Punkt odniesienia zabezpieczeń platformy Azure dla usługi Service Fabric

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 1.0 do usługi Service Fabric. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Service Fabric.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Service Fabric lub za które odpowiada firma Microsoft, zostały wykluczone. Aby zobaczyć, jak usługa Service Fabric całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Service Fabric.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

1.1. Ochrona zasobów platformy Azure w sieciach wirtualnych

Wskazówki: Upewnij się, że wszystkie wdrożenia podsieci Virtual Network mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji.

Odpowiedzialność: Klient

1.2: Monitorowanie i rejestrowanie konfiguracji i ruchu sieci wirtualnych, podsieci i kart sieciowych

Wskazówki: użyj usługi Microsoft Defender for Cloud i zaradz zalecenia dotyczące ochrony sieci wirtualnej, podsieci i sieciowej grupy zabezpieczeń używanej do zabezpieczenia klastra usługi Azure Service Fabric. Włącz dzienniki przepływu sieciowej grupy zabezpieczeń i wyślij dzienniki na konto usługi Azure Storage do inspekcji ruchu. Możesz również wysyłać dzienniki przepływów sieciowych grup zabezpieczeń do obszaru roboczego usługi Azure Log Analytics i korzystać z usługi Azure Traffic Analytics, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Niektóre zalety usługi Azure Traffic Analytics to możliwość wizualizowania działań sieciowych i identyfikowania punktów gorących, identyfikowania zagrożeń bezpieczeństwa, zrozumienia wzorców przepływu ruchu i wskazywania błędów konfiguracji sieci.

Odpowiedzialność: Klient

1.3: Ochrona krytycznych aplikacji internetowych

Wskazówki: podaj bramę frontonu, aby zapewnić pojedynczy punkt ruchu przychodzącego dla użytkowników, urządzeń lub innych aplikacji. Usługa Azure API Management integruje się bezpośrednio z usługą Service Fabric, umożliwiając zabezpieczanie dostępu do usług zaplecza, zapobieganie atakom DOS przy użyciu ograniczania przepustowości i weryfikowanie kluczy interfejsu API, tokenów JWT, certyfikatów i innych poświadczeń.

Rozważ wdrożenie usługi Azure Web Application Firewall (WAF) przed krytycznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Włącz ustawienie diagnostyczne zapory aplikacji internetowej i pozyskiwanie dzienników do konta magazynu, centrum zdarzeń lub obszaru roboczego usługi Log Analytics.

Odpowiedzialność: Klient

1.4: Odmowa komunikacji ze znanymi złośliwymi adresami IP

Wskazówki: w przypadku ochrony przed atakami DDoS włącz ochronę w warstwie Standardowa usługi Azure DDoS w sieci wirtualnej, w której wdrożono klaster usługi Azure Service Fabric. Użyj zintegrowanej analizy zagrożeń usługi Microsoft Defender for Cloud, aby odmówić komunikacji ze znanymi złośliwymi lub nieużywanymi internetowymi adresami IP.

Odpowiedzialność: Klient

1.5: Rejestrowanie pakietów sieciowych

Wskazówki: Włącz dzienniki przepływu sieciowej grupy zabezpieczeń dla sieciowych grup zabezpieczeń dołączonych do podsieci używanej do ochrony klastra usługi Service Fabric. Zarejestruj dzienniki przepływu sieciowej grupy zabezpieczeń na koncie usługi Azure Storage, aby wygenerować rekordy przepływu. Jeśli jest to wymagane do badania nietypowych działań, włącz przechwytywanie pakietów usługi Azure Network Watcher.

Odpowiedzialność: Klient

1.6: Wdrażanie opartych na sieci systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Wskazówki: wybierz ofertę z Azure Marketplace, która obsługuje funkcje IDS/IPS z możliwościami inspekcji ładunku. Jeśli wykrywanie włamań i/lub zapobieganie na podstawie inspekcji ładunku nie jest wymagane, można użyć Azure Firewall z analizą zagrożeń. Azure Firewall filtrowanie oparte na inteligencji zagrożeń może wysyłać alerty i odrzucać ruch do i ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft.

Wdróż wybrane rozwiązanie zapory w granicach sieci w każdej organizacji, aby wykrywać i/lub odrzucać złośliwy ruch.

Odpowiedzialność: Klient

1.7: Zarządzanie ruchem do aplikacji internetowych

Wskazówki: wdrażanie Azure Application Gateway dla aplikacji internetowych z włączonym protokołem HTTPS/SSL dla zaufanych certyfikatów.

Odpowiedzialność: Klient

1.8: Zminimalizowanie złożoności i obciążeń administracyjnych dotyczących reguł zabezpieczeń sieci

Wskazówki: Użyj tagów usługi sieci wirtualnej, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń, które są dołączone do podsieci, w ramach którego wdrożony jest klaster usługi Azure Service Fabric. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (np. ApiManagement) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić lub odrzucić ruch dla odpowiedniej usługi. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

1.9: Obsługa standardowych konfiguracji zabezpieczeń dla urządzeń sieciowych

Wskazówki: Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów sieciowych związanych z klastrem usługi Azure Service Fabric. Użyj aliasów Azure Policy w przestrzeniach nazw "Microsoft.ServiceFabric" i "Microsoft.Network", aby utworzyć niestandardowe zasady do inspekcji lub wymuszania konfiguracji sieci klastra usługi Azure Service Fabric.

Możesz również użyć usługi Azure Blueprints, aby uprościć wdrożenia platformy Azure na dużą skalę, pakując kluczowe artefakty środowiska, takie jak szablony usługi Azure Resource Manager, kontrolki kontroli RBAC platformy Azure i zasady, w jednej definicji strategii. Łatwo zastosuj strategię do nowych subskrypcji i środowisk, a także dostosuj kontrolę i zarządzanie przy użyciu obsługi wersji.

Odpowiedzialność: Klient

1.10: Dokumentowanie reguł konfiguracji ruchu

Wskazówki: użyj tagów dla sieciowych grup zabezpieczeń i innych zasobów związanych z zabezpieczeniami sieci i przepływem ruchu skojarzonym z klastrem usługi Service Fabric. W przypadku poszczególnych reguł sieciowych grup zabezpieczeń użyj pola "Opis", aby określić potrzebę biznesową, czas trwania itd. dla wszystkich reguł, które zezwalają na ruch do/z sieci.

Użyj dowolnej z wbudowanych definicji Azure Policy związanych z tagowaniem, takich jak "Wymagaj tagu i jego wartości", aby upewnić się, że wszystkie zasoby są tworzone przy użyciu tagów i powiadamiać o istniejących nieoznakowanych zasobach.

Możesz użyć interfejsu wiersza polecenia platformy Azure Azure PowerShell lub interfejsu wiersza polecenia platformy Azure, aby wyszukać lub wykonać akcje na podstawie ich tagów.

Odpowiedzialność: Klient

1.11: Używanie zautomatyzowanych narzędzi do monitorowania konfiguracji zasobów sieciowych i wykrywania zmian

Wskazówki: Użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany dotyczące zasobów sieciowych związanych z wdrożeniami usługi Azure Service Fabric. Utwórz alerty w usłudze Azure Monitor, które będą wyzwalane po wprowadzeniu zmian w krytycznych zasobach sieciowych.

Odpowiedzialność: Klient

Rejestrowanie i monitorowanie

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: rejestrowanie i monitorowanie.

2.2. Konfigurowanie centralnego zarządzania dziennikami zabezpieczeń

Wskazówki: klaster usługi Azure Service Fabric można dołączyć do usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez klaster. Zobacz przykładowe problemy diagnostyczne i rozwiązania dotyczące usługi Service Fabric.

Odpowiedzialność: Klient

2.3. Włączanie rejestrowania inspekcji dla zasobów platformy Azure

Wskazówki: włączanie usługi Azure Monitor dla klastra usługi Service Fabric, kierowanie go do obszaru roboczego usługi Log Analytics. Spowoduje to zarejestrowanie odpowiednich informacji o klastrze i metryk systemu operacyjnego dla wszystkich węzłów klastra usługi Azure Service Fabric.

Odpowiedzialność: Klient

2.4. Zbieranie dzienników zabezpieczeń z systemów operacyjnych

Wskazówki: dołączanie klastra usługi Azure Service Fabric do usługi Azure Monitor. Upewnij się, że używany obszar roboczy usługi Log Analytics ma ustawiony okres przechowywania dzienników zgodnie z przepisami dotyczącymi zgodności organizacji.

Odpowiedzialność: Klient

2.5: Konfigurowanie przechowywania magazynu dzienników zabezpieczeń

Wskazówki: dołączanie klastra usługi Service Fabric do usługi Azure Monitor. Upewnij się, że używany obszar roboczy usługi Log Analytics ma ustawiony okres przechowywania dzienników zgodnie z przepisami dotyczącymi zgodności organizacji.

Odpowiedzialność: Klient

2.6: Monitorowanie i przeglądanie dzienników

Wskazówki: wykonywanie zapytań dotyczących dzienników usługi Azure Service Fabric za pomocą zapytań dotyczących obszaru roboczego usługi Azure Log Analytics.

Odpowiedzialność: Klient

2.7. Włączanie alertów dla nietypowych działań

Wskazówki: używanie obszaru roboczego usługi Azure Log Analytics do monitorowania i zgłaszania alertów dotyczących nietypowych działań w dziennikach zabezpieczeń i zdarzeniach związanych z klastrem usługi Azure Service Fabric.

Odpowiedzialność: Klient

2.8: Scentralizowane rejestrowanie chroniące przed złośliwym oprogramowaniem

Wskazówki: domyślnie Windows Defender jest instalowana na Windows Server 2016. Jeśli nie używasz Windows Defender, zapoznaj się z dokumentacją dotyczącą reguł konfiguracji oprogramowania chroniącego przed złośliwym kodem. Windows Defender nie jest obsługiwana w systemie Linux.

Odpowiedzialność: Klient

2.9: Włączanie rejestrowania zapytań DNS

Wskazówki: implementowanie rozwiązania innej firmy na potrzeby rejestrowania DNS.

Odpowiedzialność: Klient

2.10: Włączanie rejestrowania inspekcji wiersza polecenia

Wskazówki: Ręczne konfigurowanie rejestrowania konsoli dla poszczególnych węzłów.

Odpowiedzialność: Klient

Tożsamość i kontrola dostępu

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: tożsamość i Access Control.

3.1. Utrzymywanie spisu kont administracyjnych

Wskazówki: zachowaj rekord lokalnego konta administracyjnego utworzonego podczas aprowizacji klastra usługi Azure Service Fabric, a także wszystkich innych utworzonych kont. Ponadto jeśli jest używana integracja usługi Azure Active Directory (Azure AD), Azure AD ma wbudowane role, które muszą być jawnie przypisane i dlatego można wykonywać zapytania. Użyj modułu Azure AD programu PowerShell, aby wykonywać zapytania adhoc w celu odnajdywania kont należących do grup administracyjnych.

Ponadto możesz użyć rekomendacji usługi Microsoft Defender for Cloud Identity and Access Management.

Odpowiedzialność: Klient

3.2. Zmiana domyślnych haseł, jeśli ma to zastosowanie

Wskazówki: podczas aprowizowania klastra platforma Azure wymaga utworzenia nowych haseł dla portalu internetowego. Nie ma domyślnych haseł do zmiany, jednak można określić różne hasła dostępu do portalu internetowego.

Odpowiedzialność: Klient

3.3. Korzystanie z dedykowanych kont administracyjnych

Wskazówki: Integracja uwierzytelniania dla usługi Service Fabric z usługą Azure Active Directory (Azure AD). Tworzenie zasad i procedur dotyczących korzystania z dedykowanych kont administracyjnych.

Ponadto możesz użyć rekomendacji usługi Microsoft Defender for Cloud Identity and Access Management.

Odpowiedzialność: Klient

3.4. Korzystanie z logowania jednokrotnego w usłudze Azure Active Directory

Wskazówki: Jeśli to możliwe, użyj logowania jednokrotnego usługi Azure Active Directory (Azure AD) zamiast konfigurowania pojedynczych poświadczeń autonomicznych na usługę. Skorzystaj z zaleceń usługi Microsoft Defender for Cloud Identity and Access Management.

Odpowiedzialność: Klient

3.5: Używanie uwierzytelniania wieloskładnikowego dla całego dostępu opartego na usłudze Azure Active Directory

Wskazówki: Włączanie uwierzytelniania wieloskładnikowego usługi Azure Active Directory (Azure AD) i postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

3.6: Używanie dedykowanych maszyn (uprzywilejowanych stacji roboczych dostępu) dla wszystkich zadań administracyjnych

Wskazówki: Użyj stacji roboczej uprzywilejowanego dostępu (PAW) z uwierzytelnianiem wieloskładnikowym skonfigurowanym do logowania się i konfigurowania klastrów usługi Service Fabric i powiązanych zasobów.

Odpowiedzialność: Klient

3.7: Rejestrowanie i zgłaszanie alertów dotyczących podejrzanych działań z kont administracyjnych

Wskazówki: użyj usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) na potrzeby generowania dzienników i alertów w przypadku wystąpienia podejrzanej lub niebezpiecznej aktywności w środowisku. Ponadto użyj Azure AD wykrywania ryzyka, aby wyświetlić alerty i raporty dotyczące ryzykownych zachowań użytkowników.

Odpowiedzialność: Klient

3.8: Zarządzanie zasobami platformy Azure tylko z zatwierdzonych lokalizacji

Wskazówki: Użyj dostępu warunkowego nazwanych lokalizacji, aby zezwolić na dostęp tylko z określonych grup logicznych zakresów adresów IP lub krajów/regionów.

Odpowiedzialność: Klient

3.9: Korzystanie z usługi Azure Active Directory

Wskazówki: użyj usługi Azure Active Directory (Azure AD) jako centralnego systemu uwierzytelniania i autoryzacji, aby zabezpieczyć dostęp do punktów końcowych zarządzania klastrów usługi Service Fabric. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.ServiceFabric:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric Inspekcja, odmowa, wyłączone 1.1.0

3.10: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: korzystanie z uwierzytelniania usługi Azure Active Directory (Azure AD) w klastrze usługi Service Fabric. Azure AD zawiera dzienniki ułatwiające odnajdywanie nieaktualnych kont. Ponadto użyj przeglądów dostępu do tożsamości platformy Azure, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkownika można regularnie przeglądać, aby upewnić się, że tylko odpowiedni użytkownicy mają stały dostęp.

Odpowiedzialność: Klient

3.11: Alert dotyczący odchylenia zachowania logowania konta

Wskazówki: Użyj dzienników logowania i inspekcji usługi Azure Active Directory (Azure AD), aby monitorować próby uzyskania dostępu do dezaktywowanych kont. Te dzienniki można zintegrować z dowolnym narzędziem SIEM/monitoring innej firmy.

Ten proces można usprawnić, tworząc ustawienia diagnostyczne dla kont użytkowników Azure AD, wysyłając dzienniki inspekcji i dzienniki logowania do obszaru roboczego usługi Azure Log Analytics. Skonfiguruj żądane alerty w obszarze roboczym usługi Azure Log Analytics.

Odpowiedzialność: Klient

3.12: Alert dotyczący odchylenia zachowania logowania do konta

Wskazówki: korzystanie z funkcji ryzyka i ochrony tożsamości w usłudze Azure Active Directory (Azure AD) w celu skonfigurowania automatycznych odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Możesz również pozyskać dane do usługi Microsoft Sentinel w celu dalszego badania.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

4.1: Utrzymywanie spisu poufnych informacji

Wskazówki: użyj tagów dotyczących zasobów związanych z wdrożeniami klastra usługi Service Fabric, aby ułatwić śledzenie zasobów platformy Azure, które przechowują lub przetwarzają poufne informacje.

Odpowiedzialność: Klient

4.2. Izolowanie systemów przechowywania lub przetwarzania poufnych informacji

Wskazówki: implementowanie oddzielnych subskrypcji i/lub grup zarządzania na potrzeby programowania, testowania i produkcji. Zasoby powinny być oddzielone Virtual Network lub podsiecią, odpowiednio oznakowane i zabezpieczone przez sieciowe grupy zabezpieczeń lub Azure Firewall. Zasoby przechowujące lub przetwarzające poufne dane powinny być wystarczająco odizolowane. W przypadku Virtual Machines przechowywania lub przetwarzania poufnych danych zaimplementuj zasady i procedury, aby je wyłączyć, gdy nie są używane.

Odpowiedzialność: Klient

4.3: Monitorowanie i blokowanie nieautoryzowanego transferu poufnych informacji

Wskazówki: wdrażanie zautomatyzowanego narzędzia w obwodach sieci, które monitoruje nieautoryzowany transfer poufnych informacji i blokuje takie transfery podczas zgłaszania alertów specjalistom ds. zabezpieczeń informacji.

W przypadku bazowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i jest bardzo długa, aby chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

4.4. Szyfrowanie wszystkich poufnych informacji przesyłanych

Wskazówki: Szyfruj wszystkie poufne informacje podczas przesyłania. Upewnij się, że wszyscy klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS 1.2 lub nowszy.

W przypadku wzajemnego uwierzytelniania między klientem usługi Service Fabric należy użyć certyfikatu X.509 na potrzeby tożsamości serwera i szyfrowania TLS komunikacji http. W klastrze można zainstalować dowolną liczbę dodatkowych certyfikatów na potrzeby zabezpieczeń aplikacji, w tym szyfrowanie i odszyfrowywanie wartości konfiguracji aplikacji oraz danych między węzłami podczas replikacji. Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud dotyczącymi szyfrowania magazynowanych i szyfrowania podczas przesyłania, jeśli ma to zastosowanie.

Odpowiedzialność: Współużytkowane

4.5: Używanie aktywnego narzędzia odnajdywania do identyfikowania poufnych danych

Wskazówki: funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla usługi Azure Storage ani zasobów obliczeniowych. W razie potrzeby zaimplementuj rozwiązanie innych firm w celu zapewnienia zgodności.

W przypadku bazowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i jest bardzo długa, aby chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

4.7: Używanie ochrony przed utratą danych opartych na hoście w celu wymuszania kontroli dostępu

Wskazówki: w przypadku klastrów usługi Service Fabric przechowując lub przetwarzając poufne informacje, oznacz klaster i powiązane zasoby jako poufne przy użyciu tagów. Funkcje identyfikacji, klasyfikacji i zapobiegania utracie danych nie są jeszcze dostępne dla usługi Azure Storage ani zasobów obliczeniowych. W razie potrzeby zaimplementuj rozwiązanie innych firm w celu zapewnienia zgodności.

W przypadku bazowej platformy zarządzanej przez firmę Microsoft firma Microsoft traktuje całą zawartość klienta jako wrażliwą i jest bardzo długa, aby chronić przed utratą i ekspozycją danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft wdrożyła i utrzymuje zestaw niezawodnych mechanizmów kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

4.8: Szyfrowanie poufnych informacji magazynowanych

Wskazówki: używanie szyfrowania magazynowanych na wszystkich zasobach platformy Azure. Firma Microsoft zaleca umożliwienie platformy Azure zarządzania kluczami szyfrowania, jednak istnieje możliwość zarządzania własnymi kluczami w niektórych przypadkach.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.ServiceFabric:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign i EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo Inspekcja, odmowa, wyłączone 1.1.0

4.9: Rejestrowanie i alerty dotyczące zmian w krytycznych zasobach platformy Azure

Wskazówki: Użyj usługi Azure Monitor z dziennikiem aktywności platformy Azure, aby utworzyć alerty dotyczące zmian w przypadku wprowadzenia zmian w krytycznych zasobach platformy Azure.

Odpowiedzialność: Klient

Zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: zarządzanie lukami w zabezpieczeniach.

5.1. Uruchamianie zautomatyzowanych narzędzi do skanowania luk w zabezpieczeniach

Wskazówki: Regularnie uruchamiaj usługi Service Fabric Fault Analysis Service i Chaos, aby symulować błędy w całym klastrze w celu oceny niezawodności i niezawodności usług.

Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud w zakresie przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure i obrazach kontenerów.

Użyj rozwiązania innej firmy do przeprowadzania ocen luk w zabezpieczeniach na urządzeniach sieciowych i aplikacjach internetowych. Podczas przeprowadzania skanowania zdalnego nie należy używać jednego, bezterminowego konta administracyjnego. Rozważ zaimplementowanie metodologii aprowizacji JIT dla konta skanowania. Poświadczenia konta skanowania powinny być chronione, monitorowane i używane tylko do skanowania luk w zabezpieczeniach.

Odpowiedzialność: Klient

5.2. Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami systemu operacyjnego

Wskazówki: Włączanie automatycznych uaktualnień obrazów systemu operacyjnego w zestawach skalowania maszyn wirtualnych klastra usługi Service Fabric.

Alternatywnie, aby najpierw przetestować poprawki systemu operacyjnego przed przejściem do środowiska produkcyjnego, użyj wyzwalacza ręcznego na potrzeby uaktualnień obrazów systemu operacyjnego zestawu skalowania. Należy pamiętać, że opcja wyzwalacza ręcznego nie zapewnia wbudowanego wycofywania. Monitorowanie poprawek systemu operacyjnego przy użyciu rozwiązania Update Management z Azure Automation.

Odpowiedzialność: Klient

5.3. Wdrażanie zautomatyzowanego rozwiązania do zarządzania poprawkami dla tytułów oprogramowania innych firm

Wskazówki: Włączanie automatycznych uaktualnień obrazów systemu operacyjnego w zestawach skalowania maszyn wirtualnych klastra usługi Azure Service Fabric. Patch Orchestration Application (POA) to alternatywne rozwiązanie przeznaczone dla klastrów usługi Service Fabric hostowanych poza platformą Azure. Usługa POA może być używana z klastrami platformy Azure z dodatkowym obciążeniem hostingu.

Odpowiedzialność: Klient

5.4. Porównanie skanów luk w zabezpieczeniach z powrotem

Wskazówki: Eksportuj wyniki skanowania w spójnych odstępach czasu i porównaj wyniki, aby sprawdzić, czy luki w zabezpieczeniach zostały skorygowane. W przypadku korzystania z zaleceń dotyczących zarządzania lukami w zabezpieczeniach sugerowanych przez usługę Microsoft Defender for Cloud możesz przejść do portalu wybranego rozwiązania, aby wyświetlić dane historyczne skanowania.

Odpowiedzialność: Klient

5.5. Użyj procesu oceny ryzyka, aby określić priorytety korygowania wykrytych luk w zabezpieczeniach

Wskazówki: Użyj wspólnego programu oceniania ryzyka (np. Common Vulnerability Scoring System) lub domyślnych ocen ryzyka dostarczonych przez narzędzie do skanowania innej firmy.

Odpowiedzialność: Klient

Zarządzanie magazynem i zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: spis i zarządzanie zasobami.

6.1. Korzystanie z zautomatyzowanego rozwiązania do odnajdywania zasobów

Wskazówki: Używanie usługi Azure Resource Graph do wykonywania zapytań/odnajdywania wszystkich zasobów (takich jak obliczenia, magazyn, sieć, porty i protokoły itp.) w ramach subskrypcji. Upewnij się, że w dzierżawie są odpowiednie uprawnienia (odczyt) i wyliczaj wszystkie subskrypcje platformy Azure, a także zasoby w ramach subskrypcji.

Chociaż klasyczne zasoby platformy Azure można odnaleźć za pośrednictwem Resource Graph, zdecydowanie zaleca się tworzenie i używanie zasobów usługi Azure Resource Manager w przyszłości.

Odpowiedzialność: Klient

6.2: Obsługa metadanych zasobu

Wskazówki: stosowanie tagów do zasobów platformy Azure dających metadane w celu logicznego organizowania ich w taksonomię.

Odpowiedzialność: Klient

6.3: Usuwanie nieautoryzowanych zasobów platformy Azure

Wskazówki: używanie tagowania, grup zarządzania i oddzielnych subskrypcji, w stosownych przypadkach, do organizowania i śledzenia zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie.

Odpowiedzialność: Klient

6.4. Definiowanie i utrzymywanie spisu zatwierdzonych zasobów platformy Azure

Wskazówki: Definiowanie zatwierdzonych zasobów platformy Azure i zatwierdzonego oprogramowania dla zasobów obliczeniowych.

Odpowiedzialność: Klient

6.5: Monitorowanie niezatwierdzonych zasobów platformy Azure

Wskazówki: Użyj Azure Policy, aby umieścić ograniczenia dotyczące typu zasobów, które można utworzyć w subskrypcjach klienta przy użyciu następujących wbudowanych definicji zasad:

  • Niedozwolone typy zasobów

  • Dozwolone typy zasobów

Użyj usługi Azure Resource Graph, aby wykonywać zapytania o zasoby w ramach subskrypcji i odnajdywać je. Upewnij się, że wszystkie zasoby platformy Azure obecne w środowisku zostały zatwierdzone.

Odpowiedzialność: Klient

6.6: Monitorowanie niezatwierdzonych aplikacji oprogramowania w ramach zasobów obliczeniowych

Wskazówki: zaimplementuj rozwiązanie innej firmy, aby monitorować węzły klastra dla niezatwierdzonych aplikacji oprogramowania.

Odpowiedzialność: Klient

6.7: Usuwanie niezatwierdzonych zasobów platformy Azure i aplikacji oprogramowania

Wskazówki: korzystanie z usługi Azure Resource Graph do wykonywania zapytań i odnajdywania wszystkich zasobów (takich jak zasoby obliczeniowe, magazyn, sieć, porty i protokoły itp.), w tym klastry usługi Service Fabric w ramach subskrypcji. Usuń wszystkie niezatwierdzone zasoby platformy Azure, które odnajdujesz. W przypadku węzłów klastra usługi Service Fabric zaimplementuj rozwiązanie innej firmy, aby usunąć lub powiadomić o niezatwierdzonym oprogramowaniu.

Odpowiedzialność: Klient

6.8: Używanie tylko zatwierdzonych aplikacji

Wskazówki: W przypadku węzłów klastra usługi Service Fabric zaimplementuj rozwiązanie innej firmy, aby zapobiec wykonywaniu nieautoryzowanego oprogramowania.

Odpowiedzialność: Klient

6.9: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Użyj Azure Policy, aby ograniczyć usługi, które można aprowizować w swoim środowisku.

Odpowiedzialność: Klient

6.10: Utrzymywanie spisu zatwierdzonych tytułów oprogramowania

Wskazówki: W przypadku węzłów klastra usługi Azure Service Fabric zaimplementuj rozwiązanie innej firmy, aby zapobiec wykonywaniu nieautoryzowanych typów plików.

Odpowiedzialność: Klient

6.11: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Wskazówka: Użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resources Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

6.12: Ograniczanie możliwości wykonywania skryptów przez użytkowników w zasobach obliczeniowych

Wskazówka: Użyj konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć możliwość wykonywania skryptów przez użytkowników w ramach zasobów obliczeniowych platformy Azure.

Odpowiedzialność: Klient

6.13: Fizycznie lub logicznie rozdzielaj aplikacje wysokiego ryzyka

Wskazówki: Oprogramowanie wymagane do wykonywania operacji biznesowych, ale może wiązać się z większym ryzykiem dla organizacji, powinno być izolowane w ramach własnej maszyny wirtualnej i/lub sieci wirtualnej i odpowiednio zabezpieczone za pomocą Azure Firewall lub sieciowej grupy zabezpieczeń.

Odpowiedzialność: Klient

Bezpieczna konfiguracja

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: bezpieczna konfiguracja.

7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Wskazówka: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.ServiceFabric", aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji sieci klastra usługi Service Fabric.

Odpowiedzialność: Klient

7.2: Ustanawianie bezpiecznych konfiguracji systemu operacyjnego

Wskazówka: Obrazy systemu operacyjnego usługi Service Fabric są zarządzane i obsługiwane przez firmę Microsoft. Klient odpowiedzialny za implementowanie bezpiecznych konfiguracji dla systemu operacyjnego węzłów klastra.

Odpowiedzialność: Klient

7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Wskazówki: użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia dla klastrów usługi Azure Service Fabric i powiązanych zasobów.

Odpowiedzialność: Klient

7.4: Obsługa bezpiecznych konfiguracji systemu operacyjnego

Wskazówki: Obrazy systemu operacyjnego klastra usługi Service Fabric zarządzane i obsługiwane przez firmę Microsoft. Klient jest odpowiedzialny za implementację konfiguracji stanu na poziomie systemu operacyjnego.

Odpowiedzialność: Współużytkowane

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Wskazówka: Jeśli używasz niestandardowych definicji Azure Policy, użyj usługi Azure DevOps lub Azure Repos, aby bezpiecznie przechowywać kod i zarządzać nim.

Odpowiedzialność: Klient

7.6: Bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego

Wskazówki: Jeśli korzystasz z obrazów niestandardowych, użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zapewnić, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do obrazów. W przypadku obrazów kontenerów przechowuj je w Azure Container Registry i korzystaj z kontroli dostępu opartej na rolach platformy Azure, aby zapewnić, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do obrazów.

Odpowiedzialność: Klient

7.7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Wskazówki: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.ServiceFabric", aby utworzyć niestandardowe zasady do zgłaszania alertów, inspekcji i wymuszania konfiguracji systemu. Ponadto opracuj proces i potok do zarządzania wyjątkami zasad.

Odpowiedzialność: Klient

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Wskazówka: Użyj aliasów Azure Policy w przestrzeni nazw "Microsoft.ServiceFabric", aby utworzyć zasady niestandardowe do inspekcji lub wymuszenia konfiguracji klastra usługi Service Fabric.

Odpowiedzialność: Klient

7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych

Wskazówka: Użyj usługi Microsoft Defender for Cloud, aby przeprowadzić skanowanie linii bazowej pod kątem ustawień systemu operacyjnego i platformy Docker dla kontenerów.

Odpowiedzialność: Klient

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Wskazówki: Użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć zarządzanie wpisami tajnymi dla aplikacji w chmurze.

Odpowiedzialność: Klient

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Wskazówki: Tożsamości zarządzane mogą być używane w klastrach usługi Service Fabric wdrożonych na platformie Azure oraz w przypadku aplikacji wdrożonych jako zasoby platformy Azure. Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie usługi Azure Active Directory (Azure AD), w tym Key Vault, bez poświadczeń w kodzie.

Odpowiedzialność: Klient

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: Jeśli korzystasz z dowolnego kodu związanego z wdrożeniem usługi Azure Service Fabric, możesz zaimplementować skaner poświadczeń w celu zidentyfikowania poświadczeń w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

Użyj usługi Azure Key Vault, aby automatycznie obracać certyfikaty klastra usługi Service Fabric.

Odpowiedzialność: Klient

Ochrona przed złośliwym oprogramowaniem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: ochrona przed złośliwym oprogramowaniem.

8.1: Korzystanie z zarządzanego centralnie oprogramowania chroniącego przed złośliwym oprogramowaniem

Wskazówki: domyślnie program antywirusowy Windows Defender jest instalowany na Windows Server 2016. Interfejs użytkownika jest domyślnie instalowany w przypadku niektórych jednostek SKU, ale nie jest to wymagane.

Jeśli nie używasz Windows Defender, zapoznaj się z dokumentacją dotyczącą reguł konfiguracji ochrony przed złośliwym kodem. Windows Defender nie jest obsługiwana w systemie Linux.

Odpowiedzialność: Klient

Odzyskiwanie danych

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: odzyskiwanie danych.

9.1: Zapewnienie regularnych automatycznych kopii zapasowych

Wskazówka: Usługa Tworzenia kopii zapasowych i przywracania w usłudze Service Fabric umożliwia łatwe i automatyczne tworzenie kopii zapasowych informacji przechowywanych w usługach stanowych. Tworzenie kopii zapasowych danych aplikacji w regularnych okresach jest podstawowym elementem ochrony przed utratą danych i niedostępnością usługi. Usługa Service Fabric udostępnia opcjonalną usługę tworzenia kopii zapasowych i przywracania, która umożliwia konfigurowanie okresowych kopii zapasowych stanowych usług Reliable Services (w tym usług aktora) bez konieczności pisania dodatkowego kodu. Ułatwia również przywracanie wcześniej wykonanych kopii zapasowych.

Odpowiedzialność: Klient

9.2: Wykonywanie pełnych kopii zapasowych systemu i tworzenie kopii zapasowych kluczy zarządzanych przez klienta

Wskazówki: Włączanie usługi przywracania kopii zapasowych w klastrze usługi Service Fabric i tworzenie zasad tworzenia kopii zapasowych w celu okresowego tworzenia kopii zapasowych usług stanowych i na żądanie. Tworzenie kopii zapasowych kluczy zarządzanych przez klienta w usłudze Azure Key Vault.

Odpowiedzialność: Klient

9.3: Weryfikowanie wszystkich kopii zapasowych, w tym kluczy zarządzanych przez klienta

Wskazówki: Zapewnij możliwość przywracania z usługi przywracania kopii zapasowych, okresowo przeglądając informacje o konfiguracji kopii zapasowej i dostępne kopie zapasowe. Przetestuj przywracanie kopii zapasowej kluczy zarządzanych przez klienta.

Odpowiedzialność: Klient

9.4: Zapewnianie ochrony kopii zapasowych i kluczy zarządzanych przez klienta

Wskazówki: Kopie zapasowe z usługi przywracania kopii zapasowych usługi Service Fabric używają konta usługi Azure Storage w ramach subskrypcji. Usługa Azure Storage szyfruje wszystkie dane na koncie magazynu magazynowanych. Domyślnie dane są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz podać klucze zarządzane przez klienta na potrzeby szyfrowania danych magazynu.

Jeśli używasz kluczy zarządzanych przez klienta, upewnij się, że Soft-Delete w Key Vault jest włączona, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

10.1: Tworzenie przewodnika reagowania na zdarzenia

Wskazówki: Opracowywanie przewodnika po reagowaniu na zdarzenia dla organizacji. Upewnij się, że istnieją pisemne plany reagowania na zdarzenia, które definiują wszystkie role personelu, a także fazy obsługi zdarzeń i zarządzania nimi od wykrywania do przeglądu po zdarzeniu.

Odpowiedzialność: Klient

10.2: Tworzenie procedury oceniania i określania priorytetów zdarzeń

Wskazówki: usługa Microsoft Defender dla Chmury przypisuje ważność do każdego alertu, aby ułatwić określenie priorytetów, które alerty powinny być badane jako pierwsze. Ważność zależy od tego, jak pewna pewność, że usługa Microsoft Defender dla Chmury znajduje się w znalezieniu lub metryce użytej do wystawienia alertu, a także na poziomie ufności, na jakim wystąpił złośliwy zamiar działania, które doprowadziły do alertu.

Ponadto oznaczanie subskrypcji przy użyciu tagów i tworzenie systemu nazewnictwa w celu identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza tych, które przetwarzają poufne dane. Twoim zadaniem jest ustalenie priorytetów korygowania alertów w oparciu o krytyczność zasobów platformy Azure i środowiska, w którym wystąpiło zdarzenie.

Odpowiedzialność: Klient

10.3: Testowanie procedur reagowania na zabezpieczenia

Wskazówki: Przeprowadzanie ćwiczeń w celu przetestowania możliwości reagowania na zdarzenia w systemach w regularnych odstępach czasu. Zidentyfikuj słabe punkty i przerwy oraz popraw plan zgodnie z wymaganiami.

Odpowiedzialność: Klient

10.4: Podaj szczegóły kontaktu dotyczącego zdarzenia zabezpieczeń i skonfiguruj powiadomienia o alertach dla zdarzeń zabezpieczeń

Wskazówki: Informacje kontaktowe o zdarzeniach zabezpieczeń będą używane przez firmę Microsoft do kontaktowania się z Tobą, jeśli centrum microsoft Security Response Center (MSRC) wykryje, że twoje dane zostały użyte przez osobę niezgodną z prawem lub nieautoryzowaną. Przejrzyj zdarzenia po fakcie, aby upewnić się, że problemy zostały rozwiązane.

Odpowiedzialność: Klient

10.5: Dołączanie alertów zabezpieczeń do systemu reagowania na zdarzenia

Wskazówki: Wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportu ciągłego. Eksport ciągły umożliwia eksportowanie alertów i zaleceń ręcznie lub w sposób ciągły. Łącznik danych usługi Microsoft Defender for Cloud może być używany do przesyłania strumieniowego alertów do usługi Sentinel.

Odpowiedzialność: Klient

10.6: Automatyzowanie odpowiedzi na alerty zabezpieczeń

Wskazówka: Użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla Chmury, aby automatycznie wyzwalać odpowiedzi za pośrednictwem usługi "Logic Apps" w przypadku alertów zabezpieczeń i zaleceń.

Odpowiedzialność: Klient

Testy penetracyjne i ćwiczenia typu „red team”

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń platformy Azure: testy penetracyjne i ćwiczenia zespołu czerwonego.

11.1: Przeprowadzanie regularnych testów penetracyjnych zasobów platformy Azure i zapewnienie korygowania wszystkich krytycznych ustaleń dotyczących zabezpieczeń

Wskazówki: Postępuj zgodnie z regułami testowania penetracyjnego w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Następne kroki