Базовый план безопасности Azure для Машинного обучения Azure

Этот базовый план безопасности применяет рекомендации из Azure Security Benchmark версии 2.0 к Машинному обучению Microsoft Azure. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и соответствующем руководстве, применимом к Машинному обучению Azure.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, не применимые к Машинному обучению Azure, и те, для которых рекомендуется глобальное руководство в буквальном виде, были исключены. Сведения о полном соответствии Машинного обучения Azure и Azure Security Benchmark см. в полном файле соответствия базового плана безопасности Машинного обучения Azure.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Руководство. При развертывании ресурсов Машинного обучения Azure необходимо создать виртуальную сеть или использовать существующую. Убедитесь, что все виртуальные сети Azure следуют принципу сегментации предприятия, который соответствует бизнес-рискам. Изолируйте любую систему, с которой могут быть связаны повышенные риски для организации, в ее собственной виртуальной сети. Обеспечьте надлежащую защиту системы с помощью группы безопасности сети (NSG) или Брандмауэра Azure.

Ответственность: Customer

NS-2: совместное подключение частных сетей

Руководство. Воспользуйтесь Azure ExpressRoute или виртуальной частной сетью Azure (VPN) для создания частных подключений между центрами обработки данных Azure и локальной инфраструктурой среды для совместного размещения.

Подключения ExpressRoute не осуществляются через общедоступный Интернет, обеспечивая повышенную надежность и быстродействие, а также более низкую задержку по сравнению с обычными интернет-подключениями. Для VPN подключения типа "точка — сеть" и "сеть — сеть" можно подключить локальные устройства или сети к виртуальной сети, используя любое сочетание параметров VPN и Azure ExpressRoute.

Для одновременного подключения двух или более виртуальных сетей Azure используйте пиринг между виртуальными сетями. Трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.MachineLearningServices:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Рабочие области Машинного обучения Azure должны использовать Приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. по адресу https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0

NS-3: установка доступа к частной сети для служб Azure

Руководство. Используйте Приватный канал Azure для разрешения частного доступа к Машинному обучению Azure из виртуальных сетей без перехода в Интернет. Частный доступ — это дополнительная мера эшелонированной защиты для проверки подлинности Azure и безопасности трафика.

Машинное обучение Azure не предоставляет конечную точку службы.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.MachineLearningServices:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Рабочие области Машинного обучения Azure должны использовать Приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. по адресу https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0

NS-4: защита приложений и служб от внешних сетевых атак

Руководство. Защитите ресурсы Машинного обучения Azure от атак из внешних сетей. Атаки могут включать:

  • Распределенные атаки типа "отказ в обслуживании" (DDoS).
  • Атаки на конкретные приложения.
  • Нежелательный, потенциально вредоносный интернет-трафик.

Воспользуйтесь Брандмауэром Azure для защиты приложений и служб от потенциально вредоносного трафика, поступающего из Интернета и других внешних расположений. Защитите свои ресурсы от распределенных атак DDoS, включив в виртуальных сетях Azure стандартную защиту от атак DDoS. Используйте Microsoft Defender для облака для обнаружения рисков, связанных с неправильной настройкой сетевых ресурсов.

Используйте возможности Брандмауэра веб-приложений (WAF) в Шлюзе приложений Azure, Azure Front Door и сети доставки содержимого (CDN) Azure. Эти возможности защищают приложения, работающие на базе Машинного обучения Azure, от атак уровня приложений.

Ответственность: Customer

NS-6: упрощение правил безопасности сети

Руководство. Используйте теги службы виртуальной сети Azure для определения элементов управления доступом к сети для ресурсов Машинного обучения Azure в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Укажите имя тега службы, например "azuremachinelearning", в соответствующем исходном поле или поле назначения правила, чтобы разрешить или запретить трафик для службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Примечание. Региональный тег "azuremachinelearning" в настоящее время не поддерживается.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Руководство. Следуйте рекомендациям по настройке DNS для Машинного обучения Azure. Дополнительные сведения см. в статье Использование рабочей области с пользовательским DNS-сервером.

Следуйте рекомендациям по безопасности DNS для уменьшения риска распространенных атак, таких как:

  • висячие записи DNS;
  • атаки с усилением DNS;
  • подмена и спуфинг DNS.

Если в качестве службы DNS используется Azure DNS, убедитесь в том, что зоны и записи DNS защищены от случайного или вредоносного изменения с помощью управления доступом на основе ролей (RBAC) Azure и блокировки ресурсов.

Ответственность: Customer

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Руководство. По умолчанию в решении "Машинное обучение Azure" в качестве службы идентификации и управления доступом используется Azure AD. Стандартизируйте Azure AD для управления идентификацией и доступом в организации применительно к следующим областям:

  • Ресурсы Microsoft Cloud. К ресурсам относятся:

    • Портал Azure

    • Служба хранилища Azure

    • виртуальные машины Azure для Linux и Windows;

    • Azure Key Vault

    • Платформа как услуга (PaaS)

    • Приложения SaaS (программное обеспечение как услуга)

  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, чтобы помочь сравнить состояние безопасности удостоверений с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешние удостоверения, которые позволяют пользователям без учетной записи Майкрософт входить в свои приложения и ресурсы.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Руководство. Для Машинного обучения Azure с помощью Azure AD создайте субъект-службу с ограниченными разрешениями на уровне ресурса. Настройте субъекты-службы с учетными данными сертификата, а затем вернитесь к секретам клиента.

С удостоверениями, управляемыми Azure, можно использовать Azure Key Vault, чтобы среда выполнения (например, Функции Azure) могла извлекать учетные данные из хранилища ключей.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Руководство. Машинное обучение Azure использует Azure AD для управления идентификацией и доступом к ресурсам Azure, облачным и локальным приложениям. Удостоверения включают корпоративные удостоверения, такие как сотрудники, а также внешние удостоверения, например партнеры и поставщики.

Azure AD обеспечивает единый вход (SSO) для управления локальными данными и ресурсами организации и в облаке, а также предоставляет безопасный доступ к ним.

Подключите всех пользователей, приложения и устройства к Azure AD. Azure AD предлагает простой безопасный доступ, а также более широкие возможности видимости и контроля.

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Руководство. Машинное обучение Azure позволяет клиентам развертывать и запускать код или конфигурации, а также сохранять данные, которые могут содержать удостоверения или секреты. Для обнаружения учетных данных в коде, конфигурациях или данных используйте сканер учетных данных. Сканер учетных данных рекомендует переместить обнаруженные учетные данные в безопасные расположения, например в Azure Key Vault.

Для GitHub можно использовать встроенную возможность проверки секретов, которая обнаруживает учетные данные и другие секреты в коде.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Руководство. Наиболее критически важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей". Пользователи с этими двумя ролями могут делегировать роли администратора.

  • Глобальный администратор и Администратор организации имеют права доступа ко всем функциям администрирования Azure AD, а также к службам, использующим удостоверения Azure AD.

  • Администратор привилегированных ролей может управлять назначениями ролей в Azure AD и в Azure AD Privileged Identity Management (PIM). Пользователи с этой ролью могут управлять всеми аспектами PIM, а также административными единицами.

Ограничьте количество учетных записей и ролей с высоким уровнем привилегий и защитите эти учетные записи на более высоком уровне. Пользователи с высоким уровнем привилегий имеют прямые или непрямые разрешения для чтения и изменения всех ресурсов Azure.

Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и AAD с помощью Azure AD PIM. JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

При создании рабочей области Машинного обучения Azure в ней имеются три роли по умолчанию. Создайте стандартные рабочие процедуры для использования учетных записей владельцев.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Руководство. Для управления ресурсами в решении "Машинное обучение Azure" используются учетные записи Azure AD. Регулярно просматривайте учетные записи пользователей и назначения доступа, чтобы убедиться в том, что учетные записи и их доступ являются действующими. С помощью проверок доступа Azure AD можно проверять членство в группах, доступ к корпоративным приложениям и назначения ролей.

Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете создавать рабочие процессы получения отчетов о проверке доступа в Azure AD PIM для упрощения процесса проверки.

Можно настроить Azure AD PIM для отправки оповещений при обнаружении слишком большого числа учетных записей администраторов. Система PIM может определять устаревшие или неправильно настроенные учетные записи администратора.

В Машинном обучении Azure имеются встроенные роли для специалистов по обработке и анализу данных и пользователей службы UX.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD. Управляйте этими пользователями по отдельности.

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Руководство. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и операторы критически важных служб. Для выполнения административных задач используйте надежно защищенные рабочие станции пользователей и Бастион Azure.

Чтобы развернуть защищенную и управляемую рабочую станцию пользователей для административных задач, воспользуйтесь Azure AD, Microsoft Defender ATP или Microsoft Intune. Вы можете централизованно управлять защищенными рабочими станциями для принудительного применения конфигурации безопасности, которая включает:

  • Строгая проверка подлинности

  • Базовые показатели программного обеспечения и оборудования

  • Ограниченный логический и сетевой доступ

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Руководство. Машинное обучение Azure интегрируется с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Вы можете выполнять инвентаризацию этих ролей или запрашивать их с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.

Привилегии, назначаемые ресурсам через Azure RBAC, должны ограничиваться необходимыми ролям возможностями. Эта практика дополняет JIT-подход, реализованный в Azure AD PIM. Регулярно проверяйте роли и назначения.

Используйте встроенные роли для выделения привилегии. Создавать настраиваемые роли можно только при необходимости.

В Машинном обучении Azure имеются встроенные роли для специалистов по обработке и анализу данных и пользователей службы UX.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Руководство. Обнаруживайте, классифицируйте конфиденциальные данные и добавляйте к ним метки. Разработайте соответствующие средства управления, чтобы обеспечить безопасное хранение, обработку и передачу конфиденциальной информации в технологических системах организации.

Используйте службу Azure Information Protection (AIP) и связанное с ней средство сканирования для обработки конфиденциальной информации в документах Office. Вы можете использовать AIP в Azure, Office 365, в локальной среде или в других расположениях.

Azure SQL Information Protection можно использовать для классификации информации, хранящейся в Базе данных SQL Azure, и добавления к ней меток.

Ответственность: Customer

DP-2. Защита конфиденциальных данных

Руководство. Обеспечьте защиту конфиденциальных данных путем ограничения доступа с помощью Azure RBAC, элементов управления доступом на основе сети и элементов управления в службах Azure. Например, используйте шифрование в SQL и других базах данных.

В целях согласованности все типы доступа должны соответствовать вашей корпоративной стратегии сегментации. Корпоративная стратегия сегментации должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.

Корпорация Майкрософт рассматривает все содержимое клиентов на управляемой ею базовой платформе как конфиденциальное. Она предоставляет защиту от потери и раскрытия клиентских данных. Корпорация Майкрософт по умолчанию использует элементы управления и инструменты защиты данных, чтобы обеспечить защиту данных клиентов Azure.

Ответственность: Customer

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Руководство. Осуществляйте мониторинг несанкционированной передачи данных в расположения за пределами корпоративной видимости и контроля. Отслеживайте аномальные действия, например большие или необычные передачи данных, которые могут указывать на несанкционированную кражу данных.

ATP для службы хранилища Azure и службы Azure SQL может оповещать об аномальных передачах информации, что может указывать на несанкционированную передачу конфиденциальной информации.

AIP предоставляет возможности мониторинга для классифицированных и помеченных сведений.

При необходимости для обеспечения соответствия требованиям защиты от потери данных можно использовать решение для защиты от потери данных на основе узла, чтобы применять средства обнаружения и предотвращения, а также предотвращать кражу данных.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Руководство. В дополнение к элементам управления доступом данные в процессе передачи должны быть защищены от атак по внештатному каналу (например, перехвата трафика). Используйте шифрование, чтобы защитить данные от считывания или изменения злоумышленниками. Машинное обучение Azure поддерживает шифрование передаваемых данных с помощью протокола TLS 1.2.

Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться в том, что все клиенты, подключающиеся к вашим ресурсам Azure, могут использовать TLS версии 1.2 или более поздней.

Для удаленного управления используйте протокол Secure Shell (SSH) для Linux или протокол удаленного рабочего стола (RDP) и TLS для Windows. Не используйте незашифрованный протокол. Отключите слабые шифры, а также устаревшие версии и протоколы SSL, TLS и SSH.

По умолчанию Azure шифрует данные при передаче между центрами обработки данных Azure.

Ответственность: Microsoft

DP-5. Шифрование конфиденциальных неактивных данных

Руководство. В дополнение к средствам управления доступом решение "Машинное обучение Azure" защищает неактивные данные от "внешних" атак (например, доступа к базовому хранилищу) с помощью шифрования. Шифрование позволяет защитить данные от считывания или изменения злоумышленниками.

По умолчанию Azure обеспечивает шифрование неактивных данных. Для данных с высоким уровнем конфиденциальности можно реализовать дополнительное шифрование при хранении в ресурсах Azure, где это возможно. По умолчанию Azure управляет ключами шифрования, но определенные службы Azure предоставляют ключи, управляемые клиентом.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.MachineLearningServices:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Подробная информация собрана на странице https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Руководство. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в арендаторе и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей за отслеживание угроз безопасности может отвечать централизованная или локальная команда безопасности. Аналитические сведения о безопасности и риски должны всегда централизованно собираться в организации.

Вы можете широко применять разрешения читателя сведений о безопасности для всей корневой группы управления арендатора или ограничить действие разрешений определенными группами управления или подписками.

Примечание. Для визуализации рабочих нагрузок и служб могут потребоваться дополнительные разрешения.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Инструкции. Применяйте теги к ресурсам, группам ресурсов и подпискам Azure для их логической классификации по определенной таксономии. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Используйте данные инвентаризации для виртуальных машин Azure, чтобы автоматизировать сбор сведений о программном обеспечении на виртуальных машинах. Имя, версия, издатель и время обновления программного обеспечения доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и импортируйте журналы событий Windows в рабочую область Log Analytics.

Используйте адаптивные элементы управления приложениями Microsoft Defender для облака, чтобы указать, к каким типам файлов применяется правило.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для отправления запросов о ресурсах и их обнаружения в своих подписках. Вы также можете использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Руководство. Используйте данные инвентаризации виртуальных машин Azure, чтобы автоматизировать сбор сведений о всем программном обеспечении на виртуальных машинах. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и перенесите журналы событий Windows в рабочую область Log Analytics.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Руководство. Используйте встроенную в Microsoft Defender для облака возможность обнаружения угроз. Включите Microsoft Defender для ресурсов Машинного обучения Azure. Microsoft Defender для Машинного обучения Azure предоставляет дополнительный уровень аналитики безопасности. Microsoft Defender обнаруживает необычные и потенциально опасные попытки получить доступ к ресурсам Машинного обучения Azure или воспользоваться ими.

Ответственность: Customer

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Руководство. Azure AD предоставляет следующие журналы пользователей. Вы можете просматривать журналы в отчетах Azure AD. Журналы можно интегрировать с Azure Monitor, Microsoft Sentinel и другими средствами SIEM и мониторинга для более тщательных вариантов использования мониторинга и аналитики.

  • События входа: информация о потреблении управляемых приложений и действиях входа пользователей.

  • Журналы аудита: трассировка всех изменений, внесенных различными компонентами Azure AD, с помощью журналов. Журналы аудита включают изменения, внесенные в любой ресурс в Azure AD. К изменениям относятся добавление и удаление пользователей, приложений, групп, ролей и политик.

  • Рискованные события входа: индикатор попыток входа, предпринятых пользователем, который не является законным владельцем учетной записи.

  • Пользователь, находящийся в группе риска: показатель того, что безопасность учетной записи пользователя, возможно, была нарушена.

Microsoft Defender для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности. Устаревшие учетные записи в подписке также могут создавать предупреждения.

Microsoft Defender для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности, или об устаревших учетных записях.

Помимо базового мониторинга действий по обеспечению безопасности, модуль защиты от угроз Microsoft Defender для облака позволяет собирать и более подробные оповещений системы безопасности из следующих компонентов:

  • отдельные вычислительные ресурсы Azure (например, виртуальные машины, контейнеры и служба приложений);

  • База данных SQL Azure, служба хранилища Azure и другие ресурсы данных;

  • уровни служб Azure.

Эта возможность обеспечивает видимость аномалии учетной записи внутри отдельных ресурсов.

Ответственность: Customer

LT-3: включение ведения журнала для сетевых операций Azure

Руководство. Включите и выполните сбор журналов ресурса группы безопасности сети (NSG), журналов потоков NSG, журналов Брандмауэра Azure и журналов Брандмауэра веб-приложений в целях анализа безопасности. Журналы поддерживают расследование инцидентов, поиск угроз и создание оповещений системы безопасности. Журналы потоков можно отправить в рабочую область Azure Monitor Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений.

Собирайте журналы запросов DNS для корреляции других сетевых данных. Вы можете реализовать стороннее решение для ведения журнала DNS-сервера из Azure Marketplace в зависимости от потребностей вашей организации.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Руководство. Журналы действий доступны автоматически. Журналы содержат все операции PUT, POST и DELETE (но не GET) для ваших ресурсов Машинного обучения Azure. Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи в вашей организации изменяют ресурсы.

Включите журналы ресурсов Azure для Машинного обучения Azure. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут дать важные сведения для расследования инцидентов безопасности или для предъявления в суде.

Машинное обучение Azure также создает журналы аудита безопасности для учетных записей локальных администраторов. Включите эти журналы аудита локального администратора. Настройте их отправку в центральную рабочую область Log Analytics или в учетную запись хранения для долгосрочного хранения и аудита.

Ответственность: Customer

LT-5: централизованные управление журналом безопасности и анализ

Руководство. Централизуйте хранение и анализ журналов, чтобы можно было соотносить данные между собой. Убедитесь в том, что для каждого источника журнала есть следующее:

  • назначенный владелец данных;
  • рекомендации по доступу;
  • Расположение хранения
  • средства, используемые для обработки данных и доступа к ним;
  • требования к хранению данных.

Обязательно интегрируйте журналы действий Azure в централизованную систему ведения журналов.

Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. Для запросов и выполнения аналитики в Azure Monitor используйте рабочие области Log Analytics.

Используйте учетные записи службы хранилища Microsoft Azure для долгосрочного и архивного хранения.

Включите и подключите данные к Microsoft Sentinel или системе SIEM стороннего производителя. Многие организации применяют Microsoft Sentinel для часто используемых "горячих" данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.

Для приложений, которые выполняются в Машинном обучении Azure, необходимо переадресовать все журналы, относящиеся к безопасности, в SIEM для централизованного управления.

Ответственность: Customer

LT-6: Настройка хранения журналов

Руководство. Убедитесь в том, что для всех учетных записей хранения или рабочих областей Log Analytics, используемых для хранения журналов Машинного обучения Azure, установлен период хранения, соответствующий нормативным требованиям вашей организации.

В Azure Monitor можно задать период хранения для рабочей области Log Analytics согласно нормативным требованиям организации. Используйте службу хранилища Azure, Azure Data Lake или учетные записи рабочей области Log Analytics для долгосрочного и архивного хранения.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Руководство. Машинное обучение Azure не поддерживает настройку собственных источников синхронизации времени. Служба машинного обучения Azure использует источники синхронизации времени Майкрософт, которые недоступны клиентам для настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Руководство. Машинное обучение Azure поддерживает использование политик отдельных служб в Microsoft Defender для облака с целью аудита и принудительного применения конфигураций ресурсов Azure. Политики можно настроить в Microsoft Defender для облака или с использованием Политики Azure.

Используйте Azure Blueprints для автоматизации развертывания и настройки служб и сред приложений. Одно определение схемы может включать шаблоны Azure Resource Manager, элементы управления RBAC и политики.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Рекомендации. Используйте Microsoft Defender для облака, чтобы вести мониторинг конфигурационной базы. Используйте Политику Azure [Deny] и [DeployIfNotExist], чтобы обеспечить безопасную конфигурацию для вычислительных ресурсов Azure, включая виртуальные машины и контейнеры.

Ответственность: Customer

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Руководство. Машинное обучение Azure поддерживает различные вычислительные ресурсы и даже ваши собственные вычислительные ресурсы. Для вычислительных ресурсов, принадлежащих вашей организации, используйте рекомендации Microsoft Defender для облака, чтобы поддерживать конфигурации безопасности. Можно также использовать пользовательские образы операционной системы или функцию State Configuration службы автоматизации Azure, чтобы настроить конфигурацию безопасности операционной системы в соответствии с требованиями организации.

Используйте Microsoft Defender для облака и Политику Azure для настройки безопасных конфигураций всех вычислительных ресурсов, включая виртуальные машины и контейнеры.

Ответственность: Customer

PV-4: сохранение безопасных конфигураций для вычислительных ресурсов

Руководство. С помощью Microsoft Defender для облака и Политики Azure регулярно выполняйте оценку и устранение рисков конфигурации для вычислительных ресурсов Azure, в том числе виртуальных машин и контейнеров. Кроме того, можно использовать шаблоны Azure Resource Manager (ARM), пользовательские образы операционной системы или настройку состояния службы автоматизации Azure для поддержания конфигурации безопасности операционной системы, необходимой для вашей организации.

Шаблоны виртуальных машин Майкрософт в сочетании со средством State Configuration службы автоматизации Azure могут помочь в соблюдении и поддержании требований безопасности.
Корпорация Майкрософт контролирует и поддерживает образы виртуальных машин, которые публикуются в Azure Marketplace.

Microsoft Defender для облака проверяет уязвимости в образах контейнеров и постоянно отслеживает соответствие конфигурации контейнеров Docker стандартам CIS Docker. На странице рекомендаций Microsoft Defender для облака вы можете просмотреть рекомендации и устранить проблемы.

Ответственность: Customer

PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров

Руководство. Машинное обучение Azure позволяет клиентам управлять образами контейнеров. Используйте Azure RBAC, чтобы предоставить доступ к пользовательским образам только полномочным пользователям. Используя Общую коллекцию образов Azure, вы можете делиться своими образами с другими пользователями, субъектами-службами или группами Azure AD в вашей организации. Храните образы контейнеров в Реестре контейнеров Azure и используйте RBAC, чтобы доступ был только у полномочных пользователей.

Ответственность: Customer

PV-6: выполнение оценок уязвимостей программного обеспечения

Руководство. Машинное обучение Azure позволяет развертывать службы в своей среде с помощью реестров контейнеров.

Следуйте рекомендациям Microsoft Defender для облака, чтобы выполнять оценку уязвимостей в образах контейнеров. Microsoft Defender для облака имеет встроенный сканер уязвимостей для образов контейнеров.

При необходимости экспортируйте результаты проверки через одинаковые интервалы. Сравните результаты с результатами предыдущей проверки, чтобы убедиться в том, что уязвимости устранены. При использовании рекомендаций по управлению уязвимостями, предлагаемых Microsoft Defender для облака, вы можете перейти на портал выбранного решения и просмотреть данные сканирования за прошлые периоды.

В решении "Машинное обучение Azure" можно применять стороннее решение, чтобы проводить оценки уязвимостей сетевых устройств и веб-приложений. При удаленной проверке не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки. Защищайте и отслеживайте данные учетной записи проверки. Используйте эту учетную запись только для поиска уязвимостей.

Ответственность: Customer

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Руководство. В составе службы "Машинное обучение Azure" используется программное обеспечение с открытым кодом.

Для программного обеспечения сторонних производителей воспользуйтесь решением управления исправлениями или средством System Center Updates Publisher для Configuration Manager.

Ответственность: Customer

PV-8: регулярное моделирование атак

Руководство. При необходимости выполните тест на проникновение или попытки нарушения безопасности "красной командой" ресурсов Azure и убедитесь, что исправлены всех критические точки безопасности.

Следуйте правилам взаимодействия выполнения тестов на проникновение в Microsoft Cloud, чтобы тесты на проникновение не нарушали политику Майкрософт. Используйте стратегию Red Teaming и процедуру выполнения Майкрософт. Выполняйте тестирование на проникновение в реальном времени, используя облачную инфраструктуру, службы и приложения, управляемые корпорацией Майкрософт.

Ответственность: Совмещаемая блокировка

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)

Руководство. Включите возможности обнаружения и нейтрализации атак на конечные точки (EDR) для серверов и клиентов. Выполните интеграцию с процессами SIEM и операциями безопасности.

Расширенная защита от угроз в Microsoft Defender предоставляет возможности обнаружения и нейтрализации атак на конечные точки (EDR) в рамках корпоративной платформы безопасности конечных точек для предотвращения, обнаружения и изучения дополнительных угроз, а также реагирования на них.

Ответственность: Customer

ES-2. Защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Руководство. Защитите службу "Машинное обучение Azure" и ее ресурсы с помощью современного программного обеспечения, управляемого централизованно. Используйте решение для защиты от вредоносных программ на конечной точке с централизованным управлением, которое поддерживает периодическое сканирование и сканирование в режиме реального времени.

  • Microsoft Antimalware для Облачных служб Azure — решение для защиты от вредоносных программ, используемое по умолчанию для виртуальных машин Windows.

  • Для виртуальных машин Linux используйте стороннее решение для защиты от вредоносных программ.

  • Чтобы обнаруживать вредоносные программы, отправляемые в учетные записи службы хранилища Azure, используйте функцию обнаружения угроз для служб данных, доступную в Microsoft Defender для облака.

  • Microsoft Defender для облака можно использовать, чтобы автоматически выполнять следующие действия:

    • Выявление популярных антивредоносных программ для виртуальных машин.

    • Сообщение о текущем состоянии защиты конечных точек.

    • Предоставление рекомендаций

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

ES-3. Обязательное обновление антивредоносного ПО и сигнатур

Руководство. Обеспечьте быстрое и согласованное обновление сигнатур для защиты от вредоносных программ.

Чтобы гарантировать, что на всех виртуальных машинах и во всех контейнерах применены актуальные сигнатуры, следуйте рекомендациям в Microsoft Defender для облака: "Вычислительные ресурсы и приложения".

В Windows Microsoft Antimalware будет по умолчанию автоматически устанавливать новые сигнатуры и обновления подсистемы. Для Linux используйте стороннее решение для защиты от вредоносных программ.

Ответственность: Customer

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-1. Обязательное регулярное автоматическое резервное копирование

Руководство. Убедитесь в резервном копировании систем и данных для обеспечения непрерывности бизнес-процессов после непредвиденного события. Руководство по использованию параметров целевого времени восстановления (RTO) и целевой точки восстановления (RPO).

Включите Azure Backup. Настройте источники резервных копий, например виртуальные машины Azure, SQL Server, базы данных HANA или общие папки. Настройте желаемую частоту и диапазон хранения.

При более высоком уровне избыточности можно включить геоизбыточное хранилище, чтобы реплицировать данные резервных копий в дополнительный регион и восстанавливать их с помощью межрегионального восстановления.

Ответственность: Customer

BR-2: шифрование данных резервного копирования

Руководство. Обеспечьте защиту резервных копий от атак. Такая защита предполагает шифрование резервных копий для защиты от нарушения конфиденциальности.

При резервном копировании локальных данных с помощью Azure Backup шифрование неактивных данных выполняется с использованием парольной фразы, которую вы указываете. При регулярном резервном копировании службы Azure данные резервных копий автоматически шифруются с помощью ключей, управляемых платформой Azure. Вы можете выбрать шифрование резервной копии с помощью ключа, управляемого клиентом. В этом случае убедитесь, что этот управляемый клиентом ключ в хранилище ключей входит также в область резервного копирования.

Используйте управление доступом на основе ролей в Azure Backup, Azure Key Vault и других ресурсах, чтобы защитить резервные копии и ключи, управляемые клиентом. Кроме того, можно включить дополнительные функции безопасности, чтобы требовать прохождения MFA перед изменением или удалением резервных копий.

Ответственность: Customer

BR-3. Проверка всех резервных копий, включая ключи, управляемые клиентом

Руководство. Периодически проверяйте, можете ли вы восстановить резервные копии, в том числе ключей, управляемых клиентом.

Ответственность: Customer

BR-4: снижение риска потери ключей

Инструкции. Убедитесь, что вы реализовали меры по предотвращению и восстановлению после потери ключей. Включите обратимое удаление и очистку защиты в Azure Key Vault, чтобы защитить ключи от случайного или вредоносного удаления.

Ответственность: Customer

Следующие шаги