Базовый план безопасности Azure для реестра контейнеров

Этот базовый план безопасности применяет рекомендации из тестового показателя безопасности Azure версии 2,0 к реестру контейнеров. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируются по элементам управления безопасностью , определенным в ходе тестирования системы безопасности Azure, и связанным рекомендациям, применимым к реестру контейнеров.

Примечание

Элементы управления , неприменимые к реестру контейнеров, и те, для которых рекомендуется использовать глобальные рекомендации, были исключены. Сведения о том, как полностью сопоставить реестр контейнеров с тестовым показателем безопасности Azure, см. в полном файле сопоставления базовых показателей безопасности реестра контейнеров.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Руководство. Ограничьте доступ к закрытому реестру контейнеров Azure из виртуальной сети Azure, чтобы только утвержденные ресурсы могли получить доступ к реестру. Для распределенных сценариев можно также настроить правила брандмауэра, чтобы разрешить доступ к реестру только с конкретных IP-адресов. В защищенном брандмауэре настройте правила доступа брандмауэра и теги службы для доступа к реестру контейнеров.

Ответственность: Customer

Защитник Майкрософт для мониторинга в облаке: производительностьсистемы безопасности Azure — это инициатива политики по умолчанию для защитника Майкрософт для облака, которая является основой для защитника Майкрософт в отношении облачныхслужб. Определения политик Azure, связанные с этим элементом управления, автоматически включаются защитником Майкрософт для облака. Для оповещений, связанных с этим элементом управления, может потребоваться план защитника Майкрософт для связанных служб.

Встроенные определения политики Azure — Microsoft. ContainerRegistry:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с определенных общедоступных IP-адресов или диапазонов адресов. Если для реестра нет правила IP-адресов или брандмауэра либо настроенной виртуальной сети, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. Audit, Deny, Disabled 1.1.0

NS-2: совместное подключение частных сетей

Руководство. при включении закрытой конечной точки для ресурсов реестра контейнеров Azure необходимо установить подключение к частной сети. Используйте Azure ExpressRoute или виртуальную частную сеть Azure (VPN) для создания частных подключений между центрами обработки данных Azure, в которых размещаются реестры контейнеров и локальная инфраструктура в среде совместного размещения. Чтобы подключить две или несколько виртуальных сетей в Azure, используйте пиринг виртуальных сетей.

Сетевой трафик между одноранговыми виртуальными сетями является частным и хранится в магистральной сети Azure.

Ответственность: Customer

Защитник Майкрософт для мониторинга в облаке: производительностьсистемы безопасности Azure — это инициатива политики по умолчанию для защитника Майкрософт для облака, которая является основой для защитника Майкрософт в отношении облачныхслужб. Определения политик Azure, связанные с этим элементом управления, автоматически включаются защитником Майкрософт для облака. Для оповещений, связанных с этим элементом управления, может потребоваться план защитника Майкрософт для связанных служб.

Встроенные определения политики Azure — Microsoft. ContainerRegistry:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1

NS-3: установка доступа к частной сети для служб Azure

Руководство. Использование частной ссылки Azure для включения частного доступа к реестру контейнеров из виртуальных сетей без пересоединения через Интернет.

Частный доступ — это еще одна детальная мера защиты проверки подлинности и безопасности трафика, предоставляемая службами Azure.

Ответственность: Customer

Защитник Майкрософт для мониторинга в облаке: производительностьсистемы безопасности Azure — это инициатива политики по умолчанию для защитника Майкрософт для облака, которая является основой для защитника Майкрософт в отношении облачныхслужб. Определения политик Azure, связанные с этим элементом управления, автоматически включаются защитником Майкрософт для облака. Для оповещений, связанных с этим элементом управления, может потребоваться план защитника Майкрософт для связанных служб.

Встроенные определения политики Azure — Microsoft. ContainerRegistry:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1

NS-4: защита приложений и служб от внешних сетевых атак

Рекомендации. Защитите ресурсы реестра контейнеров Azure от атак из внешних сетей. Их настройка с помощью частной ссылки для предотвращения доступа к реестру контейнеров извне сети. В ситуациях, когда нельзя использовать виртуальные сети и закрытые ссылки, реестр контейнеров позволяет указать правила доступа брандмауэра для ограничения доступа к определенным сетям.

Реестр контейнеров Azure не предназначен для размещения веб-приложений. Это управляемая частная служба реестра DOCKER. Другие сетевые приложения, такие как брандмауэры веб-приложений или от атак DDoS, не применяются к этой службе.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

NS-6: упрощение правил безопасности сети

Руководство. для ресурсов, которым требуется доступ к реестру контейнеров, используйте теги службы виртуальной сети для службы реестра контейнеров Azure, чтобы определить элементы управления доступом к сети в группах безопасности сети или брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности.

Указав имя тега службы «Азуреконтаинеррегистри» в соответствующем поле источника или назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

NS-7: безопасная служба доменных имен (DNS)

Руководство. Реестр контейнеров не предоставляет свои базовые конфигурации DNS. Эти параметры обслуживаются корпорацией Майкрософт.

Ответственность: Microsoft

Защитник Майкрософт для мониторинга облака: нет

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

руководство. реестр контейнеров использует Azure Active Directory (Azure AD) в качестве службы управления удостоверениями и доступом по умолчанию. Стандартизация Azure AD для управления удостоверениями и доступом в вашей организации в:

  • Microsoft Cloud ресурсы. Ресурсы включают:-портал Azure

    • Служба хранилища Azure
    • Azure Linux и Windows виртуальные машины
    • Azure Key Vault
    • Платформа как услуга (PaaS)
    • Приложения SaaS (программное обеспечение как услуга)
  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Безопасность Azure AD должна быть высокой приоритетной в целях безопасности в облаке вашей организации. предоставляет оценку безопасного удостоверения, помогающую сравнить уровень безопасности идентификации с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Служба реестра контейнеров Azure поддерживает набор встроенных ролей Azure, которые предоставляют различные уровни разрешений для реестра контейнеров Azure. Используйте управление доступом на основе ролей Azure (Azure RBAC), чтобы назначить определенные разрешения пользователям, субъектам-службам или другим удостоверениям, которые должны взаимодействовать с реестром. Например, используйте его для назначения разрешений на извлечение или принудительную отправку образов контейнеров.

Существует несколько способов проверки подлинности в реестре контейнеров Azure. Каждый из них применим к одному или нескольким сценариям использования реестра.

Рекомендуемые способы:

  • проверка подлинности напрямую в реестре с персональным именем для входа;
  • С помощью субъекта-службы Azure AD приложения и контейнеры контейнеров могут выполнять проверку подлинности в автоматическом режиме или без монитора.
  • Если вы используете реестр контейнеров в Службе Azure Kubernetes (AKS) или в другом кластере Kubernetes, см. статью Сценарии проверки подлинности с помощью Реестра контейнеров Azure из Kubernetes.

Дополнительные сведения см. в разделе:

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

IM-2: безопасное и автоматическое управление удостоверениями приложений

Руководство. Реестр контейнеров поддерживает несколько способов проверки подлинности в реестре клиента:

  • Управляемые удостоверения (предпочтительно). клиенты могут проходить проверку подлинности в реестре контейнеров с помощью удостоверений системы или назначенных пользователю удостоверений. — приложения Azure AD. клиенты могут использовать приложение или субъект-службу Azure AD для проверки подлинности в реестре контейнеров.

Дополнительные сведения см. в разделе:

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Руководство. Реестр контейнеров использует Azure AD для предоставления управления удостоверениями и доступом к ресурсам Azure, облачным приложениям и локальным приложениям. Удостоверения включают в себя корпоративные удостоверения, такие как сотрудники, и внешние удостоверения, такие как партнеры, поставщики и поставщики. Azure AD обеспечивает единый вход (SSO) для управления доступом к локальным и облачным данным и ресурсам Организации и обеспечения их безопасности.

Подключение все пользователи, приложения и устройства в Azure AD. Azure AD обеспечивает простой, безопасный доступ и повышает видимость и контроль.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

IM-7: исключение непреднамеренного раскрытия учетных данных

Руководство. Реестр контейнеров позволяет клиентам развертывать конфигурации ресурсов в качестве шаблонов Azure Resource Manager, которые потенциально могут содержать удостоверения и секреты. Мы рекомендуем реализовать средство проверки учетных данных для обнаружения учетных данных в коде или конфигурациях. Средство проверки учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

для GitHub можно использовать функцию машинного просмотра секретов для указания учетных данных или других форм секретов в коде.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Руководство. наиболее важными встроенными РОЛЯМИ Azure AD являются глобальные администраторы и администратор привилегированных ролей. Пользователи, которым назначены эти две роли, могут делегировать роли администратора:

  • Глобальный администратор или администратор Организации. пользователи с этой ролью имеют доступ ко всем функциям администрирования в Azure AD, а также к службам, использующим удостоверения Azure AD.

  • администратор привилегированных ролей. пользователи с этой ролью могут управлять назначениями ролей в azure ad, а также в azure ad управление привилегированными пользователями (PIM). Кроме того, эта роль позволяет управлять всеми аспектами PIM и административными единицами.

Примечание. у вас могут быть другие критически важные роли, которыми необходимо управлять при использовании пользовательских ролей с назначенными привилегированными разрешениями. Также может потребоваться применить аналогичные элементы управления к учетной записи администратора критических бизнес-ресурсов.

Ограничьте число учетных записей или ролей с высоким уровнем привилегий и защитите эти учетные записи на уровне повышенных привилегий. Пользователи с этой привилегией могут напрямую или косвенно читать и изменять каждый ресурс в среде Azure.

Вы можете включить привилегированный доступ (JIT) для ресурсов Azure и Azure AD с помощью Azure AD PIM. JIT предоставляет временные разрешения на доступ к привилегированным задачам только тогда, когда это требуется пользователям. PIM также может создавать оповещения системы безопасности при наличии подозрительных или ненадежных действий в Организации Azure AD.

Создайте стандартные операционные процедуры для использования выделенных административных учетных записей.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

PA-3. Регулярная проверка и согласование доступа пользователей

Руководство. Реестр контейнеров использует учетные записи Azure AD для управления ресурсами и проверки учетных записей пользователей. Регулярно выполняйте доступ к назначениям, чтобы убедиться, что учетные записи и их доступ действительны. Вы можете использовать проверки доступа Azure AD для просмотра членства в группах, доступа к корпоративным приложениям и назначений ролей. Служба отчетов Azure AD может предоставлять журналы для облегчения поиска устаревших учетных записей. Вы также можете создать рабочие процессы отчетов по проверке доступа в Azure AD PIM, чтобы упростить процесс проверки.

Вы также можете настроить Azure AD PIM, чтобы оповещать вас при слишком большом числе учетных записей администратора. PIM может определить устаревшие или неправильно настроенные учетные записи администратора.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD. Управлять этими пользователями по отдельности.

Служба реестра контейнеров Azure поддерживает набор встроенных ролей Azure, которые предоставляют различные уровни разрешений для реестра контейнеров Azure. Используйте Azure RBAC, чтобы назначить определенные разрешения пользователям, субъектам-службам или другим удостоверениям, которые должны взаимодействовать с реестром. Например, используйте его для назначения разрешений на извлечение или принудительную отправку образов контейнеров.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

PA-6: использование рабочих станций с привилегированным доступом

Руководство. защищенные изолированные рабочие станции критически важны для защиты конфиденциальных ролей, таких как администратор, разработчик и оператор критической службы. Для выполнения административных задач используйте надежно защищенные рабочие станции и (или) Бастион Azure. для развертывания защищенной и управляемой пользовательской рабочей станции для административных задач используйте Azure AD, Advanced Threat Protection (ATP) и/или Microsoft Intune. Защищенные рабочие станции можно централизованно управлять, чтобы обеспечить безопасную настройку, например:

  • Строгая проверка подлинности

  • Базовые показатели программного и аппаратного обеспечения

  • Ограниченный логический и сетевой доступ.

Дополнительные сведения см. в разделе:

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Руководство. Реестр контейнеров интегрируется с Azure RBAC для управления ресурсами. С помощью RBAC вы управляете доступом к ресурсам Azure с помощью назначений ролей. Вы можете назначать роли пользователям, группам, субъектам-службам и управляемым удостоверениям. Некоторые ресурсы имеют предварительно определенные встроенные роли. вы можете выполнять инвентаризацию или запрашивать эти роли с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure. Ограничьте привилегии, назначаемые ресурсам с помощью Azure RBAC, на то, что требуются ролям. Эта практика дополняет JIT-подход Azure AD PIM. Периодически просматривайте роли и назначения.

Используйте встроенные роли для выделения разрешений и при необходимости создавайте только пользовательские роли. Служба реестра контейнеров Azure поддерживает набор встроенных ролей Azure, которые предоставляют различные уровни разрешений для реестра контейнеров Azure. Используйте Azure RBAC, чтобы назначить определенные разрешения пользователям, субъектам-службам или другим удостоверениям, которые должны взаимодействовать с реестром. Например, используйте его для назначения разрешений на извлечение или принудительную отправку образов контейнеров.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Руководство. в сценариях поддержки, в которых Майкрософт необходим доступ к данным клиентов, реестр контейнеров поддерживает защищенное хранилище. Он предоставляет интерфейс для просмотра и утверждения или отклонения запросов на доступ к данным клиентов.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-2. Защита конфиденциальных данных

Руководство. Защита конфиденциальных данных путем запрета доступа с помощью Azure RBAC, управления доступом на основе сети и определенных элементов управления в службах Azure, таких как шифрование. Чтобы обеспечить постоянный контроль доступа, выровняйте все типы управления доступом с помощью стратегии сегментации предприятия. Проинформируйте стратегию сегментации предприятия о расположении конфиденциальных или важных бизнес-данных и систем. Для базовой платформы (управляемой Майкрософт) корпорация Майкрософт считает все содержимое клиента конфиденциальным и защищенным от потери и доступности данных клиентов. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала несколько элементов управления и возможностей защиты данных по умолчанию.

Создавая токены, владелец реестра может предоставлять пользователям или службам ограниченный по времени и области доступ к репозиториям, чтобы получать или отправлять образы или выполнять другие действия. Токен предоставляет более детализированные разрешения, чем другие варианты проверки подлинности в реестре, в которых областью действия разрешений является весь реестр.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Руководство. Включение функции "журналы аудита" для реестра контейнеров Azure и отслеживание действий по отправке и опрашивающей репликации в реестре. Настройте оповещения и перешлите эти журналы в SIEM. Настройте триггеры для действия, которое является подозрительным, или формирует нерегулярный шаблон доступа.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

DP-4: шифрование конфиденциальной информации во время передачи

Руководство. чтобы дополнить управление доступом, Защитите данные в процессе передачи данных от атак с использованием аппаратного контроллера управления (например, для записи трафика), используя шифрование, чтобы злоумышленники не могли легко считывать или изменять данные.

Реестр контейнеров Azure обеспечивает шифрование данных при передаче в службу и требует, чтобы все безопасные подключения к серверам и приложениям использовали TLS 1,2. Включите TLS 1.2 с помощью любого нового клиента Docker (версии не ниже 18.03.0). Поддержка TLS 1,0 и 1,1 прекращена.

Ответственность: Совмещаемая блокировка

Защитник Майкрософт для мониторинга облака: нет

DP-5. Шифрование конфиденциальных неактивных данных

Руководство. для дополнения элементов управления доступом реестр контейнеров шифрует неактивных данных для защиты от атак с использованием аппаратного контроллера управления (например, доступ к базовому хранилищу) с помощью шифрования. Это гарантирует, что злоумышленники не смогут легко считывать или изменять данные.

По умолчанию Azure обеспечивает шифрование неактивных данных. Для высокочувствительных данных вы можете реализовать дополнительные возможности шифрования при хранении во всех ресурсах Azure, где это возможно. Azure управляет ключами шифрования по умолчанию, но Azure также предоставляет возможности управления собственными ключами (ключами, управляемыми клиентом) для определенных служб Azure в соответствии с нормативными требованиями.

Ответственность: Microsoft

Защитник Майкрософт для мониторинга в облаке: производительностьсистемы безопасности Azure — это инициатива политики по умолчанию для защитника Майкрософт для облака, которая является основой для защитника Майкрософт в отношении облачныхслужб. Определения политик Azure, связанные с этим элементом управления, автоматически включаются защитником Майкрософт для облака. Для оповещений, связанных с этим элементом управления, может потребоваться план защитника Майкрософт для связанных служб.

Встроенные определения политики Azure — Microsoft. ContainerRegistry:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Подробная информация собрана на странице https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Руководство. Убедитесь, что группам безопасности предоставлены разрешения читателя безопасности в клиенте и подписках Azure, поэтому они могут отслеживать риски безопасности с помощью защитника Майкрософт для облака.

Наблюдение за угрозами безопасности может быть обязанностью централизованной группы безопасности или локальной группы в зависимости от структуры обязанностей. Всегда вычислять ценные сведения о безопасности и риски централизованно внутри Организации.

Разрешения читателя по обеспечению безопасности можно широко использовать для корневой группы управления или разрешения области действия для конкретных групп управления или подписок.

Примечание. для получения видимости рабочих нагрузок и служб могут потребоваться дополнительные разрешения.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Руководство. Убедитесь, что группы безопасности имеют доступ к постоянно обновленной инвентаризации ресурсов в Azure, например реестра контейнеров. Группы безопасности часто нуждаются в этой инвентаризации, чтобы оценить потенциальную угрозу для новых рисков, а также в качестве входных данных для непрерывных улучшений безопасности. Создайте группу Azure AD, которая будет содержать уполномоченную группу безопасности Организации, и назначьте ей доступ для чтения ко всем ресурсам реестра контейнеров. Вы можете упростить процесс, используя одно высокоуровневое назначение ролей в подписке.

Примените теги к ресурсам Azure, группам ресурсов и подпискам, чтобы логически упорядочить их в таксономии. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Используйте инвентаризацию виртуальных машин Azure для автоматизации сбора сведений о программном обеспечении на виртуальных машинах. имя программного обеспечения, версия, Publisher и время обновления доступны в портал Azure. чтобы получить доступ к датам установки и другим сведениям, включите диагностику на уровне гостя и перенесите журналы событий Windows в рабочую область Log Analytics.

Используйте защитник Майкрософт для адаптивных облачных элементов управления приложениями, чтобы указать типы файлов, к которым правило может не применяться.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Руководство. Использование Microsoft Defender для встроенной функции обнаружения угроз в облаке и включение защитника Майкрософт для ресурсов реестра контейнеров. Защитник Майкрософт для реестра контейнеров предоставляет еще один уровень анализа безопасности. Он обнаруживает необычные и потенциально опасные попытки доступа или использования ресурсов реестра контейнеров.

Перешлите журналы из реестра контейнеров в SIEM, которые можно использовать для настройки пользовательских обнаружений угроз. Убедитесь, что вы отслеживаете различные типы ресурсов Azure для потенциальных угроз и аномалий. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Источником предупреждений могут быть данные журналов, агенты или другие данные.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Руководство. Azure AD предоставляет следующие журналы пользователей. Вы можете просмотреть журналы в службе отчетов Azure AD. Вы можете интегрироваться с Azure Monitor, Microsoft Sentinel или другими инструментами SIEM и мониторинга для сложных вариантов использования в целях мониторинга и анализа.

  • Вход в систему. отчет о событиях входа содержит сведения об использовании управляемых приложений и действий входа пользователя. — журналы аудита — обеспечивает трассировку с помощью журналов для всех изменений, внесенных различными компонентами Azure AD. Журналы аудита включают изменения, внесенные в любой ресурс в Azure AD. К изменениям относятся добавление или удаление пользователей, приложений, групп, ролей и политик.
  • Рискованные входы — индикатор попыток входа, который может быть незаконным владельцем учетной записи пользователя.
  • Пользователи, помеченные для риска — Рискованный пользователь является индикатором для учетной записи пользователя, которая могла быть скомпрометирована. Защитник Майкрософт для облака также может оповещать вас о некоторых подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности. Устаревшие учетные записи в подписке также могут активировать предупреждения. Защитник Майкрософт для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности, или об устаревших учетных записях.

В дополнение к базовому санации мониторинга безопасности защитник Майкрософт для модуля защиты от угроз в облаке может получать более подробные оповещения системы безопасности от:

  • Отдельные ресурсы вычислений Azure, такие как виртуальные машины, контейнеры и служба приложений
  • ресурсы данных, такие как База данных SQL Azure и служба хранилища Azure
  • Уровни служб Azure

Эта возможность позволяет видеть аномалии учетных записей в отдельных ресурсах.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

LT-3: включение ведения журнала для сетевых операций Azure

Руководство. включение следующих журналов:

  • Журналы ресурсов группы безопасности сети (NSG)

  • Журналы потоков NSG

  • Журналы Брандмауэра Azure

Собирайте журналы для анализа безопасности. Используйте их для поддержки исследований инцидентов, обнаружения угроз и создания оповещений системы безопасности. Журналы потоков можно отправить в рабочую область Azure Monitor Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений.

Реестр контейнеров не создает и не обрабатывает журналы запросов DNS.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

LT-4: включение ведения журнала для ресурсов Azure

Руководство. журналы действий доступны автоматически. Журналы содержат все операции размещения, отправки и удаления, но не операций GET для ресурсов реестра контейнеров. Журналы действий можно использовать для поиска ошибок при устранении неполадок или для наблюдения за изменением ресурсов пользователями.

Включите журналы ресурсов Azure для реестра контейнеров. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важными для изучения инцидентов безопасности и для судебных упражнений.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

LT-6: Настройка хранения журналов

Руководство. для учетных записей хранения log Analytics или рабочих областей, в которых хранятся журналы реестра контейнеров, задайте срок хранения журнала, соответствующий нормативным требованиям вашей организации.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

LT-7: использование источников синхронизации утвержденного времени

Руководство. Реестр контейнеров Azure не поддерживает настройку собственных источников синхронизации времени. Служба реестра контейнеров основывается на источниках синхронизации времени Майкрософт и не предоставляется клиентам для настройки.

Ответственность: Microsoft

Защитник Майкрософт для мониторинга облака: нет

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Руководство. Вы можете использовать схемы Azure для автоматизации развертывания и настройки служб и сред приложений в одном определении схемы. Среды для:

  • Шаблоны диспетчера ресурсов Azure

  • Элементы управления и политики Azure RBAC

Используйте схемы Azure для автоматизации развертывания и настройки ресурса реестра контейнеров Azure, включая:

  • Шаблоны диспетчера ресурсов Azure
  • Назначения ролей RBAC в Azure
  • Назначения политик Azure

Используйте политику Azure или защитник Майкрософт для облака, чтобы поддерживать конфигурации безопасности для всех ресурсов реестра контейнеров Azure. "Политика Azure" — это служба в Azure, которая используется для создания и присваивания политик, а также управления ими. Эти политики гарантируют соблюдение различных правил и действий с ресурсами, что обеспечивает соответствие этих ресурсов корпоративным стандартам и соглашениям об уровне обслуживания.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Руководство. Использование защитника Майкрософт для облака для мониторинга базовой конфигурации. Используйте политику Azure [Deny] и [развернуть, если не существует], чтобы обеспечить безопасную настройку для ресурсов вычислений Azure, включая виртуальные машины, контейнеры и т. д.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров

Руководство. Реестр контейнеров позволяет клиентам управлять образами операционной системы или образами контейнеров. Используйте коллекцию общих образов Azure для совместного использования образов с разными пользователями, субъектами-службами или группами Azure AD в вашей организации. Храните образы контейнеров в реестре контейнеров Azure и используйте Azure RBAC, чтобы убедиться, что доступ имеют только полномочные пользователи.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

PV-6: выполнение оценок уязвимостей программного обеспечения

Руководство. Реестр контейнеров позволяет развертывать службы в своей среде.

Следуйте рекомендациям защитника Майкрософт для облака, чтобы выполнять оценку уязвимостей в развернутых службах.

  • Виртуальные машины Azure
  • Образы контейнеров
  • Серверы SQL Server

защитник майкрософт для облака имеет встроенный сканер уязвимостей для виртуальных машин, образов контейнеров и SQL базы данных.

Чтобы удостовериться, что уязвимости устранены, в случае необходимости экспортируйте результаты проверки через определенные интервалы времени и сравнивайте эти результаты с результатами предыдущих проверок. при использовании рекомендаций управление уязвимостями, предлагаемых защитником майкрософт для облака, можно выполнить сведение на портал выбранного решения для просмотра исторических данных сканирования.

корпорация майкрософт выполняет управление уязвимостями в базовых системах, поддерживающих реестр контейнеров.

Ответственность: Совмещаемая блокировка

Защитник Майкрософт для мониторинга в облаке: производительностьсистемы безопасности Azure — это инициатива политики по умолчанию для защитника Майкрософт для облака, которая является основой для защитника Майкрософт в отношении облачныхслужб. Определения политик Azure, связанные с этим элементом управления, автоматически включаются защитником Майкрософт для облака. Для оповещений, связанных с этим элементом управления, может потребоваться план защитника Майкрософт для связанных служб.

Встроенные определения политики Azure — Microsoft. ContainerRegistry:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Должны быть устранены уязвимости в образах Реестра контейнеров Azure Средство оценки уязвимостей в образах контейнеров проверяет реестр на наличие уязвимостей в каждом из отправленных образов контейнеров и предоставляет подробные результаты для каждого образа (на платформе Qualys). Устранение уязвимостей может значительно улучшить безопасность контейнеров и защитить их от атак. AuditIfNotExists, Disabled 2.0.0

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Руководство. Неприменимо. Эта рекомендация предназначена для вычислений с ресурсами. Реестр контейнеров Azure не развертывает клиентские ресурсы, подсчитанные клиентам, которые необходимо настроить.

Ответственность: Совмещаемая блокировка

Защитник Майкрософт для мониторинга облака: нет

PV-8: регулярное моделирование атак

Рекомендации. по мере необходимости проведите тестирование на проникновение или красные команды на ресурсы Azure. Обязательно исправьте все критические результаты безопасности.

Следуйте правилам тестирования уязвимости Microsoft Cloud, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию и исполнение Microsoft по красному Отделу. Протестировать проникновение в реальном времени для управляемой корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-3. обеспечение обновления антивредоносных программ и подписей

Рекомендации. Убедитесь, что подписи антивредоносных программ обновлены быстро и единообразно.

Следуйте рекомендациям в защитнике Майкрософт для облака: & приложения для вычислений, чтобы обеспечить актуальность всех конечных точек с использованием последних подписей. По умолчанию Microsoft Antimalware будет автоматически устанавливать новые сигнатуры и обновления подсистемы.

Корпорация Майкрософт обрабатывает антивредоносную программу для базовой платформы с помощью регулярных обновлений и развертываний.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

руководство. данные в реестре контейнеров Microsoft Azure всегда реплицируются автоматически, чтобы обеспечить устойчивость и высокий уровень доступности. Реестр контейнеров Azure копирует данные таким образом, чтобы они были защищены от запланированных и незапланированных событий.

При необходимости Георепликация реестра контейнеров позволяет поддерживать реплики реестра в нескольких регионах или регионах Azure с включенным Зоны доступности.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

BR-2: шифрование данных резервного копирования

Руководство. системные данные шифруются при хранении с помощью управляемого ключа Майкрософт.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Руководство. Реестр контейнеров поддерживает резервное копирование собственных критически важных системных данных. Периодически обеспечивайте возможность восстановления резервных копий ключей, управляемых клиентом.

Используйте шифрование неактивных ресурсов на всех ресурсах Azure. По умолчанию все данные в реестре контейнеров Azure шифруются с помощью ключей, управляемых корпорацией Майкрософт.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

BR-4: снижение риска потери ключей

Рекомендации. Убедитесь, что у вас есть меры для предотвращения и восстановления после потери ключей шифрования Azure Backup. Включите обратимое удаление и очистку защиты в Azure Key Vault, чтобы защитить ключи от случайного или вредоносного удаления.

Ответственность: Customer

Защитник Майкрософт для мониторинга облака: нет

Следующие шаги