Punkt odniesienia zabezpieczeń platformy Azure dla usługi Service Bus

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Service Bus. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Service Bus.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Service Bus, a te, dla których zalecenia dotyczące globalnego wytycznych są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa Service Bus całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Service Bus.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: Microsoft Azure Service Bus nie obsługuje wdrażania bezpośrednio w sieci wirtualnej. Nie można zastosować niektórych funkcji sieciowych z zasobami oferty, takimi jak:

  • Sieciowe grupy zabezpieczeń.
  • Tabele tras.
  • Inne urządzenia zależne od sieci, takie jak Azure Firewall.

Użyj usługi Microsoft Sentinel, aby odnaleźć użycie starszych niezabezpieczonych protokołów, takich jak:

  • Secure Sockets Layer (SSL) i Transport Layer Security (TLS) w wersji 1 (TLSv1).
  • Blok komunikatów serwera (SMB) w wersji 1 (SMBv1).
  • LAN Manager (LM) i NT LAN Manager (NTLM) w wersji 1 (NTLMv1).
  • wDigest.
  • Powiązania protokołu LDAP (Unsigned Lightweight Directory Access Protocol).
  • Słabe szyfry w protokole Kerberos.

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Microsoft

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówki: Korzystanie z Azure Private Link umożliwia dostęp prywatny do usługi Service Bus z sieci wirtualnych bez przekraczania Internetu.

Dostęp prywatny to kolejna szczegółowa miara ochrony w zakresie uwierzytelniania i zabezpieczeń ruchu oferowanych przez usługi platformy Azure.

Korzystanie z punktów końcowych usługi sieci wirtualnej platformy Azure zapewnia bezpieczny dostęp do usługi Service Bus. Dostęp przechodzi przez zoptymalizowaną trasę przez sieć szkieletową platformy Azure bez przekraczania Internetu.

Odpowiedzialność: Klient

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówka: Używanie tagów usługi sieci wirtualnej platformy Azure, definiowanie sieciowych grup zabezpieczeń lub Azure Firewall mechanizmów kontroli dostępu do sieci skonfigurowanych dla zasobów usługi Service Bus. Podczas tworzenia reguł zabezpieczeń należy używać tagów usług zamiast określonych adresów IP. Określając nazwę tagu usługi w polu źródłowym lub docelowym odpowiedniej reguły, można zezwolić na ruch dla odpowiedniej usługi lub go odrzucić. Firma Microsoft zarządza prefiksami adresów, które obejmuje tag usługi. Automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS, aby ograniczyć ryzyko typowych ataków, takich jak:

  • Zwisanie dns
  • Ataki wzmacniania DNS
  • Zatrucie i fałszowanie DNS

Czy chcesz użyć usługi Azure DNS jako autorytatywnej usługi DNS? Następnie chroń strefy i rekordy DNS przed przypadkową lub złośliwą modyfikacją przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure i blokad zasobów.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Usługa Service Bus używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Standaryzacja Azure AD w celu zarządzania tożsamościami i dostępem organizacji w programie :

  • Zasoby w chmurze firmy Microsoft, takie jak:

    • Azure Portal
    • Azure Storage
    • Maszyna wirtualna platformy Azure (Linux i Windows)
    • Azure Key Vault
    • Platforma jako usługa (PaaS)
    • Aplikacje oprogramowania jako usługi (SaaS)
  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zapewnienie Azure AD wysoki priorytet w praktyce zabezpieczeń w chmurze organizacji. Aby ułatwić ocenę stanu zabezpieczeń tożsamości przed zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft, Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości. Użyj wskaźnika, aby ocenić, jak ściśle konfiguracja jest zgodna z zaleceniami dotyczącymi najlepszych rozwiązań. Następnie wprowadzasz ulepszenia w poziomie zabezpieczeń.

Uwaga: Azure AD obsługuje tożsamości zewnętrzne. Użytkownicy bez konta Microsoft mogą logować się do swoich aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: usługa Service Bus obsługuje tożsamości zarządzane dla swoich zasobów platformy Azure. Zamiast tworzyć jednostki usługi w celu uzyskania dostępu do innych zasobów, użyj tożsamości zarządzanych z usługą Service Bus. Usługa Service Bus może natywnie uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD. Uwierzytelnia się za pomocą wstępnie zdefiniowanej reguły udzielania dostępu bez użycia poświadczeń zakodowanych w kodzie źródłowym lub plikach konfiguracji.

Czy chcesz skonfigurować jednostki usługi z poświadczeniami certyfikatu i wrócić do wpisów tajnych klienta? Następnie użyj Azure AD, aby utworzyć jednostkę usługi z ograniczonymi uprawnieniami na poziomie zasobu. W obu przypadkach można użyć Key Vault z tożsamościami zarządzanymi platformy Azure. Środowisko uruchomieniowe (takie jak funkcja platformy Azure) może następnie pobrać poświadczenia z magazynu kluczy.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Service Bus używa Azure AD do zapewnienia zarządzania tożsamościami i dostępem do:

  • Zasoby platformy Azure
  • Aplikacje w chmurze
  • Aplikacje lokalne

To zarządzanie dotyczy tożsamości przedsiębiorstwa, takich jak pracownicy. Dotyczy to również tożsamości zewnętrznych, w tym:

  • Partnerzy
  • Dostawców
  • Suppliers

Dzięki zarządzaniu tożsamościami i dostępem logowanie jednokrotne (SSO) może zarządzać danymi i zasobami organizacji oraz zabezpieczać dostęp do ich zasobów. Zarządzanie logowaniem jednokrotnym odbywa się lokalnie i w chmurze. Aby zapewnić bezproblemowy, bezpieczny dostęp i większą widoczność i kontrolę, połącz się z Azure AD wszystkimi użytkownikami:

  • Użytkownicy
  • Aplikacje
  • Urządzenia

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: Nie dotyczy; Usługa Service Bus nie używa kont administracyjnych.

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Aby regularnie upewnić się, że konta użytkowników i ich dostęp są prawidłowe, usługa Service Bus używa Azure AD kont do:

  • Zarządzanie zasobami.
  • Przejrzyj konta użytkowników.
  • Przypisania dostępu.

Przejrzyj Azure AD i przeglądy dostępu:

  • Członkostwa w grupie
  • Dostęp do aplikacji dla przedsiębiorstw
  • Przypisania ról

Azure AD raportowanie może zapewnić dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Aby ułatwić proces przeglądu, użyj również Azure AD Privileged Identity Management (PIM), aby utworzyć przepływy pracy przeglądu raportu dostępu.

Można również skonfigurować usługę Azure AD PIM do:

  • Po utworzeniu nadmiernej liczby kont administratorów należy otrzymywać alerty.
  • Zidentyfikuj konta administratora, które są nieaktualne lub nieprawidłowo skonfigurowane.

Uwaga: niektóre usługi platformy Azure obsługują użytkowników lokalnych i ról, które nie są zarządzane za pośrednictwem Azure AD. Zarządzaj tymi użytkownikami oddzielnie.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówki: Zabezpieczone, izolowane stacje robocze są niezwykle ważne dla zabezpieczeń ról poufnych, takich jak:

  • Administrator
  • Deweloper
  • Operator usługi krytycznej

Do wykonywania zadań administracyjnych należy używać stacji roboczych użytkowników o wysokim poziomie bezpieczeństwa lub usługi Azure Bastion. Aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika, użyj co najmniej jednej:

  • Azure AD
  • Zaawansowana ochrona przed zagrożeniami w usłudze Microsoft Defender (ATP)
  • Microsoft Intune

Zabezpieczone stacje robocze można zarządzać centralnie w celu wymuszania zabezpieczonej konfiguracji, w tym:

  • Silne uwierzytelnianie
  • Plany bazowe oprogramowania i sprzętu
  • Ograniczony dostęp logiczny i sieciowy

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: Usługa Service Bus jest zintegrowana z kontrolą RBAC platformy Azure w celu zarządzania zasobami. Kontrola dostępu oparta na rolach platformy Azure umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Przypisz następujące role do:

  • Użytkownicy
  • Grupy
  • Jednostki usługi
  • Tożsamości zarządzane

Istnieją wstępnie zdefiniowane wbudowane role dla niektórych zasobów. Spis lub wykonywanie zapytań o te role za pomocą narzędzi, takich jak:

  • Interfejs wiersza polecenia platformy Azure
  • Azure PowerShell
  • Azure Portal

Zawsze ograniczaj uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure do tego, czego wymagają role. Ta praktyka uzupełnia podejście just in time (JIT) Azure AD PIM i należy je okresowo przeglądać.

Użyj wbudowanych ról, aby udzielić uprawnień. W razie potrzeby można tworzyć tylko role niestandardowe.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-3: Monitorowanie nieautoryzowanego transferu danych poufnych

Wskazówki: monitoruj nieautoryzowany transfer danych do lokalizacji spoza widoczności i kontroli przedsiębiorstwa. Ta praktyka zwykle obejmuje monitorowanie nietypowych działań (dużych lub nietypowych transferów), co może wskazywać na nieautoryzowaną eksfiltrację danych.

Usługa Microsoft Defender for Storage i usługa Microsoft Defender for SQL mogą otrzymywać alerty dotyczące nietypowego transferu informacji, co może wskazywać na nieautoryzowane transfery poufnych informacji.

Usługa Azure Information Protection zapewnia możliwości monitorowania informacji, które zostały sklasyfikowane i oznaczone etykietami.

W razie potrzeby w celu zapewnienia zgodności z zasadami ochrony przed utratą danych użyj rozwiązania DLP opartego na hoście. To rozwiązanie wymusza mechanizmy kontroli wykrywania lub zapobiegania, aby zapobiec eksfiltracji danych.

Odpowiedzialność: Klient

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówka: Aby uzupełnić mechanizmy kontroli dostępu, usługa Service Bus szyfruje dane magazynowane. Ta praktyka chroni przed atakami "poza pasmem", które używają szyfrowania, na przykład uzyskiwania dostępu do bazowego magazynu. Następnie osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.

Platforma Azure domyślnie zapewnia szyfrowanie danych magazynowanych. W przypadku wysoce poufnych danych można zaimplementować dodatkowe szyfrowanie magazynowane we wszystkich zasobach platformy Azure, jeśli są dostępne. Aby niektóre usługi platformy Azure spełniały wymagania prawne, platforma Azure domyślnie zarządza kluczami szyfrowania. Jednak platforma Azure udostępnia również opcje zarządzania własnymi kluczami (kluczami zarządzanymi przez klienta).

Odpowiedzialność: Klient

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Udziel zespołom ds. zabezpieczeń uprawnień Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure. Następnie zespoły mogą monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender dla Chmury.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń centralny zespół ds. zabezpieczeń lub lokalny zespół może być odpowiedzialny za monitorowanie zagrożeń bezpieczeństwa. Zawsze agreguj szczegółowe informacje o zabezpieczeniach i czynniki ryzyka centralnie w organizacji.

Uprawnienia czytelnika zabezpieczeń można stosować szeroko do całej dzierżawy (głównej grupy zarządzania). Możesz też ograniczyć te uprawnienia do grup zarządzania lub określonych subskrypcji.

Uwaga: Aby uzyskać wgląd w obciążenia i usługi, mogą być konieczne dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówki: zapewnij zespołom ds. zabezpieczeń dostęp do stale aktualizowanego spisu zasobów na platformie Azure, takiego jak Service Bus. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia. Spis jest również danymi wejściowymi do ciągłych ulepszeń zabezpieczeń. Utwórz grupę Azure AD zawierającą autoryzowany zespół ds. zabezpieczeń organizacji. Przypisz do zespołu dostęp do odczytu dla wszystkich zasobów usługi Service Bus. Aby uprościć ten proces, można użyć pojedynczego przypisania roli wysokiego poziomu w ramach subskrypcji.

Aby logicznie zorganizować taksonomię, zastosuj tagi do platformy Azure:

  • Zasoby
  • Grupy zasobów
  • Subskrypcje

Każdy tag składa się z pary nazwy i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Spis maszyn wirtualnych platformy Azure umożliwia zautomatyzowanie zbierania informacji o oprogramowaniu na maszynach wirtualnych. Elementy dostępne w Azure Portal obejmują:

  • Nazwa oprogramowania
  • Wersja
  • Publisher
  • Czas odświeżania

Aby uzyskać dostęp do daty instalacji i innych informacji, włącz diagnostykę na poziomie gościa. Następnie przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Usługa Service Bus nie umożliwia uruchamiania aplikacji ani instalowania oprogramowania w jej zasobach.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Korzystanie z Azure Policy, przeprowadzanie inspekcji i ograniczanie usług, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Po wykryciu niezatwierdzonej usługi użyj monitora, aby utworzyć reguły w celu wyzwolenia alertów.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: skorzystaj z wbudowanej funkcji wykrywania zagrożeń w usłudze Microsoft Defender dla chmury i włącz usługę Microsoft Defender dla zasobów usługi Service Bus. Usługa Microsoft Defender dla usługi Service Bus zapewnia kolejną warstwę analizy zabezpieczeń. Wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do zasobów usługi Service Bus lub wykorzystania ich.

Przekaż wszystkie dzienniki z usługi Service Bus do rozwiązania SIEM, którego można użyć do skonfigurowania niestandardowych wykryć zagrożeń. Monitoruj różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, co zmniejsza liczbę wyników fałszywie dodatnich dla analityków w celu sortowania. Alerty można tworzyć na podstawie danych dzienników, agentów lub innych danych.

Odpowiedzialność: Klient

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Azure AD udostępnia następujące dzienniki użytkownika:

  • Logowania. Raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań związanych z logowaniem użytkowników.

  • Dzienniki inspekcji. Dzienniki inspekcji zapewniają możliwość śledzenia wszystkich zmian w Azure AD. Przykłady obejmują zmiany wprowadzone w dowolnych zasobach w Azure AD, takie jak dodawanie lub usuwanie:

    • Użytkownicy
    • Apps
    • Grupy
    • Role
    • Zasady
  • Ryzykowne logowania. Ryzykowne logowanie wskazuje próbę logowania, która mogła zostać podjęta przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.

  • Użytkownicy oflagowani w związku z ryzykiem. Ryzykowny użytkownik wskazuje konto użytkownika, które mogło zostać naruszone.

Dzienniki można wyświetlić w Azure AD raportowaniu. W przypadku bardziej zaawansowanych przypadków użycia monitorowania i analizy można zintegrować dzienniki z:

  • Monitor
  • Microsoft Sentinel
  • Inne narzędzia SIEM/monitorowanie

Usługa Microsoft Defender dla Chmury może również wyzwalać alerty dotyczące niektórych podejrzanych działań. Te działania obejmują nadmierną liczbę nieudanych prób uwierzytelnienia lub przestarzałych kont w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł usługi Ochrona przed zagrożeniami w usłudze Microsoft Defender dla Chmury może również zbierać bardziej szczegółowe alerty zabezpieczeń:

  • Poszczególne zasoby obliczeniowe platformy Azure (maszyny wirtualne, kontenery lub usługa App Service)
  • Zasoby danych (baza danych SQL i magazyn)
  • Warstwy usług platformy Azure

Ta funkcja umożliwia wyświetlanie anomalii kont wewnątrz poszczególnych zasobów.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: usługa Service Bus nie jest przeznaczona do wdrożenia w sieciach wirtualnych. Nie można:

  • Włącz rejestrowanie przepływu sieciowej grupy zabezpieczeń.
  • Kierowanie ruchem przez zaporę.
  • Przechwyć pakiety.

Na potrzeby analizy zabezpieczeń włącz i zbierz:

  • Dzienniki zasobów sieciowej grupy zabezpieczeń
  • Dzienniki przepływów sieciowych grup zabezpieczeń
  • dzienniki Azure Firewall
  • dzienniki Web Application Firewall (WAF)

Analiza zabezpieczeń obsługuje następujące funkcje:

  • Badania incydentów
  • Wyszukiwanie zagrożeń
  • Generowanie alertów zabezpieczeń

Wysyłanie dzienników przepływu do obszaru roboczego usługi Log Analytics w monitorze. Następnie użyj analizy ruchu, aby uzyskać szczegółowe informacje.

Usługa Service Bus rejestruje cały ruch sieciowy, który przetwarza na potrzeby dostępu klientów. Włącz możliwość przepływu sieci w ramach wdrożonych zasobów oferty.

Usługa Service Bus nie generuje ani nie przetwarza dzienników zapytań DNS.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówka: Dzienniki aktywności zawierają wszystkie operacje zapisu (PUT, POST i DELETE) dla zasobów usługi Service Bus. Dzienniki aktywności są dostępne automatycznie, ale nie zawierają operacji odczytu (GET). Użyj dzienników aktywności, aby znaleźć błąd podczas rozwiązywania problemów. Możesz też użyć dzienników, aby monitorować, jak użytkownik w organizacji zmodyfikował zasób.

Włącz dzienniki zasobów platformy Azure dla usługi Service Bus. Aby włączyć zbieranie dzienników zasobów i danych dzienników, użyj usługi Microsoft Defender for Cloud i Azure Policy. Te dzienniki mogą być krytyczne podczas badania zdarzeń zabezpieczeń i wykonywania ćwiczeń kryminalistycznych.

Usługa Service Bus tworzy również dzienniki inspekcji zabezpieczeń dla kont administratorów lokalnych. Włącz te dzienniki inspekcji administratora lokalnego.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowanych definicji — Microsoft.ServiceBus:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Dzienniki zasobów w usłudze Service Bus powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówka: Scentralizowanie magazynu i analizy rejestrowania w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano następujące elementy:

  • Właściciel danych
  • Wskazówki dotyczące dostępu
  • Lokalizacja magazynu
  • Jakie narzędzia są używane do przetwarzania danych i uzyskiwania do nich dostępu
  • Wymagania dotyczące przechowywania danych

Integrowanie dzienników aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem monitora w celu agregowania danych zabezpieczeń generowanych przez:

  • Urządzenia z punktami końcowymi
  • Zasoby sieciowe
  • Inne systemy zabezpieczeń

W obszarze Monitorowanie użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy. Używaj kont magazynu do przechowywania długoterminowego i archiwalnego.

Umożliwia również włączanie i dołączanie danych do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy.

Wiele organizacji decyduje się używać usługi Microsoft Sentinel do "gorących" danych, które są często używane. Następnie organizacje wybierają pozycję Magazyn dla danych "zimnych", które są używane rzadziej.

W przypadku aplikacji, które mogą działać w usłudze Service Bus, przekaż wszystkie dzienniki związane z zabezpieczeniami do rozwiązania SIEM w celu scentralizowanego zarządzania.

Odpowiedzialność: Klient

LT-6: Konfigurowanie przechowywania magazynu dzienników

Wskazówka: Czy masz konta magazynu lub obszary robocze usługi Log Analytics, które są używane do przechowywania dzienników usługi Service Bus? Następnie ustaw okres przechowywania dziennika przy użyciu przepisów dotyczących zgodności organizacji.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: Nie dotyczy; Usługa Service Bus nie obsługuje konfigurowania własnych źródeł synchronizacji czasu.

Usługa Service Bus korzysta ze źródeł synchronizacji czasu firmy Microsoft. Nie jest ona widoczna dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: Korzystanie z usługi Azure Blueprints, automatyzowanie w jednej definicji strategii wdrażania i konfiguracji usług i środowisk aplikacji, w tym:

  • Szablony usługi Azure Resource Manager (szablony usługi ARM)
  • Kontrolki kontroli RBAC platformy Azure
  • Zasady

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: monitorowanie punktu odniesienia konfiguracji za pomocą usługi Microsoft Defender for Cloud. Korzystając z definicji zasad Azure Policy "Deny" i "DeployIfNotExists", wymuszaj bezpieczną konfigurację między zasobami obliczeniowymi platformy Azure, w tym:

  • Maszyny wirtualne
  • Kontenery
  • Inne zasoby obliczeniowe

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: Nie dotyczy; to zalecenie jest przeznaczone dla zasobów obliczeniowych.

Odpowiedzialność: Klient

PV-6: Tworzenie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: firma Microsoft zarządza lukami w zabezpieczeniach w podstawowych systemach, które obsługują usługę Service Bus.

Odpowiedzialność: Microsoft

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówki: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy Azure. Upewnij się, że korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft, postępuj zgodnie z zasadami testowania penetracyjnego w chmurze firmy Microsoft. Użyj strategii firmy Microsoft i wykonania testów penetracyjnych red teaming i na żywo witryn zarządzanych przez firmę Microsoft:

  • Infrastruktura chmury
  • Usługi
  • Aplikacje

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zabezpieczenia punktu końcowego.

ES-2: Korzystanie z zarządzanego centralnie nowoczesnego oprogramowania chroniącego przed złośliwym kodem

Wskazówki: oprogramowanie chroniące przed złośliwym kodem firmy Microsoft jest włączone na hoście bazowym, który obsługuje usługi platformy Azure (na przykład Azure App Service). Nie jest ona uruchamiana w zawartości klienta.

Odpowiedzialność: Microsoft

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym kodem są aktualizowane

Wskazówki: szybkie i spójne aktualizowanie podpisów oprogramowania chroniącego przed złośliwym kodem.

Aby upewnić się, że wszystkie punkty końcowe są aktualne przy użyciu najnowszych podpisów, postępuj zgodnie z zaleceniami w usłudze Microsoft Defender for Cloud: "Compute & Apps".

W przypadku systemu Windows Microsoft Antimalware automatycznie instaluje najnowsze sygnatury i aktualizacje aparatu domyślnie. Jeśli pracujesz w środowisku systemu Linux, użyj rozwiązania chroniącego przed złośliwym kodem innej firmy.

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Microsoft

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-1: Zapewnianie regularnych automatycznych kopii zapasowych

Wskazówki: konfigurowanie odzyskiwania po awarii geograficznej dla Azure Service Bus. Co się stanie, gdy przestój wystąpi przestój w całym regionie platformy Azure lub centrach danych (jeśli nie są używane żadne strefy dostępności)? Następnie przetwarzanie danych musi nadal działać w innym regionie lub w centrum danych. Odzyskiwanie po awarii geograficznej i replikacja geograficzna są ważnymi funkcjami dla każdego przedsiębiorstwa. Azure Service Bus obsługuje odzyskiwanie po awarii geograficznej i replikację geograficzną na poziomie przestrzeni nazw.

Odpowiedzialność: Klient

BR-2: Szyfrowanie danych kopii zapasowej

Wskazówki: usługa Service Bus zapewnia szyfrowanie danych magazynowanych za pomocą usługi Azure Storage Service Encryption (Azure SSE). Usługa Service Bus korzysta z usługi Storage do przechowywania danych. Domyślnie wszystkie dane przechowywane w usłudze Storage są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Jeśli używasz Key Vault do przechowywania kluczy zarządzanych przez klienta, regularnie wykonuj automatyczne kopie zapasowe kluczy.

Upewnij się, że regularne automatyczne kopie zapasowe wpisów tajnych Key Vault za pomocą polecenia Backup-AzKeyVaultSecret PowerShell.

Odpowiedzialność: Współużytkowane

BR-3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Okresowo upewnij się, że możesz przywrócić klucze zarządzane przez klienta.

Odpowiedzialność: Klient

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: mają środki, aby zapobiec utracie kluczy i odzyskać je. Aby chronić klucze przed przypadkowym lub złośliwym usunięciem, włącz ochronę przed usuwaniem nietrwałym i przeczyszczanie w Key Vault.

Odpowiedzialność: Klient

Następne kroki