Сводка
В этом модуле мы рассмотрели многие элементы создания базового контрольного списка безопасности для часто используемых служб Azure. Давайте быстро повторим темы, которые мы рассмотрели.
Включение Microsoft Defender для облака — это бесплатно. Обновите подписку Azure, чтобы включить Microsoft Defender для облака. Расширенные функции безопасности Defender для облака помогут вам…
- поиск и устранение уязвимостей в системе безопасности;
- применение элементов управления доступом и приложениями для блокирования вредоносных действий;
- обнаружение угроз с помощью аналитики и средств искусственного интеллекта;
- быстрое реагирование в процессе атаки.
Внедрение Center for Internet Security (CIS) Benchmarks. Примените эталоны к существующим арендаторам.
Использование виртуальных машин CIS для новых рабочих нагрузок. Получите образы виртуальных машин, защищенные CIS, в Azure Marketplace.
Хранение ключей и секретов в Azure Key Vault (не в исходном коде). Хранилище Key Vault предназначено для поддержки любого типа секретов: паролей, учетных данных баз данных, ключей API и сертификатов.
Установка брандмауэра веб-приложения. Брандмауэр веб-приложения (WAF) — это компонент Шлюза приложений Azure, который обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. Сторонние поставщики также предлагают поддерживаемые в Azure WAF.
Принудительное применение многофакторной проверки для пользователей, особенно для учетных записей администратора. Многофакторная проверка подлинности для пользователей Microsoft Entra помогает администраторам защищать свои организации и пользователей, требуя более одного метода проверки подлинности.
Шифрование файлов виртуального жесткого диска. Шифрование помогает защитить загрузочный том и тома данных, хранящиеся в хранилище, а также ключи и секреты шифрования.
Подключение виртуальных машин и устройств Azure к другим сетевым устройствам путем их размещения в виртуальных сетях Azure. Виртуальные машины, подключенные к виртуальной сети Azure, могут подключаться к устройствам, которые находятся в той же виртуальной сети, в разных виртуальных сетях, в Интернете или в ваших собственных локальных сетях.
Эффективные практические рекомендации по безопасности
Ежедневно применяйте следующие действенные методы обеспечения операционной безопасности.
Управление обновлениями виртуальной машины. Виртуальные машины Azure, как и все локальные виртуальные машины, предназначены для управления пользователями. Azure не отправляет обновления Windows на эти виртуальные машины. Убедитесь, что у вас разработаны надежные процессы для таких важных операций, как управление исправлениями и резервное копирование.
Включение управления паролями. Используйте соответствующие политики обеспечения безопасности для предотвращения нарушений.
Регулярные проверки панели мониторинга защиты рабочих нагрузок. Получайте централизованное представление о состоянии безопасности всех ваших ресурсов Azure и регулярно выполняйте рекомендации.
Дополнительные материалы
Чтобы более подробно изучить темы, описанные в этом модуле, см. статью CIS Microsoft Azure Foundations Security Benchmark.