi Azure Bastion do wykonywania zadań administracyjnych. Użyj usługi Azure Active Directory (Azure AD), usługi Microsoft Defender Advanced Threat Protection (ATP) i/lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze mogą być zarządzane centralnie, aby wymusić bezpieczną konfigurację, w tym silne uwierzytelnianie, oprogramowanie i sprzętowe punkty odniesienia, ograniczony dostęp logiczny i sieciowy.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: usługa Azure Bot Service jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Dla niektórych zasobów istnieją wstępnie zdefiniowane wbudowane role i te role można zinwentaryzować lub wykonywać względem nich zapytania za pomocą narzędzi takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub witryna Azure Portal. Uprawnienia przypisywane do zasobów z użyciem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez te role. Uzupełnia to podejście just in time (JIT) usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) i powinno być okresowo przeglądane.

Używaj wbudowanych ról do przydzielenia uprawnień i utwórz własną rolę tylko wtedy, gdy jest to wymagane.

Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) /azure/role-based-access-control/overview

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-2: Ochrona poufnych danych

Wskazówki: Ochrona poufnych danych przez ograniczenie dostępu przy użyciu usługi Azure Role Based Access Control (Azure RBAC), kontroli dostępu opartej na sieci i określonych mechanizmów kontroli w usługach platformy Azure (takich jak szyfrowanie w programie SQL i innych bazach danych).

Aby zapewnić spójną kontrolę dostępu, wszystkie typy kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.

W odniesieniu do platformy podstawowej zarządzanej przez firmę Microsoft, firma Microsoft traktuje całą zawartość kliencką jako poufną i zapewnia ochronę przed utratą i narażeniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała pewne domyślne mechanizmy kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

OD-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: Monitoruj pod kątem nieautoryzowanego transferu danych do lokalizacji znajdujących się poza kontrolą i widocznością przedsiębiorstwa. Zazwyczaj obejmuje to monitorowanie pod kątem nietypowych działań (dużych lub nietypowych transferów), które mogą wskazywać na nieautoryzowaną eksfiltrację danych. Usługa Azure Storage Advanced Threat Protection (ATP) i Azure SQL ATP mogą otrzymywać alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery poufnych informacji. Usługa Azure Information Protection (AIP) udostępnia funkcje monitorowania informacji, które zostały sklasyfikowane i oznaczone etykietami. Jeśli jest to wymagane do zapewnienia zgodności ochrony przed utratą danych (DLP), możesz użyć rozwiązania DLP opartego na hoście, aby wymusić mechanizmy kontroli wykrywania i/lub zapobiegania, aby zapobiec eksfiltracji danych.

Odpowiedzialność: Klient

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Wszystkie punkty końcowe usługi Azure Bot Service są uwidocznione za pośrednictwem protokołu HTTP wymuszania protokołu TLS 1.2. W przypadku wymuszanego protokołu zabezpieczeń konsumenci próbujący wywołać punkt końcowy usługi Azure Bot Service powinni przestrzegać następujących wytycznych:

  • System operacyjny klienta musi obsługiwać protokół TLS 1.2.- Język (i platforma) używany do wykonywania wywołania HTTP musi określać protokół TLS 1.2 w ramach żądania. W zależności od języka i platformy określanie protokołu TLS odbywa się niejawnie lub jawnie. W celu uzupełnienia kontroli dostępu dane przesyłane powinny być chronione przed atakami "poza pasmem" (np. przechwytywaniem ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych. Chociaż jest to opcjonalne w przypadku ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że każdy klient łączący się z zasobami platformy Azure może negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe wersje i protokoły SSL, TLS i SSH oraz słabe szyfry powinny być wyłączone.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Współużytkowane

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, dane magazynowane powinny być chronione przed atakami "poza pasmem" (takimi jak uzyskiwanie dostępu do magazynu bazowego) przy użyciu szyfrowania. Pomaga to zagwarantować, że osoby atakujące nie będą mogły łatwo odczytać ani zmodyfikować danych.

Platforma Azure domyślnie zapewnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych masz możliwość zaimplementowania dodatkowego szyfrowania magazynowanych we wszystkich zasobach platformy Azure, jeśli są dostępne. Platforma Azure domyślnie zarządza kluczami szyfrowania, ale platforma Azure oferuje opcje zarządzania własnymi kluczami (kluczami zarządzanymi przez klienta) dla niektórych usług platformy Azure.

Jeśli jest to wymagane w celu zapewnienia zgodności z zasobami obliczeniowymi, zaimplementuj narzędzie innej firmy, takie jak zautomatyzowane rozwiązanie ochrony przed utratą danych oparte na hoście, aby wymusić kontrolę dostępu do danych nawet wtedy, gdy dane są kopiowane z systemu.

Odpowiedzialność: Klient

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówka: Stosowanie tagów do zasobów platformy Azure, grup zasobów i subskrypcji w celu logicznego organizowania ich w taksonomię. Każdy tag składa się z pary nazwy i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Usługa Azure Bot Service nie oferuje obsługi wdrożeń zasobów opartych na usłudze Azure Resource Manager i odnajdywania za pomocą usługi Azure Resource Graph.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzać inspekcję i ograniczać usługi, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: usługa Azure Bot Service nie zapewnia natywnych możliwości monitorowania zagrożeń bezpieczeństwa związanych z jej zasobami.

Przekaż wszystkie dzienniki z usługi Azure Bot Service do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykrywania zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.

Odpowiedzialność: Klient

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia następujące dzienniki użytkowników, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowaniem w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy:

  • Logowania — raporty aktywności logowania zawierają informacje na temat użycia zarządzanych aplikacji i działań użytkownika związane z logowaniem.
  • Dzienniki inspekcji — udostępnia możliwość śledzenia wszystkich zmian wprowadzanych przez różne funkcje usługi Azure AD za pomocą dzienników. Działania umieszczane w dziennikach inspekcji to na przykład zmiany wprowadzone w dowolnych zasobach usługi Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
  • Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, które mogło zostać wykonane przez osobę, która nie jest prawowitym właścicielem konta użytkownika.
  • Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.

Usługa Microsoft Defender for Cloud może również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelniania i przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł Ochrona przed zagrożeniami w usłudze Microsoft Defender for Cloud może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (takich jak maszyny wirtualne, kontenery, usługa App Service), zasoby danych (takie jak baza danych SQL i magazyn) i warstwy usług platformy Azure. Ta funkcja umożliwia wyświetlanie anomalii kont w poszczególnych zasobach.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: Włączanie i zbieranie dzienników zasobów sieciowej grupy zabezpieczeń, dzienników przepływów sieciowej grupy zabezpieczeń, dzienników Azure Firewall i dzienników Web Application Firewall (WAF) na potrzeby analizy zabezpieczeń w celu obsługi badania zdarzeń, wyszukiwania zagrożeń i generowania alertów zabezpieczeń. Dzienniki przepływu można wysłać do obszaru roboczego usługi Log Analytics usługi Azure Monitor, a następnie użyć analizy ruchu w celu uzyskania szczegółowych informacji.

Usługa Azure Bot Service nie tworzy ani nie przetwarza dzienników zapytań DNS, które należy włączyć.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: dzienniki aktywności, które są automatycznie dostępne, zawierają wszystkie operacje zapisu (PUT, POST, DELETE) dla zasobów usługi Azure Bot Services z wyjątkiem operacji odczytu (GET). Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu modyfikowania zasobu przez użytkownika w organizacji.

Usługa Azure Bot Service obecnie nie generuje dzienników zasobów platformy Azure.

Odpowiedzialność: Klient

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówki: Scentralizowane rejestrowanie magazynu i analizy w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych. Upewnij się, że integrujesz dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics do wykonywania zapytań i przeprowadzania analiz oraz używania kont usługi Azure Storage na potrzeby długoterminowego i archiwizacji magazynu.

Ponadto włącz i dołącz dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Wiele organizacji decyduje się używać usługi Microsoft Sentinel na potrzeby "gorących" danych, które są często używane, a usługa Azure Storage dla "zimnych" danych używanych rzadziej.

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówki: Upewnij się, że wszystkie konta magazynu lub obszary robocze usługi Log Analytics używane do przechowywania dzienników usługi Azure Bot Service mają ustawiony okres przechowywania dzienników zgodnie z przepisami dotyczącymi zgodności organizacji.

W usłudze Azure Monitor można ustawić okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności organizacji. Używaj kont obszarów roboczych usługi Azure Storage, Data Lake lub Log Analytics na potrzeby długoterminowego i archiwalnego magazynu.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: firma Microsoft utrzymuje źródła czasu dla większości usług PaaS i SaaS platformy Azure. W przypadku maszyn wirtualnych użyj domyślnego serwera NTP firmy Microsoft do synchronizacji czasu, chyba że masz określone wymaganie. Jeśli musisz utworzyć własny serwer protokołu czasu sieciowego (NTP), upewnij się, że port usługi UDP jest zabezpieczony 123. Wszystkie dzienniki generowane przez zasoby na platformie Azure zapewniają sygnatury czasowe ze strefą czasową określoną domyślnie.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: Upewnij się, że kopie zapasowe systemów i danych są tworzone w celu zachowania ciągłości działania po nieoczekiwanym zdarzeniu. Powinno to być zdefiniowane przez wszystkie cele celu punktu odzyskiwania (RPO) i celu czasu odzyskiwania (RTO). Włącz Azure Backup i skonfiguruj źródło kopii zapasowej (np. maszyny wirtualne platformy Azure, SQL Server, bazy danych HANA lub udziały plików), a także żądaną częstotliwość i okres przechowywania.

W przypadku wyższego poziomu ochrony można włączyć opcję magazynu geograficznie nadmiarowego, aby replikować dane kopii zapasowej do regionu pomocniczego i odzyskiwać przy użyciu przywracania między regionami.

Odpowiedzialność: Klient

BR-2: Szyfrowanie danych kopii zapasowej

Wskazówki: Upewnij się, że kopie zapasowe są chronione przed atakami. Powinno to obejmować szyfrowanie kopii zapasowych w celu ochrony przed utratą poufności.

W przypadku kopii zapasowych lokalnych przy użyciu Azure Backup szyfrowanie magazynowane jest udostępniane przy użyciu podanego hasła. W przypadku zwykłych kopii zapasowych usługi platformy Azure dane kopii zapasowych są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure. Możesz wybrać szyfrowanie kopii zapasowych przy użyciu klucza zarządzanego przez klienta. W takim przypadku upewnij się, że ten klucz zarządzany przez klienta w magazynie kluczy również znajduje się w zakresie kopii zapasowej.

Użyj kontroli dostępu opartej na rolach w Azure Backup, Key Vault platformy Azure lub innych zasobach, aby chronić kopie zapasowe i klucze zarządzane przez klienta. Ponadto można włączyć zaawansowane funkcje zabezpieczeń, aby wymagać uwierzytelniania wieloskładnikowego przed zmianą lub usunięciem kopii zapasowych.

Odpowiedzialność: Klient

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Okresowo upewnij się, że można przywrócić kopie zapasowe kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: Upewnij się, że masz środki, aby zapobiec utracie kluczy i odzyskać je. Włącz usuwanie nietrwałe i przeczyść ochronę w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Następne kroki