Базовый план безопасности Azure для Управления затратами

Эта базовая конфигурация безопасности применяет рекомендации из Azure Security Benchmark версии 2.0 к Управлению затратами Microsoft Azure. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое группируется по средствам управления безопасностью, определенным решением для тестирования производительности системы безопасности, и связанному руководству, которое применимо к Управлению затратами.

Если функция имеет соответствующие Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Управлению затратами, и те, для которых рекомендуется полное глобальное руководство, были исключены. Сведения о том, как Управление затратами полностью сопоставляется с Azure Security Benchmark, см. в этом файле.

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Инструкции. Управление затратами Azure интегрируется с Azure Active Directory (Azure AD), являющейся службой Azure для управления удостоверениями и доступом по умолчанию. Следует стандартизировать Azure AD, чтобы управлять удостоверениями и доступом в своей организации в следующих системах управления:

  • Облачные ресурсы Майкрософт, такие как портал Azure, служба хранилища Azure, виртуальные машины Azure (Linux и Windows), Azure Key Vault, PaaS и приложения SaaS.
  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, чтобы помочь оценить состояние безопасности удостоверений в соответствии с рекомендациями Майкрософт. Используйте оценку, чтобы понять, насколько точно ваша конфигурация соответствует рекомендациям, и улучшить состояние безопасности.

Примечание. Azure AD поддерживает внешние поставщики удостоверений, которые позволяют пользователям без учетной записи Майкрософт входить в свои приложения и ресурсы по внешнему удостоверению.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Инструкции. Управление затратами Azure использует Azure Active Directory (Azure AD) для управления идентификацией и доступом к ресурсам Azure, облачным приложениям и локальным приложениям. Сюда входят корпоративные удостоверения, например сотрудники, а также внешние удостоверения, например партнеры и поставщики. Это обеспечивает единый вход (SSO) для управления доступом к данным и ресурсам организации в локальной среде и в облаке, а также для обеспечения их безопасности. Подключите пользователей, приложения и устройства к Azure AD, чтобы обеспечить простой, безопасный доступ и более широкие возможности управления.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Инструкции. Управление затратами для Соглашений Enterprise (EA) имеет менее высокий уровень привилегий.

  • Администратор предприятия

Рекомендуется выполнять регулярную проверку пользователей, которым назначены роли в рамках Соглашения Enterprise (EA).

Также рекомендуется ограничить количество учетных записей или ролей с высоким уровнем привилегий и защитить эти учетные записи на повышенном уровне, так как пользователи с этой привилегией могут напрямую или косвенно считывать и изменять каждый ресурс в среде Azure.

Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и Azure Active Directory (Azure AD) с помощью Azure AD Privileged Identity Management (PIM). JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Инструкции. Управление затратами Azure использует соответствующий доступ для просмотра данных о затратах организации и управления ими. Управление доступом осуществляется с помощью управления доступом на основе ролей в Azure (Azure RBAC) на уровне подписки и с помощью административных ролей с Соглашениями Enterprise (EA) или Клиентскими соглашениями Майкрософт (MCA) для областей выставления счетов. Регулярно выполняйте аудит и проверку предоставленного доступа, чтобы убедиться, что пользователи или группы имеют требуемые права доступа.

Ответственность: Customer

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Инструкции. Управление затратами Azure интегрируется с элементами управления доступом на основе ролей (RBAC) в Azure, чтобы управлять ресурсами (например, бюджетами, сохраненными отчетами и т. д.). Azure RBAC позволяет управлять доступом к ресурсам Azure посредством назначения ролей. Вы можете назначать эти роли пользователям, группам и субъектам-службам. Для некоторых ресурсов существуют предварительно определенные встроенные роли. Эти роли могут быть инвентаризированы или запрошены с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure. Привилегии, назначаемые ресурсам через Azure RBAC, должны всегда ограничиваться возможностями, которые необходимы ролям. Данный метод дополняет JIT-подход Azure Active Directory (Azure AD) Privileged Identity Management (PIM). Его необходимо периодически проверять.

Используйте встроенные роли для выделения привилегии. Создавать настраиваемые роли можно только при необходимости.

Управление затратами Azure содержит встроенные роли, читателей и участников.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Инструкции. Обнаруживайте, классифицируйте и помечайте конфиденциальные данные. Это позволит разработать соответствующие элементы управления для обеспечения хранения, обработки и передачи конфиденциальных данных с помощью технологических систем организации.

Используйте службу Azure Information Protection (и связанное с ней средство сканирования) для обработки конфиденциальной информации в документах Office в Azure, локальной среде, Office 365 и в других расположениях.

Вы можете использовать службу Azure SQL Information Protection, которая может помочь классифицировать и пометить информацию, хранящуюся в Базах данных SQL Azure.

Ответственность: Customer

DP-2. Защита конфиденциальных данных

Инструкции. Рекомендуется защитить конфиденциальные данные, ограничив к ним доступ с помощью элементов управления доступом на основе ролей в Azure (Azure RBAC), элементов управления доступом на основе сети и определенных элементов управления в службах Azure (например, шифрование в SQL и других базах данных).

Чтобы гарантировать постоянное управление доступом, все его типы должны быть согласованы с вашей корпоративной стратегией сегментации. Корпоративная стратегия сегментации также должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и защищает клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала несколько элементов управления и возможностей защиты данных по умолчанию.

Ответственность: Customer

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Руководство. Мониторинг несанкционированной передачи данных в расположения за пределами корпоративной видимости и управления. Обычно этот процесс предусматривает мониторинг за аномальными действиями (большими или необычными передачами данных), которые могут указывать на несанкционированную кражу данных.

Расширенная защита от угроз (ATP) для службы хранилища Azure и Azure SQL ATP может оповещать об аномальных передачах информации, что может указывать на несанкционированную передачу конфиденциальной информации.

Azure Information Protection (AIP) предоставляет возможности мониторинга сведений, которые были классифицированы и помечены.

Если необходимо обеспечить соответствие политики защиты от потери данных (DLP), можно использовать решение DLP на основе узла, чтобы принудительно применять выявляющие и (или) профилактические элементы управления для предотвращения кражи данных.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Инструкции. В дополнение к элементам управления доступом передаваемые данные должны быть защищены от "внешних" атак (например, перехвата трафика) с помощью шифрования, чтобы злоумышленники не смогли легко прочитать или изменить данные. Управление затратами Azure поддерживает шифрование данных при передаче с помощью TLS версии 1.2 или более поздней. Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться, что все клиенты, подключающиеся к вашим ресурсам Azure, могут согласовывать TLS версии 1.2 или выше. Для удаленного управления используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола. Устаревшие версии и протоколы SSL, TLS и SSH, а также слабые шифры должны быть отключены. По умолчанию Azure обеспечивает шифрование данных,

Ответственность: Microsoft

DP-5. Шифрование конфиденциальных неактивных данных

Инструкции. В качестве дополнения к элементу управления доступом функция экспорта Управления затратами Azure поддерживает шифрование неактивных данных в службе хранилища Azure. Это позволяет обеспечить защиту от атак OOB (например, доступ к базовому хранилищу) с помощью шифрования ключей, управляемых Майкрософт. Этот параметры по умолчанию гарантирует, что злоумышленники не смогут легко считать или изменить данные.

Дополнительные сведения см. в разделах:

Ответственность: Customer

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Рекомендации. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. С другой стороны, сведения о безопасности и угрозах безопасности всегда должны централизованно располагаться внутри организации.

Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Рекомендации. Azure Active Directory (Azure AD) предоставляет следующие журналы пользователей, которые можно просмотреть в отчетах Azure AD или интегрировать с Azure Monitor, Microsoft Sentinel или другими средствами мониторинга или SIEM для использования в более сложных сценариях мониторинга и аналитики:

  • Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.
  • Журналы аудита — возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита включают изменения, внесенные в такие ресурсы в Azure AD, как добавление или удаление пользователей, приложений, групп, ролей и политик.
  • Входы, представляющие риск. Вход, представляющий риск, означает, что в систему пытался войти пользователь, который не является законным владельцем учетной записи.
  • Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Microsoft Defender для облака может также создавать оповещения о некоторых подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности и нерекомендуемых учетных записях в подписке. Помимо базового мониторинга действий по обеспечению безопасности, модуль защиты от угроз Microsoft Defender для облака позволяет собирать и более подробные оповещений системы безопасности из отдельных вычислительных ресурсов Azure (виртуальные машины, контейнеры, служба приложений), ресурсов данных (база данных SQL и хранилище) и уровней служб Azure. Эта возможность позволяет видеть аномалии учетной записи внутри отдельных ресурсов.

Рекомендуется также выполнять регулярную проверку пользователей, которым назначены роли в рамках Соглашения Enterprise (EA).

Ответственность: Customer

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Тесты производительности системы безопасности Azure. Управление состоянием безопасности и уязвимостями.

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Инструкции. Быстро развертывайте обновления ПО для устранения уязвимостей программного обеспечения в операционных системах и приложениях. Для определения приоритетов используйте общую программу оценки рисков (например, Common Vulnerability Scoring System) или рейтинги рисков по умолчанию, предоставляемые сторонним средством сканирования, и адаптируйте их к своей среде, принимая во внимание то, какие приложения представляют высокий риск для безопасности, а каким требуется длительное время безотказной работы.

Ответственность: Customer

PV-8: регулярное моделирование атак

Инструкции: при необходимости выполните тестирование на проникновение в ресурсы Azure или привлеките для участия "красные команды" и обеспечьте исправление всех обнаруженных проблем с безопасностью. Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Дальнейшие действия