Zarządzanie, ryzyko i zgodnośćGovernance, risk, and compliance

Organizacje wszystkich rozmiarów są ograniczone przez ich dostępne zasoby; Finanse, osoby i czas.Organizations of all sizes are constrained by their available resources; financial, people, and time. Aby osiągnąć skuteczną zwrot w organizacjach z inwestycji, należy określić priorytety, gdzie będą inwestowane.To achieve an effective return on investment (ROI) organizations must prioritize where they will invest. Wdrożenie zabezpieczeń w całej organizacji jest również ograniczone przez ten sposób, więc w celu osiągnięcia odpowiedniego zwrotu z inwestycji organizacja musi najpierw zrozumieć i zdefiniować swoje priorytety bezpieczeństwa.Implementation of security across the organization is also constrained by this, so to achieve an appropriate ROI on security the organization needs to first understand and define its security priorities.

Zarządzanie — w jaki sposób zabezpieczenia organizacji będą monitorowane, poddawane inspekcji i raportowane?Governance – How is the organization’s security going to be monitored, audited, and reported? Projektowanie i implementacja kontroli zabezpieczeń w organizacji to tylko początek wątku.Design and implementation of security controls within an organization is only the beginning of the story. Jak organizacja wie, że elementy w rzeczywistości działają?How does the organization know that things are actually working? Czy są one ulepszane?Are they improving? Czy istnieją nowe wymagania?Are there new requirements? Czy istnieje raportowanie obowiązkowe?Is there mandatory reporting? Podobnie jak w przypadku zgodności z przepisami może istnieć zewnętrzna branża, rządowa lub zgodna ze standardami.Similar to compliance there may be external industry, government or regulatory standards that need to be considered.

Ryzyko — jakie rodzaje ryzyka są narażone na działanie organizacji, próbując chronić identyfikowalne informacje, własność intelektualną (IP), informacje finansowe?Risk – What types of risks does the organization face while trying to protect identifiable information, Intellectual Property (IP), financial information? Kto może być zainteresowany lub może wykorzystać te informacje w przypadku kradzieży, w tym zagrożenia zewnętrzne i wewnętrzne, jak również niezamierzone lub złośliwe?Who may be interested or could leverage this information if stolen, including external and internal threats as well as unintentional or malicious? Często zapominane, ale szczególnie ważne zagadnienie w ramach ryzyka, odnoszące się do odzyskiwania po awarii i ciągłości działania firmy.A commonly forgotten but extremely important consideration within risk is addressing Disaster Recovery and Business Continuity.

Zgodność — czy istnieją określone wymagania branżowe, rządowe lub prawne, które wymuszają lub zapewniają zalecenia dotyczące kryteriów, które muszą spełniać kontrola zabezpieczeń w organizacji?Compliance – Are there specific industry, government, or regulatory requirements that dictate or provide recommendation on criteria that your organization’s security controls must meet? Przykłady takich standardów, organizacji, kontroli i ustawodawstwa to ISO27001, NIST, PCI-DSS.Examples of such standards, organizations, controls, and legislation are ISO27001, NIST, PCI-DSS.

Zbiorową rolą organizacji jest zarządzanie standardami zabezpieczeń organizacji w ramach cyklu życia:The collective role of organization(s) is to manage the security standards of the organization through their lifecycle:

  • Definiowanie — Ustawianie standardów i zasad organizacyjnych dla praktyk, technologii i konfiguracji w oparciu o wewnętrzne czynniki (Kultura organizacyjna, akceptowalnego poziomu ryzyka, wycenie zasobów, inicjatywy biznesowe itp.) oraz zewnętrzne czynniki (testy porównawcze, standardy prawne, środowisko zagrożenia i inne)Define - Set organizational standards and policies for practices, technologies, and configurations based on internal factors (organizational culture, risk appetite, asset valuation, business initiatives, etc.) and external factors (benchmarks, regulatory standards, threat environment, and more)

  • Poprawa — nieustanne wypychanie tych standardów do stanu idealnego, aby zapewnić ciągłość zmniejszania ryzyka.Improve – Continually push these standards incrementally forward towards the ideal state to ensure continual risk reduction.

  • Utrzymanie — upewnij się, że stan zabezpieczeń nie obniży się w czasie, przez wyprowadzenie inspekcji i monitorowania zgodności ze standardami organizacji.Sustain – Ensure the security posture doesn’t degrade naturally over time by instituting auditing and monitoring compliance with organizational standards.

Ustalanie priorytetów inwestycji dotyczących najlepszych rozwiązań w zakresie zabezpieczeńPrioritize security best practices investments

Najlepsze rozwiązania w zakresie zabezpieczeń są idealnym rozwiązaniem i całkowicie stosowane do wszystkich systemów podczas kompilowania programu w chmurze, ale nie jest to konieczne w przypadku większości organizacji przedsiębiorstwa.Security best practices are ideally applied proactively and completely to all systems as you build your cloud program, but this isn’t reality for most enterprise organizations. Cele biznesowe, ograniczenia projektu i inne czynniki często powodują, że organizacje równoważą ryzyko bezpieczeństwa przed innymi ryzykiem i stosują podzbiór najlepszych rozwiązań w danym punkcie.Business goals, project constraints, and other factors often cause organizations to balance security risk against other risks and apply a subset of best practices at any given point.

Zalecamy stosowanie możliwie największej liczby najlepszych rozwiązań, jak najszybciej, a następnie rozpoczęcie przeprojektowywania wszelkich przerw w czasie, gdy użytkownik zakończył pracę.We recommend applying as many as of the best practices as early as possible, and then working to retrofit any gaps over time as you mature your security program. Zalecamy przeprowadzenie oceny następujących zagadnień podczas określania priorytetu, który najpierw należy wykonać:We recommend evaluating the following considerations when prioritizing which to follow first:

  • Duże znaczenie biznesowe i wysoce uwidocznione systemy — Obejmują one systemy z bezpośrednią wartością wewnętrzną, a także systemy, które zapewniają osobom atakującym ścieżki do nich.High business impact and highly exposed systems – These include systems with direct intrinsic value as well as the systems that provide attackers a path to them. Aby uzyskać więcej informacji, zobacz Identyfikowanie i klasyfikowanie aplikacji o krytycznym znaczeniu dla firmy.For more information, see Identify and classify business critical applications.

  • Najłatwiej wdrożyć środki zaradcze— Zidentyfikuj szybki serwer WINS, określając priorytety najlepszych rozwiązań, które organizacja może szybko wykonywać, ponieważ masz już wymagane umiejętności, narzędzia i wiedzę, aby to zrobić (na przykład implementując zaporę aplikacji sieci Web (WAF) w celu ochrony starszej aplikacji).Easiest to implement Mitigations– Identify quick wins by prioritizing the best practices, which your organization can execute quickly because you already have the required skills, tools, and knowledge to do it (for example, implementing a Web App Firewall (WAF) to protect a legacy application).
    Należy zachować ostrożność, aby nie korzystać wyłącznie z tej krótkoterminowej metody priorytetyzacji.Be careful not to exclusively use (or overuse) this short-term prioritization method. Takie działanie może zwiększyć ryzyko, uniemożliwiając programowi zwiększenie i pozostawienie krytycznych zagrożeń narażonych na przedłużone okresy.Doing so can increase your risk by preventing your program from growing and leaving critical risks exposed for extended periods.

Firma Microsoft udostępniła pewne uporządkowane listy inicjatyw związanych z bezpieczeństwem, które ułatwiają organizacjom rozpoczęcie od tych decyzji w oparciu o nasze doświadczenie w zakresie zagrożeń i inicjatyw zaradczych w naszych środowiskach i naszych klientów.Microsoft has provided some prioritized lists of security initiatives to help organizations start with these decisions based on our experience with threats and mitigation initiatives in our own environments and across our customers. Zobacz moduł 4A programu Microsoft CISO WorkshopSee Module 4a of the Microsoft CISO Workshop

Zarządzanie połączonymi dzierżawcamiManage connected tenants

Upewnij się, że w organizacji zabezpieczeń są znane wszystkie rejestracje i skojarzone subskrypcje połączone z istniejącym środowiskiem (za pośrednictwem ExpressRoute lub sieci VPN lokacji) i monitorowanie w ramach całego przedsiębiorstwa.Ensure your security organization is aware of all enrollments and associated subscriptions connected to your existing environment (via ExpressRoute or Site-Site VPN) and monitoring as part of the overall enterprise.

Te zasoby platformy Azure są częścią środowiska przedsiębiorstwa, a organizacje zabezpieczeń wymagają wglądu w nie.These azure resources are part of your enterprise environment and security organizations require visibility into them. Organizacje zabezpieczeń potrzebują tego dostępu do oceny ryzyka i ustalenia, czy stosowane są zasady organizacyjne i odpowiednie wymagania prawne.Security organizations need this access to assess risk and to identify whether organizational policies and applicable regulatory requirements are being followed.

Upewnij się, że wszystkie środowiska platformy Azure, które łączą się ze środowiskiem produkcyjnym/siecią, stosują zasady organizacji i kontrolki ładu IT dotyczące zabezpieczeń.Ensure all Azure environments that connect to your production environment/network apply your organization’s policy and IT governance controls for security. Istniejące połączone dzierżawy można odnajdywać za pomocą Narzędzia dostarczonego przez firmę Microsoft.You can discover existing connected tenants using a tool provided by Microsoft. Wskazówki dotyczące uprawnień, które mogą zostać przypisane do zabezpieczeń, są wymienione w sekcji przypisywanie uprawnień do zarządzania środowiskiem .Guidance on permissions you may assign to security is in the Assign privileges for managing the environment section.

Wyczyść wiersze odpowiedzialnościClear lines of responsibility

Wyznaczanie osób odpowiedzialnych za określone funkcje na platformie AzureDesignate the parties responsible for specific functions in Azure

Jasne udokumentowanie i udostępnianie kontaktów odpowiedzialnych za każdą z tych funkcji spowoduje utworzenie spójności i ułatwienie komunikacji.Clearly documenting and sharing the contacts responsible for each of these functions will create consistency and facilitate communication. W oparciu o nasze doświadczenie z wieloma projektami wdrażania w chmurze, pozwoli to uniknąć pomyłek, które mogą prowadzić do błędów ludzi i automatyzacji, które tworzą zagrożenie bezpieczeństwa.Based on our experience with many cloud adoption projects, this will avoid confusion that can lead to human and automation errors that create security risk.

Wyznacz grupy (lub poszczególne role), które będą odpowiedzialne za następujące kluczowe funkcje:Designate groups (or individual roles) that will be responsible for these key functions:

Grupa lub poszczególne roleGroup or individual role Odpowiedzialność zaResponsibility
Bezpieczeństwo sieciNetwork Security Zwykle istniejący zespół zabezpieczeń sieci.Typically existing network security team. Konfiguracja i konserwacja zapory platformy Azure, sieciowych urządzeń wirtualnych (i skojarzonych routingu), sieciowi, sieciowych grup zabezpieczeń, grupy zabezpieczeń aplikacji itp.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc.
Zarządzanie sieciąNetwork Management Zwykle istniejący zespół operacji sieciowych.Typically existing network operations team. Sieć wirtualna i alokacja podsieci w całym przedsiębiorstwie.Enterprise-wide virtual network and subnet allocation.
Zabezpieczenia punktu końcowego serweraServer Endpoint Security Zwykle operacje IT, zabezpieczenia i wspólnie.Typically IT operations, security, or jointly. Monitoruj i Koryguj zabezpieczenia serwera (stosowanie poprawek, konfiguracji, zabezpieczeń punktu końcowego itp.).Monitor and remediate server security (patching, configuration, endpoint security, etc.).
Monitorowanie zdarzeń i reagowanie na nieIncident Monitoring and Response Zazwyczaj zespół operacji zabezpieczających.Typically security operations team. Zbadaj i skoryguj zdarzenia zabezpieczeń w temacie Security Information and Event Management (SIEM) lub konsoli źródłowej.Investigate and remediate security incidents in Security Information and Event Management (SIEM) or source console.
Zarządzanie zasadamiPolicy Management Zazwyczaj GRC zespół i architekturę.Typically GRC team + Architecture. Ustaw kierunek używania Access Control opartego na rolach (RBAC), Azure Security Center, strategii ochrony administratorów i Azure Policy do zarządzania zasobami platformy Azure.Set Direction for use of Role Based Access Control (RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources.
Bezpieczeństwo i standardy tożsamościIdentity Security and Standards Zazwyczaj zespół ds. zabezpieczeń i zespół tożsamości wspólnie.Typically Security Team + Identity Team jointly. Ustaw kierunek katalogów usługi Azure AD, użycie usług PIM/PAM, MFA, konfiguracja hasła/synchronizacji, standardy tożsamości aplikacji.Set direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards.

Strategia segmentacji przedsiębiorstwaEnterprise segmentation strategy

Zidentyfikuj grupy zasobów, które mogą być odizolowane od innych części przedsiębiorstwa, aby zawierały (i wykrywać) przenoszenie atakującej w przedsiębiorstwie.Identify groups of resources that can be isolated from other parts of the enterprise to contain (and detect) adversary movement within your enterprise. Ta ujednolicona strategia segmentacji przedsiębiorstwa przeprowadzi wszystkie zespoły techniczne, aby stale uzyskiwać dostęp do segmentu przy użyciu sieci, aplikacji, tożsamości i innych kontroli dostępu.This unified enterprise segmentation strategy will guide all technical teams to consistently segment access using networking, applications, identity, and any other access controls.

Przejrzysta i prosta strategia segmentacji pomaga w uwzględnieniu ryzyka podczas włączania produktywności i działalności biznesowej.A clear and simple segmentation strategy helps contain risk while enabling productivity and business operations.

Strategia segmentacji przedsiębiorstwa jest definiowana na wyższym poziomie niż tradycyjna strategia zabezpieczeń "segmentacja sieci" .An enterprise segmentation strategy is defined higher than a traditional “network segmentation” security strategy. W przypadku tradycyjnych segmentacji w środowiskach lokalnych często nie można osiągnąć swoich celów, ponieważ zostały one rozwinięte "z dołu" przez różne zespoły techniczne i nie były dobrze wyrównane z przypadkami użycia i obciążeniami aplikacji w firmie.Traditional segmentation approaches for on premises environments frequently failed to achieve their goals because they were developed “bottom-up” by different technical teams and were not aligned well with business use cases and application workloads. W efekcie Zapychasz złożoność, która generuje problemy z pomocą techniczną, i często nie podważa pierwotnego celu z szerokim wyjątkami zapory sieciowej.This resulted in overwhelming complexity that generates support issues and often undermines the original purpose with broad network firewall exceptions.

Tworzenie ujednoliconej strategii segmentacji przedsiębiorstwa pozwala na zaplanowanie wszystkich zainteresowanych zespołów technicznych (takich jak zabezpieczenia, aplikacje itp.). Jednostki biznesowe, które są oparte na ryzyku biznesowym i muszą zwiększyć wyrównanie do i zrozumieć i wspierać trwałość niesie obietnice zwiększenia zawierania zabezpieczeń.Creating a unified enterprise segmentation strategy enables to guide all technical teams stakeholders (IT, Security, Applications, etc.) Business Units that is built around the business risks and needs will increase alignment to and understand and support sustainability of the security containment promises. Ta przejrzystość i wyrównanie zmniejszają również ryzyko błędów ludzkich i niepowodzeń automatyzacji, które mogą prowadzić do luk w zabezpieczeniach, przestoju operacyjnego lub obu tych funkcji.This clarity and alignment will also reduce s the risk of human errors and automation failures that can lead to security vulnerabilities, operational downtime, or both.

Poza segmentacją sieci oferuje również obietnicę w celu ograniczenia ryzyka (omówionego bardziej w sekcji zabezpieczenia sieci i zawierania ), ale nie eliminuje potrzeby wyrównania zespołów technicznych.While network micro-segmentation also offers promise to reduce risk (discussed more in Network Security and Containment section), it doesn’t eliminate the need to align technical teams. Mikrosegmenty należy wziąć pod uwagę po zapewnieniu, aby upewnić się, że odpowiednie zespoły techniczne są wyrównane, aby uniknąć wystąpienia konfliktów wewnętrznych, które plaguedą i niepomyleją strategii segmentacji generacji sieci lokalnych.Micro segmentation should be considered after to and plans to ensure the ensuring technical teams are aligned so you can avoid a recurrence of the internal conflicts that plagued and confusion of the on-premises network generation segmentation strategies.

Poniżej zamieszczono zalecenia firmy Microsoft dotyczące priorytetyzacji inicjatyw w zakresie zawierania i segmentacji (na podstawie zasad zaufania zerowych).Here are Microsoft's recommendations for prioritizing initiatives on containment and segmentation (based on Zero Trust principles). Te zalecenia są wymienione w kolejności priorytetu według najwyższej ważności.These recommendations are listed in priority order by highest importance.

  • Należy zapewnić wyrównanie zespołów technicznych do jednej strategii segmentacji przedsiębiorstwa.Ensure alignment of technical teams to a single enterprise segmentation strategy.

  • Inwestowanie w rozszerzanie zawierania przez ustanowienie nowoczesnego obwodu opartego na zasadach zaufania bez zabezpieczeń ukierunkowanych na tożsamość, urządzenie, aplikacje i inne sygnały (w celu pokonania ograniczenia kontroli sieci w celu ochrony nowych zasobów i typów ataków).Invest in broadening containment by establishing a modern perimeter based on zero trust principles focused on identity, device, applications, and other signals (to overcome limitation of network controls to protect new resources and attack types).

  • Rozwinięciu kontrolki sieciowe dla starszych aplikacji przez Eksplorowanie strategii Micro segmentacji.Bolster network controls for legacy applications by exploring micro segmentation strategies.

Dobra strategia segmentacji przedsiębiorstwa spełnia następujące kryteria:A good enterprise segmentation strategy meets these criteria:

  • Włącza operacje — minimalizuje tarcie operacji przez dostosowanie do praktyk i aplikacji firmowychEnables Operations – Minimizes operation friction by aligning to business practices and applications

  • Zawiera ryzyko — dodaje koszt i tarcie do osób atakujących przezContains Risk - Adds cost and friction to attackers by

    • Izolowanie wrażliwych obciążeń przed naruszeniem innych zasobówIsolating sensitive workloads from compromise of other assets

    • Izolowanie systemów o wysokim poziomie narażenia z używania jako Pivot do innych systemówIsolating high exposure systems from being used as a pivot to other systems

  • Monitorowane — operacje zabezpieczeń powinny monitorować potencjalne naruszenia integralności segmentów (użycie konta, nieoczekiwany ruch itp.).Monitored – Security Operations should monitor for potential violations of the integrity of the segments (account usage, unexpected traffic, etc.)

Zrzut ekranu przedstawiający wygenerowany automatycznie opis telefonu komórkowego

Widoczność zespołu zabezpieczeńSecurity team visibility

Zapewnianie zespołom ds. zabezpieczeń dostępu tylko do odczytu do aspektów zabezpieczeń wszystkich zasobów technicznych w ich kontroląProvide security teams read-only access to the security aspects of all technical resources in their purview

Organizacje zabezpieczeń wymagają wglądu w środowisko techniczne, aby wykonywać swoje obowiązki związane z oceną i raportowaniem ryzyka dla organizacji.Security organizations require visibility into the technical environment to perform their duties of assessing and reporting on organizational risk. Bez tej widoczności zabezpieczenia będą musiały polegać na informacjach dostarczonych z grup działających w środowisku, które mają potencjalną utratę interesu (i inne priorytety).Without this visibility, security will have to rely on information provided from groups operating the environment who have a potential conflict of interest (and other priorities).

Należy pamiętać, że zespoły zabezpieczeń mogą oddzielnie otrzymać dodatkowe uprawnienia, jeśli mają one obowiązki operacyjne lub wymaganie do wymuszania zgodności z zasobami platformy Azure.Note that security teams may separately be granted additional privileges if they have operational responsibilities or a requirement to enforce compliance on Azure resources.

Na przykład na platformie Azure Przypisz zespoły zabezpieczeń do uprawnienia czytelnikom zabezpieczeń , które zapewniają dostęp do pomiaru ryzyka bezpieczeństwa (bez zapewnienia dostępu do samych danych).For example in Azure, assign security teams to the Security Readers permission that provides access to measure security risk (without providing access to the data itself)

W przypadku grup zabezpieczeń przedsiębiorstwa z szeroką odpowiedzialnością za bezpieczeństwo platformy Azure można przypisać to uprawnienie przy użyciu:For enterprise security groups with broad responsibility for security of Azure, you can assign this permission using:

  • Główna Grupa zarządzania — dla zespołów odpowiedzialnych za ocenę i raportowanie ryzyka dla wszystkich zasobówRoot management group – for teams responsible for assessing and reporting risk on all resources

  • Grupy zarządzania segmentacją — dla zespołów z ograniczonym zakresem odpowiedzialności (zwykle wymagane ze względu na granice organizacyjne lub wymagania prawne)Segment management group(s) – for teams with limited scope of responsibility (typically required because of organizational boundaries or regulatory requirements)

Ze względu na to, że zabezpieczenia będą mieć szeroki dostęp do środowiska (i wgląd w potencjalnie wykorzystujące luki w zabezpieczeniach), należy wziąć pod uwagę ich konta o znaczeniu krytycznym i zastosować te same zabezpieczenia co Administratorzy.Because security will have broad access to the environment (and visibility into potentially exploitable vulnerabilities), you should consider them critical impact accounts and apply the same protections as administrators. Sekcja administracji zawiera szczegółowe informacje o tych kontrolkach dla systemu Azure.The Administration section details these controls for Azure.

Przypisywanie uprawnień do zarządzania środowiskiemAssign privileges for managing the environment

Przyznaj role z odpowiedzialnością operacyjną na platformie Azure odpowiednie uprawnienia w oparciu o jasno udokumentowaną strategię opartą na zasadzie najniższych uprawnień i potrzeb operacyjnych.Grant roles with operational responsibilities in Azure the appropriate permissions based on a clearly documented strategy built from the principle of least privilege and your operational needs.

Zapewnienie wyraźnych wskazówek, które są zgodne z modelem referencyjnym, zmniejsza ryzyko, ponieważ dzięki zwiększeniu tego poziomu zapewnia przejrzystość zespołów technicznych implementujących te uprawnienia.Providing clear guidance that follows a reference model will reduce risk because by increasing it provides clarity for your technical teams implementing these permissions. Ta przejrzystość ułatwia wykrywanie i poprawianie błędów ludzkich, takich jak naddajenie uprawnień, co zmniejsza ogólne ryzyko.This clarity makes it easier to detect and correct human errors like overpermissioning, reducing your overall risk.

Firma Microsoft zaleca rozpoczęcie od tych modeli referencyjnych firmy Microsoft i dostosowanie ich do organizacji.Microsoft recommends starting from these Microsoft reference models and adapting to your organization.

obraz przedstawiający uprawnienia dostępu do podstawowych usług

Uprawnienia dostępu do podstawowych usługCore Services Reference Permissions

Ten segment zawiera udostępnione usługi udostępniane w całej organizacji.This segment hosts shared services utilized across the organization. Te usługi udostępnione zazwyczaj obejmują Active Directory Domain Services, DNS/DHCP, narzędzia do zarządzania systemem hostowane na maszynach wirtualnych Azure Infrastructure as a Service (IaaS).These shared services typically include Active Directory Domain Services, DNS/DHCP, System Management Tools hosted on Azure Infrastructure as a Service (IaaS) virtual machines.

Widoczność zabezpieczeń we wszystkich zasobach — dla zespołów ds. zabezpieczeń, Przyznaj dostęp tylko do odczytu do atrybutów zabezpieczeń dla wszystkich środowisk technicznych.Security Visibility across all resources – For security teams, grant read-only access to security attributes for all technical environments. Ten poziom dostępu jest wymagany do oceny czynników ryzyka, zidentyfikowania potencjalnych środków zaradczych i doradzania uczestnikom organizacji, którzy zaakceptują ryzyko.This access level is needed to assess risk factors, identify potential mitigations, and advise organizational stakeholders who accept the risk. Aby uzyskać więcej informacji, zobacz widoczność zespołu zabezpieczeń .See Security Team Visibility for more details.

Zarządzanie zasadami w niektórych lub wszystkich zasobach — aby monitorować i wymuszać zgodność z zewnętrznymi (lub wewnętrznymi) przepisami, standardami i zasadami zabezpieczeń, przypisz odpowiednie uprawnienia do tych ról.Policy management across some or all resources – To monitor and enforce compliance with external (or internal) regulations, standards, and security policy, assign appropriate permission to those roles. Wybrane role i uprawnienia zależą od kultury organizacyjnej i oczekiwań programu Policy.The roles and permissions you choose will depend on the organizational culture and expectations of the policy program. Zobacz Microsoft Cloud wdrażanie platformy Azure.See Microsoft Cloud Adoption Framework for Azure.

Centralne operacje IT dla wszystkich zasobów — przyznaj uprawnienia centralnemu działowi IT (często zespół infrastruktury) do tworzenia, modyfikowania i usuwania zasobów, takich jak maszyny wirtualne i magazyn.Central IT operations across all resources – Grant permissions to the central IT department (often the infrastructure team) to create, modify, and delete resources like virtual machines and storage.

Centralna Grupa sieci między zasobami sieciowymi — w celu zapewnienia spójności i unikania konfliktów technicznych należy przypisać obowiązki zasobów sieciowych do jednej centralnej organizacji sieci.Central networking group across network resources – To ensure consistency and avoid technical conflicts, assign network resource responsibilities to a single central networking organization. Te zasoby powinny obejmować sieci wirtualne, podsieci, sieciowe grupy zabezpieczeń (sieciowej grupy zabezpieczeń) oraz maszyny wirtualne obsługujące urządzenia sieci wirtualnej.These resources should include virtual networks, subnets, Network Security Groups (NSG), and the virtual machines hosting virtual network appliances. Aby uzyskać więcej informacji , zobacz scentralizowany zarządzanie siecią i zabezpieczeniaSee Centralize Network Management And Security for more details

Uprawnienia roli zasobów — w przypadku większości usług podstawowych uprawnienia administracyjne wymagane do zarządzania nimi są udzielane za pośrednictwem samej aplikacji (Active Directory, DNS/DHCP, narzędzia do zarządzania systemem itp.), więc nie są wymagane żadne dodatkowe uprawnienia do zasobów platformy Azure.Resource Role Permissions – For most core services, administrative privileges required to manage them are granted via the application itself (Active Directory, DNS/DHCP, System Management Tools, etc.), so no additional Azure resource permissions are required. Jeśli model organizacyjny wymaga od tych zespołów zarządzania własnymi maszynami wirtualnymi, magazynem lub innymi zasobami platformy Azure, można przypisać te uprawnienia do tych ról.If your organizational model requires these teams to manage their own VMs, storage, or other Azure resources, you can assign these permissions to those roles.

Administrator usługi (konto ze znakiem Glass) — Użyj roli administratora usługi tylko dla sytuacji awaryjnych (i konfiguracji początkowej, jeśli jest to wymagane).Service admin (Break Glass Account) – Use the service admin role only for emergencies (and initial setup if required). Nie należy używać tej roli dla codziennych zadań.Do not use this role for daily tasks. Aby uzyskać więcej informacji, zobacz dostęp awaryjny (konta "ze szlifem") .See Emergency Access (‘Break Glass’ Accounts) for more details.

Zrzut ekranu przedstawiający wygenerowany automatycznie opis telefonu komórkowego

Uprawnienia odwołań do segmentówSegment reference permissions

Ten projekt uprawnień segmentu zapewnia spójność, a jednocześnie pozwala elastycznie dopasować zakres modeli organizacyjnych od pojedynczej scentralizowanej grupy IT do większości niezależnych zespołów IT i DevOps.This segment permission design provides consistency while allowing flexibility to accommodate the range of organizational models from a single centralized IT group to mostly independent IT and DevOps teams.

Widoczność zabezpieczeń we wszystkich zasobach — dla zespołów ds. zabezpieczeń, Przyznaj dostęp tylko do odczytu do atrybutów zabezpieczeń dla wszystkich środowisk technicznych.Security visibility across all resources – For security teams, grant read-only access to security attributes for all technical environments. Ten poziom dostępu jest wymagany do oceny czynników ryzyka, zidentyfikowania potencjalnych środków zaradczych i doradzania uczestnikom organizacji, którzy zaakceptują ryzyko.This access level is needed to assess risk factors, identify potential mitigations, and advise organizational stakeholders who accept the risk. Zobacz widoczność zespołu zabezpieczeń.See Security Team Visibility.

Zarządzanie zasadami dla niektórych lub wszystkich zasobów — do monitorowania i wymuszania zgodności z zewnętrznymi (lub wewnętrznymi) przepisami, normami i zasadami zabezpieczeń przypisują odpowiednie uprawnienia do tych ról.Policy management across some or all resources – To monitor and enforce compliance with external (or internal) regulations, standards, and security policy assign appropriate permission to those roles. Wybrane role i uprawnienia zależą od kultury organizacyjnej i oczekiwań programu Policy.The roles and permissions you choose will depend on the organizational culture and expectations of the policy program. Zobacz Microsoft Cloud wdrażanie platformy Azure.See Microsoft Cloud Adoption Framework for Azure.

Operacje IT we wszystkich zasobach — przyznaj uprawnienia do tworzenia, modyfikowania i usuwania zasobów.IT Operations across all resources – Grant permission to create, modify, and delete resources. Przeznaczenie segmentu (i wynikających z nich uprawnień) będzie zależeć od struktury organizacji.The purpose of the segment (and resulting permissions) will depend on your organization structure.

  • Segmenty z zasobami zarządzanymi przez scentralizowaną organizację IT mogą przyznawać centralnemu działowi IT (często zespół infrastruktury) uprawnienia do modyfikowania tych zasobów.Segments with resources managed by a centralized IT organization can grant the central IT department (often the infrastructure team) permission to modify these resources.

  • Segmenty zarządzane przez niezależne jednostki biznesowe lub funkcje (takie jak zespół kadr IT) mogą przyznawać tym zespołom uprawnienia do wszystkich zasobów w segmencie.Segments managed by independent business units or functions (such as a Human Resources IT Team) can grant those teams permission to all resources in the segment.

  • Segmenty z autonomicznymi zespołami DevOps nie muszą przyznawać uprawnień dla wszystkich zasobów, ponieważ rola zasobów (poniżej) przyznaje uprawnienia zespołom aplikacji.Segments with autonomous DevOps teams don’t need to grant permissions across all resources because the resource role (below) grants permissions to application teams. W przypadku sytuacji awaryjnych należy użyć konta administratora usługi (konta ze szkła).For emergencies, use the service admin account (break-glass account).

Centralna Grupa sieci między zasobami sieciowymi — w celu zapewnienia spójności i unikania konfliktów technicznych należy przypisać obowiązki zasobów sieciowych do jednej centralnej organizacji sieci.Central networking group across network resources – To ensure consistency and avoid technical conflicts, assign network resource responsibilities to a single central networking organization. Te zasoby powinny obejmować sieci wirtualne, podsieci, sieciowe grupy zabezpieczeń (sieciowej grupy zabezpieczeń) oraz maszyny wirtualne obsługujące urządzenia sieci wirtualnej.These resources should include virtual networks, subnets, Network Security Groups (NSG), and the virtual machines hosting virtual network appliances. Zobacz scentralizowany zarządzanie siecią i zabezpieczenia.See Centralize Network Management And Security.

Uprawnienia roli zasobów — segmenty z autonomicznymi zespołami DevOps będą zarządzać zasobami skojarzonymi z poszczególnymi aplikacjami.Resource Role Permissions – Segments with autonomous DevOps teams will manage the resources associated with each application. Rzeczywiste role i ich uprawnienia zależą od rozmiaru i złożoności aplikacji, rozmiaru i złożoności zespołu aplikacji oraz kultury zespołu organizacji i aplikacji.The actual roles and their permissions depend on the application size and complexity, the application team size and complexity, and the culture of the organization and application team.

Administrator usługi (konto ze znakiem Glass) — Użyj roli administratora usługi tylko dla sytuacji awaryjnych (i konfiguracji początkowej, jeśli jest to wymagane).Service Admin (Break Glass Account) – Use the service admin role only for emergencies (and initial setup if required). Nie należy używać tej roli dla codziennych zadań.Do not use this role for daily tasks. Aby uzyskać więcej informacji, zobacz dostęp awaryjny (konta "ze szlifem") .See Emergency Access (‘Break Glass’ Accounts) for more details.

Wskazówki dotyczące uprawnień i poradyPermission Guidance and Tips

  • Aby zapewnić spójność i upewnić się, że aplikacja jest zapisana w przyszłości, w grupie zarządzania dla segmentu należy przypisać uprawnienia, a nie pojedyncze subskrypcje.To drive consistency and ensure application to future subscriptions, permissions should be assigned at management group for the segment rather than the individual subscriptions. Aby uzyskać więcej informacji , zobacz Unikanie szczegółowych i niestandardowych uprawnień .See Avoid Granular and Custom Permissions for more details.

  • Najpierw należy przejrzeć wbudowane role, aby sprawdzić, czy są one stosowane przed utworzeniem roli niestandardowej w celu udzielenia odpowiednich uprawnień do maszyn wirtualnych i innych obiektów.You should first review the built-in roles to see if one is applicable before creating a custom role to grant the appropriate permissions to VMs and other objects. Aby uzyskać więcej informacji, zobacz Używanie wbudowanych rólSee Use Built in Roles for more details

  • Członkostwo w grupie menedżerów zabezpieczeń może być odpowiednie dla mniejszych zespołów/organizacji, w których zespoły zabezpieczeń mają rozległe obowiązki operacyjne.Security managers group membership may be appropriate for smaller teams/organizations where security teams have extensive operational responsibilities.

Ustanawianie segmentacji przy użyciu grup zarządzaniaEstablish segmentation with management groups

Grupy zarządzania strukturą w prosty projekt, który prowadzi do modelu segmentacji przedsiębiorstwa.Structure management groups into a simple design that guides the enterprise segmentation model.

Grupy zarządzania oferują możliwość spójnego i wydajnego zarządzania zasobami (w tym z wieloma subskrypcjami w razie potrzeby).Management groups offer the ability to consistently and efficiently manage resources (including multiple subscriptions as needed). Jednak ze względu na ich elastyczność można utworzyć zbyt skomplikowany projekt.However, because of their flexibility, it's possible to create an overly complex design. Złożoność tworzy pomyłkę i negatywnie wpływa na operacje i zabezpieczenia (jak pokazano przez zbyt złożone projekty jednostki organizacyjnej (OU) i zasady grupy obiektów (GPO) dla Active Directory).Complexity creates confusion and negatively impacts both operations and security (as illustrated by overly complex Organizational Unit (OU) and Group Policy Object (GPO) designs for Active Directory).

Firma Microsoft zaleca dostosowanie najwyższego poziomu grup zarządzania (zduplikowane) do prostej strategii segmentacji przedsiębiorstwa ograniczonej do 1 lub 2 poziomów.Microsoft recommends aligning the top level of management groups (MGs) into a simple enterprise segmentation strategy limited to 1 or 2 levels.

Należy uważnie użyć głównej grupy zarządzaniaUse root management group carefully

Użyj głównej grupy zarządzania (MG) dla spójności przedsiębiorstwa, ale uważnie Przetestuj zmiany, aby zminimalizować ryzyko przerwania działania.Use the Root Management Group (MG) for enterprise consistency, but test changes carefully to minimize risk of operational disruption.

Główna Grupa zarządzania pozwala zapewnić spójność w całym przedsiębiorstwie, stosując zasady, uprawnienia i Tagi we wszystkich subskrypcjach.The root management group enables you to ensure consistency across the enterprise by applying policies, permissions, and tags across all subscriptions. Należy zachować ostrożność podczas planowania i implementowania przypisań do głównej grupy zarządzania, ponieważ może to mieć wpływ na każdy zasób na platformie Azure i może spowodować przestoje lub inne negatywne wpływ na produktywność w przypadku błędów lub nieoczekiwanych skutków.Care must be taken when planning and implementing assignments to the root management group because this can affect every resource on Azure and potentially cause downtime or other negative impacts on productivity in the event of errors or unanticipated effects.

Wskazówki dotyczące głównych grup zarządzania:Root management group guidance:

  • Zaplanuj uważnie zaznacz elementy w całej firmie w głównej grupie zarządzania, które mają wyraźne wymaganie do zastosowania w każdym zasobie i/lub małym wpływie.Plan Carefully - Select enterprise-wide elements to the root management group that have a clear requirement to be applied across every resource and/or low impact.

    Dobre kandydaci to:Good candidates include:

    • Wymagania prawne z niejasnym ryzykiem firmy/wpływem (na przykład ograniczenia dotyczące suwerenności danych).Regulatory requirements with clear business risk/impact (for example, restrictions related to data sovereignty).

    • Niemal zero potencjalny negatywny wpływ na operacje, takie jak zasady z efektem inspekcji, przypisanie tagów i przypisania kontroli RBAC, które zostały starannie przejrzane.Near-zero potential negative impact on operations such as policy with audit effect, Tag assignment, RBAC permissions assignments that have been carefully reviewed.

  • Najpierw Testuj — Uważnie Przetestuj wszystkie zmiany w całej firmie w głównej grupie zarządzania przed zastosowaniem (zasad, tagów, modelu RBAC itp.) przy użyciuTest First - Carefully test all enterprise-wide changes on the root management group before applying (policy, tags, RBAC model, etc.) using a

    • Test Lab- Reprezentatywny dzierżawca lub segment laboratorium w ramach produkcji.Test Lab - Representative lab tenant or lab segment in production tenant.

    • Pilotaż produkcyjny — Segment MG lub wyznaczono podzestaw w subskrypcjach/MG.Production Pilot - Segment MG or Designated subset in subscription(s) / MG.

  • Sprawdź poprawność zmian — aby upewnić się, że mają odpowiednie skutki.Validate Changes – to ensure they have the desired effect.

Aktualizacje zabezpieczeń maszyn wirtualnych i silnych hasełVirtual Machine (VM) security updates and strong passwords

Upewnij się, że zasady i procesy umożliwiają szybkie stosowanie aktualizacji zabezpieczeń do maszyn wirtualnych.Ensure policy and processes enable (and require) rapid application of security updates to virtual machines.

Osoby atakujące stale przeskanują zakresy adresów IP chmury publicznej w celu uzyskania otwartych portów zarządzania i podejmują próby ataków typu "łatwe", takie jak typowe hasła i luki w zabezpieczeniach.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and unpatched vulnerabilities.

Włącz Azure Security Center , aby identyfikować brakujące aktualizacje zabezpieczeń, & je zastosować.Enable Azure Security Center to identify missing security updates & apply them.

Rozwiązanie hasła administratora lokalnego (dotyczy) lub Privileged Access Management innej firmy może ustawić silne hasła administratora lokalnego i dostęp do nich w odpowiednim czasie.Local Admin Password Solution (LAPS) or a third party Privileged Access Management can set strong local admin passwords and just in time access to them.

Usuń maszynę wirtualną (VM) bezpośrednią łączność internetowąRemove Virtual Machine (VM) direct internet connectivity

Upewnij się, że zasady i procesy wymagają ograniczenia i monitorowania bezpośredniej łączności z Internetem przez maszyny wirtualneEnsure policy and processes require restricting and monitoring direct internet connectivity by virtual machines

Osoby atakujące stale przeskanują zakresy adresów IP chmury publicznej dla otwartych portów zarządzania i podejmują próby ataków typu "łatwe", takie jak typowe hasła i znane luki w zabezpieczeniach.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities

Można to zrobić przy użyciu co najmniej jednej metody na platformie Azure:This can be accomplished with one or more methods in Azure:

  • Zapobieganie nieumyślnemu zagrożeniu w przypadku sieci przedsiębiorstwa i modelu uprawnień, takiego jak Model referencyjny opisany w tym przewodniku.Enterprise-wide prevention - Prevent inadvertent exposure with an enterprise network and permission model such as the reference model described throughout this guidance. Znacznie zmniejsza to ryzyko przypadkowej ekspozycji z Internetu maszyn wirtualnych przezThis significantly reduces the risk of accidental VM internet exposure by

    • Zapewnianie, że ruch sieciowy jest domyślnie kierowany przez zatwierdzone punkty ruchu wychodzącegoEnsuring that network traffic is routed through approved egress points by default

    • Wyjątki (na przykład Dodaj publiczny adres IP do zasobu) muszą przejść przez scentralizowaną grupę (która może starannie oszacować żądania wyjątków w celu zapewnienia zastosowania odpowiednich kontroli)Exceptions (for example, add a public IP address to a resource) must go through a centralized group (which can carefully evaluate exception requests to ensure appropriate controls are applied)

  • Zidentyfikuj i skoryguj uwidocznione maszyny wirtualne za pomocą wizualizacji sieci Azure Security Center , aby szybko identyfikować zasoby udostępniane przez Internet.Identify and Remediate exposed VMs using the Azure Security Center network visualization to quickly identify internet exposed resources.

  • Ograniczanie portów zarządzania (RDP, SSH) przy użyciu dostępu just in Time w Azure Security CenterRestrict management ports (RDP, SSH) using Just in Time access in Azure Security Center

Przypisywanie kontaktu z powiadomieniem o zdarzeniuAssign incident notification contact

Upewnij się, że kontakt z zabezpieczeniami odbiera powiadomienia o zdarzeniach platformy Azure od firmy Microsoft, zazwyczaj powiadamia o naruszeniu zasobów i/lub ataku innego klienta.Ensure a security contact receives Azure incident notifications from Microsoft typically a notification that your resource is compromised and/or attacking another customer.

Umożliwia to zespołowi ds. operacji bezpieczeństwa szybkie reagowanie na potencjalne zagrożenia bezpieczeństwa i ich korygowanie.This enables your security operations team to rapidly respond to potential security risks and remediate them.

Upewnij się, że informacje kontaktowe administratora w portalu rejestracji Azure zawierają informacje kontaktowe, które będą powiadamiać operacje zabezpieczeń (bezpośrednio lub szybko za pośrednictwem procesu wewnętrznego)Ensure administrator contact information in the Azure enrollment portal includes contact information that will notify security operations (directly or rapidly via an internal process)

Regularnie sprawdzaj dostęp krytycznyRegularly review critical access

Regularnie Przeglądaj role, które mają przypisane uprawnienia o krytycznym znaczeniu dla firmy.Regularly review roles that are assigned privileges with a business-critical impact.

Skonfiguruj cykliczny wzorzec przeglądu, aby upewnić się, że konta są usuwane z uprawnień w miarę zmiany ról.Set up a recurring review pattern to ensure that accounts are removed from permissions as roles change. Przegląd można przeprowadzić ręcznie lub za pośrednictwem zautomatyzowanego procesu przy użyciu narzędzi, takich jak przeglądy dostępu do usługi Azure AD.You can conduct the review manually or through an automated process by using tools such as Azure AD access reviews.

Odkryj i Koryguj typowe czynniki ryzykaDiscover and remediate common risks

Tożsamość znanego ryzyka dla dzierżawców platformy Azure, korygowanie tych zagrożeń i śledzenie postępu przy użyciu funkcji bezpiecznego oceny.Identity well known risks for your Azure tenants, remediate those risks, and track your progress using Secure Score.

Ustalenie i korygowaniem typowych zagrożeń związanych z higieną zabezpieczeń znacząco zmniejsza ogólne ryzyko dla organizacji przez zwiększenie kosztów ataku.Identifying and remediating common security hygiene risks significantly reduces overall risk to your organization by increasing cost to attackers. Po usunięciu tanich i dobrze ustanowionych wektorów ataków atakujący są zmuszeni do uzyskania i użycia zaawansowanych lub nietestowanych metod ataków.When you remove cheap and well-established attack vectors, attackers are forced to acquire and use advanced or untested attack methods.

Usługa Azure Security Score w Azure Security Center monitoruje stan zabezpieczeń maszyn, sieci, usług magazynu i danych oraz aplikacje w celu odnajdywania potencjalnych problemów z zabezpieczeniami (maszyn wirtualnych połączonych z Internetem lub braku aktualizacji zabezpieczeń, braku ochrony punktu końcowego lub szyfrowania, odchyleń od konfiguracji zabezpieczeń punktu odniesienia, braku zapory aplikacji sieci Web i innych).Azure Secure Score in Azure Security Center monitors the security posture of machines, networks, storage and data services, and applications to discover potential security issues (internet connected VMs, or missing security updates, missing endpoint protection or encryption, deviations from baseline security configurations, missing Web Application Firewall (WAF), and more). Należy włączyć tę możliwość (bez dodatkowych kosztów), przejrzeć wyniki i postępować zgodnie z zawartymi zaleceniami , aby zaplanować i wykonać korekty techniczne, rozpoczynając od elementów o najwyższym priorytecie.You should enable this capability (no additional cost), review the findings, and follow the included recommendations to plan and execute technical remediations starting with the highest priority items.

W miarę jak rozwiązywane są zagrożenia, śledzenie postępu i ustalanie priorytetów trwających inwestycji w programy do zarządzania i zmniejszania ryzyka.As you address risks, track progress and prioritize ongoing investments in your governance and risk reduction programs.

Zwiększ automatyzację dzięki planom platformy AzureIncrease automation with Azure Blueprints

Korzystaj z natywnych możliwości automatyzacji platformy Azure, aby zwiększyć spójność, zgodność i szybkość wdrażania dla obciążeń.Use Azure’s native automation capabilities to increase consistency, compliance, and deployment speed for workloads.

Automatyzacja zadań związanych z wdrażaniem i konserwacją zmniejsza ryzyko bezpieczeństwa i zgodności dzięki ograniczeniu możliwości wprowadzania błędów ludzkich podczas ręcznych zadań.Automation of deployment and maintenance tasks reduces security and compliance risk by limiting opportunity to introduce human errors during manual tasks. Dzięki temu zarówno zespoły operacyjne IT, jak i zespoły ds. zabezpieczeń mogą przesunąć fokus od powtarzalnych ręcznych zadań do wyższych wartości, takich jak umożliwienie deweloperom i inicjatywom biznesowym, ochronę informacji itp.This will also allow both IT Operations teams and security teams to shift their focus from repeated manual tasks to higher value tasks like enabling developers and business initiatives, protecting information, and so on.

Usługa Azure Blueprint umożliwia szybkie i spójne wdrażanie środowisk aplikacji, które są zgodne z zasadami organizacji i przepisami zewnętrznymi.Utilize the Azure Blueprint service to rapidly and consistently deploy application environments that are compliant with your organization’s policies and external regulations. Usługa Azure Blueprint automatyzuje wdrażanie środowisk, w tym ról RBAC, zasad, zasobów (maszyn wirtualnych/sieciowych/magazynów itp.) i nie tylko.Azure Blueprint Service automates deployment of environments including RBAC roles, policies, resources (VM/Net/Storage/etc.), and more. Plany platformy Azure są tworzone na podstawie znaczących inwestycji firmy Microsoft w Azure Resource Manager w celu ujednolicenia wdrożenia zasobów na platformie Azure oraz włączenia wdrażania zasobów i zarządzania na mocy odpowiedniej metody.Azure Blueprints builds on Microsoft’s significant investment into the Azure Resource Manager to standardize resource deployment in Azure and enable resource deployment and governance based on a desired-state approach. Możesz użyć wbudowanych konfiguracji w Azure Blueprint, własnych lub po prostu użyć skryptów Menedżer zasobów dla mniejszego zakresu.You can use built in configurations in Azure Blueprint, make your own, or just use Resource Manager scripts for smaller scope.

Kilka przykładów planów zabezpieczeń i zgodności jest dostępnych do użycia jako szablon początkowy.Several Security and Compliance Blueprints samples are available to use as a starting template.

Oceń zabezpieczenia za pomocą testów porównawczychEvaluate security using benchmarks

Użyj standardowego testu porównawczego, aby oszacować bieżące Stane zabezpieczeń.Use an industry standard benchmark to evaluate your organizations current security posture.

Testy porównawcze umożliwiają ulepszanie programu zabezpieczeń przez uczenie się od organizacji zewnętrznych.Benchmarking allows you to improve your security program by learning from external organizations. Testy porównawcze pozwalają sprawdzić, jak bieżący stan zabezpieczeń jest porównywany z innymi organizacjami, co zapewnia zewnętrzną weryfikację pomyślnych elementów bieżącego systemu oraz identyfikowanie luk, które stanowią okazje do wzbogacania ogólnej strategii bezpieczeństwa zespołu.Benchmarking lets you know how your current security state compares to that of other organizations, providing both external validation for successful elements of your current system as well as identifying gaps that serve as opportunities to enrich your team’s overall security strategy. Nawet jeśli program zabezpieczeń nie jest powiązany z określonym testem porównawczym lub normą regulacyjną, można skorzystać ze znajomości udokumentowanych Stanów, które nie należą do Twojej branży.Even if your security program isn’t tied to a specific benchmark or regulatory standard, you will benefit from understanding the documented ideal states by those outside and inside of your industry.

  • Na przykład Centrum zabezpieczeń w sieci Internet (CIS) utworzyło testy porównawcze zabezpieczeń dla platformy Azure, które są mapowane na strukturę kontroli CIS.As an example, the Center for Internet Security (CIS) has created security benchmarks for Azure that map to the CIS Control Framework. Innym przykładem referencyjnym jest MITRE&ATT™ Framework, który definiuje różne atakującej taktykę i techniki w oparciu o rzeczywiste obserwacje.Another reference example is the MITRE ATT&CK™ framework that defines the various adversary tactics and techniques based on real-world observations. Te mapowania kontroli odwołań zewnętrznych ułatwiają zrozumienie wszelkich luk między bieżącą strategią i innymi ekspertami w branży.These external references control mappings help you to understand any gaps between your current strategy what you have and what other experts in the industry.

Inspekcja i Wymuszanie zgodności zasadAudit and enforce policy compliance

Upewnij się, że zespół ds. zabezpieczeń przeprowadza inspekcję środowiska w celu zgłoszenia zgodności z zasadami zabezpieczeń organizacji.Ensure that the security team is auditing the environment to report on compliance with the security policy of the organization. Zespoły zabezpieczeń mogą również wymuszać zgodność z tymi zasadami.Security teams may also enforce compliance with these policies.

Organizacje wszystkich rozmiarów będą mieć wymagania dotyczące zgodności z zabezpieczeniami.Organizations of all sizes will have security compliance requirements. Wszystkie firmy, instytucje rządowe i wewnętrzne zasady zabezpieczeń muszą być poddane inspekcji i wymuszania.Industry, government, and internal corporate security policies all need to be audited and enforced. Monitorowanie zasad ma kluczowe znaczenie, aby sprawdzić, czy początkowe konfiguracje są poprawne i czy nadal są zgodne z upływem czasu.Policy monitoring is critical to check that initial configurations are correct and that it continues to be compliant over time.

Na platformie Azure można korzystać z Azure Policy do tworzenia zasad, które wymuszają zgodność, i zarządzania nimi.In Azure, you can take advantage of Azure Policy to create and manage policies that enforce compliance. Podobnie jak w przypadku planów platformy Azure, zasady platformy Azure są oparte na podstawowych możliwościach Azure Resource Manager na platformie Azure (a Azure Policy można także przypisywać za pośrednictwem planów platformy Azure).Like Azure Blueprints, Azure Policies are built on the underlying Azure Resource Manager capabilities in the Azure platform (and Azure Policy can also be assigned via Azure Blueprints).

Aby uzyskać więcej informacji o tym, jak to zrobić na platformie Azure, zobacz Samouczek: Tworzenie zasad i zarządzanie nimi w celu wymuszenia zgodności.For more information on how to do this in Azure, please review Tutorial: Create and manage policies to enforce compliance.

Monitorowanie ryzyka tożsamościMonitor identity Risk

Monitoruj zdarzenia dotyczące ryzyka związane z tożsamościami dotyczące ostrzeżeń o potencjalnie złamanych tożsamościach i Koryguj te zagrożenia.Monitor identity related risk events for warning on potentially compromised identities and remediate those risks.

Większość zdarzeń zabezpieczeń odbywa się, gdy osoba atakująca początkowo uzyska dostęp przy użyciu skradzionej tożsamości.Most security incidents take place after an attacker initially gains access using a stolen identity. Te tożsamości często mogą zaczynać się od niskiego poziomu uprawnień, ale atakują następnie używają tej tożsamości do późniejszego przechodzenia i uzyskiwania dostępu do bardziej uprzywilejowanych tożsamości.These identities can often start with low privileges, but the attackers then use that identity to traverse laterally and gain access to more privileged identities. Jest to konieczne do momentu, aż osoba atakująca będzie kontrolować dostęp do ostatecznych docelowych danych lub systemów.This repeats as needed until the attacker controls access to the ultimate target data or systems.

Azure Active Directory używa adaptacyjnych algorytmów uczenia maszynowego, algorytmów heurystycznych i znanych złamanych poświadczeń (par username/Password) w celu wykrywania podejrzanych działań, które są związane z kontami użytkowników.Azure Active Directory uses adaptive machine learning algorithms, heuristics, and known compromised credentials (username/password pairs) to detect suspicious actions that are related to your user accounts. Te pary nazw użytkowników i haseł pochodzą z monitorowania publicznych i ciemnych witryn sieci Web (w przypadku których osoby atakujące często generują naruszone hasła) i przez współpracę z specjalistami ds. zabezpieczeń, przepisami prawnymi firmy Microsoft i innymi.These username/password pairs come from monitoring public and dark web sites (where attackers often dump compromised passwords) and by working with security researchers, law enforcement, Security teams at Microsoft, and others.

Istnieją dwa miejsca, w których można przeglądać zgłoszone zdarzenia dotyczące ryzyka:There are two places where you review reported risk events:

Ponadto można użyć interfejsu API zdarzeń dotyczących ryzyka ochrony tożsamości,   Aby uzyskać programowy dostęp do wykrywania zabezpieczeń przy użyciu Microsoft Graph.In addition, you can use the Identity Protection risk events API to gain programmatic access to security detections using Microsoft Graph.

Koryguj te zagrożenia ręcznie przy użyciu każdego zgłoszonego konta lub konfigurując zasady ryzyka dla użytkowników , aby wymagać zmiany hasła dla tych zdarzeń o wysokim ryzyku.Remediate these risks by manually addressing each reported account or by setting up a user risk policy to require a password change for these high risk events.

Testy penetracyjnePenetration testing

Aby sprawdzić zabezpieczenia zabezpieczeń, użyj testowania penetracji.Use Penetration Testing to validate security defenses.

Rzeczywista ogólnoświatowa weryfikacja ochrony zabezpieczeń ma kluczowe znaczenie dla weryfikacji strategii i implementacji obrony.Real world validation of security defenses is critical to validate your defense strategy and implementation. Można to osiągnąć w teście penetracji (symuluje jednorazowe ataki) lub w czerwonym programie zespołowym (symuluje trwały aktora zagrożenia dla danego środowiska).This can be accomplished by a penetration test (simulates a one time attack) or a red team program (simulates a persistent threat actor targeting your environment).

Postępuj zgodnie ze wskazówkami opublikowanymi przez firmę Microsoft w celu planowania i wykonywania symulowanych ataków.Follow the guidance published by Microsoft for planning and executing simulated attacks.

Odkryj & Zastąp protokoły niezabezpieczoneDiscover & replace insecure protocols

Odnajdywanie i wyłączanie starszych protokołów niezabezpieczonych SMBv1, LM/NTLMv1, wDigest, niepodpisane powiązania LDAP oraz słabych szyfrów w protokole Kerberos.Discover and disable the use of legacy insecure protocols SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds, and Weak ciphers in Kerberos.

Protokoły uwierzytelniania są kluczową podstawą niemal wszystkich gwarancji zabezpieczeń.Authentication protocols are a critical foundation of nearly all security assurances. Te starsze wersje mogą być wykorzystywane przez osoby atakujące z dostępem do sieci i często są używane w szerokim zakresie w starszych systemach w ramach infrastruktury jako usługi (IaaS).These older versions can be exploited by attackers with access to your network and are often used extensively on legacy systems on Infrastructure as a Service (IaaS).

Poniżej przedstawiono sposoby zmniejszenia ryzyka:Here are ways to reduce your risk:

  • Odnajdywanie użycia protokołu przez Przeglądanie dzienników za pomocą pulpitu nawigacyjnego niezabezpieczonego protokołu wskaźnikowego platformy Azure lub narzędzi innych firmDiscover protocol usage by reviewing logs with Azure Sentinel’s Insecure Protocol Dashboard or third party tools

  • Ogranicz lub Wyłącz korzystanie z tych protokołów, postępując zgodnie ze wskazówkami dotyczącymi protokołu SMB, NTLM, wdigestRestrict or Disable use of these protocols by following guidance for SMB, NTLM, WDigest

Zalecamy wdrożenie zmian przy użyciu pilotażu lub innej metody testowania, aby zmniejszyć ryzyko przerwania działania.We recommend implementing changes using pilot or other testing method to mitigate risk of operational interruption.

Podwyższone możliwości zabezpieczeńElevated security capabilities

Rozważ, czy chcesz korzystać z wyspecjalizowanych funkcji zabezpieczeń w architekturze przedsiębiorstwa.Consider whether to utilize specialized security capabilities in your enterprise architecture.

Te miary mają możliwość zwiększenia bezpieczeństwa i spełnienia wymagań prawnych, ale mogą spowodować złożoność, która może mieć negatywny wpływ na działania i wydajność.These measures have the potential to enhance security and meet regulatory requirements, but can introduce complexity that may negatively impact your operations and efficiency.

Zalecamy staranne uwzględnienie i rozsądne wykorzystanie tych środków bezpieczeństwa w miarę potrzeb:We recommend careful consideration and judicious use of these security measures as required:

Następne krokiNext steps

Aby uzyskać dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft, zobacz dokumentację zabezpieczeń firmy Microsoft.For additional security guidance from Microsoft, see Microsoft security documentation.