Базовая конфигурация безопасности Azure для Cloud Shell

Эта базовая конфигурация безопасности позволяет применить рекомендации Azure Security Benchmark версии 2.0 к Cloud Shell. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируется по элементам управления безопасностью, определенным в Azure Security Benchmark, в соответствии с указаниями, применимыми к Cloud Shell.

Если функция имеет соответствующие Политика Azure определения, которые они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, которые не применяются к Cloud Shell или для которых действуют глобальные рекомендации без изменений, исключены. Сведения о том, как обеспечить для Cloud Shell полное соответствие рекомендациям Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Рекомендации. При развертывании ресурсов Cloud Shell необходимо создать виртуальную сеть или использовать существующую. Убедитесь, что все виртуальные сети Azure следуют принципу сегментации предприятия, который соответствует бизнес-рискам. Изолируйте любую систему, с которой могут быть связаны повышенные риски для организации, в ее собственной виртуальной сети. Обеспечьте достаточную защиту виртуальной сети с помощью группы безопасности сети (NSG) и (или) Брандмауэра Azure.

Примените возможности адаптивной защиты сети в Microsoft Defender для облака, чтобы рекомендовать конфигурации NSG, ограничивающие порты и исходные IP-адреса на основе правил для внешнего сетевого трафика.

Ответственность: Customer

NS-4: защита приложений и служб от внешних сетевых атак

Рекомендации. Защитите ресурсы Cloud Shell от атак из внешних сетей. Внешние атаки могут включать распределенные атаки типа "отказ в обслуживании" (DDoS-атаки), атаки на конкретные приложения, а также нежелательный и потенциально вредоносный Интернет-трафик.

Воспользуйтесь Брандмауэром Azure для защиты приложений и служб от потенциально вредоносного трафика, поступающего из Интернета и других внешних расположений.

Защитите свои ресурсы от распределенных атак DDoS, включив в виртуальных сетях Azure Защиту от атак DDoS ценовой категории "Стандартный". Используйте Microsoft Defender для облака для обнаружения рисков, связанных с неправильной настройкой сетевых ресурсов.

Cloud Shell в виртуальной сети Azure считается дополнительной возможностью и не настраивается по умолчанию. Дополнительные сведения см. в документации по Cloud Shell.

Cloud Shell не выполняет веб-приложения. Вам не нужно настраивать параметры или развертывать сетевые службы для защиты от внешних сетевых атак, направленных на веб-приложения.

Ответственность: Customer

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Рекомендации. В Cloud Shell в качестве службы идентификации и управления доступом используется Azure Active Directory (Azure AD). Стандартизируйте Azure AD для управления идентификацией и доступом в организации применительно к следующим областям:

  • Ресурсы Microsoft Cloud. К ресурсам относятся:

    • Портал Azure

    • Служба хранилища Azure

    • виртуальные машины Azure для Linux и Windows;

    • Azure Key Vault

    • Платформа как услуга (PaaS)

    • Приложения SaaS (программное обеспечение как услуга)

  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, чтобы помочь сравнить состояние безопасности удостоверений с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешние удостоверения, которые позволяют пользователям без учетной записи Майкрософт входить в свои приложения и ресурсы.

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Рекомендации. Cloud Shell позволяет клиентам выполнять код, развертывать конфигурации или сохранять данные, которые могут содержать удостоверения или секреты. Используйте сканер учетных данных для обнаружения таких учетных данных. Сканер учетных данных рекомендует переместить обнаруженные учетные данные в безопасные расположения, например в Azure Key Vault.

Для GitHub можно использовать встроенную возможность проверки секретов, которая обнаруживает учетные данные и другие секреты в коде.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-6: использование рабочих станций с привилегированным доступом

Рекомендации. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Для выполнения административных задач используйте надежно защищенные рабочие станции и Бастион Azure.

Чтобы развернуть защищенную и управляемую рабочую станцию для административных задач, используйте Azure AD, Расширенную защиту от угроз (ATP) в Microsoft Defender или Microsoft Intune. Вы можете централизованно управлять защищенными рабочими станциями, чтобы принудительно применять конфигурацию безопасности, которая включает:

  • Строгая проверка подлинности

  • Базовые показатели программного обеспечения и оборудования

  • Ограниченный логический и сетевой доступ

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Руководство. Неприменимо. Cloud Shell поддерживает передачу данных клиентов, но не имеет встроенной поддержки для мониторинга несанкционированных передач конфиденциальных данных.

Ответственность: Customer

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Рекомендации. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей за отслеживание угроз безопасности может отвечать централизованная или локальная команда безопасности. Аналитические сведения о безопасности и риски должны всегда централизованно собираться в организации.

Вы можете широко применять разрешения читателя сведений о безопасности для всей корневой группы управления арендатора или ограничить действие разрешений определенными группами управления или подписками.

Примечание. Для визуализации рабочих нагрузок и служб могут потребоваться дополнительные разрешения.

Ответственность: Customer

AM-2: Обеспечение для группы безопасности доступа к спискам и метаданным активов.

Рекомендации. Теги метаданных логически упорядочивают ресурсы в таксономии. Cloud Shell не использует теги и не позволяет клиентам присваивать или использовать теги.

Cloud Shell не поддерживает развертывание ресурсов на основе Azure Resource Manager или их обнаружение с помощью Azure Resource Graph.

Вы можете применить адаптивные элементы управления приложениями Microsoft Defender для облака, чтобы указать, к каким типам файлов применяется правило.

Ответственность: Customer

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Рекомендации. Используйте данные инвентаризации виртуальных машин Azure, чтобы автоматизировать сбор сведений о программном обеспечении на виртуальных машинах. На портале Azure можно узнать имя программного обеспечения, версию, издателя и время обновления. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и импортируйте журналы событий Windows в рабочую область Log Analytics.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-3: включение ведения журнала для сетевых операций Azure

Рекомендации Вы можете развернуть ресурсы Cloud Shell в виртуальной сети, но не можете применить ограничения к сетевому трафику или передать его через группу безопасности сети. Чтобы Cloud Shell работала правильно, необходимо отключить сетевые политики в подсети. По этой причине вы не сможете настроить для Cloud Shell ведение журнала потоков в группе безопасности сети.

Cloud Shell не создает и не обрабатывает журналы запросов DNS (службы доменных имен).

Ответственность: Customer

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Тесты производительности системы безопасности Azure. Управление состоянием безопасности и уязвимостями.

PV-6: выполнение оценок уязвимостей программного обеспечения

Рекомендации. В Cloud Shell можно применять стороннее решение, чтобы проводить оценки уязвимостей сетевых устройств и веб-приложений. Для выполнения удаленной проверки не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки. Защищайте и отслеживайте данные учетной записи проверки. Используйте эту учетную запись только для поиска уязвимостей.

Экспортируйте результаты проверки регулярно, в соответствии с конкретными потребностями. Сравнивайте результаты с результатами предыдущей проверки, чтобы убедиться в том, что уязвимости устранены.

Ответственность: Customer

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Рекомендации. Для программного обеспечения сторонних производителей воспользуйтесь решением управления исправлениями или средством System Center Updates Publisher для Configuration Manager.

Полный список функций и средств см. в статье о возможностях Cloud Shell: /azure/cloud-shell/features.

Ответственность: Customer

PV-8: регулярное моделирование атак

Руководство. При необходимости выполните тест на проникновение или попытки нарушения безопасности "красной командой" ресурсов Azure и убедитесь, что исправлены всех критические точки безопасности.

Следуйте правилам взаимодействия выполнения тестов на проникновение в Microsoft Cloud, чтобы тесты на проникновение не нарушали политику Майкрософт. Используйте стратегию Red Teaming и процедуру выполнения Майкрософт. Выполняйте тестирование на проникновение в реальном времени, используя облачную инфраструктуру, службы и приложения, управляемые корпорацией Майкрософт.

Ответственность: Customer

Следующие шаги