Punkt odniesienia zabezpieczeń platformy Azure dla usługi Cost Management

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Microsoft Azure Cost Management. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń definiowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące usługi Cost Management.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrole nie mają zastosowania do usługi Cost Management, a te, dla których zalecane są globalne wskazówki, zostały wykluczone. Aby zobaczyć, jak usługa Cost Management całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Cost Management.

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

ZT-1: Ujednolicenie usługi Azure Active Directory jako centralnego systemu obsługi tożsamości i uwierzytelniania

Wskazówki: usługa Azure Cost Management jest zintegrowana z usługą Azure Active Directory (Azure AD), która jest domyślną usługą zarządzania tożsamościami i dostępem platformy Azure. Należy przeprowadzić standaryzację w oparciu o usługę Azure AD, aby zarządzać tożsamościami i dostępem w organizacji w następujących obszarach:

  • Zasoby w chmurze firmy Microsoft, takie jak Azure Portal, Azure Storage, Azure Virtual Machines (Linux i Windows), Azure Key Vault, PaaS i SaaS.
  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczenie usługi Azure AD powinno być jednym z najważniejszych priorytetów w zakresie zabezpieczeń w chmurze organizacji. Usługa Azure AD oferuje wskaźnik bezpieczeństwa tożsamości, który pomaga ocenić stan zabezpieczeń tożsamości względem zaleceń firmy Microsoft dotyczących najlepszych rozwiązań. Użyj tego wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań oraz poprawić stan zabezpieczeń.

Uwaga: usługa Azure AD obsługuje zewnętrznych dostawców tożsamości, którzy umożliwiają użytkownikom nieposiadającym konta Microsoft logowanie się do aplikacji i zasobów za pomocą tożsamości zewnętrznej.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Azure Cost Management używa usługi Azure Active Directory (Azure AD), aby zapewnić zarządzanie tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Obejmuje to tożsamości przedsiębiorstwa, takie jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Umożliwia to logowanie jednokrotne w celu zarządzania i bezpiecznego dostępu do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu, lepszego wglądu i większej kontroli.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

DU-1: Ochrona i ograniczanie użytkowników o wysokim poziomie uprawnień

Wskazówki: usługa Cost Management dla umów Enterprise Agreement (EA) ma poniższe konto o wysokim poziomie uprawnień.

  • Administratora przedsiębiorstwa

Zaleca się przeprowadzanie rutynowego przeglądu użytkowników przypisanych do ról w ramach umowy Enterprise Agreement (EA).

Zalecane jest również, aby ograniczyć liczbę kont lub ról z wysokim poziomem uprawnień oraz zapewnić ochronę tych kont na podwyższonym poziomie, ponieważ użytkownicy z tymi uprawnieniami mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure.

Możesz włączyć uprzywilejowany dostęp just in time (JIT) do zasobów platformy Azure i usługi Azure Active Directory (Azure AD) przy użyciu Azure AD Privileged Identity Management (PIM). Dostęp JIT polega na przyznawaniu uprawnień tymczasowych do wykonywania zadań uprzywilejowanych tylko wtedy, gdy użytkownicy ich potrzebują. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanych lub niebezpiecznych działań w ramach organizacji usługi Azure AD.

Odpowiedzialność: Klient

DU-3: Regularny przegląd i uzgadnianie dostępu użytkowników

Wskazówki: usługa Azure Cost Management opiera się na odpowiednim dostępie w celu wyświetlania danych dotyczących kosztów organizacji i zarządzania nimi. Dostęp jest kontrolowany przy użyciu kontroli dostępu opartej na rolach (Azure RBAC) na poziomie subskrypcji i za pośrednictwem ról administracyjnych, z umowami Enterprise Agreement (EA) lub Microsoft Customer Agreement (MCA) dla zakresów rozliczeń. Należy regularnie przeprowadzać inspekcję i przegląd regularnie udzielonego dostępu, aby upewnić się, że użytkownicy lub grupy mają wymagany dostęp.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: usługa Azure Cost Management integruje się z kontrolą dostępu opartą na rolach (RBAC) na platformie Azure w celu zarządzania zasobami (np. budżetami, zapisanymi raportami itp.). Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, grup i jednostek usługi. Dla niektórych zasobów istnieją wstępnie zdefiniowane wbudowane role i te role można zinwentaryzować lub wykonywać względem nich zapytania za pomocą narzędzi takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub witryna Azure Portal. Uprawnienia przypisywane do zasobów z użyciem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez te role. Uzupełnia to podejście just in time (JIT) usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) i należy je okresowo przeglądać.

Używaj wbudowanych ról do przydzielenia uprawnień i utwórz własną rolę tylko wtedy, gdy jest to wymagane.

Usługa Azure Cost Management oferuje wbudowane role, czytelników i współautorów.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

OD-1: Odnajdywanie, klasyfikowanie i etykietowanie danych poufnych

Wskazówki: Zalecane jest odnajdywanie, klasyfikowanie i etykietowanie danych poufnych, dzięki czemu można zaprojektować odpowiednie mechanizmy kontroli, aby zapewnić, że informacje poufne są przechowywane, przetwarzane i przesyłane bezpiecznie przez systemy technologiczne organizacji.

Użyj usługi Azure Information Protection (i skojarzonego z nią narzędzia do skanowania), aby zlokalizować informacje poufne w dokumentach pakietu Office na platformie Azure, lokalnie, w pakiecie Office 365 i w innych lokalizacjach.

Usługa Azure SQL Information Protection może pomóc w klasyfikacji i etykietowaniu informacji przechowywanych w bazach danych Azure SQL Database.

Odpowiedzialność: Klient

OD-2: Ochrona poufnych danych

Wskazówki: Zaleca się ochronę danych poufnych przez ograniczenie dostępu przy użyciu kontroli dostępu opartej na rolach platformy Azure (RBAC), kontroli dostępu opartej na sieci i określonych mechanizmów kontroli w usługach platformy Azure (takich jak szyfrowanie w SQL i innych bazach danych).

Aby zapewnić spójną kontrolę dostępu, wszystkie typy kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.

W odniesieniu do platformy podstawowej zarządzanej przez firmę Microsoft, firma Microsoft traktuje całą zawartość kliencką jako poufną i zapewnia ochronę przed utratą i narażeniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała pewne domyślne mechanizmy kontroli i możliwości ochrony danych.

Odpowiedzialność: Klient

OD-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: Monitoruj pod kątem nieautoryzowanego transferu danych do lokalizacji znajdujących się poza kontrolą i widocznością przedsiębiorstwa. Zazwyczaj obejmuje to monitorowanie pod kątem nietypowych działań (dużych lub nietypowych transferów), które mogą wskazywać na nieautoryzowaną eksfiltrację danych.

Usługa Azure Storage Advanced Threat Protection (ATP) i usługa Azure SQL ATP mogą generować alerty dotyczące nietypowego transferu informacji, które mogą wskazywać na nieautoryzowane transfery informacji poufnych.

Usługa Azure Information Protection (AIP) zapewnia możliwości monitorowania informacji sklasyfikowanych i oznaczonych etykietami.

Jeśli jest to wymagane do zapewnienia zgodności pod kątem ochrony przed utratą danych (DLP), można użyć rozwiązania DLP opartego na hoście, aby wymusić wykrywające i/lub prewencyjne mechanizmy kontrolne w celu zapobiegania eksfiltracji danych.

Odpowiedzialność: Klient

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, dane przesyłane powinny być chronione przed atakami "poza pasmem" (np. przechwytywaniem ruchu) przy użyciu szyfrowania w celu zapewnienia, że osoby atakujące nie będą mogły łatwo odczytać ani zmodyfikować danych. Usługa Azure Cost Management obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej. Chociaż jest to opcjonalne w przypadku ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że każdy klient łączący się z zasobami platformy Azure może negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe wersje i protokoły SSL, TLS i SSH oraz słabe szyfry powinny być wyłączone. Domyślnie platforma Azure zapewnia szyfrowanie danych w usłudze

Odpowiedzialność: Microsoft

OD-5: Szyfrowanie magazynowanych danych poufnych

Wskazówki: W celu uzupełnienia kontroli dostępu funkcja eksportu usługi Azure Cost Management obsługuje szyfrowanie w usłudze Azure Storage magazynowanych danych, aby chronić przed atakami „poza pasmem” (takimi jak dostęp do magazynu bazowego) za pomocą szyfrowania z użyciem kluczy zarządzanych przez firmę Microsoft. To ustawienie domyślne pomaga zagwarantować, że osoby atakujące nie będą mogły łatwo odczytać ani zmodyfikować danych.

Aby uzyskać więcej informacji, zobacz:

Odpowiedzialność: Klient

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia następujące dzienniki użytkowników, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowaniem w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy:

  • Logowania — raporty aktywności logowania zawierają informacje na temat użycia zarządzanych aplikacji i działań użytkownika związane z logowaniem.
  • Dzienniki inspekcji — udostępnia możliwość śledzenia wszystkich zmian wprowadzanych przez różne funkcje usługi Azure AD za pomocą dzienników. Działania umieszczane w dziennikach inspekcji to na przykład zmiany wprowadzone w dowolnych zasobach usługi Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
  • Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, które mogło zostać wykonane przez osobę, która nie jest prawowitym właścicielem konta użytkownika.
  • Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.

Usługa Microsoft Defender for Cloud może również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelnienia, przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrony przed zagrożeniami w usłudze Microsoft Defender dla Chmury może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (maszyn wirtualnych, kontenerów, usługi App Service), zasobów danych (bazy danych SQL i magazynu) oraz warstw usług platformy Azure. Ta funkcja umożliwia widoczność anomalii konta wewnątrz poszczególnych zasobów.

Zaleca się również dokonywanie rutynowego przeglądu użytkowników przypisanych do ról w ramach umowy Enterprise Agreement (EA).

Odpowiedzialność: Klient

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: Zarządzanie lukami w zabezpieczeniach i stanem.

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: Szybkie wdrażanie aktualizacji oprogramowania w celu skorygowania luk w zabezpieczeniach oprogramowania w systemach operacyjnych i aplikacjach. Określanie priorytetów przy użyciu typowego programu oceniania ryzyka (na przykład wspólnego systemu oceniania luk w zabezpieczeniach) lub domyślnych ocen ryzyka dostarczonych przez narzędzie skanujące innej firmy i dostosowanie ich do środowiska przy użyciu kontekstu, w którym aplikacje stanowią wysokie ryzyko bezpieczeństwa i które wymagają wysokiego czasu pracy.

Odpowiedzialność: Klient

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki