Система управления, риски и соответствие требованиямGovernance, risk, and compliance

Организации всех размеров ограничены доступными ресурсами; финансовые, люди и время.Organizations of all sizes are constrained by their available resources; financial, people, and time. Чтобы обеспечить эффективную рентабельность инвестиций в компании, необходимо назначить приоритеты, где они будут вкладываться.To achieve an effective return on investment (ROI) organizations must prioritize where they will invest. Реализация безопасности в организации также ограничивается этим ограничением, поэтому для достижения необходимой окупаемости инвестиций в систему безопасности Организация должна сначала понять и определить приоритеты безопасности.Implementation of security across the organization is also constrained by this, so to achieve an appropriate ROI on security the organization needs to first understand and define its security priorities.

Управление : как безопасность Организации будет отслеживаться, проводить аудит и сообщать о них?Governance – How is the organization’s security going to be monitored, audited, and reported? Проектирование и реализация средств управления безопасностью в Организации — только начало истории.Design and implementation of security controls within an organization is only the beginning of the story. Как организация знает, что на самом деле работают вещи?How does the organization know that things are actually working? Они улучшают?Are they improving? Есть ли новые требования?Are there new requirements? Есть ли обязательные отчеты?Is there mandatory reporting? Как и в случае соответствия, могут быть рассмотрены внешние отрасли, правительственные учреждения или нормативные стандарты, которые необходимо учитывать.Similar to compliance there may be external industry, government or regulatory standards that need to be considered.

Риск . какие типы рисков выполняет Организация при попытке защиты информации, интеллектуальной собственности (IP), финансовой информации?Risk – What types of risks does the organization face while trying to protect identifiable information, Intellectual Property (IP), financial information? Кто может заинтересовать эту информацию или может использовать ее в случае кражи, включая внешние и внутренние угрозы, а также непреднамеренные или вредоносные атаки?Who may be interested or could leverage this information if stolen, including external and internal threats as well as unintentional or malicious? Часто утраченный, но очень важный аспект в рамках риска — устранение аварийного восстановления и непрерывность бизнес-процессов.A commonly forgotten but extremely important consideration within risk is addressing Disaster Recovery and Business Continuity.

Соответствие требованиям — конкретные отраслевые, правительственные или нормативные требования, которые определяют или предоставляют рекомендации по критериям, которым должны удовлетворять элементы управления безопасностью вашей организации?Compliance – Are there specific industry, government, or regulatory requirements that dictate or provide recommendation on criteria that your organization’s security controls must meet? Примерами таких стандартов, организаций, элементов управления и законодательства являются ISO27001, NIST, PCI-DSS.Examples of such standards, organizations, controls, and legislation are ISO27001, NIST, PCI-DSS.

Совокупная роль организаций заключается в управлении стандартами безопасности Организации за счет их жизненного цикла:The collective role of organization(s) is to manage the security standards of the organization through their lifecycle:

  • Определите организационные стандарты и политики для рекомендаций, технологий и конфигураций, основываясь на внутренних факторах (культуре Организации, аппетите рисков, оценке активов, Бизнес-инициативах и т. д.) и внешних факторах (тесты производительности, нормативные стандарты, среда угроз и многое другое).Define - Set organizational standards and policies for practices, technologies, and configurations based on internal factors (organizational culture, risk appetite, asset valuation, business initiatives, etc.) and external factors (benchmarks, regulatory standards, threat environment, and more)

  • Улучшение — постоянно отправляйте эти стандарты, постепенно пересылаемые в сторону идеального состояния, чтобы обеспечить непрерывное снижение рисков.Improve – Continually push these standards incrementally forward towards the ideal state to ensure continual risk reduction.

  • Непрерывность — обеспечение безопасности не снижается со временем, применяя аудит и отслеживая соответствие стандартам Организации.Sustain – Ensure the security posture doesn’t degrade naturally over time by instituting auditing and monitoring compliance with organizational standards.

Определение приоритетов инвестиций в рекомендации по обеспечению безопасностиPrioritize security best practices investments

Рекомендации по обеспечению безопасности в идеале применяются для всех систем во время создания облачной программы, но это не является реальностью для большинства корпоративных организаций.Security best practices are ideally applied proactively and completely to all systems as you build your cloud program, but this isn’t reality for most enterprise organizations. Бизнес-цели, ограничения проекта и другие факторы часто приводят к тому, что Организации могут сбалансировать риски безопасности относительно других рисков и применить подмножество рекомендаций в любой момент.Business goals, project constraints, and other factors often cause organizations to balance security risk against other risks and apply a subset of best practices at any given point.

Рекомендуется как можно раньше применить максимально возможное число рекомендаций, а затем работать над тем, чтобы проделать перерывы с течением времени по мере того, как вы завершили программу безопасности.We recommend applying as many as of the best practices as early as possible, and then working to retrofit any gaps over time as you mature your security program. Рекомендуется учитывать следующие моменты при определении приоритета, который следует выполнить первыми:We recommend evaluating the following considerations when prioritizing which to follow first:

  • Высокий уровень влияния на бизнес и высоко предоставляемые системы — К ним относятся системы с прямым внутренним значением, а также системы, предоставляющие злоумышленникам путь к ним.High business impact and highly exposed systems – These include systems with direct intrinsic value as well as the systems that provide attackers a path to them. Дополнительные сведения см. в разделе Обнаружение и классификация критически важных для бизнеса приложений.For more information, see Identify and classify business critical applications.

  • Проще всего реализовать устранение рисков. Определите быструю службу WINS, указав приоритеты рекомендаций, которые ваша организация может быстро выполнить, так как у вас уже есть необходимые навыки, средства и знания (например, реализация брандмауэра веб-приложения (WAF) для защиты устаревшего приложения).Easiest to implement Mitigations– Identify quick wins by prioritizing the best practices, which your organization can execute quickly because you already have the required skills, tools, and knowledge to do it (for example, implementing a Web App Firewall (WAF) to protect a legacy application).
    Будьте внимательны и не используйте этот метод краткосрочного приоритета.Be careful not to exclusively use (or overuse) this short-term prioritization method. Это может повысить риск, предотвращая увеличение и освобождение критически важных рисков в течение длительных периодов.Doing so can increase your risk by preventing your program from growing and leaving critical risks exposed for extended periods.

Корпорация Майкрософт предоставила несколько приоритетных инициатив по обеспечению безопасности, чтобы помочь организациям начать работу с этими решениями в зависимости от нашего опыта работы с угрозами и инициативами по устранению рисков в собственных средах и наших клиентов.Microsoft has provided some prioritized lists of security initiatives to help organizations start with these decisions based on our experience with threats and mitigation initiatives in our own environments and across our customers. См. раздел 4A модуля Microsoft перспективы WorkshopSee Module 4a of the Microsoft CISO Workshop

Управление подключенными клиентамиManage connected tenants

Убедитесь в том, что ваша организация осведомлена обо всех регистрациях и связанных подписках, подключенных к существующей среде (через ExpressRoute или VPN-подключение сайта) и мониторинга в рамках всего предприятия.Ensure your security organization is aware of all enrollments and associated subscriptions connected to your existing environment (via ExpressRoute or Site-Site VPN) and monitoring as part of the overall enterprise.

Эти ресурсы Azure являются частью вашей корпоративной среды, и организациям безопасности требуется их отображение.These azure resources are part of your enterprise environment and security organizations require visibility into them. Организациям безопасности требуется этот доступ для оценки рисков и определения соблюдения политик организации и соответствующих нормативных требований.Security organizations need this access to assess risk and to identify whether organizational policies and applicable regulatory requirements are being followed.

Убедитесь, что все среды Azure, подключающиеся к рабочей среде или сети, применяют политику Организации и элементы управления ИТ-контроля для обеспечения безопасности.Ensure all Azure environments that connect to your production environment/network apply your organization’s policy and IT governance controls for security. Существующие подключенные клиенты можно обнаружить с помощью средства , предоставляемого корпорацией Майкрософт.You can discover existing connected tenants using a tool provided by Microsoft. Рекомендации по разрешениям, которые можно назначить безопасности, приведены в разделе назначение привилегий для управления средой .Guidance on permissions you may assign to security is in the Assign privileges for managing the environment section.

Очистить строки ответственностиClear lines of responsibility

Назначение Сторон, ответственных за определенные функции в AzureDesignate the parties responsible for specific functions in Azure

Четкое документирование и совместное использование контактов, ответственных за каждую из этих функций, обеспечивает согласованность и упрощает обмен данными.Clearly documenting and sharing the contacts responsible for each of these functions will create consistency and facilitate communication. На основе нашего опыта работы с множеством проектов внедрения в облако это позволит избежать путаницы, которая может привести к ошибкам человека и автоматизации, которые создают угрозу безопасности.Based on our experience with many cloud adoption projects, this will avoid confusion that can lead to human and automation errors that create security risk.

Назначьте группы (или отдельные роли), которые будут отвечать за следующие ключевые функции:Designate groups (or individual roles) that will be responsible for these key functions:

Группа или отдельная рольGroup or individual role НесетResponsibility
Безопасность сетиNetwork Security Обычно это группа безопасности сети.Typically existing network security team. Настройка и обслуживание брандмауэра Azure, сетевых виртуальных устройств (и связанных маршрутов), WAF, группы безопасности сети, ASG и т. д.Configuration and maintenance of Azure Firewall, Network Virtual Appliances (and associated routing), WAFs, NSGs, ASGs, etc.
Управление сетьюNetwork Management Как правило, это существующая группа сетевых операций.Typically existing network operations team. Выделение виртуальной сети и подсети корпоративного уровня.Enterprise-wide virtual network and subnet allocation.
Безопасность конечных точек сервераServer Endpoint Security Обычно это операции, безопасность или совместное использование.Typically IT operations, security, or jointly. Мониторинг и исправление безопасности сервера (установка исправлений, Настройка, безопасность конечной точки и т. д.).Monitor and remediate server security (patching, configuration, endpoint security, etc.).
Мониторинг и реагирование на инцидентыIncident Monitoring and Response Обычно это группа операций по обеспечению безопасности.Typically security operations team. Изучите и исправьте инциденты безопасности в сведениях о безопасности и управлении событиями (SIEM) или в консоли источника.Investigate and remediate security incidents in Security Information and Event Management (SIEM) or source console.
Управление политикамиPolicy Management Обычно GRC Team + Architecture.Typically GRC team + Architecture. Задайте направление использования управления доступом на основе ролей (RBAC), центра безопасности Azure, стратегии защиты администратора и политики Azure, чтобы управлять ресурсами Azure.Set Direction for use of Role Based Access Control (RBAC), Azure Security Center, Administrator protection strategy, and Azure Policy to govern Azure resources.
Безопасность и стандарты идентификацииIdentity Security and Standards Обычно группа безопасности и группа идентификации совместно используются.Typically Security Team + Identity Team jointly. Задайте направление для каталогов Azure AD, сведений об использовании PIM и PAM, MFA, конфигурации паролей и синхронизации, стандартах удостоверений приложений.Set direction for Azure AD directories, PIM/PAM usage, MFA, password/synchronization configuration, Application Identity Standards.

Стратегия сегментации предприятияEnterprise segmentation strategy

Определите группы ресурсов, которые могут быть изолированы от других частей предприятия для хранения (и обнаружения) злоумышленником движения в рамках предприятия.Identify groups of resources that can be isolated from other parts of the enterprise to contain (and detect) adversary movement within your enterprise. Эта единая стратегия сегментации предприятий поможет всем техническим командам согласованно сегментировать доступ с помощью сетей, приложений, удостоверений и других элементов управления доступом.This unified enterprise segmentation strategy will guide all technical teams to consistently segment access using networking, applications, identity, and any other access controls.

Четкая и простая стратегия сегментации помогает обеспечить риск, одновременно обеспечивая производительность и бизнес-операции.A clear and simple segmentation strategy helps contain risk while enabling productivity and business operations.

Стратегия сегментации предприятия определяется выше, чем традиционная стратегия безопасности "Сегментация сети" .An enterprise segmentation strategy is defined higher than a traditional “network segmentation” security strategy. Традиционные подходы к сегментации в локальных средах часто не позволяют достичь своих целей, поскольку они были разработаны "снизу вверх" различными техническими командами и не были правильно согласованы с бизнес-вариантами использования и рабочими нагрузками приложений.Traditional segmentation approaches for on premises environments frequently failed to achieve their goals because they were developed “bottom-up” by different technical teams and were not aligned well with business use cases and application workloads. Это привело к усложнению сложности, приводящей к возникновению проблем поддержки и часто исбрасывая первоначальную цель с широкими исключениями брандмауэра сети.This resulted in overwhelming complexity that generates support issues and often undermines the original purpose with broad network firewall exceptions.

Создание единой корпоративной стратегии сегментации позволяет посвящено всем техническим специалистам (ИТ-специалистам, безопасности, приложениям и т. д.). Подразделения, построенные на основе бизнес-рисков и потребностей, увеличивают выравнивание и поддержку устойчивости системы безопасности.Creating a unified enterprise segmentation strategy enables to guide all technical teams stakeholders (IT, Security, Applications, etc.) Business Units that is built around the business risks and needs will increase alignment to and understand and support sustainability of the security containment promises. Такая четкость и выравнивание также уменьшают риск ошибок и сбоев при автоматизации, которые могут привести к уязвимостям в области безопасности, простою операционной системы или обоим проблемам.This clarity and alignment will also reduce s the risk of human errors and automation failures that can lead to security vulnerabilities, operational downtime, or both.

Хотя сетевая микросегментация также предлагает обещание для снижения риска (см. Дополнительные сведения в разделе « Сетевая безопасность и вложенность »), это не устраняет необходимость в согласовании технических команд.While network micro-segmentation also offers promise to reduce risk (discussed more in Network Security and Containment section), it doesn’t eliminate the need to align technical teams. Микросегментация должна рассматриваться после и, чтобы обеспечить согласованность технических команд, чтобы избежать повторения внутренних конфликтов, сталкивались и путаницы с стратегиями сегментации создания локальной сети.Micro segmentation should be considered after to and plans to ensure the ensuring technical teams are aligned so you can avoid a recurrence of the internal conflicts that plagued and confusion of the on-premises network generation segmentation strategies.

Ниже приведены рекомендации корпорации Майкрософт по приоритизации инициатив по включению и сегментации (на основе принципов доверия с нулевым доверием).Here are Microsoft's recommendations for prioritizing initiatives on containment and segmentation (based on Zero Trust principles). Эти рекомендации перечислены в порядке приоритета по самым высокому уровню важности.These recommendations are listed in priority order by highest importance.

  • Обеспечьте соответствие технических команд одной корпоративной стратегии сегментации.Ensure alignment of technical teams to a single enterprise segmentation strategy.

  • Инвестиции в расширенное включение, устанавливая современный периметр на основе принципов защиты идентификации, устройств, приложений и других сигналов (для преодоления ограничений сетевых элементов управления для защиты новых ресурсов и типов атак).Invest in broadening containment by establishing a modern perimeter based on zero trust principles focused on identity, device, applications, and other signals (to overcome limitation of network controls to protect new resources and attack types).

  • Более подробные сетевые элементы управления для устаревших приложений, изучая стратегии микросегментации.Bolster network controls for legacy applications by exploring micro segmentation strategies.

Хорошая стратегия сегментации предприятия соответствует следующим критериям:A good enterprise segmentation strategy meets these criteria:

  • Включает операции — уменьшает трение операций путем согласования с бизнес-методиками и приложениями.Enables Operations – Minimizes operation friction by aligning to business practices and applications

  • Содержит риск — добавляет затраты и трения к злоумышленникам поContains Risk - Adds cost and friction to attackers by

    • Изоляция конфиденциальных рабочих нагрузок от компрометации других ресурсовIsolating sensitive workloads from compromise of other assets

    • Изоляция систем с высоким уровнем уязвимости от использования в качестве сводной системы для других системIsolating high exposure systems from being used as a pivot to other systems

  • Отслеживаемые — операции безопасности должны отслеживать потенциальные нарушения целостности сегментов (использование учетной записи, непредвиденный трафик и т. д.).Monitored – Security Operations should monitor for potential violations of the integrity of the segments (account usage, unexpected traffic, etc.)

Снимок экрана с автоматически созданным описанием сотового телефона

Видимость группы безопасностиSecurity team visibility

Предоставьте группам безопасности доступ только для чтения к аспектам безопасности всех технических ресурсов в их зренияProvide security teams read-only access to the security aspects of all technical resources in their purview

Организациям безопасности требуется видимость технической среды для выполнения оценки рисков Организации и создания отчетов о них.Security organizations require visibility into the technical environment to perform their duties of assessing and reporting on organizational risk. Без этой видимости безопасность должна полагаться на информацию, предоставленную из групп, работающих в среде с потенциальным конфликтом интересов (и другими приоритетами).Without this visibility, security will have to rely on information provided from groups operating the environment who have a potential conflict of interest (and other priorities).

Обратите внимание, что группам безопасности могут быть предоставлены дополнительные привилегии, если у них есть эксплуатационные обязанности или требование на соблюдение требований к ресурсам Azure.Note that security teams may separately be granted additional privileges if they have operational responsibilities or a requirement to enforce compliance on Azure resources.

Например, в Azure назначьте группам безопасности разрешение " читатели безопасности ", которое предоставляет доступ для измерения рисков безопасности (без предоставления доступа к самим данным).For example in Azure, assign security teams to the Security Readers permission that provides access to measure security risk (without providing access to the data itself)

Для групп безопасности предприятия с широкой ответственностью за безопасность Azure можно назначить это разрешение с помощью:For enterprise security groups with broad responsibility for security of Azure, you can assign this permission using:

  • Корневая группа управления — для команд, ответственных за оценку и создание отчетов о рисках для всех ресурсов.Root management group – for teams responsible for assessing and reporting risk on all resources

  • Группы управления сегментами — для команд с ограниченной областью ответственности (обычно это необходимо из-за организационных границ или нормативных требований).Segment management group(s) – for teams with limited scope of responsibility (typically required because of organizational boundaries or regulatory requirements)

Поскольку безопасность будет иметь широкие возможности доступа к среде (и видимость потенциально уязвимых мест), следует учитывать их критические последствия и применять те же средства защиты, что и Администраторы.Because security will have broad access to the environment (and visibility into potentially exploitable vulnerabilities), you should consider them critical impact accounts and apply the same protections as administrators. В разделе Администрирование описаны эти элементы управления для Azure.The Administration section details these controls for Azure.

Назначение привилегий для управления средойAssign privileges for managing the environment

Предоставьте роли с операционными обязанностями в Azure в соответствии с четко документированной стратегией, построенной на основе принципа минимальных привилегий и эксплуатационных потребностей.Grant roles with operational responsibilities in Azure the appropriate permissions based on a clearly documented strategy built from the principle of least privilege and your operational needs.

Предоставление четких руководств, которые следуют за ссылочной моделью, снизит риск, так как его увеличение приводит к ясности технических команд, реализующих эти разрешения.Providing clear guidance that follows a reference model will reduce risk because by increasing it provides clarity for your technical teams implementing these permissions. Эта четкость упрощает обнаружение и устранение ошибок, таких как чрезмерное разрешение, что снижает общий риск.This clarity makes it easier to detect and correct human errors like overpermissioning, reducing your overall risk.

Корпорация Майкрософт рекомендует использовать эти справочные модели Майкрософт и адаптировать их к вашей организации.Microsoft recommends starting from these Microsoft reference models and adapting to your organization.

изображение, показывающее разрешения на ссылки на основные службы

Справочные разрешения по основным службамCore Services Reference Permissions

В этом сегменте размещаются общие службы, используемые в Организации.This segment hosts shared services utilized across the organization. Обычно эти общие службы включают домен Active Directory службы DNS/DHCP, средства управления системой, размещенные в виртуальных машинах Azure Infrastructure как услуга (IaaS).These shared services typically include Active Directory Domain Services, DNS/DHCP, System Management Tools hosted on Azure Infrastructure as a Service (IaaS) virtual machines.

Видимость безопасности во всех ресурсах — для групп безопасности предоставьте доступ только для чтения к атрибутам безопасности для всех технических сред.Security Visibility across all resources – For security teams, grant read-only access to security attributes for all technical environments. Этот уровень доступа необходим для оценки факторов риска, выявления потенциальных проблем, а также для заинтересованных лиц Организации, которые принимают риск.This access level is needed to assess risk factors, identify potential mitigations, and advise organizational stakeholders who accept the risk. Дополнительные сведения см. в разделе " видимость группы безопасности ".See Security Team Visibility for more details.

Управление политиками для некоторых или всех ресурсов . чтобы отслеживать и обеспечивать соответствие внешним (или внутренним) нормативам, стандартам и политике безопасности, назначьте соответствующие разрешения для этих ролей.Policy management across some or all resources – To monitor and enforce compliance with external (or internal) regulations, standards, and security policy, assign appropriate permission to those roles. Выбираемые роли и разрешения будут зависеть от культуры Организации и ожидания программы политики.The roles and permissions you choose will depend on the organizational culture and expectations of the policy program. См. раздел инфраструктура внедрения Microsoft Cloud для Azure.See Microsoft Cloud Adoption Framework for Azure.

Централизованные ИТ-операции во всех ресурсах — предоставление разрешений центральному ИТ-отделу (часто это группа инфраструктуры) для создания, изменения и удаления ресурсов, таких как виртуальные машины и хранилище.Central IT operations across all resources – Grant permissions to the central IT department (often the infrastructure team) to create, modify, and delete resources like virtual machines and storage.

Централизованная сетевая группа по сетевым ресурсам . чтобы обеспечить согласованность и избежать технических конфликтов, назначьте обязанности сетевых ресурсов одной центральной сетевой организации.Central networking group across network resources – To ensure consistency and avoid technical conflicts, assign network resource responsibilities to a single central networking organization. Эти ресурсы должны включать виртуальные сети, подсети, группы безопасности сети (NSG) и виртуальные машины, на которых размещаются устройства виртуальной сети.These resources should include virtual networks, subnets, Network Security Groups (NSG), and the virtual machines hosting virtual network appliances. Дополнительные сведения см. в статье централизация управления сетью и безопасности .See Centralize Network Management And Security for more details

Разрешения роли ресурса — для большинства основных служб права администратора, необходимые для управления ими, предоставляются через само приложение (Active Directory, DNS/DHCP, средства управления системой и т. д.), поэтому дополнительные разрешения ресурсов Azure не требуются.Resource Role Permissions – For most core services, administrative privileges required to manage them are granted via the application itself (Active Directory, DNS/DHCP, System Management Tools, etc.), so no additional Azure resource permissions are required. Если вашей организационной модели требуется, чтобы эти команды управляли собственными виртуальными машинами, хранилищем или другими ресурсами Azure, эти разрешения можно назначить этим ролям.If your organizational model requires these teams to manage their own VMs, storage, or other Azure resources, you can assign these permissions to those roles.

Администратор службы (учетная запись с разделением) — используйте роль администратора службы только для экстренных ситуаций (и для начальной настройки, если это необходимо).Service admin (Break Glass Account) – Use the service admin role only for emergencies (and initial setup if required). Не используйте эту роль для ежедневных задач.Do not use this role for daily tasks. Дополнительные сведения см. в статье аварийный доступ (учетные записи с прозрачным разделением) .See Emergency Access (‘Break Glass’ Accounts) for more details.

Снимок экрана с автоматически созданным описанием сотового телефона

Разрешения ссылки на сегментSegment reference permissions

Этот сегмент разработки разрешений обеспечивает согласованность, обеспечивая гибкость для обеспечения соответствия диапазонам организационных моделей от одной централизованной ИТ-группы до в основном независимых групп ИТ и DevOps.This segment permission design provides consistency while allowing flexibility to accommodate the range of organizational models from a single centralized IT group to mostly independent IT and DevOps teams.

Видимость безопасности во всех ресурсах — для групп безопасности предоставьте доступ только для чтения к атрибутам безопасности для всех технических сред.Security visibility across all resources – For security teams, grant read-only access to security attributes for all technical environments. Этот уровень доступа необходим для оценки факторов риска, выявления потенциальных проблем, а также для заинтересованных лиц Организации, которые принимают риск.This access level is needed to assess risk factors, identify potential mitigations, and advise organizational stakeholders who accept the risk. См. раздел видимость группы безопасности.See Security Team Visibility.

Управление политиками для некоторых или всех ресурсов — чтобы отслеживать и обеспечивать соответствие внешним (или внутренним) нормативам, стандартам и политике безопасности, назначать соответствующие разрешения для этих ролей.Policy management across some or all resources – To monitor and enforce compliance with external (or internal) regulations, standards, and security policy assign appropriate permission to those roles. Выбираемые роли и разрешения будут зависеть от культуры Организации и ожидания программы политики.The roles and permissions you choose will depend on the organizational culture and expectations of the policy program. См. раздел инфраструктура внедрения Microsoft Cloud для Azure.See Microsoft Cloud Adoption Framework for Azure.

ИТ-операции во всех ресурсах — предоставление разрешения на создание, изменение и удаление ресурсов.IT Operations across all resources – Grant permission to create, modify, and delete resources. Назначение сегмента (и результирующие разрешения) будет зависеть от структуры Организации.The purpose of the segment (and resulting permissions) will depend on your organization structure.

  • Сегменты с ресурсами, которыми управляет централизованная ИТ-организация, могут предоставить центральному ИТ-отделу (часто группе инфраструктуры) разрешение на изменение этих ресурсов.Segments with resources managed by a centralized IT organization can grant the central IT department (often the infrastructure team) permission to modify these resources.

  • Сегменты, управляемые независимыми подразделениями или функциями (например, ИТ-группа отдела кадров), могут предоставлять этим группам разрешение на доступ ко всем ресурсам в сегменте.Segments managed by independent business units or functions (such as a Human Resources IT Team) can grant those teams permission to all resources in the segment.

  • Сегментам с автономными DevOps группами не нужно предоставлять разрешения во всех ресурсах, так как роль ресурса (ниже) предоставляет разрешения группам приложений.Segments with autonomous DevOps teams don’t need to grant permissions across all resources because the resource role (below) grants permissions to application teams. Для экстренных ситуаций используйте учетную запись администратора службы (учетная запись с разделением).For emergencies, use the service admin account (break-glass account).

Централизованная сетевая группа по сетевым ресурсам . чтобы обеспечить согласованность и избежать технических конфликтов, назначьте обязанности сетевых ресурсов одной центральной сетевой организации.Central networking group across network resources – To ensure consistency and avoid technical conflicts, assign network resource responsibilities to a single central networking organization. Эти ресурсы должны включать виртуальные сети, подсети, группы безопасности сети (NSG) и виртуальные машины, на которых размещаются устройства виртуальной сети.These resources should include virtual networks, subnets, Network Security Groups (NSG), and the virtual machines hosting virtual network appliances. См. раздел централизация управления сетью и обеспечения безопасности.See Centralize Network Management And Security.

Разрешения роли ресурса — сегменты с автономными DevOps группами будут управлять ресурсами, связанными с каждым приложением.Resource Role Permissions – Segments with autonomous DevOps teams will manage the resources associated with each application. Фактические роли и их разрешения зависят от размера и сложности приложения, размера и сложности группы приложений, а также языка и региональных параметров Организации и группы приложений.The actual roles and their permissions depend on the application size and complexity, the application team size and complexity, and the culture of the organization and application team.

Администратор службы (учетная запись с разделением) — используйте роль администратора службы только для экстренных ситуаций (и для начальной настройки, если это необходимо).Service Admin (Break Glass Account) – Use the service admin role only for emergencies (and initial setup if required). Не используйте эту роль для ежедневных задач.Do not use this role for daily tasks. Дополнительные сведения см. в статье аварийный доступ (учетные записи с прозрачным разделением) .See Emergency Access (‘Break Glass’ Accounts) for more details.

Руководство по разрешениям и советыPermission Guidance and Tips

  • Чтобы обеспечить согласованность и гарантировать, что приложение будет использоваться в будущих подписках, разрешения должны быть назначены в группе управления для сегмента, а не для отдельных подписок.To drive consistency and ensure application to future subscriptions, permissions should be assigned at management group for the segment rather than the individual subscriptions. Дополнительные сведения см. в разделе избежание детализированных и настраиваемых разрешений .See Avoid Granular and Custom Permissions for more details.

  • Прежде чем создавать пользовательскую роль для предоставления соответствующих разрешений виртуальным машинам и другим объектам, следует просмотреть встроенные роли, чтобы определить, применима ли она.You should first review the built-in roles to see if one is applicable before creating a custom role to grant the appropriate permissions to VMs and other objects. Дополнительные сведения см. в разделе Использование встроенных ролей .See Use Built in Roles for more details

  • Членство в группе " Диспетчеры безопасности " может быть уместным для небольших групп и организаций, в которых группы безопасности имеют широкие эксплуатационные обязанности.Security managers group membership may be appropriate for smaller teams/organizations where security teams have extensive operational responsibilities.

Создание сегментирования с помощью групп управленияEstablish segmentation with management groups

Разделите группы управления структурой на простую структуру, которая описывает модель сегментации предприятия.Structure management groups into a simple design that guides the enterprise segmentation model.

Группы управления предлагают возможность согласованного и эффективного управления ресурсами (включая несколько подписок по мере необходимости).Management groups offer the ability to consistently and efficiently manage resources (including multiple subscriptions as needed). Однако из-за гибкости можно создать сложную конструкцию.However, because of their flexibility, it's possible to create an overly complex design. Сложность создает путаницу и негативно влияет на операции и безопасность (как показано чрезмерно сложной структурной подразделенией (OU) и модели групповая политика объектов (GPO) для Active Directory).Complexity creates confusion and negatively impacts both operations and security (as illustrated by overly complex Organizational Unit (OU) and Group Policy Object (GPO) designs for Active Directory).

Корпорация Майкрософт рекомендует согласовать верхний уровень групп управления (дублирующиеся) с простой стратегией сегментации предприятия , которая ограничена 1 или 2 уровнями.Microsoft recommends aligning the top level of management groups (MGs) into a simple enterprise segmentation strategy limited to 1 or 2 levels.

Тщательно используйте корневую группу управленияUse root management group carefully

Используйте корневую группу управления (MG) для обеспечения согласованности в масштабах предприятия, но тщательно протестируйте изменения, чтобы минимизировать риск неработающего рабочего прерывания.Use the Root Management Group (MG) for enterprise consistency, but test changes carefully to minimize risk of operational disruption.

Корневая группа управления позволяет обеспечить согласованность в масштабах всего предприятия, применяя политики, разрешения и теги во всех подписках.The root management group enables you to ensure consistency across the enterprise by applying policies, permissions, and tags across all subscriptions. Необходимо соблюдать осторожность при планировании и реализации назначений корневой группы управления, так как это может повлиять на каждый ресурс в Azure и может привести к простою или другим негативным последствиям для повышения производительности в случае ошибок или непредвиденных последствий.Care must be taken when planning and implementing assignments to the root management group because this can affect every resource on Azure and potentially cause downtime or other negative impacts on productivity in the event of errors or unanticipated effects.

Руководство по корневой группе управления:Root management group guidance:

  • Планируйте тщательный выбор элементов корпоративного уровня в корневой группе управления, которая имеет четкие требования к применению к каждому ресурсу и/или низкому влиянию.Plan Carefully - Select enterprise-wide elements to the root management group that have a clear requirement to be applied across every resource and/or low impact.

    К хорошим кандидатам относятся:Good candidates include:

    • Нормативные требования с четким риском или влиянием на бизнес (например, об ограничениях, связанных с независимости данных).Regulatory requirements with clear business risk/impact (for example, restrictions related to data sovereignty).

    • Почти ноль возможное негативное влияние на такие операции, как политика с эффектом аудита, назначение тегов, назначения разрешений RBAC, которые были тщательно проверены.Near-zero potential negative impact on operations such as policy with audit effect, Tag assignment, RBAC permissions assignments that have been carefully reviewed.

  • Сначала проверить Внимательно протестируйте все корпоративные изменения в корневой группе управления перед применением (политика, теги, модель RBAC и т. д.) с помощьюTest First - Carefully test all enterprise-wide changes on the root management group before applying (policy, tags, RBAC model, etc.) using a

    • Тестовая лаборатория — Лабораторный клиент или сегмент лаборатории в рабочем клиенте.Test Lab - Representative lab tenant or lab segment in production tenant.

    • Рабочая Пилотная программа — Сегмент MG или указанное подмножество в подписках или MG.Production Pilot - Segment MG or Designated subset in subscription(s) / MG.

  • Проверьте изменения — чтобы убедиться, что они имеют нужный результат.Validate Changes – to ensure they have the desired effect.

Обновления безопасности и надежные пароли для виртуальных машин (ВМ)Virtual Machine (VM) security updates and strong passwords

Убедитесь, что политика и процессы включают (и требуются) быстрое применение обновлений безопасности к виртуальным машинам.Ensure policy and processes enable (and require) rapid application of security updates to virtual machines.

Злоумышленники постоянно проверяют диапазоны IP-адресов общедоступного облака для открытых портов управления и пытаются выполнить простые атаки, такие как общие пароли и неисправленные уязвимости.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and unpatched vulnerabilities.

Включите Центр безопасности Azure , чтобы найти недостающие обновления для системы безопасности & применить их.Enable Azure Security Center to identify missing security updates & apply them.

Решение "пароль локального администратора" (Lap) или стороннего privileged Access Management может устанавливать надежные пароли локальных администраторов и своевременно получать доступ к ним.Local Admin Password Solution (LAPS) or a third party Privileged Access Management can set strong local admin passwords and just in time access to them.

Удаление прямого подключения к Интернету для виртуальной машиныRemove Virtual Machine (VM) direct internet connectivity

Убедитесь, что политика и процессы нуждаются в ограничении и мониторинге прямого подключения к Интернету для виртуальных машин.Ensure policy and processes require restricting and monitoring direct internet connectivity by virtual machines

Злоумышленники постоянно проверяют диапазоны IP-адресов общедоступного облака для открытых портов управления и пытаются выполнить простые атаки, такие как общие пароли и известные неисправленные уязвимости.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities

Это можно сделать с помощью одного или нескольких методов в Azure:This can be accomplished with one or more methods in Azure:

  • Предотвращение по всему предприятию — предотвращение случайного воздействия на корпоративную сеть и модель разрешений, такие как эталонная модель, описанная в рамках этого руководства.Enterprise-wide prevention - Prevent inadvertent exposure with an enterprise network and permission model such as the reference model described throughout this guidance. Это значительно снижает риск случайной уязвимости в Интернете виртуальной машиныThis significantly reduces the risk of accidental VM internet exposure by

    • Обеспечение маршрутизации сетевого трафика через утвержденные точки выхода по умолчаниюEnsuring that network traffic is routed through approved egress points by default

    • Исключения (например, добавление общедоступного IP-адреса в ресурс) должны проходить через централизованную группу (что может тщательно оценивать запросы исключений, чтобы обеспечить применение соответствующих элементов управления).Exceptions (for example, add a public IP address to a resource) must go through a centralized group (which can carefully evaluate exception requests to ensure appropriate controls are applied)

  • Выявление и исправление общедоступных виртуальных машин с помощью сетевой визуализации центра безопасности Azure для быстрого обнаружения ресурсов, предоставляемых через Интернет.Identify and Remediate exposed VMs using the Azure Security Center network visualization to quickly identify internet exposed resources.

  • Ограничение доступа к портам управления (RDP, SSH) через JIT-доступ в центре безопасности AzureRestrict management ports (RDP, SSH) using Just in Time access in Azure Security Center

Назначение уведомления о инцидентеAssign incident notification contact

Убедитесь, что контакт по безопасности получает уведомления об инцидентах Azure от Майкрософт, как правило, уведомление о компрометации ресурса и (или) атаке другого клиента.Ensure a security contact receives Azure incident notifications from Microsoft typically a notification that your resource is compromised and/or attacking another customer.

Это позволяет команде по обеспечению безопасности быстро реагировать на потенциальные риски безопасности и исправлять их.This enables your security operations team to rapidly respond to potential security risks and remediate them.

Убедитесь, что контактные данные администратора на портале регистрации Azure содержат контактные данные, которые будут уведомлять об операциях безопасности (напрямую или быстро с помощью внутреннего процесса).Ensure administrator contact information in the Azure enrollment portal includes contact information that will notify security operations (directly or rapidly via an internal process)

Регулярная проверка критического доступаRegularly review critical access

Регулярно просматривайте роли, которым назначены привилегии, с учетом критически важных для бизнеса последствий.Regularly review roles that are assigned privileges with a business-critical impact.

Настройте шаблон повторяющейся проверки, чтобы учетные записи удалялись из разрешений при изменении ролей.Set up a recurring review pattern to ensure that accounts are removed from permissions as roles change. Проверку можно выполнить вручную или с помощью автоматизированного процесса, используя такие средства, как Проверка доступа Azure AD.You can conduct the review manually or through an automated process by using tools such as Azure AD access reviews.

Обнаружение и устранение распространенных рисковDiscover and remediate common risks

Хорошо известные риски с удостоверениями для клиентов Azure, исправлены эти риски и отслеживать ход выполнения с помощью оценки безопасности.Identity well known risks for your Azure tenants, remediate those risks, and track your progress using Secure Score.

Выявление и устранения общих угроз безопасности санации значительно снижает общую риски Организации за счет увеличения стоимости злоумышленников.Identifying and remediating common security hygiene risks significantly reduces overall risk to your organization by increasing cost to attackers. При удалении дешевых и хорошо установленных направлений атак злоумышленники вынуждены получать и использовать расширенные или непроверяемые методы атаки.When you remove cheap and well-established attack vectors, attackers are forced to acquire and use advanced or untested attack methods.

Оценка безопасности Azure в центре безопасности Azure наблюдает за безопасностью компьютеров, сетей, служб хранилища и данных, а также приложений для обнаружения потенциальных проблем безопасности (подключенных к Интернету виртуальных машин или отсутствия обновлений для системы безопасности, отсутствия защиты конечных точек или шифрования, отклонения от базовых конфигураций безопасности, отсутствия брандмауэра веб-приложения (WAF) и т. д.).Azure Secure Score in Azure Security Center monitors the security posture of machines, networks, storage and data services, and applications to discover potential security issues (internet connected VMs, or missing security updates, missing endpoint protection or encryption, deviations from baseline security configurations, missing Web Application Firewall (WAF), and more). Следует включить эту возможность (без дополнительных затрат), проверить результаты и следовать включенным рекомендациям по планированию и выполнению технических исправлений, начиная с элементов с наивысшим приоритетом.You should enable this capability (no additional cost), review the findings, and follow the included recommendations to plan and execute technical remediations starting with the highest priority items.

При устранении рисков Следите за ходом выполнения и определите приоритеты текущих инвестиций в программы управления и сокращения рисков.As you address risks, track progress and prioritize ongoing investments in your governance and risk reduction programs.

Повышение автоматизации с помощью чертежей AzureIncrease automation with Azure Blueprints

Используйте собственные возможности службы автоматизации Azure для повышения согласованности, соответствия и скорости развертывания для рабочих нагрузок.Use Azure’s native automation capabilities to increase consistency, compliance, and deployment speed for workloads.

Автоматизация задач развертывания и обслуживания снижает риски безопасности и соответствия, ограничивая возможность вводить ошибки человека во время ручных задач.Automation of deployment and maintenance tasks reduces security and compliance risk by limiting opportunity to introduce human errors during manual tasks. Это также позволит группам ИТ-операций и группам безопасности сдвинуть свое внимание от повторяющихся задач вручную до более высоких задач, таких как предоставление разработчикам и бизнес-инициативам, защита информации и т. д.This will also allow both IT Operations teams and security teams to shift their focus from repeated manual tasks to higher value tasks like enabling developers and business initiatives, protecting information, and so on.

Используйте службу Azure Blueprint для быстрого и согласованного развертывания сред приложений, соответствующих политикам организации и внешним нормативам.Utilize the Azure Blueprint service to rapidly and consistently deploy application environments that are compliant with your organization’s policies and external regulations. Azure Blueprint Service автоматизирует развертывание сред, включая роли RBAC, политики, ресурсы (ВМ, сети, хранилище и т. д.) и многое другое.Azure Blueprint Service automates deployment of environments including RBAC roles, policies, resources (VM/Net/Storage/etc.), and more. Схемы Azure основаны на значительных вкладах корпорации Майкрософт в Azure Resource Manager, чтобы стандартизировать развертывание ресурсов в Azure и включить развертывание ресурсов и управление ими на основе предпочтительного подхода.Azure Blueprints builds on Microsoft’s significant investment into the Azure Resource Manager to standardize resource deployment in Azure and enable resource deployment and governance based on a desired-state approach. Встроенные конфигурации можно использовать в Azure Blueprint, создавать собственные или просто использовать сценарии диспетчер ресурсов для области меньшего размера.You can use built in configurations in Azure Blueprint, make your own, or just use Resource Manager scripts for smaller scope.

В качестве начального шаблона можно использовать несколько примеров схем безопасности и соответствия требованиям .Several Security and Compliance Blueprints samples are available to use as a starting template.

Оценка безопасности с помощью тестов производительностиEvaluate security using benchmarks

Используйте тестовый опыт отраслевого стандарта, чтобы оценить текущую безопасность в организациях.Use an industry standard benchmark to evaluate your organizations current security posture.

Тестирование производительности позволяет усовершенствовать программу безопасности за счет изучения внешних организаций.Benchmarking allows you to improve your security program by learning from external organizations. Тест производительности позволяет понять, как текущее состояние безопасности сравнивается с другими организациями, предоставляя как внешнюю проверку для успешных элементов текущей системы, так и пропуски, которые служат для улучшения общей стратегии безопасности команды.Benchmarking lets you know how your current security state compares to that of other organizations, providing both external validation for successful elements of your current system as well as identifying gaps that serve as opportunities to enrich your team’s overall security strategy. Даже если ваша программа безопасности не привязана к определенному или нормативному тесту, вы получите преимущества от ознакомления с задокументированными идеальными состояниями за пределами вашей отрасли.Even if your security program isn’t tied to a specific benchmark or regulatory standard, you will benefit from understanding the documented ideal states by those outside and inside of your industry.

  • Например, центр безопасности Интернета (CIS) создал тесты безопасности для Azure, которые сопоставляются с инфраструктурой элементов управления CIS.As an example, the Center for Internet Security (CIS) has created security benchmarks for Azure that map to the CIS Control Framework. Еще один пример справочника — MITRE АТРИ&CK™ Framework, который определяет различные тактику и приемы на основе реальных наблюдений.Another reference example is the MITRE ATT&CK™ framework that defines the various adversary tactics and techniques based on real-world observations. Эти сопоставления элементов управления внешних ссылок помогают понять, какие промежутки между текущей стратегией у вас есть и какие другие эксперты в отрасли.These external references control mappings help you to understand any gaps between your current strategy what you have and what other experts in the industry.

Аудит и обеспечение соответствия политикеAudit and enforce policy compliance

Убедитесь, что группа безопасности проведет Аудит среды, чтобы сообщить о соответствии политике безопасности Организации.Ensure that the security team is auditing the environment to report on compliance with the security policy of the organization. Группы безопасности также могут обеспечить соответствие этим политикам.Security teams may also enforce compliance with these policies.

Организации всех размеров будут иметь требования к соответствию безопасности.Organizations of all sizes will have security compliance requirements. Для отрасли, государственных организаций и внутренних корпоративных политик безопасности необходимо проводить аудит и применять их.Industry, government, and internal corporate security policies all need to be audited and enforced. Мониторинг политики очень важен для проверки правильности первоначальных конфигураций и того, чтобы они продолжали соответствовать требованиям с течением времени.Policy monitoring is critical to check that initial configurations are correct and that it continues to be compliant over time.

В Azure можно использовать политику Azure для создания политик, обеспечивающих соответствие требованиям, и управления ими.In Azure, you can take advantage of Azure Policy to create and manage policies that enforce compliance. Как и в случае с примерами Azure, политики Azure основаны на базовых возAzure Resource Managerных возможностях платформы Azure (а политика Azure также может быть назначена с помощью проектов Azure).Like Azure Blueprints, Azure Policies are built on the underlying Azure Resource Manager capabilities in the Azure platform (and Azure Policy can also be assigned via Azure Blueprints).

Дополнительные сведения о том, как это сделать в Azure, см. в учебнике Создание политик для обеспечения соответствия и управление ими.For more information on how to do this in Azure, please review Tutorial: Create and manage policies to enforce compliance.

Мониторинг рисков идентификацииMonitor identity Risk

Отслеживайте события риска, связанные с удостоверениями, для предупреждения о потенциально скомпрометированных удостоверениях и исправьте эти риски.Monitor identity related risk events for warning on potentially compromised identities and remediate those risks.

Большинство инцидентов безопасности происходит после того, как злоумышленник получит доступ с украденным удостоверением.Most security incidents take place after an attacker initially gains access using a stolen identity. Эти удостоверения часто могут начинаться с низкими привилегиями, но злоумышленники используют это удостоверение для последующего обхода и получения доступа к более привилегированным удостоверениям.These identities can often start with low privileges, but the attackers then use that identity to traverse laterally and gain access to more privileged identities. Это повторяется, пока злоумышленник не контролирует доступ к конечным данным или системам.This repeats as needed until the attacker controls access to the ultimate target data or systems.

Azure Active Directory использует адаптивные алгоритмы машинного обучения, эвристику и известные скомпрометированные учетные данные (пары "имя пользователя-пароль") для обнаружения подозрительных действий, связанных с учетными записями пользователей.Azure Active Directory uses adaptive machine learning algorithms, heuristics, and known compromised credentials (username/password pairs) to detect suspicious actions that are related to your user accounts. Эти пары имен пользователей и паролей поступают от мониторинга общедоступных и темных веб-узлов (где злоумышленники часто выделили скомпрометированные пароли) и работы с исследователими безопасности, правоохранительными законами, группами безопасности корпорации Майкрософт и другими пользователями.These username/password pairs come from monitoring public and dark web sites (where attackers often dump compromised passwords) and by working with security researchers, law enforcement, Security teams at Microsoft, and others.

Просмотреть обнаруженные события риска можно в двух местах.There are two places where you review reported risk events:

Кроме того, API событий защиты идентификацииможно использовать   для получения программного доступа к средствам обнаружения безопасности с помощью Microsoft Graph.In addition, you can use the Identity Protection risk events API to gain programmatic access to security detections using Microsoft Graph.

Исправьте эти риски путем ручного обращения к каждой из сообщаемых учетных записей или путем настройки политики риска пользователя , чтобы требовать изменения паролей для этих событий с высоким риском.Remediate these risks by manually addressing each reported account or by setting up a user risk policy to require a password change for these high risk events.

тестирование уязвимости;Penetration testing

Используйте тестирование на проникновение, чтобы проверить защиту системы безопасности.Use Penetration Testing to validate security defenses.

Реальная проверка защиты системы безопасности очень важна для проверки стратегии и реализации защиты.Real world validation of security defenses is critical to validate your defense strategy and implementation. Это может быть выполнено тестом проникновения (имитирует однократную атаку) или красной командой программы (имитирует постоянный субъект угрозы, предназначенный для вашей среды).This can be accomplished by a penetration test (simulates a one time attack) or a red team program (simulates a persistent threat actor targeting your environment).

Следуйте рекомендациям, опубликованным корпорацией Майкрософт для планирования и выполнения имитации атак.Follow the guidance published by Microsoft for planning and executing simulated attacks.

Обнаружение & замена незащищенных протоколовDiscover & replace insecure protocols

Обнаружение и отключение использования устаревших незащищенных протоколов SMBv1, LM/аутентификация ntlmv1, wDigest, неподписанных привязок LDAP и слабых шифров в Kerberos.Discover and disable the use of legacy insecure protocols SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds, and Weak ciphers in Kerberos.

Протоколы проверки подлинности являются важной основой почти всех гарантий безопасности.Authentication protocols are a critical foundation of nearly all security assurances. Эти старые версии могут использовать злоумышленники с доступом к сети и часто широко используются в устаревших системах на инфраструктуре как услуги (IaaS).These older versions can be exploited by attackers with access to your network and are often used extensively on legacy systems on Infrastructure as a Service (IaaS).

Ниже приведены способы снижения риска.Here are ways to reduce your risk:

  • Обнаружение использования протокола путем просмотра журналов с помощью панели мониторинга незащищенных протоколов Azure Sentinel или средств сторонних разработчиковDiscover protocol usage by reviewing logs with Azure Sentinel’s Insecure Protocol Dashboard or third party tools

  • Ограничьте или отключите использование этих протоколов, следуя указаниям по протоколам SMB, NTLM, WDigestRestrict or Disable use of these protocols by following guidance for SMB, NTLM, WDigest

Мы рекомендуем реализовать изменения с помощью пилотного или другого метода тестирования, чтобы снизить риск эксплуатационного перерыва.We recommend implementing changes using pilot or other testing method to mitigate risk of operational interruption.

Повышенные возможности безопасностиElevated security capabilities

Определите, следует ли использовать специализированные возможности безопасности в корпоративной архитектуре.Consider whether to utilize specialized security capabilities in your enterprise architecture.

Эти меры имеют потенциал для повышения безопасности и соблюдения нормативных требований, но могут привести к усложнению, которое может негативно сказаться на работе и эффективности.These measures have the potential to enhance security and meet regulatory requirements, but can introduce complexity that may negatively impact your operations and efficiency.

При необходимости рекомендуется внимательно учитывать и разумно использовать эти меры безопасности:We recommend careful consideration and judicious use of these security measures as required:

Дальнейшие действияNext steps

Дополнительные рекомендации по безопасности от корпорации Майкрософт см. в документации по безопасности Майкрософт.For additional security guidance from Microsoft, see Microsoft security documentation.