Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Lighthouse

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Azure Lighthouse. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące usługi Azure Lighthouse.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Azure Lighthouse, a te, dla których zalecenia dotyczące globalnego wytycznych są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa Azure Lighthouse całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktów odniesienia zabezpieczeń usługi Azure Lighthouse.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Nie dotyczy; Usługa Azure Lighthouse nie uwidacznia podstawowych konfiguracji DNS. Te ustawienia są obsługiwane przez firmę Microsoft.

Odpowiedzialność: Microsoft

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Usługa Azure Lighthouse używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Standaryzacja Azure AD w celu zarządzania tożsamościami i dostępem organizacji w programie :

  • Zasoby w chmurze firmy Microsoft, takie jak aplikacje Azure Portal, Azure Storage, Azure Virtual Machine (Linux i Windows), Azure Key Vault, PaaS i SaaS.
  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Dzięki usłudze Azure Lighthouse wyznaczeni użytkownicy w dzierżawie zarządzającej mają wbudowaną rolę platformy Azure, która umożliwia im dostęp do delegowanych subskrypcji i/lub grup zasobów w dzierżawie klienta. Wszystkie wbudowane role są obecnie obsługiwane z wyjątkiem ról właściciela lub dowolnych wbudowanych ról z uprawnieniami DataActions. Rola Administrator dostępu użytkowników jest obsługiwana tylko w przypadku ograniczonego użycia w przypisywaniu ról do tożsamości zarządzanych. Role niestandardowe i klasyczne role administratora subskrypcji nie są obsługiwane.

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: tożsamości zarządzane platformy Azure mogą uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie usługi Azure Active Directory (Azure AD). Uwierzytelnianie jest włączane za pomocą wstępnie zdefiniowanych reguł udzielania dostępu, co pozwala uniknąć zakodowanych na podstawie kodu źródłowego lub plików konfiguracji poświadczeń. Dzięki usłudze Azure Lighthouse użytkownicy z rolą administratora dostępu użytkowników w subskrypcji klienta mogą utworzyć tożsamość zarządzaną w dzierżawie tego klienta. Chociaż ta rola nie jest ogólnie obsługiwana w usłudze Azure Lighthouse, może być używana w tym konkretnym scenariuszu, umożliwiając użytkownikom z tym uprawnieniem przypisanie co najmniej jednej wbudowanej roli do tożsamości zarządzanych.

W przypadku usług, które nie obsługują tożsamości zarządzanych, użyj Azure AD, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. Usługa Azure Lighthouse umożliwia jednostkom usługi uzyskiwanie dostępu do zasobów klientów zgodnie z rolami, które są przyznawane podczas procesu dołączania. Zaleca się skonfigurowanie jednostek usługi z poświadczeniami certyfikatu i powrót do wpisów tajnych klienta. W obu przypadkach można używać usługi Azure Key Vault w połączeniu z tożsamościami zarządzanymi platformy Azure, dzięki czemu środowisko uruchomieniowe (takie jak funkcja platformy Azure) może pobrać poświadczenia z magazynu kluczy.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: Ogranicz liczbę kont użytkowników z wysokim poziomem uprawnień i chroń te konta na podwyższonym poziomie. Konto administratora globalnego nie jest wymagane do włączania i używania usługi Azure Lighthouse.

Aby uzyskać dostęp do danych dziennika aktywności na poziomie dzierżawy, konto musi mieć przypisaną wbudowaną rolę czytelnika monitorowania platformy Azure w zakresie głównym (/). Ponieważ rola Czytelnik monitorowania w zakresie głównym jest szerokim poziomem dostępu, zalecamy przypisanie tej roli do konta jednostki usługi, a nie do pojedynczego użytkownika lub do grupy. To przypisanie musi być wykonywane przez użytkownika, który ma rolę administratora globalnego z dodatkowym podwyższonym poziomem uprawnień dostępu. Ten podwyższony poziom dostępu powinien zostać dodany bezpośrednio przed przypisaniem roli, a następnie usunięty po zakończeniu przypisywania.

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: usługa Azure Lighthouse używa kont usługi Azure Active Directory (Azure AD) do zarządzania swoimi zasobami, regularnego przeglądania kont użytkowników i przypisywania dostępu w celu upewnienia się, że konta i ich dostęp są prawidłowe. Możesz użyć Azure AD przeglądów dostępu do przeglądania członkostw w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowania mogą udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również użyć Azure AD Privileged Identity Management do utworzenia przepływu pracy przeglądu dostępu w celu ułatwienia procesu przeglądu.

Klienci mogą przeglądać poziom dostępu udzielony użytkownikom w dzierżawie zarządzającej za pośrednictwem usługi Azure Lighthouse w Azure Portal. W dowolnym momencie mogą usunąć ten dostęp.

Ponadto można skonfigurować usługę Azure Privileged Identity Management do powiadamiania o nadmiernej liczbie kont administratorów oraz identyfikowaniu kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.

Uwaga: niektóre usługi platformy Azure obsługują lokalnych użytkowników i role, które nie są zarządzane za pośrednictwem Azure AD. Musisz oddzielnie zarządzać tymi użytkownikami.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówka: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla bezpieczeństwa poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług o kluczowym znaczeniu. W zależności od wymagań można używać wysoce zabezpieczonych stacji roboczych użytkowników i/lub usługi Azure Bastion do wykonywania zadań administracyjnych w usłudze Azure Lighthouse w środowiskach produkcyjnych. Użyj usługi Azure Active Directory (Azure AD), usługi Microsoft Defender Advanced Threat Protection (ATP) i/lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze można centralnie zarządzać w celu wymuszania zabezpieczonej konfiguracji, w tym silnego uwierzytelniania, punktów odniesienia oprogramowania i sprzętu oraz ograniczonego dostępu logicznego i sieciowego.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: usługa Azure Lighthouse jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Te wbudowane role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych. Dla niektórych zasobów istnieją wstępnie zdefiniowane wbudowane role i te role można zinwentaryzować lub wykonywać względem nich zapytania za pomocą narzędzi takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub witryna Azure Portal. Uprawnienia przypisywane do zasobów z użyciem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez te role. Uzupełnia to podejście just in time (JIT) usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) i powinno być okresowo przeglądane. Użyj wbudowanych ról, aby przydzielić uprawnienia i tworzyć role niestandardowe tylko wtedy, gdy jest to wymagane.

Usługa Azure Lighthouse umożliwia dostęp do delegowanych zasobów klientów przy użyciu wbudowanych ról platformy Azure. W większości przypadków należy przypisać te role do grupy lub jednostki usługi, a nie do wielu indywidualnych kont użytkowników. Dzięki temu można dodawać lub usuwać dostęp dla poszczególnych użytkowników bez konieczności aktualizowania i ponownego publikowania planu w przypadku zmiany wymagań dostępu.

Aby delegować zasoby klienta do dzierżawy zarządzającej, wdrożenie musi być wykonywane przez konto inne niż gość w dzierżawie klienta, który ma wbudowaną rolę Właściciela dla dołączanej subskrypcji (lub która zawiera dołączane grupy zasobów).

Odpowiedzialność: Klient

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówka: Zespoły ds. zabezpieczeń klientów mogą przeglądać dzienniki aktywności, aby zobaczyć działania podejmowane przez dostawców usług korzystających z usługi Azure Lighthouse.

Jeśli dostawca usług chce zezwolić swojemu zespołowi ds. zabezpieczeń na przeglądanie delegowanych zasobów klientów, autoryzacje zespołu ds. zabezpieczeń powinny zawierać wbudowaną rolę Czytelnik.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzać inspekcję i ograniczać usługi, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: za pośrednictwem usługi Azure Lighthouse możesz monitorować zasoby platformy Azure klientów pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, aby zmniejszyć liczbę wyników fałszywie dodatnich dla analityków do sortowania. Alerty mogą być pozyskiwane z danych dziennika, agentów lub innych danych.

Użyj wbudowanej funkcji wykrywania zagrożeń w usłudze Microsoft Defender for Cloud, która jest oparta na monitorowaniu danych telemetrycznych usługi platformy Azure i analizowaniu dzienników usług. Dane są zbierane przy użyciu agenta usługi Log Analytics, który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z systemu i kopiuje dane do obszaru roboczego na potrzeby analizy.

Ponadto usługa Microsoft Sentinel umożliwia tworzenie reguł analizy, które umożliwiają wyszukiwanie zagrożeń spełniających określone kryteria w środowisku klienta. Reguły generują zdarzenia po dopasowaniu kryteriów, dzięki czemu można zbadać każde zdarzenie. Usługa Microsoft Sentinel umożliwia również importowanie analizy zagrożeń innych firm w celu zwiększenia możliwości wykrywania zagrożeń.

Odpowiedzialność: Klient

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Za pośrednictwem usługi Azure Lighthouse możesz użyć usługi Microsoft Defender dla Chmury, aby otrzymywać alerty dotyczące niektórych podejrzanych działań w zarządzanych dzierżawach klientów, takich jak nadmierna liczba nieudanych prób uwierzytelnienia i przestarzałe konta w subskrypcji.

Usługa Azure Active Directory (Azure AD) udostępnia następujące dzienniki użytkowników, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowaniem w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy:

  • Logowanie — raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników.
  • Dzienniki inspekcji — udostępnia możliwość śledzenia wszystkich zmian wprowadzanych przez różne funkcje usługi Azure AD za pomocą dzienników. Działania umieszczane w dziennikach inspekcji to na przykład zmiany wprowadzone w dowolnych zasobach usługi Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
  • Ryzykowne logowanie — ryzykowne logowanie jest wskaźnikiem próby logowania, która mogła zostać wykonana przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.
  • Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.

Usługa Microsoft Defender for Cloud może również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelnienia, przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrony przed zagrożeniami w usłudze Microsoft Defender dla Chmury może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (maszyn wirtualnych, kontenerów, usługi App Service), zasobów danych (bazy danych SQL i magazynu) oraz warstw usług platformy Azure. Ta funkcja zapewnia widoczność anomalii kont wewnątrz poszczególnych zasobów.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Dzienniki aktywności, które są dostępne automatycznie, zawierają wszystkie operacje zapisu (PUT, POST, DELETE) dla zasobów usługi Azure Lighthouse z wyjątkiem operacji odczytu (GET). Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu, w jaki użytkownik w organizacji zmodyfikował zasób.

Usługa Azure Lighthouse umożliwia korzystanie z dzienników usługi Azure Monitor w skalowalny sposób w dzierżawach klientów, którym zarządzasz. Utwórz obszary robocze usługi Log Analytics bezpośrednio w dzierżawach klienta, aby dane klientów były przechowywane w ich dzierżawach, a nie były eksportowane do Twoich dzierżaw. Umożliwia to również scentralizowane monitorowanie wszystkich zasobów lub usług obsługiwanych przez usługę Log Analytics, co zapewnia większą elastyczność w zakresie typów monitorowanych danych.

Klienci, którzy delegowali subskrypcje usługi Azure Lighthouse, mogą wyświetlać dane dziennika aktywności platformy Azure, aby zobaczyć wszystkie podjęte akcje. Zapewnia to klientom pełny wgląd w operacje wykonywane przez dostawców usług oraz operacje wykonywane przez użytkowników w ramach własnej dzierżawy usługi Azure Active Directory (Azure AD).

Odpowiedzialność: Współużytkowane

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówka: Scentralizowanie magazynu i analizy rejestrowania w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.

Upewnij się, że integrujesz dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy oraz używać kont usługi Azure Storage do przechowywania długoterminowego i archiwalnego.

Ponadto włącz i dołącz dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Usługa Azure Lighthouse umożliwia korzystanie z dzienników usługi Azure Monitor w skalowalny sposób w dzierżawach klientów, którym zarządzasz. Utwórz obszary robocze usługi Log Analytics bezpośrednio w dzierżawach klienta, aby dane klientów były przechowywane w ich dzierżawach, a nie były eksportowane do Twoich dzierżaw. Umożliwia to również scentralizowane monitorowanie wszystkich zasobów lub usług obsługiwanych przez usługę Log Analytics, co zapewnia większą elastyczność w zakresie typów monitorowanych danych.

Klienci, którzy delegowali subskrypcje usługi Azure Lighthouse, mogą wyświetlać dane dziennika aktywności platformy Azure, aby zobaczyć wszystkie podjęte akcje. Zapewnia to klientom pełny wgląd w operacje wykonywane przez dostawców usług oraz operacje wykonywane przez użytkowników w ramach własnej dzierżawy usługi Azure Active Directory (Azure AD).

Wiele organizacji decyduje się używać usługi Microsoft Sentinel na potrzeby "gorących" danych, które są często używane, a usługa Azure Storage dla "zimnych" danych używanych rzadziej.

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówki: Usługa Azure Lighthouse nie generuje obecnie żadnych dzienników związanych z zabezpieczeniami. Klienci, którzy chcą wyświetlić aktywność dostawcy usług, mogą skonfigurować przechowywanie dzienników zgodnie ze zgodnością, regulacjami i wymaganiami biznesowymi.

W usłudze Azure Monitor możesz ustawić okres przechowywania obszaru roboczego usługi Log Analytics zgodnie z przepisami dotyczącymi zgodności w organizacji. Używaj kont obszarów roboczych usługi Azure Storage, Data Lake lub Log Analytics na potrzeby długoterminowego i archiwalnego magazynu.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: usługa Azure Lighthouse nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Usługa Azure Lighthouse korzysta ze źródeł synchronizacji czasu firmy Microsoft i nie jest widoczna dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówka: Usługa Azure Lighthouse obsługuje poniższe zasady specyficzne dla usługi, które są dostępne w usłudze Microsoft Defender for Cloud w celu przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Można to skonfigurować w usłudze Microsoft Defender dla Chmury lub inicjatyw Azure Policy.

  • Zezwalanie na dołączanie identyfikatorów dzierżaw za pośrednictwem usługi Azure Lighthouse

  • Inspekcja delegowania zakresów do dzierżawy zarządzającej

Usługi Azure Blueprints można używać do automatyzowania wdrażania i konfigurowania usług i środowisk aplikacji, w tym szablonów usługi Azure Resource Manager, kontrolek RBAC platformy Azure i zasad, w jednej definicji strategii.

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówka: Usługa Azure Lighthouse obsługuje poniższe zasady specyficzne dla usługi, które są dostępne w usłudze Microsoft Defender for Cloud w celu przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Można to skonfigurować w usłudze Microsoft Defender dla Chmury lub inicjatyw Azure Policy.

Odpowiedzialność: Klient

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówka: Użyj usługi Microsoft Defender dla Chmury i Azure Policy, aby ustanowić bezpieczne konfiguracje dla wszystkich zasobów obliczeniowych, w tym maszyn wirtualnych, kontenerów i innych.

Odpowiedzialność: Klient

PV-6: Przeprowadzanie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Firma Microsoft wykonuje zarządzanie lukami w zabezpieczeniach w podstawowych systemach, które obsługują usługę Azure Lighthouse.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-1: Używanie wykrywania i reagowania punktów końcowych (EDR)

Wskazówka: usługa Azure Lighthouse nie wdraża żadnych zasobów obliczeniowych przeznaczonych dla klientów, które wymagają ochrony przed wykrywaniem i reagowaniem na punkty końcowe (EDR). Podstawowa infrastruktura usługi Azure Lighthouse jest obsługiwana przez firmę Microsoft.

Odpowiedzialność: Microsoft

ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: usługa Azure Lighthouse nie wdraża żadnych zasobów obliczeniowych przeznaczonych dla klientów, które można skonfigurować za pomocą rozwiązania chroniącego przed złośliwym oprogramowaniem. Podstawowa infrastruktura usługi Azure Lighthouse jest obsługiwana przez firmę Microsoft, która obejmuje zarządzanie zainstalowanym oprogramowaniem chroniącym przed złośliwym oprogramowaniem.

Odpowiedzialność: Microsoft

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Wskazówki: usługa Azure Lighthouse nie wdraża żadnych zasobów obliczeniowych przeznaczonych dla klientów, które można skonfigurować za pomocą rozwiązania chroniącego przed złośliwym oprogramowaniem. Podstawowa infrastruktura usługi Azure Lighthouse jest obsługiwana przez firmę Microsoft, która obejmuje zarządzanie zainstalowanym oprogramowaniem chroniącym przed złośliwym oprogramowaniem.

Odpowiedzialność: Microsoft

Następne kroki