Базовый план безопасности Azure для Cognitive Services

Этот базовый план безопасности позволяет применять рекомендации Azure Security Benchmark версии 1.0 к службе Cognitive Services. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируется по элементам управления безопасностью, определенным в эталоне безопасности Azure и связанных руководствах, применимых к Cognitive Services.

Если функция имеет соответствующие Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, которые не применяются к Cognitive Services или за которые несет ответственность Майкрософт, исключены. Сведения о том, как обеспечить для Cognitive Services полное соответствие рекомендациям Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

1.1. Защита ресурсов Azure в виртуальных сетях

Рекомендация. Microsoft Azure Cognitive Services предоставляет многоуровневую модель безопасности. Эта модель обеспечивает безопасность учетных записей Cognitive Services, открывая доступ к ним только по определенному подмножеству сетей. После настройки сетевых правил доступ к учетной записи хранения смогут получать только приложения, запрашивающие данные через эту группу сетей. Вы можете ограничить доступ к ресурсам с помощью фильтрации запросов, разрешив только запросы, исходящие из указанных IP-адресов, диапазонов IP-адресов или списка подсетей в виртуальных сетях Azure.

Поддержка виртуальной сети и конечной точки службы для Cognitive Services ограничена конкретным набором регионов.

Ответственность: Customer

1.2. Мониторинг и ведение журнала конфигурации и трафика виртуальных сетей, подсетей и сетевых интерфейсов

Рекомендация. Если виртуальные машины развернуты в той же виртуальной сети, что и контейнер Cognitive Services, то можно использовать группы безопасности сети (NSG) для снижения риска кражи данных. Включите группы безопасности сети и отправьте журналы в учетную запись службы хранилища Azure для аудита трафика. Вы также можете отправить журналы потоков NSG в рабочую область Log Analytics и использовать Аналитику трафика для получения полезных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.3. Защита критических веб-приложений

Рекомендация. Если вы используете Cognitive Services внутри контейнера, то можете дополнить развертывание контейнера фронтальным решением брандмауэра веб-приложения для фильтрации вредоносного трафика и поддержания сквозного шифрования по протоколу TLS; при этом конечная точка контейнера будет закрыта и защищена.

Помните, что контейнеры Cognitive Services должны отправлять сведения об измерениях в целях выставления счетов. Единственным исключением являются автономные контейнеры, поскольку для них используется другая методология выставления счетов. Если не разрешить различные сетевые каналы, от которых зависят контейнеры Cognitive Services, контейнеры работать не смогут. Узел должен разрешить порт 443 и следующие домены:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Обратите также внимание, что необходимо отключить внимательное отслеживание пакетов для решения брандмауэра на защищенных каналах, которые контейнеры Cognitive Services создают на серверах Майкрософт. В противном случае контейнер будет работать некорректно.

Ответственность: Customer

1.4. Запрет взаимодействия с известными опасными IP-адресами

Рекомендация. Если виртуальные машины развертываются в той же виртуальной сети, что и контейнер Cognitive Services, следует определить и реализовать стандартные конфигурации безопасности для связанных сетевых ресурсов с помощью Политики Azure. Используйте псевдонимы политик Azure в пространствах имен Microsoft.CognitiveServices и Microsoft.Network для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для экземпляров Cognitive Services. Можно также использовать встроенные определения политик, например:

  • Стандарт Защиты от атак DDoS должен быть включен.

Используйте Azure Blueprints для упрощения крупномасштабных развертываний Azure с помощью упаковки ключевых артефактов среды, таких как шаблоны Azure Resource Manager, элементы управления доступом на основе ролей Azure (RBAC) и политики, в единое определение схемы. Простое применение схемы к новым подпискам и средам, а также управление точной настройкой и управление с помощью версионирования.

Если вы используете Cognitive Services внутри контейнера, то можете дополнить развертывание контейнера фронтальным решением брандмауэра веб-приложения для фильтрации вредоносного трафика и поддержания сквозного шифрования по протоколу TLS; при этом конечная точка контейнера будет закрыта и защищена.

Ответственность: Customer

1.5. Запись сетевых пакетов

Рекомендация. Если виртуальные машины развернуты в той же виртуальной сети, что и контейнер Cognitive Services, то можно использовать группы безопасности сети (NSG) для снижения риска кражи данных. Включите группы безопасности сети и отправьте журналы в учетную запись службы хранилища Azure для аудита трафика. Вы также можете отправить журналы потоков NSG в рабочую область Log Analytics и использовать Аналитику трафика для получения полезных сведений о потоке трафика в облаке Azure. Некоторые преимущества Аналитики трафика — это возможность визуализировать сетевые активности и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.6. Развертывание сетевых систем обнаружения и предотвращения вторжений (IDS/IPS)

Рекомендация. Если вы используете Cognitive Services внутри контейнера, то можете дополнить развертывание контейнера фронтальным решением брандмауэра веб-приложения для фильтрации вредоносного трафика и поддержания сквозного шифрования по протоколу TLS; при этом конечная точка контейнера будет закрыта и защищена. Можно выбрать предложение из Azure Marketplace, которое поддерживает функции IDS/IPS с возможностью отключения полезной нагрузки.

Помните, что контейнеры Cognitive Services должны отправлять сведения об измерениях в целях выставления счетов. Единственным исключением являются автономные контейнеры, поскольку для них используется другая методология выставления счетов. Если не разрешить различные сетевые каналы, от которых зависят контейнеры Cognitive Services, контейнеры работать не смогут. Узел должен разрешить порт 443 и следующие домены:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Обратите также внимание, что необходимо отключить внимательное отслеживание пакетов для решения брандмауэра на защищенных каналах, которые контейнеры Cognitive Services создают на серверах Майкрософт. В противном случае контейнер будет работать некорректно.

Ответственность: Customer

1.7. Управление трафиком к веб-приложениям

Рекомендация. Если вы используете Cognitive Services внутри контейнера, то можете дополнить развертывание контейнера фронтальным решением брандмауэра веб-приложения для фильтрации вредоносного трафика и поддержания сквозного шифрования по протоколу TLS; при этом конечная точка контейнера будет закрыта и защищена.

Помните, что контейнеры Cognitive Services должны отправлять сведения об измерениях в целях выставления счетов. Единственным исключением являются автономные контейнеры, поскольку для них используется другая методология выставления счетов. Если не разрешить различные сетевые каналы, от которых зависят контейнеры Cognitive Services, контейнеры работать не смогут. Узел должен разрешить порт 443 и следующие домены:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Обратите также внимание, что необходимо отключить внимательное отслеживание пакетов для решения брандмауэра на защищенных каналах, которые контейнеры Cognitive Services создают на серверах Майкрософт. В противном случае контейнер будет работать некорректно.

Ответственность: Customer

1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети

Рекомендация. Теги службы виртуальной сети можно использовать для определения элементов управления доступом к сети в группах безопасности сети, а также в Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, ApiManagement) в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Можно также использовать группы безопасности приложений для снижения сложности настройки безопасности. Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп.

Ответственность: Customer

1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств

Рекомендация. С помощью Политики Azure определите и реализуйте стандартные конфигурации безопасности для сетевых ресурсов, связанных с контейнерами Cognitive Services. Используйте псевдонимы политик Azure в пространствах имен Microsoft.CognitiveServices и Microsoft.Network для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для экземпляров Cognitive Services.

Можно также использовать Azure Blueprints, чтобы упростить развертывание крупномасштабных служб Azure путем упаковки основных артефактов среды, таких как шаблоны Azure Resource Manager, элементы управления доступом на основе ролей (RBAC) Azure и политики, в единое определение схемы. Простое применение схемы к новым подпискам и средам, а также управление точной настройкой и управление с помощью версионирования.

Ответственность: Customer

1.10. Документация по правилам конфигурации трафика

Рекомендация. Используйте теги для сетевых ресурсов, связанных с контейнером Cognitive Services, чтобы логически упорядочить их в классификации.

Ответственность: Customer

1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений

Рекомендация. Используйте журнал действий Azure для мониторинга конфигураций сетевых ресурсов и обнаружения изменений для сетевых ресурсов, связанных с контейнером Cognitive Services. Создавайте оповещения в Azure Monitor, которые будут запускаться при изменении критических сетевых ресурсов.

Ответственность: Customer

Ведение журналов и мониторинг

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и мониторинг.

2.2. Настройка централизованного управления журналами безопасности

Руководство. Включите параметры диагностики журнала действий Azure и отправьте журналы в рабочую область Log Analytics, концентратор событий Azure или учетную запись хранения Azure для архивации. Журналы действий позволяют подробно проанализировать операции, выполненные с контейнером Cognitive Services на уровне управления. По журналам действий Azure вы можете определить, кто, где и когда выполнял операции записи (PUT, POST, DELETE) на уровне управления для ваших экземпляров Cognitive Services.

Ответственность: Customer

2.3. Включение журналов аудита для ресурсов Azure

Руководство. Включите параметры диагностики журнала действий Azure и отправляйте журналы в рабочую область Log Analytics, центр событий Azure или учетную запись хранения Azure для архивации. С помощью данных журнала действий Azure вы можете определить, что нужно сделать, с чем и когда, для операций записи (PUT, POST, DELETE), выполненных на уровне управления для ресурсов Azure.

Кроме того, Cognitive Services отправляет диагностические события, которые можно собирать и использовать в целях анализа, оповещения и создания отчетов. Параметры диагностики для контейнера Cognitive Services можно настроить на портале Azure. Вы можете отправить одно или несколько событий диагностики в учетную запись хранения, концентратор событий или рабочую область Log Analytics.

Ответственность: Customer

2.5. Настройка хранения журнала безопасности

Руководство. В Azure Monitor задайте период хранения для рабочей области Log Analytics согласно нормативным требованиям вашей организации. Используйте учетные записи хранения Azure для долгосрочного и архивного хранения.

Ответственность: Customer

2.6. Мониторинг и просмотр журналов

Руководство. Включите параметры диагностики журнала действий Azure и отправляйте журналы в рабочую область Log Analytics. Эти журналы предоставляют сложные, регулярно регистрируемые данные о работе ресурса, которые используются для идентификации и устранения проблем. Отправляйте запросы в Log Analytics, чтобы выполнять поиск по нужным критериям, выявлять тенденции, анализировать закономерности и получать множество других аналитических сведений на основе данных журнала действий, собираемых для Azure Cognitive Services.

Ответственность: Customer

2.7. Включение оповещений об аномальных действиях

Рекомендация. Создавать оповещения для поддерживаемых метрик в Cognitive Services, можно в разделе "Оповещения и метрики" в Azure Monitor.

Настройте параметры диагностики для контейнера Cognitive Services и отправьте журналы в рабочую область Log Analytics. В рабочей области Log Analytics настройте оповещения, которые должны выполняться при заданном наборе условий. Также можно включить Microsoft Sentinel или стороннюю систему SIEM (управления информационной безопасностью и событиями безопасности) и передавать данные в такую систему.

Ответственность: Customer

Идентификатор и управление доступом

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями и доступом.

3.1. Инвентаризация учетных записей администраторов

Указание: в каталоге Azure Active Directory (Azure AD) имеются встроенные роли, которые должны назначаться явным образом и которые доступны для запросов. Используйте модуль PowerShell в Azure AD для нерегламентированных запросов, которые позволяют обнаруживать учетные записи, принадлежащие группам администраторов.

Ответственность: Customer

3.2. Изменение паролей по умолчанию, где применимо

Рекомендация. Доступ к уровню управления Cognitive Services контролируется с помощью Azure Active Directory (AAD). В Azure AD нет концепции паролей по умолчанию.

Доступ к плоскости данных Cognitive Services контролируется с помощью ключей доступа. Эти ключи используются клиентами, которые подключаются к кэшу, и могут быть повторно созданы в любое время.

Не рекомендуется создавать пароли по умолчанию в приложении. Вместо этого можно сохранить пароли в Azure Key Vault, а затем извлечь их в AAD.

Ответственность: Customer

3.3. Применение выделенных административных учетных записей

Руководство. Создайте стандартные операционные процедуры для использования выделенных административных учетных записей. Используйте управление идентификацией и доступом в Microsoft Defender для облака, чтобы контролировать число учетных записей администраторов.

Кроме того, чтобы отслеживать специализированные административные учетные записи, вы можете использовать рекомендации Microsoft Defender для облака или встроенные политики Azure, например следующие:

Ответственность: Customer

3.4. Использование единого входа Azure Active Directory

Рекомендация. Cognitive Services использует ключи доступа для проверки подлинности пользователей и не поддерживает единый вход (SSO) на уровне плоскости данных. Доступ к уровню управления Cognitive Services возможен через REST API и поддерживает единый вход. Чтобы выполнить проверку подлинности, задайте JSON (нотация объектов JavaScript) Web Token, полученный из Azure Active Directory (AAD), в качестве заголовка авторизации.

Ответственность: Customer

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Рекомендации. Включите многофакторную проверку подлинности Azure Active Directory (Azure AD) и следуйте рекомендациям по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.6. Использование защищенных рабочих станций, управляемых Azure, для административных задач

Руководство. Используйте рабочие станции с привилегированным доступом (PAW) и настроенной многофакторной проверкой подлинности для входа в ресурсы Azure и их настройки.

Ответственность: Customer

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Руководство. Используйте Privileged Identity Management (PIM) в Azure Active Directory (AAD) для генерации журналов и оповещений о подозрительных или небезопасных действиях в среде.

Кроме того, используйте обнаружение рисков Azure AD для просмотра оповещений и отчетов об опасном поведении пользователя.

Ответственность: Customer

3.8. Управление ресурсами Azure только из утвержденных расположений

Рекомендация. Настройте именованные расположения в условном доступе Azure Active Directory (AAD) для того, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов либо стран и регионов.

Ответственность: Customer

3.9. Использование Azure Active Directory

Рекомендация. Используйте Azure Active Directory (AAD) как центральную систему проверки подлинности и авторизации. Microsoft Azure Active Directory защищает данные с помощью надежного шифрования для неактивных и передаваемых данных, а также добавляет случайные записи, выполняет хэширование и обеспечивает безопасное хранение учетных данных пользователя. Если ваш вариант использования поддерживает проверку подлинности AD, используйте AAD для проверки подлинности запросов к API Cognitive Services.

В настоящее время проверку подлинности с помощью AAD поддерживают только API компьютерного зрения, API распознавания лиц, API анализа текста, иммерсивное средство чтения, распознаватель документов, детектор аномалий и все службы Bing, кроме пользовательского поиска Bing.

Ответственность: Customer

3.10. Регулярная проверка и согласование доступа пользователей

Руководство. Azure Active Directory предоставляет журналы для облегчения поиска устаревших учетных записей. Кроме того, клиенты могут использовать проверку доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям и назначения ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у активных пользователей был постоянный доступ.

Клиенты могут вести инвентаризацию учетных записей пользователей Управления API и выверять доступ по мере необходимости. В службе управления API разработчики – это пользователи интерфейсов API, которые вы предоставляете с помощью службы управления API. По умолчанию недавно созданные учетные записи разработчика являются активными и связаны с группой "Разработчики". Учетные записи разработчика, которые находятся в активном состоянии, можно использовать для доступа ко всем интерфейсам API, на которые у них есть подписки.

Ответственность: Customer

3.11. Отслеживание попыток доступа к отключенным учетным записям

Рекомендации. Вам доступны отчеты о действиях входа в Azure Active Directory, аудит и источники журналов рискованных событий, которые обеспечивают возможность интеграции с MIcrosoft Sentinel или сторонним решением SIEM.

Этот процесс можно упростить, создав параметры диагностики для учетных записей пользователей Microsoft Azure Active Directory и отправив журналы аудита и журналы входа в рабочую область Log Analytics. В Log Analytics можно настроить необходимые оповещения для журналов.

Ответственность: Customer

3.12. Предупреждения при подозрительном входе в учетную запись

Руководство. Для подозрительных входов в учетные записи в плоскости управления используйте функции защиты идентификации и обнаружения рисков Azure Active Directory, настроив автоматическое реагирование на обнаруженные подозрительные действия, связанные с удостоверениями пользователей. Вы также можете принимать данные в Microsoft Sentinel для дополнительного анализа.

Ответственность: Customer

3.13. Предоставление корпорации Майкрософт доступа к соответствующим данным клиентов в рамках сценариев поддержки

Рекомендация. Недоступно для Cognitive Services. Защищенное хранилище пока не поддерживается для Cognitive Services.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

4.1. Инвентаризация конфиденциальных данных

Руководство. Используйте теги для пометки ресурсов Azure, в которых хранятся или обрабатываются конфиденциальные данные.

Ответственность: Customer

4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные

Рекомендация. Реализуйте отдельные подписки или группы управления для разработки, тестирования и производства. Ресурсы должны быть разделены по виртуальным сетям или подсетям, соответствующим образом помечены и защищены с помощью групп безопасности сети или Брандмауэра Azure. Ресурсы, которые хранят или обрабатывают конфиденциальные данные, должны быть в достаточной степени изолированы. Для виртуальных машин, где хранятся или обрабатываются конфиденциальные данные, необходимо реализовать политики и процедуры отключения, когда они не используются.

Ответственность: Customer

4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации

Рекомендация. Пока недоступно. Функции идентификации, классификации и предотвращения потери данных пока недоступны в Cognitive Services.

Корпорация Майкрософт управляет базовой инфраструктурой Cognitive Services и реализовала надежные элементы управления для предотвращения потери или раскрытия данных клиента.

Ответственность: Customer

4.4. Шифрование любой конфиденциальной информации при передаче

Рекомендация. Все конечные точки Cognitive Services открываются для доступа по протоколу HTTP с принудительным подключением по TLS 1.2. В случае принудительного подключения по протоколу безопасности объекты-получатели, пытающиеся вызвать конечную точку Cognitive Services, должны соблюдать следующие рекомендации.

  • Клиентская операционная система должна поддерживать TLS 1.2.

  • Для языка (и платформы), используемого для вызова HTTP, необходимо указать TLS 1.2 в составе запроса. В зависимости от языка и платформы указание протокола TLS выполняется явно или неявно.

  • Общие сведения о протоколе TLS для Azure Cognitive Services

Ответственность: Совмещаемая блокировка

4.5: Использование средства активного обнаружения для распознавания конфиденциальных данных

Рекомендация. Функции идентификации, классификации и предотвращения потери данных пока недоступны в Cognitive Services. Добавьте к экземплярам, содержащим конфиденциальные сведения, соответствующие теги, и реализуйте стороннее решение, если это необходимо для обеспечения соответствия требованиям.

Корпорация Майкрософт управляет базовой платформой, считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты данных клиентов от потери и раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

4.6. Контроль доступа к ресурсам с помощью RBAC

Рекомендация. Используйте управление доступом на основе ролей Azure (RBAC) для управления доступом к уровню управления Cognitive Services (т. е. порталу Azure).

Ответственность: Customer

4.8. Шифрование конфиденциальной информации при хранении

Рекомендация. Шифрование неактивных данных для Cognitive Services зависит от используемой службы. В большинстве случаев шифрование и расшифровка данных выполняется с помощью 256-битного шифрования AES по стандарту FIPS 140-2. Шифрование и расшифровка прозрачны. Это означает, что управление шифрованием и доступом осуществляет для клиентов корпорация Майкрософт. Данные клиентов безопасны по умолчанию. Не нужно изменять код или приложения, чтобы воспользоваться преимуществами шифрования.

Для хранения ключей, управляемых клиентом, используйте Azure Key Vault. Можно либо создать собственные ключи и хранить их в хранилище ключей, либо использовать для их генерации API-интерфейсы Azure Key Vault.

Ответственность: Customer

4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure

Рекомендация. Используйте Azure Monitor с журналом действий Azure для создания оповещений об изменениях в рабочих экземплярах Cognitive Services и других критически важных и связанных с ними ресурсах.

Ответственность: Customer

Инвентаризация и управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление инвентаризацией и ресурсами.

6.1. Использование автоматизированного решения для обнаружения ресурсов

Рекомендация. Используйте Azure Resource Graph для запроса или обнаружения всех ресурсов (например, вычислений, хранилища, сети, портов, протоколов и т. д.) в ваших подписках. Убедитесь в том, что в вашем клиенте есть соответствующие разрешения (на чтение) и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.

Хотя классические ресурсы Azure можно обнаружить через Resource Graph, настоятельно рекомендуется в дальнейшем создавать и использовать ресурсы Azure Resource Manager.

Ответственность: Customer

6.2. Ведение метаданных активов

Руководство. Применяйте к ресурсам Azure теги, чтобы логически классифицировать их на основе метаданных.

Ответственность: Customer

6.3. Удаление неавторизованных ресурсов Azure

Рекомендации. Используйте, при необходимости, теги, группы управления и отдельные подписки для упорядочения и отслеживания экземпляров решения Cognitive Services и связанных ресурсов. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.

Кроме того, используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, используя следующие встроенные определения политик.

Ответственность: Customer

6.5. Отслеживание неутвержденных ресурсов Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

  • Недопустимые типы ресурсов
  • Допустимые типы ресурсов

Кроме того, используйте Azure Resource Graph для запроса или обнаружения ресурсов в подписках.

Ответственность: Customer

6.9. Использование только утвержденных служб Azure

Руководство. Используйте политику Azure для ограничения типов ресурсов, которые могут создаваться в подписках клиентов, применяя следующие встроенные определения политик.

Ответственность: Customer

6.11. Ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Руководство. Настройте условный доступ Azure, чтобы ограничить возможность пользователей взаимодействовать с Azure Resource Manager путем настройки "Блокировать доступ" для приложения "Управление Microsoft Azure".

Ответственность: Customer

Настройка безопасности

Дополнительные сведения см. в статье Azure Security Benchmark: настройка безопасности.

7.1. Установка безопасных конфигураций для всех ресурсов Azure

Рекомендация. С помощью Политики Azure определите и реализуйте стандартные конфигурации безопасности для контейнера Cognitive Services. Используйте псевдонимы политик Azure в пространстве имен Microsoft.CognitiveServices для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации для экземпляров Cognitive Services.

Ответственность: Customer

7.3. Сохранение безопасных конфигураций для ресурсов Azure

Рекомендация. Используйте действия Политики Azure [отказывать] и [развернуть, если не существует], чтобы принудительно применять безопасные параметры в ваших ресурсах Azure.

Ответственность: Customer

7.5. Безопасное хранение конфигурации ресурсов Azure

Рекомендация. Если вы используете пользовательские определения Политики Azure или шаблоны Azure Resource Manager для контейнеров Cognitive Services и связанных ресурсов, используйте Azure Repos для безопасного хранения кода и управления им.

Ответственность: Customer

7.7. Развертывание средств управления конфигурацией для ресурсов Azure

Руководство. Используйте псевдонимы политик Azure в пространстве имен "Microsoft.Cache" для создания настраиваемых политик для оповещения, аудита и принудительного применения конфигураций системы. Кроме того, разрабатывайте процесс и конвейер для управления исключениями политик.

Ответственность: Customer

7.9. Реализация автоматизированного мониторинга конфигурации для ресурсов Azure

Рекомендация. Используйте псевдонимы Политики Azure в пространстве имен Microsoft.CognitiveServices, чтобы создать настраиваемые определения Политики Azure для оповещения, аудита и принудительного применения конфигураций системы. Используйте действия Политики Azure [аудит], [отказывать] и [развернуть, если не существует] для принудительного применения конфигураций к экземплярам Cognitive Services и связанных ресурсов.

Ответственность: Customer

7.11. Безопасное управление секретами Azure

Рекомендация. Для виртуальных машин Azure или веб-приложений, работающих в Службе приложений Azure, которые применяются для доступа к API Cognitive Services, используйте управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление ключами Cognitive Services. Убедитесь, что включено обратимое удаление в Key Vault.

Ответственность: Customer

7.12. Безопасное и автоматическое управление удостоверениями

Рекомендация. Для виртуальных машин Azure или веб-приложений, работающих в Службе приложений Azure, которые применяются для доступа к API Cognitive Services, используйте управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление ключами Cognitive Services. Убедитесь, что включено обратимое удаление в Azure Key Vault.

Используйте функцию управляемых удостоверений для предоставления службам Azure автоматически управляемых удостоверений в Azure Active Directory (Azure AD). Функция управляемых удостоверений может использоваться для проверки подлинности в любой службе, которая поддерживает проверку подлинности Azure AD, включая Azure Key Vault, без сохранения учетных данных в коде.

Ответственность: Customer

7.13. Устранение непреднамеренного раскрытия учетных данных

Руководство. Реализуйте сканер учетных данных для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Ответственность: Customer

Защита от вредоносных программ

Дополнительные сведения см. в статье Azure Security Benchmark: защита от вредоносных программ.

8.2. Предварительная проверка файлов для отправки в ресурсы Azure, не являющиеся вычислительными

Рекомендации. Защита от вредоносных программ Майкрософт включена на базовом узле, поддерживающем службы Azure (например, Cognitive Services), но не применяется к содержимому заказчика.

Предварительно сканируйте любое содержимое, отправляемое в невычислительные ресурсы Azure, например Службу приложений, Data Lake Storage, Хранилище BLOB-объектов, Базу данных Azure для PostgreSQL и т. д. Корпорация Майкрософт не может получить доступ к данным в этих экземплярах.

Ответственность: Customer

Восстановление данных

Дополнительные сведения см. в статье Azure Security Benchmark: восстановление данных.

9.1. Обеспечение регулярного автоматического резервного копирования

Руководство. Данные в учетной записи хранения Microsoft Azure всегда реплицируются, обеспечивая устойчивость и высокий уровень доступности. Служба хранилища Azure копируют данные для защиты от запланированных и незапланированных событий, включая временные сбои оборудования, сети или энергоснабжения, масштабные стихийные бедствия и т. д. Вы можете реплицировать данные в пределах одного центра обработки данных, между зональными центрами обработки данных в одном регионе или между географически разделенными регионами.

Для резервного копирования данных на архивный уровень можно также использовать функцию управления жизненным циклом. Кроме того, следует включить обратимое удаление для резервных копий в учетной записи хранения.

Ответственность: Customer

9.2. Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом

Рекомендация. Используйте Azure Resource Manager для развертывания Cognitive Services и связанных ресурсов. Azure Resource Manager предоставляет возможность экспорта шаблонов, что позволяет повторно развертывать решение на протяжении всего жизненного цикла разработки и гарантирует развертывание ресурсов в согласованном состоянии. Используйте службу автоматизации Azure для регулярного вызова API экспорта шаблонов Azure Resource Manager. Выполняйте резервное копирование общих ключей в Azure Key Vault.

Ответственность: Customer

9.3. Проверка всех резервных копий, включая управляемые клиентом ключи

Руководство: при необходимости обеспечьте возможность регулярного развертывания шаблонов Azure Resource Manager в изолированной подписке. Проверяйте восстановление общих ключей, для которых выполнено резервное копирование.

Ответственность: Customer

9.4. Обеспечение защиты резервных копий и управляемых клиентом ключей

Рекомендация. Используйте Azure DevOps для безопасного хранения шаблонов Azure Resource Manager и управления ими. Чтобы защитить ресурсы, которыми вы управляете в Azure DevOps, можно предоставить или запретить разрешения для определенных пользователей, встроенных групп безопасности или групп, определенных в Azure Active Directory (AAD) (в случае интеграции с Azure DevOps) или Active Directory (в случае интеграции с Team Foundation Server).

Используйте управление доступом на основе ролей Azure для защиты ключей, управляемых клиентом. Включите обратимое удаление и защиту от очистки в Key Vault, чтобы защитить ключи от случайного или преднамеренного удаления.

Ответственность: Customer

реагирование на инциденты.

Дополнительные сведения см. в статье Azure Security Benchmark: реагирование на инциденты.

10.1. Создание руководства по реагированию на инциденты

Руководство. Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента.

Ответственность: Customer

10.2. Создание процедуры оценки инцидента и определения приоритетов

Рекомендации. Microsoft Defender для облака присваивает каждому оповещению уровень серьезности, что помогает назначить приоритет расследования оповещений. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.

Кроме того, отметьте подписки понятным образом (например, "производственные" и "непроизводственные") и создайте систему именования для четкого обозначения и классификации ресурсов Azure.

Ответственность: Customer

10.3. Проверка процедур реагирования на угрозы

Рекомендации. Выполните упражнения, чтобы периодически протестировать возможности ваших систем реагировать на угрозы. Выявите слабые точки и пробелы и пересмотрите план по мере необходимости.

Ответственность: Customer

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности

Рекомендации. Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим пользовательским данным был получен незаконный или несанкционированный доступ. Проверьте инциденты после факта обращения, чтобы убедиться, что проблемы устранены.

Ответственность: Customer

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты

Рекомендации. Используйте функцию непрерывного экспорта для своих оповещений и рекомендаций Microsoft Defender для облака. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме. Для потоковой передачи оповещений в Microsoft Sentinel можно использовать соединитель данных Microsoft Defender для облака.

Ответственность: Customer

10.6. Автоматизация реагирования на оповещения системы безопасности

Рекомендации. Используйте возможности автоматизации рабочих процессов в Microsoft Defender для облака, чтобы автоматически реагировать на оповещения и рекомендации по безопасности через Logic Apps.

Ответственность: Customer

Тесты на проникновение и попытки нарушения безопасности "красной командой"

Дополнительные сведения см. в статье Azure Security Benchmark: тесты на проникновение и попытки нарушения безопасности "красной командой".

11.1. Регулярное тестирование на проникновение в ресурсы Azure и отслеживание исправлений для всех критических точек безопасности

Инструкции. Следуйте правилам взаимодействия при тестировании на проникновение в Microsoft Cloud, чтобы тесты на проникновение соответствовали политикам Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Дальнейшие действия