Kontrola zabezpieczeń: Bezpieczna konfiguracja
Uwaga
Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.
Ustanów, zaimplementuj i aktywnie zarządzaj (śledzenie, raportowanie, poprawianie) konfiguracji zabezpieczeń zasobów platformy Azure, aby zapobiec wykorzystaniu przez osoby atakujące luk w zabezpieczeniach usług i ustawień.
7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.1 | 5,1 | Klient |
Użyj aliasów Azure Policy, aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji zasobów platformy Azure. Możesz również użyć wbudowanych definicji Azure Policy.
Ponadto usługa Azure Resource Manager ma możliwość eksportowania szablonu w formacie JavaScript Object Notation (JSON), który należy przejrzeć, aby upewnić się, że konfiguracje spełniają/przekraczają wymagania dotyczące zabezpieczeń dla organizacji.
Możesz również użyć rekomendacji z Azure Security Center jako bezpiecznej konfiguracji odniesienia dla zasobów platformy Azure.
Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności
Eksportowanie pojedynczego i wielosóbowego do szablonu w Azure Portal
7.2: Ustanawianie bezpiecznych konfiguracji systemu operacyjnego
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.2 | 5,1 | Klient |
Użyj Azure Security Center zaleceń, aby zachować konfiguracje zabezpieczeń na wszystkich zasobach obliczeniowych. Ponadto można użyć niestandardowych obrazów systemu operacyjnego lub konfiguracji stanu Azure Automation do ustanowienia konfiguracji zabezpieczeń systemu operacyjnego wymaganego przez organizację.
7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.3 | 5.2 | Klient |
Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure. Ponadto możesz użyć szablonów usługi Azure Resource Manager do utrzymania konfiguracji zabezpieczeń zasobów platformy Azure wymaganych przez organizację.
7.4: Obsługa bezpiecznych konfiguracji systemu operacyjnego
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7,4 | 5.2 | Udostępniona |
Postępuj zgodnie z zaleceniami Azure Security Center dotyczącymi przeprowadzania ocen luk w zabezpieczeniach w zasobach obliczeniowych platformy Azure. Ponadto możesz użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub konfiguracji stanu Azure Automation, aby zachować konfigurację zabezpieczeń systemu operacyjnego wymaganego przez organizację. Szablony maszyn wirtualnych firmy Microsoft połączone z Azure Automation Desired State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.
Należy również pamiętać, że Azure Marketplace obrazy maszyn wirtualnych opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.
Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach Azure Security Center
Jak utworzyć maszynę wirtualną platformy Azure na podstawie szablonu usługi Azure Resource Manager
Tworzenie maszyny wirtualnej z systemem Windows w Azure Portal
7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7,5 | 5.3 | Klient |
Usługa Azure DevOps umożliwia bezpieczne przechowywanie kodu, takiego jak niestandardowe zasady platformy Azure, szablony usługi Azure Resource Manager i skrypty Desired State Configuration oraz zarządzanie nim. Aby uzyskać dostęp do zasobów zarządzanych w usłudze Azure DevOps, możesz udzielić lub odmówić uprawnień określonym użytkownikom, wbudowanym grupom zabezpieczeń lub grupom zdefiniowanym w usłudze Azure Active Directory (Azure AD), jeśli są zintegrowane z usługą Azure DevOps lub Active Directory, jeśli są zintegrowane z programem TFS.
7.6: Bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.6 | 5.3 | Klient |
W przypadku korzystania z obrazów niestandardowych użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zapewnić, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do obrazów. Za pomocą Shared Image Gallery możesz udostępniać obrazy różnym użytkownikom, jednostkom usługi lub grupom usługi AD w organizacji. W przypadku obrazów kontenerów przechowuj je w Azure Container Registry i korzystaj z kontroli dostępu opartej na rolach platformy Azure, aby zapewnić, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do obrazów.
Omówienie kontroli dostępu opartej na rolach platformy Azure
Omówienie kontroli dostępu opartej na rolach platformy Azure dla usługi Container Registry
Jak skonfigurować kontrolę dostępu opartą na rolach platformy Azure
7.7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.7 | 5.4 | Klient |
Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów platformy Azure przy użyciu Azure Policy. Użyj aliasów Azure Policy, aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji sieci zasobów platformy Azure. Możesz również korzystać z wbudowanych definicji zasad związanych z konkretnymi zasobami. Ponadto można użyć Azure Automation do wdrożenia zmian konfiguracji.
7.8: Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7,8 | 5.4 | Klient |
Azure Automation State Configuration to usługa zarządzania konfiguracją dla węzłów Desired State Configuration (DSC) w dowolnym centrum danych w chmurze lub lokalnym centrum danych. Możesz łatwo dołączać maszyny, przypisywać je konfiguracje deklaratywne i wyświetlać raporty przedstawiające zgodność poszczególnych maszyn z określonym stanem.
7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7,9 | 5,5 | Klient |
Użyj Azure Security Center do przeprowadzania skanowania linii bazowej dla zasobów platformy Azure. Ponadto użyj Azure Policy, aby wysyłać alerty i przeprowadzać inspekcję konfiguracji zasobów platformy Azure.
7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.10 | 5,5 | Klient |
Użyj Azure Security Center do przeprowadzania skanowania linii bazowej dla systemu operacyjnego i ustawień platformy Docker dla kontenerów.
7.11: Bezpieczne zarządzanie wpisami tajnymi platformy Azure
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.11 | 13,1 | Klient |
Użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć zarządzanie wpisami tajnymi dla aplikacji w chmurze.
7.12: Bezpieczne i automatyczne zarządzanie tożsamościami
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.12 | 4.1 | Klient |
Użyj tożsamości zarządzanych, aby zapewnić usługom platformy Azure automatyczną tożsamość zarządzaną w Azure AD. Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault, bez poświadczeń w kodzie.
7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń
Identyfikator platformy Azure | Identyfikatory CIS | Odpowiedzialność |
---|---|---|
7.13 | 18.1, 18.7 | Klient |
Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń ułatwia również przenoszenie odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.
Następne kroki
- Zobacz następną kontrolę zabezpieczeń: ochrona przed złośliwym oprogramowaniem