Прочие вопросы базовой безопасности

  • 8 мин

Вы должны следовать дополнительным рекомендациям по обеспечению безопасности, чтобы настроить общие средства безопасности и операционные элементы управления для своей подписки Azure.

Дополнительные рекомендации по обеспечению безопасности

В следующих разделах представлены дополнительные рекомендации, содержащиеся в CIS Microsoft Azure Foundations Security Benchmark версии 1.3.0. В каждую рекомендацию включены основные шаги, которые необходимо выполнить на портале Azure. Вы должны выполнить эти шаги для своей подписки и использовать свои ресурсы для проверки каждой рекомендации по безопасности. Имейте в виду, что параметры уровня 2 могут ограничивать некоторые функции или действия, поэтому подумайте, какие параметры безопасности следует применить.

Установка даты окончания срока действия для всех ключей в Azure Key Vault — уровень 1

Помимо ключа, для ключа в Azure Key Vault можно указать следующие атрибуты. В запросе JSON необходимо задать ключевое слово атрибута и заключить в фигурные скобки { }, даже если атрибут не указан. Например, для необязательного атрибута IntDate используется значение по умолчанию forever. Атрибут exp (время окончания срока действия) определяет время, до или после которого ключ не должен использоваться для криптографических операций, кроме определенных типов операций в определенных условиях. Для обработки атрибута exp необходимо, чтобы текущая дата и время были раньше даты и времени истечения срока действия, заданных в значении exp.

Мы рекомендуем сменять ключи в хранилище ключей и явно задавать время истечения срока действия для каждого ключа. Этот процесс гарантирует, что ключи нельзя будет использовать по истечению заданного времени существования. Key Vault хранит секреты и управляет ими в виде последовательностей 8-битных байтов, называемых октетами, с максимальным размером 25 КБ для каждого ключа. В случае особо конфиденциальных данных клиентам следует рассмотреть дополнительные уровни защиты данных. Одним из примеров является шифрование данных с помощью отдельного ключа защиты перед сохранением в Key Vault. Выполните следующие действия для всех ключей в каждом из хранилищ ключей.

  1. Войдите на портал Azure. Найдите и выберите Хранилища ключей.

  2. В меню слева в разделе Объекты выберите Ключи.

  3. В области Ключи для хранилища ключей убедитесь, что для каждого ключа в хранилище для параметра Дата окончания срока действия задано соответствующее значение.

  4. Если вы изменили параметры, в строке меню выберите Сохранить.

Установка даты окончания срока действия для всех секретов в Azure Key Vault — уровень 1

Безопасно храните токены, пароли, сертификаты, ключи API и другие секреты со строгим контролем доступа к ним. Убедитесь, что для всех секретов в Azure Key Vault задан срок окончания действия. Выполните следующие действия для всех секретов в каждом из хранилищ ключей.

  1. Войдите на портал Azure. Найдите и выберите Хранилища ключей.

  2. В меню слева в разделе Объекты выберите Секреты.

  3. В области Секреты для хранилища ключей убедитесь, что для каждого секрета в хранилище для параметра Дата окончания срока действия задано соответствующее значение.

    На следующем снимке экрана показано, как задать дату окончания срока действия пароля.

    Screenshot that shows how to set an expiration date on a key vault secret.

  4. Если вы изменили параметры, в строке меню выберите Сохранить.

Настройка блокировки ресурсов для критически важных ресурсов Azure — уровень 2

Вам, как администратору, может потребоваться заблокировать подписку, группу ресурсов или ресурс, чтобы предотвратить случайное удаление или изменение критически важного ресурса другими пользователями. На портале Azure доступны уровни блокировки Только для чтения и Удаление. В отличие от управления доступом на основе ролей, блокировки управления используются, чтобы применить ограничение ко всем пользователям и ролям. Блокировки Azure Resource Manager применяются только к операциям, которые выполняются в плоскости управления (операции, передаваемые на адрес https://management.azure.com). Эти блокировки не мешают ресурсам осуществлять свои собственные операции. Ограничиваются изменения ресурсов, но не операции с ними.

Совет

Например, блокировка Read-only в экземпляра Базы данных SQL Azure не позволяет удалить или изменить базу данных. Это не мешает создавать, обновлять и удалять данные в базе данных. Транзакции с данными разрешены, поскольку эти операции не отправляются в https://management.azure.com.

Выполните следующие действия для всех критически важных ресурсов в подписке Azure.

  1. Войдите на портал Azure. Найдите и выберите Все ресурсы.

  2. Выберите ресурс, группу ресурсов или подписку, которую необходимо заблокировать.

  3. В меню в разделе Параметры выберите Блокировки.

  4. В области Блокировки в строке меню выберите Добавить.

  5. В области Добавление блокировки укажите имя блокировки и выберите уровень блокировки. При необходимости можно добавить примечания, описывающие блокировку.

Screenshot that shows how to lock a resource in the Azure portal.