Punkt odniesienia zabezpieczeń platformy Azure dla usługi Logic Apps

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do usługi Logic Apps. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Logic Apps.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Logic Apps lub za które ponosi odpowiedzialność firmy Microsoft, zostały wykluczone. Aby zobaczyć, jak usługa Logic Apps całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Logic Apps.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1: Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówka: Łączniki uruchamiane w "globalnej", wielodostępnej usłudze Logic Apps są wdrażane i zarządzane przez firmę Microsoft. Te łączniki udostępniają wyzwalacze i akcje na potrzeby uzyskiwania dostępu do usług w chmurze, systemów lokalnych lub obu tych elementów, w tym Office 365, Azure Blob Storage, SQL Server, Dynamics, Salesforce, SharePoint i nie tylko. Tag usługi AzureConnectors można użyć podczas określania reguł w sieciowej grupie zabezpieczeń lub Azure Firewall, aby zezwolić na dostęp do powiązanych zasobów.

W przypadku aplikacji logiki, które wymagają bezpośredniego dostępu do zasobów w sieci wirtualnej platformy Azure, możesz utworzyć środowisko usługi integracji (ISE), w którym można tworzyć, wdrażać i uruchamiać aplikacje logiki na dedykowanych zasobach. Niektóre sieci wirtualne platformy Azure używają prywatnych punktów końcowych (Azure Private Link) do zapewnienia dostępu do usług PaaS platformy Azure, takich jak Azure Storage, Azure Cosmos DB, Azure SQL Database, usługi partnerskie lub usługi klienta hostowane na platformie Azure. Jeśli aplikacje logiki potrzebują dostępu do sieci wirtualnych korzystających z prywatnych punktów końcowych, musisz utworzyć, wdrożyć i uruchomić te aplikacje logiki wewnątrz środowiska ISE.

Podczas tworzenia środowiska ISE możesz użyć wewnętrznych lub zewnętrznych punktów końcowych dostępu. Wybór określa, czy wyzwalacze żądań lub elementów webhook w aplikacjach logiki w środowisku ISE mogą odbierać wywołania spoza sieci wirtualnej. Wewnętrzne i zewnętrzne punkty końcowe dostępu mają również wpływ na to, czy można wyświetlać historię uruchamiania aplikacji logiki, w tym dane wejściowe i wyjściowe dla przebiegu, z wewnątrz lub poza siecią wirtualną.

Upewnij się, że wszystkie wdrożenia podsieci sieci wirtualnej powiązane z usługą ISE mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji. Podczas wdrażania aplikacji logiki w środowisku ISE użyj Private Link. Azure Private Link umożliwia dostęp do usług PaaS platformy Azure i hostowanych przez platformę Azure usług klientów/partnerów za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Alternatywnie, jeśli masz konkretny przypadek użycia, możesz spełnić to wymaganie, implementując Azure Firewall. Aby zmniejszyć złożoność podczas konfigurowania reguł zabezpieczeń, użyj tagów usług reprezentujących grupy prefiksów adresów IP dla określonej usługi platformy Azure.

Odpowiedzialność: Współużytkowane

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i interfejsów sieciowych

Wskazówka: Jeśli uruchamiasz aplikacje logiki w środowisku usługi integracji (ISE), które korzysta z zewnętrznego punktu dostępu, możesz użyć sieciowej grupy zabezpieczeń w celu zmniejszenia ryzyka eksfiltracji danych. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wysyłaj dzienniki na konto usługi Azure Storage na potrzeby inspekcji ruchu. Dzienniki przepływu sieciowej grupy zabezpieczeń można również wysyłać do obszaru roboczego usługi Log Analytics i używać analizy ruchu w celu zapewnienia wglądu w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów dynamicznych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: Jeśli aplikacja logiki używa wyzwalacza opartego na żądaniach, który odbiera przychodzące wywołania lub żądania, takie jak wyzwalacz żądania lub element webhook, możesz ograniczyć dostęp, aby tylko autoryzowani klienci mogli wywoływać aplikację logiki.

Jeśli używasz aplikacji logiki w środowisku usługi integracji (ISE), włącz usługę DDoS Protection w warstwie Standardowa w sieci wirtualnej skojarzonej z środowiskiem ISE, aby chronić się przed atakami DDoS. Użyj zintegrowanej analizy zagrożeń w usłudze Microsoft Defender for Cloud, aby uniemożliwić komunikację ze znanymi złośliwymi lub nieużywanymi internetowymi adresami IP.

Wdróż Azure Firewall na każdej z granic sieci organizacji z włączoną funkcją Analizy zagrożeń i skonfigurowaną pod kątem alertów i odmowy dla złośliwego ruchu sieciowego.

Użyj dostępu just in time usługi Microsoft Defender dla chmury, aby skonfigurować sieciowe grupy zabezpieczeń w celu ograniczenia narażenia punktów końcowych na zatwierdzone adresy IP przez ograniczony czas.

Użyj adaptacyjnego wzmacniania zabezpieczeń sieci w usłudze Microsoft Defender dla chmury, aby zalecić konfiguracje sieciowej grupy zabezpieczeń, które ograniczają porty i źródłowe adresy IP na podstawie rzeczywistego ruchu i analizy zagrożeń.

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówka: Jeśli uruchamiasz aplikacje logiki w środowisku usługi integracji (ISE), które korzysta z zewnętrznego punktu dostępu, możesz użyć sieciowej grupy zabezpieczeń w celu zmniejszenia ryzyka eksfiltracji danych. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wysyłaj dzienniki na konto usługi Azure Storage na potrzeby inspekcji ruchu. Dzienniki przepływu sieciowej grupy zabezpieczeń można również wysyłać do obszaru roboczego usługi Log Analytics i używać analizy ruchu w celu zapewnienia wglądu w przepływ ruchu w chmurze platformy Azure. Niektóre zalety analizy ruchu to możliwość wizualizowania aktywności sieci i identyfikowania punktów dynamicznych, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Aby zapewnić dalszą ochronę i informacje na temat ruchu sieciowego, można odwołać się do dzienników dostępu, które są generowane tylko wtedy, gdy włączono je w każdym wystąpieniu Application Gateway. Ten dziennik służy do wyświetlania wzorców dostępu Application Gateway i analizowania ważnych informacji. Obejmuje to adres IP elementu wywołującego, żądany adres URL, opóźnienie odpowiedzi, kod zwrotny i bajty w i na wyjęcie.

W przeciwnym razie możesz użyć rozwiązania innej firmy z platformy handlowej, aby spełnić to wymaganie.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania nieautoryzowanego dostępu/nieautoryzowanego dostępu (IDS/IPS)

Wskazówka: wybierz ofertę z Azure Marketplace, która obsługuje funkcje IDS/IPS z funkcjami inspekcji ładunku. Jeśli wykrywanie nieautoryzowanego dostępu i/lub zapobieganie na podstawie inspekcji ładunku nie jest wymagane, można użyć Azure Firewall z funkcją Analizy zagrożeń. Azure Firewall filtrowanie oparte na analizie zagrożeń może kierować alerty i blokować ruch do i ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.

Wdróż wybrane rozwiązanie zapory w każdej z granic sieci organizacji, aby wykrywać i/lub blokować złośliwy ruch.

Odpowiedzialność: Klient

1.7: Zarządzanie ruchem do aplikacji internetowych

Wskazówki: Jeśli uruchamiasz aplikacje logiki w środowisku usługi integracji (ISE), wdróż Azure Application Gateway.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych związanych z regułami zabezpieczeń sieci

Wskazówka: W przypadku zasobów, które wymagają dostępu do wystąpień usługi Azure Logic Apps, użyj tagów usługi sieci wirtualnej do zdefiniowania mechanizmów kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. LogicApps, LogicAppsManagement) w odpowiednim polu źródłowym lub docelowym reguły, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych związanych z wystąpieniami usługi Azure Logic Apps przy użyciu Azure Policy. Użyj aliasów Azure Policy w przestrzeniach nazw "Microsoft.Logic" i "Microsoft.Network", aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci wystąpień usługi Azure Logic Apps. Możesz również korzystać z wbudowanych definicji zasad, takich jak:

  • Dzienniki diagnostyczne w usłudze Logic Apps powinny być włączone

  • Powinna być włączona ochrona przed atakami DDoS Protection w warstwie Standardowa

Możesz również użyć usługi Azure Blueprints, aby uprościć wdrożenia platformy Azure na dużą skalę, pakując kluczowe artefakty środowiska, takie jak szablony usługi Azure Resource Manager, kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) i zasady, w jednej definicji strategii. Łatwo zastosuj strategię do nowych subskrypcji i środowisk, a także dostosuj kontrolę i zarządzanie przy użyciu obsługi wersji.

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówki: W przypadku poszczególnych reguł sieciowej grupy zabezpieczeń użyj pola "Opis", aby określić potrzebę biznesową i/lub czas trwania (itp.) dla wszystkich reguł, które zezwalają na ruch do/z sieci.

Użyj dowolnej z wbudowanych definicji Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone przy użyciu tagów i powiadamiać o istniejących nieoznakowanych zasobach.

Możesz użyć Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na podstawie ich tagów.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany zasobów sieciowych związanych z wystąpieniami usługi Azure Logic Apps. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach sieciowych.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2. Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: Aby uzyskać bogatsze informacje o debugowaniu aplikacji logiki podczas wykonywania, możesz skonfigurować dzienniki usługi Azure Monitor i używać ich do rejestrowania i przechowywania informacji o danych i zdarzeniach środowiska uruchomieniowego, takich jak zdarzenia wyzwalacza, zdarzenia uruchamiania i zdarzenia akcji w obszarze roboczym usługi Log Analytics. Usługa Azure Monitor pomaga w monitorowaniu środowisk w chmurze oraz lokalnych w celu łatwiejszego zachowania ich dostępności i wydajności. Korzystając z dzienników usługi Azure Monitor, można tworzyć zapytania dzienników, które ułatwiają zbieranie i przeglądanie tych informacji. Możesz również użyć tych danych diagnostycznych z innymi usługami platformy Azure, takimi jak Azure Storage i Azure Event Hubs.

Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.3. Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: Aby uzyskać bogatsze informacje o debugowaniu aplikacji logiki podczas wykonywania, możesz skonfigurować dzienniki usługi Azure Monitor i używać ich do rejestrowania i przechowywania informacji o danych i zdarzeniach środowiska uruchomieniowego, takich jak zdarzenia wyzwalacza, zdarzenia uruchamiania i zdarzenia akcji w obszarze roboczym usługi Log Analytics. Usługa Azure Monitor pomaga w monitorowaniu środowisk w chmurze oraz lokalnych w celu łatwiejszego zachowania ich dostępności i wydajności. Korzystając z dzienników usługi Azure Monitor, można tworzyć zapytania dzienników, które ułatwiają zbieranie i przeglądanie tych informacji. Możesz również użyć tych danych diagnostycznych z innymi usługami platformy Azure, takimi jak Azure Storage i Azure Event Hubs.

Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.Logic:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Dzienniki zasobów w usłudze Logic Apps powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użycia do celów badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: Po utworzeniu i uruchomieniu aplikacji logiki możesz sprawdzić stan uruchamiania aplikacji logiki, historię przebiegów, historię wyzwalacza i wydajność. W przypadku monitorowania zdarzeń w czasie rzeczywistym i bardziej zaawansowanego debugowania skonfiguruj rejestrowanie diagnostyczne dla aplikacji logiki przy użyciu dzienników usługi Azure Monitor. Ta usługa platformy Azure ułatwia monitorowanie środowisk w chmurze i lokalnych, dzięki czemu można łatwiej zachować ich dostępność i wydajność. Następnie można znaleźć i wyświetlić zdarzenia, takie jak zdarzenia wyzwalacza, zdarzenia uruchamiania i zdarzenia akcji. Przechowując te informacje w dziennikach usługi Azure Monitor, można tworzyć zapytania dzienników, które ułatwiają znajdowanie i analizowanie tych informacji. Te dane diagnostyczne można również używać z innymi usługami platformy Azure, takimi jak Azure Storage i Azure Event Hubs.

W usłudze Azure Monitor ustaw okres przechowywania dzienników dla dzienników skojarzonych z wystąpieniami usługi Azure Logic Apps zgodnie z przepisami dotyczącymi zgodności organizacji.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: Aby skonfigurować rejestrowanie dla aplikacji logiki, możesz włączyć usługę Log Analytics podczas tworzenia aplikacji logiki lub zainstalować rozwiązanie do zarządzania usługą Logic Apps w obszarze roboczym usługi Log Analytics dla istniejących aplikacji logiki. To rozwiązanie udostępnia zagregowane informacje dotyczące przebiegów aplikacji logiki i zawiera szczegółowe informacje, takie jak stan, czas wykonywania, stan ponownej instalacji i identyfikatory korelacji. Następnie, aby włączyć rejestrowanie i tworzenie zapytań dotyczących tych informacji, skonfiguruj dzienniki usługi Azure Monitor.

Możesz również włączyć ustawienia diagnostyczne dziennika aktywności platformy Azure i wysłać dzienniki do obszaru roboczego usługi Log Analytics. Wykonywanie zapytań w usłudze Log Analytics w celu wyszukiwania terminów, identyfikowania trendów, analizowania wzorców i udostępniania wielu innych szczegółowych informacji na podstawie danych dziennika aktywności, które mogły zostać zebrane dla usługi Azure Logic Apps.

Alternatywnie możesz włączyć i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.7. Włączanie alertów dla nietypowych działań

Wskazówki: używanie usługi Microsoft Defender for Cloud z usługą Log Analytics do monitorowania i zgłaszania alertów dotyczących nietypowych działań znalezionych w dziennikach zabezpieczeń i zdarzeniach.

Alternatywnie możesz włączyć i wprowadzić dane do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1. Utrzymywanie spisu kont administracyjnych

Wskazówki: usługa Azure Active Directory (Azure AD) ma wbudowane role, które muszą być jawnie przypisane i można wykonywać zapytania. Użyj modułu Azure AD PowerShell, aby wykonywać zapytania ad hoc w celu odnajdywania kont należących do grup administracyjnych.

Aby łatwo uzyskać dostęp do innych zasobów chronionych przez Azure AD i uwierzytelnić swoją tożsamość bez logowania, aplikacja logiki może używać tożsamości zarządzanej (wcześniej tożsamości usługi zarządzanej lub tożsamości usługi zarządzanej), a nie poświadczeń lub wpisów tajnych. Platforma Azure zarządza tą tożsamością i pomaga zabezpieczyć poświadczenia, ponieważ dzięki temu nie musisz dostarczać ani rotować wpisów tajnych.

Każdy punkt końcowy żądania w aplikacji logiki ma sygnaturę dostępu współdzielonego (SAS) w adresie URL punktu końcowego. Jeśli udostępniasz adres URL punktu końcowego dla wyzwalacza opartego na żądaniach innym stronom, możesz wygenerować adresy URL wywołania zwrotnego, które używają określonych kluczy i mają daty wygaśnięcia. Dzięki temu możesz bezproblemowo rzutować klucze lub ograniczyć dostęp do wyzwalania aplikacji logiki na podstawie określonego przedziału czasu.

Odpowiedzialność: Klient

3.2. Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: usługa Azure Active Directory (Azure AD) i usługa Azure Logic Apps nie mają pojęcia haseł domyślnych.

Jeśli jest używane uwierzytelnianie podstawowe, musisz określić nazwę użytkownika i hasło. Podczas tworzenia tych poświadczeń upewnij się, że skonfigurowaliśmy silne hasło do uwierzytelniania.

Jeśli używasz infrastruktury jako kodu, unikaj przechowywania haseł w kodzie i zamiast tego użyjesz usługi Azure Key Vault do przechowywania i pobierania poświadczeń.

Odpowiedzialność: Klient

3.3. Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych. Użyj usługi Microsoft Defender for Cloud Identity and Access Management, aby monitorować liczbę kont administracyjnych.

Ponadto, aby ułatwić śledzenie dedykowanych kont administracyjnych, możesz użyć zaleceń usługi Microsoft Defender for Cloud lub wbudowanych zasad platformy Azure, takich jak:

  • Do subskrypcji powinno być przypisanych więcej niż jeden właściciel
  • Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
  • Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

3.4: Używanie logowania jednokrotnego usługi Azure Active Directory (SSO)

Wskazówki: Użyj rejestracji aplikacji platformy Azure (jednostki usługi), aby pobrać token, który może służyć do interakcji z magazynami usługi Recovery Services za pośrednictwem wywołań interfejsu API.

Wiele łączników wymaga również, aby najpierw utworzyć połączenie z usługą docelową lub systemem i podać poświadczenia uwierzytelniania lub inne szczegóły konfiguracji, zanim będzie można użyć wyzwalacza lub akcji w aplikacji logiki. Na przykład musisz autoryzować połączenie z kontem twitterowym w celu uzyskania dostępu do danych lub publikowania w Twoim imieniu.

W przypadku łączników korzystających z uwierzytelniania OAuth usługi Azure Active Directory (Azure AD) tworzenie połączenia oznacza zalogowanie się do usługi, takie jak Office 365, Salesforce lub GitHub, gdzie token dostępu jest szyfrowany i bezpiecznie przechowywany w magazynie wpisów tajnych platformy Azure. Inne łączniki, takie jak FTP i SQL, wymagają połączenia, które zawiera szczegóły konfiguracji, takie jak adres serwera, nazwa użytkownika i hasło. Te szczegóły konfiguracji połączenia są również szyfrowane i bezpiecznie przechowywane.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włączanie uwierzytelniania wieloskładnikowego usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.6: Używanie bezpiecznych, zarządzanych przez platformę Azure stacji roboczych na potrzeby zadań administracyjnych

Wskazówki: Używanie stacji roboczych dostępu uprzywilejowanego (PAW) z uwierzytelnianiem wieloskładnikowym skonfigurowanym do logowania się i konfigurowania zasobów platformy Azure.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: użyj usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) na potrzeby generowania dzienników i alertów w przypadku wystąpienia podejrzanej lub niebezpiecznej aktywności w środowisku.

Ponadto użyj Azure AD wykrywania ryzyka, aby wyświetlić alerty i raporty dotyczące ryzykownych zachowań użytkowników.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Użyj dostępu warunkowego nazwanych lokalizacji, aby zezwolić na dostęp do Azure Portal tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Ponadto każdy punkt końcowy żądania w aplikacji logiki ma sygnaturę dostępu współdzielonego (SAS) w adresie URL punktu końcowego. Możesz ograniczyć aplikację logiki do akceptowania żądań tylko z określonych adresów IP.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji dla wystąpień usługi Azure Logic Apps. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

Jeśli istnieje obsługa usługi Logic Apps, użyj tożsamości zarządzanej, aby łatwo uzyskać dostęp do innych zasobów chronionych przez Azure AD i uwierzytelnić swoją tożsamość bez logowania, a nie poświadczeń lub wpisów tajnych. Platforma Azure zarządza tą tożsamością i pomaga zabezpieczyć poświadczenia, ponieważ dzięki temu nie musisz dostarczać ani rotować wpisów tajnych.

Usługa Azure Logic Apps obsługuje zarówno tożsamości zarządzane przypisane przez system, jak i przez użytkownika. Aplikacja logiki może użyć tożsamości przypisanej przez system lub przez pojedynczego użytkownika, udostępnianej w grupie aplikacji logiki, ale nie obu tych tożsamości. Obecnie tylko określone wbudowane wyzwalacze i akcje obsługują tożsamości zarządzane, a nie zarządzane łączniki lub połączenia, takie jak:

  • HTTP
  • Azure Functions
  • Usługa Azure API Management
  • Azure App Services

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: usługa Azure Active Directory (Azure AD) udostępnia dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj przeglądów dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówki: użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji dla wystąpień usługi Azure Logic Apps. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

Masz dostęp do Azure AD aktywności logowania, inspekcji i źródeł dzienników zdarzeń ryzyka, które umożliwiają integrację z usługą Microsoft Sentinel lub rozwiązaniem SIEM innej firmy.

Ten proces można usprawnić, tworząc ustawienia diagnostyczne dla kont użytkowników Azure AD i wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Log Analytics. W usłudze Log Analytics można skonfigurować żądane alerty dziennika.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówki: korzystanie z funkcji ryzyka i ochrony tożsamości w usłudze Azure Active Directory (Azure AD) w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Możesz również pozyskać dane do usługi Microsoft Sentinel w celu dalszego badania.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu poufnych informacji

Wskazówki: użyj tagów, aby pomóc w śledzeniu zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2. Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: łączniki uruchamiane w "globalnej" usłudze Logic Apps z wieloma dzierżawami są wdrażane i zarządzane przez firmę Microsoft. Te łączniki zapewniają wyzwalacze i akcje służące do uzyskiwania dostępu do usług w chmurze, systemów lokalnych lub obu tych elementów, w tym Office 365, Azure Blob Storage, SQL Server, Dynamics, Salesforce, SharePoint i nie tylko.

W przypadku aplikacji logiki, które wymagają bezpośredniego dostępu do zasobów w sieci wirtualnej platformy Azure, możesz utworzyć środowisko usługi integracji (ISE), w którym można tworzyć, wdrażać i uruchamiać aplikacje logiki na dedykowanych zasobach. Niektóre sieci wirtualne platformy Azure używają prywatnych punktów końcowych (Azure Private Link) do zapewniania dostępu do usług PaaS platformy Azure, takich jak Azure Storage, Azure Cosmos DB lub Azure SQL Database, usługi partnerskie lub usługi klienta hostowane na platformie Azure. Jeśli aplikacje logiki potrzebują dostępu do sieci wirtualnych korzystających z prywatnych punktów końcowych, musisz utworzyć, wdrożyć i uruchomić te aplikacje logiki w środowisku ISE.

Podczas tworzenia środowiska ISE możesz użyć wewnętrznych lub zewnętrznych punktów końcowych dostępu. Wybór określa, czy wyzwalacze żądania lub elementu webhook w aplikacjach logiki w środowisku ISE mogą odbierać wywołania spoza sieci wirtualnej.

Ponadto zaimplementuj izolację przy użyciu oddzielnych subskrypcji i grup zarządzania dla poszczególnych domen zabezpieczeń, takich jak typ środowiska i poziom poufności danych. Możesz ograniczyć poziom dostępu do zasobów platformy Azure, których wymagają aplikacje i środowiska przedsiębiorstwa. Dostęp do zasobów platformy Azure można kontrolować za pomocą kontroli dostępu opartej na rolach platformy Azure (Azure RBAC).

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: obecnie niedostępne; funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla usługi Azure Logic Apps.

Skorzystaj z rozwiązania innej firmy z Azure Marketplace na obwodach sieci, które monitorują nieautoryzowany transfer poufnych informacji i blokują takie transfery, ostrzegając specjalistów ds. zabezpieczeń informacji.

Firma Microsoft zarządza podstawową infrastrukturą usługi Azure Logic Apps i wdrożyła ścisłe mechanizmy kontroli, aby zapobiec utracie lub narażeniu danych klientów.

Odpowiedzialność: Współużytkowane

4.4. Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Szyfruj wszystkie poufne informacje podczas przesyłania. W usłudze Azure Logic Apps wszystkie dane podczas uruchamiania aplikacji logiki są szyfrowane podczas przesyłania przy użyciu protokołu Transport Layer Security (TLS) i magazynowanych. Po wyświetleniu historii uruchamiania aplikacji logiki usługa Logic Apps uwierzytelnia dostęp, a następnie udostępnia linki do danych wejściowych i wyjściowych żądań i odpowiedzi dla każdego przebiegu. Jednak w przypadku akcji obsługujących hasła, wpisy tajne, klucze lub inne poufne informacje chcesz uniemożliwić innym osobom wyświetlanie i uzyskiwanie dostępu do tych danych. Jeśli na przykład aplikacja logiki pobiera wpis tajny z usługi Azure Key Vault do użycia podczas uwierzytelniania akcji HTTP, chcesz ukryć ten wpis tajny z widoku.

Wyzwalacz Żądania obsługuje tylko protokół Transport Layer Security (TLS) 1.2 dla żądań przychodzących. Upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS 1.2 lub nowszy. Wywołania wychodzące przy użyciu łącznika HTTP obsługują protokół Transport Layer Security (TLS) 1.0, 1.1 i 1.2.

Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud dotyczącymi szyfrowania magazynowanych i szyfrowania podczas przesyłania, jeśli ma to zastosowanie.

Odpowiedzialność: Współużytkowane

4.5: Używanie aktywnego narzędzia odnajdywania do identyfikowania poufnych danych

Wskazówki: w usłudze Azure Logic Apps wiele wyzwalaczy i akcji ma ustawienia, które można włączyć w celu zabezpieczenia danych wejściowych, wyjściowych lub obu, zaciemniając te dane z historii uruchamiania aplikacji logiki.

Firma Microsoft zarządza podstawową infrastrukturą usługi Azure Logic Apps i wdrożyła ścisłe mechanizmy kontroli, aby zapobiec utracie lub narażeniu danych klientów.

Odpowiedzialność: Współużytkowane

4.6: Kontrolowanie dostępu do zasobów przy użyciu kontroli dostępu opartej na rolach platformy Azure

Wskazówki: możesz zezwolić tylko określonym użytkownikom lub grupom na uruchamianie określonych zadań, takich jak zarządzanie, edytowanie i wyświetlanie aplikacji logiki. Aby kontrolować swoje uprawnienia, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby móc przypisywać niestandardowe lub wbudowane role do członków w subskrypcji platformy Azure:

  • Współautor aplikacji logiki: umożliwia zarządzanie aplikacjami logiki, ale nie można zmienić dostępu do nich.
  • Operator aplikacji logiki: umożliwia odczytywanie, włączanie i wyłączanie aplikacji logiki, ale nie można ich edytować ani aktualizować.

Aby uniemożliwić innym osobom zmianę lub usunięcie aplikacji logiki, możesz użyć blokady zasobów platformy Azure. Ta funkcja uniemożliwia innym osobom zmianę lub usunięcie zasobów produkcyjnych.

Odpowiedzialność: Klient

4.8: Szyfrowanie poufnych informacji magazynowanych

Wskazówki: usługa Azure Logic Apps korzysta z usługi Azure Storage do przechowywania i automatycznego szyfrowania danych magazynowanych. To szyfrowanie chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Domyślnie usługa Azure Storage szyfruje dane przy użyciu kluczy zarządzanych przez firmę Microsoft.

Podczas tworzenia środowiska usługi integracji (ISE) do hostowania aplikacji logiki i chcesz mieć większą kontrolę nad kluczami szyfrowania używanymi przez usługę Azure Storage, możesz skonfigurować, używać i zarządzać własnym kluczem przy użyciu usługi Azure Key Vault. Ta funkcja jest również znana jako "Bring Your Own Key" (BYOK), a klucz jest nazywany "kluczem zarządzanym przez klienta".

Odpowiedzialność: Klient

4.9: Rejestrowanie i alerty dotyczące zmian w krytycznych zasobach platformy Azure

Wskazówki: użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wprowadzania zmian w usłudze Azure Logic Apps, a także innych zasobów krytycznych lub powiązanych.

Odpowiedzialność: Klient

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1. Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Używanie usługi Azure Resource Graph do wykonywania zapytań/odnajdywania wszystkich zasobów (takich jak obliczenia, magazyn, sieć, porty i protokoły itp.) w ramach subskrypcji. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w ramach subskrypcji.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem Resource Graph, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.

Odpowiedzialność: Klient

6.2: Obsługa metadanych zasobu

Wskazówki: stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia zasobów platformy Azure. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Ponadto należy użyć Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

6.4: Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: Utwórz spis zatwierdzonych zasobów platformy Azure (takich jak łączniki) i zatwierdzone oprogramowanie dla zasobów obliczeniowych zgodnie z potrzebami organizacji.

Uwaga: ze względu na dane i zasady ochrony prywatności firmy Google można używać łącznika Gmail tylko z usługami zatwierdzonymi przez firmę Google. Sytuacja ta ewoluuje i może mieć wpływ na inne łączniki Google w przyszłości.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówka: Użyj Azure Policy, aby zastosować ograniczenia dotyczące typu zasobów, które można utworzyć w ramach subskrypcji.

Korzystanie z usługi Azure Resource Graph do wykonywania zapytań o zasoby w ramach subskrypcji lub odnajdywania ich zasobów. Upewnij się, że wszystkie zasoby platformy Azure obecne w środowisku są zatwierdzone.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówka: Użyj Azure Policy, aby zastosować ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

6.10: Utrzymywanie spisu zatwierdzonych tytułów oprogramowania

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: Konfigurowanie dostępu warunkowego platformy Azure w celu ograniczenia możliwości interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

6.12: Ograniczanie możliwości wykonywania skryptów przez użytkowników w zasobach obliczeniowych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Klient

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Wskazówki: Zasoby związane z usługą Logic Apps, które są wymagane w przypadku operacji biznesowych, ale mogą stanowić większe ryzyko dla organizacji, powinny być izolowane w ramach własnej maszyny wirtualnej i/lub sieci wirtualnej oraz odpowiednio zabezpieczone za pomocą Azure Firewall lub sieciowej grupy zabezpieczeń.

Usługa Logic Apps, która jest wymagana w przypadku operacji biznesowych, ale może stanowić większe ryzyko dla organizacji, powinna być izolowana wszędzie tam, gdzie to możliwe za pośrednictwem oddzielnych grup zasobów z określonymi uprawnieniami i granicami RBAC platformy Azure.

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla wystąpień usługi Azure Logic Apps przy użyciu Azure Policy. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Logic", aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji wystąpień usługi Logic Apps. Możesz na przykład zablokować innym osobom możliwość tworzenia lub używania połączeń z zasobami, w których chcesz ograniczyć dostęp.

Ponadto usługa Azure Resource Manager umożliwia eksportowanie szablonu w formacie JavaScript Object Notation (JSON), które należy przejrzeć, aby upewnić się, że konfiguracje spełniają /przekraczają wymagania dotyczące zabezpieczeń dla organizacji.

Ponadto należy używać zabezpieczonych parametrów do ochrony poufnych danych i wpisów tajnych.

Odpowiedzialność: Klient

7.2: Ustanawianie bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: Nie dotyczy; ta wytyczna jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Klient

7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.

Zdefiniuj i zaimplementuj standardowe konfiguracje zabezpieczeń dla wystąpień usługi Azure Logic Apps przy użyciu Azure Policy. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Logic", aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji wystąpień usługi Logic Apps. Możesz na przykład zablokować innym osobom możliwość tworzenia lub używania połączeń z zasobami, w których chcesz ograniczyć dostęp.

Ponadto usługa Azure Resource Manager umożliwia eksportowanie szablonu w formacie JavaScript Object Notation (JSON), które należy przejrzeć, aby upewnić się, że konfiguracje spełniają /przekraczają wymagania dotyczące zabezpieczeń dla organizacji.

Upewnij się również, że dane są bezpieczne w historii uruchamiania przy użyciu zaciemnienia.

Odpowiedzialność: Klient

7.4: Obsługa bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: Nie dotyczy; ta wytyczna jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Współużytkowane

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówka: Jeśli używasz niestandardowych definicji Azure Policy, użyj usługi Azure DevOps lub Azure Repos, aby bezpiecznie przechowywać kod i zarządzać nim.

Ponadto usługa Azure Resource Manager umożliwia eksportowanie szablonu w formacie JavaScript Object Notation (JSON), które należy przejrzeć, aby upewnić się, że konfiguracje spełniają /przekraczają wymagania dotyczące zabezpieczeń dla organizacji.

Odpowiedzialność: Klient

7.6: Bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego

Wskazówki: Nie dotyczy; ta wytyczna jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Klient

7.7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: Użyj wbudowanych definicji Azure Policy, a także aliasów Azure Policy w przestrzeni nazw "Microsoft.Logic", aby utworzyć niestandardowe zasady do zgłaszania alertów, inspekcji i wymuszania konfiguracji systemu. Użyj aliasów Azure Policy, aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji sieci zasobów platformy Azure. Ponadto opracuj proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.8: Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych

Wskazówki: Nie dotyczy; ta wytyczna jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Użyj wbudowanych definicji Azure Policy, a także aliasów Azure Policy w przestrzeni nazw "Microsoft.Logic", aby utworzyć niestandardowe zasady alertów, inspekcji i wymuszania konfiguracji systemu. Użyj Azure Policy [audit], [deny] i [deploy if not exist], aby automatycznie wymuszać konfiguracje dla zasobów platformy Azure.

Odpowiedzialność: Klient

7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych

Wskazówki: Nie dotyczy; ta wskazówka jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: Zabezpieczanie danych wejściowych i wyjściowych w historii uruchamiania aplikacji logiki przy użyciu zaciemnienia. W przypadku wdrażania w różnych środowiskach rozważ sparametryzowanie wartości w definicji przepływu pracy aplikacji logiki, które różnią się w zależności od tych środowisk. W ten sposób można uniknąć zakodowanych na podstawie kodu danych przy użyciu szablonu usługi Azure Resource Manager w celu wdrożenia aplikacji logiki, ochrony poufnych danych przez zdefiniowanie zabezpieczonych parametrów i przekazania tych danych jako oddzielnych danych wejściowych za pomocą parametrów szablonu przy użyciu pliku parametrów. Za pomocą Key Vault można przechowywać poufne dane i używać zabezpieczonych parametrów szablonu, które pobierają te wartości z Key Vault podczas wdrażania. Następnie możesz odwołać się do magazynu kluczy i wpisów tajnych w pliku parametrów.

Podczas tworzenia środowiska usługi integracji (ISE) do hostowania aplikacji logiki i chcesz mieć większą kontrolę nad kluczami szyfrowania używanymi przez usługę Azure Storage, możesz skonfigurować, używać i zarządzać własnym kluczem przy użyciu usługi Azure Key Vault. Ta funkcja jest również znana jako "Bring Your Own Key" (BYOK), a klucz jest nazywany "kluczem zarządzanym przez klienta".

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: Aby łatwo uzyskać dostęp do innych zasobów chronionych przez usługę Azure Active Directory (Azure AD) i uwierzytelnić swoją tożsamość bez logowania, aplikacja logiki może używać tożsamości zarządzanej (wcześniej tożsamości usługi zarządzanej lub tożsamości usługi zarządzanej), a nie poświadczeń lub wpisów tajnych. Platforma Azure zarządza tą tożsamością i pomaga zabezpieczyć poświadczenia, ponieważ dzięki temu nie musisz dostarczać ani rotować wpisów tajnych.

Obecnie tylko określone wbudowane wyzwalacze i akcje obsługują tożsamości zarządzane, a nie zarządzane łączniki lub połączenia, takie jak:

  • HTTP
  • Azure Functions
  • Usługa Azure API Management
  • Azure App Services

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: Zabezpieczanie danych wejściowych i wyjściowych w historii uruchamiania aplikacji logiki przy użyciu zaciemnienia. W przypadku wdrażania w różnych środowiskach rozważ sparametryzowanie wartości w definicji przepływu pracy aplikacji logiki, które różnią się w zależności od tych środowisk. W ten sposób można uniknąć zakodowanych na podstawie kodu danych przy użyciu szablonu usługi Azure Resource Manager w celu wdrożenia aplikacji logiki, ochrony poufnych danych przez zdefiniowanie zabezpieczonych parametrów i przekazania tych danych jako oddzielnych danych wejściowych za pomocą parametrów szablonu przy użyciu pliku parametrów. Za pomocą Key Vault można przechowywać poufne dane i używać zabezpieczonych parametrów szablonu, które pobierają te wartości z Key Vault podczas wdrażania. Następnie możesz odwołać się do magazynu kluczy i wpisów tajnych w pliku parametrów.

Możesz również zaimplementować skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.1. Korzystanie z oprogramowania chroniącego przed złośliwym oprogramowaniem zarządzanego centralnie

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych. Ochrona przed złośliwym oprogramowaniem firmy Microsoft jest włączona na hoście bazowym, który obsługuje usługi platformy Azure (na przykład Azure Logic Apps), ale nie jest uruchamiany w zawartości klienta.

Odpowiedzialność: Klient

8.2: Wstępne skanowanie plików, które mają zostać przekazane do zasobów platformy Azure, które nie są obliczane

Wskazówki: Ochrona przed złośliwym oprogramowaniem firmy Microsoft jest włączona na hoście bazowym, który obsługuje usługi platformy Azure (na przykład Azure Backup), ale nie jest uruchamiany w zawartości.

Wstępnie przeskanuj wszystkie pliki przekazywane do zasobów platformy Azure, takich jak App Service, Data Lake Storage, Blob Storage itp.

Wykrywanie zagrożeń w usługach danych za pomocą usługi Microsoft Defender for Cloud umożliwia wykrywanie złośliwego oprogramowania przekazanego do kont magazynu.

Odpowiedzialność: Klient

8.3: Upewnij się, że oprogramowanie chroniące przed złośliwym oprogramowaniem i podpisy są aktualizowane

Wskazówki: Nie dotyczy; ta wskazówka jest przeznaczona dla zasobów obliczeniowych.

Odpowiedzialność: Klient

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: Zaimplementowanie rozwiązania odzyskiwania po awarii (DR) w celu zapewnienia ochrony danych, szybkiego przywrócenia zasobów obsługujących krytyczne funkcje biznesowe i utrzymania działania operacji w celu zachowania ciągłości działania (BC).

Ta strategia odzyskiwania po awarii koncentruje się na konfigurowaniu podstawowej aplikacji logiki w celu przejścia w tryb failover do aplikacji logiki rezerwowej lub tworzenia kopii zapasowej w alternatywnej lokalizacji, w której jest również dostępna usługa Azure Logic Apps. W ten sposób, jeśli podstawowa poniesie straty, zakłócenia lub awarie, pomocnicza może podjąć pracę. Ta strategia wymaga, aby pomocnicza aplikacja logiki i zasoby zależne zostały już wdrożone i gotowe w lokalizacji alternatywnej.

Ponadto należy rozwinąć podstawową definicję przepływu pracy aplikacji logiki do szablonu usługi Azure Resource Manager. Ten szablon definiuje infrastrukturę, zasoby, parametry i inne informacje dotyczące aprowizacji i wdrażania aplikacji logiki.

Odpowiedzialność: Klient

9.2. Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: Zaimplementowanie rozwiązania odzyskiwania po awarii (DR) w celu zapewnienia ochrony danych, szybkiego przywrócenia zasobów obsługujących krytyczne funkcje biznesowe i utrzymania działania operacji w celu zachowania ciągłości działania (BC).

Ta strategia odzyskiwania po awarii koncentruje się na konfigurowaniu podstawowej aplikacji logiki w celu przejścia w tryb failover do aplikacji logiki rezerwowej lub tworzenia kopii zapasowej w alternatywnej lokalizacji, w której jest również dostępna usługa Azure Logic Apps. W ten sposób, jeśli podstawowa poniesie straty, zakłócenia lub awarie, pomocnicza może podjąć pracę. Ta strategia wymaga, aby pomocnicza aplikacja logiki i zasoby zależne zostały już wdrożone i gotowe w lokalizacji alternatywnej.

Ponadto należy rozwinąć podstawową definicję przepływu pracy aplikacji logiki do szablonu usługi Azure Resource Manager. Ten szablon definiuje infrastrukturę, zasoby, parametry i inne informacje dotyczące aprowizacji i wdrażania aplikacji logiki.

Każdy punkt końcowy żądania w aplikacji logiki ma sygnaturę dostępu współdzielonego (SAS) w adresie URL punktu końcowego. Jeśli używasz usługi Azure Key Vault do przechowywania wpisów tajnych, upewnij się, że regularne automatyczne kopie zapasowe kluczy i adresów URL.

Odpowiedzialność: Klient

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Strategia odzyskiwania po awarii powinna skupić się na konfigurowaniu podstawowej aplikacji logiki w celu przejścia w tryb failover na rezerwową lub kopię zapasową aplikacji logiki w alternatywnej lokalizacji, w której jest również dostępna usługa Azure Logic Apps. W ten sposób, jeśli podstawowa poniesie straty, zakłócenia lub awarie, pomocnicza może podjąć pracę. Ta strategia wymaga, aby pomocnicza aplikacja logiki i zasoby zależne zostały już wdrożone i gotowe w lokalizacji alternatywnej.

Przetestuj przywracanie kopii zapasowej kluczy zarządzanych przez klienta. Należy pamiętać, że dotyczy to tylko usługi Logic Apps działających w środowiskach usługi integracji (ISE).

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: Strategia odzyskiwania po awarii powinna skoncentrować się na konfigurowaniu podstawowej aplikacji logiki w celu przełącznia w tryb failover do aplikacji logiki rezerwowej lub tworzenia kopii zapasowej w alternatywnej lokalizacji, w której usługa Azure Logic Apps jest również dostępna. W ten sposób, jeśli podstawowy poniesie straty, zakłócenia lub awarie, pomocnicza może podjąć pracę. Ta strategia wymaga, aby pomocnicza aplikacja logiki i zasoby zależne zostały już wdrożone i gotowe w lokalizacji alternatywnej.

Ochrona kopii zapasowych kluczy zarządzanych przez klienta. Należy pamiętać, że dotyczy to tylko usługi Logic Apps działających w środowiskach usługi integracji (ISE).

Włącz ochronę Soft-Delete i przeczyść w Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1: Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub metryce użytej do wystawienia alertu, a także na poziomie ufności, na jakim wystąpił złośliwy zamiar działania, które doprowadziły do alertu.

Ponadto wyraźnie oznacz subskrypcje (np. produkcyjne, nieprodowe) przy użyciu tagów i tworzą system nazewnictwa w celu wyraźnego identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Odpowiedzialność za korygowanie alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowisko, w którym wystąpiło zdarzenie, leży po stronie użytkownika.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadź ćwiczenia, aby przetestować możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu, aby ułatwić ochronę zasobów platformy Azure. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego, aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówka: Funkcja automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury umożliwia automatyczne wyzwalanie odpowiedzi za pośrednictwem usługi "Logic Apps" dotyczących alertów zabezpieczeń i zaleceń w celu ochrony zasobów platformy Azure.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: postępuj zgodnie z regułami zaangażowania firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii i wykonywania red teaming oraz testów penetracyjnych witryny na żywo w odniesieniu do zarządzanej przez firmę Microsoft infrastruktury, usług i aplikacji w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki