Kontrola zabezpieczeń: Bezpieczna konfiguracja

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Ustanów, zaimplementuj i aktywnie zarządzaj (śledzenie, raportowanie, poprawianie) konfiguracji zabezpieczeń zasobów platformy Azure, aby zapobiec wykorzystaniu przez osoby atakujące luk w zabezpieczeniach usług i ustawień.

7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.1	5,1	Klient

Użyj aliasów Azure Policy, aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji zasobów platformy Azure. Możesz również użyć wbudowanych definicji Azure Policy.

Ponadto usługa Azure Resource Manager ma możliwość eksportowania szablonu w formacie JavaScript Object Notation (JSON), który należy przejrzeć, aby upewnić się, że konfiguracje spełniają/przekraczają wymagania dotyczące zabezpieczeń dla organizacji.

Możesz również użyć rekomendacji z Azure Security Center jako bezpiecznej konfiguracji odniesienia dla zasobów platformy Azure.

• Jak wyświetlić dostępne aliasy Azure Policy

• Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

• Eksportowanie pojedynczego i wielosóbowego do szablonu w Azure Portal

• Zalecenia dotyczące zabezpieczeń — przewodnik referencyjny

7.2: Ustanawianie bezpiecznych konfiguracji systemu operacyjnego

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.2	5,1	Klient

Użyj Azure Security Center zaleceń, aby zachować konfiguracje zabezpieczeń na wszystkich zasobach obliczeniowych. Ponadto można użyć niestandardowych obrazów systemu operacyjnego lub konfiguracji stanu Azure Automation do ustanowienia konfiguracji zabezpieczeń systemu operacyjnego wymaganego przez organizację.

• Jak monitorować zalecenia dotyczące Azure Security Center

• Zalecenia dotyczące zabezpieczeń — przewodnik referencyjny

• Omówienie Azure Automation State Configuration

• Przekazywanie wirtualnego dysku twardego i używanie go do tworzenia nowych maszyn wirtualnych z systemem Windows na platformie Azure

• Tworzenie maszyny wirtualnej z systemem Linux na podstawie dysku niestandardowego przy użyciu interfejsu wiersza polecenia platformy Azure

7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.3	5.2	Klient

Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure. Ponadto możesz użyć szablonów usługi Azure Resource Manager do utrzymania konfiguracji zabezpieczeń zasobów platformy Azure wymaganych przez organizację.

• Omówienie efektów usługi Azure Policy

• Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

• Omówienie szablonów usługi Azure Resource Manager

7.4: Obsługa bezpiecznych konfiguracji systemu operacyjnego

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7,4	5.2	Udostępniona

Postępuj zgodnie z zaleceniami Azure Security Center dotyczącymi przeprowadzania ocen luk w zabezpieczeniach w zasobach obliczeniowych platformy Azure. Ponadto możesz użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub konfiguracji stanu Azure Automation, aby zachować konfigurację zabezpieczeń systemu operacyjnego wymaganego przez organizację. Szablony maszyn wirtualnych firmy Microsoft połączone z Azure Automation Desired State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.

Należy również pamiętać, że Azure Marketplace obrazy maszyn wirtualnych opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.

• Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach Azure Security Center

• Jak utworzyć maszynę wirtualną platformy Azure na podstawie szablonu usługi Azure Resource Manager

• Omówienie Azure Automation State Configuration

• Tworzenie maszyny wirtualnej z systemem Windows w Azure Portal

• Informacje na temat pobierania szablonu maszyny wirtualnej

• Przykładowy skrypt do przekazania wirtualnego dysku twardego na platformę Azure i utworzenia nowej maszyny wirtualnej

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7,5	5.3	Klient

Usługa Azure DevOps umożliwia bezpieczne przechowywanie kodu, takiego jak niestandardowe zasady platformy Azure, szablony usługi Azure Resource Manager i skrypty Desired State Configuration oraz zarządzanie nim. Aby uzyskać dostęp do zasobów zarządzanych w usłudze Azure DevOps, możesz udzielić lub odmówić uprawnień określonym użytkownikom, wbudowanym grupom zabezpieczeń lub grupom zdefiniowanym w usłudze Azure Active Directory (Azure AD), jeśli są zintegrowane z usługą Azure DevOps lub Active Directory, jeśli są zintegrowane z programem TFS.

• Jak przechowywać kod w usłudze Azure DevOps

• Informacje o uprawnieniach i grupach w usłudze Azure DevOps

7.6: Bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.6	5.3	Klient

W przypadku korzystania z obrazów niestandardowych użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zapewnić, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do obrazów. Za pomocą Shared Image Gallery możesz udostępniać obrazy różnym użytkownikom, jednostkom usługi lub grupom usługi AD w organizacji. W przypadku obrazów kontenerów przechowuj je w Azure Container Registry i korzystaj z kontroli dostępu opartej na rolach platformy Azure, aby zapewnić, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do obrazów.

• Omówienie kontroli dostępu opartej na rolach platformy Azure

• Omówienie kontroli dostępu opartej na rolach platformy Azure dla usługi Container Registry

• Jak skonfigurować kontrolę dostępu opartą na rolach platformy Azure

• omówienie Shared Image Gallery

7.7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.7	5.4	Klient

Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów platformy Azure przy użyciu Azure Policy. Użyj aliasów Azure Policy, aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji sieci zasobów platformy Azure. Możesz również korzystać z wbudowanych definicji zasad związanych z konkretnymi zasobami. Ponadto można użyć Azure Automation do wdrożenia zmian konfiguracji.

• Jak skonfigurować usługę Azure Policy i zarządzać nią

• Jak używać aliasów

7.8: Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7,8	5.4	Klient

Azure Automation State Configuration to usługa zarządzania konfiguracją dla węzłów Desired State Configuration (DSC) w dowolnym centrum danych w chmurze lub lokalnym centrum danych. Możesz łatwo dołączać maszyny, przypisywać je konfiguracje deklaratywne i wyświetlać raporty przedstawiające zgodność poszczególnych maszyn z określonym stanem.

• Dołączanie maszyn do zarządzania przez Azure Automation State Configuration

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7,9	5,5	Klient

Użyj Azure Security Center do przeprowadzania skanowania linii bazowej dla zasobów platformy Azure. Ponadto użyj Azure Policy, aby wysyłać alerty i przeprowadzać inspekcję konfiguracji zasobów platformy Azure.

• Jak skorygować zalecenia w Azure Security Center

7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.10	5,5	Klient

Użyj Azure Security Center do przeprowadzania skanowania linii bazowej dla systemu operacyjnego i ustawień platformy Docker dla kontenerów.

• Omówienie rekomendacji dotyczących kontenera usługi Azure Security Center

7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.11	13,1	Klient

Użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć zarządzanie wpisami tajnymi dla aplikacji w chmurze.

• Jak zintegrować z tożsamościami zarządzanymi platformy Azure

• Jak utworzyć Key Vault

• Jak uwierzytelniać się w usłudze Key Vault

• Jak przypisać zasady dostępu Key Vault

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.12	4.1	Klient

Użyj tożsamości zarządzanych, aby zapewnić usługom platformy Azure automatyczną tożsamość zarządzaną w Azure AD. Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault, bez poświadczeń w kodzie.

• Jak skonfigurować tożsamości zarządzane

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Identyfikator platformy Azure	Identyfikatory CIS	Odpowiedzialność
7.13	18.1, 18.7	Klient

Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

• Jak skonfigurować skaner poświadczeń

Następne kroki

• Zobacz następną kontrolę zabezpieczeń: ochrona przed złośliwym oprogramowaniem