Базовый план безопасности Azure для Service FabricAzure security baseline for Service Fabric

Базовый план безопасности Azure для Service Fabric содержит рекомендации, которые помогут повысить уровень безопасности развертывания.The Azure Security Baseline for Service Fabric contains recommendations that will help you improve the security posture of your deployment.

Базовая конфигурация безопасности для этой службы взята из теста производительности системы Azure версии 1.0, содержащего рекомендации по обеспечению безопасности облачных решений в Azure с помощью наших практических рекомендаций.The baseline for this service is drawn from the Azure Security Benchmark version 1.0, which provides recommendations on how you can secure your cloud solutions on Azure with our best practices guidance.

Дополнительные сведения см. в статье Обзор базовой конфигурации безопасности Azure.For more information, see Azure Security Baselines overview.

Безопасность сетиNetwork security

Дополнительные сведения см. в статье Управление безопасностью: безопасность сети.For more information, see Security control: Network security.

1,1: защита ресурсов Azure в виртуальных сетях1.1: Protect Azure resources within virtual networks

Руководство. Убедитесь, что все развертывания подсетей виртуальных сетей имеют группу безопасности сети, применяемую к элементам управления доступом к сети, относящимся к доверенным портам и источникам приложения.Guidance: Ensure that all Virtual Network subnet deployments have a Network Security Group applied with network access controls specific to your application's trusted ports and sources.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

1,2. Мониторинг и запись конфигурации и трафика виртуальных сетей, подсетей и сетевых карт1.2: Monitor and log the configuration and traffic of virtual networks, subnets, and NICs

Руководство. Используйте центр безопасности Azure и исправьте рекомендации по защите сети для виртуальной сети, подсети и группы безопасности сети, используемой для защиты кластера Azure Service Fabric.Guidance: Use Azure Security Center and remediate network protection recommendations for the virtual network, subnet, and network security group being used to secure your Azure Service Fabric cluster. Включите журналы потоков группы безопасности сети (NSG) и отправьте журналы в учетную запись хранения Azure для аудита трафика.Enable network security group (NSG) flow logs and send logs into an Azure Storage Account to traffic audit. Вы также можете отправить журналы потоков NSG в рабочую область Azure Log Analytics и использовать Аналитика трафика Azure для получения ценных сведений о потоке трафика в облаке Azure.You may also send NSG flow logs to an Azure Log Analytics Workspace and use Azure Traffic Analytics to provide insights into traffic flow in your Azure cloud. Некоторые преимущества Azure Аналитика трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять несетевые настройки.Some advantages of Azure Traffic Analytics are the ability to visualize network activity and identify hot spots, identify security threats, understand traffic flow patterns, and pinpoint network misconfigurations.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

1.3. Защита критических веб-приложений1.3: Protect critical web applications

Руководство. предоставление внешнего шлюза для предоставления единой точки входа для пользователей, устройств или других приложений.Guidance: Provide a front-end gateway to provide a single point of ingress for users, devices, or other applications. Служба управления API Azure интегрируется непосредственно с Service Fabric, что позволяет защищать доступ к серверным службам, предотвращать атаки DOS с помощью регулирования, а также проверять ключи API, маркеры JWT, сертификаты и другие учетные данные.Azure API Management integrates directly with Service Fabric, allowing you to secure access to back-end services, prevent DOS attacks by using throttling, and verify API keys, JWT tokens, certificates, and other credentials.

Рассмотрите возможность развертывания брандмауэра веб-приложения Azure (WAF) перед критически важными веб-приложениями для дополнительной проверки входящего трафика.Consider deploying Azure Web Application Firewall (WAF) in front of critical web applications for additional inspection of incoming traffic. Включите параметр диагностики для WAF и приема журналов в учетную запись хранения, концентратор событий или рабочую область Log Analytics.Enable Diagnostic Setting for WAF and ingest logs into a Storage Account, Event Hub, or Log Analytics Workspace.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

1.4. Запрет взаимодействия с известными опасными IP-адресами1.4: Deny communications with known malicious IP addresses

Рекомендации. для защиты от атак от атак DDoS включите стандартную защиту Azure от атак DDoS в виртуальной сети, в которой развернут кластер Azure Service Fabric.Guidance: For protections from DDoS attacks, enable Azure DDoS Standard protection on the virtual network where your Azure Service Fabric cluster is deployed. Используйте интегрированную аналитику угроз центра безопасности Azure, чтобы запретить обмен данными с известными вредоносными или неиспользуемыми IP-адресами Интернета.Use Azure Security Center integrated threat intelligence to deny communications with known malicious or unused Internet IP addresses.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

1,5: запись сетевых пакетов1.5: Record network packets

Руководство. Включение журналов потоков для группы безопасности сети (NSG) для NSG, подключенного к подсети, используемой для защиты кластера Azure Service Fabric.Guidance: Enable network security group (NSG) flow logs for the NSG attached to the subnet being used to protect your Azure Service Fabric cluster. Запишите журналы потоков NSG в учетную запись хранения Azure, чтобы создать записи о потоках.Record the NSG flow logs into an Azure Storage Account to generate flow records. Если требуется для изучения аномальных действий, включите запись пакетов наблюдателя за сетями Azure.If required for investigating anomalous activity, enable Azure Network Watcher packet capture.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

1,6: развертывание системы обнаружения вторжений на основе сети и предотвращения вторжения (ИДЕНТИФИКАТОРы и IP-адреса)1.6: Deploy network-based intrusion detection/intrusion prevention systems (IDS/IPS)

Руководство. Выберите предложение из Azure Marketplace, которое поддерживает функции идентификаторов и IP-адресов с возможностью проверки полезной нагрузки.Guidance: Select an offer from the Azure Marketplace that supports IDS/IPS functionality with payload inspection capabilities. Если система обнаружения или предотвращения вторжений на основе проверки атакующего кода не является обязательной, можно использовать Брандмауэр Azure с аналитикой угроз.If intrusion detection and/or prevention based on payload inspection is not a requirement, Azure Firewall with Threat Intelligence can be used. Фильтрация Брандмауэра Azure на основе аналитики угроз может создавать оповещения и запрещать трафик, поступающий с известных вредоносных IP-адресов и доменов, а также передающий на них.Azure Firewall Threat intelligence-based filtering can alert and deny traffic to and from known malicious IP addresses and domains. IP-адреса и домены также передаются из канала Microsoft Threat Intelligence.The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed.

Разверните выбранное решение брандмауэра на каждом из границ сети вашей организации, чтобы обнаружить и/или отклонить вредоносный трафик.Deploy the firewall solution of your choice at each of your organization's network boundaries to detect and/or deny malicious traffic.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

1.7. Управление трафиком к веб-приложениям1.7: Manage traffic to web applications

Руководство. Развертывание шлюза приложений Azure для веб-приложений с ВКЛЮЧЕНным протоколом HTTPS/SSL для доверенных сертификатов.Guidance: Deploy Azure Application Gateway for web applications with HTTPS/SSL enabled for trusted certificates.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети1.8: Minimize complexity and administrative overhead of network security rules

Руководство. Использование тегов службы виртуальной сети для определения элементов управления доступом к сети для групп безопасности сети (NSG), подключенных к подсети, в которой развернут кластер Azure Service Fabric.Guidance: Use Virtual network service tags to define network access controls on network security groups (NSG) that are attached to the subnet your Azure Service Fabric cluster is deployed in. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности.You can use service tags in place of specific IP addresses when creating security rules. Указав имя тега службы (например, ApiManagement) в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы.By specifying the service tag name (e.g., ApiManagement) in the appropriate source or destination field of a rule, you can allow or deny the traffic for the corresponding service. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.Microsoft manages the address prefixes encompassed by the service tag and automatically updates the service tag as addresses change.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств1.9: Maintain standard security configurations for network devices

Руководство. Определение и реализация стандартных конфигураций безопасности для сетевых ресурсов, связанных с кластером Azure Service Fabric.Guidance: Define and implement standard security configurations for network resources related to your Azure Service Fabric cluster. Используйте псевдонимы политик Azure в пространствах имен Microsoft. ServiceFabric и Microsoft. Network, чтобы создать настраиваемые политики для аудита или принудительного применения конфигурации сети кластера Azure Service Fabric.Use Azure Policy aliases in the "Microsoft.ServiceFabric" and "Microsoft.Network" namespaces to create custom policies to audit or enforce the network configuration of your Azure Service Fabric cluster.

Вы также можете использовать схемы Azure для упрощения крупномасштабных развертываний Azure с помощью ключевых артефактов среды пакетов, таких как шаблоны Azure Resource Manager, элементы управления RBAC в Azure и политики, в одном определении схемы.You may also use Azure Blueprints to simplify large-scale Azure deployments by packaging key environment artifacts, such as Azure Resource Manager templates, Azure RBAC controls, and policies, in a single blueprint definition. Простое применение схемы к новым подпискам и средам, а также управление точной настройкой и управление с помощью версионирования.Easily apply the blueprint to new subscriptions and environments, and fine-tune control and management through versioning.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

1.10. Документация по правилам конфигурации трафика1.10: Document traffic configuration rules

Руководство. Использование тегов для группы безопасности сети (группы безопасности сети) и других ресурсов, связанных с сетевой безопасностью и потоком трафика, связанными с кластером Azure Service Fabric.Guidance: Use Tags for network security group (NSGs) and other resources related to network security and traffic flow that are associated with your Azure Service Fabric cluster. Для отдельных правил NSG используйте поле "Описание", чтобы указать бизнес-потребности и длительность (и т. д.) любых правил, которые разрешают трафик в сеть и из нее.For individual NSG rules, use the "Description" field to specify business need and/or duration (etc.) for any rules that allow traffic to/from a network.

Используйте любое из встроенных определений политик Azure, связанных с тегами, например "требовать тег и его значение", чтобы убедиться, что все ресурсы созданы с помощью тегов и уведомлять вас о существующих ресурсах без тегов.Use any of the built-in Azure Policy definitions related to tagging, such as "Require tag and its value" to ensure that all resources are created with Tags and to notify you of existing untagged resources.

Вы можете использовать Azure PowerShell или интерфейс командной строки Azure (CLI) для поиска и выполнения действий с ресурсами на основе их тегов.You may use Azure PowerShell or Azure command-line interface (CLI) to look up or perform actions on resources based on their Tags.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений1.11: Use automated tools to monitor network resource configurations and detect changes

Руководство. Использование журнала действий Azure для мониторинга конфигураций сетевых ресурсов и обнаружения изменений сетевых ресурсов, связанных с развертываниями Service Fabric Azure.Guidance: Use Azure Activity Log to monitor network resource configurations and detect changes for network resources related to your Azure Service Fabric deployments. Создавайте оповещения в Azure Monitor, которые будут запускаться при изменении критических сетевых ресурсов.Create alerts within Azure Monitor that will trigger when changes to critical network resources take place.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

Ведение журналов и мониторингLogging and monitoring

Дополнительные сведения см. в статье Управление безопасностью: ведение журналов и мониторинг.For more information, see Security control: Logging and monitoring.

2.1. Использование утвержденных источников синхронизации времени2.1: Use approved time synchronization sources

Руководство. Майкрософт хранит источники времени для компонентов кластера Azure Service Fabric. Вы можете обновить синхронизацию времени для развертывания вычислений.Guidance: Microsoft maintains time sources for Azure Service Fabric cluster components, you may update time synchronization for your compute deployments.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: MicrosoftResponsibility: Microsoft

2.2. Настройка централизованного управления журналами безопасности2.2: Configure central security log management

Руководство. Вы можете подключить кластер Azure Service Fabric к Azure Monitor для агрегирования данных безопасности, создаваемых кластером.Guidance: You can onboard your Azure Service Fabric cluster to Azure Monitor to aggregate security data generated by the cluster. См. примеры проблем диагностики и решения с Service Fabric.See example diagnostics problems and solutions with Service Fabric.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

2.3. Включение журналов аудита для ресурсов Azure2.3: Enable audit logging for Azure resources

Руководство. Включение Azure Monitor для кластера Service Fabric направляет его в рабочую область log Analytics.Guidance: Enable Azure Monitor for the Service Fabric cluster, direct it to a Log Analytics workspace. При этом будут регистрироваться соответствующие сведения о кластере и метрики ОС для всех узлов кластера Azure Service Fabric.This will log relevant cluster information and OS metrics for all Azure Service Fabric cluster nodes.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

2.4. Сбор журналов безопасности из операционных систем2.4: Collect security logs from operating systems

Руководство. Подключение кластера Azure Service Fabric к Azure Monitor.Guidance: Onboard the Azure Service Fabric cluster to Azure Monitor. Убедитесь, что в рабочей области Log Analytics используется срок хранения журнала, заданный в соответствии с нормативными требованиями вашей организации.Ensure that the Log Analytics workspace used has the log retention period set according to your organization's compliance regulations.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность. CustomerResponsibility: Customer

2.5. Настройка хранения журнала безопасности2.5: Configure security log storage retention

Руководство. Подключение кластера Azure Service Fabric к Azure Monitor.Guidance: Onboard the Azure Service Fabric cluster to Azure Monitor. Убедитесь, что в рабочей области Log Analytics используется срок хранения журнала, заданный в соответствии с нормативными требованиями вашей организации.Ensure that the Log Analytics workspace used has the log retention period set according to your organization's compliance regulations.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

2,6: мониторинг и просмотр журналов2.6: Monitor and review logs

Руководство. Использование запросов к рабочей области Azure log Analytics для запроса журналов Service Fabric Azure.Guidance: Use Azure Log Analytics workspace queries to query Azure Service Fabric logs.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

2,7: Включение оповещений для аномальных действий2.7: Enable alerts for anomalous activities

Руководство. Использование рабочей области Azure log Analytics для мониторинга и оповещения о аномальных действиях в журналах безопасности и событиях, связанных с кластером Azure Service Fabric.Guidance: Use Azure Log Analytics workspace for monitoring and alerting on anomalous activities in security logs and events related to your Azure Service Fabric cluster.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

2.8. Централизованное ведение журнала защиты от вредоносных программ2.8: Centralize anti-malware logging

Руководство. по умолчанию Защитник Windows устанавливается на windows Server 2016.Guidance: By default, Windows Defender is installed on Windows Server 2016. Если вы не используете защитник Windows, обратитесь к документации по Антималеваре для правил конфигурации.Refer to your Antimaleware documentation for configuration rules if you are not using Windows Defender. Защитник Windows не поддерживается в Linux.Windows Defender is not supported on Linux.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

2.9. Включение ведения журнала запросов DNS2.9: Enable DNS query logging

Руководство. Реализация стороннего решения для ведения журнала DNS.Guidance: Implement a third-party solution for DNS logging.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

2.10. Включение ведения журнала аудита для командной строки2.10: Enable command-line audit logging

Руководство. Ручная настройка ведения журнала консоли для каждого узла.Guidance: Manually configure console logging on a per-node basis.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

Идентификаторы и управление доступомIdentity and access control

Дополнительные сведения см. в статье Управление безопасностью: идентификаторы и управление доступом.For more information, see Security control: Identity and access control.

3.1. Инвентаризация учетных записей администраторов3.1: Maintain an inventory of administrative accounts

Руководство. Сохранение записи локальной административной учетной записи, созданной при подготовке кластера Azure Service Fabric, а также любых других создаваемых учетных записей.Guidance: Maintain record of the local administrative account that is created during cluster provisioning of Azure Service Fabric cluster as well as any other accounts you create. Кроме того, если используется интеграция Azure AD, в Azure AD есть встроенные роли, которые должны быть явно назначены и, следовательно, доступны для запросов.In addition, if Azure AD integration is used, Azure AD has built-in roles that must be explicitly assigned and are therefore queryable. Используйте модуль Azure AD PowerShell, чтобы выполнять нерегламентированные запросы для обнаружения учетных записей, входящих в группы администраторов.Use the Azure AD PowerShell module to perform adhoc queries to discover accounts that are members of administrative groups.

Кроме того, вы можете использовать рекомендации по управлению удостоверениями и доступом в центре безопасности Azure.In addition, you may use Azure Security Center Identity and Access Management recommendations.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

3.2. Изменение паролей по умолчанию, где применимо3.2: Change default passwords where applicable

Руководство. при подготовке кластера Azure требует создания новых паролей для веб-портала.Guidance: When provisioning a cluster, Azure requires you to create new passwords for the web portal. Пароли по умолчанию для изменения отсутствуют, однако можно указать разные пароли для доступа к веб-порталу.There are no default passwords to change, however you can specify different passwords for web portal access.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

3.3. Применение выделенных административных учетных записей3.3: Use dedicated administrative accounts

Руководство. Интеграция аутентификации для Azure Service Fabric с Azure Active Directory.Guidance: Integrate Authentication for Azure Service Fabric with Azure Active Directory. Создание политик и процедур, связанных с использованием выделенных административных учетных записей.Create policies and procedures around the use of dedicated administrative accounts.

Кроме того, вы можете использовать рекомендации по управлению удостоверениями и доступом в центре безопасности Azure.In addition, you may use Azure Security Center Identity and Access Management recommendations.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

3.4. Использование единого входа с Azure Active Directory3.4: Use single sign-on (SSO) with Azure Active Directory

Рекомендации. везде, где это возможно, используйте Azure Active Directory SSO вместо настройки отдельных автономных учетных данных для каждой службы.Guidance: Wherever possible, use Azure Active Directory SSO instead of configuring individual stand-alone credentials per-service. Используйте рекомендации по управлению удостоверениями и доступом в центре безопасности Azure.Use Azure Security Center Identity and Access Management recommendations.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory3.5: Use multi-factor authentication for all Azure Active Directory based access

Руководство. Включите многофакторную проверку подлинности Azure AD и следуйте рекомендациям по управлению идентификацией и доступом в Центре безопасности Azure.Guidance: Enable Azure AD MFA and follow Azure Security Center Identity and Access Management recommendations.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

3.6. Использование выделенных компьютеров (рабочих станций с привилегированным доступом) для всех административных задач3.6: Use dedicated machines (Privileged Access Workstations) for all administrative tasks

Руководство. Используйте лапы (рабочие станции с привилегированным доступом) с поддержкой многофакторной идентификации (MFA), настроенной для входа в и настройки кластеров Azure Service Fabric и связанных ресурсов.Guidance: Use PAWs (privileged access workstations) with multi-factor authentication (MFA) configured to log into and configure your Azure Service Fabric clusters and related resources.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: CustomerResponsibility: Customer

3,7: журналы и оповещения о подозрительных действиях учетных записей администраторов3.7: Log and alert on suspicious activities from administrative accounts

Руководство. Используйте Privileged Identity Management (PIM) в Azure Active Directory (AD) для создания журналов и оповещений при возникновении подозрительных или небезопасных действий в среде.Guidance: Use Azure Active Directory (AD) Privileged Identity Management (PIM) for generation of logs and alerts when suspicious or unsafe activity occurs in the environment. Кроме того, используйте обнаружение рисков Azure AD для просмотра оповещений и отчетов об опасном поведении пользователя.In addition, use Azure AD risk detections to view alerts and reports on risky user behavior.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

3.8. Управление ресурсами Azure только из утвержденных расположений3.8: Manage Azure resources from only approved locations

Руководство. Используйте именованные расположения с условным доступом, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов или стран и регионов.Guidance: Use Conditional Access Named Locations to allow access from only specific logical groupings of IP address ranges or countries/regions.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

3.9. Использование Azure Active Directory3.9: Use Azure Active Directory

Руководство. Использование Azure Active Directory (AAD) в качестве централизованной системы проверки подлинности и авторизации для защиты доступа к конечным точкам управления кластеров Azure Service Fabric.Guidance: Use Azure Active Directory (AAD) as the central authentication and authorization system to secure access to management endpoints of Azure Service Fabric clusters. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных.AAD protects data by using strong encryption for data at rest and in transit. AAD также содержит Salt-записи, хэши и безопасно хранит учетные данные пользователя.AAD also salts, hashes, and securely stores user credentials.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

3.10. Регулярная проверка и согласование доступа пользователей3.10: Regularly review and reconcile user access

Руководство. Использование проверки подлинности Azure Active Directory (AAD) в кластере Azure Service Fabric.Guidance: Use Azure Active Directory (AAD) authentication with your Azure Service Fabric cluster. AAD предоставляет журналы для облегчения поиска устаревших учетных записей.AAD provides logs to help discover stale accounts. Кроме того, используйте проверку доступа удостоверений Azure, чтобы эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениями ролей.In addition, use Azure Identity Access Reviews to efficiently manage group memberships, access to enterprise applications, and role assignments. Доступ пользователя можно проверить регулярно, чтобы убедиться, что доступ к ним имеют только нужные пользователи.User's access can be reviewed on a regular basis to make sure only the right Users have continued access.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

3,11: предупреждение об отклонении режима входа учетной записи3.11: Alert on account login behavior deviation

Руководство. Использование Azure Active Directory (AAD) для входа и журналов аудита для наблюдения за попытками доступа к отключенным учетным записям; Эти журналы можно интегрировать в любое стороннее средство SIEM/Monitoring.Guidance: Use Azure Active Directory (AAD) Sign-in and Audit logs to monitor for attempts to access deactivated accounts; these logs can be integrated into any third-party SIEM/monitoring tool.

Этот процесс можно упростить, создав параметры диагностики для учетных записей пользователей AAD, отправив журналы аудита и журналы входа в рабочую область Azure Log Analytics.You can streamline this process by creating Diagnostic Settings for AAD user accounts, sending the audit logs and sign-in logs to a Azure Log Analytics workspace. Настройте нужные оповещения в рабочей области Azure Log Analytics.Configure desired Alerts within Azure Log Analytics workspace.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

3,12: предупреждение об отклонении при входе в учетную запись3.12: Alert on account sign-in behavior deviation

Руководство. Используйте функции защиты идентификации и обнаружения рисков Azure AD, чтобы настроить автоматическое реагирование для обнаружения подозрительных действий, связанных с удостоверениями пользователей.Guidance: Use Azure AD Risk and Identity Protection features to configure automated responses to detected suspicious actions related to user identities. Вы также можете включить данные в Azure Sentinel для дальнейшего изучения.You can also ingest data into Azure Sentinel for further investigation.

Мониторинг Центра безопасности Azure. Сейчас это недоступно.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

3.13. Предоставление корпорации Майкрософт доступа к соответствующим данным клиентов в рамках сценариев поддержки3.13: Provide Microsoft with access to relevant customer data during support scenarios

Руководство: недоступно; Защищенное хранилище еще не поддерживаются для Azure Service Fabric.Guidance: Not available; Customer Lockbox not yet supported for Azure Service Fabric.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: НеприменимоResponsibility: Not applicable

Защита данныхData protection

Дополнительные сведения см. в статье Управление безопасностью: защита данных.For more information, see Security control: Data protection.

4.1. Инвентаризация конфиденциальных данных4.1: Maintain an inventory of sensitive Information

Руководство. Использование тегов в ресурсах, связанных с развертываниями кластера Azure Service Fabric, для помощи в отслеживании ресурсов Azure, в которых хранятся или обрабатываются конфиденциальные данные.Guidance: Use tags on resources related to your Azure Service Fabric cluster deployments to assist in tracking Azure resources that store or process sensitive information.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные4.2: Isolate systems storing or processing sensitive information

Руководство. Реализуйте отдельные подписки и группы управления для разработки, тестирования и производства.Guidance: Implement separate subscriptions and/or management groups for development, test, and production. Ресурсы должны быть разделены виртуальной сетью или подсетью, помечены соответствующим образом и защищены брандмауэром NSG или Azure.Resources should be separated by VNet/Subnet, tagged appropriately, and secured by an NSG or Azure Firewall. Ресурсы, которые хранят или обрабатывают конфиденциальные данные, должны быть достаточно изолированы.Resources storing or processing sensitive data should be sufficiently isolated. Для виртуальных машин, которые хранят или обрабатывают конфиденциальные данные, реализуйте политику и процедуры, чтобы отключить их, когда они не используются.For Virtual Machines storing or processing sensitive data, implement policy and procedure(s) to turn them off when not in use.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации4.3: Monitor and block unauthorized transfer of sensitive information

Руководство. Развертывание автоматизированного инструмента на периметре сети, который отслеживает несанкционированную передачу конфиденциальной информации и блокирует такие передачи при оповещении специалистов по информационной безопасности.Guidance: Deploy an automated tool on network perimeters that monitors for unauthorized transfer of sensitive information and blocks such transfers while alerting information security professionals.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации.For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления защитой данных иTo ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and

речь.capabilities.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: Совмещаемая блокировкаResponsibility: Shared

4.4: Шифрование любой конфиденциальной информации при передаче4.4: Encrypt all sensitive information in transit

Руководство. шифрование всех конфиденциальных данных во время передачи.Guidance: Encrypt all sensitive information in transit. Убедитесь, что все клиенты, подключающиеся к ресурсам Azure, могут согласовать TLS 1,2 или более поздней версии.Ensure that any clients connecting to your Azure resources are able to negotiate TLS 1.2 or greater.

Следуйте рекомендациям центра безопасности Azure для шифрования неактивных данных и шифрования при передаче, где это применимо.Follow Azure Security Center recommendations for encryption at rest and encryption in transit, where applicable.

Мониторинг центра безопасности Azure: Сейчас это недоступноAzure Security Center monitoring: Currently not available

Ответственность: Совмещаемая блокировкаResponsibility: Shared

4.5. Использование средства активного обнаружения для распознавания конфиденциальных данных4.5: Use an active discovery tool to identify sensitive data

Руководство. функции для идентификации, классификации и предотвращения потерь данных пока недоступны для службы хранилища Azure или ресурсов для вычислений.Guidance: Data identification, classification, and loss prevention features are not yet available for Azure Storage or compute resources. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям.Implement third-party solution if required for compliance purposes.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации.For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: Совмещаемая блокировкаResponsibility: Shared

4.6. Контроль доступа к ресурсам с помощью RBAC4.6: Use Azure RBAC to control access to resources

Руководство. Неприменимо; эта рекомендация предназначена для невычислительных ресурсов, которые служат для хранения данных.Guidance: Not applicable; this recommendation is intended for non-compute resources designed to store data.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: НеприменимоResponsibility: Not applicable

4.7. Использование защиты от потери данных на основе узла для обеспечения контроля доступа4.7: Use host-based data loss prevention to enforce access control

Руководство. для кластеров Azure Service Fabric, в которых хранятся или обрабатываются конфиденциальные данные, пометьте кластер и связанные ресурсы как конфиденциальные с помощью тегов.Guidance: For Azure Service Fabric clusters storing or processing sensitive information, mark the cluster and related resources as sensitive using tags. Функции защиты идентификации, классификации и предотвращения потери данных пока недоступны для службы хранилища Azure или ресурсов.Data identification, classification, and loss prevention features are not yet available for Azure Storage or compute resources. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям.Implement third-party solution if required for compliance purposes.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации.For the underlying platform which is managed by Microsoft, Microsoft treats all customer content as sensitive and goes to great lengths to guard against customer data loss and exposure. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.To ensure customer data within Azure remains secure, Microsoft has implemented and maintains a suite of robust data protection controls and capabilities.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: Совмещаемая блокировкаResponsibility: Shared

4.8. Шифрование конфиденциальной информации при хранении4.8: Encrypt sensitive information at rest

Руководство. используйте шифрование неактивных ресурсов Azure.Guidance: Use encryption at rest on all Azure resources. Корпорация Майкрософт рекомендует разрешить Azure управлять ключами шифрования, однако существует возможность управлять собственными ключами в некоторых экземплярах.Microsoft recommends allowing Azure to manage your encryption keys, however there is the option for you to manage your own keys in some instances.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure4.9: Log and alert on changes to critical Azure resources

Руководство. Использование Azure Monitor с журналом действий Azure для создания оповещений о том, когда изменения выполняются с важными ресурсами Azure.Guidance: Use Azure Monitor with the Azure Activity Log to create alerts for when changes take place to critical Azure resources.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

управление уязвимостями;Vulnerability management

Дополнительные сведения см. в статье Управление безопасностью: управление уязвимостями.For more information, see Security control: Vulnerability management.

5.1. Выполнение автоматизированных средства анализа уязвимостей5.1: Run automated vulnerability scanning tools

Руководство. регулярное выполнение Service Fabric службы анализа сбоев и Chaos Services для моделирования сбоев в кластере для оценки надежности и надежности служб.Guidance: Regularly run the Service Fabric Fault Analysis Service and Chaos services to simulate faults throughout the cluster to assess the robustness and reliability of your services.

Следуйте рекомендациям центра безопасности Azure по оценке уязвимостей на виртуальных машинах Azure и в образах контейнеров.Follow recommendations from Azure Security Center on performing vulnerability assessments on your Azure virtual machines and container images.

Используйте стороннее решение для проведения оценки уязвимостей на сетевых устройствах и веб-приложениях.Use a third-party solution for performing vulnerability assessments on network devices and web applications. При проведении удаленной проверки не используйте одну, бессрочную учетную запись администратора.When conducting remote scans, do not use a single, perpetual, administrative account. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки.Consider implementing JIT provisioning methodology for the scan account. Учетные данные для учетной записи проверки должны быть защищены, отслеживаться и использоваться только для поиска уязвимостей.Credentials for the scan account should be protected, monitored, and used only for vulnerability scanning.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

5.2. Развертывание автоматизированного решения для управления исправлениями операционной системы5.2: Deploy automated operating system patch management solution

Руководство. Включение автоматического обновления образов ОС в масштабируемых наборах виртуальных машин кластера Azure Service Fabric.Guidance: Enable automatic OS image upgrades on the virtual machine scale sets of your Azure Service Fabric cluster.

Кроме того, для тестирования исправлений ОС перед переходом в рабочую среду используйте ручной триггер для обновления образа операционной системы в масштабируемом наборе.Alternately, to test OS patches first before going to production, use the manual trigger for OS image upgrades of your scale set. Обратите внимание, что параметр триггера вручную не предоставляет встроенную функцию отката.Note that the manual trigger option doesn't provide built-in rollback. Мониторинг исправлений ОС с помощью Управление обновлениями из службы автоматизации Azure.Monitor OS patches using Update Management from Azure Automation.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

5,3: Развертывание автоматизированного решения по управлению исправлениями для программ сторонних разработчиков5.3: Deploy automated patch management solution for third-party software titles

Руководство. Включение автоматического обновления образов ОС в масштабируемых наборах виртуальных машин кластера Azure Service Fabric.Guidance: Enable automatic OS image upgrades on the virtual machine scale sets of your Azure Service Fabric cluster. Приложение для управления исправлениями (ВЕХ) — это альтернативное решение, предназначенное для Service Fabric кластеров, размещенных за пределами Azure.Patch Orchestration Application (POA) is an alternative solution that is intended for Service Fabric clusters hosted outside of Azure. ВЕХ можно использовать с кластерами Azure с дополнительными издержками на размещение.POA can be used with Azure clusters, with some additional hosting overhead.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

5.4. Сравнение проверок смежных уязвимостей5.4: Compare back-to-back vulnerability scans

Руководство. Экспорт результатов сканирования с одинаковыми интервалами и сравнение результатов для проверки того, что уязвимости исправлены.Guidance: Export scan results at consistent intervals and compare the results to verify that vulnerabilities have been remediated. При использовании рекомендаций по управлению уязвимостями, предлагаемых центром безопасности Azure, вы можете выполнить сведение на портал выбранного решения для просмотра исторических данных сканирования.When using vulnerability management recommendations suggested by Azure Security Center, you may pivot into the selected solution's portal to view historical scan data.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

5.5. Использование процесса оценки рисков для определения приоритета в устранении обнаруженных уязвимостей5.5: Use a risk-rating process to prioritize the remediation of discovered vulnerabilities

Руководство. Используйте общую программу оценки рисков (например, Common Vulnerability Scoring System) или оценки рисков по умолчанию, предоставляемые сторонним средством сканирования.Guidance: Use a common risk scoring program (e.g. Common Vulnerability Scoring System) or the default risk ratings provided by your third-party scanning tool.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

Инвентаризация и управление ресурсамиInventory and asset management

Дополнительные сведения см. в статье Управление безопасностью: инвентаризация и управление ресурсами.For more information, see Security control: Inventory and asset management.

6,1. Использование автоматизированного решения для обнаружения ресурсов6.1: Use automated asset discovery solution

Руководство. Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (например, вычислений, хранилища, сети, портов, протоколов и т. д.) в ваших подписках.Guidance: Use Azure Resource Graph to query/discover all resources (such as compute, storage, network, ports, and protocols etc.) within your subscription(s). Убедитесь в том, что в вашем клиенте есть соответствующие разрешения (на чтение) и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.Ensure appropriate (read) permissions in your tenant and enumerate all Azure subscriptions as well as resources within your subscriptions.

Хотя классические ресурсы Azure можно обнаружить через Resource Graph, настоятельно рекомендуется в дальнейшем создавать и использовать ресурсы Azure Resource Manager.Although classic Azure resources may be discovered via Resource Graph, it is highly recommended to create and use Azure Resource Manager resources going forward.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.2. Ведение метаданных активов6.2: Maintain asset metadata

Руководство. Применяйте к ресурсам Azure теги, чтобы логически классифицировать их на основе метаданных.Guidance: Apply tags to Azure resources giving metadata to logically organize them into a taxonomy.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.3. Удаление неавторизованных ресурсов Azure6.3: Delete unauthorized Azure resources

Руководство. Использование тегов, групп управления и отдельных подписок (при необходимости) для Организации и мониторинга ресурсов.Guidance: Use tagging, management groups, and separate subscriptions, where appropriate, to organize and track assets. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.Reconcile inventory on a regular basis and ensure unauthorized resources are deleted from the subscription in a timely manner.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6,4: определение и обслуживание инвентаризации утвержденных ресурсов Azure6.4: Define and maintain inventory of approved Azure resources

Руководство. Определите утвержденные ресурсы Azure и программное обеспечение для вычислительных ресурсов.Guidance: Define approved Azure resources and approved software for compute resources.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.5. Отслеживание неутвержденных ресурсов Azure6.5: Monitor for unapproved Azure resources

Рекомендации. Используйте политику Azure, чтобы ограничить тип ресурсов, которые могут быть созданы в подписках клиентов, используя следующие встроенные определения политик:Guidance: Use Azure Policy to put restrictions on the type of resources that can be created in customer subscription(s) using the following built-in policy definitions:

Недопустимые типы ресурсовNot allowed resource types

Допустимые типы ресурсовAllowed resource types

Используйте граф ресурсов Azure для запроса или обнаружения ресурсов в ваших подписках.Use Azure Resource Graph to query/discover resources within your subscription(s). Убедитесь в том, что все ресурсы Azure, представленные в среде, утверждены.Ensure that all Azure resources present in the environment are approved.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.6. Отслеживание неутвержденных программных приложений в рамках ресурсов вычислений6.6: Monitor for unapproved software applications within compute resources

Руководство. Реализация стороннего решения для мониторинга узлов кластера для неутвержденных программных приложений.Guidance: Implement a third-party solution to monitor cluster nodes for unapproved software applications.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.7. Удаление неутвержденных ресурсов Azure и программных приложений6.7: Remove unapproved Azure resources and software applications

Руководство. Использование графа ресурсов Azure для запроса или обнаружения всех ресурсов (например, вычислений, хранилища, сети, портов и протоколов и т. д.), включая кластеры Azure Service Fabric, в ваших подписках.Guidance: Use Azure Resource Graph to query/discover all resources (such as compute, storage, network, ports, and protocols etc.), including Azure Service Fabric clusters, within your subscription(s). Удалите все неутвержденные ресурсы Azure, которые вы обнаружите.Remove any unapproved Azure resources that you discover. Для узлов кластера Azure Service Fabric реализуйте стороннее решение для удаления или оповещения о неутвержденном программном обеспечении.For Azure Service Fabric cluster nodes, implement a third-party solution to remove or alert on unapproved software.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.8. Использование только утвержденных приложений6.8: Use only approved applications

Руководство. для узлов кластера Azure Service Fabric реализуйте стороннее решение, чтобы предотвратить выполнение несанкционированного программного обеспечения.Guidance: For Azure Service Fabric cluster nodes, implement a third-party solution to prevent unauthorized software from executing.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.9. Использование только утвержденных служб Azure6.9: Use only approved Azure services

Руководство. Использование политики Azure для ограничения служб, которые можно подготавливать в вашей среде.Guidance: Use Azure Policy to restrict which services you can provision in your environment.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6,10: ведение инвентаризации утвержденных наименований программного обеспечения6.10: Maintain an inventory of approved software titles

Руководство. для узлов кластера Azure Service Fabric реализуйте стороннее решение, чтобы предотвратить выполнение несанкционированных типов файлов.Guidance: For Azure Service Fabric cluster nodes, implement a third-party solution to prevent unauthorized file types from executing.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6,11: ограничьте возможность пользователей работать с Azure Resource Manager6.11: Limit users' ability to interact with Azure Resource Manager

Руководство. Использование условного доступа Azure для ограничения возможности пользователей взаимодействовать с диспетчером ресурсов Azure путем настройки "блокировать доступ" для приложения "Microsoft Azure управления".Guidance: Use Azure Conditional Access to limit users' ability to interact with Azure Resources Manager by configuring "Block access" for the "Microsoft Azure Management" App.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.12. Ограничение возможности пользователей выполнять сценарии в ресурсах вычислений6.12: Limit users' ability to execute scripts within compute resources

Руководство. Использование конфигураций, специфичных для операционной системы, или сторонних ресурсов для ограничения возможности пользователей выполнять сценарии в ресурсах вычислений Azure.Guidance: Use operating system specific configurations or third-party resources to limit users' ability to execute scripts within Azure compute resources.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

6.13. Физическое или логическое разделение приложений с высоким риском6.13: Physically or logically segregate high risk applications

Руководство. программное обеспечение, необходимое для бизнес-операций, но может повысить риск для Организации, должно быть изолировано внутри собственной виртуальной машины и (или) виртуальной сети и достаточно защищено с помощью брандмауэра Azure или группы безопасности сети.Guidance: Software that is required for business operations, but may incur higher risk for the organization, should be isolated within its own virtual machine and/or virtual network and sufficiently secured with either an Azure Firewall or Network Security Group.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

Безопасная конфигурацияSecure configuration

Дополнительные сведения см. в статье Управление безопасностью: безопасная конфигурация.For more information, see Security control: Secure configuration.

7.1. Установка безопасных конфигураций для всех ресурсов Azure7.1: Establish secure configurations for all Azure resources

Руководство. Использование псевдонимов политик Azure в пространстве имен Microsoft. ServiceFabric для создания настраиваемых политик аудита или принудительного применения сетевой конфигурации кластера Service Fabric.Guidance: Use Azure Policy aliases in the "Microsoft.ServiceFabric" namespace to create custom policies to audit or enforce the network configuration of your Service Fabric cluster.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7.2. Сохранение безопасных конфигураций для операционных систем7.2: Establish secure operating system configurations

Руководство. Управление образами операционных систем Azure Service Fabric и их обслуживание осуществляется корпорацией Майкрософт.Guidance: Azure Service Fabric Operating System Images are managed and maintained by Microsoft. Клиент, ответственный за реализацию безопасных конфигураций для операционной системы узлов кластера.Customer responsible for implementing secure configurations for your cluster nodes' operating system.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7.3. Сохранение безопасных конфигураций для ресурсов Azure7.3: Maintain secure Azure resource configurations

Рекомендации. Используйте политику Azure [Deny] и [развертывание, если не существует], чтобы применить параметры безопасности для кластеров Azure Service Fabric и связанных ресурсов.Guidance: Use Azure Policy [deny] and [deploy if not exist] to enforce secure settings for your Azure Service Fabric clusters and related resources.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7.4. Сохранение безопасных конфигураций для операционных систем7.4: Maintain secure operating system configurations

Руководство. Управление образами операционных систем кластера Azure Service Fabric и их обслуживание корпорацией Майкрософт.Guidance: Azure Service Fabric cluster Operating System Images managed and maintained by Microsoft. Клиент, ответственный за реализацию конфигурации состояния на уровне ОС.Customer responsible for implementing OS-level state configuration.

Мониторинг центра безопасности Azure: Сейчас это недоступноAzure Security Center monitoring: Currently not available

Ответственность: Совмещаемая блокировкаResponsibility: Shared

7.5. Безопасное хранение конфигурации ресурсов Azure7.5: Securely store configuration of Azure resources

Руководство. Если вы используете пользовательские определения политики Azure, используйте Azure DevOps или Azure Repos для безопасного хранения кода и управления им.Guidance: If using custom Azure Policy definitions, use Azure DevOps or Azure Repos to securely store and manage your code.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7.6. Безопасное хранение пользовательских образов операционной системы7.6: Securely store custom operating system images

Руководство. при использовании пользовательских образов используйте управление доступом на основе ролей Azure (Azure RBAC), чтобы предоставить доступ к образам только полномочным пользователям.Guidance: If using custom images, use Azure role-based access control (Azure RBAC) to ensure only authorized users may access the images. Для образов контейнеров Храните их в реестре контейнеров Azure и используйте Azure RBAC, чтобы обеспечить доступ к образам только полномочным пользователям.For container images, store them in Azure Container Registry and leverage Azure RBAC to ensure only authorized users may access the images.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7,7: развертывание средств управления конфигурацией для ресурсов Azure7.7: Deploy configuration management tools for Azure resources

Руководство. Использование псевдонимов политик Azure в пространстве имен Microsoft. ServiceFabric для создания настраиваемых политик для оповещения, аудита и принудительного применения конфигураций системы.Guidance: Use Azure Policy aliases in the "Microsoft.ServiceFabric" namespace to create custom policies to alert, audit, and enforce system configurations. Кроме того, разрабатывайте процесс и конвейер для управления исключениями политик.Additionally, develop a process and pipeline for managing policy exceptions.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7,8: развертывание средств управления конфигурацией для операционных систем7.8: Deploy configuration management tools for operating systems

Руководство: неприменимо; Это руководство предназначено для вычислений с ресурсами IaaS.Guidance: Not applicable; this guideline is intended for IaaS compute resources.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: НеприменимоResponsibility: Not applicable

7,9. Реализация автоматического мониторинга конфигурации для ресурсов Azure7.9: Implement automated configuration monitoring for Azure resources

Руководство. Использование псевдонимов политик Azure в пространстве имен Microsoft. ServiceFabric для создания настраиваемых политик для аудита или принудительного применения конфигурации кластера Service Fabric.Guidance: Use Azure Policy aliases in the "Microsoft.ServiceFabric" namespace to create custom policies to audit or enforce the configuration of your Service Fabric cluster.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7.10. Реализация автоматизированного мониторинга конфигурации для операционных систем7.10: Implement automated configuration monitoring for operating systems

Руководство. Использование центра безопасности Azure для выполнения проверок базовых параметров ОС и DOCKER для контейнеров.Guidance: Use Azure Security Center to perform baseline scans for OS and Docker Settings for containers.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7.11. Безопасное управление секретами Azure7.11: Manage Azure secrets securely

Рекомендации. Используйте управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление секретами для облачных приложений.Guidance: Use Managed Service Identity in conjunction with Azure Key Vault to simplify and secure secret management for your cloud applications.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7.12. Безопасное и автоматическое управление удостоверениями7.12: Manage identities securely and automatically

Руководство. управляемые удостоверения можно использовать в кластерах Service Fabric, развернутых в Azure, а также для приложений, развернутых в качестве ресурсов Azure.Guidance: Managed identities can be used in Azure-deployed Service Fabric clusters, and for applications deployed as Azure resources. Управляемое удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает проверку подлинности Azure AD, включая Key Vault, при этом не сохраняя каких-либо учетных данных в коде.Managed Identities allows you to authenticate to any service that supports Azure AD authentication, including Key Vault, without any credentials in your code.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

7.13. Устранение непреднамеренного раскрытия учетных данных7.13: Eliminate unintended credential exposure

Руководство. при использовании любого кода, связанного с развертыванием Service Fabric Azure, можно реализовать средство проверки учетных данных для указания учетных данных в коде.Guidance: If using any code related to your Azure Service Fabric deployment, you may implement Credential Scanner to identify credentials within code. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.Credential Scanner will also encourage moving discovered credentials to more secure locations such as Azure Key Vault.

Используйте Azure Key Vault для автоматической смены сертификатов Service Fabric кластера.Use Azure Key Vault to rotate Service Fabric cluster certificates automatically.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: CustomerResponsibility: Customer

Защита от вредоносных программMalware defense

Дополнительные сведения см. в статье Управление безопасностью: защита от вредоносных программ.For more information, see Security control: Malware defense.

8.1. Использование централизованно управляемого программного обеспечения для защиты от вредоносных программ8.1: Use centrally managed anti-malware software

Руководство. по умолчанию антивирусная программа "Защитник Windows" установлена на Windows Server 2016.Guidance: By default, Windows Defender antivirus is installed on Windows Server 2016. Пользовательский интерфейс установлен по умолчанию на некоторых номерах SKU, но не является обязательным.The user interface is installed by default on some SKUs, but is not required.

Если вы не используете Защитник Windows, обратитесь к документации по работе с антивредоносным ПО, чтобы ознакомиться с правилами настройки.Refer to your Antimalware documentation for configuration rules if you are not using Windows Defender. Защитник Windows не поддерживается в Linux.Windows Defender isn't supported on Linux.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

8.2. Предварительная проверка файлов для отправки в ресурсы Azure, не являющиеся вычислительными8.2: Pre-scan files to be uploaded to non-compute Azure resources

Руководство. Неприменимо; эта рекомендация предназначена для невычислительных ресурсов, которые служат для хранения данных.Guidance: Not applicable; this recommendation is intended for non-compute resources designed to store data. Защита от вредоносных программ Майкрософт включена на базовом узле, поддерживающем службы Azure (например, Service Fabric), но не выполняется в содержимом клиента.Microsoft anti-malware is enabled on the underlying host that supports Azure services (for example, Service Fabric), however it does not run on customer content.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: НеприменимоResponsibility: Not applicable

8.3. Своевременное обновление программного обеспечения для защиты от вредоносных программ и подписей8.3: Ensure anti-malware software and signatures are updated

Руководство. Неприменимо; эта рекомендация предназначена для невычислительных ресурсов, которые служат для хранения данных.Guidance: Not applicable; this recommendation is intended for non-compute resources designed to store data. Защита от вредоносных программ Майкрософт включена на базовом узле, поддерживающем службы Azure (например, Service Fabric), но не выполняется в содержимом клиента.Microsoft anti-malware is enabled on the underlying host that supports Azure services (for example, Service Fabric), however it does not run on customer content.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: НеприменимоResponsibility: Not applicable

Восстановление данныхData recovery

Дополнительные сведения см. в статье Управление безопасностью: восстановление данных.For more information, see Security control: Data recovery.

9.1. Обеспечение регулярного автоматического резервного копирования9.1: Ensure regular automated back ups

Руководство. Служба резервного копирования и восстановления в Service Fabric обеспечивает простую и автоматическую архивацию данных, хранящихся в службах с отслеживанием состояния.Guidance: The Backup and Restore service in Service Fabric enables easy and automatic backup of information stored in stateful services. Периодическое резервное копирование данных приложения является основой для защиты от потери данных и недоступности службы.Backing up application data on a periodic basis is fundamental for guarding against data loss and service unavailability. Service Fabric предоставляет дополнительную службу резервного копирования и восстановления, которая позволяет настраивать периодическое резервное копирование надежных служб с отслеживанием состояния (включая службы субъекта) без необходимости написания дополнительного кода.Service Fabric provides an optional backup and restore service, which allows you to configure periodic backup of stateful Reliable Services (including Actor Services) without having to write any additional code. Она также упрощает восстановление ранее сделанных резервных копий.It also facilitates restoring previously taken backups.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

9,2: выполните полное резервное копирование системы и резервное копирование ключей, управляемых клиентом9.2: Perform complete system backups and backup any customer-managed keys

Руководство. Включите службу восстановления резервных копий в кластере Service Fabric и создайте политики архивации, чтобы периодически и по запросу создавать резервные копии служб с отслеживанием состояния.Guidance: Enable backup restore service in your Service Fabric cluster and create backup policies to back up stateful services periodically and on-demand. Резервное копирование ключей, управляемых клиентом, в Azure Key Vault.Backup customer-managed keys within Azure Key Vault.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

9,3: Проверьте все резервные копии, включая управляемые клиентом ключи.9.3: Validate all backups including customer-managed keys

Руководство. обеспечение возможности выполнения восстановления из службы восстановления резервных копий за счет периодического просмотра сведений о конфигурации резервного копирования и доступных резервных копий.Guidance: Ensure ability to perform restoration from the backup restore service by periodically reviewing backup configuration information and available backups. Проверка восстановления резервных копий ключей, управляемых клиентом.Test restoration of backed up customer-managed keys.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

9,4: Обеспечьте защиту резервных копий и ключей, управляемых клиентом9.4: Ensure protection of backups and customer-managed keys

Руководство. резервные копии из службы восстановления Service Fabric резервного копирования используют учетную запись хранения Azure в подписке.Guidance: Backups from Service Fabric backup restore service use an Azure Storage account in your subscription. Служба хранилища Azure шифрует все данные в неактивных учетных записях хранения.Azure Storage encrypts all data in a storage account at rest. По умолчанию данные шифруются с помощью ключей, управляемых корпорацией Майкрософт.By default, data is encrypted with Microsoft-managed keys. Для дополнительного управления ключами шифрования можно предоставить ключи, управляемые клиентом, для шифрования данных хранилища.For additional control over encryption keys, you can supply customer-managed keys for encryption of storage data.

Если вы используете управляемые клиентом ключи, убедитесь, что Soft-Delete в Key Vault включена для защиты ключей от случайного или вредоносного удаления.If you are using customer-managed-keys, ensure Soft-Delete in Key Vault is enabled to protect keys against accidental or malicious deletion.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

Реагирование на инцидентыIncident response

Дополнительные сведения см. в статье Управление безопасностью: реагирование на инциденты.For more information, see Security control: Incident response.

10.1. Создание руководства по реагированию на инциденты10.1: Create an incident response guide

Руководство. Разработка руководства по реагированию на инциденты для вашей организации.Guidance: Develop an incident response guide for your organization. Убедитесь, что имеются письменные планы реагирования на инциденты, которые определяют все роли персонала, а также этапы обработки инцидентов и управления обнаружением до проверки после инцидента.Ensure there are written incident response plans that define all the roles of personnel as well as the phases of incident handling and management from detection to post-incident review.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: CustomerResponsibility: Customer

10.2. Создание процедуры оценки инцидента и определения приоритетов10.2: Create an incident scoring and prioritization procedure

Руководство. Центр безопасности Azure назначает серьезность каждому оповещению, чтобы определить, какие оповещения следует изучить первыми.Guidance: Azure Security Center assigns a severity to each alert to help you prioritize which alerts should be investigated first. Серьезность основывается на том, насколько уверен Центр безопасности в исследовании или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.The severity is based on how confident Security Center is in the finding or the analytic used to issue the alert as well as the confidence level that there was malicious intent behind the activity that led to the alert.

Кроме того, Пометьте подписки с помощью тегов и создайте систему именования для обнаружения и классификации ресурсов Azure, особенно для обработки конфиденциальных данных.Additionally, mark subscriptions using tags and create a naming system to identify and categorize Azure resources, especially those processing sensitive data. Ответственность за исправление предупреждений в зависимости от степени важности ресурсов и среды Azure, в которых произошел инцидент, лежит на вашем уровне.It's your responsibility to prioritize the remediation of alerts based on the criticality of the Azure resources and environment where the incident occurred.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

10.3. Проверка процедур реагирования на угрозы10.3: Test security response procedures

Рекомендации. Выполните упражнения, чтобы периодически протестировать возможности ваших систем реагировать на угрозы.Guidance: Conduct exercises to test your systems’ incident response capabilities on a regular cadence. Выявите слабые точки и пробелов и пересмотрите план по мере необходимости.Identify weak points and gaps and revise plan as needed.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности10.4: Provide security incident contact details and configure alert notifications for security incidents

Руководство. Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим данным был получен незаконный или несанкционированный доступ.Guidance: Security incident contact information will be used by Microsoft to contact you if the Microsoft Security Response Center (MSRC) discovers that your data has been accessed by an unlawful or unauthorized party. Проверьте инциденты после факта обращения, чтобы убедиться в том, что проблемы устранены.Review incidents after the fact to ensure that issues are resolved.

Мониторинг Центра безопасности Azure: НеприменимоAzure Security Center monitoring: Not applicable

Ответственность: CustomerResponsibility: Customer

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты10.5: Incorporate security alerts into your incident response system

Рекомендации. Экспортируйте оповещения и рекомендации центра безопасности Azure с помощью функции непрерывного экспорта.Guidance: Export your Azure Security Center alerts and recommendations using the Continuous Export feature. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме.Continuous Export allows you to export alerts and recommendations either manually or in an ongoing, continuous fashion. Вы можете использовать соединитель данных Центра безопасности Azure для потоковой передачи оповещений в Azure Sentinel.You may use the Azure Security Center data connector to stream the alerts to Azure Sentinel.

Мониторинг Центра безопасности Azure: ДаAzure Security Center monitoring: Yes

Ответственность: CustomerResponsibility: Customer

10.6. Автоматизация реагирования на оповещения системы безопасности10.6: Automate the response to security alerts

Руководство. Используйте функцию автоматизации рабочих процессов в Центре безопасности Azure для автоматического запуска реагирования с помощью Logic Apps в оповещениях и рекомендациях системы безопасности.Guidance: Use the Workflow Automation feature in Azure Security Center to automatically trigger responses via "Logic Apps" on security alerts and recommendations.

Мониторинг Центра безопасности Azure: в настоящее время недоступен.Azure Security Center monitoring: Currently not available

Ответственность: CustomerResponsibility: Customer

Тесты на проникновение и попытки нарушения безопасности "красной командой"Penetration tests and red team exercises

Дополнительные сведения см. в статье Управление безопасностью: тесты на проникновение и попытки нарушения безопасности "красной командой".For more information, see Security control: Penetration tests and red team exercises.

11,1. Проведите регулярное тестирование на проникновение ресурсов Azure и обеспечьте исправление всех критических результатов безопасности.11.1: Conduct regular penetration testing of your Azure resources and ensure remediation of all critical security findings

Рекомендации. Следуйте правилам тестирования уязвимости Microsoft Cloud, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт.Guidance: Follow the Microsoft Cloud Penetration Testing Rules of Engagement to ensure your penetration tests are not in violation of Microsoft policies. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.Use Microsoft's strategy and execution of Red Teaming and live site penetration testing against Microsoft-managed cloud infrastructure, services, and applications.

Мониторинг центра безопасности Azure: Сейчас это недоступноAzure Security Center monitoring: Currently not available

Ответственность: Совмещаемая блокировкаResponsibility: Shared

Дальнейшие действияNext steps