Punkt odniesienia zabezpieczeń platformy Azure dla Microsoft Defender for Cloud Apps

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do Microsoft Defender for Cloud Apps. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące Microsoft Defender for Cloud Apps.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrole nie mają zastosowania do Microsoft Defender for Cloud Apps, a te, dla których zalecane są globalne wskazówki, zostały wykluczone. Aby dowiedzieć się, jak Microsoft Defender for Cloud Apps całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Microsoft Defender for Cloud Apps.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówki: użyj tagów usługi Azure Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall skonfigurowane dla zasobów Microsoft Defender for Cloud Apps. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład "MicrosoftCloudAppSecurity") w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić na ruch dla odpowiedniej usługi lub go odrzucić. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Microsoft Defender for Cloud Apps używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Należy ustandaryzować Azure AD w celu zarządzania tożsamościami i dostępem w organizacji w programie:

  • Zasoby w chmurze firmy Microsoft, takie jak Azure Portal, Azure Storage, Azure Virtual Machine (Linux i Windows), azure Key Vault, PaaS i Aplikacje SaaS.
  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie usługi Azure AD powinno mieć wysoki priorytet w zakresie zabezpieczeń w chmurze w organizacji. Usługa Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który pomaga ocenić stan zabezpieczeń tożsamości w porównaniu z zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Uwaga: Azure AD obsługuje tożsamość zewnętrzną, która umożliwia użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: Microsoft Defender for Cloud Apps używa usługi Azure Active Directory (Azure AD), aby zapewnić zarządzanie tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Obejmuje to tożsamości przedsiębiorstwa, takie jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Umożliwia to logowanie jednokrotne w celu zarządzania i bezpiecznego dostępu do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu oraz większej widoczności i kontroli.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: Microsoft Defender for Cloud Apps ma następujące konta z wysokimi uprawnieniami:

  • administrator globalny i administrator zabezpieczeń: Administratorzy z pełnym dostępem mają pełne uprawnienia w Microsoft Defender for Cloud Apps. Mogą dodawać administratorów, dodawać zasady i ustawienia, przekazywać dzienniki i wykonywać akcje ładu.

  • Administrator zgodności: ma uprawnienia tylko do odczytu i może zarządzać alertami. Nie można uzyskać dostępu do zaleceń dotyczących zabezpieczeń dla platform w chmurze. Może tworzyć i modyfikować zasady plików, zezwalać na akcje ładu plików i wyświetlać wszystkie wbudowane raporty w Zarządzanie danymi.

  • Administrator danych zgodności: ma uprawnienia tylko do odczytu, może tworzyć i modyfikować zasady plików, zezwalać na akcje ładu plików i wyświetlać wszystkie raporty odnajdywania. Nie można uzyskać dostępu do zaleceń dotyczących zabezpieczeń dla platform w chmurze.

  • Operator zabezpieczeń: ma uprawnienia tylko do odczytu i może zarządzać alertami.

  • Czytelnik zabezpieczeń: ma uprawnienia tylko do odczytu i może zarządzać alertami. Czytelnik zabezpieczeń jest ograniczony do wykonywania następujących czynności:

  • Tworzenie zasad lub edytowanie i zmiana istniejących zasad

  • Wykonywanie akcji ładu

  • Przekazywanie dzienników odnajdywania

  • Zakaz lub zatwierdzanie aplikacji innych firm

  • Wyświetlanie strony ustawień zakresu adresów IP i uzyskiwanie do niej dostępu

  • Uzyskiwanie dostępu do wszystkich stron ustawień systemowych i wyświetlanie ich

  • Uzyskiwanie dostępu do ustawień odnajdywania i wyświetlanie ich

  • Uzyskiwanie dostępu do strony łączników aplikacji i wyświetlanie ich

  • Wyświetlanie dziennika nadzoru i uzyskiwanie do niego dostępu

  • Wyświetlanie strony zarządzania raportami migawek i uzyskiwanie do niej dostępu

  • Uzyskiwanie dostępu do agenta SIEM i edytowanie go

  • Czytelnik globalny: ma pełny dostęp tylko do odczytu do wszystkich aspektów Microsoft Defender for Cloud Apps. Nie można zmienić żadnych ustawień ani podjąć żadnych akcji.

Ogranicz liczbę kont lub ról z wysokim poziomem uprawnień i chroń te konta na podwyższonym poziomie, ponieważ użytkownicy z tym uprawnieniem mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure.

Możesz włączyć uprzywilejowany dostęp just in time (JIT) do zasobów platformy Azure i usługi Azure Active Directory (Azure AD) przy użyciu Azure AD Privileged Identity Management (PIM). Dostęp JIT polega na przyznawaniu uprawnień tymczasowych do wykonywania zadań uprzywilejowanych tylko wtedy, gdy użytkownicy ich potrzebują. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanych lub niebezpiecznych działań w ramach organizacji usługi Azure AD.

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Microsoft Defender for Cloud Apps używa kont usługi Azure Active Directory (Azure AD) do zarządzania zasobami, regularnego przeglądania kont użytkowników i przypisań dostępu w celu zapewnienia, że konta i ich dostęp są prawidłowe. Przeglądy dostępu Azure AD umożliwiają przeglądanie członkostwa w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowanie może zapewnić dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również użyć Azure AD Privileged Identity Management do utworzenia przepływu pracy przeglądu dostępu w celu ułatwienia procesu przeglądu.

Ponadto można również skonfigurować usługę Azure Privileged Identity Management do powiadamiania o nadmiernej liczbie kont administratorów oraz identyfikowaniu kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.

Uwaga: niektóre usługi platformy Azure obsługują użytkowników lokalnych i ról, które nie są zarządzane za pośrednictwem Azure AD. Musisz oddzielnie zarządzać tymi użytkownikami.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: Microsoft Defender for Cloud Apps jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Istnieją wstępnie zdefiniowane role wbudowane dla niektórych zasobów, a te role można spisać lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal. Uprawnienia przypisywane do zasobów z użyciem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez te role. Uzupełnia to podejście just in time (JIT) usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) i należy je okresowo przeglądać.

Użyj wbudowanych ról, aby przydzielić uprawnienia i utworzyć tylko role niestandardowe, jeśli jest to wymagane.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie danych poufnych

Wskazówki: Microsoft Defender for Cloud Apps zarządza poufnymi danymi; cały przepływ danych jest objęty przeglądem prywatności firmy Microsoft i procesem SDL. Klienci nie mają możliwości kontrolowania danych,

Odpowiedzialność: Microsoft

DP-2: Ochrona poufnych danych

Wskazówki: Microsoft Defender for Cloud Apps zarządza poufnymi danymi i używa ról usługi Azure Active Directory (Azure AD) do kontrolowania uprawnień dla różnych typów danych.

Odpowiedzialność: Klient

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Microsoft Defender for Cloud Apps obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej.

Chociaż jest to opcjonalne dla ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe wersje i protokoły SSL, TLS i SSH oraz słabe szyfry powinny być wyłączone.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Współużytkowane

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Microsoft Defender for Cloud Apps szyfruje dane magazynowane w celu ochrony przed atakami "poza pasmem" (takimi jak uzyskiwanie dostępu do magazynu bazowego) przy użyciu szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Odpowiedzialność: Microsoft

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówki: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia czytelnika zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: Prześlij wszystkie dzienniki z Microsoft Defender for Cloud Apps do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykrywania zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: Nie dotyczy; Microsoft Defender for Cloud Apps nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Usługa Microsoft Defender for Cloud Apps opiera się na źródłach synchronizacji czasu firmy Microsoft i nie jest widoczna dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w systemach bazowych, które obsługują Microsoft Defender for Cloud Apps.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki