Реализация базового плана безопасности для Azure Backup

Этот базовый план безопасности применяет руководства от Azure Security Benchmark версии 2.0 к Azure Backup. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark, и соответствующему руководству, применимому к Azure Backup.

Эти базовые показатели безопасности и рекомендации можно отслеживать с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если в разделе есть соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Azure Backup, и те, к которым применяются глобальные рекомендации, были исключены. Сведения о полном соответствии Azure Backup с Azure Security Benchmark, см. в полном файле соответствия базового плана безопасности Azure Backup.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Инструкции. Azure Backup не поддерживают развертывание непосредственно в виртуальную сеть. Служба архивации не может использовать сетевые функции, такие как группы безопасности сети, таблицы маршрутов или зависимые от сети устройства, такие как Брандмауэр Azure.

Используйте Microsoft Sentinel для определения использования устаревших незащищенных протоколов, например следующих:

  • протокол TLS версии 1;

  • протокол SMB (Server Message Block) версии 1;

  • диспетчер LAN (LM) или New Technology LAN Manager (NTLM) v1;

  • wDigest

  • неподписанные привязки для протокола LDAP;

  • слабые шифры в Kerberos.

Все предложения применяют протокол TLS 1.2 и выше, за исключением резервных копий Агента служб Microsoft Azure (MARS). Для резервного копирования агентов MARS служба Backup поддерживает протокол TLS 1.1 и более ранние версии до 1 сентября 2021 г. После этого резервные копии агентов MARS также будут применять протокол TLS 1.2 и более поздние версии.

При резервном копировании SQL-серверов и экземпляров SAP HANA на виртуальные машины Azure необходимо разрешить исходящий доступ к порту 443 для доступа к определенным полным доменным именам (FQDN) или при использовании тегов служб.

Вы можете использовать частные конечные точки для хранилищ Служб восстановления. Доступ к хранилищу могут получить только сети, содержащие частные конечные точки для хранилища.

Ответственность: Customer

NS-2: совместное подключение частных сетей

Рекомендации. Чтобы создать резервную копию локальных серверов, можно использовать ExpressRoute или виртуальную частную сеть (VPN) для подключения к Azure.

Используйте Azure Backup Community вместе с пирингом Майкрософт для ExpressRoute. Используйте частный пиринг вместе с частными конечными точками для Backup. Сетевой трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.

Ответственность: Customer

NS-3: установка доступа к частной сети для служб Azure

Рекомендации. Хранилище — это ресурс Azure, к которому можно получить доступ с помощью портала Azure, Azure CLI, PowerShell, пакетов SDK и других компонентов. Служба архивации также поддерживает частные конечные точки для хранилищ Служб восстановления.

Используйте Приватный канал Azure, чтобы разрешить частный доступ к хранилищам Служб восстановления из ваших виртуальных сетей без перехода в Интернет. Частный доступ — это дополнительная мера эшелонированной защиты для проверки подлинности Azure и безопасности трафика.

Backup не предоставляет возможности настройки конечных точек службы для виртуальной сети.

Ответственность: Customer

NS-6: упрощение правил безопасности сети

Рекомендации. Используйте теги службы виртуальной сети Azure для определения элементов управления для ресурсов Backup (группы безопасности сети) или Брандмауэра Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Укажите имя тега соответствующей службы в исходном поле правила или поле назначения правила, чтобы разрешить или запретить трафик. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Для сетей, где размещены службы, которые обмениваются данными с Backup, разрешите отправку тегов "AzureBackup", "AzureStorage" и "AzureActiveDirectory" в группы безопасности сети.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Руководство. Неприменимо. Резервное копирование не предоставляет свои базовые конфигурации DNS. Эти параметры поддерживаются корпорацией Майкрософт.

Ответственность: Microsoft

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Рекомендации. По умолчанию в решении Backup в качестве службы идентификации и управления доступом используется Azure Active Directory (Azure AD). Стандартизируйте Azure AD для управления идентификацией и доступом в организации применительно к следующим областям:

  • Ресурсы Microsoft Cloud. К ресурсам относятся:

    • Портал Azure

    • Служба хранилища Azure

    • виртуальные машины Azure для Linux и Windows;

    • Azure Key Vault

    • Платформа как услуга (PaaS)

    • Приложения SaaS (программное обеспечение как услуга)

  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, чтобы помочь сравнить состояние безопасности удостоверений с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешние удостоверения, которые позволяют пользователям без учетной записи Майкрософт входить в свои приложения и ресурсы.

Для обеспечения детального доступа к ресурсам Backup использует управление доступом на основе ролей (RBAC) Azure. Backup предоставляет три встроенных роли: участник Backup, оператор Backup и читатель Backup.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Рекомендации. Backup поддерживает управляемые удостоверения для своих ресурсов Azure. Вместо создания субъектов-служб для доступа к другим ресурсам используйте управляемые удостоверения для Backup.

Backup может выполнять проверку подлинности в службах или ресурсах Azure, поддерживающих проверку подлинности Azure AD. Backup использует предопределенное правило предоставления доступа вместо учетных данных, жестко закодированных в исходном коде или файлах конфигурации.

Backup использует управляемые удостоверения для выполнения операций резервного копирования и восстановления данных в защищенных источниках данных в хранилищах Backup. Кроме того, Backup использует управляемые удостоверения для управления такими функциями безопасности, как шифрование с помощью управляемых клиентом ключей и частных конечных точек для хранилищ Служб восстановления.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Рекомендации. Подключите всех пользователей, приложения и устройства к Azure AD. Azure AD предлагает простой безопасный доступ, а также более широкие возможности видимости и контроля.

Backup использует идентификатор Azure AD, чтобы предоставлять управление удостоверениями и доступом для ресурсов Azure. Удостоверения, которые могут использовать Azure AD для проверки подлинности в Backup, включают корпоративные удостоверения, такие как сотрудники, и внешние удостоверения, например партнеры и поставщики. Azure AD обеспечивает единый вход (SSO) для управления данными и ресурсами организации, а также предоставляет безопасный доступ к ним в локальной среде и в облаке.

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Рекомендации. Используйте средство проверки учетных данных Azure DevOps для обнаружения учетных данных в шаблонах Azure Resource Manager(ARM) для Backup. Сканер учетных данных рекомендует переместить обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Для GitHub можно использовать возможность проверки собственных секретов, которая обнаруживает учетные данные или другие секреты в коде.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Руководство. Наиболее критически важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей". Пользователи с этими двумя ролями могут делегировать роли администратора.

  • Пользователи с ролями "Глобальный администратор" или "Администратор организации" имеют права доступа ко всем функциям администрирования в Azure AD, а также к службам, использующим удостоверения Azure AD.

  • Пользователи с ролью «Администратор привилегированных ролей» могут управлять назначениями ролей в Azure AD и в Azure AD Privileged Identity Management (PIM). Пользователи с этой ролью могут управлять всеми аспектами PIM, а также административными единицами.

Ограничьте количество учетных записей и ролей с высоким уровнем привилегий и защитите эти учетные записи на более высоком уровне. Пользователи с высоким уровнем привилегий имеют прямые или непрямые разрешения для чтения и изменения всех ресурсов Azure.

Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и AAD с помощью Azure AD PIM. JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Участник Backup. Эта роль RBAC имеет все разрешения на создание резервных копий и управления ими, кроме разрешения на удаление хранилища служб восстановления и предоставление доступа другим пользователям. Эта роль представляет собой администратора управления архивацией, который может выполнять любую операцию управления архивацией. Регулярно просматривайте удостоверения, которым назначена эта роль, и настройте их с помощью Azure AD PIM.

Примечание. При назначении определенных привилегированных разрешений настраиваемым ролям может потребоваться управлять другими важными ролями. Кроме того, вам может потребоваться применить аналогичные элементы управления к учетной записи администратора критических бизнес-ресурсов.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Рекомендации. Backup использует учетные записи Azure AD и Azure RBAC для предоставления разрешений на доступ к своим ресурсам. Регулярно просматривайте учетные записи пользователей и назначения доступа, чтобы убедиться, что учетные записи и их доступ являются действующими. Используя проверку доступа средствами Azure AD, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете создавать рабочие процессы получения отчета о проверке доступа в Azure AD Privileged Identity Management (PIM) для упрощения процесса проверки.

Кроме того, можно настроить Azure AD PIM для отправки оповещений при обнаружении слишком большого числа учетных записей администраторов. Система PIM может также определять устаревшие или неправильно настроенные учетные записи администратора.

Backup поддерживает Azure RBAC для точного управления доступом к хранилищам. Azure Backup предоставляет три встроенные роли RBAC для операций управления резервным копированием:

  • Участник резервного копирования. Эта роль имеет все разрешения на создание резервных копий и управления ими, кроме разрешения на удаление хранилищ Служб восстановления и предоставление доступа другим пользователям. Эта роль представляет собой администратора управления архивацией, который может выполнять любую операцию управления архивацией.

  • Оператор Backup. Эта роль имеет те же разрешения, что и участник Backup, но не может удалять резервные копии и управлять политикой архивации. Эта роль эквивалентна роли участника Backup, за исключением того, что пользователь с этой ролью не может выполнять операции удаления, такие как прекращение архивации с удалением данных или удаление регистрации локальных ресурсов.

  • Читатель Backup. Эта роль имеет разрешение на просмотр всех операций управления архивацией. Эта роль предназначена для мониторинга.

  • Создание проверки доступа ролей ресурсов Azure с помощью функций управления привилегированными пользователями

  • Использование проверок доступа для идентификации Azure AD

  • Использование Azure RBAC для Backup

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Рекомендации. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Для выполнения административных задач с ресурсами Backup используйте надежно защищенные рабочие станции и Бастион Azure.

Чтобы развернуть защищенную и управляемую рабочую станцию для административных задач, используйте Azure AD, Расширенную защиту от угроз (ATP) в Microsoft Defender или Microsoft Intune. Вы можете централизованно управлять защищенными рабочими станциями, чтобы принудительно применять конфигурацию безопасности, которая включает:

Ответственность: Customer

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Рекомендации. Backup интегрируется с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Можно выполнять инвентаризацию или запрашивать эти роли с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.

Привилегии, назначаемые ресурсам через Azure RBAC, всегда должны ограничиваться возможностями, которые необходимы ролям. Эта практика дополняет JIT-подход, реализованный в Azure AD PIM. Регулярно проверяйте роли и назначения.

Служба Backup интегрируется с Azure RBAC и позволяет использовать встроенные и пользовательские роли для управления доступом к ресурсам. Используйте встроенные роли для выделения привилегии. Создавать настраиваемые роли можно только при необходимости.

Azure Backup предоставляет три встроенные роли для операций управления резервным копированием:

  • Участник резервного копирования. Эта роль имеет все разрешения на создание резервных копий и управления ими, кроме разрешения на удаление хранилищ Служб восстановления и предоставление доступа другим пользователям. Эта роль представляет собой администратора управления архивацией, который может выполнять любую операцию управления архивацией.

  • Оператор Backup. Эта роль имеет те же разрешения, что и участник Backup, но не может удалять резервные копии и управлять политикой архивации. Эта роль эквивалентна роли участника Backup, за исключением того, что пользователь с этой ролью не может выполнять операции удаления, такие как прекращение архивации с удалением данных или удаление регистрации локальных ресурсов.

  • Читатель Backup. Эта роль имеет разрешение на просмотр всех операций управления архивацией. Эта роль предназначена для мониторинга.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Рекомендации. Backup не поддерживает защищенное хранилище. Корпорация Майкрософт работает с клиентами через другие методы для утверждения доступа к данным клиентов.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Рекомендации. Azure Backup не имеет возможностей для классификации резервных копий данных. Вы можете организовать данные самостоятельно с помощью различных хранилищ и присоединить теги к этим хранилищам в соответствии с их содержимым.

Ответственность: Customer

DP-2. Защита конфиденциальных данных

Рекомендации. Для защиты конфиденциальных данных ограничьте доступ к ресурсам Backup с помощью:

  • Azure RBAC

  • элементов управления доступом на основе ролей;

  • определенных элементов управления в службах Azure, таких как шифрование.

При использовании резервного копирования виртуальных машин Azure IaaS служба Azure Backup предоставляет независимые и изолированные резервные копии для защиты от случайного удаления исходных данных. Резервные копии хранятся в хранилище Служб восстановления со встроенным управлением точками восстановления.

В целях согласованности все типы доступа должны быть согласованы с вашей корпоративной стратегией сегментации. Корпоративная стратегия сегментации должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.

Корпорация Майкрософт рассматривает все содержимое клиентов на управляемой ею базовой платформе как конфиденциальное. Она предоставляет защиту от потери и раскрытия клиентских данных. Корпорация Майкрософт по умолчанию использует элементы управления и инструменты защиты данных, чтобы обеспечить защиту данных клиентов Azure.

Ответственность: Customer

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Рекомендации. Backup поддерживает передачу данных клиентов, но изначально не поддерживает отслеживание несанкционированных передач конфиденциальных данных. Однако вы можете создавать правила генерации оповещений для журналов действий и ресурсов для любых операций восстановления, выполняемых из хранилища.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Рекомендации. Трафик Backup с серверов в хранилище Служб восстановления передается по защищенному каналу HTTPS. Данные шифруются с помощью AES 256 при хранении в хранилище.

Backup поддерживает шифрование данных при передаче с помощью TLS версии 1.2 или более поздней. Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться, что все клиенты, подключающиеся к вашим ресурсам Azure, могут использовать TLS версии 1.2 или более поздней.

Отключите слабые шифры, а также устаревшие версии и протоколы SSL, TLS и SSH.

По умолчанию Azure шифрует данные при передаче между центрами обработки данных Azure.

Ответственность: Customer

DP-5. Шифрование конфиденциальных неактивных данных

Рекомендации. Backup поддерживает шифрование неактивных данных. Для резервных копий локальных данных шифрование выполняется с использованием парольной фразы, которую вы указываете при настройке резервного копирования в Azure. Данные облачных рабочих нагрузок шифруются при хранении по умолчанию. Для этого используются Шифрование службы хранилища (SSE) и ключи, управляемые Майкрософт. Backup также предоставляет возможности для управляемых клиентом ключей в соответствии с нормативными требованиями.

При резервном копировании с помощью агента MARS или хранилища служб восстановления, зашифрованного с помощью ключа, управляемого клиентом, только у клиента будет доступ к ключу шифрования. Корпорация Майкрософт не хранит копию и не имеет доступа к ключу. При утрате ключа Майкрософт не сможет восстановить данные резервных копий.

Ответственность: Совмещаемая блокировка

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Убедитесь, что специалисты по безопасности имеет возможность отслеживания рисков, связанных с активами

Рекомендации. Предоставьте группам безопасности права "Читатель Backup" и права на чтение в клиенте и подписках Azure, чтобы они могли просматривать конфигурации Backup и данные для угроз безопасности.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. Аналитические сведения о безопасности и рисках должны всегда собираться в организации централизованно.

Ответственность: Customer

AM-2. Предоставление группе безопасности доступа к данным инвентаризации и метаданным активов

Рекомендации. Убедитесь в том, что группы безопасности обладают доступом к постоянно обновляемой инвентаризации ресурсов в Azure, например в Backup. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков или использовать их в качестве входных данных для непрерывного улучшения безопасности. Создайте группу Azure AD, которая будет охватывать уполномоченных специалистов отдела безопасности организации, и назначьте ей доступ для чтения ко всем ресурсам Backup. Этот процесс можно упростить путем одного высокоуровневого назначения ролей в рамках подписки.

К ресурсам Azure, группам ресурсов и подпискам можно применять теги, чтобы логически классифицировать их на основе метаданных. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Рекомендации. Резервное копирование поддерживает мониторинг и применение конфигураций с помощью Политики Azure. Используйте встроенные определения Политики Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Рекомендации. Используйте встроенную в Microsoft Defender для облака возможность обнаружения угроз. Включите Microsoft Defender для стандартных ресурсов Защиты от атак DDoS. Microsoft Defender предоставляет дополнительный уровень анализа безопасности. Microsoft Defender выявляет необычные и потенциально опасные попытки получить доступ к ресурсам Защиты от атак DDoS или воспользоваться ими.

Azure Backup создает журналы действий и ресурсов, которые можно использовать для аудита действий с ресурсами Backup и обнаружения угроз. Обеспечьте переадресацию журналов Backup в систему информационной безопасностью и событиями безопасности (SIEM). Вы можете использовать SIEM для настройки пользовательских инструментов обнаружения угроз.

Обязательно следите за потенциальными угрозами и аномалиями, относящимися к разным типам ресурсов Azure. Уделите особое внимание высокому качеству предупреждений, чтобы уменьшить количество ложноположительных результатов, которые приходится отбрасывать аналитикам. Вы можете получать оповещения на основе данных журналов и других данных, а также оповещения от агентов.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Рекомендации. Журналы действий доступны автоматически. Журналы содержат все операции PUT, POST и DELETE (но не GET) для ресурсов Backup. Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи изменяет ресурсы.

Включите журналы ресурсов Azure для Backup. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут дать важные сведения для расследования инцидентов безопасности или для предъявления в суде.

Ответственность: Совмещаемая блокировка

LT-5: централизованные управление журналом безопасности и анализ

Рекомендации. Централизуйте хранение и анализ журналов, чтобы можно было соотносить между собой данные журнала Backup. Для каждого источника журнала запишите:

  • назначенного владельца данных;
  • рекомендации по доступу;
  • Расположение хранения
  • средства, которые обрабатывают данные и обращаются к ним;
  • требования к хранению данных.

Обязательно интегрируйте журналы действий Azure в централизованную систему ведения журналов. Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. Для запросов и выполнения аналитики в Azure Monitor используйте рабочие области Log Analytics. Используйте учетные записи службы хранилища Microsoft Azure для долгосрочного и архивного хранения.

Включите и подключите данные к Microsoft Sentinel или системе SIEM стороннего производителя. Можно использовать Microsoft Sentinel для часто используемых "горячих" данных, а служба хранилища Azure — для "холодных" данных, которые используются реже.

Ответственность: Совмещаемая блокировка

LT-6: Настройка хранения журналов

Рекомендации. Используйте службу хранилища Azure или учетные записи рабочей области Log Analytics для долгосрочного и архивного хранения. Для учетных записей хранения в рабочих областях Backup, в которых хранятся журналы VPN-шлюзов, задайте срок хранения журнала, соответствующий нормативным требованиям вашей организации.

Ответственность: Совмещаемая блокировка

LT-7. Использование утвержденных источников синхронизации времени

Рекомендации. Служба Backup не поддерживает настройку собственных источников синхронизации времени. Она использует источники синхронизации времени Майкрософт и недоступна клиентам для настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Рекомендации. Отслеживайте и применяйте безопасные конфигурации хранилища Служб восстановления, назначив встроенные и настраиваемые определения Политики Azure. Если встроенные политики не соответствуют вашим требованиям, используйте псевдонимы Политик Azure в пространстве имен Microsoft.RecoveryServices для создания пользовательских политик.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Рекомендации. Использование Политики Azure для мониторинга и применения конфигураций Backup, таких как:

  • параметры для хранилищ;

  • Шифрование с использованием управляемых пользователем ключей

  • использование частных конечных точек для хранилищ;

  • развертывание параметров диагностики.

Используйте правила Политики Azure [запретить] и [развернуть, если не существует], чтобы реализовать безопасную конфигурацию в ресурсах Azure Backup.

Ответственность: Customer

PV-6. Выполнение оценки уязвимостей программного обеспечения

Рекомендации. Backup не развертывает ориентированные на клиента вычислительные ресурсы, которые поддерживают инструменты оценки уязвимостей. Корпорация Майкрософт обрабатывает уязвимости и оценки для базовой платформы, которая поддерживает службу Backup.

Ответственность: Microsoft

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Рекомендации. Backup не развертывает ориентированные на клиента вычислительные ресурсы, которые поддерживают инструменты оценки уязвимостей. Корпорация Майкрософт обрабатывает уязвимости и оценки для базовой платформы, которая поддерживает службу Backup.

Ответственность: Microsoft

PV-8: регулярное моделирование атак

Руководство. При необходимости выполните тест на проникновение или попытки нарушения безопасности "красной командой" ресурсов Azure и убедитесь, что исправлены всех критические точки безопасности.

Следуйте правилам взаимодействия выполнения тестов на проникновение в Microsoft Cloud, чтобы тесты на проникновение не нарушали политику Майкрософт. Используйте стратегию Red Teaming и процедуру выполнения Майкрософт. Выполняйте тестирование на проникновение в реальном времени, используя облачную инфраструктуру, службы и приложения, управляемые корпорацией Майкрософт.

Ответственность: Customer

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-2: шифрование данных резервного копирования

Рекомендации. Служба Backup поддерживает шифрование для управляемых ей данных резервного копирования. Неактивные данные облачных рабочих нагрузок шифруются по умолчанию. Для этого используются Шифрование службы хранилища (SSE) и ключи, управляемые Майкрософт. Azure Backup предоставляет возможности для управляемых клиентом ключей в соответствии с нормативными требованиями.

Ответственность: Совмещаемая блокировка

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политик Azure — Microsoft.RecoveryServices:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 2.0.0

BR-4: снижение риска потери ключей

Рекомендации. Убедитесь в том, что вы реализовали меры по предотвращению и восстановлению после потери ключей шифрования Backup. Включите обратимое удаление и очистку защиты в Azure Key Vault, чтобы защитить ключи от случайного или вредоносного удаления.

Ответственность: Совмещаемая блокировка

Дальнейшие действия