Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Cloud Services

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do Microsoft Azure Cloud Services. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące Cloud Services.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Azure Cloud Services lub za które odpowiada firma Microsoft, zostały wykluczone. Aby dowiedzieć się, jak usługa Azure Cloud Services całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Cloud Services.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: Tworzenie klasycznej usługi Azure Virtual Network z oddzielnymi podsieciami publicznymi i prywatnymi w celu wymuszania izolacji na podstawie zaufanych portów i zakresów adresów IP. Te sieci wirtualne i podsieci muszą być klasycznymi zasobami opartymi na Virtual Network (klasycznym wdrożeniu), a nie bieżącymi zasobami usługi Azure Resource Manager.

Zezwalaj na ruch przy użyciu sieciowej grupy zabezpieczeń, która zawiera reguły kontroli dostępu oparte na kierunku ruchu, protokole, adresie źródłowym i porcie oraz adresie docelowym i porcie. Reguły sieciowej grupy zabezpieczeń można zmienić w dowolnym momencie, a zmiany są stosowane do wszystkich skojarzonych wystąpień.

nie można umieścić Microsoft Azure Cloud Services (wersja klasyczna) w sieciach wirtualnych platformy Azure Resource Manager. Jednak Resource Manager oparte na sieciach wirtualnych i klasycznych sieciach wirtualnych opartych na wdrożeniu można połączyć za pośrednictwem komunikacji równorzędnej.

Odpowiedzialność: Klient

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i kart sieciowych

Wskazówki: dokumentowanie konfiguracji usługi Azure Cloud Services i monitorowanie jej pod kątem zmian. Użyj pliku konfiguracji usługi, aby określić liczbę wystąpień ról do wdrożenia dla każdej roli w usłudze, wartości wszystkich ustawień konfiguracji i odcisków palca dla wszystkich certyfikatów skojarzonych z rolą.

Jeśli usługa jest częścią sieci wirtualnej, informacje o konfiguracji sieci muszą być podane w pliku konfiguracji usługi, a także w pliku konfiguracji sieci wirtualnej. Domyślnym rozszerzeniem pliku konfiguracji usługi jest .cscfg. Należy pamiętać, że Azure Policy nie jest obsługiwana w przypadku wdrożeń klasycznych w celu wymuszania konfiguracji.

Ustaw wartości konfiguracji usługi w chmurze w pliku konfiguracji usługi (cscfg) i definicję w pliku definicji usługi (csdef). Użyj pliku definicji usługi, aby zdefiniować model usługi dla aplikacji. Zdefiniuj role, które są dostępne dla usługi w chmurze, a także określ punkty końcowe usługi. Zarejestruj konfigurację usługi Azure Cloud Services przy użyciu pliku konfiguracji usługi. Każdą ponowną konfigurację można wykonać za pomocą pliku ServiceConfig.cscfg.

Monitoruj opcjonalną definicję usługi elementu NetworkTrafficRules, która ogranicza, które role mogą komunikować się z określonymi wewnętrznymi punktami końcowymi. Skonfiguruj węzeł NetworkTrafficRules, opcjonalny element w pliku definicji usługi, aby określić sposób komunikowania się ról ze sobą. Umieść limity, dla których role mogą uzyskiwać dostęp do wewnętrznych punktów końcowych określonej roli. Należy pamiętać, że nie można zmienić definicji usługi.

Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta usługi Azure Storage na potrzeby inspekcji. Wyślij dzienniki przepływu do obszaru roboczego usługi Log Analytics i użyj usługi Traffic Analytics, aby zapewnić wgląd w wzorce ruchu w dzierżawie platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci, identyfikowania punktów gorących i zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.3: Ochrona krytycznych aplikacji internetowych

Wskazówki: firma Microsoft używa protokołu Transport Layer Security (TLS) w wersji 1.2 do ochrony danych podczas podróży między usługą Azure Cloud Services a klientami. Centra danych firmy Microsoft negocjują połączenie TLS z systemami klienckimi, które łączą się z usługami platformy Azure. Protokół TLS zapewnia silne uwierzytelnianie, prywatność komunikatów i integralność (umożliwiając wykrywanie naruszenia, przechwytywania i fałszowania komunikatów), współdziałanie, elastyczność algorytmu oraz łatwość wdrażania i używania.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: Usługa Azure Cloud implementuje wielowarstwowe zabezpieczenia sieci w celu ochrony usług platformy przed atakami typu "odmowa usługi" (DDoS). Usługa Azure DDoS Protection jest częścią ciągłego procesu monitorowania chmury platformy Azure, który jest stale ulepszany przez testowanie penetracyjne. Ta ochrona przed atakami DDoS jest przeznaczona do niezależnie od ataków zewnętrznych, ale także z innych dzierżaw platformy Azure.

Istnieje kilka różnych sposobów blokowania lub odmowy komunikacji oprócz ochrony na poziomie platformy w ramach usługi Azure Cloud Services. Są to:

  • Tworzenie zadania uruchamiania w celu selektywnego blokowania określonych adresów IP
  • Ograniczanie dostępu roli internetowej platformy Azure do zestawu określonych adresów IP przez zmodyfikowanie pliku web.config usług IIS

Uniemożliwiaj ruch przychodzący do domyślnego adresu URL lub nazwy Cloud Services, na przykład .cloudapp.net. Ustaw nagłówek hosta na niestandardową nazwę DNS w obszarze konfiguracja powiązania lokacji w pliku definicji Cloud Services (csdef).

Skonfiguruj regułę Odmów zastosuj do klasycznych przypisań administratora subskrypcji. Domyślnie po zdefiniowaniu wewnętrznego punktu końcowego komunikacja może przepływać z dowolnej roli do wewnętrznego punktu końcowego roli bez żadnych ograniczeń. Aby ograniczyć komunikację, należy dodać element NetworkTrafficRules do elementu ServiceDefinition w pliku definicji usługi.

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówki: korzystanie z usługi Azure Network Watcher, monitorowania wydajności sieci, diagnostyki i analizy, która umożliwia monitorowanie sieci platformy Azure. Rozszerzenie maszyny wirtualnej agenta Network Watcher jest wymagane do przechwytywania ruchu sieciowego na żądanie oraz innych zaawansowanych funkcji w usłudze Azure Virtual Machines. Zainstaluj rozszerzenie maszyny wirtualnej agenta Network Watcher i włącz dzienniki przepływu sieciowej grupy zabezpieczeń.

Skonfiguruj rejestrowanie przepływu w sieciowej grupie zabezpieczeń. Przejrzyj szczegółowe informacje na temat wdrażania rozszerzenia maszyny wirtualnej Network Watcher na istniejącej maszynie wirtualnej wdrożonej za pośrednictwem klasycznego modelu wdrażania.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Wskazówki: usługa Azure Cloud Services nie ma wbudowanych funkcji IDS ani IPS. Klienci mogą wybierać i wdrażać dodatkowe rozwiązanie IDS lub IPS oparte na sieci na podstawie Azure Marketplace na podstawie wymagań organizacji. W przypadku korzystania z rozwiązań innych firm należy dokładnie przetestować wybrane rozwiązanie IDS lub IPS za pomocą usługi Azure Cloud Services w celu zapewnienia prawidłowej operacji i funkcjonalności.

Odpowiedzialność: Klient

1.7: Zarządzanie ruchem do aplikacji internetowych

Wskazówki: certyfikaty usług, które są dołączone do usługi Azure Cloud Services, umożliwiają bezpieczną komunikację z usługą i z niej. Te certyfikaty są definiowane w definicji usług i są automatycznie wdrażane na maszynie wirtualnej, na którym uruchomiono wystąpienie roli internetowej. Na przykład w przypadku roli internetowej można użyć certyfikatu usługi, który może uwierzytelnić uwidoczniony punkt końcowy HTTPS.

Aby zaktualizować certyfikat, wystarczy przekazać nowy certyfikat i zmienić wartość odcisku palca w pliku konfiguracji usługi.

Użyj protokołu TLS 1.2, najczęściej używanej metody zabezpieczania danych w celu zapewnienia poufności i ochrony integralności.

Ogólnie rzecz biorąc, aby chronić aplikacje internetowe i zabezpieczyć je przed atakami, takimi jak OWASP Top 10, można wdrożyć Azure Application Gateway z obsługą platformy Azure Web Application Firewall na potrzeby ochrony aplikacji internetowych.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: wzmacnianie konfiguracji usługi Azure Cloud Services i monitorowanie jej pod kątem zmian. Plik konfiguracji usługi określa liczbę wystąpień ról do wdrożenia dla każdej roli w usłudze, wartości dowolnego ustawienia konfiguracji oraz odciski palca dla wszystkich certyfikatów skojarzonych z rolą.

Jeśli usługa jest częścią sieci wirtualnej, informacje o konfiguracji sieci muszą być podane w pliku konfiguracji usługi, a także w pliku konfiguracji sieci wirtualnej. Domyślnym rozszerzeniem pliku konfiguracji usługi jest .cscfg.

Należy pamiętać, że Azure Policy nie jest obsługiwana w usłudze Azure Cloud Services w celu wymuszania konfiguracji.

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówki: sieciowe grupy zabezpieczeń platformy Azure mogą służyć do filtrowania ruchu sieciowego do i z zasobów platformy Azure w usłudze Azure Virtual Network. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na ruch sieciowy przychodzący do ruchu przychodzącego lub wychodzącego ruchu sieciowego z kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.

Użyj pola "Opis" dla poszczególnych reguł sieciowej grupy zabezpieczeń w usłudze Azure Cloud Services, aby udokumentować reguły, które zezwalają na ruch lub z sieci.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: użyj wbudowanych funkcji monitorowania punktu końcowego usługi Azure Traffic Manager i automatycznego trybu failover punktu końcowego. Ułatwiają one dostarczanie aplikacji o wysokiej dostępności, które są odporne na błędy punktów końcowych i regionów świadczenia usługi Azure. Aby skonfigurować monitorowanie punktu końcowego, należy określić określone ustawienia w profilu usługi Traffic Manager.

Zbieranie szczegółowych informacji z dziennika aktywności, logowania platformy na platformie Azure do zdarzeń na poziomie subskrypcji. Zawiera takie informacje, jak kiedy zasób jest modyfikowany lub kiedy maszyna wirtualna jest uruchomiona. Wyświetl dziennik aktywności w Azure Portal lub pobierz wpisy przy użyciu programu PowerShell i interfejsu wiersza polecenia.

Utwórz ustawienie diagnostyczne, aby wysłać dziennik aktywności do usługi Azure Monitor, Azure Event Hubs przesłać dalej poza platformę Azure lub do usługi Azure Storage na potrzeby archiwizacji. Skonfiguruj usługę Azure Monitor pod kątem alertów powiadomień, gdy zasoby krytyczne w usłudze Azure Cloud Services zostaną zmienione.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.1. Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: firma Microsoft utrzymuje źródła czasu dla zasobów platformy Azure dla usługi Azure Cloud Services. Klienci mogą potrzebować utworzyć regułę sieci, aby zezwolić na dostęp do serwera czasowego używanego w swoim środowisku za pośrednictwem portu 123 z protokołem UDP.

Odpowiedzialność: Współużytkowane

2.2. Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: Programowe korzystanie z danych przesyłanych strumieniowo w usłudze w chmurze przy użyciu Azure Event Hubs. Integrowanie i wysyłanie wszystkich tych danych do usługi Microsoft Sentinel w celu monitorowania i przeglądania dzienników lub używania rozwiązania SIEM innej firmy. W przypadku centralnego zarządzania dziennikami zabezpieczeń skonfiguruj ciągły eksport wybranych danych usługi Microsoft Defender for Cloud, aby Azure Event Hubs i skonfigurować odpowiedni łącznik dla rozwiązania SIEM. Poniżej przedstawiono kilka opcji usługi Microsoft Sentinel, w tym narzędzi innych firm:

  • Microsoft Sentinel — używanie natywnego łącznika danych alertów usługi Microsoft Defender for Cloud
  • Splunk — korzystanie z dodatku usługi Azure Monitor dla rozwiązania Splunk
  • IBM QRadar — używanie ręcznie skonfigurowanego źródła dziennika
  • ArcSight — korzystanie z programu SmartConnector

Zapoznaj się z dokumentacją usługi Microsoft Sentinel, aby uzyskać dodatkowe informacje na temat dostępnych łączników w usłudze Microsoft Sentinel.

Odpowiedzialność: Klient

2.3. Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: Konfigurowanie programu Visual Studio pod kątem konfigurowania Diagnostyka Azure na potrzeby rozwiązywania problemów z usługą Azure Cloud Services, która przechwytuje dane systemu i rejestrowania danych na maszynach wirtualnych, w tym wystąpień maszyn wirtualnych z uruchomioną usługą Azure Cloud Services. Dane diagnostyczne są przesyłane do wybranego konta magazynu. Przed wdrożeniem włącz diagnostykę w projektach usługi Azure Cloud Services.

Wyświetl historię zmian dla niektórych zdarzeń w dzienniku aktywności w usłudze Azure Monitor. Przeprowadź inspekcję zmian w okresie zdarzenia. Wybierz zdarzenie z dziennika aktywności, aby uzyskać bardziej szczegółowe informacje na karcie Historia zmian (wersja zapoznawcza). Wysyłanie danych diagnostycznych do usługi Application Insights podczas publikowania Cloud Services platformy Azure z poziomu programu Visual Studio. Utwórz zasób platformy Azure usługi Application Insights w tym czasie lub wyślij dane do istniejącego zasobu platformy Azure.

Usługa Azure Cloud Services może być monitorowana przez usługę Application Insights pod kątem dostępności, wydajności, awarii i użycia. Wykresy niestandardowe można dodać do usługi Application Insights, aby zobaczyć dane, które mają największe znaczenie. Dane wystąpienia roli można zbierać przy użyciu zestawu SDK usługi Application Insights w projekcie usługi Azure Cloud Services.

Odpowiedzialność: Klient

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: możesz użyć zaawansowanego monitorowania z usługą Azure Cloud Services, która umożliwia próbkowania i zbierania dodatkowych metryk w odstępach czasu 5 minut, 1 godziny i 12 godzin. Zagregowane dane są przechowywane na koncie magazynu, w tabelach i są czyszczone po 10 dniach. Jednak używane konto magazynu jest konfigurowane przez rolę i można użyć różnych kont magazynu dla różnych ról. Jest to skonfigurowane z parametrami połączenia w plikach csdef i cscfg.

Należy pamiętać, że zaawansowane monitorowanie obejmuje użycie rozszerzenia Diagnostyka Azure (zestaw SDK usługi Application Insights jest opcjonalny) w roli, którą chcesz monitorować. Rozszerzenie diagnostyki używa pliku konfiguracji (na rolę) o nazwie diagnostics.wadcfgx w celu skonfigurowania monitorowanych metryk diagnostycznych. Rozszerzenie diagnostyki platformy Azure zbiera i przechowuje dane na koncie usługi Azure Storage. Te ustawienia są konfigurowane w plikach .wadcfgx, csdef i cscfg.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: Podstawowe lub zaawansowane tryby monitorowania są dostępne dla usługi Azure Cloud Services. Usługa Azure Cloud Services automatycznie zbiera podstawowe dane monitorowania (procent procesora CPU, sieć w/wy i odczyt/zapis dysku) z maszyny wirtualnej hosta. Wyświetl zebrane dane monitorowania na stronach przeglądów i metryk usługi w chmurze w Azure Portal.

Włącz diagnostykę w usłudze Azure Cloud Services, aby zbierać dane diagnostyczne, takie jak dzienniki aplikacji, liczniki wydajności i nie tylko, korzystając z rozszerzenia Diagnostyka Azure. Włącz lub zaktualizuj konfigurację diagnostyki w usłudze w chmurze, która jest już uruchomiona za pomocą polecenia cmdlet Set-AzureServiceDiagnosticsExtension lub automatycznie wdróż usługę w chmurze z rozszerzeniem diagnostycznym. Opcjonalnie zainstaluj zestaw SDK usługi Application Insights. Wysyłanie liczników wydajności do usługi Azure Monitor.

Rozszerzenie diagnostyki platformy Azure zbiera i przechowuje dane na koncie usługi Azure Storage. Transfer danych diagnostycznych do emulatora Microsoft Azure Storage lub do usługi Azure Storage, ponieważ nie jest on trwale przechowywany. W magazynie można go wyświetlić z jednym z kilku dostępnych narzędzi, takich jak Eksplorator serwera w programie Visual Studio, Eksplorator usługi Microsoft Azure Storage, Azure Management Studio. Skonfiguruj metryki diagnostyczne do monitorowania za pomocą pliku konfiguracji (na rolę) o nazwie diagnostics.wadcfgx w rozszerzeniu diagnostycznym.

Odpowiedzialność: Klient

2.7. Włączanie alertów dla nietypowych działań

Wskazówki: dane dziennika usługi Azure Cloud Services można monitorować, integrując się z usługą Microsoft Sentinel lub za pomocą rozwiązania SIEM innej firmy, przez włączenie alertów dotyczących nietypowych działań.

Odpowiedzialność: Klient

2.8: Scentralizowane rejestrowanie chroniące przed złośliwym oprogramowaniem

Wskazówki: Microsoft Antimalware dla platformy Azure, chroni Cloud Services platformy Azure i maszyny wirtualne. Istnieje również możliwość wdrożenia rozwiązań zabezpieczeń innych firm, takich jak ściany pożarowe aplikacji internetowej, zapory sieciowe, oprogramowanie chroniące przed złośliwym kodem, systemy wykrywania i zapobiegania włamaniom (IDS lub IPS) i nie tylko.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1. Utrzymywanie spisu kont administracyjnych

Wskazówki: firma Microsoft zaleca zarządzanie dostępem do zasobów platformy Azure przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC). Jednak usługa Azure Cloud Services nie obsługuje modelu RBAC platformy Azure, ponieważ nie jest to usługa oparta na usłudze Azure Resource Manager i musisz użyć klasycznej subskrypcji

Domyślnie administrator konta, administrator usługi i Co-Administrator są trzema klasycznymi rolami administratora subskrypcji na platformie Azure.

Klasyczni administratorzy subskrypcji mają pełny dostęp do subskrypcji platformy Azure. Mogą zarządzać zasobami przy użyciu witryny Azure Portal, interfejsów API usługi Azure Resource Manager i interfejsów API klasycznego modelu wdrożenia. Konto używane do rejestracji na platformie Azure zostanie automatycznie przypisane do administratora konta i administratora usługi. Dodatkowe Co-Administrators można dodać później.

Administrator i współadministratorzy usługi mają takie same uprawnienia dostępu co użytkownicy, którzy mają przypisaną rolę Właściciel (rolę platformy Azure) w zakresie subskrypcji. Zarządzanie Co-Administrators lub wyświetlanie administratora usługi przy użyciu karty Administratorzy klasyczni w Azure Portal.

Wyświetl listę przypisań ról dla klasycznego administratora usługi i współadministratorów za pomocą programu PowerShell za pomocą polecenia :

Get-AzRoleAssignment -IncludeClassicAdministrators

Odpowiedzialność: Klient

3.3. Korzystanie z dedykowanych kont administracyjnych

Wskazówki: zaleca się tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych na podstawie dostępnych ról i uprawnień wymaganych do obsługi zasobów platformy Azure Cloud Services i zarządzania nimi.

Odpowiedzialność: Klient

3.4. Korzystanie z logowania jednokrotnego w usłudze Azure Active Directory

Wskazówki: Unikaj zarządzania oddzielnymi tożsamościami dla aplikacji działających na platformie Azure Cloud Services. Zaimplementuj logowanie jednokrotne, aby uniknąć konieczności zarządzania wieloma tożsamościami i poświadczeniami przez użytkowników.

Odpowiedzialność: Klient

3.6: Używanie dedykowanych maszyn (uprzywilejowanych stacji roboczych dostępu) dla wszystkich zadań administracyjnych

Wskazówki: Zaleca się używanie bezpiecznej, zarządzanej przez platformę Azure stacji roboczej (nazywanej również stacją roboczą uprzywilejowanego dostępu) do zadań administracyjnych, które wymagają podwyższonych uprawnień.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu poufnych informacji

Wskazówki: Użyj interfejsów API REST usługi Azure Cloud Service do spisu zasobów usługi Azure Cloud Service w celu uzyskania poufnych informacji. Sonduj wdrożone zasoby usługi w chmurze, aby uzyskać konfigurację i zasoby pkg.

Na przykład poniżej wymieniono kilka interfejsów API:

  • Pobieranie wdrożenia — operacja pobierania wdrożenia zwraca informacje o konfiguracji, stan i właściwości systemu dla wdrożenia.
  • Pobieranie pakietu — operacja Pobierania pakietu pobiera pakiet usługi w chmurze dla wdrożenia i przechowuje pliki pakietów w usłudze Microsoft Azure Blob Storage
  • Pobieranie właściwości usługi w chmurze — operacja Pobierania właściwości usługi w chmurze pobiera właściwości dla określonej usługi w chmurze

Zapoznaj się z dokumentacją interfejsów API REST usługi Azure Cloud Service i utwórz proces ochrony poufnych informacji na podstawie wymagań organizacji.

Odpowiedzialność: Klient

4.2. Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: implementowanie izolacji przy użyciu oddzielnych subskrypcji i grup zarządzania dla poszczególnych domen zabezpieczeń, takich jak typ środowiska i poziom poufności danych dla usługi Azure Cloud Services.

Możesz również edytować element "permissionLevel" w elemecie Certyfikat usługi Azure Cloud Service, aby określić uprawnienia dostępu przyznane procesom roli. Jeśli chcesz, aby tylko procesy z podwyższonym poziomem uprawnień mogły uzyskać dostęp do klucza prywatnego, określ uprawnienie z podwyższonym poziomem uprawnień. uprawnienie limitedOrElevated umożliwia wszystkim procesom roli dostęp do klucza prywatnego. Możliwe wartości są ograniczoneOrElevated lub podniesione. Wartość domyślna jest ograniczonaOrElevated.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: zaleca się użycie rozwiązania innej firmy z Azure Marketplace w obwodach sieci do monitorowania nieautoryzowanego transferu poufnych informacji i blokowania takich transferów podczas zgłaszania alertów specjalistów ds. zabezpieczeń informacji.

Odpowiedzialność: Współużytkowane

4.4. Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: konfigurowanie protokołu TLS w wersji 2 dla usługi Azure Cloud Services. Użyj Azure Portal, aby dodać certyfikat do przygotowanego wdrożenia usługi Azure Cloud Services i dodać informacje o certyfikacie do plików CSDEF i CSCFG usług. Ponownie spakuj aplikację i zaktualizuj wdrożenie etapowe, aby używać nowego pakietu.

Użyj certyfikatów usług na platformie Azure, które są dołączone do usługi Azure Cloud Services, aby umożliwić bezpieczną komunikację z usługą i z niej. Podaj certyfikat, który może uwierzytelniać uwidoczniony punkt końcowy HTTPS. Zdefiniuj certyfikaty usługi w definicji usługi w chmurze i automatycznie wdróż je na maszynie wirtualnej, uruchamiając wystąpienie roli.

Uwierzytelnianie przy użyciu interfejsu API zarządzania przy użyciu certyfikatów zarządzania) Certyfikaty zarządzania umożliwiają uwierzytelnianie przy użyciu klasycznego modelu wdrażania. Wiele programów i narzędzi (takich jak program Visual Studio lub zestaw Azure SDK) używa tych certyfikatów do zautomatyzowania konfigurowania i wdrażania różnych usług platformy Azure.

Aby uzyskać dodatkowe informacje, klasyczny interfejs API modelu wdrażania zapewnia programowy dostęp do klasycznych funkcji modelu wdrażania dostępnych za pośrednictwem Azure Portal. Zestaw Azure SDK dla języka Python może służyć do zarządzania kontami platformy Azure Cloud Services i usługi Azure Storage. Zestaw Azure SDK dla języka Python opakowuje klasyczny interfejs API modelu wdrażania, interfejs API REST. Wszystkie operacje interfejsu API są wykonywane za pośrednictwem protokołu TLS i wzajemnie uwierzytelniane przy użyciu certyfikatów X.509 v3. Dostęp do usługi zarządzania można uzyskać z poziomu usługi uruchomionej na platformie Azure. Dostęp do niego można również uzyskać bezpośrednio za pośrednictwem Internetu z dowolnej aplikacji, która może wysyłać żądanie HTTPS i odbierać odpowiedź HTTPS.

Odpowiedzialność: Współużytkowane

4.5: Używanie aktywnego narzędzia odnajdywania do identyfikowania poufnych danych

Wskazówki: zaleca się użycie narzędzia do odnajdywania aktywnego odnajdywania innej firmy w celu zidentyfikowania wszystkich poufnych informacji przechowywanych, przetworzonych lub przesyłanych przez systemy technologiczne organizacji, w tym tych znajdujących się w lokacji lub u dostawcy usług zdalnych, a następnie zaktualizowania spisu informacji poufnych organizacji.

Odpowiedzialność: Współużytkowane

4.7: Używanie ochrony przed utratą danych opartych na hoście w celu wymuszania kontroli dostępu

Wskazówki: Nie dotyczy usługi w chmurze (klasycznej). Nie wymusza ochrony przed utratą danych.

Zaleca się zaimplementowanie narzędzia innej firmy, takiego jak zautomatyzowane rozwiązanie do zapobiegania utracie danych oparte na hoście w celu wymuszania kontroli dostępu do danych nawet wtedy, gdy dane są kopiowane z systemu.

W przypadku bazowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i jest bardzo długa, aby chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

4.8: Szyfrowanie poufnych informacji magazynowanych

Wskazówki: usługa Azure Cloud Services nie obsługuje szyfrowania magazynowanych. Dzieje się tak, ponieważ usługa Azure Cloud Services została zaprojektowana tak, aby bezstanowa. Usługa Azure Cloud Services obsługuje magazyn zewnętrzny, na przykład Azure Storage, który jest domyślnie szyfrowany w spoczynku.

Dane aplikacji przechowywane na dyskach tymczasowych nie są szyfrowane. Klient jest odpowiedzialny za zarządzanie tymi danymi i ich szyfrowanie zgodnie z wymaganiami.

Odpowiedzialność: Klient

4.9: Rejestrowanie i alerty dotyczące zmian w krytycznych zasobach platformy Azure

Wskazówki: możesz użyć klasycznych alertów metryk w usłudze Azure Monitor, aby otrzymywać powiadomienia, gdy jedna z metryk zastosowana do zasobów krytycznych przekroczy próg. Alerty dotyczące metryk klasycznych to starsza funkcja umożliwiająca zgłaszanie alertów tylko dla metryk niewymiarowych. Istnieje nowsza funkcja o nazwie Alerty metryk, które poprawiły funkcjonalność alertów dotyczących metryk klasycznych.

Ponadto usługa Application Insights może monitorować aplikacje usługi Azure Cloud Services pod kątem dostępności, wydajności, awarii i użycia. Używa to połączonych danych z zestawów SDK usługi Application Insights z danymi Diagnostyka Azure z usługi Azure Cloud Services.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.2: Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami systemu operacyjnego

Wskazówka: Należy pamiętać, że te informacje odnoszą się do systemu operacyjnego gościa platformy Azure dla procesu roboczego usługi Azure Cloud Services i ról internetowych z platformą jako usługą (PaaS). Nie ma jednak zastosowania do Virtual Machines z infrastrukturą jako usługą (IaaS).

Domyślnie platforma Azure okresowo aktualizuje system operacyjny gościa klienta do najnowszego obsługiwanego obrazu w rodzinie systemów operacyjnych określonych w konfiguracji usługi (cscfg), na przykład Windows Server 2016.

Gdy klient wybierze określoną wersję systemu operacyjnego dla wdrożenia usługi Azure Cloud Services, wyłącza automatyczne aktualizacje systemu operacyjnego i wprowadza poprawki odpowiedzialności. Klient musi upewnić się, że ich wystąpienia ról otrzymują aktualizacje lub mogą uwidocznić aplikację w lukach w zabezpieczeniach.

Odpowiedzialność: Współużytkowane

5.3: Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami dla tytułów oprogramowania innych firm

Wskazówki: Korzystanie z rozwiązania do zarządzania poprawkami innej firmy. Klienci korzystający już z Configuration Manager w swoim środowisku mogą również używać programu System Center Aktualizacje Publisher, umożliwiając im publikowanie niestandardowych aktualizacji w usłudze Windows Server Update Service.

Dzięki temu rozwiązanie Update Management może stosować poprawki maszyn, które używają Configuration Manager jako repozytorium aktualizacji z oprogramowaniem innych firm.

Odpowiedzialność: Klient

5.5: Użyj procesu oceny ryzyka, aby ustalić priorytety korygowania wykrytych luk w zabezpieczeniach

Wskazówki: zaleca się, aby klient w sposób ciągły zrozumiał zakres ryzyka związanego z atakiem DDoS.

Zalecamy zapoznanie się z tymi scenariuszami:

  • Jakie nowe publicznie dostępne zasoby platformy Azure wymagają ochrony?
  • Czy w usłudze występuje pojedynczy punkt awarii?
  • W jaki sposób usługi mogą być izolowane, aby ograniczyć wpływ ataku, jednocześnie udostępniając usługi prawidłowym klientom?
  • Czy istnieją sieci wirtualne, w których należy włączyć usługę DDoS Protection w warstwie Standardowa, ale nie?
  • Czy moje usługi są aktywne/aktywne w trybie failover w wielu regionach?

Dokumentacją:

Odpowiedzialność: Klient

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1: Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Nie dotyczy usługi Azure Cloud Services. To zalecenie dotyczy zasobów obliczeniowych IaaS.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: Zaleca się regularne uzgadnianie spisu i zapewnienie, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Odpowiedzialność: Klient

6.4: Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: Klient powinien zdefiniować zatwierdzone zasoby platformy Azure i zatwierdzone oprogramowanie dla zasobów obliczeniowych.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: skorzystaj z funkcji adaptacyjnej kontroli aplikacji dostępnej w usłudze Microsoft Defender for Cloud. Jest to inteligentne, zautomatyzowane, kompleksowe rozwiązanie z usługi Microsoft Defender for Cloud, które ułatwia kontrolowanie aplikacji, które można uruchamiać na maszynach z systemami Windows i Linux, azure i spoza platformy Azure. Pomaga również chronić maszyny przed złośliwym oprogramowaniem.

Ta funkcja jest dostępna zarówno dla platformy Azure, jak i systemu Windows spoza platformy Azure (wszystkie wersje, klasyczne lub azure Resource Manager) i maszyn z systemem Linux.

Usługa Microsoft Defender for Cloud używa uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy dozwolonych na podstawie tej analizy. Ta funkcja znacznie upraszcza proces konfigurowania i obsługi zasad listy dozwolonych aplikacji, co pozwala na:

  • Blokuj lub ostrzegaj o próbach uruchomienia złośliwych aplikacji, w tym tych, które w przeciwnym razie mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem.

  • Zachowanie zgodności z zasadami zabezpieczeń organizacji, które nakazują korzystanie wyłącznie z licencjonowanego oprogramowania.

  • Unikanie używania w danym środowisku niechcianego oprogramowania.

  • Unikanie uruchamiania starych i nieobsługiwanych aplikacji.

  • Zapobieganie używaniu określonych programów narzędziowych, które nie są dozwolone w organizacji.

  • Umożliwianie informatykom sterowania dostępem do poufnych danych za pomocą aplikacji.

Więcej szczegółów można znaleźć w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

6.6: Monitorowanie niezatwierdzonych aplikacji programowych w ramach zasobów obliczeniowych

Wskazówki: skorzystaj z funkcji adaptacyjnej kontroli aplikacji dostępnej w usłudze Microsoft Defender for Cloud. Jest to inteligentne, zautomatyzowane, kompleksowe rozwiązanie z usługi Microsoft Defender for Cloud, które ułatwia kontrolowanie aplikacji, które można uruchamiać na maszynach z systemami Windows i Linux, azure i spoza platformy Azure. Pomaga również chronić maszyny przed złośliwym oprogramowaniem.

Ta funkcja jest dostępna zarówno dla platformy Azure, jak i systemu Windows spoza platformy Azure (wszystkie wersje, klasyczne lub azure Resource Manager) i maszyn z systemem Linux.

Usługa Microsoft Defender for Cloud używa uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy dozwolonych na podstawie tej analizy. Ta funkcja znacznie upraszcza proces konfigurowania i obsługi zasad listy dozwolonych aplikacji, co pozwala na:

  • Blokuj lub ostrzegaj o próbach uruchomienia złośliwych aplikacji, w tym tych, które w przeciwnym razie mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem.

  • Zachowanie zgodności z zasadami zabezpieczeń organizacji, które nakazują korzystanie wyłącznie z licencjonowanego oprogramowania.

  • Unikanie używania w danym środowisku niechcianego oprogramowania.

  • Unikanie uruchamiania starych i nieobsługiwanych aplikacji.

  • Zapobieganie używaniu określonych programów narzędziowych, które nie są dozwolone w organizacji.

  • Umożliwianie informatykom sterowania dostępem do poufnych danych za pomocą aplikacji.

Więcej szczegółów można znaleźć w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

6.7: Usuwanie niezatwierdzonych zasobów i aplikacji platformy Azure

Wskazówki: skorzystaj z funkcji adaptacyjnej kontroli aplikacji dostępnej w usłudze Microsoft Defender for Cloud. Jest to inteligentne, zautomatyzowane, kompleksowe rozwiązanie z usługi Microsoft Defender for Cloud, które ułatwia kontrolowanie aplikacji, które można uruchamiać na maszynach z systemami Windows i Linux, azure i spoza platformy Azure. Pomaga również chronić maszyny przed złośliwym oprogramowaniem.

Ta funkcja jest dostępna zarówno dla platformy Azure, jak i systemu Windows spoza platformy Azure (wszystkie wersje, klasyczne lub azure Resource Manager) i maszyn z systemem Linux.

Usługa Microsoft Defender for Cloud używa uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy dozwolonych na podstawie tej analizy. Ta funkcja znacznie upraszcza proces konfigurowania i obsługi zasad listy dozwolonych aplikacji, co pozwala na:

  • Blokuj lub ostrzegaj o próbach uruchomienia złośliwych aplikacji, w tym tych, które w przeciwnym razie mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem.

  • Zachowanie zgodności z zasadami zabezpieczeń organizacji, które nakazują korzystanie wyłącznie z licencjonowanego oprogramowania.

  • Unikanie używania w danym środowisku niechcianego oprogramowania.

  • Unikanie uruchamiania starych i nieobsługiwanych aplikacji.

  • Zapobieganie używaniu określonych programów narzędziowych, które nie są dozwolone w organizacji.

  • Umożliwianie informatykom sterowania dostępem do poufnych danych za pomocą aplikacji.

Więcej szczegółów można znaleźć w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

6.8: Używanie tylko zatwierdzonych aplikacji

Wskazówki: skorzystaj z funkcji adaptacyjnej kontroli aplikacji dostępnej w usłudze Microsoft Defender for Cloud. Jest to inteligentne, zautomatyzowane, kompleksowe rozwiązanie z usługi Microsoft Defender for Cloud, które ułatwia kontrolowanie aplikacji, które można uruchamiać na maszynach z systemami Windows i Linux, azure i spoza platformy Azure. Pomaga również chronić maszyny przed złośliwym oprogramowaniem.

Ta funkcja jest dostępna zarówno dla platformy Azure, jak i systemu Windows spoza platformy Azure (wszystkie wersje, klasyczne lub azure Resource Manager) i maszyn z systemem Linux.

Usługa Microsoft Defender for Cloud używa uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy dozwolonych na podstawie tej analizy. Ta funkcja znacznie upraszcza proces konfigurowania i obsługi zasad listy dozwolonych aplikacji, co pozwala na:

  • Blokuj lub ostrzegaj o próbach uruchomienia złośliwych aplikacji, w tym tych, które w przeciwnym razie mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem.

  • Zachowanie zgodności z zasadami zabezpieczeń organizacji, które nakazują korzystanie wyłącznie z licencjonowanego oprogramowania.

  • Unikanie używania w danym środowisku niechcianego oprogramowania.

  • Unikanie uruchamiania starych i nieobsługiwanych aplikacji.

  • Zapobieganie używaniu określonych programów narzędziowych, które nie są dozwolone w organizacji.

  • Umożliwianie informatykom sterowania dostępem do poufnych danych za pomocą aplikacji.

Więcej szczegółów można znaleźć w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

6.10: Utrzymywanie spisu zatwierdzonych tytułów oprogramowania

Wskazówki: skorzystaj z funkcji adaptacyjnej kontroli aplikacji dostępnej w usłudze Microsoft Defender for Cloud. Jest to inteligentne, zautomatyzowane, kompleksowe rozwiązanie z usługi Microsoft Defender for Cloud, które ułatwia kontrolowanie aplikacji, które można uruchamiać na maszynach z systemami Windows i Linux, azure i spoza platformy Azure. Pomaga również chronić maszyny przed złośliwym oprogramowaniem.

Ta funkcja jest dostępna zarówno dla platformy Azure, jak i systemu Windows spoza platformy Azure (wszystkie wersje, klasyczne lub azure Resource Manager) i maszyn z systemem Linux.

Usługa Microsoft Defender for Cloud używa uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy dozwolonych na podstawie tej analizy. Ta funkcja znacznie upraszcza proces konfigurowania i obsługi zasad listy dozwolonych aplikacji, co pozwala na:

  • Blokuj lub ostrzegaj o próbach uruchomienia złośliwych aplikacji, w tym tych, które w przeciwnym razie mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem.

  • Zachowanie zgodności z zasadami zabezpieczeń organizacji, które nakazują korzystanie wyłącznie z licencjonowanego oprogramowania.

  • Unikanie używania w danym środowisku niechcianego oprogramowania.

  • Unikanie uruchamiania starych i nieobsługiwanych aplikacji.

  • Zapobieganie używaniu określonych programów narzędziowych, które nie są dozwolone w organizacji.

  • Umożliwianie informatykom sterowania dostępem do poufnych danych za pomocą aplikacji.

Więcej szczegółów można znaleźć w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

6.12: Ograniczanie możliwości wykonywania skryptów przez użytkowników w zasobach obliczeniowych

Wskazówki: skorzystaj z funkcji adaptacyjnej kontroli aplikacji dostępnej w usłudze Microsoft Defender for Cloud. Jest to inteligentne, zautomatyzowane, kompleksowe rozwiązanie z usługi Microsoft Defender for Cloud, które ułatwia kontrolowanie aplikacji, które można uruchamiać na maszynach z systemami Windows i Linux, azure i spoza platformy Azure. Pomaga również chronić maszyny przed złośliwym oprogramowaniem.

Ta funkcja jest dostępna zarówno dla platformy Azure, jak i systemu Windows spoza platformy Azure (wszystkie wersje, klasyczne lub azure Resource Manager) i maszyn z systemem Linux.

Usługa Microsoft Defender for Cloud używa uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy dozwolonych na podstawie tej analizy. Ta funkcja znacznie upraszcza proces konfigurowania i obsługi zasad listy dozwolonych aplikacji, co pozwala na:

  • Blokuj lub ostrzegaj o próbach uruchomienia złośliwych aplikacji, w tym tych, które w przeciwnym razie mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem.

  • Zachowanie zgodności z zasadami zabezpieczeń organizacji, które nakazują korzystanie wyłącznie z licencjonowanego oprogramowania.

  • Unikanie używania w danym środowisku niechcianego oprogramowania.

  • Unikanie uruchamiania starych i nieobsługiwanych aplikacji.

  • Zapobieganie używaniu określonych programów narzędziowych, które nie są dozwolone w organizacji.

  • Umożliwianie informatykom sterowania dostępem do poufnych danych za pomocą aplikacji.

Więcej szczegółów można znaleźć w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Wskazówki: W przypadku aplikacji poufnych lub aplikacji wysokiego ryzyka za pomocą usługi Azure Cloud Services zaimplementuj oddzielne subskrypcje lub grupy zarządzania w celu zapewnienia izolacji.

Użyj sieciowej grupy zabezpieczeń, utwórz regułę zabezpieczeń dla ruchu przychodzącego, wybierz usługę, taką jak http, wybierz również port niestandardowy, nadaj mu priorytet i nazwę. Priorytet ma wpływ na kolejność, w jakiej są stosowane reguły, im niższa wartość liczbowa, tym wcześniej jest stosowana reguła. Należy skojarzyć sieciową grupę zabezpieczeń z podsiecią lub określonym interfejsem sieciowym, aby odizolować lub podzielić ruch sieciowy na podstawie potrzeb biznesowych.

Więcej szczegółów można znaleźć w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: Skorzystaj z zaleceń usługi Microsoft Defender for Cloud jako bezpiecznego punktu odniesienia konfiguracji dla zasobów usługi Azure Cloud Services.

W Azure Portal wybierz pozycję Microsoft Defender for Cloud, a następnie pozycję Aplikacje obliczeniowe & i azure Cloud Services, aby wyświetlić zalecenia dotyczące zasobów usługi.

Odpowiedzialność: Klient

7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: Nie dotyczy usługi Azure Cloud Services. Jest on oparty na klasycznym modelu wdrażania. Zaleca się używanie rozwiązania innej firmy do obsługi bezpiecznych konfiguracji zasobów platformy Azure

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: plik konfiguracji usługi Azure Cloud Service przechowuje atrybuty operacyjne zasobu. Kopię plików konfiguracji można przechowywać na bezpiecznym koncie magazynu.

Odpowiedzialność: Klient

7.7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: Nie dotyczy usługi Azure Cloud Services. Jest ona oparta na klasycznym modelu wdrażania i nie może być zarządzana przez narzędzia konfiguracji oparte na wdrożeniu na platformie Azure Resource Manager.

Odpowiedzialność: Klient

7.8: Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych

Wskazówki: Nie dotyczy usługi Azure Cloud Services. To zalecenie dotyczy zasobów obliczeniowych opartych na infrastrukturze jako usłudze (IaaS).

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Użyj usługi Microsoft Defender for Cloud, aby przeprowadzić skanowanie linii bazowej dla zasobów platformy Azure.

Odpowiedzialność: Klient

7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych

Wskazówki: w usłudze Microsoft Defender dla Chmury wybierz pozycję Aplikacje obliczeniowe & i postępuj zgodnie z zaleceniami dotyczącymi maszyn wirtualnych, serwerów i kontenerów.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: usługa Azure Cloud Services jest oparta na klasycznym modelu wdrażania i nie jest zintegrowana z usługą Azure Key Vault.

Możesz zabezpieczyć wpisy tajne, takie jak poświadczenia używane w usłudze Azure Cloud Services, aby nie trzeba było wpisywać hasła za każdym razem. Aby rozpocząć, określ hasło w postaci zwykłego tekstu, przekonwertuj je na bezpieczny ciąg przy użyciu polecenia ConvertTo-SecureString, programu PowerShell. Następnie przekonwertuj ten bezpieczny ciąg na zaszyfrowany ciąg standardowy przy użyciu funkcji ConvertFrom-SecureString. Teraz możesz zapisać ten zaszyfrowany ciąg standardowy w pliku przy użyciu polecenia Set-Content.

Ponadto zaleca się przechowywanie kluczy prywatnych dla certyfikatów używanych w usłudze Azure Cloud Services do zabezpieczonego magazynu.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówka: Zabezpieczanie wpisów tajnych, takich jak poświadczenia używane w usłudze Azure Cloud Services, dzięki czemu nie trzeba wpisywać hasła za każdym razem.

Aby rozpocząć, określ hasło w postaci zwykłego tekstu, zmień je na bezpieczny ciąg przy użyciu polecenia ConvertTo-SecureString, programu PowerShell. Następnie przekonwertuj ten bezpieczny ciąg na zaszyfrowany ciąg standardowy przy użyciu funkcji ConvertFrom-SecureString. Teraz zapisz ten zaszyfrowany ciąg standardowy w pliku przy użyciu polecenia Set-Content.

Przechowuj klucze prywatne dla certyfikatów używanych w usłudze Azure Cloud Services do zabezpieczonej lokalizacji magazynu.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.1: Korzystanie z zarządzanego centralnie oprogramowania chroniącego przed złośliwym kodem

Wskazówki: Microsoft Antimalware dla platformy Azure jest dostępna dla platformy Azure Cloud Services i Virtual Machines. Jest to bezpłatna ochrona w czasie rzeczywistym, która pomaga identyfikować i usuwać wirusy, programy szpiegujące i inne złośliwe oprogramowanie. Generuje alerty, gdy znane złośliwe lub niechciane oprogramowanie próbuje zainstalować się lub uruchomić w systemach platformy Azure.

Użyj polecenia cmdlet programu PowerShell chroniącego przed złośliwym kodem, aby uzyskać konfigurację oprogramowania chroniącego przed złośliwym kodem z poleceniem "Get-AzureServiceAntimalwareConfig".

Włącz rozszerzenie chroniące przed złośliwym kodem za pomocą skryptu programu PowerShell w zadaniu uruchamiania na platformie Azure Cloud Services.

Wybierz funkcję adaptacyjnego sterowania aplikacjami w usłudze Microsoft Defender dla Chmury, inteligentnego, zautomatyzowanego, kompleksowego rozwiązania. Pomaga ona chronić maszyny przed złośliwym oprogramowaniem i umożliwia blokowanie lub zgłaszanie alertów dotyczących prób uruchomienia złośliwych aplikacji, w tym tych, które w przeciwnym razie mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1: Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziło do alertu.

Wyraźnie oznacz subskrypcje (na przykład produkcyjne, nieprodukcyjne) i utwórz system nazewnictwa, aby wyraźnie identyfikować i kategoryzować zasoby platformy Azure.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że dostęp do danych klienta był uzyskiwany przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówka: Użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w przypadku alertów zabezpieczeń i zaleceń.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki