Элемент управления безопасностью: безопасная конфигурация
Примечание
Актуальная оценка системы безопасности Azure доступна здесь.
Установите, внедрите и активно администрируйте (отслеживайте, создавайте отчеты, исправляйте) конфигурацию безопасности ресурсов Azure, чтобы предотвратить взлом злоумышленниками уязвимых служб и параметров.
7.1. Установка безопасных конфигураций для всех ресурсов Azure
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.1 | 5.1 | Customer |
Используйте псевдонимы Политики Azure для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации ресурсов Azure. Вы также можете использовать встроенные определения Политики Azure.
Кроме того, с помощью Azure Resource Manager можно экспортировать шаблон в нотацию объектов JavaScript (JSON). При этом следует убедиться, что конфигурации соответствуют корпоративным требованиям безопасности или превосходят их.
Также можно использовать рекомендации Центра безопасности Azure в качестве безопасной конфигурационной базы для ресурсов Azure.
Руководство по Создание политик и управление ими для обеспечения соответствия требованиям
Экспорт одного и нескольких ресурсов в шаблон на портале Azure
7.2. Сохранение безопасных конфигураций для операционных систем
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.2 | 5.1 | Customer |
Используйте рекомендации Центра безопасности Azure, чтобы поддерживать конфигурации безопасности для всех вычислительных ресурсов. Кроме того, можно использовать пользовательские образы ОС или службу State Configuration службы автоматизации Azure, чтобы создать конфигурацию безопасности операционной системы, необходимой для организации.
Отправка универсального диска VHD и создание виртуальных машин с его помощью в Azure
Создание виртуальной машины Linux на основе пользовательского диска с помощью Azure CLI
7.3. Сохранение безопасных конфигураций для ресурсов Azure
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.3 | 5,2 | Customer |
Используйте Политику Azure [отказывать] и [развернуть, если не существует], чтобы обеспечить безопасность параметров в ресурсах Azure. Также можно использовать шаблоны Azure Resource Manager для поддержания конфигурации безопасности ресурсов Azure, необходимых вашей организации.
7.4. Сохранение безопасных конфигураций для операционных систем
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.4 | 5,2 | Совмещаемая блокировка |
Следуйте рекомендациям Центра безопасности Azure по выполнению оценки уязвимостей в вычислительных ресурсах Azure. Кроме того, вы можете использовать шаблоны Azure Resource Manager, пользовательские образы ОС или службу State Configuration службы автоматизации Azure для поддержания конфигурации безопасности операционной системы, необходимой для вашей организации. Шаблоны виртуальных машин Майкрософт в сочетании со средством Desired State Configuration службы автоматизации Azure могут помочь в соблюдении и поддержании требований безопасности.
Обратите внимание: образы виртуальных машин в Azure Marketplace, опубликованные корпорацией Майкрософт, управляются и обслуживаются корпорацией Майкрософт.
Применение рекомендаций Центра безопасности Azure по оценке уязвимостей
Создание виртуальной машины Azure на основе шаблона Azure Resource Manager
Пример сценария для отправки VHD в Azure и создания виртуальной машины
7.5. Безопасное хранение конфигурации ресурсов Azure
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7,5 % | 5,3 | Customer |
Используйте Azure DevOps для безопасного хранения кода (например, настраиваемых политик Azure, шаблонов Azure Resource Manager и скриптов Desired State Configuration) и управления им. Чтобы настроить доступ к ресурсам, которыми вы управляете в Azure DevOps, можно предоставить или запретить разрешения для определенных пользователей, встроенных групп безопасности или групп, определенных в Azure Active Directory (AAD) (в случае интеграции с Azure DevOps) или в Active Directory (в случае интеграции с Team Foundation Server).
7.6. Безопасное хранение пользовательских образов операционной системы
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.6 | 5,3 | Customer |
Если вы работаете с настраиваемыми образами, используйте управление доступом на основе ролей Azure (Azure RBAC), чтобы доступ к образам был только у полномочных пользователей. Используя коллекцию общих образов, вы можете делиться своими образами с другими пользователями, участниками службы или группами конструктора приложений в вашей организации. Образы контейнеров следует хранить в Реестре контейнеров Azure. Используйте Azure RBAC, чтобы доступ к образам могли получить только полномочные пользователи.
7.7. Развертывание средств управления конфигурацией для ресурсов Azure
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.7 | 5.4 | Customer |
Используйте Политику Azure, чтобы определить и внедрить стандартные конфигурации безопасности для ресурсов Azure. Используйте псевдонимы Политики Azure для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации сети для ресурсов Azure. Вы также можете использовать встроенные определения политик, связанные с конкретными ресурсами. Кроме того, для развертывания изменений конфигурации можно использовать службу автоматизации Azure.
7.8. Развертывание средств управления конфигурацией для операционных систем
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.8 | 5.4 | Customer |
Служба State Configuration службы автоматизации Azure предназначена для управления конфигурациями для узлов Desired State Configuration. Ее можно использовать в любом облачном или локальном центре обработки данных. Вы можете легко переносить компьютеры в облачную среду, присваивать им декларативные конфигурации, а также просматривать отчеты, отражающие соответствие каждого компьютера требуемому состоянию.
7.9. Реализация автоматизированного мониторинга конфигурации для ресурсов Azure
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.9 | 5.5 | Customer |
Используйте Центр безопасности Azure для сканирования базовых показателей для ресурсов Azure. Дополнительно используйте Политику Azure для создания оповещений и аудита конфигураций ресурсов Azure.
7.10. Реализация автоматизированного мониторинга конфигурации для операционных систем
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.10 | 5.5 | Customer |
Используйте Центр безопасности Azure, чтобы сканировать базовые показатели параметров ОС и Docker для контейнеров.
7.11. Безопасное управление секретами Azure
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.11 | Версия 13.1 | Customer |
Используйте управляемые удостоверения для ресурсов Azure в сочетании с Azure Key Vault, чтобы упростить и защитить управление секретами для облачных приложений.
7.12. Безопасное и автоматическое управление удостоверениями
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.12 | 4.1 | Customer |
Используйте управляемые удостоверения, чтобы предоставить службам Azure автоматически управляемые удостоверения в AAD. Управляемое удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает проверку подлинности Azure AD, включая Key Vault, при этом не сохраняя каких-либо учетных данных в коде.
7.13. Устранение непреднамеренного раскрытия учетных данных
| Идентификатор Azure | Идентификаторы CIS | Обязательство |
|---|---|---|
| 7.13 | 18.1, 18.7 | Customer |
Реализуйте сканер учетных данных для обнаружения учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.
Дальнейшие действия
- См. следующую статью об управлении безопасностью: Защита от вредоносных программ.