Punkt odniesienia zabezpieczeń platformy Azure dla usługi Event Grid

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do usługi Microsoft Azure Event Grid. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące Azure Event Grid.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Event Grid lub za które ponosi odpowiedzialność firmy Microsoft, zostały wykluczone. Aby zobaczyć, jak usługa Event Grid całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Event Grid.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: Możesz użyć prywatnych punktów końcowych, aby zezwolić na ruch przychodzący zdarzeń bezpośrednio z sieci wirtualnej do tematów i domen usługi Event Grid bezpiecznie za pośrednictwem łącza prywatnego bez przechodzenia przez publiczny Internet. Podczas tworzenia prywatnego punktu końcowego dla tematu lub domeny usługi Event Grid zapewnia bezpieczną łączność między klientami w sieci wirtualnej a zasobem usługi Event Grid. Prywatny punkt końcowy jest przypisany do adresu IP z zakresu adresów IP sieci wirtualnej. Połączenie między prywatnym punktem końcowym a usługą Event Grid używa bezpiecznego łącza prywatnego.

Azure Event Grid obsługuje również publiczne mechanizmy kontroli dostępu oparte na adresach IP do publikowania w tematach i domenach. Za pomocą kontrolek opartych na protokole IP można ograniczyć wydawców do tematu lub domeny tylko do zestawu zatwierdzonych zestawów maszyn i usług w chmurze. Ta funkcja uzupełnia mechanizmy uwierzytelniania obsługiwane przez usługę Event Grid.

Odpowiedzialność: Klient

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i kart sieciowych

Wskazówki: skorzystaj z usługi Microsoft Defender for Cloud i postępuj zgodnie z zaleceniami dotyczącymi ochrony sieci, aby ułatwić zabezpieczanie zasobów usługi Event Grid na platformie Azure. Jeśli używany obiekt to

Maszyny wirtualne platformy Azure w celu uzyskiwania dostępu do zasobów usługi Event Grid, włączają dzienniki przepływu sieciowej grupy zabezpieczeń i wysyłają dzienniki do konta magazynu na potrzeby inspekcji ruchu.

Odpowiedzialność: Klient

1.3: Ochrona krytycznych aplikacji internetowych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla aplikacji internetowych działających na Azure App Service lub zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: zaporę adresów IP dla zasobu usługi Event Grid można skonfigurować tak, aby ograniczyć dostęp za pośrednictwem publicznego Internetu tylko z wybranego zestawu adresów IP lub zakresów adresów IP.

Prywatne punkty końcowe można skonfigurować tak, aby ograniczyć dostęp tylko z wybranych sieci wirtualnych.

Włącz usługę DDoS Protection w warstwie Standardowa w tych sieciach wirtualnych, aby chronić przed atakami typu "odmowa usługi" (DDoS). Użyj usługi Microsoft Defender for Cloud Integrated Threat Intelligence, aby odmówić komunikacji ze znanymi złośliwymi lub nieużywanymi internetowymi adresami IP. Aby uzyskać więcej informacji, zobacz następujące artykuły:

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówki: Jeśli używasz maszyn wirtualnych platformy Azure do uzyskiwania dostępu do zasobów usługi Event Grid, włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki do konta magazynu na potrzeby inspekcji ruchu. Możesz również wysyłać dzienniki przepływu sieciowej grupy zabezpieczeń do obszaru roboczego usługi Log Analytics i korzystać z analizy ruchu, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania działań sieciowych i identyfikowania gorących punktów, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Zasady sieciowe są domyślnie wyłączone, gdy prywatne punkty końcowe są tworzone dla usługi Event Grid, więc powyższy przepływ pracy może nie działać.

W razie potrzeby badania nietypowych działań włącz przechwytywanie pakietów Network Watcher.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Wskazówki: wybierz ofertę z Azure Marketplace, która obsługuje funkcje IDS/IPS z możliwościami inspekcji ładunku. Jeśli inspekcja ładunku nie jest wymagana, można użyć Azure Firewall analizy zagrożeń. Azure Firewall filtrowanie oparte na inteligencji zagrożeń służy do zgłaszania alertów dotyczących i/lub blokowania ruchu do i z znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.

Wdróż wybrane rozwiązanie zapory w granicach sieci w każdej organizacji, aby wykrywać i/lub blokować złośliwy ruch.

Odpowiedzialność: Klient

1.7: Zarządzanie ruchem do aplikacji internetowych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla aplikacji internetowych działających na Azure App Service lub zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych dotyczących reguł zabezpieczeń sieci

Wskazówki: w przypadku zasobów w sieciach wirtualnych, które wymagają dostępu do zasobów Azure Event Grid, użyj tagów usługi Virtual Network do definiowania kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład AzureEventGrid) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić lub odrzucić ruch dla odpowiedniej usługi. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych skojarzonych z przestrzeniami nazw Azure Event Grid z Azure Policy. Użyj aliasów Azure Policy w przestrzeniach nazw "Microsoft.EventGrid" i "Microsoft.Network", aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci zasobów usługi Event Grid.

Możesz również korzystać z wbudowanych definicji zasad związanych z Azure Event Grid, takich jak:

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówki: użyj tagów dla zasobów sieciowych skojarzonych z zasobami Azure Event Grid w celu logicznego zorganizowania ich w taksonomię.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany zasobów sieciowych związanych z Azure Event Grid. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach sieciowych.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2. Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówka: Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez Azure Event Grid. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy oraz używać kont magazynu na potrzeby długoterminowego/archiwalnego magazynu. Alternatywnie możesz włączyć i wprowadzić dane do usługi Microsoft Sentinel lub innej firmy do zarządzania zdarzeniami i zdarzeniami zabezpieczeń (SIEM).

Odpowiedzialność: Klient

2.3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: Ustawienia diagnostyczne umożliwiają użytkownikom usługi Event Grid przechwytywanie i wyświetlanie dzienników błędów publikowania i dostarczania na koncie magazynu, w centrum zdarzeń lub w obszarze roboczym usługi Log Analytics.

Odpowiedzialność: Klient

2.4: Zbieranie dzienników zabezpieczeń z systemów operacyjnych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: W usłudze Azure Monitor ustaw okres przechowywania dzienników dla obszarów roboczych usługi Log Analytics skojarzonych z zasobami Azure Event Grid zgodnie z przepisami dotyczącymi zgodności w organizacji.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówka: Analizowanie i monitorowanie dzienników pod kątem nietypowego zachowania i regularne przeglądanie wyników z Azure Event Grid. Użyj usługi Azure Monitor i obszaru roboczego usługi Log Analytics, aby przejrzeć dzienniki i wykonywać zapytania dotyczące danych dziennika.

Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.7: Włączanie alertów dotyczących nietypowych działań

Wskazówki: Włącz ustawienia diagnostyczne w usłudze Event Grid, aby uzyskać dostęp do dzienników błędów publikowania i dostarczania. Dzienniki aktywności, które są dostępne automatycznie, obejmują źródło zdarzeń, datę, użytkownika, sygnaturę czasową, adresy źródłowe, adresy docelowe i inne przydatne elementy. Dzienniki można wysłać do obszaru roboczego usługi Log Analytics. Usługa Microsoft Defender dla Chmury z usługą Log Analytics służy do monitorowania i zgłaszania alertów dotyczących nietypowych działań znalezionych w dziennikach zabezpieczeń i zdarzeniach.

Możesz również tworzyć alerty dotyczące metryk Azure Event Grid i operacji dziennika aktywności. Alerty dotyczące metryk publikowania i dostarczania można tworzyć dla zasobów Azure Event Grid (tematów i domen).

Ponadto możesz dołączyć obszar roboczy usługi Log Analytics do usługi Microsoft Sentinel, ponieważ zapewnia ona rozwiązanie automatycznego reagowania na orkiestrację zabezpieczeń (SOAR). Dzięki temu podręczniki (zautomatyzowane rozwiązania) mogą być tworzone i używane do rozwiązywania problemów z zabezpieczeniami.

Odpowiedzialność: Klient

2.8: Scentralizowanie rejestrowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: Nie dotyczy; Azure Event Grid nie przetwarza ani nie generuje dzienników związanych z złośliwym oprogramowaniem.

Odpowiedzialność: Nie dotyczy

2.9: Włączanie rejestrowania zapytań DNS

Wskazówki: Nie dotyczy; Azure Event Grid nie przetwarza ani nie generuje dzienników związanych z systemem DNS.

Odpowiedzialność: Nie dotyczy

2.10: Włączanie rejestrowania inspekcji wiersza polecenia

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1: Utrzymywanie spisu kont administracyjnych

Wskazówki: Azure Event Grid umożliwia kontrolowanie poziomu dostępu udzielonego różnym użytkownikom w celu wykonywania różnych operacji zarządzania, takich jak wyświetlanie listy subskrypcji zdarzeń, tworzenie nowych i generowanie kluczy. Usługa Event Grid używa kontroli dostępu opartej na rolach platformy Azure (Azure RBAC). Usługa Event Grid obsługuje wbudowane role, a także role niestandardowe.

Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Dla niektórych zasobów istnieją wstępnie zdefiniowane wbudowane role i te role można zinwentaryzować lub wykonywać względem nich zapytania za pomocą narzędzi takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub witryna Azure Portal.

Odpowiedzialność: Klient

3.2: Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: Zarządzanie dostępem do zasobów usługi Event Grid jest kontrolowane za pośrednictwem usługi Azure Active Directory (Azure AD). Azure AD nie ma pojęcia haseł domyślnych.

Odpowiedzialność: Klient

3.3: Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych.

Dostęp just in time można również włączyć przy użyciu usługi Azure Active Directory (Azure AD) Privileged Identity Management i usługi Azure Resource Manager.

Usługa Event Grid może włączyć tożsamość usługi zarządzanej dla tematów lub domen usługi Azure Event Grid i używać jej do przekazywania zdarzeń do obsługiwanych miejsc docelowych, takich jak kolejki i tematy usługi Service Bus, centra zdarzeń i konta magazynu. Token sygnatury dostępu współdzielonego (SAS) jest używany do publikowania zdarzeń w celu Azure Event Grid. Utwórz standardową procedurę operacyjną wokół dostępu do zdarzeń, przekazywania i publikowania przy użyciu tych kont.

Odpowiedzialność: Klient

3.4: Używanie logowania jednokrotnego w usłudze Azure Active Directory

Wskazówki: Nie dotyczy; Usługa Event Grid nie obsługuje logowania jednokrotnego.

Odpowiedzialność: Nie dotyczy

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Nie dotyczy; Usługa Event Grid nie korzysta z uwierzytelniania wieloskładnikowego.

Odpowiedzialność: Nie dotyczy

3.6: Użyj dedykowanych maszyn (stacji roboczych z dostępem uprzywilejowanym) do wszystkich zadań administracyjnych

Wskazówki: Nie dotyczy; żadne scenariusze usługi Event Grid nie wymagają stacji roboczych z dostępem uprzywilejowanym.

Odpowiedzialność: Nie dotyczy

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: Użyj raportów zabezpieczeń i monitorowania usługi Azure Active Directory (Azure AD), aby wykryć, kiedy w środowisku wystąpi podejrzane lub niebezpieczne działanie. Monitorowanie działań związanych z tożsamościami i dostępem za pomocą usługi Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Nie dotyczy. Usługa Event Grid nie używa usługi Azure Active Directory (Azure AD) do uwierzytelniania klientów publikowania zdarzeń. Obsługuje ona uwierzytelnianie za pośrednictwem kluczy sygnatury dostępu współdzielonego.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

Usługa Event Grid może włączyć tożsamość usługi zarządzanej dla tematów lub domen usługi Azure Event Grid i używać jej do przekazywania zdarzeń do obsługiwanych miejsc docelowych, takich jak kolejki i tematy usługi Service Bus, centra zdarzeń i konta magazynu. Token sygnatury dostępu współdzielonego (SAS) jest używany do publikowania zdarzeń w celu Azure Event Grid.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj Azure AD tożsamości i przeglądów dostępu, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Użyj Azure AD Privileged Identity Management (PIM) do generowania dzienników i alertów, gdy w środowisku wystąpi podejrzane lub niebezpieczne działanie.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówka: Masz dostęp do źródeł dzienników zdarzeń logowania usługi Azure Active Directory (Azure AD), inspekcji i ryzyka, które umożliwiają integrację z dowolnym narzędziem SIEM/monitorowaniem.

Ten proces można usprawnić, tworząc ustawienia diagnostyczne dla kont użytkowników Azure AD i wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Log Analytics. Żądane alerty można skonfigurować w obszarze roboczym usługi Log Analytics.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania konta

Wskazówki: Korzystanie z funkcji usługi Azure Active Directory (Azure AD) Identity Protection w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Możesz również pozyskiwać dane do usługi Microsoft Sentinel w celu dalszego badania.

Odpowiedzialność: Klient

3.13: Zapewnianie firmie Microsoft dostępu do odpowiednich danych klientów podczas scenariuszy pomocy technicznej

Wskazówki: Nie dotyczy; Usługa Event Grid nie obsługuje obecnie skrytki klienta.

Odpowiedzialność: Nie dotyczy

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu informacji poufnych

Wskazówki: używanie tagów do śledzenia zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2: Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówka: Zaimplementuj izolację przy użyciu oddzielnych subskrypcji i grup zarządzania dla poszczególnych domen zabezpieczeń, takich jak typ środowiska i poziom poufności danych. Możesz ograniczyć poziom dostępu do zasobów platformy Azure, których wymagają aplikacje i środowiska przedsiębiorstwa. Dostęp do zasobów platformy Azure można kontrolować za pośrednictwem kontroli dostępu opartej na rolach platformy Azure.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: w przypadku podstawowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i ma duże znaczenie, aby chronić przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

4.4: Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Azure Event Grid wymaga protokołu HTTPS do publikowania i obsługi protokołu HTTPS w celu dostarczania zdarzeń do punktu końcowego elementu webhook. Na platformie Azure Global usługa Event Grid obsługuje zarówno wersje 1.1,1, jak i 1.2 protokołu TLS, ale zdecydowanie zalecamy użycie wersji 1.2. W chmurach krajowych, takich jak Azure Government i platforma Azure obsługiwana przez firmę 21Vianet w Chinach, usługa Event Grid obsługuje tylko 1.2 wersję protokołu TLS.

Odpowiedzialność: Klient

4.5: Używanie aktywnego narzędzia do odnajdywania do identyfikowania poufnych danych

Wskazówki: funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla Azure Event Grid. W razie potrzeby zaimplementuj rozwiązanie innych firm do celów zgodności.

W przypadku bazowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i znacznie chroni przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje pakiet niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Klient

4.6: Zarządzanie dostępem do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure

Wskazówki: Azure Event Grid obsługuje autoryzację żądań do zasobów usługi Event Grid przy użyciu usługi Azure Active Directory (Azure AD). Za pomocą Azure AD możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby udzielić uprawnień jednostce zabezpieczeń, która może być użytkownikiem lub jednostką usługi aplikacji.

Odpowiedzialność: Klient

4.9: Rejestrowanie i zgłaszanie alertów dotyczących zmian krytycznych zasobów platformy Azure

Wskazówki: Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wystąpieniach produkcyjnych Azure Event Grid zasobów i innych krytycznych lub powiązanych zasobów.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.3: Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami dla tytułów oprogramowania innych firm

Wskazówki: Nie dotyczy; ta wytyczna jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

5.4. Porównanie skanowania luk w zabezpieczeniach back-to-back

Wskazówki: Nie dotyczy; ta wytyczna jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

5.5: Użyj procesu oceny ryzyka, aby ustalić priorytety korygowania wykrytych luk w zabezpieczeniach

Wskazówki: Nie dotyczy; ta wytyczna jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1: Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Nie dotyczy; ta wytyczna jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

6.2: Obsługa metadanych elementów zawartości

Wskazówka: Stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: Używanie tagowania, grup zarządzania i oddzielnych subskrypcji, jeśli jest to odpowiednie, do organizowania i śledzenia zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Odpowiedzialność: Klient

6.4: Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: Utwórz spis zatwierdzonych zasobów platformy Azure i zatwierdzonego oprogramowania dla zasobów obliczeniowych zgodnie z potrzebami organizacji.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji lub odnajdywania ich.

Odpowiedzialność: Klient

6.6: Monitorowanie niezatwierdzonych aplikacji oprogramowania w ramach zasobów obliczeniowych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

6.7: Usuwanie niezatwierdzonych zasobów platformy Azure i aplikacji oprogramowania

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

6.8: Używanie tylko zatwierdzonych aplikacji

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Ponadto użyj usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji lub odnajdywania ich.

Odpowiedzialność: Klient

6.10: Utrzymywanie spisu zatwierdzonych tytułów oprogramowania

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: używanie dostępu warunkowego usługi Azure Active Directory (Azure AD) w celu ograniczenia możliwości interakcji użytkowników z usługą Azure Resources Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

6.12: Ogranicz możliwość wykonywania skryptów przez użytkowników w zasobach obliczeniowych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla aplikacji internetowych działających na Azure App Service lub zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1. Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla usługi Azure Event Grid za pomocą Azure Policy. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.EventGrid", aby utworzyć niestandardowe zasady do inspekcji lub wymusić konfigurację usług Azure Event Grid.

Usługa Azure Resource Manager umożliwia eksportowanie szablonu w formacie JavaScript Object Notation (JSON), które należy przejrzeć, aby upewnić się, że konfiguracje spełniają wymagania dotyczące zabezpieczeń organizacji przed wdrożeniami.

Odpowiedzialność: Klient

7.2. Ustanawianie bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: Nie dotyczy; ta wskazówka jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

7.3. Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure. Ponadto możesz użyć szablonów usługi Azure Resource Manager, aby zachować konfigurację zabezpieczeń zasobów platformy Azure wymaganych przez organizację.

Odpowiedzialność: Klient

7.4. Obsługa bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: Nie dotyczy; ta wskazówka jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: Jeśli używasz niestandardowych definicji Azure Policy dla usługi Event Grid lub powiązanych zasobów, użyj Azure Repos do bezpiecznego przechowywania kodu i zarządzania nim.

Odpowiedzialność: Klient

7.6. Bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego

Wskazówki: Nie dotyczy; ta wskazówka jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

7.7. Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.EventGrid", aby utworzyć niestandardowe zasady do alertów, inspekcji i wymuszania konfiguracji systemu. Ponadto utwórz proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.8. Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych

Wskazówki: Nie dotyczy; ta wskazówka jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: użyj usługi Microsoft Defender for Cloud, aby przeprowadzić skanowanie punktów odniesienia dla zasobów platformy Azure. Ponadto użyj Azure Policy do zgłaszania alertów i inspekcji konfiguracji zasobów platformy Azure.

Odpowiedzialność: Klient

7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych

Wskazówki: Nie dotyczy; ta wskazówka jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Nie dotyczy

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: usługa Event Grid używa tokenu sygnatury dostępu współdzielonego (SAS) do publikowania zdarzeń w tematach lub domenach usługi Event Grid. Generowanie tokenów SAS z dostępem tylko do zasobów, które są potrzebne w ograniczonym przedziale czasu.

Użyj tożsamości zarządzanych w połączeniu z usługą Azure Key Vault, aby uprościć zarządzanie wpisami tajnymi dla aplikacji w chmurze.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: usługa Event Grid może włączyć tożsamość usługi zarządzanej dla tematów lub domen usługi Azure Event Grid. Służy do przekazywania zdarzeń do obsługiwanych miejsc docelowych, takich jak kolejki i tematy usługi Service Bus, centra zdarzeń i konta magazynu.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.2: Wstępne skanowanie plików, które mają zostać przekazane do zasobów platformy Azure, które nie są obliczane

Wskazówki: Ochrona przed złośliwym oprogramowaniem firmy Microsoft jest włączona na hoście bazowym, który obsługuje usługi platformy Azure (na przykład Azure Event Grid), ale nie jest uruchamiany w zawartości klienta.

Twoim obowiązkiem jest wstępne skanowanie zawartości przekazywanej do zasobów platformy Azure, które nie są obliczane. Firma Microsoft nie może uzyskać dostępu do danych klientów i w związku z tym nie może przeprowadzić skanowania chroniącego przed złośliwym oprogramowaniem zawartości klienta w Twoim imieniu.

Odpowiedzialność: Klient

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: usługa Event Grid ma automatyczne odzyskiwanie po awarii geograficznej (GeoDR) metadanych nie tylko dla nowych, ale wszystkich istniejących domen, tematów i subskrypcji zdarzeń. Jeśli cały region świadczenia usługi Azure ulegnie awarii, usługa Event Grid będzie miała już wszystkie metadane infrastruktury powiązanej z zdarzeniami zsynchronizowane z sparowanym regionem.

Odpowiedzialność: Klient

9.2. Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: usługa Event Grid ma automatyczne odzyskiwanie po awarii geograficznej (GeoDR) metadanych nie tylko dla nowych, ale wszystkich istniejących domen, tematów i subskrypcji zdarzeń. Jeśli cały region świadczenia usługi Azure ulegnie awarii, usługa Event Grid będzie miała już wszystkie metadane infrastruktury powiązanej z zdarzeniami zsynchronizowane z sparowanym regionem.

Obecnie usługa Event Grid nie obsługuje kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: usługa Event Grid ma automatyczne odzyskiwanie po awarii geograficznej (GeoDR) metadanych nie tylko dla nowych, ale wszystkich istniejących domen, tematów i subskrypcji zdarzeń. Jeśli cały region świadczenia usługi Azure ulegnie awarii, usługa Event Grid będzie miała już wszystkie metadane infrastruktury powiązanej z zdarzeniami zsynchronizowane z sparowanym regionem.

Obecnie usługa Event Grid nie obsługuje kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: włącz ochronę usuwania nietrwałego i przeczyszczania w Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Obecnie usługa Event Grid nie obsługuje kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1. Tworzenie przewodnika reagowania na zdarzenia

Wskazówki: opracowywanie przewodnika po reagowaniu na zdarzenia dla organizacji. Upewnij się, że istnieją pisemne plany reagowania na zdarzenia, które definiują wszystkie role personelu, a także fazy obsługi zdarzeń i zarządzania nimi od wykrywania do przeglądu po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender for Cloud przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być najpierw badane. Ważność jest oparta na tym, jak pewna pewność, że usługa Microsoft Defender dla chmury znajduje się w wyszukiwaniu lub analitycznym używanym do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziły do alertu.

Ponadto oznacz subskrypcje przy użyciu tagów i utwórz system nazewnictwa w celu identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Twoim zadaniem jest ustalanie priorytetów korygowania alertów w oparciu o krytyczne znaczenie zasobów i środowiska platformy Azure, w którym wystąpiło zdarzenie.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych okresach, aby ułatwić ochronę zasobów platformy Azure. Zidentyfikuj słabe punkty i luki, a następnie popraw plan odpowiedzi zgodnie z potrzebami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktowe zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez bezprawną lub nieautoryzowaną stronę. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w ciągły, ciągły sposób. Łącznik danych usługi Microsoft Defender for Cloud umożliwia przesyłanie strumieniowe alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówki: użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender for Cloud, aby automatycznie wyzwalać odpowiedzi na alerty zabezpieczeń i zalecenia dotyczące ochrony zasobów platformy Azure.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: postępuj zgodnie z zasadami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie są niezgodne z zasadami firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki