Базовый план безопасности Кэш Azure для Redis

Базовый план безопасности применяет руководства, полученные из Azure Security Benchmark версии 1.0, к Кэш Azure для Redis. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируется по средствам управления безопасностью, определенным решением для тестирования производительности системы безопасности, а также связанным руководством, применимым к Кэш Azure для Redis.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, которые не применяются к Кэшу Azure для Redis или находятся в зоне ответственности корпорации Майкрософт, исключены. Сведения о том, как обеспечить для Кэша Azure для Redis полное соответствие рекомендациям Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

1.1. Защита ресурсов Azure в виртуальных сетях

Руководство. Выполните развертывание экземпляра Кэш Azure для Redis в виртуальной сети (VNet). Виртуальная сеть — это частная сеть в облаке. Если экземпляр кэша Azure для Redis настроен в виртуальной сети, он не является общедоступным, а доступен только для виртуальных машин и приложений в этой виртуальной сети.

Можно также указать в правилах брандмауэра начало и конец диапазона IP-адресов. Когда правила брандмауэра будут настроены, подключения к кэшу будут доступны только для клиентов из указанного диапазона IP-адресов.

Ответственность: Customer

1.2. Мониторинг и ведение журнала конфигурации и трафика виртуальных сетей, подсетей и сетевых интерфейсов

Руководство. Если виртуальные машины развернуты в той же виртуальной сети, что и экземпляр Кэш Azure для Redis, то можно использовать группы безопасности сети (NSG) для снижения риска кражи данных. Включите журналы потоков NSG и отправьте журналы в учетную запись системы хранения Azure для аудита трафика. Вы также можете отправить журналы потоков для группы безопасности сети в рабочую область Log Analytics и использовать аналитику трафика для получения ценных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.3. Защита критических веб-приложений

Рекомендации. Неприменимо. Эта рекомендация предназначена для веб-приложений, работающих в службе приложений Azure или в ресурсах вычислений.

Ответственность: Customer

1.4. Запрет взаимодействия с известными опасными IP-адресами

Руководство. Развертывание в виртуальной сети Azure обеспечивает дополнительные возможности защиты и изоляции Кэш Azure для Redis. Такое развертывание дает возможность определять подсети, настраивать политики контроля доступа, а также использовать другие функции ограничения доступа. Если экземпляр Кэш Azure для Redis настроен в виртуальной сети, то он не является общедоступным, а доступен только для виртуальных машин и приложений в этой виртуальной сети.

Включите стандартную защиту от атак DDoS для виртуальной сети, связанной с экземпляром Кэш Azure для Redis, чтобы защититься от атак типа "отказ в обслуживании". Используйте интегрированную аналитику угроз в Microsoft Defender для облака, чтобы заблокировать обмен данными с известными вредоносными или неиспользуемыми IP-адресами в Интернете.

Ответственность: Customer

1.5. Запись сетевых пакетов

Руководство. Если виртуальные машины развернуты в той же виртуальной сети, что и экземпляр Кэш Azure для Redis, то можно использовать группы безопасности сети (NSG) для снижения риска кражи данных. Включите журналы потоков NSG и отправьте журналы в учетную запись системы хранения Azure для аудита трафика. Вы также можете отправить журналы потоков для группы безопасности сети в рабочую область Log Analytics и использовать аналитику трафика для получения ценных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.6. Развертывание сетевых систем обнаружения и предотвращения вторжений (IDS/IPS)

Руководство. Если Кэш Azure для Redis используется с веб-приложениями, работающими в службе приложений Azure или на вычислительных экземплярах, разверните все ресурсы в виртуальной сети Azure и обеспечьте безопасность с помощью Брандмауэра веб-приложений Azure (WAF) на Шлюзе веб-приложений. Настройте WAF для запуска в "режиме предотвращения". Режим предотвращения блокирует вторжения и атаки, которые определяются согласно правилам. Злоумышленник получает сообщение "403 unauthorized access" (несанкционированный доступ) и такое подключение прерывается. В режиме предотвращения подобные атаки также заносятся в журналы WAF.

Либо можно выбрать в Azure Marketplace предложение с поддержкой функции IDS/IPS и возможностью проверки полезных данных или обнаружения аномалий.

Ответственность: Customer

1.7. Управление трафиком к веб-приложениям

Рекомендации. Неприменимо. Эта рекомендация предназначена для веб-приложений, работающих в службе приложений Azure или в ресурсах вычислений.

Ответственность: Customer

1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети

Руководство. Теги службы виртуальной сети можно использовать для определения элементов управления доступом к сети в группах безопасности сети (NSG), а также в Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, ApiManagement) в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Можно также использовать группы безопасности приложений (ASG) для снижения сложности настройки безопасности. Группы ASG позволяют настраивать сетевую безопасность в виде естественного расширения структуры приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе этих групп.

Ответственность: Customer

1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств

Руководство. Определите и реализуйте стандартные конфигурации безопасности для экземпляров Кэш Azure для Redis с помощью политики Azure. Используйте псевдонимы политик Azure в пространствах имен Microsoft.Cache и Microsoft.Network для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для экземпляров Кэш Azure для Redis. Можно также использовать встроенные определения политик, например:

  • К кэшу Redis должны выполняться только безопасные подключения.

  • Стандарт Защиты от атак DDoS должен быть включен.

Можно также использовать Azure Blueprints, чтобы упростить развертывание крупномасштабных служб Azure, объединяя в единое определение схемы все основные артефакты среды, в том числе шаблоны Azure Resource Manager, элементы управления доступом на основе ролей (RBAC) Azure и политики. Простое применение схемы к новым подпискам и средам, а также управление точной настройкой и управление с помощью версионирования.

Ответственность: Customer

1.10. Документация по правилам конфигурации трафика

Руководство. Используйте теги для сетевых ресурсов, связанных с развертыванием Кэш Azure для Redis, чтобы логически упорядочить их в классификации.

Ответственность: Customer

1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений

Руководство. Используйте журнал действий Azure для мониторинга конфигураций сетевых ресурсов и обнаружения изменений для сетевых ресурсов, связанных с экземплярами Кэш Azure для Redis. Создавайте оповещения в Azure Monitor, которые будут запускаться при изменении критических сетевых ресурсов.

Ответственность: Customer

Ведение журналов и мониторинг

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и мониторинг.

2.2. Настройка централизованного управления журналами безопасности

Руководство. Включите параметры диагностики журнала действий Azure и отправьте журналы в рабочую область Log Analytics, концентратор событий Azure или учетную запись хранения Azure для архивации. Журналы действий позволяют подробно проанализировать операции, выполненные с экземплярами кэша Azure для Redis. По журналам действий Azure вы можете определить, кто, чем и когда выполнял любые операции записи (PUT, POST, DELETE) на уровне плоскости управления для вашего экземпляра Кэш Azure для Redis.

Ответственность: Customer

2.3. Включение журналов аудита для ресурсов Azure

Руководство. Включите параметры диагностики журнала действий Azure и отправьте журналы в рабочую область Log Analytics, концентратор событий Azure или учетную запись хранения Azure для архивации. Журналы действий позволяют подробно проанализировать операции, выполненные с экземплярами кэша Azure для Redis. По журналам действий Azure вы можете определить, кто, чем и когда выполнял любые операции записи (PUT, POST, DELETE) на уровне плоскости управления для вашего экземпляра Кэш Azure для Redis.

Хотя метрики доступны через параметры диагностики, ведение журнала аудита в плоскости данных пока недоступно для кэша Azure для Redis.

Ответственность: Customer

2.5. Настройка хранения журнала безопасности

Руководство. В Azure Monitor задайте срок хранения журнала для рабочих областей Log Analytics, связанных с вашими экземплярами Кэш Azure для Redis, согласно действующим правилам вашей организации.

Обратите внимание, что ведение журнала аудита в плоскости данных пока недоступно для Кэш Azure для Redis.

Ответственность: Customer

2.6. Мониторинг и просмотр журналов

Руководство. Включите параметры диагностики журнала действий Azure и отправляйте журналы в рабочую область Log Analytics. Запросы в Log Analytics по условиям поиска позволит выявить тенденции, проанализировать закономерности и получить множество других аналитических сведений на основе данных журнала действий, собранных Кэш Azure для Redis.

Обратите внимание, что ведение журнала аудита в плоскости данных пока недоступно для Кэш Azure для Redis.

Ответственность: Customer

2.7. Включение оповещений об аномальных действиях

Руководство. Можно настроить получение оповещений на основе метрик и журналов действий, связанных с экземплярами Кэш Azure для Redis. Azure Monitor позволяет настроить оповещение для отправки уведомлений по электронной почте, вызова веб-перехватчика или вызова приложения логики Azure.

Хотя метрики доступны через параметры диагностики, ведение журнала аудита в плоскости данных пока недоступно для кэша Azure для Redis.

Ответственность: Customer

Идентификатор и управление доступом

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями и доступом.

3.1. Инвентаризация учетных записей администраторов

Указание: в каталоге Azure Active Directory (Azure AD) имеются встроенные роли, которые должны назначаться явным образом и которые доступны для запросов. Используйте модуль PowerShell в Azure AD для нерегламентированных запросов, которые позволяют обнаруживать учетные записи, принадлежащие группам администраторов.

Ответственность: Customer

3.2. Изменение паролей по умолчанию, где применимо

Руководство. Доступ к плоскости управления Кэш Azure для Redis осуществляется через Azure Active Directory (Azure AD). В Azure AD нет концепции паролей по умолчанию.

Управление доступом к плоскости данных Кэш Azure для Redis осуществляется с помощью ключей доступа. Эти ключи используются клиентами, которые подключаются к кэшу и могут быть повторно созданы в любое время.

Не рекомендуется создавать пароли по умолчанию в приложении. Вместо этого можно сохранить пароли в Azure Key Vault, а затем извлечь их через AAD.

Ответственность: Совмещаемая блокировка

3.3. Применение выделенных административных учетных записей

Руководство. Создайте стандартные операционные процедуры для использования выделенных административных учетных записей. Используйте управление идентификацией и доступом в Microsoft Defender для облака, чтобы контролировать число учетных записей администраторов.

Кроме того, чтобы отслеживать специализированные административные учетные записи, вы можете использовать рекомендации Microsoft Defender для облака или встроенные политики Azure, например следующие:

  • Подписке должно быть назначено несколько владельцев.

  • Устаревшие учетные записи с разрешениями владельца следует удалять из подписки.

  • Внешние учетные записи с разрешениями владельца следует удалять из подписки.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

3.4. Использование единого входа Azure Active Directory

Руководство. Кэш Azure для Redis использует ключи доступа для проверки подлинности пользователей и не поддерживает единый вход (SSO) на уровне плоскости данных. Доступ к плоскости управления Кэш Azure для Redis возможен через REST API, который поддерживает единый вход. Чтобы выполнить проверку подлинности, задайте JSON Web Token, полученный из Azure Active Directory (AAD), в качестве заголовка авторизации.

Ответственность: Customer

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Рекомендации. Включите многофакторную проверку подлинности Azure Active Directory (Azure AD) и следуйте рекомендациям по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.6. Использование выделенных компьютеров (рабочих станций с привилегированным доступом) для всех административных задач

Руководство. Используйте рабочие станции с привилегированным доступом (PAW) и настроенной многофакторной проверкой подлинности для входа в ресурсы Azure и их настройки.

Ответственность: Customer

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Руководство. Используйте Privileged Identity Management (PIM) в Azure Active Directory (AAD) для генерации журналов и оповещений о подозрительных или небезопасных действиях в среде.

Кроме того, используйте обнаружение рисков Azure AD для просмотра оповещений и отчетов об опасном поведении пользователя.

Ответственность: Customer

3.8. Управление ресурсами Azure только из утвержденных расположений

Руководство. Настройте именованные расположения в условном доступе Azure Active Directory (Azure AD) для того, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов либо стран и регионов.

Ответственность: Customer

3.9. Использование Azure Active Directory

Руководство. Используйте Azure Active Directory (Azure AD) как центральную систему проверки подлинности и авторизации. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей.

Проверку подлинности Azure AD нельзя использовать для прямого доступа к плоскости данных Кэш Azure для Redis. Но учетные данные Azure AD можно использовать для администрирования на уровне плоскости управления (т. е. портала Azure) для управления ключами доступа Кэш Azure для Redis.

Ответственность: Customer

3.10. Регулярная проверка и согласование доступа пользователей

Руководство. Azure Active Directory (AAD) предоставляет журналы, которые помогают обнаруживать устаревшие учетные записи. Кроме того, используйте проверки доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям и назначения ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.

Ответственность: Customer

3.11. Отслеживание попыток доступа к отключенным учетным записям

Рекомендации. Вам доступны отчеты о действиях входа в Azure Active Directory, аудит и источники журналов рискованных событий, которые обеспечивают возможность интеграции с MIcrosoft Sentinel или сторонним решением SIEM.

Этот процесс можно упростить, создав параметры диагностики для учетных записей пользователей Microsoft Azure Active Directory и отправив журналы аудита и журналы входа в рабочую область Log Analytics. В Log Analytics можно настроить необходимые оповещения для журналов.

Ответственность: Customer

3.12. Предупреждения при подозрительном входе в учетную запись

Руководство. Для подозрительных входов в учетные записи в плоскости управления используйте функции защиты идентификации и обнаружения рисков Azure Active Directory, настроив автоматическое реагирование на обнаруженные подозрительные действия, связанные с удостоверениями пользователей. Вы также можете принимать данные в Microsoft Sentinel для дополнительного анализа.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

4.1. Инвентаризация конфиденциальных данных

Руководство. Используйте теги для пометки ресурсов Azure, в которых хранятся или обрабатываются конфиденциальные данные.

Ответственность: Customer

4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные

Руководство: Реализуйте отдельные подписки и группы управления для разработки, тестирования и производства. Экземпляры Кэш Azure для Redis должны быть разделены по виртуальным сетям и подсетям и помечены соответствующим образом. При необходимости определите в брандмауэре Кэш Azure для Redis правила, разрешающие только клиентские подключения из указанных диапазонов IP-адресов.

Ответственность: Customer

4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации

Руководство. Функции идентификации, классификации и предотвращения потери данных Кэш Azure для Redis пока недоступны.

Корпорация Майкрософт управляет базовой инфраструктурой Кэш Azure для Redis и обеспечивает строгий контроль для предотвращения потерь или раскрытия данных клиента.

Ответственность: Совмещаемая блокировка

4.4. Шифрование любой конфиденциальной информации при передаче

Руководство. По умолчанию Кэш Azure для Redis требует шифрования по протоколу TLS. В настоящее время поддерживаются версии TLS 1.0, 1.1 и 1.2. Однако протоколы TLS 1.0 и 1.1 скоро перестанут использоваться в отрасли, поэтому по возможности используйте TLS 1.2. Если клиентская библиотека или средство не поддерживают протокол TLS, то включить незашифрованные соединения можно через портал Azure или API управления. В тех случаях, когда зашифрованные подключения невозможны, рекомендуется размещать кэш и клиентское приложение в виртуальной сети.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения политики Azure — Microsoft.Cache

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0

4.5: Использование средства активного обнаружения для распознавания конфиденциальных данных

Руководство. Функции идентификации, классификации и предотвращения потери данных пока недоступны для Кэш Azure для Redis. Добавьте к экземплярам, содержащим конфиденциальные сведения, соответствующие теги, и реализуйте стороннее решение, если это необходимо для обеспечения соответствия требованиям.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Customer

4.6. Управление доступом к ресурсам на основе ролей

Руководство. Используйте управление доступом на основе ролей Azure (RBAC) для управления доступом к плоскости управления Кэш Azure для Redis (т. е. портал Azure).

Ответственность: Customer

4.8. Шифрование конфиденциальной информации при хранении

Руководство. Кэш Azure для Redis хранит данные клиентов в памяти и, поскольку в значительной мере защищается многими средствами контроля, реализованными корпорацией Майкрософт, память по умолчанию не шифруется. Если это необходимо для вашей организации, зашифруйте содержимое перед сохранением в Кэш Azure для Redis.

При использовании функции "Сохраняемость данных Redis" данные отправляются в учетную запись хранения Azure, которой вы владеете и управляете. Сохранение можно настроить на панели "Новый Кэш Azure для Redis" при создании кэша либо в меню "Ресурсы" для существующего кэша категории "Премиум".

Данные в службе хранилища Azure шифруются и расшифровываются прозрачно с использованием 256-разрядного алгоритма AES, который является одним из наиболее сильных блочных шифров и совместим со стандартом FIPS 140-2. Шифрование службы хранилища Microsoft Azure нельзя отключить. Вы можете использовать для шифрования учетной записи хранения ключи, управляемые корпорацией Майкрософт, или самостоятельно управлять шифрованием на основе собственных ключей.

Ответственность: Совмещаемая блокировка

4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure

Руководство. Используйте Azure Monitor с журналом действий Azure для создания оповещений об изменениях на рабочих экземплярах Кэш Azure для Redis и других важных и связанных с ними ресурсах.

Ответственность: Customer

Управление уязвимостями

Дополнительные сведения см. в статье Azure Security Benchmark: управление уязвимостями.

5.1. Выполнение автоматизированных средств анализа уязвимостей

Рекомендации. Следуйте рекомендациям Microsoft Defender для облака по защите экземпляров Кэша Azure для Redis и связанных с ними ресурсов.

Корпорация Майкрософт закрывает уязвимости в базовых системах, поддерживающих Кэш Azure для Redis.

Ответственность: Совмещаемая блокировка

Инвентаризация и управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление инвентаризацией и ресурсами.

6.1. Использование автоматизированного решения для обнаружения ресурсов

Руководство. Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (например, вычислений, хранилища, сети, портов и протоколов и т. д.) в ваших подписках. Убедитесь в том, что в вашем клиенте есть соответствующие разрешения (на чтение) и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.

Хотя классические ресурсы Azure можно обнаружить через Resource Graph, настоятельно рекомендуется в дальнейшем создавать и использовать ресурсы Azure Resource Manager.

Ответственность: Customer

6.2. Ведение метаданных активов

Руководство. Применяйте к ресурсам Azure теги, чтобы логически классифицировать их на основе метаданных.

Ответственность: Customer

6.3. Удаление неавторизованных ресурсов Azure

Руководство. При необходимости используйте теги, группы управления и отдельные подписки для упорядочения и отслеживания экземпляров Кэш Azure для Redis и связанных ресурсов. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.

Кроме того, используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, используя следующие встроенные определения политик.

  • Недопустимые типы ресурсов

  • Допустимые типы ресурсов

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

6.5. Отслеживание неутвержденных ресурсов Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

  • Недопустимые типы ресурсов
  • Допустимые типы ресурсов

Кроме того, используйте Azure Resource Graph для выполнения запросов и обнаружения ресурсов в подписках.

Ответственность: Customer

6.9. Использование только утвержденных служб Azure

Руководство. Используйте Политику Azure, чтобы ограничить тип ресурсов, которые могут быть созданы в подписках клиентов, используя следующие встроенные определения политик.

  • Недопустимые типы ресурсов

  • Допустимые типы ресурсов

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

6.11. Ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Рекомендации. Настройте условный доступ Azure, чтобы ограничить возможность пользователей взаимодействовать с Azure Resource Manager, указав действие "Блокировать доступ" для приложения "Управление Microsoft Azure".

Ответственность: Customer

Настройка безопасности

Дополнительные сведения см. в статье Azure Security Benchmark: настройка безопасности.

7.1. Установка безопасных конфигураций для всех ресурсов Azure

Руководство. Определите и реализуйте стандартные конфигурации безопасности для своих экземпляров Кэш Azure для Redis с помощью политик Azure. Используйте псевдонимы политик Azure в пространстве имен Microsoft.Cache для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации для экземпляров Кэш Azure для Redis. Можно также использовать встроенные определения политик для ваших экземпляров Кэш Azure для Redis.

  • К кэшу Redis должны выполняться только безопасные подключения.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

7.3. Сохранение безопасных конфигураций для ресурсов Azure

Рекомендации. Используйте Политику Azure [отказывать] и [развернуть, если не существует], чтобы обеспечить безопасность параметров в ресурсах Azure.

Ответственность: Customer

7.5. Безопасное хранение конфигурации ресурсов Azure

Руководство. Если вы используете пользовательские определения политики Azure или шаблоны Azure Resource Manager для Кэш Azure для Redis и связанных ресурсов, используйте Azure Repos для безопасного хранения кода и управления им.

Ответственность: Customer

7.7. Развертывание средств управления конфигурацией для ресурсов Azure

Руководство. Используйте псевдонимы политик Azure в пространстве имен "Microsoft.Cache" для создания настраиваемых политик для оповещения, аудита и принудительного применения конфигураций системы. Кроме того, разрабатывайте процесс и конвейер для управления исключениями политик.

Ответственность: Customer

7.9. Реализация автоматизированного мониторинга конфигурации для ресурсов Azure

Руководство. Используйте псевдонимы политик Azure в пространстве имен "Microsoft.Cache" для создания настраиваемых политик для оповещения, аудита и принудительного применения конфигураций системы. Используйте политики Azure [audit], [deny] и [deploy if not exist], для автоматического применения конфигураций к экземплярам Кэш Azure для Redis и связанных ресурсов.

Ответственность: Customer

7.11. Безопасное управление секретами Azure

Руководство. Для виртуальных машин Azure или веб-приложений, работающих в службе приложений Azure, которые применяются для доступа к экземплярам Кэш Azure для Redis, используйте управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление секретами Кэш Azure для Redis. Убедитесь, что включено обратимое удаление в Key Vault.

Ответственность: Customer

7.12. Безопасное и автоматическое управление удостоверениями

Руководство. Для виртуальных машин Azure или веб-приложений, работающих в службе приложений Azure, которые применяются для доступа к экземплярам Кэш Azure для Redis, используйте управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление секретами Кэш Azure для Redis. Убедитесь, что включено обратимое удаление в Azure Key Vault.

Используйте функцию управляемых удостоверений для предоставления службам Azure автоматически управляемых удостоверений в Azure Active Directory (Azure AD). Функция управляемых удостоверений может использоваться для проверки подлинности в любой службе, которая поддерживает проверку подлинности Azure AD, включая Azure Key Vault, без сохранения учетных данных в коде.

Ответственность: Customer

7.13. Устранение непреднамеренного раскрытия учетных данных

Руководство. Реализуйте сканер учетных данных для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Ответственность: Customer

Защита от вредоносных программ

Дополнительные сведения см. в статье Azure Security Benchmark: защита от вредоносных программ.

8.2. Предварительная проверка файлов для отправки в ресурсы Azure, не являющиеся вычислительными

Руководство. Защита от вредоносных программ Майкрософт включена на базовом узле, поддерживающем службы Azure (например, Кэш Azure для Redis), но не выполняется для клиентского содержимого.

Предварительно сканируйте любое содержимое, отправляемое в невычислительные ресурсы Azure, например служба приложений, хранилище Data Lake, хранилище BLOB-объектов, база данных Azure для PostgreSQL и т. д. Корпорация Майкрософт не может получить доступ к данным в этих экземплярах.

Ответственность: Customer

Восстановление данных

Дополнительные сведения см. в статье Azure Security Benchmark: восстановление данных.

9.1. Обеспечение регулярного автоматического резервного копирования

Руководство. Включите сохраняемость Redis. Постоянное хранение Redis позволяет постоянно хранить данные, размещенные в Redis. Также можно создавать моментальные снимки и архивировать данные, которые можно будет восстановить в случае сбоя оборудования. Это огромное преимущество по сравнению с уровнями Базовый и Стандартный, в которых все данные хранятся в памяти, и при сбое, когда узлы кэша становятся недоступными, может произойти потеря данных.

Вы также можете использовать экспорт Кэш Azure для Redis. Экспорт позволяет экспортировать данные, хранящиеся в кэше Azure для Redis, в RDB-файлы, совместимые с Redis. Эту функцию можно использовать для перемещения данных из одного экземпляра кэша Azure для Redis в другой или на другой сервер Redis. Во время экспорта на виртуальной машине, где размещается экземпляр сервера Кэш Azure для Redis, создается временный файл, который отправляется в заданную учетную запись хранения. После успешного или неудачного завершения операции экспорта этот временный файл удаляется.

Ответственность: Customer

9.2. Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом

Руководство. Включите сохраняемость Redis. Постоянное хранение Redis позволяет постоянно хранить данные, размещенные в Redis. Также можно создавать моментальные снимки и архивировать данные, которые можно будет восстановить в случае сбоя оборудования. Это огромное преимущество по сравнению с уровнями Базовый и Стандартный, в которых все данные хранятся в памяти, и при сбое, когда узлы кэша становятся недоступными, может произойти потеря данных.

Вы также можете использовать экспорт Кэш Azure для Redis. Экспорт позволяет экспортировать данные, хранящиеся в кэше Azure для Redis, в RDB-файлы, совместимые с Redis. Эту функцию можно использовать для перемещения данных из одного экземпляра кэша Azure для Redis в другой или на другой сервер Redis. Во время экспорта на виртуальной машине, где размещается экземпляр сервера Кэш Azure для Redis, создается временный файл, который отправляется в заданную учетную запись хранения. После успешного или неудачного завершения операции экспорта этот временный файл удаляется.

Если вы используете Azure Key Vault для хранения учетных данных экземпляров Кэш Azure для Redis, обеспечьте регулярное автоматическое резервное копирование ключей.

Ответственность: Customer

9.3. Проверка всех резервных копий, включая управляемые клиентом ключи

Руководство. Использование импорта Кэш Azure для Redis. Импорт можно использовать для переноса RDB-файлов, совместимых с Redis, с сервера Redis, запущенного в любом облаке, любой среде, включая Redis в Linux, Windows, или на любом поставщике облачных служб, например Amazon Web Services и так далее. Импорт данных позволяет легко создать кэш, предварительно заполненный данными. Во время импорта кэш Azure для Redis загружает RDB-файлы из службы хранилища Azure в память, а затем вставляет в кэш ключи.

Периодическое тестирование данных для секретов Azure Key Vault.

Ответственность: Customer

реагирование на инциденты.

Дополнительные сведения см. в статье Azure Security Benchmark: реагирование на инциденты.

10.1. Создание руководства по реагированию на инциденты

Руководство. Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента.

Ответственность: Customer

10.2. Создание процедуры оценки инцидента и определения приоритетов

Рекомендации. Microsoft Defender для облака присваивает каждому оповещению уровень серьезности, что помогает назначить приоритет расследования оповещений. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.

Кроме того, отметьте подписки понятным образом (например, "производственные" и "непроизводственные") и создайте систему именования для четкого обозначения и классификации ресурсов Azure.

Ответственность: Customer

10.3. Проверка процедур реагирования на угрозы

Рекомендации. Выполните упражнения, чтобы периодически протестировать возможности ваших систем реагировать на угрозы. Выявите слабые точки и пробелы и пересмотрите план по мере необходимости.

Ответственность: Customer

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности

Рекомендации. Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим пользовательским данным был получен незаконный или несанкционированный доступ. Проверьте инциденты после факта обращения, чтобы убедиться, что проблемы устранены.

Ответственность: Customer

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты

Рекомендации. Используйте функцию непрерывного экспорта для своих оповещений и рекомендаций Microsoft Defender для облака. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме. Для потоковой передачи оповещений в Microsoft Sentinel можно использовать соединитель данных Microsoft Defender для облака.

Ответственность: Customer

10.6. Автоматизация реагирования на оповещения системы безопасности

Рекомендации. Используйте возможности автоматизации рабочих процессов в Microsoft Defender для облака, чтобы автоматически реагировать на оповещения и рекомендации по безопасности через Logic Apps.

Ответственность: Customer

Тесты на проникновение и попытки нарушения безопасности "красной командой"

Дополнительные сведения см. в статье Azure Security Benchmark: тесты на проникновение и попытки нарушения безопасности "красной командой".

11.1. Регулярное тестирование на проникновение в ресурсы Azure и отслеживание исправлений для всех критических точек безопасности

Инструкции. Следуйте правилам взаимодействия при тестировании на проникновение в Microsoft Cloud, чтобы тесты на проникновение соответствовали политикам Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Дальнейшие действия