Защита инфраструктуры с помощью модели "Никому не доверяй"

Инфраструктура представляет критически важный вектор угроз. ИТ-инфраструктура( локальная или многоопределная) определяется как все оборудование (физическое, виртуальное, контейнерное), программное обеспечение (открытый код, первая и третья сторона, PaaS, SaaS), микрослужбы (функции, API), сетевая инфраструктура, средства и т. д., необходимые для разработки, тестирования, доставки, мониторинга, контроля или поддержки ИТ-служб. Это область, в которую корпорация Майкрософт вкладывает огромные ресурсы для разработки комплексного набора возможностей для защиты вашей будущей облачной и локальной инфраструктуры.

Современная безопасность с помощью сквозной стратегии "Никому не доверяй" упрощает следующие действия:

  • Оценка версии.
  • Управление конфигурацией.
  • Используйте права администратора JIT/JEA для усиления защиты.
  • Используйте телеметрию для обнаружения атак и аномалий.
  • Автоматически блокирование и пометка рискованных действий и выполнение защитных действий.

Кроме того, Microsoft Azure схемы и связанные возможности гарантируют, что ресурсы спроектированы, реализованы и поддерживаются способами, которые соответствуют политикам, стандартам и требованиям организации.

Azure Blueprints, Политики Azure, Microsoft Defender для облака, Microsoft Sentinel и Azure Sphere могут значительно повысить безопасность развернутой инфраструктуры и обеспечить другой подход к определению, проектированию, подготовке, развертыванию и мониторингу инфраструктуры.

A repeating circular diagram of 5 elements: Assess compliance, Observe gaps, Author, Test, and Deploy.

Цели развертывания инфраструктуры "Никому не доверяй"

Совет

Прежде чем большинство организаций начнет путь "Никому не доверяй", их подход к обеспечению безопасности инфраструктуры характеризуется следующим:

  • Управление разрешениями в разных средах вручную.
  • Управление конфигурацией виртуальных машин и серверов, на которых выполняются рабочие нагрузки.

При реализации сквозной платформы "Никому не доверяй" для управления инфраструктурой и мониторинга ее рекомендуется сосредоточиться в первую очередь на следующих начальных задачах развертывания:

List icon with one checkmark.

Рабочие нагрузкиI.Workloads отслеживаются и оповещены об аномальных действиях.

II.Каждой рабочей нагрузке назначается удостоверение приложения, которое настраивается и развертывается согласованно.

III.Для доступа человека к ресурсам требуется JIT-доступ.

После завершения этих действий сосредоточьте внимание на следующих дополнительных задачах развертывания:

List icon with two checkmarks.

IV.Несанкционированные развертывания блокируются, и активируется оповещение.

V.Granular visibility and access control are available across workloads.

VI.Доступ пользователей и ресурсов, сегментированных для каждой рабочей нагрузки.

Руководство по развертыванию инфраструктуры "Никому не доверяй"

В этом руководстве описаны шаги, необходимые для защиты инфраструктуры, следуя принципам платформы безопасности "Никому не доверяй".

Прежде чем приступить к работе, убедитесь, что вы выполнили эти базовые цели развертывания инфраструктуры.

Настройка базового плана клиента Майкрософт

Для управления инфраструктурой необходимо задать приоритетный базовый план. Используя отраслевые рекомендации, такие как NIST 800-53, можно создать набор требований для управления инфраструктурой. В корпорации Майкрософт мы настроим минимальный базовый план для следующего списка требований:

  • Доступом к данным, сетям, службам, служебным программам, средствам и приложениям должны управлять механизмы проверки подлинности и авторизации.

  • Данные должны быть зашифрованы при передаче и при хранении.

  • Ограничение потоков сетевого трафика.

  • Группа безопасности может просматривать все ресурсы.

  • Мониторинг и аудит должны быть включены и правильно настроены в соответствии с предписанным руководством организации.

  • Защита от вредоносных программ должна быть актуальной и запущенной.

  • Необходимо выполнить проверку уязвимостей и устранить уязвимости в соответствии с назначенными организационными рекомендациями.

Чтобы измерить и обеспечить соответствие этой минимальной или развернутой базовой конфигурации, мы начнем с получения видимости на уровне клиента и в локальных средах, применяя роль читателя сведений о безопасности в клиенте Azure. С помощью роли читателя сведений о безопасности можно получить дополнительную информацию с помощью политик Microsoft Defender для облака и Azure, которые можно использовать для применения отраслевых базовых показателей (например, Azure CIS, PCI, ISO 27001) или пользовательских базовых показателей, определенных вашей организацией.

Управление разрешениями в разных средах вручную

На уровне клиента до отдельных ресурсов в каждой подписке на группу ресурсов необходимо применить соответствующие элементы управления доступом на основе ролей.

Управление конфигурацией виртуальных машин и серверов, на которых выполняются рабочие нагрузки

Так же как мы управляем локальной средой центра обработки данных, мы также должны обеспечить эффективное управление облачными ресурсами. Преимуществом использования Azure является возможность управления всеми виртуальными машинами с одной платформы с помощью Azure Arc (предварительная версия). С помощью Azure Arc можно расширить базовые показатели безопасности на основе Политика Azure, политик Microsoft Defender для облака (Defender для облака) и оценки оценки безопасности, а также ведении журнала и мониторинга всех ресурсов в одном месте. Ниже приведены некоторые действия по началу работы.

Реализация Azure Arc (предварительная версия)

Azure Arc позволяет организациям расширить привычные элементы управления безопасностью Azure в локальную среду и границы инфраструктуры организации. Администраторы могут подключать локальные ресурсы к Azure Arc несколькими способами. К ним относятся портал Azure, PowerShell и Windows с помощью скриптов субъекта-службы.

Дополнительные сведения об этих методах.

Применение базовых показателей безопасности Политика Azure, включая применение гостевых политик

Включение Defender для облака Standard позволит внедрить набор базовых элементов управления Политика Azure путем включения Политика Azure встроенных определений политик для Microsoft Defender для облака. Набор базовых политик будет отражен в оценке безопасности Defender для облака, где можно измерить соответствие этим политикам.

Вы можете расширить охват политик за пределами Defender для облака и создать настраиваемые политики, если встроенная функция недоступна. Вы также можете включить политики гостевой конфигурации , которые будут измерять соответствие внутри гостевых виртуальных машин в подписках.

Применение Defender для облака Endpoint Protection и управления уязвимостями

Защита конечных точек очень важна для обеспечения безопасности и доступности инфраструктуры. В рамках любой стратегии защиты конечных точек и управление уязвимостями вы сможете централизованно измерять соответствие требованиям, чтобы убедиться, что защита от вредоносных программ включена и настроена с помощью оценки endpoint protection и рекомендаций в Microsoft Defender для облака.

Централизованная видимость базовых показателей в нескольких подписках

Применяя накопительный пакет чтения клиента, вы можете получить сведения о состоянии каждой из политик, которые оцениваются как часть оценки безопасности Defender для облака, Политика Azure и политик гостевой конфигурации. Вы можете включить эту функцию на панель мониторинга соответствия требованиям организации для централизованного создания отчетов о состоянии клиента.

Кроме того, в рамках Defender для облака Standard можно использовать политику включения встроенного решения для оценки уязвимостей на виртуальных машинах (на базе Qualys) для сканирования виртуальных машин на наличие уязвимостей и их отражения непосредственно в Defender для облака. Если на предприятии уже развернуто решение для сканирования уязвимостей, можно использовать альтернативное решение для оценки уязвимостей политики, которое должно быть установлено на виртуальных машинах для развертывания решения для сканирования уязвимостей партнера.




Checklist icon with one checkmark.

Начальные цели развертывания

После достижения базовых целей инфраструктуры можно сосредоточиться на реализации современной инфраструктуры с помощью сквозной стратегии "Никому не доверяй".

Я. Рабочие нагрузки отслеживаются и оповещены об аномального поведении

При создании новой инфраструктуры необходимо убедиться, что вы также устанавливаете правила для мониторинга и создания оповещений. Это ключ для определения того, когда ресурс отображает непредвиденное поведение.

Настоятельно рекомендуется включить Microsoft Defender для облака уровня "Стандартный" (Defender для облака), включая соответствующие пакеты для доступа к различным ресурсам (например, Реестр контейнеров, Kubernetes, IoT, Виртуальные машины и т. д.).

Для мониторинга удостоверений рекомендуется включить Microsoft Defender для удостоверенийи Advanced Threat Analytics, чтобы включить сбор сигналов для обнаружения, обнаружения и исследования сложных угроз, скомпрометированных удостоверений и вредоносных действий внутри организации.

Интеграция этих сигналов из Defender для облака, Defender для удостоверений, Advanced Threat Analytics и других систем мониторинга и аудита с Microsoft Sentinel, облачным решением SIEM и решением для автоматического реагирования на оркестрацию безопасности (SOAR), позволит центру безопасности (SOC) работать с одной панелью мониторинга событий безопасности на предприятии.

II. Каждой рабочей нагрузке назначается удостоверение приложения, а также она настраивается и развертывается согласованно.

Корпорация Майкрософт рекомендует клиентам использовать политику, которая назначается и применяется при создании ресурсов или рабочих нагрузок. Политики могут требовать применения тегов к ресурсу при создании, обязательного назначения группы ресурсов, а также ограничения или прямых технических характеристик, таких как разрешенные регионы, спецификации виртуальных машин (например, тип виртуальной машины, диски, применяемые политики сети).

III. Для доступа человека к ресурсам требуется JIT-доступ

Персонал должен использовать административный доступ с осторожностью. Если требуются административные функции, пользователи должны получить временный административный доступ.

Организациям следует установить программу "Защита администратора ". Ниже перечислены характеристики этих программ.

  • Целевое сокращение числа пользователей с правами администратора.
  • Аудит учетных записей и ролей с повышенными привилегиями.
  • Создание специальных High-Value ресурсов (HVA) для уменьшения контактной зоны.
  • Предоставление администраторам специальных рабочих станций безопасного администратора (SAW) для снижения вероятности кражи учетных данных.

Все эти элементы помогают организации больше знать, как используются административные разрешения, где эти разрешения по-прежнему необходимы, и предоставляют дорожную карту для более безопасной работы.




Checklist icon with two checkmarks.

Дополнительные цели развертывания

После достижения первоначальных трех целей можно сосредоточиться на дополнительных задачах, таких как блокировка несанкционированных развертываний.

IV. Несанкционированные развертывания блокируются, и активируется оповещение

Когда организации перемещаются в облако, возможности не ограничиваются. Это не всегда хорошо. По ряду причин организации должны иметь возможность блокировать несанкционированные развертывания и активировать оповещения, чтобы руководители и руководители знали о проблемах.

Microsoft Azure Azure Blueprints позволяет управлять развертыванием ресурсов, гарантируя возможность развертывания только утвержденных ресурсов (например, шаблонов ARM). Схемы могут гарантировать блокировку развертывания ресурсов, которые не соответствуют политикам схемы или другим правилам. Фактическое или предпринятая попытка нарушения схемы может по мере необходимости создавать оповещения и отправлять уведомления, активировать веб-перехватчики или модули Runbook службы автоматизации или даже создавать запросы на управление службами.

V. Детализированные видимость и управление доступом доступны в разных рабочих нагрузках

Microsoft Azure предлагает различные методы для обеспечения видимости ресурсов. На портале Azure владельцы ресурсов могут настроить множество возможностей сбора метрик и журналов и анализа. Эту видимость можно использовать не только для каналов операций безопасности, но и для обеспечения эффективности вычислений и целей организации. К ним относятся такие возможности, как масштабируемые наборы виртуальных машин, которые позволяют безопасно и эффективно масштабировать ресурсы на основе метрик.

На стороне управления доступом можно контроль доступа ролей (RBAC) для назначения разрешений ресурсам. Это позволяет назначать и отменять разрешения на уровне отдельных пользователей и групп с помощью различных встроенных или настраиваемых ролей.

VI. Доступ пользователей и ресурсов, сегментированных для каждой рабочей нагрузки

Microsoft Azure предлагает множество способов сегментирования рабочих нагрузок для управления доступом пользователей и ресурсов. Сегментация сети — это общий подход, и в Azure ресурсы можно изолировать на уровне подписки с помощью виртуальных сетей, правил пиринга виртуальных сетей, групп безопасности сети (NSG), групп безопасности приложений (ASG) и брандмауэров Azure. Существует несколько конструктивных шаблонов для определения оптимального подхода к сегментации рабочих нагрузок.

Продукты, рассматриваемые в этом руководстве

Microsoft Azure

Azure Blueprints

Политика Azure

Azure Arc

Microsoft Defender для облака

Microsoft Sentinel

Шаблоны azure Resource Manager (ARM)

Заключение

Инфраструктура является центральной для успешной стратегии "Никому не доверяй". Для получения дополнительной информации или справки по реализации обратитесь в службу поддержки клиентов или продолжайте читать другие разделы этого руководства, охватывающие все основные принципы "Никому не доверяй".



Серия руководств по развертыванию "Никому не доверяй"

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration