Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Spring Cloud Service

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń platformy Azure w wersji 2.0 do usługi Azure Spring Cloud Service. Test porównawczy zabezpieczeń platformy Azure zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń platformy Azure oraz powiązane wskazówki dotyczące usługi Azure Spring Cloud Service.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu usługi Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami pulpitu nawigacyjnego usługi Microsoft Defender for Cloud.

Jeśli sekcja zawiera odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testu porównawczego zabezpieczeń platformy Azure. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Kontrolki nie mają zastosowania do usługi Azure Spring Cloud Service, a te, dla których zalecenia dotyczące globalnego wytycznych są zalecane, zostały wykluczone. Aby zobaczyć, jak usługa Azure Spring Cloud Service całkowicie mapuje się na test porównawczy zabezpieczeń platformy Azure, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Spring Cloud Service.

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: bezpieczeństwo sieci.

NS-1: Implementowanie zabezpieczeń dla ruchu wewnętrznego

Wskazówki: podczas wdrażania zasobów usługi Azure Spring Cloud Service utwórz istniejącą sieć wirtualną lub użyj jej. Upewnij się, że wszystkie sieci wirtualne platformy Azure są zgodne z zasadą segmentacji przedsiębiorstwa zgodną z ryzykiem biznesowym. Jeśli jakikolwiek system ponosi większe ryzyko dla organizacji, izoluj go we własnej sieci wirtualnej. Wystarczająco zabezpieczyć ten system za pomocą sieciowej grupy zabezpieczeń lub Azure Firewall.

Korzystanie z adaptacyjnego wzmacniania zabezpieczeń sieci w usłudze Microsoft Defender for Cloud zaleca konfiguracje sieciowej grupy zabezpieczeń, które ograniczają porty i źródłowe adresy IP. Podstawowe konfiguracje w regułach ruchu sieciowego zewnętrznego.

Na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi przy użyciu reguł sieciowej grupy zabezpieczeń. W przypadku określonych, dobrze zdefiniowanych aplikacji (takich jak aplikacja trójwarstwowa) ta reguła może być domyślnie wysoce bezpieczną odmową.

Odpowiedzialność: Klient

NS-2: Łączenie sieci prywatnych

Wskazówki: Korzystanie z usługi Azure ExpressRoute lub wirtualnej sieci prywatnej platformy Azure (VPN) umożliwia tworzenie prywatnych połączeń między centrami danych platformy Azure i infrastrukturą lokalną w środowisku kolokacji. Połączenia usługi ExpressRoute nie przechodzą przez publiczny Internet. W porównaniu z typowymi połączeniami internetowymi oferta połączeń usługi ExpressRoute:

  • Większa niezawodność
  • Szybsze prędkości
  • Mniejsze opóźnienia

W przypadku sieci VPN typu punkt-lokacja i sieci VPN typu lokacja-lokacja połącz lokalne urządzenia lub sieci z siecią wirtualną. Użyj dowolnej kombinacji tych opcji sieci VPN i usługi Azure ExpressRoute.

Aby połączyć dwie lub więcej sieci wirtualnych na platformie Azure, użyj komunikacji równorzędnej sieci wirtualnych. Ruch sieciowy między wirtualnymi sieciami równorzędnymi jest prywatny. Ten typ ruchu jest przechowywany w sieci szkieletowej platformy Azure.

Odpowiedzialność: Klient

Monitorowanie usługi Microsoft Defender for Cloud: Test porównawczy zabezpieczeń platformy Azure to domyślna inicjatywa zasad dla usługi Microsoft Defender dla Chmury i stanowi podstawę zaleceń usługi Microsoft Defender for Cloud. Definicje Azure Policy związane z tą kontrolką są automatycznie włączane przez usługę Microsoft Defender for Cloud. Alerty związane z tą kontrolką mogą wymagać planu usługi Microsoft Defender dla powiązanych usług.

Azure Policy wbudowane definicje — Microsoft.AppPlatform:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Azure Spring Cloud powinna używać iniekcji sieci Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. Inspekcja, Wyłączone, Odmowa 1.0.0

NS-3: Ustanów dostęp w sieci prywatnej do usług platformy Azure

Wskazówka: Usługa Azure Spring Cloud Service nie zezwala na zabezpieczanie punktów końcowych zarządzania w sieci prywatnej za pomocą usługi Private Link.

Usługa Azure Spring Cloud Service nie zapewnia możliwości konfigurowania punktów końcowych usługi Virtual Network.

Odpowiedzialność: Klient

NS-4: Ochrona aplikacji i usług przed atakami w sieci zewnętrznej

Wskazówki: Ochrona zasobów usługi Azure Spring Cloud Service przed atakami z sieci zewnętrznych, w tym:

  • Ataki typu "rozproszona odmowa usługi" (DDoS).
  • Ataki specyficzne dla aplikacji.
  • Niechciany i potencjalnie złośliwy ruch internetowy.

Korzystanie z Azure Firewall chroni aplikacje i usługi przed potencjalnie złośliwym ruchem z Internetu i innych lokalizacji zewnętrznych. Aby chronić zasoby przed atakami DDoS, włącz standardową ochronę przed atakami DDoS w sieciach wirtualnych platformy Azure. Usługa Microsoft Defender for Cloud umożliwia wykrywanie zagrożeń związanych z błędną konfiguracją zasobów związanych z siecią.

Aby chronić aplikacje uruchamiane w usłudze Azure Spring Cloud Service przed atakami w warstwie aplikacji, użyj funkcji Web Application Firewall (WAF) w:

  • Azure Application Gateway
  • Azure Front Door
  • Azure Content Delivery Network (CDN)

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

NS-5: Wdrażanie systemów wykrywania włamań/zapobiegania włamaniom (IDS/IPS)

Wskazówki: korzystanie z filtrowania opartego na Azure Firewall analizy zagrożeń, zgłaszania alertów lub blokowania ruchu do i ze znanych złośliwych adresów IP i domen. Adresy IP i domeny pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft. W razie potrzeby inspekcji ładunku należy wdrożyć system wykrywania nieautoryzowanego dostępu/nieautoryzowanego dostępu (IDS/IPS) z Azure Marketplace z funkcjami inspekcji ładunku. Możesz też użyć opartego na hoście rozwiązania IDS/IPS lub rozwiązania do wykrywania i reagowania (EDR) opartego na hoście lub zamiast opartego na sieci identyfikatorów/adresów IPS.

Odpowiedzialność: Klient

NS-6: Uproszczenie reguł zabezpieczeń sieci

Wskazówki: Używanie tagów usługi sieci wirtualnej platformy Azure, definiowanie kontroli dostępu do sieci w sieciowych grupach zabezpieczeń lub Azure Firewall skonfigurowanych dla zasobów usługi Azure Spring Cloud Service. Używaj tagów usług zamiast określonych adresów IP podczas tworzenia reguł zabezpieczeń. Określając nazwę tagu usługi w polu źródłowym lub docelowym odpowiedniej reguły, zezwól lub odmów ruchu dla odpowiedniej usługi. Firma Microsoft zarządza prefiksami adresów, które są objęte tagiem usługi. Automatycznie aktualizuje tag usługi w miarę zmiany adresów.

Odpowiedzialność: Klient

NS-7: Bezpieczna usługa nazw domen (DNS)

Wskazówki: Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń DNS, aby ograniczyć ryzyko typowych ataków, takich jak:

  • Zwisanie DNS
  • Ataki wzmacniania DNS
  • Zatrucie dns i fałszowanie

Co zrobić, jeśli chcesz użyć usługi Azure DNS jako autorytatywnej usługi DNS? Następnie chroń strefy i rekordy DNS przed przypadkowymi lub złośliwymi modyfikacjami przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC) i blokad zasobów.

Odpowiedzialność: Klient

Zarządzanie tożsamością

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie tożsamościami.

IM-1: Standaryzacja usługi Azure Active Directory jako centralnego systemu tożsamości i uwierzytelniania

Wskazówki: Usługa Azure Spring Cloud Service używa usługi Azure Active Directory (Azure AD) jako domyślnej usługi zarządzania tożsamościami i dostępem. Ustandaryzuj Azure AD, aby zarządzać tożsamościami i dostępem organizacji w programie:

  • Zasoby usługi Microsoft Cloud, takie jak:

    • Azure Portal
    • Azure Storage
    • Azure Virtual Machines (Linux i Windows)
    • Azure Key Vault
    • Platforma jako usługa (PaaS)
    • Aplikacje oprogramowania jako usługi (SaaS)
  • Zasoby organizacji, takie jak aplikacje na platformie Azure lub formowe zasoby sieciowe.

Zabezpieczanie Azure AD wysokim priorytetem w praktyce zabezpieczeń w chmurze w organizacji. Aby ułatwić ocenę stanu zabezpieczeń tożsamości względem zaleceń dotyczących najlepszych rozwiązań firmy Microsoft, Azure AD zapewnia wskaźnik bezpieczeństwa tożsamości. Korzystając z tego wyniku, określ, jak ściśle konfiguracja jest zgodna z zaleceniami dotyczącymi najlepszych rozwiązań. Następnie wprowadź ulepszenia stanu zabezpieczeń.

Uwaga: Azure AD obsługuje tożsamości zewnętrzne. Użytkownicy, którzy nie mają konta Microsoft, mogą logować się do swoich aplikacji i zasobów przy użyciu tożsamości zewnętrznej.

Usługa Azure Spring Cloud ma wbudowaną rolę "Azure Spring Cloud Data Reader", która wskazuje na dostęp "odczyt" do zasobów płaszczyzny danych usługi Azure Spring Cloud. Co zrobić, jeśli klienci chcą zezwolić innym osobom na dostęp do płaszczyzny danych usługi Azure Spring Cloud? Następnie klienci mogą używać tej roli i udzielać innym osobom uprawnień.

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

IM-2: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Wskazówki: Usługa Azure Spring Cloud Service obsługuje tożsamości zarządzane dla swoich zasobów platformy Azure. Zamiast tworzyć jednostki usługi w celu uzyskania dostępu do innych zasobów, użyj tożsamości zarządzanych w usłudze Azure Spring Cloud Service. Usługa Azure Spring Cloud Service może natywnie uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie Azure AD. Uwierzytelnianie odbywa się za pomocą wstępnie zdefiniowanej reguły udzielania dostępu. Nie używa poświadczeń, które są zakodowane na stałe w kodzie źródłowym lub plikach konfiguracji.

Czy chcesz skonfigurować jednostki usługi przy użyciu poświadczeń certyfikatu i powrócić do wpisów tajnych klienta? Następnie usługa Azure Spring Cloud Service zaleca użycie Azure AD do utworzenia jednostki usługi z ograniczonymi uprawnieniami na poziomie zasobu. W obu przypadkach Key Vault mogą być używane z tożsamościami zarządzanymi przez platformę Azure. Następnie środowisko uruchomieniowe (takie jak funkcja platformy Azure) może pobrać poświadczenia z magazynu kluczy.

Odpowiedzialność: Współużytkowane

IM-3: Korzystanie z logowania jednokrotnego usługi Azure AD na potrzeby dostępu do aplikacji

Wskazówki: usługa Azure Spring Cloud Service używa Azure AD do zapewnienia zarządzania tożsamościami i dostępem do:

  • Zasoby platformy Azure
  • Aplikacje w chmurze
  • Aplikacje lokalne

Zarządzanie tożsamościami i dostępem obejmuje tożsamości przedsiębiorstwa, takie jak pracownicy i tożsamości zewnętrzne, takie jak:

  • Partnerzy
  • Dostawców
  • Suppliers

Dzięki temu zarządzaniu logowanie jednokrotne (SSO) może zarządzać danymi i zasobami organizacji oraz zabezpieczać dostęp do ich zasobów. Możesz zastosować logowanie jednokrotne lokalnie i w chmurze. Aby zapewnić bezproblemowy, bezpieczny dostęp oraz większą widoczność i kontrolę, połącz się z Azure AD wszystkimi użytkownikami:

  • Użytkownicy
  • Aplikacje
  • Urządzenia

Aby uzyskać więcej informacji, przeczytaj następujący artykuł:

Odpowiedzialność: Klient

IM-4: Użyj silnych kontrolek uwierzytelniania dla wszystkich Azure AD dostępu opartego na Azure AD

Wskazówki: usługa Azure Spring Cloud Service używa Azure AD, która obsługuje silne mechanizmy kontroli uwierzytelniania za pomocą uwierzytelniania wieloskładnikowego (MFA) i silnych metod bez hasła.

  • MFA. Włącz Azure AD uwierzytelnianie wieloskładnikowe. Aby uzyskać najlepsze rozwiązania dotyczące konfiguracji uwierzytelniania wieloskładnikowego, postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud. Na podstawie warunków logowania i czynników ryzyka można wymusić uwierzytelnianie wieloskładnikowe:

    • Wszyscy użytkownicy
    • Wybieranie użytkowników
    • Poziom poszczególnych użytkowników
  • Uwierzytelnianie bez hasła. Dostępne są trzy opcje uwierzytelniania bez hasła:

    • Windows Hello for Business
    • Aplikacja Microsoft Authenticator
    • Lokalne metody uwierzytelniania, takie jak karty inteligentne

W przypadku administratorów i uprzywilejowanych użytkowników użyj najwyższego poziomu metody silnego uwierzytelniania. Następnie wprowadź odpowiednie zasady silnego uwierzytelniania dla innych użytkowników.

Odpowiedzialność: Klient

IM-5: Monitorowanie anomalii kont i wyświetlanie alertów

Wskazówki: Usługa Azure Spring Cloud Service jest zintegrowana z Azure AD, która udostępnia następujące źródła danych:

  • Logowania. Raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników.

  • Dzienniki inspekcji. Dzienniki inspekcji zapewniają możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian, które różne funkcje są wprowadzane w ramach Azure AD. Przykłady obejmują zmiany wprowadzone w dowolnym zasobie w ramach Azure AD, takie jak dodawanie lub usuwanie:

    • Użytkownicy
    • Apps
    • Grupy
    • Role
    • Zasady
  • Ryzykowne logowania. Ryzykowne logowanie wskazuje próbę logowania, która mogła zostać podjęta przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.

  • Użytkownicy oflagowani pod kątem ryzyka. Ryzykowny użytkownik wskazuje konto użytkownika, które mogło zostać naruszone.

Te źródła danych można zintegrować z:

  • Azure Monitor
  • Microsoft Sentinel
  • Systemy zarządzania informacjami i zdarzeniami innych firm (SIEM)

Usługa Microsoft Defender for Cloud może również otrzymywać alerty o niektórych podejrzanych działaniach. Te działania obejmują nadmierną liczbę nieudanych prób uwierzytelniania lub przestarzałych kont w subskrypcji.

Usługa Azure Advanced Threat Protection (ATP) to rozwiązanie zabezpieczeń. Za pomocą sygnałów usługi Active Directory można identyfikować, wykrywać i badać:

  • Zaawansowane zagrożenia
  • Tożsamości z naruszeniem zabezpieczeń
  • Złośliwe działania wewnętrzne

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

IM-6: Ograniczanie dostępu do zasobów platformy Azure na podstawie warunków

Wskazówki: usługa Azure Spring Cloud Service obsługuje dostęp warunkowy Azure AD w celu uzyskania bardziej szczegółowej kontroli dostępu opartej na warunkach zdefiniowanych przez użytkownika. Te warunki obejmują logowania użytkowników z określonych zakresów adresów IP, które muszą zalogować się przy użyciu uwierzytelniania wieloskładnikowego. W różnych przypadkach użycia można również użyć szczegółowych zasad zarządzania sesjami uwierzytelniania. Te zasady dostępu warunkowego mają zastosowanie tylko do kont użytkowników uwierzytelniających się w celu Azure AD uzyskiwania dostępu do usługi Azure Spring Cloud Service i zarządzania nią. Te zasady nie mają zastosowania do jednostek usługi, kluczy ani tokenów używanych do nawiązywania połączenia z zasobem usługi Azure Spring Cloud Service.

Odpowiedzialność: Klient

IM-7: Eliminowanie niezamierzonego ujawnienia poświadczeń

Wskazówki: Usługa Azure Spring Cloud Service umożliwia klientom wdrażanie i uruchamianie następujących jednostek z tożsamościami lub wpisami tajnymi:

  • Kod
  • Konfiguracje
  • Utrwalone dane

Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w ramach tych jednostek. Skaner poświadczeń zachęca również do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak Key Vault.

W przypadku usługi GitHub możesz użyć natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować poświadczenia lub inne formy wpisów tajnych w kodzie.

Odpowiedzialność: Klient

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: dostęp uprzywilejowany.

PA-2: Ogranicz dostęp administracyjny do systemów o krytycznym znaczeniu dla firmy

Wskazówki: Usługa Azure Spring Cloud Service używa kontroli dostępu opartej na rolach platformy Azure do izolowania dostępu do systemów krytycznych dla działania firmy. Ogranicza to, które konta mają uprzywilejowany dostęp do subskrypcji i grup zarządzania, w których się znajdują.

Ogranicz również dostęp do systemów zarządzania, tożsamości i zabezpieczeń, które mają dostęp administracyjny do kontroli dostępu krytycznego dla działania firmy, takich jak:

  • kontrolery domena usługi Active Directory (DCs).
  • Narzędzia zabezpieczeń.
  • Narzędzia do zarządzania systemem z agentami zainstalowanymi w systemach o znaczeniu krytycznym dla działania firmy.

Osoby atakujące, które zagrażają tym systemom zarządzania i zabezpieczeń, mogą natychmiast obroić je w celu naruszenia bezpieczeństwa zasobów krytycznych dla działania firmy.

Aby zapewnić spójną kontrolę dostępu, dostosuj wszystkie typy kontroli dostępu do strategii segmentacji przedsiębiorstwa.

Odpowiedzialność: Klient

PA-3: Regularne przeglądanie i uzgadnianie dostępu użytkowników

Wskazówki: Aby upewnić się, że konta Azure AD i ich dostęp są prawidłowe, usługa Azure Spring Cloud Service używa następujących kont do:

  • Zarządzanie zasobami.
  • Przejrzyj konta użytkowników.
  • Regularnie uzyskujesz dostęp do przypisań.

Przejrzyj Azure AD i przeglądy dostępu:

  • Członkostwa w grupie
  • Dostęp do aplikacji dla przedsiębiorstw
  • Przypisania ról

Azure AD raportowanie może zapewnić dzienniki, aby ułatwić odnajdywanie nieaktualnych kont. Aby pomóc w procesie przeglądu, użyj również Azure AD Privileged Identity Management (PIM), aby utworzyć przepływy pracy raportów na potrzeby przeglądów dostępu.

Można również skonfigurować Azure AD PIM, aby otrzymywać alerty po utworzeniu nadmiernej liczby kont administratorów. Możesz też skonfigurować tak, aby identyfikować konta administratora, które są nieaktualne lub nieprawidłowo skonfigurowane.

Uwaga: niektóre usługi platformy Azure obsługują użytkowników lokalnych i ról, które nie są zarządzane za pośrednictwem Azure AD. Zarządzaj tymi użytkownikami oddzielnie.

Usługa Azure Spring Cloud ma wbudowaną rolę "Czytelnik danych platformy Azure Spring Cloud". Ta rola wskazuje "odczyt" dostępu do zasobów płaszczyzny danych w usłudze Azure Spring Cloud. Co zrobić, jeśli klient chce zezwolić innym osobom na dostęp do płaszczyzny danych usługi Azure Spring Cloud? Następnie klient może używać tej roli i udzielać innym osobom uprawnień.

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

PA-4: Konfigurowanie dostępu awaryjnego w usłudze Azure AD

Wskazówki: usługa Azure Spring Cloud Service używa Azure AD do zarządzania zasobami. Czy chcesz zapobiec przypadkowemu zablokowaniu organizacji Azure AD? Następnie skonfiguruj konto dostępu awaryjnego w celu uzyskania dostępu, gdy nie można używać normalnych kont administracyjnych. Konta dostępu awaryjnego są wysoce uprzywilejowane. Nie przypisuj tych kont do określonych osób. Konta dostępu awaryjnego są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać normalnych kont administracyjnych.

Zachowaj poświadczenia (takie jak hasło, certyfikat lub karta inteligentna) w celu zabezpieczenia kont dostępu awaryjnego. Ujawnianie poświadczeń tylko osobom, które mają uprawnienia do ich używania tylko w nagłych wypadkach.

Odpowiedzialność: Klient

PA-5: Automatyzowanie zarządzania upoważnieniami

Wskazówki: Usługa Azure Spring Cloud Service jest zintegrowana z Azure AD w celu zarządzania zasobami. Korzystając z Azure AD funkcji zarządzania upoważnieniami, automatyzuj przepływy pracy żądań dostępu, w tym:

  • Przypisania dostępu
  • Przeglądy
  • Wygaśnięcie

Obsługiwane jest również zatwierdzanie podwójne lub wieloetapowe.

Odpowiedzialność: Klient

PA-6: Korzystanie ze stacji roboczych z dostępem uprzywilejowanym

Wskazówki: Zabezpieczone, izolowane stacje robocze mają krytyczne znaczenie dla zabezpieczeń poufnych ról, takich jak:

  • Administrator
  • Deweloper
  • Operator usługi krytycznej

Na potrzeby zadań administracyjnych należy używać stacji roboczych użytkowników o wysokim poziomie zabezpieczeń lub usługi Azure Bastion. Aby wdrożyć bezpieczną i zarządzaną stację roboczą użytkownika, użyj co najmniej jednej z nich:

  • Azure AD
  • Zaawansowana ochrona przed zagrożeniami w usłudze Microsoft Defender (ATP)
  • Microsoft Intune

Centralne zarządzanie zabezpieczonymi stacjami roboczymi w celu wymuszania zabezpieczonej konfiguracji, w tym:

  • Silne uwierzytelnianie
  • Plany bazowe oprogramowania i sprzętu
  • Ograniczony dostęp logiczny i sieciowy

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

DU-7: Przestrzeganie podejścia wystarczającego zakresu administracji (zasada stosowania najniższych uprawnień)

Wskazówki: Usługa Azure Spring Cloud Service jest zintegrowana z kontrolą dostępu opartą na rolach platformy Azure w celu zarządzania zasobami. Kontrola dostępu oparta na rolach platformy Azure umożliwia zarządzanie dostępem do zasobów platformy Azure za pomocą przypisań ról. Przypisz następujące role do:

  • Użytkownicy
  • Grupy
  • Jednostki usługi
  • Tożsamości zarządzane

Istnieją wstępnie zdefiniowane wbudowane role dla niektórych zasobów. Możesz spisować lub wykonywać zapytania dotyczące tych ról za pomocą narzędzi, takich jak:

  • Interfejs wiersza polecenia platformy Azure
  • Azure PowerShell
  • Azure Portal

Zawsze ograniczaj uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure do wymaganej roli. Ta praktyka uzupełnia podejście just in time (JIT) Azure AD PIM i powinno być okresowo sprawdzane.

Użyj wbudowanych ról, aby udzielić uprawnień. W razie potrzeby twórz role niestandardowe tylko wtedy, gdy jest to konieczne.

Usługa Azure Spring Cloud ma wbudowaną rolę "Czytelnik danych usługi Azure Spring Cloud", która wskazuje dostęp do odczytu względem zasobów płaszczyzny danych w usłudze Azure Spring Cloud. Co zrobić, jeśli klient chce zezwolić innym osobom na dostęp do płaszczyzny danych usługi Azure Spring Cloud? Następnie klient może używać tej roli i udzielać uprawnień innym osobom.

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

Ochrona danych

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Wskazówki: Nie dotyczy; Usługa Azure Spring Cloud Service zarządza zawartością klienta, ale nie może pozwolić klientom odnajdywać, klasyfikować ani oznaczać tych danych.

Odpowiedzialność: Klient

DP-2: Ochrona poufnych danych

Wskazówki: Ochrona poufnych danych przez ograniczenie dostępu przy użyciu:

  • Kontrola dostępu oparta na rolach platformy Azure.
  • Kontrola dostępu oparta na sieci.
  • Określone kontrolki w usługach platformy Azure, takie jak szyfrowanie.

Aby zapewnić spójną kontrolę dostępu, dostosuj wszystkie typy kontroli dostępu do strategii segmentacji przedsiębiorstwa. Poinformuj strategię segmentacji przedsiębiorstwa o lokalizacji poufnych lub krytycznych dla działania firmy danych i systemów.

W przypadku podstawowej platformy (zarządzanej przez firmę Microsoft) firma Microsoft traktuje całą zawartość klienta jako wrażliwą. Chroni przed utratą i ujawnieniem danych klientów. Aby zapewnić bezpieczeństwo danych klientów na platformie Azure, firma Microsoft implementuje pewne domyślne mechanizmy kontroli i możliwości ochrony danych.

Odpowiedzialność: Klient

DP-4: Szyfrowanie poufnych informacji podczas przesyłania

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, należy chronić dane przesyłane przed atakami "poza pasmem", takimi jak przechwytywanie ruchu. Użyj szyfrowania, aby upewnić się, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.

Usługa Azure Spring Cloud Service obsługuje szyfrowanie danych podczas przesyłania przy użyciu protokołu Transport Layer Security (TLS) w wersji 1.2 lub nowszej.

Chociaż to szyfrowanie jest opcjonalne dla ruchu w sieciach prywatnych, ma kluczowe znaczenie dla ruchu w sieciach zewnętrznych i publicznych. W przypadku ruchu HTTP upewnij się, że klienci łączący się z zasobami platformy Azure mogą negocjować protokół TLS w wersji 1.2 lub nowszej. W przypadku zdalnego zarządzania zamiast niezaszyfrowanego protokołu użyj jednego z:

  • Secure Shell (SSH) dla systemu Linux
  • Protokół RDP (Remote Desktop Protocol) i protokół TLS dla systemu Windows

Wyłącz słabe szyfry oraz przestarzałe wersje i protokoły:

  • Secure Sockets Layer (SSL)
  • TLS
  • Protokół SSH

Domyślnie platforma Azure zapewnia szyfrowanie danych przesyłanych między centrami danych platformy Azure.

Odpowiedzialność: Klient

DP-5: Szyfrowanie poufnych danych nieużywanych

Wskazówki: Aby uzupełnić mechanizmy kontroli dostępu, usługa Azure Spring Cloud Service szyfruje dane magazynowane w celu ochrony przed atakami "poza pasmem" (takimi jak uzyskiwanie dostępu do magazynu bazowego) przy użyciu szyfrowania. Ta praktyka pomaga upewnić się, że osoby atakujące nie mogą łatwo odczytać ani zmodyfikować danych.

Odpowiedzialność: Klient

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: zarządzanie elementami zawartości.

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Wskazówka: Udzielanie zespołom ds. zabezpieczeń uprawnień Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure. Następnie zespoły mogą monitorować zagrożenia bezpieczeństwa przy użyciu usługi Microsoft Defender dla Chmury.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń centralny zespół ds. zabezpieczeń lub lokalny zespół może być odpowiedzialny za monitorowanie zagrożeń bezpieczeństwa. Zawsze agreguj szczegółowe informacje o zabezpieczeniach i zagrożenia centralnie w organizacji.

Uprawnienia czytelnika zabezpieczeń można stosować szeroko do całej dzierżawy (głównej grupy zarządzania). Możesz też ograniczyć ich zakres do grup zarządzania lub określonych subskrypcji.

Uwaga: Dodatkowe uprawnienia mogą być konieczne, aby uzyskać wgląd w obciążenia i usługi.

Odpowiedzialność: Klient

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Wskazówki: upewnij się, że zespoły ds. zabezpieczeń mogą uzyskiwać dostęp do stale aktualizowanego spisu zasobów na platformie Azure, takich jak Azure Spring Cloud Service. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby ocenić potencjalne narażenie organizacji na pojawiające się zagrożenia. Spis jest również danymi wejściowymi do ciągłych ulepszeń zabezpieczeń. Utwórz grupę Azure AD zawierającą autoryzowany zespół ds. zabezpieczeń organizacji. Przypisz zespołowi dostęp do odczytu do wszystkich zasobów usługi Azure Spring Cloud Service. Te kroki można uprościć w ramach pojedynczego przypisania roli wysokiego poziomu w ramach subskrypcji.

Aby logicznie zorganizować taksonomię, zastosuj tagi do:

  • Zasoby platformy Azure
  • Grupy zasobów
  • Subskrypcje

Każdy tag składa się z pary nazwy i wartości. Na przykład można zastosować nazwę „Środowisko” i wartość „Produkcyjne” do wszystkich zasobów w środowisku produkcyjnym.

Korzystając ze spisu maszyn wirtualnych platformy Azure, zautomatyzuj zbieranie informacji o oprogramowaniu na maszynach wirtualnych. W Azure Portal dostępne są następujące elementy:

  • Nazwa oprogramowania
  • Wersja
  • Publisher
  • Czas odświeżania

Aby uzyskać dostęp do dat instalacji i innych informacji, włącz diagnostykę na poziomie gościa. Następnie przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Aby określić typy plików, do których może mieć zastosowanie reguła, należy użyć funkcji adaptacyjnego sterowania aplikacjami w usłudze Microsoft Defender for Cloud.

Odpowiedzialność: Klient

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Wskazówki: Przeprowadzanie inspekcji i ograniczanie, które usługi mogą aprowizować użytkownicy w środowisku przy użyciu Azure Policy. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą funkcji Monitor utwórz reguły wyzwalające alerty po wykryciu niezatwierdzonej usługi.

Odpowiedzialność: Klient

ZZ-4: zapewnienie bezpieczeństwa zarządzania cyklem życia zasobów

Wskazówki: Nie dotyczy; Nie można użyć usługi Azure Spring Cloud Service, aby zapewnić bezpieczeństwo zasobów w procesie zarządzania cyklem życia. Klient jest odpowiedzialny za utrzymywanie atrybutów i konfiguracji sieci zasobów, które są uważane za duże znaczenie. Aby klient utworzył proces:

  • Przechwyć zmiany atrybutu i konfiguracji sieci.
  • Mierzenie wpływu zmiany.
  • Utwórz zadania korygowania zgodnie z obowiązującymi przepisami.

Odpowiedzialność: Klient

AM-5: Ogranicz możliwość interakcji użytkowników z usługą Azure Resource Manager

Wskazówki: korzystanie z dostępu warunkowego platformy Azure ogranicza możliwość interakcji użytkowników z usługą Azure Resource Manager. Skonfiguruj pozycję "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

Odpowiedzialność: Klient

AM-6: Używanie tylko zatwierdzonych aplikacji w zasobach obliczeniowych

Wskazówki: korzystanie ze spisu maszyn wirtualnych platformy Azure automatyzuje zbieranie informacji o całym oprogramowaniu na maszynach wirtualnych. Azure Portal udostępnia następujące elementy:

  • Nazwa oprogramowania
  • Wersja
  • Publisher
  • Czas odświeżania

Aby uzyskać dostęp do daty instalacji i innych informacji, włącz diagnostykę na poziomie gościa. Następnie przełącz dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

Odpowiedzialność: Klient

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie wykrywania zagrożeń dla zasobów platformy Azure

Wskazówki: użyj wbudowanej funkcji wykrywania zagrożeń w usłudze Microsoft Defender for Cloud. Włącz usługę Microsoft Defender dla zasobów usługi Azure Spring Cloud Service. Usługa Microsoft Defender for Azure Spring Cloud Service zapewnia kolejną warstwę analizy zabezpieczeń. Ta warstwa wykrywa nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do zasobów usługi Azure Spring Cloud Service lub wykorzystania ich.

Przekaż wszystkie dzienniki z usługi Azure Spring Cloud Service do rozwiązania SIEM, aby można było skonfigurować niestandardowe wykrywanie zagrożeń. Monitoruj różne typy zasobów platformy Azure pod kątem potencjalnych zagrożeń i anomalii. Skoncentruj się na uzyskiwaniu alertów wysokiej jakości, więc analitycy nie muszą sortować tak wielu wyników fałszywie dodatnich. Alerty można tworzyć na podstawie danych dziennika, agentów lub innych danych.

Odpowiedzialność: Klient

LT-2: Włącz wykrywanie zagrożeń na potrzeby zarządzania tożsamościami i dostępem na platformie Azure

Wskazówki: Usługa Azure Active Directory (Azure AD) udostępnia następujące dzienniki użytkowników:

  • Logowania. Raport logowania zawiera informacje o użyciu zarządzanych aplikacji i działań logowania użytkowników.

  • Dzienniki inspekcji. Dzienniki inspekcji zapewniają możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian, które różne funkcje są wprowadzane w ramach Azure AD. Przykłady obejmują zmiany wprowadzone w zasobach w ramach Azure AD, takie jak dodawanie lub usuwanie:

    • Użytkownicy
    • Apps
    • Grupy
    • Role
    • Zasady
  • Ryzykowne logowania. Ryzykowne logowanie wskazuje na próbę logowania, która mogła zostać podjęta przez osobę, która nie jest uprawnionym właścicielem konta użytkownika.

  • Użytkownicy oflagowani pod kątem ryzyka. Ryzykowny użytkownik wskazuje konto użytkownika, które mogło zostać naruszone.

Te dzienniki można wyświetlić w raportach Azure AD. Aby uzyskać bardziej zaawansowane przypadki użycia monitorowania i analizy, można zintegrować dzienniki z:

  • Monitor
  • Microsoft Sentinel
  • Inne narzędzia SIEM/monitorowanie

Usługa Microsoft Defender dla Chmury może również wyzwalać alerty dotyczące niektórych podejrzanych działań. Te działania obejmują nadmierną liczbę nieudanych prób uwierzytelnienia lub przestarzałych kont w subskrypcji. Oprócz podstawowego monitorowania higieny zabezpieczeń moduł ochrony przed zagrożeniami w usłudze Microsoft Defender for Cloud może również zbierać szczegółowe alerty zabezpieczeń od poszczególnych użytkowników:

  • Zasoby obliczeniowe platformy Azure (maszyny wirtualne, kontenery i usługa App Service)
  • Zasoby danych (baza danych SQL i magazyn)
  • Warstwy usług platformy Azure

Ta funkcja umożliwia wyświetlanie anomalii kont w ramach pojedynczych zasobów.

Odpowiedzialność: Klient

LT-3: Włączanie rejestrowania działań sieci platformy Azure

Wskazówki: Na potrzeby analizy zabezpieczeń włącz i zbierz dzienniki dla:

  • Zasoby sieciowej grupy zabezpieczeń
  • Przepływy sieciowej grupy zabezpieczeń
  • Azure Firewall
  • Zapora aplikacji internetowej

Użyj tych dzienników do obsługi:

  • Badania incydentów
  • Wyszukiwanie zagrożeń
  • Generowanie alertów zabezpieczeń

Wysyłanie dzienników przepływu do obszaru roboczego usługi Log Analytics w monitorze. Następnie użyj analizy ruchu, aby uzyskać szczegółowe informacje.

Usługa Azure Spring Cloud Service rejestruje cały ruch sieciowy, który przetwarza na potrzeby dostępu klientów. Włącz możliwość przepływu sieci w ramach wdrożonych zasobów oferty.

Zbierz dzienniki zapytań DNS, aby pomóc skorelować inne dane sieciowe. Zgodnie z potrzebami organizacji zaimplementuj rozwiązanie innej firmy z Azure Marketplace na potrzeby rejestrowania DNS.

Odpowiedzialność: Klient

LT-4: Włącz rejestrowanie zasobów platformy Azure

Wskazówka: Dzienniki aktywności zawierają wszystkie operacje zapisu (PUT, POST i DELETE) dla zasobów usługi Azure Spring Cloud Service. Dzienniki aktywności są dostępne automatycznie, ale nie zawierają operacji odczytu (GET). Dzienniki aktywności umożliwiają znalezienie błędu podczas rozwiązywania problemów. Możesz też użyć dzienników, aby monitorować, jak użytkownik w organizacji zmodyfikował zasób.

Włącz dzienniki zasobów platformy Azure dla usługi Azure Spring Cloud Service. Użyj usługi Microsoft Defender for Cloud i Azure Policy, aby włączyć zbieranie dzienników zasobów i danych dzienników. Te dzienniki mogą mieć kluczowe znaczenie dla badania zdarzeń zabezpieczeń i wykonywania ćwiczeń kryminalistycznych.

Usługa Azure Spring Cloud Service tworzy również dzienniki inspekcji zabezpieczeń dla kont administratorów lokalnych. Włącz te dzienniki inspekcji administratora lokalnego.

Odpowiedzialność: Klient

LT-7: Użyj zatwierdzonych źródeł synchronizacji czasu

Wskazówki: Nie dotyczy; Usługa Azure Spring Cloud Service nie obsługuje konfigurowania własnych źródeł synchronizacji czasu.

Usługa Azure Spring Cloud Service korzysta ze źródeł synchronizacji czasu firmy Microsoft. Nie jest ona widoczna dla klientów na potrzeby konfiguracji.

Odpowiedzialność: Microsoft

Reagowanie na zdarzenia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: reagowanie na zdarzenia.

IR-1: Przygotowanie — aktualizowanie procesu reagowania na zdarzenia na platformie Azure

Wskazówki: Upewnij się, że Twoja organizacja:

  • Ma procesy reagowania na zdarzenia związane z bezpieczeństwem.
  • Zaktualizował te procesy dla platformy Azure.
  • Regularnie wykonuje procesy, aby zapewnić gotowość.

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

IR-2: Przygotowanie — konfigurowanie powiadomienia o zdarzeniu

Wskazówka: Konfigurowanie informacji kontaktowych dotyczących zdarzeń zabezpieczeń w usłudze Microsoft Defender dla Chmury. Co zrobić, jeśli centrum microsoft Security Response Center (MSRC) wykryje bezprawną lub nieautoryzowaną osobę, która uzyskuje dostęp do Twoich danych? Następnie firma Microsoft używa tych informacji kontaktowych do kontaktowania się z Tobą. W zależności od potrzeb związanych z reagowaniem na zdarzenia można dostosować alerty i powiadomienia o zdarzeniu w różnych usługach platformy Azure.

Odpowiedzialność: Klient

IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości

Wskazówki: tworzenie alertów wysokiej jakości i mierzenie jakości alertów. Ta praktyka pozwala wyciągnąć wnioski z poprzednich zdarzeń. Następnie możesz skupić się na alertach dla analityków, aby nie tracić czasu na wyniki fałszywie dodatnie.

Łącząc i korelując różne źródła sygnałów, można tworzyć alerty wysokiej jakości na podstawie:

  • Doświadczenie z przeszłych zdarzeń.
  • Zweryfikowane źródła społeczności.
  • Narzędzia przeznaczone do generowania i czyszczenia alertów.

Usługa Microsoft Defender for Cloud udostępnia alerty wysokiej jakości w wielu zasobach platformy Azure. Łącznik danych usługi Microsoft Defender for Cloud umożliwia przesyłanie strumieniowe alertów do usługi Microsoft Sentinel. Aby automatycznie generować zdarzenia na potrzeby badania, usługa Microsoft Sentinel umożliwia tworzenie zaawansowanych reguł alertów.

Aby ułatwić identyfikowanie zagrożeń dla zasobów platformy Azure, wyeksportuj alerty i zalecenia usługi Microsoft Defender for Cloud przy użyciu funkcji eksportowania. Ręcznie wyeksportuj alerty i zalecenia. Lub eksportuj w ciągły, ciągły sposób.

Odpowiedzialność: Klient

IR-4: Wykrywanie i analiza — badanie zdarzenia

Wskazówka: Upewnij się, że analitycy mogą wykonywać zapytania dotyczące różnych źródeł danych i korzystać z nich podczas badania potencjalnych zdarzeń. Następnie analitycy mogą utworzyć pełny widok tego, co się stało. Aby uniknąć niewykrytych problemów, zbierz różne dzienniki, aby śledzić działania potencjalnego atakującego w łańcuchu zabić. Przechwyć szczegółowe informacje i informacje dotyczące innych analityków oraz przyszłe informacje historyczne.

Źródła danych do badania obejmują scentralizowane źródła rejestrowania, które są już zbierane z usług w zakresie i uruchomionych systemów. Źródła danych mogą również obejmować:

  • Dane sieciowe. Aby przechwycić dzienniki przepływu sieci i inne informacje analityczne, użyj:

    • Dzienniki przepływów sieciowych grup zabezpieczeń
    • Azure Network Watcher
    • Monitor
  • Migawki uruchomionych systemów:

    • Użyj funkcji migawek maszyny wirtualnej platformy Azure, aby utworzyć migawkę dysku działającego systemu.

    • Użyj natywnej możliwości zrzutu pamięci systemu operacyjnego, aby utworzyć migawkę pamięci uruchomionego systemu.

    • Użyj funkcji migawki w ramach usług platformy Azure lub w ramach własnego oprogramowania, aby utworzyć migawki uruchomionych systemów.

Usługa Microsoft Sentinel zapewnia obszerną analizę danych w praktycznie dowolnym źródle dziennika. Udostępnia portal zarządzania przypadkami umożliwiający zarządzanie pełnym cyklem życia zdarzeń. Do celów śledzenia i raportowania należy skojarzyć informacje wywiadowcze podczas badania z incydentem.

Odpowiedzialność: Klient

IR-5: Wykrywanie i analiza — skupienie się na zdarzeniach

Wskazówki: na podstawie ważności alertu i poufności zasobów podaj kontekst dla analityków, na których zdarzenia należy skupić się na pierwszym miejscu.

Usługa Microsoft Defender for Cloud przypisuje ważność do każdego alertu. Ta ważność pomaga podkreślić, które alerty powinny być badane jako pierwsze. Ważność jest oparta na:

  • Jak pewna siebie usługa Microsoft Defender for Cloud znajduje się w znalezieniu.
  • Jak pewna pewność, że usługa Microsoft Defender dla chmury znajduje się w analizie, która została użyta do wystawienia alertu.
  • Poziom pewności, że istnieje złośliwa intencja działania, która doprowadziła do alertu.

Oznaczanie zasobów przy użyciu tagów. Utwórz system nazewnictwa do identyfikowania i kategoryzowania zasobów platformy Azure, zwłaszcza zasobów, które przetwarzają poufne dane. Odpowiadasz za skupienie się na korygowaniu alertów w oparciu o krytyczne znaczenie zasobów platformy Azure i środowiska, w którym wystąpiło zdarzenie.

Odpowiedzialność: Klient

IR-6: Zawieranie, eliminowanie i odzyskiwanie — automatyzowanie obsługi zdarzeń

Wskazówka: Automatyzuj ręczne powtarzające się zadania w celu przyspieszenia czasu reakcji i zmniejszenia obciążenia dla analityków. Zadania ręczne:

  • Wykonanie trwa dłużej.
  • Spowalnia postęp każdego zdarzenia.
  • Zmniejsza liczbę zdarzeń, które może obsłużyć analityk.

Zadania ręczne zwiększają również zmęczenie analityków, co zwiększa ryzyko błędu ludzkiego, który powoduje opóźnienia. Zmęczenie obniża zdolność analityków do efektywnego skupienia się na złożonych zadaniach.

Użyj funkcji automatyzacji przepływu pracy w usłudze Microsoft Defender dla chmury i usługi Microsoft Sentinel, aby automatycznie wyzwalać akcje. Możesz też użyć tych funkcji, aby uruchomić podręcznik, który odpowiada na przychodzące alerty zabezpieczeń. Podręcznik wykonuje akcje, takie jak:

  • Wysyłanie powiadomień
  • Wyłączanie kont
  • Izolowanie problematycznych sieci

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

Stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: stan zabezpieczeń i zarządzanie lukami w zabezpieczeniach.

PV-3: Ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Wskazówki: Użyj usługi Microsoft Defender dla chmury i Azure Policy, aby ustanowić bezpieczne konfiguracje we wszystkich zasobach obliczeniowych. Te zasoby obejmują maszyny wirtualne, kontenery i inne.

Odpowiedzialność: Klient

PV-6: Tworzenie ocen luk w zabezpieczeniach oprogramowania

Wskazówki: Nie dotyczy; Firma Microsoft zarządza lukami w zabezpieczeniach w systemach bazowych, które obsługują usługę Azure Spring Cloud Service.

Odpowiedzialność: Microsoft

SL-7: szybkie i automatyczne korygowanie luk w zabezpieczeniach oprogramowania

Wskazówki: W przypadku oprogramowania innej firmy należy użyć rozwiązania do zarządzania poprawkami innych firm. Możesz też użyć programu System Center Aktualizacje Publisher dla Configuration Manager.

Odpowiedzialność: Klient

PV-8: Przeprowadzanie regularnej symulacji ataków

Wskazówki: W razie potrzeby przeprowadź testy penetracyjne lub działania zespołu czerwonego na zasobach platformy Azure. Upewnij się, że korygowanie wszystkich krytycznych ustaleń dotyczących zabezpieczeń.

Aby upewnić się, że testy penetracyjne nie naruszają zasad firmy Microsoft, postępuj zgodnie z zasadami testowania penetracyjnego w chmurze firmy Microsoft. Użyj strategii firmy Microsoft i wykonania testów penetracyjnych red teaming i na żywo witryn zarządzanych przez firmę Microsoft:

  • Infrastruktura chmury
  • Usługi
  • Aplikacje

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

Kopia zapasowa i odzyskiwanie

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: tworzenie i przywracanie kopii zapasowych.

BR-4: Zmniejszanie ryzyka utraty kluczy

Wskazówki: mają środki, aby zapobiec utracie kluczy i odzyskać je. Aby chronić klucze przed przypadkowym lub złośliwym usunięciem, włącz ochronę przed usuwaniem nietrwałym i przeczyszczanie w Key Vault.

Odpowiedzialność: Klient

Ład i strategia

Aby uzyskać więcej informacji, zobacz Test porównawczy platformy Azure: ład i strategia.

GS-1: Definiowanie strategii zarządzania elementami zawartości i ochrony danych

Wskazówki: Dokumentowanie i przekazywanie jasnej strategii ciągłego monitorowania i ochrony systemów i danych. W przypadku danych i systemów krytycznych dla działania firmy skoncentruj się na:

  • Odnajdywanie
  • Ocena
  • Ochrona
  • Monitorowanie

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Standard klasyfikacji danych zgodny z ryzykiem biznesowym

  • Wgląd organizacji zabezpieczeń w czynniki ryzyka i spis elementów zawartości

  • Zatwierdzenie przez organizację zabezpieczeń usług platformy Azure do użycia

  • Bezpieczeństwo elementów zawartości w całym cyklu życia

  • Wymagana strategia kontroli dostępu zgodna z klasyfikacją danych organizacji

  • Korzystanie z natywnych i zewnętrznych funkcji ochrony danych platformy Azure

  • Wymagania dotyczące szyfrowania danych dla przypadków użycia w trakcie przesyłania i w czasie spoczynku

  • Odpowiednie standardy kryptograficzne

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

GS-2: Definiowanie strategii segmentacji przedsiębiorstwa

Wskazówki: Ustanów strategię dla całego przedsiębiorstwa na potrzeby segmentowania dostępu do zasobów przy użyciu kombinacji:

  • Tożsamość
  • Sieć
  • Aplikacja
  • Subskrypcja
  • Grupa zarządzania
  • Inne kontrolki

Starannie zrównoważyć:

  • Potrzeba separacji zabezpieczeń.
  • Potrzeba włączenia codziennego działania systemów, które komunikują się i uzyskują dostęp do danych.

Zaimplementuj strategię segmentacji spójnie w różnych typach kontrolek, w tym:

  • Bezpieczeństwo sieci
  • Modele tożsamości i dostępu
  • Modele uprawnień i dostępu do aplikacji
  • Kontrolki procesów ludzkich

Aby uzyskać więcej informacji, zobacz następujące linki:

Odpowiedzialność: Klient

GS-3: Definiowanie strategii zarządzania stanem zabezpieczeń

Wskazówki: Ciągłe mierzenie i ograniczanie ryzyka dla poszczególnych zasobów i środowiska, w których są hostowane. Skoncentruj się na zasobach o wysokiej wartości i wysoce narażonych powierzchniach ataków, takich jak:

  • Opublikowane aplikacje
  • Punkty ruchu przychodzącego i wychodzącego sieci
  • Punkty końcowe użytkowników i administratorów

Aby uzyskać więcej informacji, przeczytaj następujący artykuł:

Odpowiedzialność: Klient

GS-4: Dopasuj role organizacji, obowiązki i odpowiedzialność

Wskazówki: Dokumentowanie i przekazywanie jasnej strategii ról i obowiązków w organizacji zabezpieczeń. Podkreślić:

  • Zapewnienie jasnej odpowiedzialności za decyzje dotyczące zabezpieczeń.
  • Edukowanie wszystkich osób w modelu wspólnej odpowiedzialności.
  • Edukowanie zespołów technicznych w zakresie technologii w celu zabezpieczenia chmury.

Aby uzyskać więcej informacji, przeczytaj następujące artykuły:

Odpowiedzialność: Klient

GS-5: Definiowanie strategii zabezpieczeń sieci

Wskazówki: ustanawianie podejścia do zabezpieczeń sieci platformy Azure. Aby to podejście było częścią ogólnej strategii organizacji w zakresie kontroli dostępu do zabezpieczeń,

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Scentralizowane zarządzanie siecią i odpowiedzialność w zakresie zabezpieczeń

  • Model segmentacji sieci wirtualnej zgodny ze strategią segmentacji przedsiębiorstwa

  • Strategia korygowania w różnych scenariuszach zagrożeń i ataków

  • Strategia brzegowa, ruchu przychodzącego i wychodzącego w Internecie

  • Strategia międzyłączności w chmurze hybrydowej i środowisku lokalnym

  • Aktualne artefakty zabezpieczeń sieci, takie jak diagramy sieciowe i architektura sieci referencyjnej

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

GS-6: Definiowanie strategii dotyczącej tożsamości i dostępu uprzywilejowanego

Wskazówki: ustanawianie podejścia do tożsamości platformy Azure i dostępu uprzywilejowanego. Ustaw te elementy jako część ogólnej strategii organizacji na potrzeby kontroli dostępu do zabezpieczeń.

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Scentralizowany system tożsamości i uwierzytelniania oraz jego współdziałanie z innymi wewnętrznymi i zewnętrznymi systemami tożsamości

  • Metody silnego uwierzytelniania w różnych przypadkach użycia i warunkach

  • Ochrona użytkowników z wysokim poziomem uprawnień

  • Monitorowanie i obsługa nietypowych działań użytkownika

  • Przegląd tożsamości i dostępu użytkownika oraz proces uzgadniania

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

GS-7: Definiowanie strategii rejestrowania i reagowania na zagrożenia

Wskazówki: Aby szybko wykrywać i korygować zagrożenia podczas spełniania wymagań dotyczących zgodności, ustanów strategię rejestrowania i reagowania na zagrożenia. Skoncentruj się na udostępnianiu analitykom wysokiej jakości alertów i bezproblemowych środowisk. Następnie analitycy mogą skupić się na zagrożeniach zamiast integracji i ręcznych kroków.

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Rola i obowiązki organizacji operacji zabezpieczeń (SecOps)

  • Dobrze zdefiniowany proces reagowania na zdarzenia, który jest zgodny z ramami branżowymi, takimi jak National Institute of Standards and Technology (NIST)

  • Rejestrowanie przechwytywania i przechowywania w celu obsługi:

    • Wykrywanie zagrożeń
    • Reagowanie na zdarzenia
    • Wymagania dotyczące zgodności
  • Scentralizowany wgląd w informacje o zagrożeniach i korelacji przy użyciu następujących elementów:

    • SIEM
    • Natywne możliwości platformy Azure
    • Inne źródła
  • Plan komunikacji i powiadomień za pomocą:

    • Klienci
    • Suppliers
    • Zainteresowane strony publiczne
  • Korzystanie z platformy Azure natywnych i innych firm do obsługi zdarzeń, takich jak:

    • Rejestrowanie i wykrywanie zagrożeń
    • Forensics
    • Korygowanie i eliminowanie ataków
  • Procesy obsługi zdarzeń i działań po zdarzeniu, takie jak zdobyte doświadczenia i przechowywanie dowodów

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

GS-8: Definiowanie strategii tworzenia kopii zapasowych i odzyskiwania

Wskazówki: Ustanów strategię tworzenia i odzyskiwania kopii zapasowych platformy Azure dla organizacji.

Ta strategia powinna obejmować udokumentowane wskazówki, zasady i standardy dla następujących elementów:

  • Definicje celu czasu odzyskiwania (RTO) i celu punktu odzyskiwania (RPO), które są zgodne z celami odporności biznesowej

  • Projekt nadmiarowości w aplikacjach i konfiguracji infrastruktury

  • Ochrona kopii zapasowych przy użyciu kontroli dostępu i szyfrowania danych

Aby uzyskać więcej informacji, zapoznaj się z następującymi dokumentami:

Odpowiedzialność: Klient

Następne kroki