Базовый план безопасности Azure для Брандмауэра Azure

Этот базовый план безопасности применяет рекомендации от Azure Security Benchmark версии 1.0 к Брандмауэру Azure. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и соответствующем руководстве, применимом к Брандмауэру Azure.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, которые не применяются к Брандмауэру Azure или находятся в зоне ответственности корпорации Майкрософт, исключены. Сведения о том, как обеспечить для Брандмауэра Azure полное соответствие рекомендациям Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

1.2. Мониторинг и ведение журнала конфигурации и трафика виртуальных сетей, подсетей и сетевых интерфейсов

Руководство. Брандмауэр Azure интегрирован с Azure Monitor для ведения журнала трафика, обрабатываемого брандмауэром.

Кроме того, используйте Microsoft Defender для облака и следуйте рекомендациям по защите сети, чтобы обезопасить сетевые ресурсы, связанные с Брандмауэром Azure.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Network.

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0

1.4. Запрет взаимодействия с известными опасными IP-адресами

Руководство. Включите фильтрацию на основе аналитики угроз с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них. Фильтрация на основе аналитики угроз может быть включена в брандмауэре с целю создания оповещений и запрета трафика, поступающего с известных вредоносных IP-адресов и доменов, а также передающегося на них.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Network.

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Весь интернет-трафик должен направляться через развернутую службу "Брандмауэр Azure" Microsoft Defender для облака обнаружил, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Защита от атак DDoS Azure уровня "Стандартный" должна быть включена Стандарт защиты от DDoS должен быть включен для всех виртуальных сетей с подсетью, которая является частью шлюза приложения с общедоступным IP-адресом. AuditIfNotExists, Disabled 3.0.0

1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети

Руководство. В Брандмауэре Azure тег службы представляет группу префиксов IP-адресов, чтобы упростить создание правил безопасности.

Теги службы Брандмауэра Azure можно использовать в поле назначения правил сети. Теги определяют элементы управления доступом к сети в Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности.

Кроме того, определяемые пользователем теги, такие как IP-группы, также поддерживаются и могут использоваться в правилах сети или правилах приложений. Теги FQDN поддерживаются в правилах приложений. С их помощью можно разрешить нужный исходящий сетевой трафик через брандмауэр.

Обратите внимание, что нельзя создать собственный тег службы или задать IP-адреса, которые будут входить в тег. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Ответственность: Customer

1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств

Руководство. Политика Azure пока не полностью поддерживается для Брандмауэра Azure. Диспетчер брандмауэра Azure можно использовать для обеспечения стандартизации конфигураций безопасности.

Вы также можете использовать Azure Blueprints для упрощения крупномасштабных развертываний Azure посредством упаковки ключевых артефактов среды, таких как шаблоны Azure Resource Manager, элементы управления Azure RBAC и политики, в единое определение схемы. Вы можете применять схемы к новым подпискам, а также осуществлять точный контроль посредством управление версиями.

Ответственность: Customer

1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений

Руководство. Используйте журнал действий Azure для мониторинга конфигураций ресурсов и обнаружения изменений ресурсов Брандмауэра Azure. Создавайте оповещения в Azure Monitor, которые будут запускаться при изменении критических ресурсов.

Ответственность: Customer

Ведение журналов и мониторинг

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и мониторинг.

2.1. Использование утвержденных источников синхронизации времени

Руководство. Майкрософт поддерживает источники времени для ресурсов Azure Брандмауэра Azure. Клиентам необходимо создать сетевое правило, чтобы разрешить такой доступ. Такое правило также необходимо для сервера времени, используемого в среде клиента.

Ответственность: Совмещаемая блокировка

2.2. Настройка централизованного управления журналами безопасности

Рекомендации. Вы можете включить Microsoft Sentinel или стороннюю систему SIEM и подключить к ней данные для централизованного управления разными журналами безопасности.

Журналы действий можно использовать для аудита операций в Брандмауэре Azure и мониторинга действий с ресурсами. Журнал действий содержит все операции записи (PUT, POST, DELETE), выполненные с ресурсами, но не содержит операции чтения (GET). Журналы действий можно использовать для поиска ошибки при устранении неполадок, а также для наблюдения за тем, как пользователь организации изменяет ресурс.

Брандмауэр Azure также предоставляет следующие журналы диагностики, содержащие сведения о приложениях и правилах сети клиента.

Журнал правил приложений: каждое новое подключение, которое соответствует одному из настроенных правил приложений, регистрируется в журнале как принятое или отклоненное подключение.

Журнал правил сети: каждое новое подключение, которое соответствует одному из настроенных правил сети, регистрируется в журнале как принятое или отклоненное подключение.

Примечание. Оба журнала можно хранить в учетной записи хранения, передавать в концентраторы событий и (или) отправлять в журналы Azure Monitor, только если они включены для каждого Брандмауэра Azure в среде.

Список действий с ресурсами в журналах действий: операции поставщика ресурсов Azure Resource Manager

Ответственность: Customer

2.3. Включение журналов аудита для ресурсов Azure

Руководство. Журналы действий можно использовать для аудита операций в Брандмауэре Azure и мониторинга действий с ресурсами. Журнал действий содержит все операции записи (PUT, POST, DELETE), выполненные с ресурсами Azure, но не содержит операции чтения (GET). Брандмауэр Azure также предоставляет следующие журналы диагностики, содержащие сведения о приложениях и правилах сети клиента.

Журнал правил приложений: каждое новое подключение, которое соответствует одному из настроенных правил приложений, регистрируется в журнале как принятое или отклоненное подключение.

Журнал правил сети: каждое новое подключение, которое соответствует одному из настроенных правил сети, регистрируется в журнале как принятое или отклоненное подключение.

Обратите внимание, что оба журнала можно хранить в учетной записи хранения, передавать в концентраторы событий и (или) отправлять в журналы Azure Monitor, но только если они включены для каждого Брандмауэра Azure в среде.

Ответственность: Customer

2.5. Настройка хранения журнала безопасности

Руководство. Период хранения для рабочей области Log Analytics устанавливается в Azure Monitor согласно нормативным требованиям вашей организации. Для хранения данных можно указывать период от 30 до 730 дней (2 года) для всех рабочих областей в зависимости от выбранной ценовой категории.

Для хранения журналов есть три варианта хранилища.

  • Лучше всего подходит для длительного хранения журналов и их просмотра по мере необходимости.

  • Центры событий — это отличный вариант для интеграции с другими инструментами управления событиями и сведениями о безопасности (SEIM), позволяющий получать оповещения о ваших ресурсах.

  • Журналы Azure Monitor лучше всего подходят для общего мониторинга приложения в реальном времени и изучения тенденций.

Дополнительные сведения см. по указанным ниже справочным ссылкам.

Ответственность: Customer

2.6. Мониторинг и просмотр журналов

Руководство. Брандмауэр Azure интегрирован с Azure Monitor для возможности просмотра и анализа журналов брандмауэра. Журналы могут отправляться в Log Analytics, службу хранилища Azure или Центры событий. Их можно анализировать в Log Analytics или с помощью различных инструментов, таких как Excel и Power BI. Есть несколько разных типов журналов Брандмауэра Azure.

Журналы действий можно использовать для аудита операций в Брандмауэре Azure и мониторинга действий с ресурсами. Журнал действий содержит все операции записи (PUT, POST, DELETE), выполненные с ресурсами, но не содержит операции чтения (GET). Журналы действий можно использовать для поиска ошибки при устранении неполадок, а также для наблюдения за тем, как пользователь организации изменяет ресурс.

Брандмауэр Azure также предоставляет журналы диагностики, содержащие сведения о приложениях и правилах сети клиента.

Журналы правил приложений создаются для каждого нового подключения, которое соответствует одному из настроенных правил приложений, и регистрируют подключение как принятое или отклоненное.

Журналы правил сети создаются для каждого нового подключения, которое соответствует одному из настроенных правил сети, и регистрируют подключение как принятое или отклоненное.

Обратите внимание, что оба журнала можно хранить в учетной записи хранения, передавать в концентраторы событий и (или) отправлять в журналы Azure Monitor, но только если они включены для каждого Брандмауэра Azure в среде.

Журналы Azure Monitor можно использовать для общего мониторинга приложения в реальном времени и изучения тенденций.

Ответственность: Customer

2.7. Включение оповещений об аномальных действиях

Рекомендации. Используйте Microsoft Defender для облака с рабочей областью Log Analytics для мониторинга аномальных действий, обнаруженных в журналах и событиях безопасности, и получения оповещений по ним.

Вы также можете настроить подключение данных к Microsoft Sentinel.

Ответственность: Customer

Идентификатор и управление доступом

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями и доступом.

3.1. Инвентаризация учетных записей администраторов

Указание: в каталоге Azure Active Directory (Azure AD) имеются встроенные роли, которые должны назначаться явным образом и которые доступны для запросов. Используйте модуль PowerShell в Azure AD для нерегламентированных запросов, которые позволяют обнаруживать учетные записи, принадлежащие группам администраторов.

Ответственность: Customer

3.3. Применение выделенных административных учетных записей

Руководство. Создайте стандартные операционные процедуры для использования выделенных административных учетных записей. Используйте управление идентификацией и доступом в Microsoft Defender для облака, чтобы контролировать число учетных записей администраторов.

Также с помощью привилегированных ролей Azure Active Directory (Azure AD) Privileged Identity Management можно включить технологии JIT/JEA для служб Майкрософт и Azure Resource Manager.

Ответственность: Customer

3.4. Использование единого входа (SSO) Azure Active Directory

Указание: всегда, когда это возможно, используйте единый вход в систему (SSO) для Microsoft Azure Active Directory (Azure AD) вместо настройки отдельных автономных учетных данных для каждой службы. Используйте рекомендации по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Рекомендации. Включите многофакторную проверку подлинности Azure Active Directory (Azure AD) и следуйте рекомендациям по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.6. Использование выделенных компьютеров (рабочих станций с привилегированным доступом) для всех административных задач

Руководство. Используйте станции c привилегированным доступом и настроенной многофакторной проверкой подлинности для входа в Брандмауэр Azure и настройки его конфигурации и соответствующих ресурсов.

Ответственность: Customer

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Рекомендация. Используйте отчеты безопасности Azure Active Directory для создания журналов и оповещений, когда в среде происходят подозрительные или небезопасные действия. Используйте Microsoft Defender для облака, чтобы отслеживать действия по идентификации и доступу.

Ответственность: Customer

3.8. Управление ресурсами Azure только из утвержденных расположений

Руководство. Используйте именованные расположения с условным доступом, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов или стран и регионов.

Ответственность: Customer

3.9. Использование Azure Active Directory

Руководство. Используйте Azure Active Directory (Azure AD) как центральную систему проверки подлинности и авторизации. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей.

Ответственность: Customer

3.10. Регулярная проверка и согласование доступа пользователей

Руководство. Azure Active Directory предоставляет журналы для облегчения поиска устаревших учетных записей. Кроме того, используйте проверку доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям и назначения ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.

Ответственность: Customer

3.11. Отслеживание попыток доступа к отключенным учетным записям

Руководство. У вас есть доступ к отчетам о действиях входа в Azure Active Directory, журналу событий риска и аудита. Эти источники позволяют интегрироваться с любым средством мониторинга или SIEM.

Этот процесс можно упростить, создав параметры диагностики для учетных записей пользователей Azure AD и отправив журналы аудита и журналы входа в рабочую область Log Analytics. Вы можете настроить необходимые оповещения в рабочей области Log Analytics.

Ответственность: Customer

3.12. Предупреждения при подозрительном входе в учетную запись

Руководство. Используйте функции защиты идентификации и обнаружения рисков Azure Active Directory, чтобы настроить автоматическое реагирование на обнаруженные подозрительные действия, связанные с удостоверениями пользователей. Вы также можете принимать данные в Microsoft Sentinel для дополнительного анализа.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

4.1. Инвентаризация конфиденциальных данных

Руководство. Используйте теги для отслеживания Брандмауэра Azure и соответствующих ресурсов, в которых хранятся или обрабатываются конфиденциальные данные.

Ответственность: Customer

4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные

Руководство. Реализуйте изоляцию с помощью отдельных подписок и групп управления для отдельных доменов безопасности, таких как тип среды и уровень конфиденциальности данных. Вы можете ограничить уровень доступа к ресурсам Брандмауэра Azure, которые требуются приложениям и корпоративным средам. Вы можете контролировать доступ к ресурсам Azure посредством управления доступом на основе ролей Azure.

Ответственность: Customer

4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации

Руководство. Используйте стороннее решение из Azure Marketplace на периметрах сети, которое будет отслеживать несанкционированную передачу конфиденциальных данных и блокировать такие передачи, оповещая специалистов по информационной безопасности.

Для базовой платформы, управляемой Майкрософт, Майкрософт считает все содержимое клиента конфиденциальным и защищает клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

4.4: Шифрование любой конфиденциальной информации при передаче

Руководство. Шифруйте любую конфиденциальную информацию при передаче. Убедитесь, что все клиенты, подключающиеся к Брандмауэру Azure и связанным ресурсам, могут согласовывать подключение по протоколу TLS 1.2 или более поздней версии.

Следуйте рекомендациям Microsoft Defender для облака в отношении шифрования при хранении и передаче данных, насколько это применимо.

Ответственность: Совмещаемая блокировка

4.5. Использование средства активного обнаружения для распознавания конфиденциальных данных

Руководство. Используйте стороннее средство активного обнаружения для указания всех конфиденциальных данных, хранящихся в ресурсах Azure, с помощью брандмауэра Azure и связанных ресурсов, а также для обновления данных инвентаризации конфиденциальной информации организации.

Ответственность: Совмещаемая блокировка

4.6. Контроль доступа к ресурсам с помощью RBAC

Руководство. Используйте управления доступом на основе ролей Azure (Azure RBAC) для управления доступом к Брандмауэру Azure и связанным ресурсам.

Ответственность: Customer

4.8. Шифрование конфиденциальной информации при хранении

Руководство. Используйте шифрование при хранении для всех ресурсов Azure с помощью Брандмауэра Azure и связанных ресурсов. Корпорация Майкрософт рекомендует разрешить Azure управлять ключами шифрования, однако в некоторых экземплярах вы можете сами управлять своими ключами.

Ответственность: Customer

4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure

Руководство. Используйте Azure Monitor с журналом действий Azure для создания оповещений об изменениях в Брандмауэре Azure.

Ответственность: Customer

Инвентаризация и управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление инвентаризацией и ресурсами.

6.2. Ведение метаданных активов

Руководство. Применяйте к Брандмауэру Azure и соответствующим ресурсам теги, чтобы логически классифицировать их на основе метаданных.

Ответственность: Customer

6.3. Удаление неавторизованных ресурсов Azure

Руководство. При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочить и отслеживать ресурсы Брандмауэра Azure и соответствующие ресурсы. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.

Ответственность: Customer

6.4. Определение и проведение инвентаризации для утвержденных ресурсов Azure

Руководство. Создайте данные инвентаризации утвержденных ресурсов Брандмауэра Azure, в том числе конфигурации, в соответствии с потребностями организации.

Ответственность: Customer

6.5. Отслеживание неутвержденных ресурсов Azure

Руководство. С помощью Политики Azure ограничьте типы ресурсов, которые могут быть созданы в ваших подписках.

Используйте Azure Resource Graph для запроса или обнаружения ресурсов Брандмауэра Azure в подписках. Убедитесь в том, что ресурсы Брандмауэр Azure и соответствующие ресурсы, представленные в среде, утверждены.

Ответственность: Customer

6.7. Удаление неутвержденных ресурсов Azure и программных приложений

Руководство. Реализуйте собственный процесс удаления несанкционированных ресурсов Брандмауэра Azure и соответствующих ресурсов. Вы также можете использовать стороннее решение для обнаружения неутвержденных ресурсов Брандмауэра Azure и связанных ресурсов.

Ответственность: Customer

6.9. Использование только утвержденных служб Azure

Рекомендация. Используйте Политику Azure, чтобы ограничить перечень служб, которые вы можете подготавливать в своем окружении.

Ответственность: Customer

6.11. Ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Руководство. Используйте условный доступ Azure, чтобы ограничить возможность пользователей взаимодействовать с Azure Resource Manager путем настройки параметра "Блокировать доступ" для приложения "Управление Microsoft Azure".

Ответственность: Customer

6.13. Физическое или логическое разделение приложений с высоким риском

Руководство. Приложения, которые могут потребоваться для деловых операций, или среды с разными профилями риска для организации следует изолировать и разделять с помощью отдельных экземпляров Брандмауэра Azure.

Ответственность: Customer

Настройка безопасности

Дополнительные сведения см. в статье Azure Security Benchmark: настройка безопасности.

7.1. Установка безопасных конфигураций для всех ресурсов Azure

Руководство. С помощью Azure Resource Manager можно экспортировать шаблон в нотацию объектов JavaScript (JSON). При этом следует убедиться, что конфигурации соответствуют требованиям безопасности организации или превосходят их.

Вы также можете использовать рекомендации Microsoft Defender для облака в качестве конфигурационной базы безопасности для ресурсов Azure.

Политика Azure в настоящее время не полностью поддерживается для Брандмауэра Azure.

Ответственность: Customer

7.3. Сохранение безопасных конфигураций для ресурсов Azure

Руководство. Используйте политику Azure [отказывать] и [развернуть, если не существует], чтобы обеспечить безопасность параметров в Брандмауэре Azure и соответствующих ресурсах. Кроме того, вы можете использовать шаблоны Azure Resource Manager для поддержания конфигурации безопасности Брандмауэра Azure и соответствующих ресурсов, необходимых вашей организации.

Ответственность: Customer

7.5. Безопасное хранение конфигурации ресурсов Azure

Руководство. Используйте Azure DevOps для безопасного хранения кода, например пользовательских политик Azure и шаблонов Azure Resource Manager, и управления им. Чтобы получить доступ к ресурсам, которыми вы управляете в Azure DevOps, можно предоставить или запретить разрешения для определенных пользователей, встроенных групп безопасности или групп, определенных в Azure Active Directory (Azure AD) (в случае интеграции с Azure DevOps) или Active Directory (в случае интеграции с TFS).

Ответственность: Customer

7.7. Развертывание средств управления конфигурацией для ресурсов Azure

Руководство. Определите и реализуйте стандартные конфигураций безопасности для Брандмауэра Azure и соответствующих ресурсов с помощью Политики Azure. Используйте псевдонимы Политики Azure для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для ресурсов Брандмауэра Azure. Вы также можете использовать встроенные определения политик, связанные с конкретными ресурсами.

Ответственность: Customer

7.12. Безопасное и автоматическое управление удостоверениями

Руководство. Используйте функцию управляемых удостоверений для предоставления службам Azure автоматически управляемых удостоверений в Azure Active Directory (Azure AD). Управляемые удостоверения дают возможность проходить проверку подлинности в любой службе, поддерживающей проверку подлинности Azure AD, для Azure Resource Manager, и их можно использоваться с API, на портале Azure, в интерфейсе командной строки или PowerShell.

Ответственность: Customer

7.13. Устранение непреднамеренного раскрытия учетных данных

Руководство. Реализуйте сканер учетных данных для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Ответственность: Customer

Восстановление данных

Дополнительные сведения см. в статье Azure Security Benchmark: восстановление данных.

9.1. Обеспечение регулярного автоматического резервного копирования

Руководство. Используйте Azure Resource Manager для экспорта ресурсов Брандмауэра Azure и соответствующих ресурсов в шаблон нотации объектов JavaScript (JSON), который можно использовать в качестве резервной копии для Брандмауэра Azure и связанных конфигураций. Конфигурацию Брандмауэра Azure также можно экспортировать с помощью функции экспорта шаблонов Брандмауэра Azure на портале Azure. Используйте службу автоматизации Azure для автоматического запуска сценариев резервного копирования.

Ответственность: Customer

9.2. Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом

Руководство. Используйте Azure Resource Manager для экспорта ресурсов Брандмауэра Azure и соответствующих ресурсов в шаблон нотации объектов JavaScript (JSON), который можно использовать в качестве резервной копии для Брандмауэра Azure и связанных конфигураций. Конфигурацию Брандмауэра Azure также можно экспортировать с помощью функции экспорта шаблонов Брандмауэра Azure на портале Azure.

Ответственность: Customer

9.3. Проверка всех резервных копий, включая управляемые клиентом ключи

Руководство. Обеспечьте возможность регулярного восстановления с помощью файлов резервной копии шаблонов Azure Resource Manager.

Ответственность: Customer

9.4. Обеспечение защиты резервных копий и управляемых клиентом ключей

Руководство. Используйте Azure DevOps для безопасного хранения кода, например пользовательских политик Azure и шаблонов Azure Resource Manager, и управления им. Чтобы защитить ресурсы, которыми вы управляете в Azure DevOps, можно предоставить или запретить разрешения для определенных пользователей, встроенных групп безопасности или групп, определенных в Azure Active Directory (Azure AD) (в случае интеграции с Azure DevOps) или Active Directory (в случае интеграции с TFS).

Ответственность: Customer

реагирование на инциденты.

Дополнительные сведения см. в статье Azure Security Benchmark: реагирование на инциденты.

10.1. Создание руководства по реагированию на инциденты

Руководство. Создайте руководство по реагированию на инциденты для вашей организации. Убедитесь в том, что имеются письменные планы реагирования на инциденты, которые определяют все действия персонала, а также этапы обработки инцидентов и управления ими для проверки после инцидента.

Ответственность: Customer

10.2. Создание процедуры оценки инцидента и определения приоритетов

Рекомендации. Microsoft Defender для облака присваивает каждому оповещению уровень серьезности, что помогает назначить приоритет расследования оповещений. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, а также на уровне достоверности злонамеренности события, приведшего к оповещению.

Кроме того, пометьте подписки (например, "производственные", "непроизводственные") и создайте систему именования, чтобы четко определить и классифицировать ресурсы Azure, особенно обрабатывающие конфиденциальные данные. Вы несете ответственность за назначение приоритета оповещениям, требующим действий по исправлению, в зависимости от важности ресурсов Azure и среды, в которой произошел инцидент.

Ответственность: Customer

10.3. Проверка процедур реагирования на угрозы

Руководство. Выполняйте упражнения, чтобы периодически тестировать возможности ваших систем реагировать на угрозы для защиты ресурсов Azure. Выявите слабые точки и пробелов и пересмотрите план по мере необходимости.

Ответственность: Customer

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности

Руководство. Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим данным был получен незаконный или несанкционированный доступ. Проверьте инциденты после факта обращения, чтобы убедиться в том, что проблемы устранены.

Ответственность: Customer

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты

Рекомендации. Экспортируйте оповещения и рекомендации Microsoft Defender для облака с помощью функции непрерывного экспорта с целью выявления рисков для ресурсов Azure.

Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме. Для потоковой передачи оповещений в Microsoft Sentinel можно использовать соединитель данных Microsoft Defender для облака.

Ответственность: Customer

10.6. Автоматизация реагирования на оповещения системы безопасности

Рекомендации. Используйте функцию автоматизации рабочих процессов в Microsoft Defender для облака, чтобы с помощью службы Logic Apps автоматически запускать реагирование на оповещения и рекомендации системы безопасности для защиты ресурсов Azure.

Ответственность: Customer

Тесты на проникновение и попытки нарушения безопасности "красной командой"

Дополнительные сведения см. в статье Azure Security Benchmark: тесты на проникновение и попытки нарушения безопасности "красной командой".

11.1. Регулярное тестирование на проникновение в ресурсы Azure и отслеживание исправлений для всех критических точек безопасности

Руководство. Следуйте правилам взаимодействия Майкрософт, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегии корпорации Майкрософт и реализации "красной команды", а также методы тестирования сайтов на проникновение для облачной инфраструктуры, служб и приложений Майкрософт.

Ответственность: Совмещаемая блокировка

Дальнейшие действия