Система управления, риски и соответствие требованиям

Организации любых размеров ограничены доступными ресурсами: финансовыми, человеческими и временными. Чтобы обеспечить надежную рентабельность инвестиций, организациям необходимо назначить приоритетные направления для вложений. Это также ограничивает реализацию системы безопасности в организации. Поэтому для достижения необходимой рентабельности инвестиций в систему безопасности организация должна сначала понять и определить приоритеты безопасности.

Система управления: как будет осуществляться мониторинг, аудит и уведомление о системе безопасности организации? Проектирование и реализация элементов управления безопасностью в организации — только начало истории. Как организация узнает, что все это на самом деле работает? Улучшаются ли они? Появились ли новые требования? Используются ли обязательные отчеты? Как и в случае соответствия требованиям, могут действовать внешние отраслевые, государственные или нормативные стандарты, которые необходимо учитывать.

Риск: с рисками каких типов сталкивается организация при попытке защитить персональные данные, интеллектуальную собственность или финансовую информацию? Кто может быть заинтересован в этой информации или может использовать ее в случае кражи, включая внешние и внутренние, а также непреднамеренные или вредоносные угрозы? Часто забывают об очень важных аспектах управления рисками — аварийном восстановлении и непрерывности бизнес-процессов.

Соответствие требованиям: существуют ли конкретные отраслевые, государственные или нормативные требования, которые предписывают или рекомендуют критерии, которым должны удовлетворять элементы управления безопасностью вашей организации? Примерами таких стандартов, организаций, элементов управления и законодательных норм являются ISO27001, NIST и PCI-DSS.

Объединенная роль организаций заключается в управлении стандартами безопасности организации на протяжении всего их жизненного цикла:

  • Определение. Установите стандарты и политики организации для методик, технологий и конфигураций, основываясь на внутренних факторах (установившаяся практика организации, характер рисков, оценка активов, бизнес-инициативы и т. д.) и внешних факторах (тесты производительности, нормативные стандарты, среда угроз и многое другое).

  • Улучшение. Постоянно корректируйте эти стандарты, постепенно приближая их к идеальному состоянию, чтобы обеспечить непрерывное снижение рисков.

  • Поддержание. Убедитесь, что состояние безопасности не ухудшается с естественным ходом времени. Для этого аудит и отслеживание соответствия требованиям следует определить в стандартах организации.

Определение приоритета инвестиций в лучшие методики по обеспечению безопасности

Лучшие методики по обеспечению безопасности в идеале применяются упреждающе и в полной мере ко всем системам при создании облачной программы, но это далеко от реальности для большинства корпоративных организаций. Бизнес-цели, ограничения проекта и другие факторы часто вынуждают организации уравновешивать риск безопасности относительно других рисков и применять только часть лучших методик в любой заданный момент.

Рекомендуется как можно раньше применить максимально возможное число лучших методик, а затем работать над тем, чтобы со временем, по мере развития программы безопасности, устранить все недостатки. При определении приоритетности реализации этих методик рекомендуется учесть приведенные ниже аспекты:

  • Системы, значительно влияющие на бизнес, и сильно уязвимые системы. К ним относятся системы, непосредственно определяющие внутреннюю стоимость, а также системы, предоставляющие злоумышленникам доступ к ним. Дополнительные сведения см. в разделе Приложения и службы.

  • Проще всего реализуемые методики исправления. Определите немедленную выгоду, отдавая предпочтение лучшим методикам, которые ваша организация может быстро применить, так как у вас уже есть необходимые навыки, инструменты и знания (например, реализация брандмауэра веб-приложения (WAF) для защиты устаревшего приложения).
    Будьте внимательны и не используйте чрезмерно этот метод краткосрочного назначения приоритета. Это может повысить риск, не давая развивать вашу программу и надолго оставляя критические риски без исправлений.

Корпорация Майкрософт предоставила несколько списков инициатив по обеспечению безопасности с указанием приоритетности, чтобы помочь организациям начать с этих решений, основанных на нашем опыте в разработке инициатив по устранению угроз и рисков в наших средах и средах наших клиентов. Ознакомьтесь с модулем 4aсеминара для руководителей по информационной безопасности Майкрософт.

Управление подключенными клиентами

Убедитесь, что ваша организация безопасности осведомлена о всех регистрациях и связанных подписках, подключенных к вашей среде (с помощью ExpressRoute или VPN-подключения типа "сеть — сеть") и средствам мониторинга в рамках всего предприятия.

Эти ресурсы Azure являются частью вашей корпоративной среды, и организациям безопасности требуется их отслеживать. Этот доступ нужен организациям безопасности, чтобы оценивать риски и определять, выполняются ли политики организации и соответствующие нормативные требования.

Убедитесь, что все среды Azure, подключающиеся к вашей рабочей среде или сети, применяют политику организации и элементы системы управления ИТ для обеспечения безопасности. Имеющиеся подключенные арендаторы можно обнаружить с помощью инструмента, предоставляемого корпорацией Майкрософт. Руководство по разрешениям, которые можно назначить для обеспечения безопасности, приведено в разделе Назначение привилегий для управления средой.

Четкие границы ответственности

Назначение сторон, ответственных за определенные функции в Azure

Четкое документирование и предоставление контактов, ответственных за каждую из приведенных функций, обеспечит согласованность и упростит общение. Согласно нашему опыту работы над множеством проектов по внедрению облака, это позволит избежать путаницы, которая могла бы привести к ошибкам пользователя и ошибкам автоматизации, создающим угрозу безопасности.

Назначьте группы (или отдельные роли), которые будут отвечать за следующие ключевые функции.

Группа или отдельная роль Ответственность
Безопасность сети Обычно это имеющаяся команда по безопасности сети. Настройка и обслуживание Брандмауэра Azure, сетевых виртуальных устройств (и связанных маршрутов), WAF, групп безопасности сети, групп безопасности приложений и т. д.
Управления сетями Обычно это существующая команда по эксплуатации сети. Выделение виртуальных сетей и подсетей на уровне предприятия.
Безопасность конечных точек сервера Обычно это команда по ИТ-операциям, команда по обеспечению безопасности или обе эти команды. Мониторинг и исправление нарушений безопасности сервера (установка исправлений, настройка, защита конечных точек и т. д.).
Мониторинг инцидентов и реагирование на них Обычно это оперативная команда по обеспечению безопасности. Изучение и устранение инцидентов безопасности в системе управления информационной безопасностью и событиями безопасности (SIEM) или в консоли источника.
Управление политиками Обычно это команда по управлению, регулированию и соответствию требованиям (GRC), а также команда по разработке архитектуры. Настройка направления использования управления доступом на основе ролей (RBAC), Microsoft Defender для облака, стратегии защиты администраторов и политики Azure для управления ресурсами Azure.
Безопасность и стандарты идентификации Обычно это команда по обеспечению безопасности и команда по системе идентификации. Выбор направления применения каталогов Azure AD, данных об использовании PIM и PAM, MFA, конфигурации паролей и синхронизации, стандартов удостоверений приложений.

Стратегия сегментации предприятия

Определите группы ресурсов, которые могут быть изолированы от других частей предприятия для локализации (и обнаружения) перемещения злоумышленника в предприятии. Эта единая стратегия сегментации предприятия поможет всем техническим командам согласованно сегментировать доступ с помощью сетей, приложений, удостоверений и других элементов управления доступом.

Четкая и простая стратегия сегментации помогает локализовать риск, одновременно обеспечивая эффективную работу и выполнение бизнес-операции.

Стратегия сегментации предприятия определяется на более высоком уровне, чем традиционная стратегия безопасности "Сегментация сети" . Традиционные подходы к сегментации в локальных средах часто не позволяют достичь поставленных для них целей, так как они разрабатываются "снизу вверх" различными техническими командами и не очень хорошо согласовываются с коммерческими вариантами использования и рабочими нагрузками приложений. Это приводит к чрезмерной сложности, порождающей проблемы с поддержкой, и часто ставит под угрозу первоначальную цель ввиду большого числа исключений для брандмауэра сети.

Создание единой стратегии сегментации предприятия позволяет руководить всеми техническими специалистами (ИТ-специалистами, специалистами по безопасности, разработчикам приложений и т. д.). Подразделения, созданные с учетом коммерческих рисков и потребностей, будут лучше соблюдать, понимать и поддерживать задачи системы локализации угроз. Это понимание и соблюдение стратегии также уменьшает риск пользовательских ошибок и ошибок автоматизации, которые могут породить уязвимости в системе безопасности, простой операций или и то, и другое.

Хотя микросегментация сети также предлагает снижение риска (дополнительные сведения см. в разделе Безопасность и автономность сети), это не устраняет необходимость в согласовании действий технических команд. Микросегментация должна рассматриваться после планирования и обеспечения согласованной работы технических команд, чтобы избежать повторения порождаемых внутренних конфликтов и путаницы со стратегиями сегментации создаваемых локальных сетей.

Ниже приведены рекомендации корпорации Майкрософт по приоритезации инициатив по локализации и сегментации (на основе принципов "Никому не доверяй"). Эти рекомендации перечислены в порядке уровня важности.

  • Обеспечьте согласование технических групп с одной стратегией сегментации предприятия.

  • Инвестируйте в расширение сдерживания путем создания современного периметра на основе принципов нулевого доверия, ориентированных на удостоверения, устройства, приложения и другие сигналы (для преодоления ограничений сетевых элементов управления для защиты новых ресурсов и типов атак).

  • Укрепление сетевых элементов управления для устаревших приложений путем изучения стратегий микросессии.

Эффективная стратегия сегментации предприятия соответствует следующим критериям:

  • Обеспечение операций. Нарушение операций сводится к минимуму за счет согласования с бизнес-приложениями и методиками.

  • Локализация рисков. Увеличение затрат и сложностей для злоумышленников за счет:

    • независимости конфиденциальных рабочих нагрузок от компрометации других ресурсов;

    • изоляции сильно уязвимых систем, что защищает их от использования в качестве пропуска к другим системам.

  • Отслеживание. Оперативная команда по обеспечению безопасности должна отслеживать потенциальные нарушения целостности сегментов (данные об использовании учетных записей, непредвиденный трафик и т. д.).

Cell phone Description automatically generated

Наблюдение команды по обеспечению безопасности

Предоставьте командам по обеспечению безопасности доступ для чтения к аспектам безопасности всех технических ресурсов в их сфере ответственности.

Организациям безопасности требуется наблюдать за технической средой для выполнения своих обязанностей — оценки рисков организации и создания отчетов о них. Без этой возможности наблюдения командам по обеспечению безопасности придется полагаться на информацию, предоставленную командами, обслуживающими среду, что означает потенциальный конфликт интересов (и других приоритетов).

Обратите внимание на то, что группам по обеспечению безопасности могут быть предоставлены дополнительные привилегии, если они отвечают за эксплуатацию или обязаны обеспечивать соответствие ресурсов Azure требованиям.

Например, назначьте в Azure командам по обеспечению безопасности разрешение Читатели сведений о безопасности, которое предоставляет возможность измерения рисков безопасности (без доступа к самим данным).

Для корпоративных групп по обеспечению безопасности, ответственных за безопасность Azure, можно назначить это разрешение с помощью:

  • корневой группы управления — для команд, ответственных за оценку рисков для всех ресурсов и создание отчетов о них;

  • групп управления сегментами — для команд с ограниченной областью ответственности (обычно это необходимо ввиду границ организации или нормативных требований).

Так как командам по обеспечению безопасности будут предоставлены широкие возможности доступа к среде (и возможность наблюдения за потенциальными уязвимостями), следует рассматривать их учетные записи как критически важные и применять к ним те же средства защиты, что и к администраторам. В разделе Администрирование описаны эти элементы управления для платформы Azure.

Назначение привилегий для управления средой

Предоставьте ролям, отвечающим за операции в Azure, разрешения в соответствии с четко задокументированной стратегией, построенной на принципе минимальных привилегий и эксплуатационных потребностей.

Предоставление четких руководств, которые следуют эталонной модели, снизит риск, так как его увеличение будет очевидным для технических команд, внедряющих эти разрешения. Эта четкость упрощает обнаружение и устранение пользовательских ошибок, таких как предоставление чрезмерных разрешений, что снижает общий риск.

Корпорация Майкрософт рекомендует использовать эти эталонные модели Майкрософт и адаптировать их для своей организации.

Diagram of the Core Services Reference Permissions, showing enterprise and resource role permissions.

Эталонные разрешения для основных служб

В этом сегменте размещаются общие службы, используемые в организации. Обычно к ним относятся доменные службы Active Directory, службы DNS/DHCP и средства управления системой, размещенные на виртуальных машинах (IaaS) Azure.

Наблюдение за безопасностью всех ресурсов. Предоставьте командам по обеспечению безопасности доступ для чтения к атрибутам безопасности для всех технических сред. Этот уровень доступа необходим для оценки факторов риска, выявления возможностей снижения рисков, а также для предоставления рекомендаций для заинтересованных лиц организации, которые принимают риск. Дополнительные сведения см. в разделе Наблюдение команды по обеспечению безопасности.

Управление политиками для некоторых или всех ресурсов. Чтобы отслеживать и обеспечивать соответствие внешним (или внутренним) нормативам, стандартам и политике безопасности, назначьте соответствующие разрешения для этих ролей. Выбираемые роли и разрешения будут зависеть от установившейся практики организации и ожидания программы политик. Ознакомьтесь с разделом Microsoft Cloud Adoption Framework для Azure.

Централизованные ИТ-операции для всех ресурсов. Предоставьте разрешения центральному ИТ-отделу (часто это команда по разработке инфраструктуры) для создания, изменения и удаления ресурсов, таких как виртуальные машины и хранилище.

Центральная группа управления сетями для сетевых ресурсов. Чтобы обеспечить согласованность и избежать технических конфликтов, назначьте обязанности по управлению сетевыми ресурсами одной центральной сетевой организации. Эти ресурсы должны включать в себя виртуальные сети, подсети, группы безопасности сети (NSG) и виртуальные машины, на которых размещаются устройства виртуальной сети. Дополнительные сведения см. в статье Централизованное управление сетью и безопасность.

Разрешения роли ресурса. Для большинства основных служб привилегии администратора, необходимые для управления ими, предоставляются в самом приложении (Active Directory, DNS/DHCP, средства управления системой и т. д.), поэтому дополнительные разрешения для ресурсов Azure не требуются. Если согласно модели вашей организационной требуется, чтобы эти команды управляли собственными виртуальными машинами, хранилищем или другими ресурсами Azure, данные разрешения можно назначить соответствующим ролям.

Администратор служб (учетная запись на случай аварии) . Используйте роль администратора служб только для экстренных ситуаций (и для начальной настройки, если это необходимо). Не используйте эту роль для выполнения ежедневных задач. Дополнительные сведения см. в разделе Аварийный доступ или учетные записи с эффектом "прервать".

Diagram of the reference permissions, showing the relationship between the Enterprise Role Permissions and Subscriptions.

Эталонные разрешения для сегментов

Эта структура разрешений для сегментов обеспечивает согласованность, а также гибкость для реализации различных моделей организаций: от одной централизованной группы по ИТ до практически независимых групп по ИТ и DevOps.

Наблюдение за безопасностью всех ресурсов. Предоставьте командам по обеспечению безопасности доступ для чтения к атрибутам безопасности для всех технических сред. Этот уровень доступа необходим для оценки факторов риска, выявления возможностей снижения рисков, а также для предоставления рекомендаций для заинтересованных лиц организации, которые принимают риск. Ознакомьтесь с разделом Наблюдение команды по обеспечению безопасности.

Управление политиками для некоторых или всех ресурсов. Чтобы отслеживать и обеспечивать соответствие внешним (или внутренним) нормативам, стандартам и политике безопасности, назначьте соответствующие разрешения для этих ролей. Выбираемые роли и разрешения будут зависеть от установившейся практики организации и ожидания программы политик. Ознакомьтесь с разделом Microsoft Cloud Adoption Framework для Azure.

ИТ-операции для всех ресурсов. Предоставьте разрешения на создание, изменение и удаление ресурсов. Назначение сегмента (и итоговые разрешения) будет зависеть от структуры вашей организации.

  • Сегменты с ресурсами, которыми управляет централизованная организация ИТ, могут предоставлять центральному отделу ИТ (часто это команда по разработке инфраструктуры) разрешение на изменение этих ресурсов.

  • Сегменты, управляемые независимыми подразделениями или функциями (например, командой по ИТ отдела кадров), могут предоставлять этим командам разрешение на доступ ко всем ресурсам в сегменте.

  • Сегментам, управляемым автономными командами DevOps, не требуется предоставлять разрешения для всех ресурсов, так как роль ресурса (см. ниже) предоставляет разрешения командам по разработке приложений. Для экстренных ситуаций используйте учетную запись администратора служб (учетная запись на случай аварии).

Центральная группа управления сетями для сетевых ресурсов. Чтобы обеспечить согласованность и избежать технических конфликтов, назначьте обязанности по управлению сетевыми ресурсами одной центральной сетевой организации. Эти ресурсы должны включать в себя виртуальные сети, подсети, группы безопасности сети (NSG) и виртуальные машины, на которых размещаются устройства виртуальной сети. Ознакомьтесь с разделом Централизованное управление сетью и безопасность.

Разрешения роли ресурса. Сегменты, управляемые автономными командами DevOps, будут управлять ресурсами, связанными с каждым приложением. Фактические роли и их разрешения зависят от размера и сложности приложения, размера и сложности команды по разработке приложений, а также установившейся практики организации и команды по разработке приложений.

Администратор служб (учетная запись на случай аварии) . Используйте роль администратора служб только для экстренных ситуаций (и для начальной настройки, если это необходимо). Не используйте эту роль для выполнения ежедневных задач. Дополнительные сведения см. в разделе Аварийный доступ или учетные записи с эффектом "прервать".

Руководство и советы по разрешениям

  • Чтобы обеспечить согласованность и гарантировать, что приложение будет доступно для будущих подписок, разрешения должны назначаться группе управления для сегмента, а не для отдельным подпискам. Дополнительные сведения см. в разделе Избегайте детализированных и настраиваемых разрешений.

  • Прежде чем создавать настраиваемую роль для предоставления соответствующих разрешений виртуальным машинам и другим объектам, следует проверить встроенные роли на наличие подходящей роли. Дополнительные сведения см. в разделе Использование встроенных ролей.

  • Членство в группе Диспетчеры безопасности может быть уместным для небольших групп и организаций, в которых команды по обеспечению безопасности несут большую эксплуатационную ответственность.

Сегментация с помощью групп управления

Создайте группы управления с простой структурой, которая соответствует модели сегментации предприятия.

Группы управления дают возможность согласованно и эффективно управлять ресурсами (с помощью нескольких подписок, если это необходимо). Однако ввиду гибкости можно создать чрезмерно сложную структуру. Сложность вносит путаницу и негативно влияет на операции и безопасность (в качестве примера можно привести чрезмерно сложную структуру подразделений (OU) и объектов групповой политики (GPO) для Active Directory).

Корпорация Майкрософт рекомендует согласовать верхний уровень групп управления с простой стратегией сегментации предприятия, которая ограничена 1 или 2 уровнями.

Аккуратное использование корневой группы управления

Используйте корневую группу управления для обеспечения согласованности в масштабах предприятия, но тщательно тестируйте вносимые изменения, чтобы минимизировать риск нарушения операций.

Корневая группа управления позволяет обеспечить согласованность в масштабах всего предприятия, применяя политики, разрешения и теги во всех подписках. Необходимо соблюдать осторожность при планировании и реализации назначений корневой группы управления, так как это может повлиять на каждый ресурс в Azure и может привести к простою или другим негативным последствиям для производительности в случае ошибок или непредвиденных результатов.

Руководство по корневой группе управления:

  • Тщательно все спланируйте. Выберите для корневой группы управления элементы уровня предприятия, для которых определены четкие требования, предписывающие применение к каждому ресурсу и (или) незначительное влияние.

    Предлагаемые варианты:

    • Нормативные требования с четким влиянием на бизнес (например, ограничения, связанные с независимостью данных).

    • Незначительное негативное влияние на такие операции, как применение политики аудита, назначение тегов или назначение разрешений RBAC, которые были тщательно проверены.

  • Сначала проверьте. Тщательно протестируйте все изменения уровня предприятия в корневой группе управления перед применением (политика, теги, модель RBAC и т. д.) с помощью:

    • тестовой лаборатории — лабораторного арендатора или сегмента в рабочем арендаторе;

    • пилотного проекта рабочей среды — сегмента группы управления или указанного подмножества подписок или групп управления.

  • Проверьте изменения, чтобы убедиться, что они дают нужный результат.

Обновления безопасности и надежные пароли для виртуальных машин

Убедитесь, что политика и процессы обеспечивают (и требуют) быстрое применение обновлений безопасности к виртуальным машинам.

Злоумышленники постоянно проверяют диапазоны IP-адресов общедоступных облаков в поисках открытых портов управления и пытаются применить "простые" атаки, например, используя распространенные пароли и неустраненные уязвимости.

Включите Microsoft Defender для облака , чтобы определить отсутствующие обновления & для системы безопасности.

Решение для паролей локального администратора (LAPS) или стороннее решение Privileged Access Management могут задавать надежные пароли локальных администраторов и обеспечивать к ним JIT-доступ.

Удаление прямого подключения виртуальной машины к Интернету

Убедитесь, что политика и процессы требуют ограничивать и отслеживать прямое подключение виртуальных машин к Интернету.

Злоумышленники постоянно сканируют диапазоны IP-адресов общедоступных облаков в поисках открытых портов управления и пытаются применить "простые" атаки, например самые распространенные пароли и известные уязвимости.

Это можно сделать с помощью одного или нескольких методов в Azure:

  • Предотвращение на всем предприятии. Предотвращение случайного доступа с помощью корпоративной сети и модели разрешений, например эталонной модели, описанной в этом руководстве. Это значительно снижает риск случайного доступа к виртуальной машине через Интернет.

    • Обеспечение маршрутизации сетевого трафика через утвержденные точки выхода по умолчанию.

    • Исключения (например, добавление общедоступного IP-адреса для ресурса) должны проверяться центральной группой (которая может тщательно оценивать запросы на исключения, чтобы обеспечить применение соответствующих элементов управления).

  • Определение и исправление предоставляемых виртуальных машин с помощью визуализации сети Microsoft Defender для облака для быстрого определения доступных в Интернете ресурсов.

  • Ограничьте порты управления (RDP, SSH), используя JIT-доступ в Microsoft Defender для облака.

Назначение контакта для уведомления об инцидентах

Убедитесь, что контакт по безопасности получает уведомления об инцидентах Azure от корпорации Майкрософт. Как правило, это уведомления о компрометации ресурса и (или) атаке на другого клиента.

Это позволит вашей оперативной команде по обеспечению безопасности быстро реагировать на потенциальные риски для безопасности и устранять их.

Убедитесь, что контактные данные администратора на портале регистрации Azure содержат контакт для уведомления об операциях системы безопасности (напрямую или быстро с помощью внутреннего процесса).

Регулярная проверка критического доступа

Регулярно проверяйте роли, которым назначены привилегии, обеспечивающие критически важное для бизнеса влияние.

Настройте шаблон повторяющейся проверки, обеспечивающий удаление разрешений этих учетных записей при изменении ролей. Проверку можно выполнять вручную или с помощью автоматизированного процесса, используя такие инструменты, как проверки доступа Azure AD.

Обнаружение и устранение распространенных рисков

Идентифицируйте известные риски для арендаторов Azure, устраните эти риски и отслеживайте эффективность процесса с помощью Оценки безопасности.

Обнаружение и устранение распространенных угроз для гигиены безопасности значительно снижает общий риск для организации за счет увеличения затрат злоумышленников. При удалении дешевых и испытанных векторов атаки злоумышленники вынуждены разрабатывать и использовать более сложные или непроверенные методы атаки.

Оценка безопасности Azure в Microsoft Defender для облака отслеживает состояние безопасности компьютеров, сетей, хранилищ и служб данных, а также приложений для обнаружения потенциальных проблем безопасности (подключенных к Интернету виртуальных машин или отсутствующих обновлений безопасности, отсутствия защиты конечных точек или шифрования, отклонений от базовых конфигураций безопасности, отсутствующих брандмауэра веб-приложений (WAF) и т. д. Следует включить эту возможность (без дополнительных затрат), проверить полученные результаты и следовать предоставленным рекомендациям по планированию и выполнению технических исправлений, начиная с элементов с наивысшим приоритетом.

При устранении рисков следите за эффективностью процесса и приоритезируйте текущие инвестиций в программы систем управления и сокращения рисков.

Повышение автоматизации с помощью Azure Blueprints

Используйте собственные возможности автоматизации Azure для повышения согласованности, соответствия требованиям и скорости развертывания рабочих нагрузок.

Автоматизация задач развертывания и обслуживания снижает риски для системы безопасности и соответствия требованиям, ограничивая возможность возникновения пользовательских ошибок во время выполнения ручных задач. Это также позволит командам по ИТ-операциям и обеспечению безопасности перевести внимание с повторяющихся ручных задач на задачи более высокого уровня, такие как обеспечение инициатив для разработчиков и бизнес-инициатив, защита информации и т. д.

Используйте службу Azure Blueprints для быстрого и согласованного развертывания сред приложений, соответствующих политикам вашей организации и внешним нормативам. Служба Azure Blueprints автоматизирует развертывание сред, включая роли RBAC, политики, ресурсы (виртуальные машины, сети, хранилище и т. д.) и многое другое. В основе Azure Blueprints лежат значительные инвестиции корпорации Майкрософт в Azure Resource Manager, направленные на то, чтобы стандартизировать развертывание ресурсов в Azure и обеспечить развертывание ресурсов и управление ими на основе требуемого состояния. Можно использовать встроенные конфигурации Azure Blueprint, создать собственные конфигурации или просто использовать сценарии Resource Manager для меньшей области применения.

В качестве начального шаблона можно использовать несколько примеровсхем безопасности и соответствия требованиям.

Оценка безопасности с помощью тестов производительности

Используйте стандартный отраслевой тест производительности, чтобы оценить текущее состояние безопасности в организациях.

Тестирование производительности позволяет усовершенствовать программу безопасности за счет изучения внешних организаций. Тестирование производительности позволяет понять, как ваше текущее состояние безопасности соотносится с другими организациями. Внешняя проверка позволяет определить как успешные элементы текущей системы, так и недостатки, которые являются возможностями для улучшения общей стратегии безопасности вашей команды. Даже если ваша программа безопасности не привязана к определенному тесту производительности или нормативному стандарту, вы получите преимущества, изучив задокументированные идеальные состояния организаций в вашей отрасли и вне ее.

  • Например, организация Center for Internet Security (CIS) создала тесты безопасности для Azure, которые сопоставляются с инфраструктурой управления CIS. Еще один пример эталона — платформа MITRE ATT&CK™, которая определяет различные тактики и приемы злоумышленников на основе реальных наблюдений. Эти контрольные сопоставления с внешними эталонами помогают понять, чего не хватает в текущей стратегии по сравнению со стратегиями других экспертов в отрасли.

Аудит и обеспечение соответствия политикам

Убедитесь, что команда по обеспечению безопасности проводит аудит среды, чтобы сообщать о соответствии политике безопасности организации. Команды по обеспечению безопасности могут также принудительно обеспечивать соответствие этим политикам.

В организациях любых размеров будут применяться требования к соответствию безопасности. Отраслевые, государственные и внутренние корпоративные политики безопасности необходимо подвергать аудиту и применять. Мониторинг политик очень важен для проверки правильности первоначальных конфигураций и сохранения их соответствия требованиям с течением времени.

В Azure можно использовать преимущества Политики Azure, чтобы создать политики соответствия требованиям и управлять ими. Как и в случае с Azure Blueprints, политики Azure основаны на базовых возможностях Azure Resource Manager на платформе Azure (и политику Azure можно также назначить с помощью Azure Blueprints).

Дополнительные сведения о том, как это сделать в Azure, см. в разделе Руководство по созданию политик и управлению ими для обеспечения соответствия требованиям.

Мониторинг рисков идентификации

Отслеживайте события риска, связанные с идентификацией, для предупреждения о потенциально скомпрометированных удостоверениях, и устраняйте эти риски.

Большинство инцидентов безопасности происходит после того, как злоумышленник получил доступ посредством украденного удостоверения. Эти удостоверения часто могут обладать небольшими привилегиями, но злоумышленники используют их для горизонтального обхода и получения доступа к более привилегированным удостоверениям. Это повторяется, пока злоумышленник не получает доступ к важнейшим целевым данным или системам.

Azure Active Directory использует адаптивные алгоритмы машинного обучения, эвристические методы и известные скомпрометированные учетные данные (пары имен пользователей и паролей), чтобы обнаруживать подозрительные действия, связанные с вашими учетными записями. Эти пары имен пользователей и паролей получают посредством мониторинга общедоступных веб-сайтов и веб-сайтов Даркнета (где злоумышленники часто публикуют скомпрометированные пароли), а также путем сотрудничества с аналитиками в области информационной безопасности, правоохранительными органами, командами по обеспечению безопасности корпорации Майкрософт и пр.

Просмотреть обнаруженные события риска можно в двух местах.

Кроме того, вы можете использовать API-интерфейс событий риска защиты идентификации, чтобы получить программный доступ к сведениям об обнаружениях с помощью Microsoft Graph.

Устраните эти риски, вручную исправив каждую из указанных учетных записей или настроив политику рисков пользователя, требующую изменения пароля для этих событий высокого риска.

тест на проникновение;

Используйте тестирование на проникновение, чтобы проверить защиту системы безопасности.

Реальная проверка защиты системы безопасности очень важна для проверки стратегии защиты и ее реализации. Для этого можно выполнить тест на проникновение (который имитирует однократную атаку) или программу тестирования на угрозу извне (которая имитирует постоянный субъект угрозы, нацеленный на вашу среду).

Следуйте рекомендациям, опубликованным корпорацией Майкрософт, при планировании и выполнении имитированных атак.

Обнаружение и замена незащищенных протоколов

Обнаружьте и отключите устаревшие незащищенные протоколы SMB версии 1, LM/NTLM версии 1, wDigest, неподписанные привязки LDAP и ненадежные шифры в Kerberos.

Протоколы проверки подлинности являются важной основой практически всех гарантий безопасности. Эти устаревшие версии могут использовать злоумышленники с доступом к вашей сети, и они часто широко используются в устаревших системах в инфраструктуре как услуге (IaaS).

Ниже приведены способы снижения риска:

  • Обнаружение использования протокола путем просмотра журналов с помощью небезопасной панели мониторинга протокола Microsoft Sentinel или сторонних средств

  • Ограничить или отключить использование этих протоколов, следуя указаниям по SMB, NTLM, WDigest

Мы рекомендуем реализовать изменения с помощью пилотного проекта или другого метода теста, чтобы снизить риск нарушения операций.

Повышенные возможности безопасности

Определите, следует ли использовать специализированные возможности безопасности в архитектуре предприятия.

Эти меры обеспечивают потенциал для повышения безопасности и соблюдения нормативных требований, но могут повысить сложность доступа, что может негативно сказаться на операциях и эффективности.

Рекомендуется внимательно изучить и разумно использовать следующие меры безопасности (если они необходимы):

Дальнейшие действия

Дополнительные рекомендации по безопасности от Майкрософт см. в документации по безопасности Майкрософт.