Punkt odniesienia zabezpieczeń platformy Azure dla Azure SignalR Service

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Azure SignalR. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń platformy Azure i powiązane wskazówki dotyczące usługi Azure SignalR.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrole nie mają zastosowania do Azure SignalR Service, a te, dla których zalecane są globalne wskazówki, zostały wykluczone. Aby zobaczyć, jak Azure SignalR Service całkowicie mapować na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure SignalR Service.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: Azure SignalR Service firmy Microsoft nie obsługuje wdrażania bezpośrednio w sieci wirtualnej. Nie można korzystać z niektórych funkcji sieciowych z zasobami oferty, w tym sieciowymi grupami zabezpieczeń, tabelami tras lub innymi urządzeniami zależnymi od sieci, takimi jak Azure Firewall.

Azure SignalR Service jednak umożliwia tworzenie prywatnych punktów końcowych w celu zabezpieczenia ruchu między zasobami w sieci wirtualnej i Azure SignalR Service.

Możesz również użyć tagów usługi i skonfigurować reguły sieciowej grupy zabezpieczeń, aby ograniczyć ruch przychodzący/wychodzący do Azure SignalR Service.

Odpowiedzialność: Klient

NS-2: Łączenie sieci prywatnych

Wskazówki: użyj prywatnych punktów końcowych, aby zabezpieczyć ruch między siecią wirtualną a Azure SignalR Service. Wybierz usługę Azure ExpressRoute lub wirtualną sieć prywatną platformy Azure (VPN), aby utworzyć połączenia prywatne między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji.

Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet i oferują większą niezawodność, szybkość i mniejsze opóźnienia niż typowe połączenia internetowe. W przypadku sieci VPN typu punkt-lokacja i sieci VPN typu lokacja-lokacja można połączyć urządzenia lokalne lub sieci z siecią wirtualną przy użyciu dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute.

Aby połączyć dwie lub więcej sieci wirtualnych na platformie Azure, użyj komunikacji równorzędnej sieci wirtualnych. Ruch sieciowy między równorzędną siecią wirtualną jest prywatny i jest przechowywany w sieci szkieletowej platformy Azure.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.SignalRService:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Azure SignalR Service należy użyć łącza prywatnego Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. Inspekcja, odmowa, wyłączone 1.0.1

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówki: Użyj Azure Private Link, aby umożliwić dostęp prywatny do Azure SignalR Service z sieci wirtualnych bez przekraczania Internetu.

Dostęp prywatny to dodatkowa miara o wysokiej ochrony oprócz uwierzytelniania i zabezpieczeń ruchu oferowanych przez usługi platformy Azure.

Odpowiedzialność: Klient

Monitorowanie w usłudze Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender for Cloud i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są włączane automatycznie przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.SignalRService:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Azure SignalR Service należy użyć łącza prywatnego Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. Inspekcja, odmowa, wyłączone 1.0.1

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówki: Użyj tagów usługi Azure Virtual Network, aby zdefiniować mechanizmy kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall skonfigurowane dla zasobów Azure SignalR Service. Podczas tworzenia reguł zabezpieczeń można użyć tagów usługi zamiast konkretnych adresów IP. Określając nazwę tagu usługi (na przykład AzureSignalR) w odpowiednim polu źródłowym lub docelowym reguły, możesz zezwolić lub odrzucić ruch dla odpowiedniej usługi. Firma Microsoft zarządza prefiksami adresów uwzględnionych przez tag usługi i automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Azure SignalR Service używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Należy ustandaryzować Azure AD w celu zarządzania tożsamościami i dostępem w organizacji w programie:

  • Zasoby w chmurze firmy Microsoft, takie jak Azure Portal, Azure Storage, Azure Virtual Machine (Linux i Windows), azure Key Vault, PaaS i Aplikacje SaaS.
  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Azure SignalR Service obsługuje tylko uwierzytelnianie Azure AD dla płaszczyzny zarządzania, ale nie dla płaszczyzny danych. Oto lista wbudowanych ról w Azure SignalR Service:

  • Współautor usługi SignalR
  • Czytnik kluczy dostępu signalr

Zabezpieczanie usługi Azure AD powinno mieć wysoki priorytet w zakresie zabezpieczeń w chmurze w organizacji. Usługa Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości, który pomaga ocenić stan zabezpieczeń tożsamości w porównaniu z zaleceniami dotyczącymi najlepszych rozwiązań firmy Microsoft. Skorzystaj ze wskaźnika, aby ocenić, jak ściśle Twoja konfiguracja spełnia zalecenia dotyczące najlepszych rozwiązań, i ulepszać stan zabezpieczeń.

Azure AD obsługuje tożsamości zewnętrzne, które umożliwiają użytkownikom bez konta Microsoft logowanie się do aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówka: Azure SignalR Service używa tożsamości zarządzanych platformy Azure dla kont innych niż ludzkie, takich jak wywoływanie nadrzędne w scenariuszu bezserwerowym. Zaleca się używanie funkcji tożsamości zarządzanej platformy Azure w celu uzyskania dostępu do innych zasobów platformy Azure. Azure SignalR Service może natywnie uwierzytelniać się w usługach lub zasobach platformy Azure, które obsługują uwierzytelnianie usługi Azure Active Directory (Azure AD) za pomocą wstępnie zdefiniowanej reguły udzielania dostępu bez użycia zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

Odpowiedzialność: Klient

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: Azure SignalR Service używa usługi Azure Active Directory (Azure AD) do zapewnienia zarządzania tożsamościami i dostępem do zasobów usługi SignalR. Obejmuje to tożsamości przedsiębiorstwa, takie jak pracownicy, a także tożsamości zewnętrzne, takie jak partnerzy, dostawcy i dostawcy. Dzięki temu logowanie jednokrotne umożliwia zarządzanie i zabezpieczanie dostępu do danych i zasobów organizacji w środowisku lokalnym i w chmurze. Połącz wszystkich użytkowników, aplikacje i urządzenia z usługą Azure AD w celu zapewnienia bezproblemowego, bezpiecznego dostępu, lepszego wglądu i większej kontroli.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-1: Ochrona i ograniczanie użytkowników z wysokim poziomem uprawnień

Wskazówki: Najważniejsze role wbudowane to Usługa Azure Active Directory (Azure AD) to administrator globalny, a administrator ról uprzywilejowanych jako użytkownicy przypisani do tych dwóch ról mogą delegować role administratora:

  • Administrator globalny: użytkownicy z tą rolą mają dostęp do wszystkich funkcji administracyjnych w Azure AD, a także usług korzystających z tożsamości Azure AD.
  • Administrator ról uprzywilejowanych: użytkownicy z tą rolą mogą zarządzać przypisaniami ról w Azure AD, a także w Azure AD Privileged Identity Management (PIM). Ponadto ta rola umożliwia zarządzanie wszystkimi aspektami usługi PIM i jednostek administracyjnych.

Azure SignalR Service ma wbudowane role o wysokim poziomie uprawnień. Ogranicz liczbę wysoce uprzywilejowanych kont lub ról i chroń Azure AD tych kont na podwyższonym poziomie, ponieważ użytkownicy z tym uprawnieniem mogą bezpośrednio lub pośrednio odczytywać i modyfikować każdy zasób w środowisku platformy Azure.

Można włączyć uprzywilejowany dostęp just-in-time (JIT) do zasobów platformy Azure i usługi Azure AD przy użyciu usługi Azure AD Privileged Identity Management (PIM). Dostęp JIT polega na przyznawaniu uprawnień tymczasowych do wykonywania zadań uprzywilejowanych tylko wtedy, gdy użytkownicy ich potrzebują. Usługa PIM może również generować alerty zabezpieczeń w przypadku podejrzanych lub niebezpiecznych działań w ramach organizacji usługi Azure AD.

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Regularnie przeglądaj konta użytkowników i przypisywanie dostępu, aby upewnić się, że konta i ich poziom dostępu są prawidłowe.

Azure SignalR Service używa kont usługi Azure Active Directory (Azure AD) do zarządzania swoimi zasobami, regularnie przeglądaj konta użytkowników i przypisywanie dostępu, aby upewnić się, że konta i ich dostęp są prawidłowe. Możesz użyć Azure AD przeglądów dostępu do przeglądania członkostw w grupach, dostępu do aplikacji dla przedsiębiorstw i przypisań ról. Azure AD raportowania mogą udostępniać dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Możesz również użyć Azure AD Privileged Identity Management do utworzenia przepływu pracy przeglądu dostępu w celu ułatwienia procesu przeglądu.

Wbudowane role w Azure SignalR Service obejmują:

  • Współautor usługi SignalR
  • Czytnik kluczy dostępu usługi SignalR

Ponadto można skonfigurować usługę Azure Privileged Identity Management do powiadamiania o nadmiernej liczbie kont administratorów oraz identyfikowaniu kont administratorów, które są nieaktualne lub nieprawidłowo skonfigurowane.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówka: Zabezpieczone, izolowane stacje robocze mają kluczowe znaczenie dla bezpieczeństwa poufnych ról, takich jak administratorzy, deweloperzy i operatorzy usług o kluczowym znaczeniu. Używaj stacji roboczych użytkowników o wysokim poziomie zabezpieczeń i/lub usługi Azure Bastion do wykonywania zadań administracyjnych. Użyj usługi Azure Active Directory (Azure AD), usługi Microsoft Defender Advanced Threat Protection (ATP) i/lub Microsoft Intune, aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika na potrzeby zadań administracyjnych. Zabezpieczone stacje robocze mogą być zarządzane centralnie, aby wymusić bezpieczną konfigurację, w tym silne uwierzytelnianie, oprogramowanie i sprzętowe punkty odniesienia, ograniczony dostęp logiczny i sieciowy.

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: SignalR Service jest zintegrowana z kontrolą dostępu opartą na rolach (RBAC) platformy Azure w celu zarządzania zasobami. Usługa Azure RBAC umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Przypisz te role do użytkowników, grup jednostek usługi i tożsamości zarządzanych. Wstępnie zdefiniowane role wbudowane istnieją dla niektórych zasobów, a te role można tworzyć w spisie lub wykonywać zapytania za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, Azure PowerShell lub Azure Portal.

Uprawnienia przypisywane do zasobów z użyciem kontroli dostępu opartej na rolach platformy Azure powinny być zawsze ograniczone do tego, co jest wymagane przez te role. Uzupełnia to podejście just in time (JIT) usługi Azure Active Directory (Azure AD) Privileged Identity Management (PIM) i powinno być okresowo przeglądane.

Wbudowane role w SignalR Service:

  • Współautor usługi SignalR
  • Czytnik kluczy dostępu usługi SignalR

Użyj wbudowanych ról, aby przydzielić uprawnienia i tworzyć role niestandardowe tylko wtedy, gdy jest to wymagane.

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-2: Ochrona poufnych danych

Wskazówki: Ochrona poufnych danych przez ograniczenie dostępu przy użyciu usługi Azure Role Based Access Control (Azure RBAC), kontroli dostępu opartej na sieci i określonych mechanizmów kontroli w usługach platformy Azure (takich jak szyfrowanie w programie SQL i innych bazach danych).

Aby zapewnić spójną kontrolę dostępu, wszystkie typy kontroli dostępu powinny być dostosowane do strategii segmentacji przedsiębiorstwa. Strategię segmentacji przedsiębiorstwa powinna być również oparta na lokalizacji poufnych lub krytycznych danych i systemów.

W odniesieniu do platformy podstawowej zarządzanej przez firmę Microsoft, firma Microsoft traktuje całą zawartość kliencką jako poufną i zapewnia ochronę przed utratą i narażeniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft zaimplementowała pewne domyślne mechanizmy kontroli i możliwości ochrony danych.

Odpowiedzialność: Współużytkowane

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Szyfrowanie ma kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. Azure SignalR Service używa protokołu HTTPS (TLS w wersji 1.2) dla całego ruchu przychodzącego i wychodzącego w celu zapewnienia bezpieczeństwa. Na poziomie infrastruktury bazowej platforma Azure domyślnie zapewnia szyfrowanie danych podczas przesyłania danych między centrami danych platformy Azure.

Odpowiedzialność: Microsoft

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender for Cloud.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówka: Stosowanie tagów do zasobów platformy Azure, grup zasobów i subskrypcji w celu logicznego organizowania ich w taksonomię. Każdy tag składa się z pary nazwy i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: użyj Azure Policy, aby przeprowadzać inspekcję i ograniczać usługi, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia następujące dzienniki użytkowników, które można wyświetlić w Azure AD raportowaniu lub zintegrowaniu z usługą Azure Monitor, Microsoft Sentinel lub innymi narzędziami SIEM/monitorowaniem w celu uzyskania bardziej zaawansowanych przypadków użycia monitorowania i analizy:

  • Logowanie — raport logowania n zawiera informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników.
  • Dzienniki inspekcji — udostępnia możliwość śledzenia wszystkich zmian wprowadzanych przez różne funkcje usługi Azure AD za pomocą dzienników. Działania umieszczane w dziennikach inspekcji to na przykład zmiany wprowadzone w dowolnych zasobach usługi Azure AD, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad.
  • Ryzykowne logowania — ryzykowne logowanie jest wskaźnikiem próby logowania, która mogła zostać wykonana przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.
  • Użytkownicy oflagowani w związku z ryzykiem — ryzykowny użytkownik jest wskaźnikiem konta użytkownika, którego bezpieczeństwo mogło zostać naruszone.

Usługa Microsoft Defender for Cloud może również otrzymywać alerty dotyczące niektórych podejrzanych działań, takich jak nadmierna liczba nieudanych prób uwierzytelnienia, przestarzałe konta w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrony przed zagrożeniami w usłudze Microsoft Defender dla Chmury może również zbierać bardziej szczegółowe alerty zabezpieczeń z poszczególnych zasobów obliczeniowych platformy Azure (maszyn wirtualnych, kontenerów, usługi App Service), zasobów danych (bazy danych SQL i magazynu) oraz warstw usług platformy Azure. Ta funkcja umożliwia widoczność anomalii konta wewnątrz poszczególnych zasobów.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówka: Azure SignalR Service nie jest przeznaczona do wdrożenia w sieciach wirtualnych, ponieważ nie można włączyć rejestrowania przepływów sieciowej grupy zabezpieczeń, kierować ruchem przez zaporę lub wykonywać przechwytywania pakietów.

Jednak Azure SignalR Service rejestruje ruch sieciowy, który przetwarza na potrzeby dostępu klientów. Włącz dzienniki zasobów w ramach wdrożonych zasobów i skonfiguruj te dzienniki do wysłania na konto magazynu na potrzeby długoterminowego przechowywania i inspekcji.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówki: Dzienniki aktywności, które są dostępne automatycznie, zawierają wszystkie operacje zapisu (PUT, POST, DELETE) dla zasobów Azure SignalR Service z wyjątkiem operacji odczytu (GET). Dzienniki aktywności mogą służyć do znajdowania błędu podczas rozwiązywania problemów lub monitorowania sposobu, w jaki użytkownik w organizacji zmodyfikował zasób.

Włącz dzienniki zasobów platformy Azure dla Azure SignalR Service. Usługi Microsoft Defender for Cloud i Azure Policy można używać do włączania zbierania dzienników zasobów i danych dzienników. Te dzienniki mogą być krytyczne dla późniejszego badania zdarzeń zabezpieczeń i wykonywania ćwiczeń kryminalistycznych.

Odpowiedzialność: Klient

LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza

Wskazówka: Scentralizowanie magazynu i analizy rejestrowania w celu włączenia korelacji. Dla każdego źródła dziennika upewnij się, że przypisano właściciela danych, wskazówki dotyczące dostępu, lokalizację magazynu, narzędzia używane do przetwarzania i uzyskiwania dostępu do danych oraz wymagania dotyczące przechowywania danych.

Upewnij się, że integrujesz dzienniki aktywności platformy Azure z centralnym rejestrowaniem. Pozyskiwanie dzienników za pośrednictwem usługi Azure Monitor w celu agregowania danych zabezpieczeń generowanych przez urządzenia punktu końcowego, zasoby sieciowe i inne systemy zabezpieczeń. W usłudze Azure Monitor użyj obszarów roboczych usługi Log Analytics, aby wykonywać zapytania i wykonywać analizy oraz używać kont usługi Azure Storage do przechowywania długoterminowego i archiwalnego.

Ponadto włącz i dołącz dane do usługi Microsoft Sentinel lub systemu zarządzania informacjami i zdarzeniami zabezpieczeń innych firm (SIEM).

Wiele organizacji decyduje się używać usługi Microsoft Sentinel na potrzeby "gorących" danych, które są często używane, a usługa Azure Storage dla "zimnych" danych używanych rzadziej.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: Azure SignalR Service nie obsługuje konfigurowania własnych źródeł synchronizacji czasu. Usługa {offering_name} korzysta ze źródeł synchronizacji czasu firmy Microsoft i nie jest widoczna dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-1: Ustanów bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: Azure SignalR Service obsługuje poniższe zasady specyficzne dla usługi, które są dostępne w usłudze Microsoft Defender for Cloud w celu przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Można to skonfigurować w usłudze Microsoft Defender dla Chmury lub przy użyciu inicjatyw Azure Policy.

Usługi Azure Blueprints można używać do automatyzowania wdrażania i konfigurowania usług i środowisk aplikacji, w tym szablonów usługi Azure Resources Manager, mechanizmów kontroli dostępu na podstawie ról (RBAC) platformy Azure oraz zasad w ramach jednej definicji strategii.

Odpowiedzialność: Klient

PV-2: Utrzymaj bezpieczne konfiguracje dla usług platformy Azure

Wskazówki: Użyj usługi Microsoft Defender dla Chmury, aby monitorować konfigurację odniesienia i wymuszać korzystanie z Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację dla Azure SignalR Service. Azure SignalR Service zasady obejmują:

Dodatkowe informacje są dostępne w linkach, do których się odwołujesz.

Odpowiedzialność: Klient

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówka: Użyj usługi Microsoft Defender dla Chmury i Azure Policy, aby ustanowić bezpieczne konfiguracje na Azure SignalR Service.

Odpowiedzialność: Klient

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówka: W razie potrzeby przeprowadź test penetracyjny lub działania typu „red team” na zasobach platformy Azure i zapewnij korektę wszystkich krytycznych ustaleń dotyczących zabezpieczeń. Postępuj zgodnie z regułami testowania penetracji w chmurze firmy Microsoft, aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft. Korzystaj ze strategii firmy Microsoft i wykonywania testów typu „red team” i testów na żywo w zarządzanej przez firmę Microsoft infrastrukturze, usługach i aplikacjach w chmurze.

Odpowiedzialność: Współużytkowane

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: Upewnij się, że masz środki, aby zapobiec utracie kluczy i odzyskać je. Włącz usuwanie nietrwałe i przeczyść ochronę w usłudze Azure Key Vault, aby chronić klucze przed przypadkowym lub złośliwym usunięciem.

Odpowiedzialność: Klient

Następne kroki