Рекомендации по повышению безопасности ресурсов
Применяется к этой рекомендации по безопасности Azure Well-Architected Framework:
| SE:08 | Усиление защиты всех компонентов рабочей нагрузки путем уменьшения посторонней контактной области и ужесточения конфигураций для увеличения затрат на злоумышленников. |
|---|
В этом руководстве описываются рекомендации по повышению безопасности ресурсов путем разработки локализованных элементов управления в рабочей нагрузке и их поддержки для защиты от повторных атак.
Усиление безопасности является преднамеренным упражнением самосохранения. Цель заключается в сокращении направлений атак и увеличении затрат злоумышленников в других областях, что ограничивает возможности злоумышленников использовать уязвимости. Чтобы защитить рабочую нагрузку, реализуйте рекомендации по обеспечению безопасности и конфигурации.
Усиление безопасности — это непрерывный процесс, требующий непрерывного мониторинга и адаптации к растущим угрозам и уязвимостям.
Определения
| Термин | Определение |
|---|---|
| Усиление защиты | Практика сокращения контактной зоны атаки путем удаления лишних ресурсов или корректировки конфигураций. |
| Рабочая станция с привилегированным доступом (PAW) | Выделенный и безопасный компьютер, который используется для выполнения конфиденциальных задач, что снижает риск компрометации. |
| Безопасная административная рабочая станция (SAW) | Специализированный привилегированный доступ, используемый учетными записями критического воздействия. |
| Площадь поверхности | Логическая рабочая нагрузка, содержащая уязвимости. |
Ключевые стратегии проектирования
Усиление безопасности — это высоколокализованное упражнение, которое усиливает элементы управления на уровне компонентов, будь то ресурсы или процессы. Повышение безопасности каждого компонента повышает совокупную безопасность рабочей нагрузки.
Усиление безопасности не учитывает функциональные возможности рабочей нагрузки и не обнаруживает угрозы и не выполняет автоматическое сканирование. Усиление безопасности фокусируется на настройке конфигурации с использованием предполагаемого нарушения и глубокой защиты. Цель состоит в том, чтобы злоумышленнику было трудно получить контроль над системой. Усиление защиты не должно изменять предполагаемую служебную программу рабочей нагрузки или ее операций.
Первым шагом процесса усиления защиты является сбор полной инвентаризации всего оборудования, программного обеспечения и ресурсов данных. Обновляйте данные инвентаризации, добавляя новые ресурсы и удаляя списанные ресурсы. Для всех активов в инвентарном запасе учитывайте следующие рекомендации.
Уменьшите занимаемое место. Удалите излишние поверхности или уменьшите область. Устраните простые цели или дешевые и хорошо зарекомендованные векторы атак, такие как неисправные программные эксплойты и атаки методом подбора. Перед развертыванием в рабочей среде необходимо очистить удостоверения, компоненты сборки и другие необязаемые ресурсы из исходного дерева.
Точная настройка конфигураций. Оцените и стяните оставшуюся площадь поверхности. После усиления защиты ресурсов опробованные и проверенные методы, используемые злоумышленниками, больше не будут успешными. Он заставляет злоумышленников приобретать и использовать расширенные или непроверенные методы атаки, что увеличивает их затраты.
Поддерживайте защиту. Поддерживайте защитные меры, выполняя непрерывное обнаружение угроз , чтобы гарантировать, что усилия по повышению безопасности со временем являются надежными.
Также учитывайте следующие факторы.
Надежный источник. Частью усиления защиты является цепочка поставок программного обеспечения. В этом руководстве предполагается, что все компоненты получены из надежных источников. Ваша организация должна утвердить программное обеспечение, приобретенное у сторонних поставщиков. Это утверждение применяется к источникам операционной системы, образам и другим сторонним средствам. Без доверенных ресурсов усиление защиты может быть бесконечным источником гарантий безопасности в ненадежных источниках.
Рекомендации по обеспечению безопасности цепочки поставок см. в статье Рекомендации по обеспечению жизненного цикла разработки.
Обучение. Усиление защиты является специализированным навыком. Это методично и требует высокого уровня компетенции. Необходимо понимать функциональные возможности компонента и то, как изменения влияют на компонент. Член команды должен иметь возможность различать рекомендации отраслевых экспертов и платформу, чтобы отличить их от рекомендаций из неопределенных источников. Обучите участников команды созданию культуры с учетом безопасности. Убедитесь, что ваша команда хорошо знакома с рекомендациями по обеспечению безопасности, осведомлена о потенциальных угрозах и учится на ретроспективах после инцидента.
Документация. Документируйте и публикуйте требования, решения и определенные методы усиления защиты. Для обеспечения прозрачности также задокументируйте исключения или отклонения от этих требований.
Усиление защиты может быть громоздким, но это важное упражнение по обеспечению безопасности, которое необходимо задокументировать. Сначала затвердейте основные компоненты, а затем расширьте возможности в других областях, таких как автоматизированные процессы и человеческие процессы, чтобы сократить потенциальные пробелы. Будьте дотошными об изменениях. Например, необходимо отключить параметры по умолчанию, так как изменения значений по умолчанию не могут повлиять на стабильность системы. Даже если конфигурация замены совпадает с конфигурацией по умолчанию, ее необходимо определить. В следующих разделах описаны распространенные целевые объекты для усиления защиты. Оцените ключевые области проектирования рабочей нагрузки и следуйте ключевым стратегиям для усиления защиты на уровне компонентов.
Сеть
Разделите сеть на сегменты , чтобы изолировать критически важные ресурсы и конфиденциальные данные от менее защищенных ресурсов, что сокращает боковое перемещение злоумышленников. В этих сегментах примените подход с запретом по умолчанию . Добавьте доступ к списку разрешений, только если это оправдано.
Отключите порты и протоколы, которые не используются активно. Например, на Служба приложений Azure, если вам не нужно развертывать через FTP, его можно отключить. Или при выполнении операций управления через внутреннюю сеть можно отключить административный доступ из Интернета.
Удаление или отключение устаревших протоколов. Злоумышленники используют системы, использующие старые версии. Используйте службу обнаружения Azure для просмотра журналов и определения использования протокола. Удалить протоколы может быть трудно, так как это может нарушить работу системы. Протестируйте все изменения перед реализацией, чтобы снизить риск прерывания работы.
Рассматривайте общедоступные IP-адреса (PIP) как активы с высоким риском , так как они легко доступны и имеют широкий охват по всему миру. Чтобы уменьшить уязвимость, удалите ненужный доступ к Интернету для рабочей нагрузки. Используйте общие общедоступные IP-адреса, предоставляемые службами Майкрософт, такими как Azure Front Door. Эти службы предназначены для доступа к Интернету и блокируют доступ к запрещенным протоколам. Многие из таких служб выполняют первоначальные проверки входящих запросов на границе сети. С помощью выделенного PIP вы отвечаете за управление аспектами безопасности, разрешением или блокировкой портов, а также сканированием входящих запросов, чтобы убедиться в их допустимости.
Для приложений с выходом в Интернет ограничьте доступ, добавив службу уровня 7 , которая может фильтровать недопустимый трафик. Изучите собственные службы, которые обеспечивают защиту от распределенного типа "отказ в обслуживании" (DDoS), имеют брандмауэры веб-приложений и обеспечивают защиту на границе до того, как трафик достигнет уровня приложений.
Еще одной практикой безопасности сети является усиление защиты системы доменных имен (DNS). Чтобы обеспечить безопасность инфраструктуры DNS, рекомендуется использовать доверенные сопоставители DNS. Чтобы проверить сведения от сопоставителей DNS и обеспечить дополнительный уровень безопасности, когда это возможно, используйте протокол безопасности DNS для зон DNS с высоким уровнем конфиденциальности. Чтобы предотвратить такие атаки, как отравление кэша DNS, атаки DDoS и атаки с усилением, изучите другие элементы управления безопасностью, связанные с DNS, такие как ограничение скорости запросов, ограничение скорости ответов и файлы cookie DNS.
Идентификация
Удаление неиспользуемых учетных записей или учетных записей по умолчанию. Отключите неиспользуемые методы проверки подлинности и авторизации.
Отключите устаревшие методы проверки подлинности , так как они часто используют векторы атак. В старых протоколах часто отсутствуют меры противодействия атакам, такие как блокировка учетных записей. Внешний доступ к требованиям к проверке подлинности для поставщика удостоверений (IdP), например Microsoft Entra ID.
Предпочитать федерацию созданию повторяющихся удостоверений. Если удостоверение скомпрометировано, проще отозвать его доступ при централизованном управлении.
Общие сведения о возможностях платформы для расширенной проверки подлинности и авторизации. Усиление управления доступом, используя преимущества многофакторной проверки подлинности, проверки подлинности без пароля, условного доступа и других функций, которые Microsoft Entra ID предлагает для проверки личности. Вы можете добавить дополнительную защиту от событий входа и уменьшить область, в которых злоумышленник может сделать запрос.
По возможности используйте управляемые удостоверения и удостоверения рабочей нагрузки без учетных данных. Может быть утечка учетных данных. Дополнительные сведения см. в статье Рекомендации по защите секретов приложения.
Используйте подход с минимальными привилегиями для процессов управления. Удалите ненужные назначения ролей и регулярно Microsoft Entra проверки доступа. Используйте описания назначений ролей для хранения бумажного журнала обоснования, что имеет решающее значение для аудита.
Облачные ресурсы
Предыдущие рекомендации по повышению защиты сети и удостоверений применяются к отдельным облачным службам. Для сетевых подключений обратите особое внимание на брандмауэры уровня службы и оцените их правила для входящего трафика.
Обнаружение и отключение неиспользуемых возможностей или функций, таких как неиспользуемый доступ к плоскости данных и функции продукта, которые могут охватывать другие компоненты. Например, Служба приложений поддерживает Kudu, который предоставляет развертывания FTP, удаленную отладку и другие функции. Если эти функции не нужны, отключите их.
Всегда идти в ногу со стратегией развития Azure и схемой рабочей нагрузки. Примените обновления исправлений и управления версиями, предлагаемые службами Azure. Разрешите обновления, предоставляемые платформой, и подпишитесь на автоматические каналы обновления.
Риск. Облачные ресурсы часто предъявляют требования к квотам или должны работать в задокументированных конфигурациях, чтобы считаться поддерживаемыми. Некоторые методы усиления защиты, такие как агрессивная блокировка исходящего трафика, могут привести к тому, что служба выходит за пределы поддерживаемой конфигурации, даже если служба работает нормально. Изучите требования среды выполнения каждого облачного ресурса от вашей платформы, чтобы обеспечить поддержку этого ресурса.
Приложения
Оцените области, в которых ваше приложение может случайно утечки информации. Например, предположим, что у вас есть API, который получает сведения о пользователе. Запрос может иметь допустимый идентификатор пользователя, а приложение возвращает ошибку 403. Но с недопустимым идентификатором клиента запрос возвращает ошибку 404. Затем вы эффективно утечки информации об идентификаторах пользователей.
Могут быть и более тонкие случаи. Например, задержка ответа с допустимым идентификатором пользователя выше, чем у недопустимого идентификатора клиента.
Рассмотрите возможность реализации усиления защиты приложений в следующих областях:
Проверка и очистка входных данных. Предотвращение атак путем внедрения, таких как внедрение кода SQL и межсайтовые скрипты (XSS), путем проверки и очистки всех входных данных пользователя. Автоматизируйте очистку входных данных с помощью библиотек и платформ проверки входных данных.
Управление сеансами. Защитите идентификаторы сеансов и маркеры от атак кражи или фиксации сеансов с помощью безопасных методов управления сеансами. Реализуйте время ожидания сеанса и примените повторную проверку подлинности для конфиденциальных действий.
Управление ошибками. Реализуйте пользовательскую обработку ошибок, чтобы свести к минимуму предоставление конфиденциальной информации злоумышленникам. Безопасно регистрируют ошибки и отслеживайте эти журналы на предмет подозрительных действий.
Заголовки безопасности HTTP: устранение распространенных веб-уязвимостей путем использования заголовков безопасности в HTTP-ответах, таких как политика безопасности содержимого (CSP), X-Content-Type-Options и X-Frame-Options.
Безопасность API. Защитите API с помощью надлежащих механизмов проверки подлинности и авторизации. Для дальнейшего повышения безопасности реализуйте ограничение скорости, проверку запросов и управление доступом для конечных точек API.
Соблюдайте безопасные методики написания кода при разработке и обслуживании приложений. Регулярно проводите проверки кода и проверяйте приложения на наличие уязвимостей. Дополнительные сведения см. в статье Рекомендации по защите жизненного цикла разработки.
Операции управления
Также усиление защиты других ресурсов, не относящихся к среде выполнения. Например, сократите объем операций сборки , выполнив инвентаризацию всех ресурсов и удалив неиспользуемые ресурсы из конвейера. Затем извлеките задачи, опубликованные доверенными источниками, и выполните только проверенные задачи.
Определите, нужны ли агенты сборки, размещенные в Майкрософт или локальные. Локальные агенты сборки нуждаются в дополнительном управлении и должны быть защищены.
С точки зрения наблюдаемости реализуйте процесс проверки журналов на наличие потенциальных нарушений. Регулярно проверяйте и обновляйте правила управления доступом на основе журналов доступа. Работайте с центральными командами для анализа журналов управления информационной безопасностью (SIEM) и автоматического реагирования оркестрации безопасности (SOAR) для обнаружения аномалий.
Рассмотрите возможность использования привилегированных операций управления привилегированными пользователями или привилегированными привилегированными пользователями. Рабочие станции с привилегированным доступом и SAW — это физические устройства с усиленной безопасностью, которые обеспечивают значительные преимущества безопасности, но их реализация требует тщательного планирования и управления. Дополнительные сведения см. в разделе Защита устройств в рамках истории привилегированного доступа.
Упрощение поддержки Azure
Microsoft Defender для облака предлагает несколько возможностей усиления защиты:
- Усиление защиты сервера
- Адаптивная защита сети
- Защита узлов Docker
Центр интернет-безопасности (CIS) предлагает защищенные образы в Azure Marketplace.
Конструктор образов виртуальных машин Azure можно использовать для создания повторяемого процесса для защищенных образов ОС. Common Base Linux-Mariner — это защищенный дистрибутив Linux, разработанный корпорацией Майкрософт и соответствующий стандартам безопасности и отраслевым сертификациям. Его можно использовать с продуктами инфраструктуры Azure для создания реализаций рабочих нагрузок.
Пример
Следующая процедура является примером усиления защиты операционной системы.
Уменьшите занимаемое место. Удалите ненужные компоненты в образе. Установите только то, что вам нужно.
Тонкая настройка конфигураций. Отключите неиспользуемые учетные записи. Конфигурация операционных систем по умолчанию содержит дополнительные учетные записи, связанные с группами безопасности. Если вы не используете эти учетные записи, отключите или удалите их из системы. Дополнительные удостоверения — это векторы угроз, которые можно использовать для получения доступа к серверу.
Отключите ненужный доступ к файловой системе. Шифрование файловой системы и тонкая настройка элементов управления доступом для удостоверений и сетей.
Выполняйте только необходимые действия. Блокировать приложения и службы, которые выполняются по умолчанию. Утверждение только приложений и служб, необходимых для функциональных возможностей рабочей нагрузки.
Поддерживайте защиту. Регулярно обновляйте компоненты операционной системы, используя последние обновления для системы безопасности и исправления для устранения известных уязвимостей.
Связанные ссылки
- Адаптивная защита сети
- Рекомендации по защите секретов приложения
- Рекомендации по защите жизненного цикла разработки
- Защита устройств как часть истории привилегированного доступа
- Усиление защиты сервера
Ссылки на сообщество
Контрольный список по безопасности
См. полный набор рекомендаций.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по