Punkt odniesienia zabezpieczeń platformy Azure dla publicznego adresu IP platformy Azure

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do publicznego adresu IP platformy Azure. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące publicznego adresu IP platformy Azure.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić pomiar zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Mechanizmy kontroli nie mają zastosowania do publicznego adresu IP platformy Azure lub za to, za co ponosi odpowiedzialność firma Microsoft, zostały wykluczone. Aby zobaczyć, jak publiczny adres IP platformy Azure jest całkowicie mapowy na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń publicznego adresu IP platformy Azure.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówki: Publiczne adresy IP platformy Azure można przypisywać tagi. Użyj tagów zasobów dla sieciowych grup zabezpieczeń i innych zasobów związanych z zabezpieczeniami sieci. Użyj dowolnej z wbudowanych definicji Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone za pomocą tagów i powiadamiać o istniejących nieoznakowanych zasobach.

Azure PowerShell lub interfejsu wiersza polecenia platformy Azure można użyć do wyszukiwania lub wykonywania akcji na zasobach na podstawie ich tagów.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2: Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówka: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje i wykrywać zmiany wystąpień publicznego adresu IP. Poza płaszczyzną sterowania (na przykład Azure Portal) sam publiczny adres IP nie generuje dzienników związanych z ruchem sieciowym.

Publiczny adres IP udostępnia narzędzia do monitorowania, diagnozowania, wyświetlania metryk oraz włączania lub wyłączania dzienników dla zasobów w sieci wirtualnej platformy Azure.

Zamiast tego możesz włączać i dołączać dane do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Odpowiedzialność: Klient

2.3: Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje i wykrywać zmiany wystąpień publicznego adresu IP. Poza płaszczyzną sterowania (na przykład Azure Portal) sam publiczny adres IP nie generuje dzienników inspekcji. Publiczny adres IP udostępnia narzędzia do monitorowania, diagnozowania, wyświetlania metryk oraz włączania lub wyłączania dzienników dla zasobów w sieci wirtualnej platformy Azure.

Odpowiedzialność: Klient

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówka: Użyj usługi Azure Monitor, aby ustawić okres przechowywania dzienników dla obszarów roboczych usługi Log Analytics skojarzonych z wystąpieniami publicznych adresów IP zgodnie z zobowiązaniami dotyczącymi zgodności w organizacji.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: Publiczny adres IP udostępnia narzędzia do monitorowania, diagnozowania, wyświetlania metryk oraz włączania lub wyłączania dzienników dla zasobów w sieci wirtualnej platformy Azure.

Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje i wykrywać zmiany wystąpień publicznego adresu IP.

Sam publiczny adres IP nie generuje dzienników związanych z ruchem sieciowym innym niż na płaszczyźnie sterowania (na przykład Azure Portal).

Odpowiedzialność: Klient

2.7: Włączanie alertów dotyczących nietypowych działań

Wskazówka: Skonfiguruj alerty na podstawie dzienników aktywności związanych z publicznym adresem IP. Usługa Azure Monitor umożliwia skonfigurowanie alertu w celu wysyłania powiadomień e-mail, wywoływania elementu webhook lub wywoływania aplikacji logiki platformy Azure.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1: Utrzymywanie spisu kont administracyjnych

Wskazówki: Kontrola dostępu oparta na rolach (RBAC) platformy Azure umożliwia zarządzanie dostępem do zasobów platformy Azure, takich jak wystąpienia publicznych adresów IP z przypisaniami ról. Przypisz te role do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.

W spisie lub wstępnie zdefiniowane role wbudowane platformy Azure istnieją dla niektórych zasobów za pośrednictwem narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal.

Odpowiedzialność: Klient

3.3: Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Tworzenie standardowych procedur operacyjnych dotyczących korzystania z dedykowanych kont administracyjnych.

Włączony dostęp just in time przy użyciu usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) i usługi Azure Resource Manager.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włącz uwierzytelnianie wieloskładnikowe usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.6: Użyj dedykowanych maszyn (stacji roboczych z dostępem uprzywilejowanym) do wszystkich zadań administracyjnych

Wskazówka: Użyj stacji roboczej z dostępem uprzywilejowanym (PAW) z włączoną usługą Azure AD Multi-Factor Authentication, aby zalogować się i skonfigurować zasoby związane z usługą Microsoft Sentinel.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) do generowania dzienników i alertów, gdy w środowisku wystąpi podejrzane lub niebezpieczne działanie.

Przejrzyj i akcji Azure AD wykrycia ryzyka dla alertów i raportów dotyczących ryzykownych zachowań użytkowników.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówka: Użyj nazwanych lokalizacji dostępu warunkowego, aby zezwolić na dostęp do Azure Portal tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: Użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

Odpowiedzialność: Klient

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Odnajdywanie nieaktualnych kont przy użyciu dzienników w usłudze Azure Active Directory (Azure AD).

Użyj przeglądów dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkowników można regularnie przeglądać, aby upewnić się, że użytkownicy mają zatwierdzony i ciągły dostęp.

Odpowiedzialność: Klient

3.11: Monitorowanie prób uzyskania dostępu do dezaktywowanych poświadczeń

Wskazówki: implementowanie integracji z dowolnym narzędziem SIEM/monitorowaniem na podstawie dostępu do aktywności logowania, inspekcji i źródeł dzienników zdarzeń ryzyka w usłudze Azure Active Directory (Azure AD). Usprawnij ten proces, tworząc ustawienia diagnostyczne dla kont użytkowników Azure AD i wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Log Analytics. Skonfiguruj żądane alerty w obszarze roboczym usługi Log Analytics.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania konta

Wskazówki: Korzystanie z funkcji usługi Azure Active Directory (Azure AD) Identity Protection w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Pozyskiwanie danych do usługi Microsoft Sentinel w celu dalszego badania zgodnie z potrzebami i na podstawie wymagań biznesowych.

Odpowiedzialność: Klient

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1. Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Korzystanie z usługi Azure Resource Graph do wykonywania zapytań/odnajdywania wszystkich zasobów (takich jak zasoby obliczeniowe, magazyn, sieć, porty i protokoły itd.) w ramach subskrypcji. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w ramach subskrypcji.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem Resource Graph, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.

Odpowiedzialność: Klient

6.2: Obsługa metadanych zasobu

Wskazówki: stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia zasobów platformy Azure. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Ponadto należy użyć Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach.

Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Upewnij się, że wszystkie zasoby platformy Azure obecne w środowisku zostały zatwierdzone.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klientów przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów
  • Dozwolone typy zasobów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: Konfigurowanie dostępu warunkowego platformy Azure w celu ograniczenia możliwości interakcji użytkowników z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1. Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla publicznego adresu IP platformy Azure przy użyciu Azure Policy. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Network", aby utworzyć niestandardowe zasady w celu przeprowadzenia inspekcji lub wymuszenia konfiguracji sieci wystąpień publicznych adresów IP platformy Azure. Możesz również używać wbudowanych definicji zasad.

Odpowiedzialność: Klient

7.3. Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure.

Odpowiedzialność: Klient

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówki: Jeśli używasz niestandardowych definicji Azure Policy, użyj usługi Azure DevOps lub Azure Repos, aby bezpiecznie przechowywać kod i zarządzać nim.

Odpowiedzialność: Klient

7.7. Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla publicznego adresu IP platformy Azure przy użyciu Azure Policy. Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.Network", aby utworzyć niestandardowe zasady w celu przeprowadzenia inspekcji lub wymuszenia konfiguracji sieci wystąpień publicznych adresów IP platformy Azure.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówki: Użyj wbudowanych definicji Azure Policy, a także aliasów Azure Policy w przestrzeni nazw "Microsoft.Network", aby utworzyć niestandardowe definicje Azure Policy alertów, inspekcji i wymuszania konfiguracji systemu. Użyj Azure Policy [audit], [deny] i [deploy if not exist], aby automatycznie wymuszać konfiguracje dla zasobów platformy Azure.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1. Tworzenie przewodnika reagowania na zdarzenia

Wskazówka: Utwórz przewodnik odpowiedzi na zdarzenia dla swojej organizacji. Upewnij się, że istnieją zarejestrowane plany reakcji na zdarzenia, które definiują wszystkie role pracowników, a także etapy obsługi zdarzeń/zarządzania od wykrywania do oceny po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender for Cloud przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być najpierw badane. Ważność jest oparta na tym, jak pewna pewność, że usługa Microsoft Defender dla chmury znajduje się w znalezieniu lub analizie używanej do wystawiania alertu, a także na poziomie pewności, że wystąpiły złośliwe intencje związane z działaniem, które doprowadziły do alertu.

Ponadto wyraźnie oznaczyć subskrypcje (np. produkcyjne, nieprodowe) i utworzyć system nazewnictwa, aby wyraźnie identyfikować i kategoryzować zasoby platformy Azure.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych okresach. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktowe zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że dane klienta zostały użyte przez bezprawną lub nieautoryzowaną stronę. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji ciągłego eksportowania. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w ciągły, ciągły sposób. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów usługi Microsoft Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówki: użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w zakresie alertów zabezpieczeń i zaleceń.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: postępuj zgodnie z zasadami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie są niezgodne z zasadami firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki