Базовые показатели безопасности Azure Управляемых приложений Azure

Данные базовые показатели безопасности служат для применения рекомендаций из Версии 2.0 Azure Security Benchmark к Управляемым приложениям Azure. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и в соответствующем руководстве, применимом к Управляемым приложениям Azure.

Если функция имеет соответствующие Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Управляемым приложениям Azure, и те, для которых действуют глобальные рекомендации без изменений, исключены. Сведения о том, как обеспечить для Управляемых приложений Azure полное соответствие рекомендациям Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Рекомендации: неприменимо. Управляемые приложения Azure определяют развертывание служб Azure, которые могут иметь сетевой компонент, но сама служба их не имеет. Сведения о безопасности для каждого ресурса приводится в соответствующей документации.

Ответственность: Microsoft

NS-6: упрощение правил безопасности сети

Руководство. Использование тегов службы виртуальной сети Azure для определения элементов управления доступом к сети для групп безопасности сети или Брандмауэра Azure, настроенных для ресурсов управляемого приложения Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, AzureResourceManager) в соответствующем поле источника или назначения в правиле, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Рекомендации. Конфигурации, связанные со службой DNS для Управляемых приложений, обслуживаются корпорацией Майкрософт. Управляемые приложения Azure определяют развертывание служб Azure, которые могут предоставлять доступ к базовым конфигурациям DNS, но сама служба его не предоставляет. Сведения о безопасности для каждого ресурса приводится в соответствующей документации.

Ответственность: Microsoft

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Руководство. Управляемые приложения Azure используют Azure Active Directory (Azure AD) в качестве службы управления по умолчанию идентификацией и доступом. Для управления идентификацией и доступом в организации требуется стандартизация Azure AD.

Azure предоставляет приведенные ниже встроенные роли Azure для авторизации доступа к управляемым приложениям с использованием Azure AD и OAuth.

  • Роль участника управляемого приложения: позволяет создавать ресурсы управляемых приложений.
  • Роль оператора управляемого приложения: позволяет читать и выполнять действия с ресурсами управляемых приложений.
  • Читатель управляемых приложений: позволяет считывать ресурсы в управляемом приложении и запрашивать JIT-доступ.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Руководство. Используйте управляемые Azure удостоверения для предоставления разрешений управляемым приложениям. Мы рекомендуем использовать функцию управляемого удостоверения Azure вместо создания более мощной создаваемой человеком учетной записи для доступа к ресурсам или выполнения ресурсов, чтобы ограничить потребность в управлении дополнительными учетными данными. Службе Управляемых приложений Azure также может быть самой назначено управляемое удостоверение для самостоятельной проверки подлинности в других службах или ресурсах Azure, поддерживающих проверку подлинности Azure AD. Это может быть полезно для обеспечения простого доступа от Управляемых приложений Azure, до Azure Key Vault при извлечении секретов. При использовании управляемого удостоверения, управление ей производится платформой Azure, и для них не нужно подготавливать или изменять секреты.

Управляемые приложения Azure поддерживают предоставление двух типов удостоверений для приложения:

  • Назначенное системой удостоверение связано с ресурсом конфигурации. Она удаляется, если ресурс конфигурации был удален. Ресурс конфигурации может иметь только одно назначаемое системой удостоверение.
  • Назначаемое пользователем удостоверение — это изолированный ресурс Azure, который можно назначить ресурсу конфигурации. Ресурс конфигурации может иметь несколько назначенных пользователю удостоверений.

Если управляемые удостоверения не могут быть использованы, создайте субъект-службу с ограниченными разрешениями на уровне ресурсов управляемого приложения Azure. Настройте субъекты-службы с учетными данными сертификата и вернитесь с переходом к секретам клиента. В обоих случаях Azure Key Vault можно использовать в сочетании с управляемыми удостоверениями Azure, чтобы среда выполнения (например, функция Azure) могла извлекать учетные данные из хранилища ключей.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Рекомендации. Управляемые приложения Azure используют Azure Active Directory для предоставления удостоверений и управления доступом к ресурсам Azure, облачным приложениям и локальным приложениям. Сюда входят корпоративные удостоверения, например сотрудники, а также внешние удостоверения, например партнеры и поставщики. Это обеспечивает единый вход (SSO) для управления доступом к данным и ресурсам организации в локальной среде и в облаке, а также для обеспечения их безопасности. Подключите пользователей, приложения и устройства к Azure AD, чтобы обеспечить простой, безопасный доступ и более широкие возможности управления.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Руководство. Управляемые приложения Azure используют Azure Active Directory (Azure AD) для идентификации и доступа. Наиболее важными встроенными ролями являются Azure AD, Глобальный администратор и Администратор привилегированных ролей, поскольку пользователи, которым назначены эти две роли, могут делегировать роли администратора:

  • Глобальный администратор. Пользователи с такой ролью имеют доступ ко всем функциям администрирования в Azure AD, а также к службам, которые пользуются удостоверениями Azure AD.
  • Администратор привилегированных ролей. Пользователи с этой ролью могут управлять назначением ролей в Azure AD, а также в рамках управления привилегированными пользователями Azure AD Privileged Identity Management (PIM). Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными пользователями и административными подразделениями.

Примечание. Могут быть и другие критически важные роли, которыми необходимо управлять при использовании пользовательских ролей с назначенными привилегированными определенными правами доступа. Кроме того, может потребоваться применить аналогичные элементы управления к учетной записи администратора критических бизнес-ресурсов.

Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и Azure AD с помощью Azure AD Privileged Identity Management (PIM). JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Инструкции. Регулярно просматривайте учетные записи пользователей и назначение доступа, чтобы убедиться, что учетные записи и их уровень доступа является допустимым.

Управляемые приложения Azure используют учетные записи Azure Active Directory (AAD) для управления ресурсами, регулярного просмотра учетных записей пользователей и назначения доступа, чтобы убедиться, что учетные записи и их доступ являются допустимыми. Используя проверку доступа средствами Azure AD, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете использовать функции Azure AD Privileged Identity Management для создания рабочего процесса получения отчета о проверке доступа, который упростит процесс проверки.

Кроме того, Azure AD Privileged Identity Management можно настроить для выдачи оповещения в случае, когда создается чрезмерно много учетных записей администраторов, и выявления устаревших или неправильно настроенных учетных записей администраторов.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD. Этими пользователями клиентам необходимо будет управлять отдельно.

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Инструкции: защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Используйте высокозащищенные рабочие станции пользователей и (или) Бастион Azure для выполнения административных задач, связанных с управляемыми приложениями. Используйте Azure Active Directory (Azure AD), Advanced Threat Protection (ATP) в Microsoft Defender и Microsoft Intune, чтобы развернуть безопасную и (или) управляемую рабочую станцию пользователя для выполнения административных задач. Защищенными рабочими станциями можно централизованно управлять, чтобы обеспечить безопасную настройку, включая строгую проверку подлинности, базовые параметры программного обеспечения и оборудования, ограниченный логический и сетевой доступ.

Ответственность: Customer

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Руководство. Управляемые приложения Azure интегрированы с управлением доступом на основе ролей (RBAC) Azure для управления ресурсами. Azure RBAC позволяет управлять доступом к ресурсам Azure посредством назначения ролей. Вы можете назначать роли пользователям, группам субъектов-служб и управляемым удостоверениям. Для некоторых ресурсов существуют предварительно определенные встроенные роли. Эти роли могут быть инвентаризированы или запрошены с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure. Привилегии, назначаемые ресурсам через Azure RBAC, должны всегда ограничиваться возможностями, которые необходимы ролям. Данный метод дополняет JIT-подход Azure Active Directory (Azure AD) Privileged Identity Management (PIM). Его необходимо периодически проверять.

По возможности используйте встроенные роли для выделения привилегии, создавайте настраиваемые роли только при необходимости.

Azure предоставляет приведенные ниже встроенные роли Azure для авторизации доступа к управляемым приложениям с использованием Azure AD и OAuth.

  • Роль участника управляемого приложения: позволяет создавать ресурсы управляемых приложений.
  • Роль оператора управляемого приложения: позволяет читать и выполнять действия с ресурсами управляемых приложений.
  • Читатель управляемых приложений: позволяет считывать ресурсы в управляемом приложении и запрашивать JIT-доступ.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Руководство. Реализация процесса утверждения организации для сценариев поддержки, в которых Майкрософт может попросить доступ к данным управляемого приложения Azure. Защищенное хранилище в настоящее время недоступно для сценариев управляемых приложений.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-2. Защита конфиденциальных данных

Руководство. Для сохранения шифрования с помощью собственных ключей можно использовать собственную учетную запись хранения для хранения файлов конфигурации управляемого приложения.

Ответственность: Customer

DP-4: шифрование конфиденциальной информации во время передачи

Рекомендации. Управляемые приложения Azure — это служба Azure, которая использует Azure Resource Manager для всех своих действий. Для защиты данных при передаче в Azure Resource Manager используется протокол HTTPS/TLS.

Ответственность: Microsoft

DP-5. Шифрование конфиденциальных неактивных данных

Руководство. Определения управляемых приложений, которые определяют приложение и его ресурсы, можно хранить в собственных учетных записях хранения, для которых можно настроить ключи шифрования, управляемые клиентом.

В сценариях, где не требуется использовать собственное хранилище для определений управляемых приложений, Azure по умолчанию предоставляет шифрование неактивных данных.

Ответственность: Совмещаемая блокировка

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Рекомендации. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. С другой стороны, сведения о безопасности и угрозах безопасности всегда должны централизованно располагаться внутри организации.

Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Инструкции. Применяйте теги к ресурсам, группам ресурсов и подпискам Azure для их логической классификации по определенной таксономии. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Теги, предоставляемые во время создания управляемого приложения, также применяются и к управляемой группе ресурсов. Издатель приложения может предоставить свои собственные дополнительные теги управляемых ресурсов после развертывания.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство. Управляемые приложения Azure поддерживают развертывания на основе Azure Resource Manager и принудительное применение конфигурации с помощью Политики Azure. Используйте политику Azure для аудита и ограничения служб, которые пользователи могут подготавливать в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Рекомендации. Azure Active Directory (Azure AD) предоставляет следующие журналы пользователей, которые можно просмотреть в отчетах Azure AD или интегрировать с Azure Monitor, Microsoft Sentinel или другими средствами мониторинга или SIEM для использования в более сложных сценариях мониторинга и аналитики:

Входы. Отчет о входах содержит информацию об использовании управляемых приложений и входах пользователей.

Журналы аудита — возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита включают изменения, внесенные в такие ресурсы в Azure AD, как добавление или удаление пользователей, приложений, групп, ролей и политик.

Входы, представляющие риск. Вход, представляющий риск, означает, что в систему пытался войти пользователь, который не является законным владельцем учетной записи.

Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Microsoft Defender для облака может также создавать оповещения о некоторых подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности и нерекомендуемых учетных записях в подписке. Помимо базового мониторинга действий по обеспечению безопасности, модуль защиты от угроз Microsoft Defender для облака позволяет собирать и более подробные оповещений системы безопасности из отдельных вычислительных ресурсов Azure (виртуальные машины, контейнеры, служба приложений), ресурсов данных (база данных SQL и хранилище) и уровней служб Azure. Эта возможность обеспечивает видимость аномалии учетной записи внутри отдельных ресурсов.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Руководство. Журналы действий, которые автоматически доступны, содержат все операции записи (размещение, публикация, удаление) для ресурсов управляемого приложения, за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибки при устранении неполадок, а также для наблюдения за тем, как пользователь организации изменяет ресурс.

Ответственность: Customer

LT-5: централизованные управление журналом безопасности и анализ

Руководство. Централизованное ведение журналов, хранение и анализ для включения корреляции. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных. Интегрируйте журналы действий Azure со своей централизованной системой ведения журналов. Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа и используйте учетные записи службы хранилища Azure для долгосрочного и архивного хранения.

Кроме того, настройте Microsoft Sentinel или стороннюю систему SIEM и подключите к ней данные.

Многие организации предпочитают задействовать Microsoft Sentinel для "горячих", часто используемых данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.

Ответственность: Customer

LT-6: Настройка хранения журналов

Руководство. Убедитесь, что для всех учетных записей хранения или рабочих областей Log Analytics, используемых для хранения журналов, созданных ресурсами управляемых приложений, задан срок хранения журнала в соответствии с нормативными требованиями организации. В Azure Monitor можно задать период хранения для рабочей области Log Analytics согласно нормативным требованиям организации. Используйте службу хранилища Azure, озеро данных или учетные записи рабочей области Log Analytics для долгосрочного и архивного хранения.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Рекомендации. Управляемые приложения Azure определяют развертывание служб Azure, которое может поддерживать настройку собственных источников синхронизации времени, но сама служба их не поддерживает. Служба управляемых приложений использует источники синхронизации времени от корпорации Майкрософт и не предоставляет клиентам возможностей для их настройки. Сведения о безопасности для каждого ресурса приводится в соответствующей документации.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Инструкции. Определите границы безопасности для инфраструктуры и групп DevOps, упрощающие безопасную настройку используемых ими служб Azure.

Настройте Политику Azure для аудита и принудительного применения конфигураций ресурсов, относящихся к развертываниям управляемых приложений.

Можно использовать схемы Azure Blueprints для автоматизации развертывания и настройки служб и окружения приложений, включая шаблоны Azure Resource Manager, назначения RBAC в Azure и назначения Политик Azure, в едином определении схемы.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Рекомендации. Используйте Microsoft Defender для облака, чтобы выполнять мониторинг ресурсов для Управляемых приложений Azure, и настройте действия [запретить] и [развернуть, если не существует] в Политике Azure для поддержания безопасных конфигураций.

Ответственность: Customer

PV-6: выполнение оценок уязвимостей программного обеспечения

Рекомендации. Управляемые приложения Azure определяют развертывание служб Azure, сведения о безопасности для которых представлены в отдельной документации по каждому ресурсу. Служба управляемых приложений не предоставляет клиентских ресурсов вычисления, которые поддерживают средства для оценки уязвимостей.

Корпорация Майкрософт обрабатывает уязвимости и оценки для базовой платформы, которая поддерживает службу управляемых приложений.

Ответственность: Microsoft

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Рекомендации. Управляемые приложения Azure определяют развертывание служб Azure, сведения о безопасности для которых представлены в отдельной документации по каждому ресурсу. Служба управляемых приложений не предоставляет клиентских ресурсов вычисления, которые поддерживают средства для оценки уязвимостей.

Корпорация Майкрософт обрабатывает уязвимости и оценки для базовой платформы, которая поддерживает службу управляемых приложений.

Ответственность: Microsoft

PV-8: регулярное моделирование атак

Инструкции: при необходимости выполните тестирование на проникновение в ресурсы Azure или привлеките для участия "красные команды" и обеспечьте исправление всех обнаруженных проблем с безопасностью. Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)

Рекомендации. Управляемые приложения Azure определяют развертывание служб Azure, которые могут взаимодействовать с виртуальными машинами, контейнерами или хранилищем, для которых потребуется защита "Обнаружение и нейтрализация атак на конечные точки (EDR)", но сама служба такой защиты не требует. Сведения о безопасности для каждого ресурса приводится в соответствующей документации.

Обслуживание базовой инфраструктуры для Управляемых приложений Azure осуществляется корпорацией Майкрософт. Сюда относится защита от вредоносных программ и EDR.

Ответственность: Microsoft

ES-2: защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Рекомендации. Управляемые приложения Azure определяют развертывание служб Azure, которые могут взаимодействовать с виртуальными машинами, контейнерами или хранилищем, для которых потребуется защита от вредоносных программ, но сама служба такой защиты не требует. Сведения о безопасности для каждого ресурса приводится в соответствующей документации.

Обслуживание базовой инфраструктуры для Управляемых приложений Azure осуществляется корпорацией Майкрософт. Сюда относится защита от вредоносных программ и EDR.

Ответственность: Microsoft

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Рекомендации. Управляемые приложения Azure определяют развертывание служб Azure, которые могут взаимодействовать с виртуальными машинами, контейнерами или хранилищем, для которых потребуется защита от вредоносных программ, но сама служба такой защиты не требует. Сведения о безопасности для каждого ресурса приводится в соответствующей документации.

Обслуживание базовой инфраструктуры для Управляемых приложений Azure осуществляется корпорацией Майкрософт. Сюда относится защита от вредоносных программ и EDR.

Ответственность: Microsoft

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Руководство. При хранении определений управляемых приложений в собственной учетной записи хранения убедитесь, что есть возможность восстановить все связанные ключи, управляемые клиентом, которые используются для шифрования учетной записи, и эти ключи хранятся в Azure Key Vault.

Ответственность: Customer

BR-4: снижение риска потери ключей

Руководство. Если используется собственное хранилище для определений управляемых приложений, убедитесь, что у вас реализованы меры по предотвращению и восстановлению после потери тех ключей, которые используются для шифрования определений. Включите обратимое удаление и защиту от удаления в Azure Key Vault, где хранятся ключи, управляемые клиентом, чтобы защитить ключи от случайного или вредоносного удаления.

Ответственность: Customer

Следующие шаги