Базовая конфигурация безопасности Azure для Службы Azure SignalR

Эта базовая конфигурация безопасности применяет рекомендации из Azure Security Benchmark версии 2.0 к Azure SignalR. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark, и по связанному руководству, применимому к Azure SignalR.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Службе Azure SignalR, и те, для которых рекомендуется полное глобальное руководство, были исключены. Сведения о том, как Azure SignalR полностью сопоставляется с Azure Security Benchmark, см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Инструкции. Служба Microsoft Azure SignalR не поддерживает развертывание непосредственно в виртуальную сеть. Вы не можете использовать некоторые сетевые функции с ресурсами предложения, включая группы безопасности сети, таблицы маршрутизации или другие зависимые от сети устройства, такие как Брандмауэр Azure.

Тем не менее Служба Azure SignalR позволяет создавать частные конечные точки для защиты трафика между ресурсами в виртуальной сети и Службой SignalR Azure.

Кроме того, можно использовать теги службы и настроить правила группы безопасности сети, чтобы ограничить входящий и исходящий трафик для Службы Azure SignalR.

Ответственность: Customer

NS-2: совместное подключение частных сетей

Инструкции. Используйте частные конечные точки для защиты трафика между виртуальной сетью и Службой SignalR Azure. Выберите Azure ExpressRoute или виртуальную частную сеть (VPN) Azure для создания частных подключений между центрами обработки данных Azure и локальной инфраструктурой среды совместного размещения.

Подключения ExpressRoute не проходят через общедоступный Интернет и обеспечивают повышенную надежность и быстродействие, а также более низкую задержку по сравнению с обычными интернет-подключениями. В случае VPN "точка — сеть" и VPN типа "сеть — сеть" локальные устройства или сети можно подключить к виртуальной сети с помощью любого сочетания параметров VPN и Azure ExpressRoute.

Для подключения двух или более виртуальных сетей в Azure используйте пиринг между виртуальными сетями. Трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.SignalRService:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. по адресу https://aka.ms/asrs/privatelink. Audit, Deny, Disabled 1.0.1

NS-3: установка доступа к частной сети для служб Azure

Инструкции. Используйте Приватный канал Azure для разрешения частного доступа к Службе Azure SignalR из ваших виртуальных сетей без перехода в Интернет.

Частный доступ — это дополнительная мера глубокой защиты в дополнение к проверке подлинности и безопасности трафика, предоставляемым службами Azure.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.SignalRService:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. по адресу https://aka.ms/asrs/privatelink. Audit, Deny, Disabled 1.0.1

NS-6: упрощение правил безопасности сети

Инструкции. Используйте теги службы виртуальной сети Azure для определения элементов управления доступом к сети для групп безопасности сети или Брандмауэра Azure, настроенных для ресурсов Службы Azure SignalR. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, AzureSignalR) в соответствующем поле источника или назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Ответственность: Customer

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Инструкции. В Службе Azure SignalR в качестве службы управления удостоверениями и доступом по умолчанию используется Azure Active Directory (Azure AD). Вам следует стандартизировать Azure AD, чтобы управлять в вашей организации идентификацией и доступом к

  • ресурсам Microsoft Cloud, таким как портал Azure, службе хранилища Azure, виртуальной машине Azure (для Linux и Windows), Azure Key Vault, а также платформам в виде услуг и приложениям SaaS.
  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Служба Azure SignalR поддерживает проверку подлинности Azure AD только для плоскости управления, но не для плоскости данных. Ниже приведены встроенные роли в Службе Azure SignalR:

  • Участник службы SignalR
  • Читатель AccessKey в SignalR

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, которая помогает оценить безопасность удостоверений в соответствии с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Azure AD поддерживает внешние удостоверения, которые позволяют пользователям без учетной записи Майкрософт входить в свои приложения и ресурсы с помощью их внешнего удостоверения.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Инструкции. Служба Azure SignalR использует управляемые удостоверения Azure для учетных записей, не принадлежащих человеку, таких как один восходящий поток с одним вызовом в сценарии с использованием бессерверных средств. Для доступа к другим ресурсам Azure рекомендуется использовать функцию управляемого удостоверения Azure. Служба Azure SignalR может выполнять проверку подлинности в службах или ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD), с помощью предварительно определенного правила предоставления доступа без использования учетных данных, жестко заданных в исходном коде или файлах конфигурации.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Инструкции. В Службе Azure SignalR используется Azure AD для обеспечения управления удостоверениями и доступом к ресурсам SignalR. Сюда входят корпоративные удостоверения, например сотрудники, а также внешние удостоверения, например партнеры и поставщики. Это обеспечивает единый вход для управления данными и ресурсами организации, а также предоставляет безопасный доступ к ним в локальной среде и в облаке. Подключите пользователей, приложения и устройства к Azure AD, чтобы обеспечить простой, безопасный доступ и более широкие возможности управления.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Инструкции. Наиболее важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей", так как пользователи, которым назначены эти две роли, могут делегировать роли администратора:

  • Глобальный администратор. Пользователи с такой ролью имеют доступ ко всем функциям администрирования в Azure AD, а также к службам, которые используют удостоверения Azure AD.
  • Администратор привилегированных ролей. Пользователи с этой ролью могут управлять назначением ролей в Azure AD, а также в рамках управления привилегированными пользователями Azure AD Privileged Identity Management (PIM). Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными пользователями и административными подразделениями.

Служба Azure SignalR содержит встроенные роли с высоким уровнем привилегий. Ограничьте количество учетных записей с высоким уровнем привилегий и защитите эти учетные записи на повышенном уровне, так как пользователи с этой привилегией могут напрямую или косвенно считывать и изменять каждый ресурс в вашем окружении Azure.

Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и Azure AD с помощью Azure AD Privileged Identity Management (PIM). JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Инструкции. Регулярно просматривайте учетные записи пользователей и назначение доступа, чтобы убедиться, что учетные записи и их уровень доступа является допустимым.

Служба Azure SignalR использует учетные записи Azure AD для управления ресурсами, а также для регулярной проверки учетных записей и назначения доступа, чтобы обеспечить действительность учетных записей и допустимость их доступа. Используя проверку доступа средствами Azure AD, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете использовать функции Azure AD Privileged Identity Management для создания рабочего процесса получения отчета о проверке доступа, который упростит процесс проверки.

Встроенные роли в Службе Azure SignalR:

  • Участник службы SignalR
  • Читатель AccessKey в SignalR

Кроме того, Azure AD Privileged Identity Management можно настроить для выдачи оповещения в случае, когда создается чрезмерно много учетных записей администраторов, и выявления устаревших или неправильно настроенных учетных записей администраторов.

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Инструкции: защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Для выполнения административных задач используйте надежно защищенные рабочие станции и (или) Бастион Azure. Используйте Azure Active Directory (Azure AD), Advanced Threat Protection (ATP) в Microsoft Defender и Microsoft Intune, чтобы развернуть безопасную и (или) управляемую рабочую станцию пользователя для выполнения административных задач. Защищенными рабочими станциями можно централизованно управлять, чтобы обеспечить безопасную настройку, включая строгую проверку подлинности, базовые параметры программного обеспечения и оборудования, ограниченный логический и сетевой доступ.

Ответственность: Customer

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Инструкции. Управление ресурсами Службы SignalR обеспечивается путем ее интеграции с управлением доступом на основе ролей Azure. Azure RBAC позволяет управлять доступом к ресурсам Azure посредством назначения ролей. Назначьте эти роли пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предусмотрены предварительно определенные встроенные роли. Эти роли могут быть включены в инвентаризацию или запрошены с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.

Привилегии, назначаемые ресурсам через Azure RBAC, должны всегда ограничиваться возможностями, которые необходимы ролям. Этот метод дополняет JIT-подход Azure Active Directory (Azure AD) Privileged Identity Management (PIM). Его необходимо периодически проверять.

Встроенные роли в Службе SignalR:

  • Участник службы SignalR
  • Читатель AccessKey в SignalR

Используйте встроенные роли для выделения привилегии. Создавать настраиваемые роли можно только при необходимости.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-2. Защита конфиденциальных данных

Руководство. Защитите конфиденциальные данные путем ограничения доступа посредством управления доступом на основе ролей Azure (Azure RBAC), сетевых элементов управления доступом и специальных элементов управления в службах Azure (например, шифрование в SQL и других базах данных).

Чтобы гарантировать постоянное управление доступом, все его типы должны быть согласованы с вашей корпоративной стратегией сегментации. Корпоративная стратегия сегментации также должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и защищает клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала несколько элементов управления и возможностей защиты данных по умолчанию.

Ответственность: Совмещаемая блокировка

DP-4: шифрование конфиденциальной информации во время передачи

Инструкции. Шифрование трафика во внешних и общедоступных сетях имеет критически важное значение. Для обеспечения безопасности всего входящего и исходящего трафика Служба Azure SignalR использует протокол HTTPS (TLS версии 1.2). На уровне базовой инфраструктуры Azure обеспечивает шифрование данных при передаче по умолчанию для трафика данных между центрами обработки данных Azure.

Ответственность: Microsoft

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Рекомендации. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в клиенте и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей группы безопасности за отслеживание угроз безопасности может отвечать централизованная группа безопасности или локальная группа. С другой стороны, сведения о безопасности и угрозах безопасности всегда должны централизованно располагаться внутри организации.

Разрешения читателя сведений о безопасности можно расширить для всего клиента (корневой группы управления) или ограничить до определенной группы управления или конкретных подписок.

Примечание. Для наблюдения за рабочими нагрузками и службами могут потребоваться дополнительные разрешения.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Инструкции. Применяйте теги к ресурсам, группам ресурсов и подпискам Azure для их логической классификации по определенной таксономии. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Инструкции. Azure Active Directory (Azure AD) предоставляет следующие журналы пользователей, которые можно просматривать в службе отчетов Azure AD или интегрировать с Azure Monitor, Microsoft Sentinel или другими средствами мониторинга или SIEM для использования в более сложных сценариях мониторинга и аналитики.

  • Вход. Отчет о входах содержит информацию об использовании управляемых приложений и о действиях входа пользователей.
  • Журналы аудита — возможность отслеживания с помощью журналов всех изменений, внесенных при использовании разных функций в Azure AD. Примеры журналов аудита включают изменения, внесенные в такие ресурсы в Azure AD, как добавление или удаление пользователей, приложений, групп, ролей и политик.
  • Рискованные входы. Рискованный вход — это показатель попытки входа в систему пользователя, не являющегося правомерным владельцем учетной записи.
  • Пользователи, находящиеся в группе риска. Такая пометка означает, что конфиденциальность учетной записи пользователя, возможно, нарушена.

Microsoft Defender для облака может также создавать оповещения о некоторых подозрительных действиях, например о чрезмерном количестве неудачных попыток проверки подлинности и нерекомендуемых учетных записях в подписке. Помимо базового мониторинга действий по обеспечению безопасности, модуль защиты от угроз Microsoft Defender для облака позволяет собирать и более подробные оповещений системы безопасности из отдельных вычислительных ресурсов Azure (виртуальные машины, контейнеры, служба приложений), ресурсов данных (база данных SQL и хранилище) и уровней служб Azure. Эта возможность позволяет видеть аномалии учетной записи внутри отдельных ресурсов.

Ответственность: Customer

LT-3: включение ведения журнала для сетевых операций Azure

Инструкции. Служба SignalR не предназначена для развертывания в виртуальных сетях, поэтому вы не можете включить журналы потоков групп безопасности сети, направлять трафик через брандмауэр или перехватывать пакеты.

Но Служба Azure SignalR регистрирует сетевой трафик, который она обрабатывает для клиентского доступа. Включите журналы ресурсов в развернутых ресурсах предложения и настройте их отправки в учетную запись хранения для долгосрочного хранения и аудита.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Инструкции. Создаваемые автоматически журналы действий содержат все операции записи (PUT, POST, DELETE) для ресурсов Службы Azure SignalR, за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибки при устранении неполадок, а также для наблюдения за тем, как пользователь организации изменяет ресурс.

Включите журналы ресурсов Azure для Службы Azure SignalR. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важны для дальнейшего изучения инцидентов безопасности и цифровой криминалистики.

Ответственность: Customer

LT-5: централизованные управление журналом безопасности и анализ

Инструкции. Централизуйте хранение и анализ журналов, чтобы можно было соотносить данные между собой. Для каждого источника журнала убедитесь, что назначен владелец данных, разработано руководство по доступу, есть место хранения, определено, какие средства используются для обработки данных и доступа к ним, и установлены требования к хранению данных.

Интегрируйте журналы действий Azure со своей централизованной системой ведения журналов. Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. В Azure Monitor используйте рабочие области Log Analytics для запроса и выполнения анализа и используйте учетные записи службы хранилища Azure для долгосрочного и архивного хранения.

Кроме того, включите и подключите данные к Microsoft Sentinel или сторонней системе управления информационной безопасностью и событиями безопасности (SIEM).

Многие организации предпочитают задействовать Microsoft Sentinel для "горячих", часто используемых данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Инструкции. Служба Azure SignalR не поддерживает настройку ваших собственных источников синхронизации времени. Служба {имя_предложения} использует источники синхронизации времени от Майкрософт и не предоставляет их клиентам для настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Инструкции. Служба Azure SignalR поддерживает использование указанных ниже политик отдельных служб в Microsoft Defender для облака для аудита и принудительного применения конфигураций ресурсов Azure. Их можно настроить в Microsoft Defender для облака или с использованием инициатив Политики Azure.

С помощью Azure Blueprints можно автоматизировать развертывание и конфигурацию служб и сред приложений, включая шаблоны Azure Resource Manager, управление доступом на основе ролей Azure и политики Azure, в едином определении схемы.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Инструкции. Используйте Microsoft Defender для облака, чтобы вести мониторинг конфигурационной базы, а также используйте Политику Azure [отказывать] и [развернуть, если не существует] для принудительного применения безопасной конфигурации для Службы Azure SignalR. Политика Службы Azure SignalR включает:

Дополнительные сведения можно найти по приведенным ссылкам.

Ответственность: Customer

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Инструкции. Используйте Microsoft Defender для облака и Политику Azure для настройки безопасных конфигураций в Службе Azure SignalR.

Ответственность: Customer

PV-8: регулярное моделирование атак

Инструкции: при необходимости выполните тестирование на проникновение в ресурсы Azure или привлеките для участия "красные команды" и обеспечьте исправление всех обнаруженных проблем с безопасностью. Следуйте правилам тестирования Microsoft Cloud на проникновение, чтобы убедиться, что тесты на проникновение не нарушают политики Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-4: снижение риска потери ключей

Инструкции. Убедитесь, что вы реализовали меры по предотвращению и восстановлению после потери ключей. Включите обратимое удаление и очистку защиты в Azure Key Vault, чтобы защитить ключи от случайного или вредоносного удаления.

Ответственность: Customer

Следующие шаги