Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure HPC Cache

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do platformy Microsoft Azure HPC Cache. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure HPC Cache.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki, które nie mają zastosowania do usługi Azure HPC Cache, oraz te, dla których zalecane są globalne wskazówki, zostały wykluczone. Aby dowiedzieć się, jak usługa Azure HPC Cache całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń platformy Azure HPC Cache.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: podczas wdrażania zasobów usługi Azure HPC Cache należy utworzyć istniejącą sieć wirtualną lub użyć jej.

Upewnij się, że wszystkie sieci wirtualne platformy Azure są zgodne z zasadą segmentacji przedsiębiorstwa, która jest zgodna z ryzykiem biznesowym. Każdy system, który może ponosić większe ryzyko dla organizacji, powinien być izolowany w ramach własnej sieci wirtualnej i wystarczająco zabezpieczony za pomocą sieciowej grupy zabezpieczeń i/lub Azure Firewall.

Przed użyciem pamięci podręcznej należy skonfigurować dwa wymagania wstępne związane z siecią:

  • Dedykowana podsieć dla wystąpienia usługi Azure HPC Cache

  • Obsługa systemu DNS w taki sposób, aby pamięć podręczna mogła uzyskiwać dostęp do magazynu i innych zasobów

Usługa Azure HPC Cache potrzebuje dedykowanej podsieci z następującymi cechami:

  • Podsieć musi mieć co najmniej 64 dostępne adresy IP.

  • Komunikacja wewnątrz podsieci musi być nieograniczona. Jeśli używasz sieciowej grupy zabezpieczeń dla podsieci pamięci podręcznej, upewnij się, że zezwala ona na wszystkie usługi między wewnętrznymi adresami IP.

  • Podsieć nie może hostować żadnych innych maszyn wirtualnych, nawet w przypadku powiązanych usług, takich jak maszyny klienckie.

  • Jeśli używasz wielu wystąpień usługi Azure HPC Cache, każda z nich potrzebuje własnej podsieci.

Najlepszym rozwiązaniem jest utworzenie nowej podsieci dla każdej pamięci podręcznej. Nową sieć wirtualną i podsieć można utworzyć w ramach tworzenia pamięci podręcznej.

Aby używać HPC Cache z lokalnym magazynem NAS, należy upewnić się, że niektóre porty w sieci lokalnej zezwalają na nieograniczony ruch z podsieci usługi Azure HPC Cache.

Jak utworzyć sieciową grupę zabezpieczeń przy użyciu reguł zabezpieczeń: /azure/virtual-network/tutorial-filter-network-traffic

Jak wdrożyć i skonfigurować Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Odpowiedzialność: Klient

NS-2: Łączenie sieci prywatnych

Wskazówki: Użyj usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN), aby utworzyć połączenia prywatne między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują większą niezawodność, szybkość i mniejsze opóźnienia niż typowe połączenia internetowe. W przypadku sieci VPN typu punkt-lokacja i sieci VPN typu lokacja-lokacja można połączyć urządzenia lokalne lub sieci z siecią wirtualną przy użyciu dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute.

Aby połączyć dwie lub więcej sieci wirtualnych na platformie Azure, użyj komunikacji równorzędnej sieci wirtualnych. Ruch sieciowy między równorzędną siecią wirtualną jest prywatny i jest przechowywany w sieci szkieletowej platformy Azure.

Zasoby HPC Cache są połączone tylko z usługą Azure Virtual Network i nie są dostępne z produkcyjnych sieci wewnętrznych platformy Azure. W związku z tym można uzyskać dostęp do usługi HPC Cache bezpośrednio z sieci wirtualnej, z równorzędnych sieci wirtualnych lub ze środowiska lokalnego za pośrednictwem bramy Virtual Network (ExpressRoute lub VPN Gateway). Dostęp do zasobów obliczeniowych HPC Cache jest dozwolony tylko przez autoryzowany personel ds. usług/inżynierii wymagających inspekcji dostępu JIT.

Odpowiedzialność: Klient

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówki: użyj punktów końcowych usługi Azure Virtual Network, aby zapewnić bezpieczny dostęp do HPC Cache. Punkty końcowe usługi to zoptymalizowana trasa przez sieć szkieletową platformy Azure bez przekraczania Internetu.

HPC Cache nie obsługuje używania Azure Private Link do zabezpieczania punktów końcowych zarządzania w sieci prywatnej.

Dostęp prywatny to dodatkowa miara szczegółowa, oprócz uwierzytelniania i zabezpieczeń ruchu oferowanych przez usługi platformy Azure.

Odpowiedzialność: Klient

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówki: ochrona zasobów HPC Cache przed atakami z sieci zewnętrznych, w tym atakami typu "rozproszona odmowa usługi", atakami specyficznymi dla aplikacji oraz niepożądanym i potencjalnie złośliwym ruchem internetowym.

Platforma Azure obejmuje funkcje natywne dla tej ochrony:

  • Użyj Azure Firewall, aby chronić aplikacje i usługi przed potencjalnie złośliwym ruchem z Internetu i innych lokalizacji zewnętrznych.
  • Ochrona zasobów przed atakami DDoS przez włączenie standardowej ochrony przed atakami DDoS w sieciach wirtualnych platformy Azure.
  • Użyj usługi Microsoft Defender for Cloud, aby wykryć błędne zagrożenia konfiguracji związane z zasobami sieciowymi.

Usługa Azure HPC Cache nie jest przeznaczona do uruchamiania aplikacji internetowych i nie wymaga skonfigurowania żadnych dodatkowych ustawień ani wdrożenia dodatkowych usług sieciowych w celu ochrony jej przed atakami sieciowymi przeznaczonymi dla aplikacji internetowych.

Odpowiedzialność: Klient

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla ofert, które można wdrożyć w sieciach wirtualnych platformy Azure lub mają możliwość definiowania grup dozwolonych zakresów adresów IP na potrzeby wydajnego zarządzania. HPC Cache obecnie nie obsługuje tagów usługi.

Najlepszym rozwiązaniem jest utworzenie nowej podsieci dla każdej pamięci podręcznej. Nową sieć wirtualną i podsieć można utworzyć w ramach tworzenia pamięci podręcznej.

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS, aby ograniczyć ryzyko typowych ataków, takich jak zwisające ataki DNS, ataki wzmacniania DNS, zatrucia DNS i fałszowanie oraz inne.

Usługa Azure HPC Cache wymaga systemu DNS dostępu do zasobów spoza prywatnej sieci wirtualnej pamięci podręcznej. Jeśli przepływ pracy obejmuje zasoby spoza platformy Azure, musisz skonfigurować i zabezpieczyć własny serwer DNS oprócz korzystania z usługi Azure DNS.

  • Aby uzyskać dostęp do punktów końcowych usługi Azure Blob Storage, maszyn klienckich opartych na platformie Azure lub innych zasobów platformy Azure, użyj usługi Azure DNS.
  • Aby uzyskać dostęp do magazynu lokalnego lub połączyć się z pamięcią podręczną z klientów spoza platformy Azure, należy utworzyć niestandardowy serwer DNS, który może rozpoznać te nazwy hostów.
  • Jeśli przepływ pracy obejmuje zarówno zasoby wewnętrzne, jak i zewnętrzne, skonfiguruj niestandardowy serwer DNS, aby przekazywać żądania rozpoznawania specyficzne dla platformy Azure do serwera usługi Azure DNS.

Gdy usługa Azure DNS jest używana jako autorytatywna usługa DNS, upewnij się, że strefy i rekordy DNS są chronione przed przypadkowymi lub złośliwymi modyfikacjami przy użyciu kontroli dostępu opartej na rolach platformy Azure i blokad zasobów.

W przypadku konfigurowania własnego serwera DNS należy postępować zgodnie z następującymi wytycznymi dotyczącymi zabezpieczeń:

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: usługa Azure HPC Cache nie jest zintegrowana z usługą Azure Active Directory na potrzeby operacji wewnętrznych. Jednak Azure AD można użyć do uwierzytelniania użytkowników w Azure Portal lub interfejsie wiersza polecenia w celu tworzenia, wyświetlania i zarządzania wdrożeniami HPC Cache i powiązanych składników.

Azure Active Directory (Azure AD) to domyślna usługa zarządzania tożsamościami i dostępem na platformie Azure. Należy ustandaryzować Azure AD w celu zarządzania tożsamościami i dostępem w organizacji w programie:

  • Zasoby w chmurze firmy Microsoft, takie jak Azure Portal, Azure Storage, Azure Virtual Machine (Linux i Windows), azure Key Vault, PaaS i Aplikacje SaaS.

  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie usługi Azure AD powinno mieć wysoki priorytet w zakresie zabezpieczeń w chmurze w organizacji. Usługa Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który pomaga ocenić stan zabezpieczeń tożsamości w porównaniu z zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Uwaga: Azure AD obsługuje tożsamość zewnętrzną, która umożliwia użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: HPC Cache używa tożsamości zarządzanych przez platformę Azure dla kont innych niż ludzkie, takich jak usługi lub automatyzacja. Zaleca się używanie funkcji tożsamości zarządzanej platformy Azure zamiast tworzenia bardziej zaawansowanego konta ludzkiego w celu uzyskania dostępu do zasobów lub wykonania ich.

HPC Cache może natywnie uwierzytelniać się w usługach/zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD) przy użyciu wstępnie zdefiniowanych reguł udzielania dostępu. Pozwala to uniknąć konieczności używania zakodowanych na sztywno poświadczeń w kodzie źródłowym lub plikach konfiguracji.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Azure HPC Cache nie integruje się z usługą Azure Active Directory (Azure AD) na potrzeby operacji wewnętrznych. Jednak Azure AD można użyć do uwierzytelniania użytkowników w Azure Portal lub interfejsie wiersza polecenia w celu tworzenia, wyświetlania i zarządzania wdrożeniami HPC Cache i powiązanych składników.

Azure AD zapewnia zarządzanie tożsamościami i dostępem do zasobów platformy Azure, aplikacji w chmurze i aplikacji lokalnych. Obejmuje to tożsamości przedsiębiorstwa, takie jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Umożliwia to logowanie jednokrotne w celu zarządzania i bezpiecznego dostępu do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu, lepszego wglądu i większej kontroli.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Regularne przeglądanie kont użytkowników i przypisywania dostępu w celu upewnienia się, że konta i ich poziomy dostępu są prawidłowe.

Usługa Azure HPC Cache może używać kont usługi Azure Active Directory (Azure AD) do zarządzania dostępem użytkowników za pośrednictwem Azure Portal i powiązanych interfejsów. Azure AD oferuje przeglądy dostępu, które ułatwiają przeglądanie członkostwa w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowanie może zapewnić dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również użyć Azure AD Privileged Identity Management, aby utworzyć przepływ pracy przeglądu dostępu do raportu w celu ułatwienia procesu przeglądu.

Ponadto można skonfigurować usługę Azure Privileged Identity Management w celu powiadamiania o nadmiernej liczbie kont administratorów oraz identyfikowaniu kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.

Uwaga: niektóre usługi platformy Azure obsługują użytkowników lokalnych i ról, które nie są zarządzane za pośrednictwem Azure AD. Musisz oddzielnie zarządzać tymi użytkownikami.

W przypadku korzystania z obiektów docelowych magazynu NFS należy współpracować z administratorami sieci i menedżerami zapory, aby zweryfikować ustawienia dostępu i upewnić się, że usługa Azure HPC Cache będzie mogła komunikować się z systemami magazynowania NFS.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: HPC Cache jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te role można przypisać do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Dla niektórych zasobów istnieją wstępnie zdefiniowane wbudowane role i te role można zinwentaryzować lub wykonywać względem nich zapytania za pomocą narzędzi takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub witryna Azure Portal.

Uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez role. Uzupełnia to podejście just in time (JIT) usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) i należy je okresowo przeglądać.

Używaj wbudowanych ról do przydzielenia uprawnień i utwórz własną rolę tylko wtedy, gdy jest to wymagane.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Wskazówki: HPC Cache zarządza poufnymi danymi, ale nie ma możliwości odnajdywania, klasyfikowania i etykietowania poufnych danych.

Odpowiedzialność: Współużytkowane

DP-2: Ochrona poufnych danych

Wskazówki: Ochrona poufnych danych przez ograniczenie dostępu przy użyciu usługi Azure Role Based Access Control (Azure RBAC), kontroli dostępu opartej na sieci i określonych mechanizmów kontroli w usługach platformy Azure (takich jak szyfrowanie w języku SQL i innych bazach danych).

Aby zapewnić spójną kontrolę dostępu, wszystkie typy kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.

W odniesieniu do platformy podstawowej zarządzanej przez firmę Microsoft, firma Microsoft traktuje całą zawartość kliencką jako poufną i zapewnia ochronę przed utratą i narażeniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała pewne domyślne mechanizmy kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

DP-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: HPC Cache przesyła poufne dane, ale nie obsługuje monitorowania nieautoryzowanego transferu poufnych danych.

Odpowiedzialność: Współużytkowane

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: HPC Cache obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu TLS w wersji 1.2 lub nowszej.

Chociaż jest to opcjonalne dla ruchu w sieciach prywatnych, ma to kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu. Przestarzałe wersje i protokoły SSL, TLS i SSH oraz słabe szyfry powinny być wyłączone.

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Współużytkowane

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, dane magazynowane powinny być chronione przed atakami typu "poza pasmem" (na przykład uzyskiwaniem dostępu do magazynu bazowego) przy użyciu szyfrowania. Dzięki temu osoby atakujące nie mogą łatwo odczytywać ani modyfikować danych.

Platforma Azure domyślnie udostępnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych dostępne są opcje implementowania dodatkowego szyfrowania magazynowanych na wszystkich zasobach platformy Azure. Platforma Azure domyślnie zarządza kluczami szyfrowania, ale platforma Azure udostępnia opcje zarządzania własnymi kluczami (kluczami zarządzanymi przez klienta) dla niektórych usług platformy Azure.

Wszystkie dane przechowywane na platformie Azure, w tym na dyskach pamięci podręcznej, są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Musisz dostosować ustawienia usługi Azure HPC Cache tylko wtedy, gdy chcesz zarządzać kluczami używanymi do szyfrowania danych.

Jeśli jest to wymagane do zapewnienia zgodności z zasobami obliczeniowymi, zaimplementuj narzędzie innej firmy, takie jak zautomatyzowane rozwiązanie ochrony przed utratą danych oparte na hoście, aby wymusić mechanizmy kontroli dostępu do danych nawet wtedy, gdy dane są kopiowane z systemu.

Odpowiedzialność: Współużytkowane

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówki: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia czytelnika zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówki: usługa Azure HPC Cache obsługuje używanie tagów. Stosowanie tagów do zasobów platformy Azure, grup zasobów i subskrypcji w celu logicznego organizowania ich w taksonomię. Każdy tag składa się z pary nazwy i wartości.

Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym. Tagi można dodawać podczas tworzenia pamięci podręcznej, a także po wdrożeniu pamięci podręcznej.

Użyj spisu maszyn wirtualnych platformy Azure, aby zautomatyzować zbieranie informacji o oprogramowaniu na Virtual Machines. Nazwa oprogramowania, Wersja, Wydawca i Czas odświeżania są dostępne w Azure Portal. Aby uzyskać dostęp do daty instalacji i innych informacji, włącz diagnostykę na poziomie gościa i przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics. HPC Cache nie zezwala na uruchamianie aplikacji ani instalacji oprogramowania na jego zasobach.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: HPC Cache obsługuje wdrożenia usługi Azure Resource Manager. Usługa Azure Policy pozwala przeprowadzić inspekcję i ograniczyć liczbę usług, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówka: Skorzystaj z wbudowanej funkcji wykrywania zagrożeń w usłudze Microsoft Defender dla chmury i włącz usługę Microsoft Defender dla zasobów HPC Cache. Usługa Microsoft Defender dla HPC Cache zapewnia dodatkową warstwę analizy zabezpieczeń, która wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do zasobów pamięci podręcznej lub wykorzystania ich.

Przekaż wszystkie dzienniki z HPC Cache do rozwiązania SIEM, które mogą służyć do konfigurowania niestandardowych wykryć zagrożeń. Upewnij się, że monitorujesz różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.

Odpowiedzialność: Klient

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia następujące dzienniki użytkowników, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowaniem w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy:

  • Logowania — raporty aktywności logowania zawierają informacje na temat użycia zarządzanych aplikacji i działań użytkownika związane z logowaniem.
  • Dzienniki inspekcji — umożliwiają śledzenie wszystkich zmian wprowadzonych przez różne funkcje w Azure AD. Przykłady dzienników inspekcji obejmują zmiany wprowadzone w dowolnych zasobach w Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
  • Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, które mogło zostać wykonane przez osobę, która nie jest prawowitym właścicielem konta użytkownika.
  • Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.

Usługa Microsoft Defender for Cloud może również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelnienia lub przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrony przed zagrożeniami w usłudze Microsoft Defender dla Chmury może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (maszyn wirtualnych, kontenerów, usługi App Service), zasobów danych (bazy danych SQL i magazynu) oraz warstw usług platformy Azure. Ta funkcja umożliwia widoczność anomalii konta wewnątrz poszczególnych zasobów.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: oprócz powszechnie dostępnych narzędzi do przechwytywania pakietów można używać bram sieci VPN i ich możliwości przechwytywania pakietów w celu rejestrowania pakietów sieciowych przesyłanych między sieciami wirtualnymi.

Wdróż sieciową grupę zabezpieczeń w sieci, w której wdrażane są zasoby usługi Azure HPC Cache. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń w sieciowych grupach zabezpieczeń na potrzeby inspekcji ruchu.

Dzienniki przepływu są przechowywane na koncie magazynu. Włącz rozwiązanie Analiza ruchu, aby przetwarzać i wysyłać te dzienniki przepływu do obszaru roboczego usługi Log Analytics. Analiza ruchu zapewnia dodatkowe szczegółowe informacje o przepływie ruchu dla sieci platformy Azure. Analiza ruchu może ułatwić wizualizowanie aktywności sieciowej i identyfikowanie punktów dostępu, identyfikowanie zagrożeń bezpieczeństwa, zrozumienie wzorców przepływu ruchu i wskazywanie błędów konfiguracji sieci.

Pamięć podręczna wymaga systemu DNS, aby uzyskać dostęp do zasobów poza siecią wirtualną. W zależności od używanych zasobów może być konieczne skonfigurowanie dostosowanego serwera DNS i skonfigurowanie przekazywania między tym serwerem a serwerami Usługi Azure DNS.

Zaimplementuj rozwiązanie innej firmy z Azure Marketplace na potrzeby rozwiązania do rejestrowania DNS zgodnie z potrzebami organizacji.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Zasoby usługi Azure HPC Cache automatycznie tworzą dzienniki aktywności. Te dzienniki zawierają wszystkie operacje zapisu (PUT, POST, DELETE), ale nie obejmują operacji odczytu (GET). Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu, w jaki użytkownik w organizacji zmodyfikował zasób.

Usługi Microsoft Defender for Cloud i Azure Policy można również użyć do włączenia dzienników zasobów platformy Azure dla HPC Cache oraz zbierania danych i rejestrowania ich. Te dzienniki mogą być krytyczne dla późniejszego badania zdarzeń zabezpieczeń i wykonywania ćwiczeń kryminalistycznych.

Odpowiedzialność: Współużytkowane

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówka: Scentralizowanie magazynu i analizy rejestrowania w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.

Upewnij się, że integrujesz dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy oraz używać kont usługi Azure Storage do przechowywania długoterminowego i archiwalnego.

Ponadto włącz i dołącz dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Wiele organizacji decyduje się używać usługi Microsoft Sentinel na potrzeby "gorących" danych, które są często używane, a usługa Azure Storage dla "zimnych" danych używanych rzadziej.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: HPC Cache nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Usługa HPC Cache korzysta ze źródeł synchronizacji czasu firmy Microsoft, które nie są widoczne dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówka: Użyj usługi Microsoft Defender dla Chmury i Azure Policy, aby ustanowić bezpieczne konfiguracje dla wszystkich zasobów obliczeniowych, w tym maszyn wirtualnych, kontenerów i innych.

Odpowiedzialność: Klient

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Nie dotyczy; Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w podstawowych systemach, które obsługują HPC Cache.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-1: Zapewnienie regularnych automatycznych kopii zapasowych

Wskazówki: Ponieważ usługa Azure HPC Cache jest rozwiązaniem buforowania, a nie systemem magazynu, skoncentruj się na zapewnieniu regularnego tworzenia kopii zapasowych danych w celach magazynu. Postępuj zgodnie ze standardowymi procedurami dla kontenerów obiektów blob platformy Azure i utwórz kopię zapasową dowolnych obiektów docelowych magazynu lokalnego.

Aby zminimalizować zakłócenia w przypadku awarii regionalnej, możesz wykonać kroki w celu zapewnienia dostępu do danych między regionami.

Każde wystąpienie usługi Azure HPC Cache działa w ramach określonej subskrypcji i w jednym regionie. Oznacza to, że przepływ pracy pamięci podręcznej może być prawdopodobnie zakłócany, jeśli region ma pełną awarię. Aby zminimalizować te zakłócenia, organizacja powinna używać magazynu zaplecza dostępnego z wielu regionów. Ten magazyn może być lokalnym systemem NAS z odpowiednią obsługą systemu DNS lub usługą Azure Blob Storage, która znajduje się w innym regionie niż pamięć podręczna.

Gdy przepływ pracy będzie kontynuowany w regionie podstawowym, dane są zapisywane w długoterminowym magazynie poza regionem. Jeśli region pamięci podręcznej stanie się niedostępny, możesz utworzyć zduplikowane wystąpienie usługi Azure HPC Cache w regionie pomocniczym, połączyć się z tym samym magazynem i wznowić pracę z nowej pamięci podręcznej.

Odpowiedzialność: Klient

BR-2: Szyfrowanie danych kopii zapasowej

Wskazówki: Upewnij się, że kopie zapasowe są chronione przed atakami. Powinno to obejmować szyfrowanie kopii zapasowych w celu ochrony przed utratą poufności.

W przypadku lokalnej kopii zapasowej przy użyciu Azure Backup szyfrowanie danych magazynowanych jest udostępniane przy użyciu podanego hasła. W przypadku regularnej kopii zapasowej usługi platformy Azure dane kopii zapasowej są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure. Możesz zaszyfrować kopię zapasową przy użyciu kluczy zarządzanych przez klienta. W takim przypadku upewnij się, że ten klucz zarządzany przez klienta w magazynie kluczy również znajduje się w zakresie kopii zapasowej.

Usługa Azure HPC Cache jest również chroniona za pomocą szyfrowania hosta maszyny wirtualnej na dyskach zarządzanych, które przechowują buforowane dane, nawet jeśli dodasz klucz klienta dla dysków pamięci podręcznej. Dodanie klucza zarządzanego przez klienta na potrzeby podwójnego szyfrowania zapewnia klientom wysoki poziom zabezpieczeń. Aby uzyskać szczegółowe informacje, zobacz Szyfrowanie po stronie serwera magazynu dysków platformy Azure.

Użyj kontroli dostępu opartej na rolach w Azure Backup, usłudze Azure Key Vault lub innych zasobach, aby chronić kopie zapasowe i klucze zarządzane przez klienta. Ponadto można włączyć zaawansowane funkcje zabezpieczeń, aby wymagać uwierzytelniania wieloskładnikowego przed zmianą lub usunięciem kopii zapasowych.

Odpowiedzialność: Klient

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówka: Okresowo upewnij się, że można przywrócić klucze zarządzane przez klienta.

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówka: Upewnij się, że masz środki, aby zapobiec utracie kluczy i odzyskać je. Włącz usuwanie nietrwałe i przeczyść ochronę w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Następne kroki