Базовый план безопасности Azure для решения Azure VMware

Этот базовый план безопасности применяет рекомендации теста производительности системы Security Benchmark версии 2.0 к решению Azure VMware. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, которые определены в тесте производительности системы безопасности Azure и в соответствующей документации для решения Azure VMware.

Если функция имеет соответствующие Политика Azure определения, которые они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к решению Azure VMware, и те, для которых рекомендуется полное глобальное руководство, были исключены. Сведения о полном соответствии решения Azure VMware и Azure Security Benchmark см. в полном файле соответствия базового плана безопасности решения Azure VMware.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Руководство. При развертывании ресурсов решения Azure VMware необходимо создать виртуальную сеть или использовать существующую. Убедитесь, что все виртуальные сети Azure соответствуют принципу сегментации предприятия. Сегментация должна учитывать бизнес-риски. Изолируйте любую систему, с которой могут быть связаны повышенные риски для организации, в ее собственной виртуальной сети. Обеспечьте надлежащую защиту системы с помощью группы безопасности сети (NSG) или Брандмауэра Azure.

Используйте Microsoft Defender для Адаптивной защиты сети в облаке, чтобы рекомендовать конфигурации групп безопасности сети с ограничениями для портов и исходных IP-адресов, а также ссылкой на внешние правила сетевого трафика.

В зависимости от ваших приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами согласно правилам NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу «отказывать по умолчанию»

Для реализации определенных функций в решении Azure VMware потребуются следующие порты:

Источник Назначение Протокол Порт Описание
Сервер службы доменных имен (DNS) частного облака Локальный DNS-сервер UDP 53 Клиент DNS перенаправляет любые локальные DNS-запросы от vCenter частного облака (см. раздел о службе DNS ниже)
Локальный DNS-сервер DNS-сервер частного облака UDP 53 Клиент DNS перенаправляет запросы от локальных служб к DNS-серверам частного облака (см. раздел о службе DNS ниже)
Локальная сеть Сервер vCenter частного облака TCP (HTTP) 80 vCenter Server нужен порт 80 для прямых HTTP-соединений. Порт 80 перенаправляет запросы на порт 443 (HTTPS). Это перенаправление полезно, если вы используете http://server вместо https://server. WS-Management (также требует открытого порта 443); Если вы используете для vCenter Server пользовательскую базу данных Microsoft SQL, а не стандартную базу данных SQL Server 2008, то службам SQL Reporting нужен порт 80. При установке vCenter Server установщик предложит изменить HTTP-порт для vCenter Server. Укажите для HTTP-порта vCenter Server пользовательское значение, чтобы обеспечить успешную установку. Службы Microsoft IIS также используют порт 80. Дополнительные сведения см. в разделе о конфликте в отношении порта 80 между vCenter Server и IIS.
Сеть управления частным облаком Локальная служба Active Directory TCP 389 Этот порт должен быть открыт на локальном и всех удаленных экземплярах vCenter Server. Номер этого порта используется в LDAP для Служб каталогов группы vCenter Server. Система vCenter Server требует выполнить привязку к порту 389, даже если вы не присоединяете этот экземпляр vCenter Server к группе Linked Mode. Если на этом порту запущена другая служба, ее лучше удалить или перенести на другой порт. Службу LDAP можно запустить на любом порту в диапазоне от 1025 до 65535. Если этот экземпляр выполняет функцию Active Directory для Microsoft Windows, укажите вместо 389 любой доступный порт в диапазоне от 1025 до 65535. Этот порт является необязательным и используется только при настройке локальной службы AD в качестве источника удостоверений для vCenter частного облака.
Локальная сеть Сервер vCenter частного облака TCP (HTTPS) 443 Этот порт позволяет обращаться к vCenter из локальной сети. Порт по умолчанию, который система vCenter Server использует для прослушивания подключений от клиента vSphere. Чтобы система vCenter Server получала данные от клиента vSphere, откройте в брандмауэре порт 443. Система vCenter Server также использует порт 443 для отслеживания передачи данных от клиентов SDK. Этот порт используется для следующих служб: WS-Management (также требует открытого порта 80); доступ клиента vSphere к диспетчеру обновления vSphere; подключения сторонних клиентов управления сетью к vCenter Server; подключения сторонних клиентов управления сетью к узлам сети.
Веб-браузер Hybrid Cloud Manager TCP (HTTPS) 9443 Интерфейс управления виртуальными модулями Hybrid Cloud Manager для конфигурации системы Hybrid Cloud Manager.
Административная сеть Hybrid Cloud Manager SSH 22 Административный доступ через SSH к Hybrid Cloud Manager.
Hybrid Cloud Manager Облачный шлюз TCP (HTTPS) 8123 Отправка инструкций по службе репликации на основе узла в Hybrid Cloud Gateway.
Hybrid Cloud Manager Облачный шлюз HTTP TCP (HTTPS) 9443 Отправка инструкций по управлению в локальный шлюз Hybrid Cloud Gateway через интерфейс REST API.
Облачный шлюз L2C TCP (HTTPS) 443 Отправка инструкций по управлению из облачного шлюза в L2C, если L2C использует тот же путь, что и Hybrid Cloud Gateway.
Облачный шлюз Узлы ESXi TCP 80, 902 Управление и развертывание OVF.
Облачный шлюз (локальный) Облачный шлюз (удаленный) UDP 4500 Требуется для обмена ключами через Интернет по протоколу IPSEC (IKEv2) для инкапсуляции рабочих нагрузок для двунаправленного туннеля. Также поддерживается технология NAT-T (преобразование сетевых адресов с обходом).
Облачный шлюз (локальный) Облачный шлюз (удаленный) UDP 500 Требуется для обмена ключами через Интернет по протоколу IPSEC (ISAKMP) для двунаправленного туннеля.
Локальная сеть vCenter Сеть управления частным облаком TCP 8000 vMotion для виртуальных машин из локальной версии vCenter в vCenter частного облака

Ответственность: Customer

NS-2: совместное подключение частных сетей

Руководство. Воспользуйтесь Azure ExpressRoute или виртуальной частной сетью Azure (VPN) для создания частных подключений между центрами обработки данных Azure и локальной инфраструктурой среды для совместного размещения.

Подключения ExpressRoute не осуществляются через общедоступный Интернет, обеспечивая повышенную надежность и быстродействие, а также более низкую задержку по сравнению с обычными интернет-подключениями. Для VPN подключения типа "точка — сеть" и "сеть — сеть" можно подключить локальные устройства или сети к виртуальной сети, используя любое сочетание параметров VPN и Azure ExpressRoute.

Для одновременного подключения двух или более виртуальных сетей Azure используйте пиринг между виртуальными сетями. Трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.

Ответственность: Customer

NS-3: установка доступа к частной сети для служб Azure

Руководство. Ресурсы решения Azure VMware используют внедрение виртуальной сети. Они развертываются непосредственно в виртуальной сети. Служба не поддерживает использование Приватного канала для создания подключения к частной сети.

При развертывании ресурсов решения Azure VMware необходимо создать или использовать существующую виртуальную сеть. Убедитесь в том, что выбранная виртуальная сеть имеет группу безопасности сети, применяемую к ее подсетям и элементам управления доступом к сети, настроенным для доверенных портов и источников приложения. Если пользователь настраивает ресурсы с помощью виртуальной сети, они не являются общедоступными и доступны только из виртуальной сети.

В зависимости от своих задач вы можете развернуть Брандмауэр Azure, чтобы создавать, применять и отслеживать правила подключения приложения и сети в подписках и виртуальных сетях.

Ответственность: Customer

NS-4: защита приложений и служб от внешних сетевых атак

Инструкции. Защитите ресурсы решения Azure VMware от атак из внешних сетей. Атаки могут включать:

  • Распределенные атаки типа "отказ в обслуживании" (DDoS).

  • Атаки на конкретные приложения.

  • Нежелательный, потенциально вредоносный интернет-трафик.

Воспользуйтесь Брандмауэром Azure для защиты приложений и служб от потенциально вредоносного трафика, поступающего из Интернета и других внешних расположений. Защитите свои ресурсы от распределенных атак DDoS, включив в виртуальных сетях Azure стандартную защиту от атак DDoS. Используйте Microsoft Defender для облака для обнаружения рисков, связанных с неправильной настройкой сетевых ресурсов.

Используйте возможности Брандмауэра веб-приложения (WAF) в Шлюзе приложений Azure, в Azure Front Door и сети доставки содержимого Azure (CDN) для защиты приложений, работающих в решении Azure VMware, от атак на уровне приложения.

Ответственность: Customer

NS-6: упрощение правил безопасности сети

Инструкции. Используйте теги службы виртуальной сети Azure для определения элементов управления доступом к сети для групп безопасности сети или Брандмауэра Azure, настроенных для ресурсов решения Azure VMware. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Укажите имя тега соответствующей службы в исходном поле или поле назначения правила, чтобы разрешить или запретить трафик для службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Для службы решения Azure VMware не зарезервированы специальные теги службы. Однако вы по-прежнему можете использовать теги служб, чтобы упростить сетевые правила в сетях, в которых развертываются ресурсы решения Azure VMware.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Руководство. Следуйте рекомендациям по безопасности DNS для уменьшения риска таких распространенных атак, как:

  • висячие записи DNS;

  • атаки с усилением DNS;

  • подделка данных DNS;

  • спуфинг;

  • И многое другое.

Если в качестве полномочной службы DNS используется Azure DNS, убедитесь, что зоны и записи DNS защищены от случайного или вредоносного изменения через Azure RBAC и блокировки ресурсов.

Ответственность: Совмещаемая блокировка

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Руководство. По умолчанию в решении Azure VMware в качестве службы идентификации и управления доступом используется Azure Active Directory (Azure AD). Стандартизируйте Azure AD для управления идентификацией и доступом в организации применительно к следующим областям:

  • Ресурсы Microsoft Cloud. К ресурсам относятся:

    • Портал Azure

    • Служба хранилища Azure

    • Виртуальные машины Azure Linux и Windows

    • Azure Key Vault

    • Платформа как услуга (PaaS)

    • Приложения SaaS (программное обеспечение как услуга)

  • Ресурсы организации, такие как приложения в Azure или ресурсы корпоративной сети.

Защита Azure AD должна обладать высоким приоритетом по соображениям безопасности в облаке вашей организации. Azure AD предоставляет оценку безопасности удостоверений, чтобы помочь сравнить состояние безопасности удостоверений с рекомендациями Майкрософт. Используйте оценку, чтобы оценить, насколько близко ваша конфигурация соответствует рекомендациям, и улучшить безопасность соответствующим образом.

Примечание. Azure AD поддерживает внешние удостоверения. С их помощью, пользователи, не имеющие учетной записи Майкрософт, могут входить в свои приложения и ресурсы.

Решение Azure VMware предоставляет группу CloudAdmin, которую можно использовать для добавления службы в Azure Active Directory. Вам предоставляются учетные данные для пользователя cloudadmin в vCenter и административный доступ к NSX-T Manager.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Руководство. Решение Azure VMware не поддерживает назначение своим ресурсам удостоверений, управляемых Azure AD. Для повышения безопасности частные облака решения Azure VMware используют управление доступом на основе ролей vSphere.

В тех случаях, когда требуется настроить разрешения приложения для решения Azure VMware, можно использовать Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурса, чтобы настроить субъекты-службы с учетными данными сертификата и вернуться к секретам клиента. Сценарии или приложения, выполняемые в службе, могут использовать этот субъект-службу для выполнения действий в Azure. В обоих случаях можно использовать Azure Key Vault с удостоверениями, управляемыми Azure AD, чтобы среда выполнения (например, функция Azure) могла извлекать учетные данные из хранилища ключей.

Ответственность: Customer

IM-3. Использование единого входа (SSO) Azure AD для доступа к приложениям

Руководство. Что касается действий по управлению, решение Azure VMware использует Azure AD в качестве поставщика удостоверений для управления ресурсами Azure.

Что касается внутреннего доступа, для повышения безопасности частные облака решения Azure VMware используют управление доступом на основе ролей vSphere. Возможности vSphere SSO LDAP можно интегрировать с Azure AD. Если настроена интеграция, это решение обеспечивает единый вход (SSO) для управления данными и ресурсами организации, а также предоставляет безопасный доступ к ним в локальной среде и в облаке. Подключайте пользователей, приложения и устройства к Azure AD, чтобы обеспечить простой, безопасный доступ и более широкие возможности видимости и управления.

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Руководство. Решение Azure VMware позволяет клиентам выполнять развертывание ресурсов посредством инфраструктуры так же, как и развертывание кода, которое может содержать встроенные секреты. Реализуйте сканер учетных данных для определения учетных данных в любом шаблоне инфраструктуры для ресурсов решения Azure VMware. Сканер учетных данных также позволяет перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Для GitHub можно использовать функцию проверки собственных секретов, которая обнаруживает учетные данные или другие формы секретов в коде.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Руководство. Наиболее критически важными встроенными ролями в Azure AD являются "Глобальный администратор" и "Администратор привилегированных ролей". Пользователи с этими двумя ролями могут делегировать роли администратора.

  • Глобальный администратор и Администратор организации имеют права доступа ко всем функциям администрирования Azure AD, а также к службам, использующим удостоверения Azure AD.

  • Администратор привилегированных ролей может управлять назначениями ролей в Azure AD и в Azure AD Privileged Identity Management (PIM). Эта роль может управлять всеми аспектами PIM и административными подразделениями.

В Решении Azure VMware программа vCenter имеет встроенного локального пользователя с именем cloudadmin, которому назначается роль CloudAdmin. Локальный пользователь cloudadmin настраивает пользователей в AD. Как правило, роль CloudAdmin создает рабочие нагрузки в частном облаке и управляет ими. Но в Решении Azure VMware роль CloudAdmin имеет привилегии vCenter, которые отличаются от других облачных решений VMware.

Необходимо ограничить количество учетных записей и ролей с высоким уровнем привилегий и защитите эти учетные записи на более высоком уровне. Пользователи с высоким уровнем привилегий имеют прямые или непрямые разрешения для чтения и изменения всех ресурсов Azure.

Вы можете разрешить пользователям привилегированный JIT-доступ к ресурсам Azure и Azure AD с помощью Azure AD PIM. JIT-доступ предоставляет временные разрешения на выполнение привилегированных задач только в том случае, если это необходимо пользователям. PIM также может создавать оповещения безопасности при обнаружении подозрительных или небезопасных действий в организации Azure AD.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Руководство. Для управления ресурсами в решении Azure VMware используются учетные записи Azure AD. Регулярно просматривайте учетные записи пользователей и назначение доступа, чтобы убедиться, что учетные записи и их доступ являются действующими. Используя средства Azure AD и проверку доступа, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете создавать рабочие процессы получения отчета о проверке доступа в Azure AD Privileged Identity Management (PIM) для упрощения процесса проверки.

Можно настроить Azure AD PIM для отправки оповещений при обнаружении слишком большого числа учетных записей администраторов. Система PIM может определять устаревшие или неправильно настроенные учетные записи администратора.

Частные облака Решения Azure VMware подготавливаются с помощью vCenter Server и NSX-T Manager. vCenter используется для управления рабочими нагрузками виртуальных машин, а NSX-T Manager — для управления частным облаком и его расширения. Управление доступом и удостоверениями использует роль CloudAdmin для vCenter и ограниченные права администратора для NSX-T Manager.

Ответственность: Customer

PA-6: использование рабочих станций с привилегированным доступом

Руководство. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и операторы критически важных служб. Для выполнения административных задач используйте надежно защищенные рабочие станции пользователей и Бастион Azure.

Чтобы развернуть защищенную и управляемую рабочую станцию пользователей для административных задач, воспользуйтесь Azure AD, Microsoft Defender ATP или Microsoft Intune. Вы можете централизованно управлять защищенными рабочими станциями для принудительного применения конфигурации безопасности, которая включает:

  • Строгая проверка подлинности

  • Базовые показатели программного обеспечения и оборудования

  • Ограниченный логический и сетевой доступ

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Руководство. Решение Azure VMware интегрируется с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Вы можете выполнять инвентаризацию этих ролей или запрашивать их с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.

Привилегии, назначаемые ресурсам через Azure RBAC, должны ограничиваться необходимыми ролям возможностями. Эта практика дополняет JIT-подход, реализованный в Azure AD PIM. Регулярно проверяйте роли и назначения.

Используйте встроенные роли для предоставления привилегий. Создавать настраиваемые роли можно только при необходимости.

Частные облака Решения Azure VMware подготавливаются с помощью vCenter Server и NSX-T Manager. vCenter используется для управления рабочими нагрузками виртуальных машин, а NSX-T Manager — для управления частным облаком и его расширения. Управление доступом и удостоверениями использует роль CloudAdmin для vCenter и ограниченные права администратора для NSX-T Manager.

В Решении Azure VMware программа vCenter имеет встроенного локального пользователя с именем cloudadmin, которому назначается роль CloudAdmin. Локальный пользователь cloudadmin используется для настройки пользователей в Azure AD. Как правило, роль CloudAdmin создает рабочие нагрузки в частном облаке и управляет ими. Но в Решении Azure VMware роль CloudAdmin имеет привилегии vCenter, которые отличаются от других облачных решений VMware.

Решение Azure VMware также поддерживает использование пользовательских ролей с привилегиями, равными или меньшими, чем роль CloudAdmin. Роль CloudAdmin позволяет создавать, изменять и удалять пользовательские роли, уровень привилегий которых меньше или равен текущей роли. Можно создавать роли с привилегиями выше, чем разрешения CloudAdmin. Назначить роль пользователям или группам или удалить роль нельзя.

Ответственность: Customer

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Руководство. Решение Azure VMware не поддерживает защищенное хранилище. Корпорация Майкрософт может работать с клиентами через методы, не связанные с хранилищем, для разрешения доступа к данным клиентов.

Ответственность: Microsoft

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-2. Защита конфиденциальных данных

Руководство. Обеспечьте защиту конфиденциальных данных путем ограничения доступа с помощью Azure RBAC, элементов управления доступом на основе сети и элементов управления в службах Azure. Например, используйте шифрование в SQL и других базах данных.

В целях согласованности все типы доступа должны соответствовать вашей корпоративной стратегии сегментации. Корпоративная стратегия сегментации должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем.

Корпорация Майкрософт рассматривает все содержимое клиентов на управляемой ею базовой платформе как конфиденциальное. Она предоставляет защиту от потери и раскрытия клиентских данных. Корпорация Майкрософт по умолчанию использует элементы управления и инструменты защиты данных, чтобы обеспечить защиту данных клиентов Azure.

Ответственность: Совмещаемая блокировка

DP-4: шифрование конфиденциальной информации во время передачи

Руководство. В дополнение к элементам управления доступом данные в процессе передачи должны быть защищены от атак по внештатному каналу (например, перехвата трафика). Используйте шифрование, чтобы защитить данные от считывания или изменения злоумышленниками. Решение Azure VMware поддерживает шифрование данных при передаче с использованием протокола TLS версии 1.2 или более поздней.

Хотя это не является обязательным для трафика в частных сетях, это чрезвычайно важно для трафика во внешних и общедоступных сетях. Для HTTP-трафика необходимо убедиться, что все клиенты, подключающиеся к вашим ресурсам Azure, могут использовать TLS версии 1.2 или более поздней.

Для удаленного управления используйте TLS вместо незашифрованного протокола. Устаревшие версии SSL и TLS или слабые шифры необходимо отключить.

По умолчанию Azure шифрует данные при передаче между центрами обработки данных Azure.

Ответственность: Совмещаемая блокировка

DP-5. Шифрование конфиденциальных неактивных данных

Руководство. В дополнение к средствам управления доступом решение Azure VMware шифрует неактивные данные, чтобы защитить их от «внешних» атак (например, доступ к базовому хранилищу) с помощью шифрования. Шифрование позволяет защитить данные от считывания или изменения злоумышленниками.

По умолчанию Azure обеспечивает шифрование неактивных данных. Для строго конфиденциальных данных можно реализовать дополнительное шифрование при хранении во всех ресурсах Azure, где это возможно. Azure управляет ключами шифрования по умолчанию для решения Azure VMware. Он не предоставляет возможность управлять собственными ключами, управляемыми клиентом.

Хранилища данных vSAN по умолчанию используют шифрование неактивных данных с использованием ключей, хранящихся в Azure Key Vault. Решение для шифрования основано на KMS и поддерживает операции vCenter для управления ключами. При удалении узла из кластера данные на SSD немедленно становятся недействительными.

Ответственность: Customer

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-1. Предоставление группе безопасности возможности просматривать угрозы безопасности для ресурсов

Руководство. Убедитесь, что группам безопасности предоставлены разрешения читателя сведений о безопасности в арендаторе и подписках Azure, чтобы они могли отслеживать угрозы безопасности с помощью Microsoft Defender для облака.

В зависимости от структуры обязанностей за отслеживание угроз безопасности может отвечать централизованная или локальная команда безопасности. Аналитические сведения о безопасности и риски должны всегда централизованно собираться в организации.

Вы можете широко применять разрешения «Читатель сведений о безопасности» для всей корневой группы управления арендатора или распространить действие разрешений для конкретных групп управления или подписок.

Ответственность: Customer

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Руководство. Убедитесь, в том что группы безопасности обладают доступом к постоянно обновляемой инвентаризации ресурсов в Azure, например в решении Azure VMware. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков, а также для использования их в качестве входных данных для непрерывного улучшения безопасности. Создайте группу Azure AD, которая будет охватывать уполномоченных специалистов отдела безопасности организации. Назначьте им доступ для чтения ко всем ресурсам решения Azure VMware. Этот процесс можно упростить, используя одно высокоуровневое назначение ролей в рамках подписки.

К ресурсам Azure, группам ресурсов и подпискам можно применять теги, чтобы логически классифицировать их на основе метаданных. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Используйте инвентаризацию виртуальных машин Azure для автоматизации сбора сведений о программном обеспечении на виртуальных машинах. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и перенесите журналы событий Windows в рабочую область Log Analytics.

Используйте адаптивные элементы управления приложениями Microsoft Defender для облака, чтобы указать, к каким типам файлов может применяться правило.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство: используйте Политику Azure для аудита и ограничения круга служб, которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для отправления запросов о ресурсах и их обнаружения в своих подписках. Вы также можете использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.

Ответственность: Customer

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Руководство. Использование инвентаризации виртуальных машин Azure для автоматизации сбора сведений обо всем программном обеспечении на виртуальных машинах, которое относится к решению VMware для Azure. Имя программного обеспечения, версия, издатель и время обновления доступны на портале Azure. Чтобы получить доступ к дате установки и другим сведениям, включите диагностику на уровне гостя и перенесите журналы событий Windows в рабочую область Log Analytics.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Руководство. Обеспечьте переадресацию всех журналов из решения Azure VMware, которые можно использовать для настройки пользовательских инструментов обнаружения угроз для SIEM. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Чтобы сократить число ложноположительных результатов, получаемых аналитиками, сосредоточьтесь на получении высококачественных оповещений. Вы можете получать оповещения на основе данных журналов и других данных, а также оповещения от агентов.

Ответственность: Customer

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Руководство. Azure AD предоставляет следующие журналы пользователей. Вы можете просматривать журналы в отчетах Azure AD. Журналы можно интегрировать с Azure Monitor, Microsoft Sentinel и другими средствами SIEM и мониторинга для более тщательных вариантов использования мониторинга и аналитики.

  • События входа: информация о потреблении управляемых приложений и действиях входа пользователей.

  • Журналы аудита: трассировка всех изменений, внесенных различными компонентами Azure AD, с помощью журналов. Журналы аудита включают изменения, внесенные в любой ресурс в Azure AD. К изменениям относятся добавление и удаление пользователей, приложений, групп, ролей и политик.

  • Рискованные события входа: индикатор попыток входа, предпринятых пользователем, который не является законным владельцем учетной записи.

  • Пользователь, находящийся в группе риска: показатель того, что безопасность учетной записи пользователя, возможно, была нарушена.

Microsoft Defender для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности. Устаревшие учетные записи в подписке также могут создавать предупреждения.

Microsoft Defender для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности, или об устаревших учетных записях.

Помимо базового мониторинга санации для обеспечения безопасности, модуль защиты от угроз Microsoft Defender для облака можно также использовать для сбора более подробных оповещений системы безопасности из:

  • Отдельные вычислительные ресурсы Azure (например, виртуальные машины, контейнеры и служба приложений).

  • Такие ресурсы данных, как База данных SQL Azure и служба хранилища Azure.

  • Уровни служб Azure.

Эта возможность обеспечивает видимость аномалий учетной записи внутри отдельных ресурсов.

Ответственность: Customer

LT-3: включение ведения журнала для сетевых операций Azure

Рекомендации. Активация и получение журналов ресурсов NSG, журналов потоков NSG, журналов Брандмауэра Azure и брандмауэра веб-приложения (WAF). Используйте журналы для анализа безопасности, расследований инцидентов, поиска угроз и создания оповещений системы безопасности. Журналы потоков можно отправить в рабочую область Azure Monitor Log Analytics, а затем использовать Аналитику трафика для получения ценных сведений.

Обязательно организуйте сбор журналов запросов DNS для корреляции других сетевых данных. Реализуйте стороннее решение из Azure Marketplace для ведения журнала DNS-сервера в соответствии с потребностями вашей организации.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Руководство. Журналы действий доступны автоматически. Журналы содержат все операции PUT, POST и DELETE (но не операции GET) для решения Azure VMware, за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи в вашей организации изменяет ресурсы.

Включите журналы ресурсов Azure для решения Azure VMware. Вы можете использовать Microsoft Defender for Cloud и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов. Эти журналы могут быть критически важными для изучения инцидентов безопасности и выполнения экспертных задач.

Решение Azure VMware также создает журналы аудита безопасности для локальных учетных записей администратора. Включите эти журналы аудита локального администратора.

Ответственность: Customer

LT-5: централизованные управление журналом безопасности и анализ

Руководство. Централизуйте хранение и анализ журналов, чтобы можно было соотносить данные между собой. Убедитесь в том, что для каждого источника журнала есть:

  • назначенный владелец данных;

  • рекомендации по доступу;

  • Расположение хранения

  • средства, используемые для обработки данных и доступа к ним;

  • требования к хранению данных.

Обязательно интегрируйте журналы действий Azure в централизованную систему ведения журналов.

Принимайте журналы, используя Azure Monitor для объединения данных безопасности, создаваемых устройствами конечных точек, сетевыми ресурсами и другими системами безопасности. Для запросов и выполнения аналитики в Azure Monitor используйте рабочие области Log Analytics.

Используйте учетные записи службы хранилища Microsoft Azure для долгосрочного и архивного хранения.

Для приложений, которые можно запускать в решении Azure VMware, необходимо переадресовать все журналы, относящиеся к безопасности, в SIEM для централизованного управления.

Многие организации предпочитают задействовать Microsoft Sentinel для "горячих", часто используемых данных, а службу хранилища Azure — для "холодных" данных, которые используются реже.

Ответственность: Customer

LT-6: Настройка хранения журналов

Руководство. Убедитесь в том, что для всех учетных записей хранения и рабочих областей Log Analytics, используемых для хранения журналов решения VMware Azure, задан срок хранения журналов. Если вы еще не сделали этого, настройте сроки хранения журналов в соответствии с нормативными требованиями вашей организации.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Руководство. Корпорация Майкрософт поддерживает источники времени для большинства служб PaaS и SaaS на платформе Azure. На виртуальных машинах можно использовать сервер NTP по умолчанию (Microsoft) для синхронизации времени, если не указаны конкретные требования. Если необходимо установить собственный NTP-сервер, обеспечьте безопасность порта службы UDP 123. Все журналы, созданные ресурсами в Azure, содержат отметки времени с часового пояса, указанным по умолчанию.

Ответственность: Customer

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Рекомендации. Используйте Azure Blueprints для автоматизации развертывания и настройки служб и сред приложений. Одно определение схемы может включать шаблоны Azure Resource Manager, элементы управления RBAC и политики.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Рекомендации. Используйте Microsoft Defender для облака, чтобы вести мониторинг конфигурационной базы. Используйте политику Azure [Deny] и [DeployIfNotExist], чтобы обеспечить безопасную конфигурацию для вычислительных ресурсов Azure, включая виртуальные машины и контейнеры.

Ответственность: Customer

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Инструкции. Использование Microsoft Defender для облака и Политику Azure для установления безопасных конфигураций всех вычислительных ресурсов, включая виртуальные машины, контейнеры и т. д.

Можно использовать пользовательские образы операционной системы или функцию State Configuration службы автоматизации Azure, чтобы создать конфигурацию безопасности операционной системы, требуемой для организации.

Ответственность: Customer

PV-4: сохранение безопасных конфигураций для вычислительных ресурсов

Руководство. С помощью Microsoft Defender для облака и Политики Azure регулярно выполняйте оценку и устранение рисков конфигурации для вычислительных ресурсов Azure, в том числе виртуальных машин и контейнеров. Кроме того, можно использовать шаблоны Azure Resource Manager (ARM), пользовательские образы операционной системы или настройку состояния службы автоматизации Azure для поддержания конфигурации безопасности операционной системы, необходимой для вашей организации.

Шаблоны виртуальных машин Майкрософт в сочетании со средством State Configuration службы автоматизации Azure могут помочь в соблюдении и поддержании требований безопасности.

Корпорация Майкрософт контролирует и поддерживает образы виртуальных машин, которые публикуются в Azure Marketplace.

Microsoft Defender для облака проверяет уязвимости в образах контейнеров и постоянно отслеживает соответствие конфигурации контейнеров Docker стандартам CIS Docker. На странице рекомендаций Microsoft Defender для облака вы можете просмотреть рекомендации и устранить проблемы.

Ответственность: Совмещаемая блокировка

PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров

Руководство. Решение Azure VMware позволяет клиентам управлять образами контейнеров. Используйте Azure RBAC, чтобы предоставить доступ к пользовательским образам только полномочным пользователям. Используя Общую коллекцию образов Azure, вы можете делиться своими образами с другими пользователями, субъектами-службами или группами Azure AD в вашей организации. Храните образы контейнеров в Реестре контейнеров Azure и используйте RBAC, чтобы доступ был только у полномочных пользователей.

Ответственность: Customer

PV-6: выполнение оценок уязвимостей программного обеспечения

Руководство. Решение Azure VMware частично состоит из виртуальных машин клиента. Следуйте рекомендациям Microsoft Defender для облака, чтобы выполнять оценку уязвимостей на виртуальных машинах Azure. Чтобы удостовериться, что уязвимости устранены, в случае необходимости экспортируйте результаты проверки через определенные интервалы времени и сравнивайте эти результаты с результатами предыдущих проверок. При использовании рекомендаций по управлению уязвимостями, предлагаемых Microsoft Defender для облака, можно выполнить сведение на портал выбранного решения для просмотра данных сканирования за прошедший период.

В решении Azure VMware можно применять стороннее решение, чтобы проводить оценки уязвимостей сетевых устройств и веб-приложений. При удаленной проверке не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки. Учетные данные для учетной записи проверки должны защищаться, отслеживаться и использоваться только для поиска уязвимостей.

Чтобы удостовериться, что уязвимости устранены, в случае необходимости экспортируйте результаты проверки через определенные интервалы времени и сравнивайте эти результаты с результатами предыдущих проверок.

Ответственность: Customer

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Руководство. Решение Azure VMware позволяет развертывать службы для виртуальных машин клиентов. Быстро разверните обновления программного обеспечения для устранения уязвимостей программного обеспечения в операционных системах и приложениях.

Определите приоритеты, используя общую программу оценки рисков (например, Common Vulnerability Scoring System) или оценки рисков по умолчанию, предоставляемые сторонним средством сканирования. Адаптируйте их к своей среде, исходя из того, какие приложения представляют высокий риск для безопасности, а от каких требуется длительное время доступности.

Используйте Управление обновлениями службы автоматизации Azure или стороннее решение, чтобы убедиться, что на виртуальных машинах Windows и Linux установлены последние обновления системы безопасности. Для виртуальных машин Windows включите клиентский компонент Центра обновления Windows и настройте автоматическое обновление.

Ответственность: Customer

PV-8: регулярное моделирование атак

Руководство. При необходимости выполните тест на проникновение или попытки нарушения безопасности "красной командой" ресурсов Azure и убедитесь, что исправлены всех критические точки безопасности.

Следуйте правилам взаимодействия выполнения тестов на проникновение в Microsoft Cloud, чтобы тесты на проникновение не нарушали политику Майкрософт. Используйте стратегию Red Teaming и процедуру выполнения Майкрософт. Выполняйте тестирование на проникновение в реальном времени, используя облачную инфраструктуру, службы и приложения, управляемые корпорацией Майкрософт.

Ответственность: Совмещаемая блокировка

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)

Руководство. Включите возможности обнаружения и нейтрализации атак на конечные точки (EDR) для серверов и клиентов. Выполните интеграцию с процессами SIEM и операциями безопасности.

Расширенная защита от угроз в Microsoft Defender предоставляет возможности обнаружения и нейтрализации атак на конечные точки (EDR) в рамках корпоративной платформы безопасности конечных точек для предотвращения, обнаружения и изучения дополнительных угроз, а также реагирования на них.

Ответственность: Customer

ES-2: защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Руководство. Защита службы «Машинное обучение Azure» и ее ресурсов с помощью современного программного обеспечения, управляемого централизованно. Используйте решение для защиты от вредоносных программ на конечной точке с централизованным управлением, которое поддерживает периодическое сканирование и сканирование в режиме реального времени.

  • Microsoft Antimalware для Облачных служб Azure — решение для защиты от вредоносных программ, используемое по умолчанию для виртуальных машин Windows.

  • Для виртуальных машин Linux используйте стороннее решение для защиты от вредоносных программ.

  • Чтобы обнаруживать вредоносные программы, отправляемые в учетные записи службы хранилища Azure, используйте функцию обнаружения угроз для служб данных, доступную в Microsoft Defender для облака.

  • Microsoft Defender для облака можно использовать, чтобы автоматически выполнять следующие действия:

    • Выявление популярных антивредоносных программ для виртуальных машин.

    • Сообщение о текущем состоянии защиты конечных точек.

    • Предоставление рекомендаций

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Руководство. Обеспечьте быстрое и согласованное обновление сигнатур для защиты от вредоносных программ.

Чтобы гарантировать, что на всех виртуальных машинах и во всех контейнерах применены актуальные сигнатуры, следуйте рекомендациям в Microsoft Defender для облака: "Вычислительные ресурсы и приложения".

В Windows Microsoft Antimalware будет по умолчанию автоматически устанавливать новые сигнатуры и обновления подсистемы. При работе в среде Linux используйте стороннее решение для защиты от вредоносных программ.

Дополнительные сведения см. в следующих ресурсах.

Ответственность: Customer

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

Руководство. Убедитесь в резервном копировании систем и данных для обеспечения непрерывности бизнес-процессов после непредвиденного события. Руководство по использованию параметров целевого времени восстановления (RTO) и целевой точки восстановления (RPO).

Включите Azure Backup. Настройте источники резервных копий, например виртуальные машины Azure, SQL Server, базы данных HANA или общие папки. Настройте желаемую частоту и диапазон хранения.

При более высоком уровне избыточности можно включить геоизбыточное хранилище, чтобы реплицировать данные резервных копий в дополнительный регион и восстанавливать их с помощью межрегионального восстановления.

Ответственность: Совмещаемая блокировка

BR-2: шифрование данных резервного копирования

Руководство. Обеспечьте защиту резервных копий от атак. Такая защита предполагает шифрование резервных копий для защиты от нарушения конфиденциальности.

При резервном копировании локальных данных с помощью Azure Backup шифрование неактивных данных выполняется с использованием парольной фразы, которую вы указываете. При регулярном резервном копировании службы Azure данные резервных копий автоматически шифруются с помощью ключей, управляемых платформой Azure. Вы можете выбрать шифрование резервной копии с помощью ключа, управляемого клиентом. В этом случае убедитесь, что этот управляемый клиентом ключ в хранилище ключей входит также в область резервного копирования.

Используйте управление доступом на основе ролей в Azure Backup, Azure Key Vault и других ресурсах, чтобы защитить резервные копии и ключи, управляемые клиентом. Кроме того, можно включить дополнительные функции безопасности, чтобы требовать прохождения MFA перед изменением или удалением резервных копий.

Ответственность: Совмещаемая блокировка

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Руководство. Регулярно выполняйте восстановление данных для резервной копии, относящейся к решению Azure VMware.

Ответственность: Customer

BR-4: снижение риска потери ключей

Инструкции. Убедитесь, что вы реализовали меры по предотвращению и восстановлению после потери ключей. Включите обратимое удаление и очистку защиты в Azure Key Vault, чтобы защитить ключи от случайного или вредоносного удаления.

Ответственность: Customer

Следующие шаги