Базовый план безопасности Azure для Azure Resource Graph

Этот базовый план безопасности применяет рекомендации Azure Security Benchmark версии 2.0 к Azure Resource Graph. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и в соответствующем руководстве, применимом к Azure Resource Graph.

Если функция имеет соответствующие Политика Azure определения, которые они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Azure Resource Graph, и те, для которых действуют глобальные рекомендации без изменений, исключены. Сведения о том, как обеспечить для Azure Resource Graph полное соответствие рекомендациям Azure Security Benchmark, см. в этом файле.

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Рекомендации. По умолчанию в Azure Resource Graph в качестве службы идентификации и управления доступом используется Azure Active Directory (Azure AD). Стандартизируйте Azure AD для управления идентификацией и доступом в организации применительно к следующим областям:

  • Ресурсы Microsoft Cloud. К ресурсам относятся:

    • Портал Azure

    • Служба хранилища Azure

    • виртуальные машины Azure для Linux и Windows;

    • Azure Key Vault

    • Платформа как услуга (PaaS)

    • Приложения SaaS (программное обеспечение как услуга)

  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, чтобы помочь сравнить состояние безопасности удостоверений с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешние удостоверения, которые позволяют пользователям входить в приложения и ресурсы без учетной записи Майкрософт.

Клиенты взаимодействуют с Azure Resource Graph через Azure Resource Manager. Для такого взаимодействия клиентам нужно предоставить действительный маркер Azure AD.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Рекомендации. Подключите всех пользователей, приложения и устройства к Azure AD. Azure AD предлагает простой и безопасный доступ, а также более широкие возможности видимости и контроля. Azure Resource Graph использует Azure AD, чтобы предоставить инструменты управления удостоверениями и доступом к ресурсам Azure, облачным и локальным приложениям. Удостоверения включают корпоративные удостоверения, например для сотрудников, а также внешние удостоверения для партнеров, поставщиков и так далее. Управление удостоверениями и доступом в Azure AD, а также единый вход можно использовать для управления локальными и облачными данными и ресурсами организации, а также для предоставления безопасного доступа к ним.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-7: Следуйте принципу администрирования с предоставлением минимальных прав

Рекомендации. Пакетная служба Azure интегрирована с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure через назначение ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Вы можете выполнять инвентаризацию этих ролей или запрашивать их с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure. Привилегии, назначаемые ресурсам через Azure RBAC, должны ограничиваться необходимыми ролям возможностями. Эта практика дополняет JIT-подход, реализованный в Azure AD PIM. Регулярно проверяйте роли и назначения.

Используйте для выделения привилегий встроенные роли и не создавайте настраиваемые роли, если без этого можно обойтись.

Ответственность: Customer

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Руководство. Неприменимо. Azure Resource Graph не поддерживает ни одну учетную запись администрирования на основе ролей.

Azure Resource Graph не хранит данные, доступные для клиентов. Корпорация Майкрософт получает доступ к метаданным ресурсов платформы, если открыто обращение в службу поддержки без использования других средств.

Ответственность: Customer

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1: Убедитесь, что специалисты по безопасности имеют возможность отслеживания рисков, связанных с активами

Рекомендации. Обязательно предоставьте отделам безопасности разрешения читателя сведений о безопасности в вашем клиенте и подписках Azure, чтобы специалисты могли отслеживать риски безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. Аналитические сведения о безопасности и риски должны всегда централизованно собираться в организации.

Вы можете широко применять разрешения «Читатель сведений о безопасности» для всей корневой группы управления арендатора или распространить действие разрешений для конкретных групп управления или подписок.

Примечание: для получения сведений о рабочих нагрузках и службах могут потребоваться дополнительные разрешения.

Ответственность: Customer

AM-2: Предоставление группе безопасности доступа к данным инвентаризации и метаданным активов

Рекомендации. Убедитесь в том, что группы безопасности обладают доступом к постоянно обновляемому списку ресурсов в Azure, в том числе Azure Resource Graph. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков или использовать их в качестве входных данных для непрерывного улучшения безопасности. Создайте группу Azure AD, которая будет охватывать уполномоченных специалистов отдела безопасности организации, и предоставьте ей доступ для чтения ко всем ресурсам Azure Resource Graph. Этот процесс можно упростить, применив одно высокоуровневое назначение роли в рамках подписки.

К ресурсам Azure, группам ресурсов и подпискам можно применять теги, чтобы логически классифицировать их на основе метаданных. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Используйте данные инвентаризации для виртуальных машин Azure, чтобы автоматизировать сбор сведений о программном обеспечении на виртуальных машинах. Имя, версия, издатель и время обновления программного обеспечения доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и импортируйте журналы событий Windows в рабочую область Log Analytics.

Azure Resource Graph не позволяет запускать приложения или устанавливать программное обеспечение на своих ресурсах.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Руководство. Azure AD предоставляет следующие журналы пользователей. Вы можете просматривать журналы в отчетах Azure AD. Можно выполнить интеграцию с Azure Monitor, Microsoft Sentinel и другими средствами SIEM и мониторинга, чтобы обеспечить соответствие требованиям для более сложных сценариев мониторинга и аналитики.

  • События входа предоставляют информацию об использовании управляемых приложений и действиях входа пользователей.

  • Журналы аудита обеспечивают трассировку по всем журналам любых изменений, внесенных компонентами Azure AD. Журналы аудита включают изменения, внесенные в любой ресурс в Azure AD. К изменениям относятся добавление и удаление пользователей, приложений, групп, ролей и политик.

  • Рискованные события входа: индикатор попыток входа, предпринятых пользователем, который не является законным владельцем учетной записи.

  • Пользователи, находящиеся в группе риска: это показатель того, что могла быть нарушена безопасность учетной записи пользователя.

Microsoft Defender для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности. Устаревшие учетные записи в подписке также могут создавать предупреждения. Microsoft Defender для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности, или об устаревших учетных записях.

Помимо базового мониторинга действий по обеспечению безопасности, модуль защиты от угроз Microsoft Defender для облака позволяет собирать и более подробные оповещений системы безопасности из следующих компонентов:

  • отдельные вычислительные ресурсы Azure (например, виртуальные машины, контейнеры и служба приложений);

  • База данных SQL Azure, служба хранилища Azure и другие ресурсы данных;

  • уровни служб Azure.

Эта возможность обеспечивает видимость для аномалий с учетными записями внутри отдельных ресурсов.

Ответственность: Customer

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Тесты производительности системы безопасности Azure. Управление состоянием безопасности и уязвимостями.

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Рекомендации. Используйте Microsoft Defender для облака и Политику Azure, чтобы обеспечить безопасные конфигурации для всех вычислительных ресурсов, включая виртуальные машины и контейнеры.

Ответственность: Customer

Следующие шаги