Azure-säkerhetsbaslinje för Azure Cloud Services

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 1.0 till Microsoft Azure Cloud Services. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Cloud Services.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Cloud Services, eller för vilka ansvaret är Microsofts, har exkluderats. Information om hur Azure Cloud Services mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Cloud Services säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

1.1: Skydda Azure-resurser i virtuella nätverk

Vägledning: Skapa en klassisk Azure-Virtual Network med separata offentliga och privata undernät för att framtvinga isolering baserat på betrodda portar och IP-intervall. Dessa virtuella nätverk och undernät måste vara de klassiska Virtual Network (klassisk distribution) och inte de aktuella Azure-Resource Manager resurserna.

Tillåt eller neka trafik med hjälp av en nätverkssäkerhetsgrupp, som innehåller åtkomstkontrollregler baserat på trafikriktning, protokoll, källadress och port samt måladress och port. Reglerna för en nätverkssäkerhetsgrupp kan ändras när som helst och ändringar tillämpas på alla associerade instanser.

Microsoft Azure Cloud Services (klassisk) kan inte placeras i Azure Resource Manager virtuella nätverk. Men Resource Manager-baserade virtuella nätverk och klassiska distributionsbaserade virtuella nätverk kan anslutas via peering.

Ansvar: Kund

1.2: Övervaka och logga konfigurationen och trafiken för virtuella nätverk, undernät och nätverkskort

Vägledning: Dokumentera din Azure Cloud Services-konfiguration och övervaka den för ändringar. Använd tjänstens konfigurationsfil för att ange antalet rollinstanser som ska distribueras för varje roll i tjänsten, värdena för eventuella konfigurationsinställningar och tumavtrycken för alla certifikat som är associerade med en roll.

Om tjänsten ingår i ett virtuellt nätverk måste konfigurationsinformation för nätverket anges i tjänstkonfigurationsfilen samt i konfigurationsfilen för virtuella nätverk. Standardtillägget för tjänstkonfigurationsfilen är .cscfg. Observera att Azure Policy inte stöds för klassiska distributioner för konfigurationsframtvingande.

Ange en molntjänsts konfigurationsvärden i tjänstkonfigurationsfilen (.cscfg) och definitionen i en tjänstdefinitionsfil (.csdef). Använd tjänstdefinitionsfilen för att definiera tjänstmodellen för ett program. Definiera rollerna, som är tillgängliga för en molntjänst och ange även tjänstslutpunkterna. Logga konfigurationen för Azure Cloud Services med tjänstkonfigurationsfilen. Alla omkonfigurationer kan göras via filen ServiceConfig.cscfg.

Övervaka den valfria networkTrafficRules-elementtjänstdefinitionen som begränsar vilka roller som kan kommunicera till angivna interna slutpunkter. Konfigurera noden NetworkTrafficRules, ett valfritt element i tjänstdefinitionsfilen, för att ange hur roller ska kommunicera med varandra. Begränsa vilka roller som kan komma åt den specifika rollens interna slutpunkter. Observera att tjänstdefinitionen inte kan ändras.

Aktivera flödesloggar för nätverkssäkerhetsgrupper och skicka loggarna till ett Azure Storage-konto för granskning. Skicka flödesloggarna till en Log Analytics-arbetsyta och använd Trafikanalys för att ge insikter om trafikmönster i din Azure-klientorganisation. Några fördelar med Trafikanalys är möjligheten att visualisera nätverksaktivitet, identifiera hotpunkter och säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Ansvar: Kund

1.3: Skydda kritiska webbprogram

Vägledning: Microsoft använder TLS-protokollet (Transport Layer Security) v1.2 för att skydda data när de färdas mellan Azure Cloud Services och kunder. Microsofts datacenter förhandlar om en TLS-anslutning med klientsystem som ansluter till Azure-tjänster. TLS ger stark autentisering, meddelandesekretess och integritet (möjliggör identifiering av manipulering, avlyssning och förfalskning), samverkan, algoritmflexibilitet och enkel distribution och användning.

Ansvar: Kund

1.4: Neka kommunikation med kända skadliga IP-adresser

Vägledning: Azure Cloud implementerar en nätverkssäkerhet med flera lager för att skydda sina plattformstjänster mot distribuerade överbelastningsattacker (DDoS). Azure DDoS Protection är en del av Azure Clouds kontinuerliga övervakningsprocess, som ständigt förbättras genom intrångstester. Det här DDoS-skyddet är utformat för att klara inte bara attacker utifrån utan även från andra Azure-klientorganisationer.

Det finns några olika sätt att blockera eller neka kommunikation utöver skydd på plattformsnivå i Azure Cloud Services. Dessa är:

  • Skapa en startuppgift för att selektivt blockera vissa specifika IP-adresser
  • Begränsa åtkomsten till en Azure-webbroll till en uppsättning angivna IP-adresser genom att ändra din IIS-web.config fil

Förhindra inkommande trafik till standard-URL:en eller namnet på din Cloud Services, till exempel .cloudapp.net. Ange värdhuvudet till ett anpassat DNS-namn under platsbindningskonfiguration i filen Cloud Services definition (.csdef).

Konfigurera regeln Neka tillämpa på klassiska prenumerationsadministratörstilldelningar. När en intern slutpunkt har definierats kan kommunikationen som standard flöda från vilken roll som helst till den interna slutpunkten för en roll utan begränsningar. Om du vill begränsa kommunikationen måste du lägga till ett NetworkTrafficRules-element i ServiceDefinition-elementet i tjänstdefinitionsfilen.

Ansvar: Kund

1.5: Registrera nätverkspaket

Vägledning: Använd Azure Network Watcher, nätverksprestandaövervakning, diagnostik och analystjänst som möjliggör övervakning av Azure-nätverk. Tillägget Network Watcher Agent för virtuella datorer är ett krav för att samla in nätverkstrafik på begäran och andra avancerade funktioner i Azure Virtual Machines. Installera Network Watcher Agent-tillägget för virtuella datorer och aktivera flödesloggar för nätverkssäkerhetsgrupper.

Konfigurera flödesloggning på en nätverkssäkerhetsgrupp. Läs mer om hur du distribuerar tillägget Network Watcher virtuell dator till en befintlig virtuell dator som distribuerats via den klassiska distributionsmodellen.

Ansvar: Kund

1.6: Distribuera nätverksbaserade system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Vägledning: Azure Cloud Services har ingen inbyggd IDS- eller IPS-funktion. Kunder kan välja och distribuera en kompletterande nätverksbaserad IDS- eller IPS-lösning från Azure Marketplace baserat på organisationens krav. När du använder lösningar från tredje part bör du noggrant testa din valda IDS- eller IPS-lösning med Azure Cloud Services för att säkerställa korrekt drift och funktionalitet.

Ansvar: Kund

1.7: Hantera trafik till webbprogram

Vägledning: Tjänstcertifikat, som är kopplade till Azure Cloud Services, möjliggör säker kommunikation till och från tjänsten. Dessa certifikat definieras i tjänsternas definition och distribueras automatiskt till den virtuella dator som kör en instans av en webbroll. För en webbroll kan du till exempel använda ett tjänstcertifikat som kan autentisera en exponerad HTTPS-slutpunkt.

Om du vill uppdatera certifikatet behöver du bara ladda upp ett nytt certifikat och ändra tumavtrycksvärdet i tjänstkonfigurationsfilen.

Använd TLS 1.2-protokollet, den vanligaste metoden för att skydda data för att tillhandahålla konfidentialitet och integritetsskydd.

För att skydda webbprogram och skydda dem mot attacker som OWASP Top 10 kan du i allmänhet distribuera en Azure Web Application Firewall-aktiverad Azure Application Gateway för att skydda webbprogram.

Ansvar: Kund

1.9: Underhålla standardsäkerhetskonfigurationer för nätverksenheter

Vägledning: Härda din Azure Cloud Services-konfiguration och övervaka den för ändringar. Tjänstkonfigurationsfilen anger antalet rollinstanser som ska distribueras för varje roll i tjänsten, värdena för eventuella konfigurationsinställningar och tumavtrycken för alla certifikat som är associerade med en roll.

Om tjänsten ingår i ett virtuellt nätverk måste konfigurationsinformationen för nätverket anges i tjänstkonfigurationsfilen samt i konfigurationsfilen för virtuella nätverk. Standardtillägget för tjänstkonfigurationsfilen är .cscfg.

Observera att Azure Policy inte stöds med Azure Cloud Services för konfigurationsframtvingande.

Ansvar: Kund

1.10: Dokumentera trafikkonfigurationsregler

Vägledning: Azure-nätverkssäkerhetsgrupper kan användas för att filtrera nätverkstrafik till och från Azure-resurser i en Azure-Virtual Network. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till eller utgående nätverkstrafik från flera typer av Azure-resurser. För varje regel kan du ange källa och mål, port och protokoll.

Använd fältet Beskrivning för enskilda regler för nätverkssäkerhetsgrupper i Azure Cloud Services för att dokumentera reglerna som tillåter trafik till eller från ett nätverk.

Ansvar: Kund

1.11: Använd automatiserade verktyg för att övervaka nätverksresurskonfigurationer och identifiera ändringar

Vägledning: Använd Azure Traffic Managers inbyggda funktioner för slutpunktsövervakning och automatisk redundans för slutpunkter. De hjälper dig att leverera program med hög tillgänglighet som är motståndskraftiga mot fel i slutpunkter och Azure-regioner. Om du vill konfigurera slutpunktsövervakning måste du ange vissa inställningar i Traffic Manager-profilen.

Samla in insikter från aktivitetsloggen, en plattformslogg i Azure, till händelser på prenumerationsnivå. Den innehåller sådan information som när en resurs ändras eller när en virtuell dator startas. Visa aktivitetsloggen i Azure Portal eller hämta poster med PowerShell och CLI.

Skapa en diagnostikinställning för att skicka aktivitetsloggen till Azure Monitor, Azure Event Hubs att vidarebefordra utanför Azure eller till Azure Storage för arkivering. Konfigurera Azure Monitor för aviseringar när viktiga resurser i azure-Cloud Services ändras.

Ansvar: Kund

Loggning och övervakning

Mer information finns i Azure Security Benchmark: Loggning och övervakning.

2.1: Använd godkända tidssynkroniseringskällor

Vägledning: Microsoft underhåller tidskällor för Azure-resurser för Azure Cloud Services. Kunder kan behöva skapa en nätverksregel för att tillåta åtkomst till en tidsserver som används i deras miljö, via port 123 med UDP-protokoll.

Ansvar: Delad

2.2: Konfigurera central hantering av säkerhetsloggar

Vägledning: Använda molntjänstens strömmande data programmatiskt med Azure Event Hubs. Integrera och skicka alla dessa data till Microsoft Sentinel för att övervaka och granska dina loggar eller använda en SIEM från tredje part. För central hantering av säkerhetsloggar konfigurerar du kontinuerlig export av dina valda Microsoft Defender för molndata för att Azure Event Hubs och konfigurera lämplig anslutningsapp för SIEM. Här följer några alternativ för Microsoft Sentinel, inklusive verktyg från tredje part:

  • Microsoft Sentinel – Använd dataanslutningsappen för aviseringar i Microsoft Defender för molnet
  • Splunk – Använda Azure Monitor-tillägget för Splunk
  • IBM QRadar – Använd en manuellt konfigurerad loggkälla
  • ArcSight – Använd SmartConnector

Mer information om tillgängliga anslutningsappar med Microsoft Sentinel finns i Microsoft Sentinel-dokumentationen.

Ansvar: Kund

2.3: Aktivera granskningsloggning för Azure-resurser

Vägledning: Konfigurera Visual Studio för att konfigurera Azure Diagnostics för felsökning av Azure Cloud Services som samlar in system- och loggningsdata på virtuella datorer, inklusive virtuella datorinstanser som kör din Azure-Cloud Services. Diagnostikdata överförs till ett lagringskonto som du väljer. Aktivera diagnostik i Azure Cloud Services projekt innan de distribueras.

Visa ändringshistoriken för vissa händelser i aktivitetsloggen i Azure Monitor. Granska vilka ändringar som har skett under en händelseperiod. Välj en händelse från aktivitetsloggen för djupare granskning med fliken Ändringshistorik (förhandsversion). Skicka diagnostikdata till Application Insights när du publicerar en Azure-Cloud Services från Visual Studio. Skapa Application Insights Azure-resursen vid den tidpunkten eller skicka data till en befintlig Azure-resurs.

Azure Cloud Services kan övervakas av Application Insights för tillgänglighet, prestanda, fel och användning. Anpassade diagram kan läggas till i Application Insights så att du kan se de data som är viktigast. Rollinstansdata kan samlas in med hjälp av Application Insights SDK i ditt Azure Cloud Services-projekt.

Ansvar: Kund

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Vägledning: Du kan använda avancerad övervakning med Azure Cloud Services som gör att ytterligare mått kan samplas och samlas in med intervall på 5 minuter, 1 timme och 12 timmar. Aggregerade data lagras i lagringskontot, i tabeller, och rensas efter 10 dagar. Lagringskontot som används konfigureras dock av en roll och du kan använda olika lagringskonton för olika roller. Detta konfigureras med en anslutningssträng i .csdef- och .cscfg-filerna.

Observera att Avancerad övervakning omfattar användning av Azure Diagnostics-tillägget (Application Insights SDK är valfritt) för den roll som du vill övervaka. Diagnostiktillägget använder en konfigurationsfil (per roll) med namnet diagnostics.wadcfgx för att konfigurera diagnostikmått som övervakas. Azure Diagnostic-tillägget samlar in och lagrar data i ett Azure Storage-konto. De här inställningarna konfigureras i filerna .wadcfgx, .csdef och .cscfg.

Ansvar: Kund

2.6: Övervaka och granska loggar

Vägledning: Grundläggande eller avancerade övervakningslägen är tillgängliga för Azure Cloud Services. Azure Cloud Services samlar automatiskt in grundläggande övervakningsdata (CPU-procent, nätverksin-/ut- och diskläsning/-skrivning) från en virtuell värddator. Visa insamlade övervakningsdata på översikts- och måttsidorna för en molntjänst i Azure Portal.

Aktivera diagnostik i Azure Cloud Services för att samla in diagnostikdata som programloggar, prestandaräknare med mera, samtidigt som du använder tillägget Azure Diagnostics. Aktivera eller uppdatera diagnostikkonfigurationen på en molntjänst som redan körs med Set-AzureServiceDiagnosticsExtension cmdlet eller distribuera en molntjänst med diagnostiktillägget automatiskt. Du kan också installera Application Insights SDK. Skicka prestandaräknare till Azure Monitor.

Azure Diagnostic-tillägget samlar in och lagrar data i ett Azure Storage-konto. Överför diagnostikdata till Microsoft Azure Storage-emulatorn eller till Azure Storage eftersom de inte lagras permanent. När den väl finns i lagringen kan den visas med ett av flera tillgängliga verktyg, till exempel Server Explorer i Visual Studio, Microsoft Azure Storage Explorer, Azure Management Studio. Konfigurera diagnostikmåtten som ska övervakas med en konfigurationsfil (per roll) med namnet diagnostics.wadcfgx i diagnostiktillägget.

Ansvar: Kund

2.7: Aktivera aviseringar för avvikande aktiviteter

Vägledning: Du kan övervaka Azure Cloud Services loggdata genom integrering med Microsoft Sentinel eller med en SIEM från tredje part genom att aktivera aviseringar för avvikande aktiviteter.

Ansvar: Kund

2.8: Centralisera loggning mot skadlig kod

Vägledning: Microsoft Antimalware för Azure skyddar Azure Cloud Services och virtuella datorer. Du kan även distribuera säkerhetslösningar från tredje part, till exempel brandväggar för webbaserade program, nätverksbrandväggar, program mot skadlig kod, intrångsidentifiering och skyddssystem (IDS eller IPS) med mera.

Ansvar: Kund

Identitets- och åtkomstkontroll

Mer information finns i Azure Security Benchmark: Identitet och Access Control.

3.1: Bevara en förteckning över administrativa konton

Vägledning: Microsoft rekommenderar att du hanterar åtkomst till Azure-resurser med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure Cloud Services stöder dock inte Azure RBAC-modellen eftersom det inte är en Azure Resource Manager-baserad tjänst och du måste använda en klassisk prenumeration

Som standard är kontoadministratör, tjänstadministratör och Co-Administrator de tre klassiska prenumerationsadministratörsrollerna i Azure.

Administratörer för klassiska prenumerationer har fullständig åtkomst till Azure-prenumerationen. De kan hantera resurser med hjälp av Azure-portalen, Azure Resource Manager-API:er och den klassiska distributionsmodellens API:er. Det konto som används för att registrera sig för Azure anges automatiskt som både kontoadministratör och tjänstadministratör. Ytterligare Co-Administrators kan läggas till senare.

Tjänstadministratören och medadministratörerna har samma åtkomst som användare som tilldelats rollen Ägare (en Azure-roll) för prenumerationen. Hantera Co-Administrators eller visa tjänstadministratören med hjälp av fliken Klassiska administratörer på Azure Portal.

Lista rolltilldelningar för klassisk tjänstadministratör och coadministratorer med PowerShell med kommandot :

Get-AzRoleAssignment -IncludeClassicAdministrators

Ansvar: Kund

3.3: Använda dedikerade administrativa konton

Vägledning: Vi rekommenderar att du skapar standardprocedurer för användning av dedikerade administrativa konton baserat på tillgängliga roller och de behörigheter som krävs för att driva och hantera Azure-Cloud Services resurser.

Ansvar: Kund

3.4: Använd enkel inloggning (SSO) med Azure Active Directory

Vägledning: Undvik att hantera separata identiteter för program som körs i Azure Cloud Services. Implementera enkel inloggning för att undvika att kräva att användarna hanterar flera identiteter och autentiseringsuppgifter.

Ansvar: Kund

3.6: Använd dedikerade datorer (privilegierade arbetsstationer för åtkomst) för alla administrativa uppgifter

Vägledning: Vi rekommenderar att du använder en säker, Azure-hanterad arbetsstation (även kallad en arbetsstation för privilegierad åtkomst) för administrativa uppgifter som kräver utökade privilegier.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

4.1: Upprätthålla en inventering av känslig information

Vägledning: Använd REST-API:erna för Azure Cloud Service för att inventera dina Azure Cloud Service-resurser för känslig information. Avsök de distribuerade molntjänstresurserna för att hämta konfigurations- och .pkg-resurserna.

Som ett exempel visas några API:er nedan:

  • Hämta distribution – Åtgärden Hämta distribution returnerar konfigurationsinformation, status och systemegenskaper för en distribution.
  • Hämta paket – Åtgärden Hämta paket hämtar ett molntjänstpaket för en distribution och lagrar paketfilerna i Microsoft Azure Blob Storage
  • Hämta egenskaper för molntjänsten – Åtgärden Hämta egenskaper för molntjänsten hämtar egenskaper för den angivna molntjänsten

Läs dokumentationen om REST-API:er för Azure Cloud Service och skapa en process för dataskydd av känslig information baserat på organisationens krav.

Ansvar: Kund

4.2: Isolera system som lagrar eller bearbetar känslig information

Vägledning: Implementera isolering med separata prenumerationer och hanteringsgrupper för enskilda säkerhetsdomäner, till exempel miljötyp och datakänslighetsnivå för Azure Cloud Services.

Du kan också redigera "permissionLevel" i Azure Cloud Service-certifikatelementet för att ange de åtkomstbehörigheter som ges till rollprocesserna. Om du bara vill att förhöjda processer ska kunna komma åt den privata nyckeln anger du förhöjd behörighet. limitedOrElevated-behörighet gör att alla rollprocesser kan komma åt den privata nyckeln. Möjliga värden är limitedOrElevated eller förhöjda. Standardvärdet är limitedOrElevated.

Ansvar: Kund

4.3: Övervaka och blockera obehörig överföring av känslig information

Vägledning: Vi rekommenderar att du använder en tredjepartslösning från Azure Marketplace i nätverksperimeter för att övervaka obehörig överföring av känslig information och blockera sådana överföringar samtidigt som informationssäkerhetspersonal varnas.

Ansvar: Delad

4.4: Kryptera all känslig information under överföring

Vägledning: Konfigurera TLS v2 för Azure Cloud Services. Använd Azure Portal för att lägga till certifikatet i din mellanlagrade Azure Cloud Services-distribution och lägga till certifikatinformationen i tjänsternas CSDEF- och CSCFG-filer. Paketera om programmet och uppdatera den mellanlagrade distributionen så att det nya paketet används.

Använd tjänstcertifikat i Azure som är anslutna till Azure Cloud Services för att aktivera säker kommunikation till och från tjänsten. Ange ett certifikat som kan autentisera en exponerad HTTPS-slutpunkt. Definiera tjänstcertifikat i molntjänstens tjänstdefinition och distribuera dem automatiskt till den virtuella datorn och köra en instans av din roll.

Autentisera med hanterings-API:et med hanteringscertifikat) Med hanteringscertifikat kan du autentisera med den klassiska distributionsmodellen. Många program och verktyg (som Visual Studio och Azure SDK) använder sådana här certifikat till att automatisera konfigurationen och distributionen av olika Azure-tjänster.

Som ytterligare referens ger det klassiska distributionsmodell-API:et programmatisk åtkomst till den klassiska distributionsmodellfunktionen som är tillgänglig via Azure Portal. Azure SDK för Python kan användas för att hantera Azure Cloud Services- och Azure Storage-konton. Azure SDK för Python omsluter det klassiska API:et för distributionsmodellen, ett REST-API. Alla API-åtgärder utförs via TLS och autentiseras ömsesidigt med hjälp av X.509 v3-certifikat. Hanteringstjänsten kan nås inifrån en tjänst som körs i Azure. Den kan också nås direkt via Internet från alla program som kan skicka en HTTPS-begäran och ta emot ett HTTPS-svar.

Ansvar: Delad

4.5: Använd ett aktivt identifieringsverktyg för att identifiera känsliga data

Vägledning: Vi rekommenderar att du använder ett aktivt identifieringsverktyg från tredje part för att identifiera all känslig information som lagras, bearbetas eller överförs av organisationens tekniksystem, inklusive de som finns på plats eller hos en fjärrtjänstleverantör, och sedan uppdatera organisationens inventering av känslig information.

Ansvar: Delad

4.7: Använd värdbaserad dataförlustskydd för att framtvinga åtkomstkontroll

Vägledning: Gäller inte för molntjänsten (klassisk). Det framtvingar inte dataförlustskydd.

Vi rekommenderar att du implementerar ett verktyg från tredje part, till exempel en automatiserad lösning för skydd mot värdbaserad dataförlust för att framtvinga åtkomstkontroller för data även när data kopieras från ett system.

För den underliggande plattformen som hanteras av Microsoft behandlar Microsoft allt kundinnehåll som känsligt och räcker till för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Delad

4.8: Kryptera känslig information i vila

Vägledning: Azure Cloud Services stöder inte kryptering i vila. Det beror på att Azure Cloud Services är utformat för att vara tillståndslöst. Azure Cloud Services stöder extern lagring, till exempel Azure Storage, som som standard krypteras i vila.

Programdata som lagras på tillfälliga diskar krypteras inte. Kunden ansvarar för att hantera och kryptera dessa data efter behov.

Ansvar: Kund

4.9: Logga och avisera om ändringar av viktiga Azure-resurser

Vägledning: Du kan använda klassiska måttaviseringar i Azure Monitor för att få ett meddelande när ett av dina mått som tillämpas på kritiska resurser överskrider ett tröskelvärde. Klassiska måttaviseringar är en äldre funktion som endast tillåter aviseringar för icke-dimensionella mått. Det finns en befintlig nyare funktion som kallas måttaviseringar som har bättre funktioner jämfört med klassiska måttaviseringar.

Dessutom kan Application Insights övervaka Azure Cloud Services-appar för tillgänglighet, prestanda, fel och användning. Detta använder kombinerade data från Application Insights SDK:er med Azure Diagnostics data från din Azure-Cloud Services.

Ansvar: Kund

Sårbarhetshantering

Mer information finns i Azure Security Benchmark: Sårbarhetshantering.

5.2: Distribuera automatiserad lösning för korrigeringshantering av operativsystem

Vägledning: Observera att den här informationen gäller Azure-gästoperativsystemet för Azure Cloud Services arbets- och webbroller med PaaS (Platform as a Service). Det gäller dock inte för Virtual Machines med infrastruktur som en tjänst (IaaS).

Som standard uppdaterar Azure regelbundet kundens gästoperativsystem till den senaste avbildningen som stöds i operativsystemfamiljen som de har angett i sin tjänstkonfiguration (.cscfg), till exempel Windows Server 2016.

När en kund väljer en specifik version av operativsystemet för sin Azure-Cloud Services distribution inaktiveras automatiska uppdateringar av operativsystemet och deras ansvar korrigeras. Kunden måste se till att deras rollinstanser tar emot uppdateringar eller att de kan exponera sina program för säkerhetsproblem.

Ansvar: Delad

5.3: Distribuera en automatiserad korrigeringshanteringslösning för programvarutitlar från tredje part

Vägledning: Använd en lösning för korrigeringshantering från tredje part. Kunder som redan använder Configuration Manager i sin miljö kan också använda System Center Uppdateringar Publisher, så att de kan publicera anpassade uppdateringar i Windows Server Update Service.

På så sätt kan Uppdateringshantering korrigera datorer som använder Configuration Manager som uppdateringslagringsplats med programvara från tredje part.

Ansvar: Kund

5.5: Använd en riskklassificeringsprocess för att prioritera reparationen av identifierade säkerhetsrisker

Vägledning: Vi rekommenderar att en kund förstår omfattningen av risken från en DDoS-attack kontinuerligt.

Vi föreslår att du tänker igenom följande scenarier:

  • Vilka nya offentligt tillgängliga Azure-resurser behöver skydd?
  • Finns det en felkritisk systemdel i tjänsten?
  • Hur kan tjänster isoleras för att begränsa effekten av en attack samtidigt som tjänster blir tillgängliga för giltiga kunder?
  • Finns det virtuella nätverk där DDoS Protection Standard ska aktiveras men inte är det?
  • Är mina tjänster aktiva/aktiva med redundans i flera regioner?

Dokumentationsunderlag:

Ansvar: Kund

Inventerings- och tillgångshantering

Mer information finns i Azure Security Benchmark: Inventory and Asset Management(Azure Security Benchmark: Inventering och tillgångshantering).

6.1: Använd en automatiserad lösning för identifiering av tillgångar

Vägledning: Gäller inte för Azure Cloud Services. Den här rekommendationen gäller för IaaS-beräkningsresurser.

Ansvar: Kund

6.3: Ta bort obehöriga Azure-resurser

Vägledning: Vi rekommenderar att du regelbundet stämmer av inventeringen och ser till att obehöriga resurser tas bort från prenumerationen i tid.

Ansvar: Kund

6.4: Definiera och underhålla en inventering av godkända Azure-resurser

Vägledning: Kunden bör definiera godkända Azure-resurser och godkänd programvara för beräkningsresurser.

Ansvar: Kund

6.5: Övervaka för ej godkända Azure-resurser

Vägledning: Använd funktionen Anpassningsbar programkontroll, som är tillgänglig i Microsoft Defender för molnet. Det är en intelligent, automatiserad lösning från slutpunkt till slutpunkt från Microsoft Defender för molnet som hjälper dig att styra vilka program som kan köras på dina Windows- och Linux-, Azure- och icke-Azure-datorer. Det hjälper också till att härda dina datorer mot skadlig kod.

Den här funktionen är tillgänglig för både Azure- och icke-Azure Windows-datorer (alla versioner, klassiska eller Azure Resource Manager) och Linux-datorer.

Microsoft Defender för molnet använder maskininlärning för att analysera de program som körs på dina datorer och skapar en lista över tillåtna från den här intelligensen. Den här funktionen förenklar avsevärt processen för att konfigurera och underhålla principer för lista över tillåtna program, så att du kan:

  • Blockera eller varna vid försök att köra skadliga program, inklusive sådana som annars kan missas av lösningar mot skadlig kod.

  • Uppfylla organisationens säkerhetsprincip som anger att bara licensierade program får användas.

  • Undvika oönskad programvara som ska användas i din miljö.

  • Undvik att gamla program som inte stöds kan köras.

  • Förhindra vissa verktyg som inte tillåts i din organisation.

  • Aktivera IT för att kontrollera åtkomsten till känsliga data via appanvändning.

Mer information finns på de refererade länkarna.

Ansvar: Kund

6.6: Övervaka för icke godkända program i beräkningsresurser

Vägledning: Använd funktionen Anpassningsbar programkontroll, som är tillgänglig i Microsoft Defender för molnet. Det är en intelligent, automatiserad lösning från slutpunkt till slutpunkt från Microsoft Defender för molnet som hjälper dig att styra vilka program som kan köras på dina Windows- och Linux-, Azure- och icke-Azure-datorer. Det hjälper också till att härda dina datorer mot skadlig kod.

Den här funktionen är tillgänglig för både Azure- och icke-Azure Windows-datorer (alla versioner, klassiska eller Azure Resource Manager) och Linux-datorer.

Microsoft Defender för molnet använder maskininlärning för att analysera de program som körs på dina datorer och skapar en lista över tillåtna från den här intelligensen. Den här funktionen förenklar avsevärt processen för att konfigurera och underhålla principer för lista över tillåtna program, så att du kan:

  • Blockera eller varna vid försök att köra skadliga program, inklusive sådana som annars kan missas av lösningar mot skadlig kod.

  • Uppfylla organisationens säkerhetsprincip som anger att bara licensierade program får användas.

  • Undvika oönskad programvara som ska användas i din miljö.

  • Undvik att gamla program som inte stöds kan köras.

  • Förhindra vissa verktyg som inte tillåts i din organisation.

  • Aktivera IT för att kontrollera åtkomsten till känsliga data via appanvändning.

Mer information finns på de refererade länkarna.

Ansvar: Kund

6.7: Ta bort ej godkända Azure-resurser och program

Vägledning: Använd funktionen Anpassningsbar programkontroll, som är tillgänglig i Microsoft Defender för molnet. Det är en intelligent, automatiserad lösning från slutpunkt till slutpunkt från Microsoft Defender för molnet som hjälper dig att styra vilka program som kan köras på dina Windows- och Linux-, Azure- och icke-Azure-datorer. Det hjälper också till att härda dina datorer mot skadlig kod.

Den här funktionen är tillgänglig för både Azure- och icke-Azure Windows-datorer (alla versioner, klassiska eller Azure Resource Manager) och Linux-datorer.

Microsoft Defender för molnet använder maskininlärning för att analysera de program som körs på dina datorer och skapar en lista över tillåtna från den här intelligensen. Den här funktionen förenklar avsevärt processen för att konfigurera och underhålla principer för lista över tillåtna program, så att du kan:

  • Blockera eller varna vid försök att köra skadliga program, inklusive sådana som annars kan missas av lösningar mot skadlig kod.

  • Uppfylla organisationens säkerhetsprincip som anger att bara licensierade program får användas.

  • Undvika oönskad programvara som ska användas i din miljö.

  • Undvik att gamla program som inte stöds kan köras.

  • Förhindra vissa verktyg som inte tillåts i din organisation.

  • Aktivera IT för att kontrollera åtkomsten till känsliga data via appanvändning.

Mer information finns på de refererade länkarna.

Ansvar: Kund

6.8: Använd endast godkända program

Vägledning: Använd funktionen Anpassningsbar programkontroll, som är tillgänglig i Microsoft Defender för molnet. Det är en intelligent, automatiserad lösning från slutpunkt till slutpunkt från Microsoft Defender för molnet som hjälper dig att styra vilka program som kan köras på dina Windows- och Linux-, Azure- och icke-Azure-datorer. Det hjälper också till att härda dina datorer mot skadlig kod.

Den här funktionen är tillgänglig för både Azure- och icke-Azure Windows-datorer (alla versioner, klassiska eller Azure Resource Manager) och Linux-datorer.

Microsoft Defender för molnet använder maskininlärning för att analysera de program som körs på dina datorer och skapar en lista över tillåtna från den här intelligensen. Den här funktionen förenklar avsevärt processen för att konfigurera och underhålla principer för lista över tillåtna program, så att du kan:

  • Blockera eller varna vid försök att köra skadliga program, inklusive sådana som annars kan missas av lösningar mot skadlig kod.

  • Uppfylla organisationens säkerhetsprincip som anger att bara licensierade program får användas.

  • Undvika oönskad programvara som ska användas i din miljö.

  • Undvik att gamla program som inte stöds kan köras.

  • Förhindra vissa verktyg som inte tillåts i din organisation.

  • Aktivera IT för att kontrollera åtkomsten till känsliga data via appanvändning.

Mer information finns på de refererade länkarna.

Ansvar: Kund

6.10: Bevara en förteckning över godkända programvarutitlar

Vägledning: Använd funktionen Anpassningsbar programkontroll, som är tillgänglig i Microsoft Defender för molnet. Det är en intelligent, automatiserad lösning från slutpunkt till slutpunkt från Microsoft Defender för molnet som hjälper dig att styra vilka program som kan köras på dina Windows- och Linux-, Azure- och icke-Azure-datorer. Det hjälper också till att härda dina datorer mot skadlig kod.

Den här funktionen är tillgänglig för både Azure- och icke-Azure Windows-datorer (alla versioner, klassiska eller Azure Resource Manager) och Linux-datorer.

Microsoft Defender för molnet använder maskininlärning för att analysera de program som körs på dina datorer och skapar en lista över tillåtna från den här intelligensen. Den här funktionen förenklar avsevärt processen för att konfigurera och underhålla principer för lista över tillåtna program, så att du kan:

  • Blockera eller varna vid försök att köra skadliga program, inklusive sådana som annars kan missas av lösningar mot skadlig kod.

  • Uppfylla organisationens säkerhetsprincip som anger att bara licensierade program får användas.

  • Undvika oönskad programvara som ska användas i din miljö.

  • Undvik att gamla program som inte stöds kan köras.

  • Förhindra vissa verktyg som inte tillåts i din organisation.

  • Aktivera IT för att kontrollera åtkomsten till känsliga data via appanvändning.

Mer information finns på de refererade länkarna.

Ansvar: Kund

6.12: Begränsa användarnas möjlighet att köra skript i beräkningsresurser

Vägledning: Använd funktionen Anpassningsbar programkontroll, som är tillgänglig i Microsoft Defender för molnet. Det är en intelligent, automatiserad lösning från slutpunkt till slutpunkt från Microsoft Defender för molnet som hjälper dig att styra vilka program som kan köras på dina Windows- och Linux-, Azure- och icke-Azure-datorer. Det hjälper också till att härda dina datorer mot skadlig kod.

Den här funktionen är tillgänglig för både Azure- och icke-Azure Windows-datorer (alla versioner, klassiska eller Azure Resource Manager) och Linux-datorer.

Microsoft Defender för molnet använder maskininlärning för att analysera de program som körs på dina datorer och skapar en lista över tillåtna från den här intelligensen. Den här funktionen förenklar avsevärt processen för att konfigurera och underhålla principer för lista över tillåtna program, så att du kan:

  • Blockera eller varna vid försök att köra skadliga program, inklusive sådana som annars kan missas av lösningar mot skadlig kod.

  • Uppfylla organisationens säkerhetsprincip som anger att bara licensierade program får användas.

  • Undvika oönskad programvara som ska användas i din miljö.

  • Undvik att gamla program som inte stöds kan köras.

  • Förhindra vissa verktyg som inte tillåts i din organisation.

  • Aktivera IT för att kontrollera åtkomsten till känsliga data via appanvändning.

Mer information finns på de refererade länkarna.

Ansvar: Kund

6.13: Fysiskt eller logiskt särskilja högriskprogram

Vägledning: För känsliga program eller högriskprogram med Azure Cloud Services, implementera separata prenumerationer eller hanteringsgrupper för att tillhandahålla isolering.

Använd en nätverkssäkerhetsgrupp, skapa en inkommande säkerhetsregel, välj en tjänst som http, välj även en anpassad port, ge den en prioritet och ett namn. Prioriteten påverkar i vilken ordning reglerna tillämpas, desto lägre är det numeriska värdet, desto tidigare tillämpas regeln. Du måste associera nätverkssäkerhetsgruppen med ett undernät eller ett specifikt nätverksgränssnitt för att isolera eller segmentera nätverkstrafiken baserat på dina affärsbehov.

Mer information finns på de refererade länkarna.

Ansvar: Kund

Säker konfiguration

Mer information finns i Azure Security Benchmark: Säker konfiguration.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Vägledning: Använd rekommendationerna från Microsoft Defender för molnet som en säker konfigurationsbaslinje för dina Azure Cloud Services-resurser.

På Azure Portal väljer du Microsoft Defender för molnet, sedan Compute-appar & och Azure Cloud Services för att se de rekommendationer som gäller för dina tjänstresurser.

Ansvar: Kund

7.3: Underhålla säkra Azure-resurskonfigurationer

Vägledning: Gäller inte för Azure Cloud Services. Den baseras på den klassiska distributionsmodellen. Vi rekommenderar att du använder en lösning från tredje part för att upprätthålla säkra Azure-resurskonfigurationer

Ansvar: Kund

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Vägledning: Konfigurationsfilen för Azure Cloud Service lagrar driftsattributen för en resurs. Du kan lagra en kopia av konfigurationsfilerna på ett säkert lagringskonto.

Ansvar: Kund

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Vägledning: Gäller inte för Azure Cloud Services. Den baseras på den klassiska distributionsmodellen och kan inte hanteras av Azure Resource Manager distributionsbaserade konfigurationsverktyg.

Ansvar: Kund

7.8: Distribuera konfigurationshanteringsverktyg för operativsystem

Vägledning: Gäller inte för Azure Cloud Services. Den här rekommendationen gäller för IaaS-baserade beräkningsresurser (Infrastruktur som en tjänst).

Ansvar: Kund

7.9: Implementera automatiserad konfigurationsövervakning för Azure-resurser

Vägledning: Använd Microsoft Defender för molnet för att utföra baslinjegenomsökningar för dina Azure-resurser.

Ansvar: Kund

7.10: Implementera automatiserad konfigurationsövervakning för operativsystem

Vägledning: I Microsoft Defender för molnet väljer du funktionen Compute & Apps och följer rekommendationerna för virtuella datorer, servrar och containrar.

Ansvar: Kund

7.11: Hantera Azure-hemligheter på ett säkert sätt

Vägledning: Azure Cloud Services baseras på en klassisk distributionsmodell och integreras inte med Azure Key Vault.

Du kan skydda hemligheter som autentiseringsuppgifter som används i Azure Cloud Services så att du inte behöver ange ett lösenord varje gång. Börja med att ange ett lösenord för oformaterad text, konvertera det till en säker sträng med hjälp av Kommandot ConvertTo-SecureString och PowerShell. Konvertera sedan den här säkra strängen till en krypterad standardsträng med ConvertFrom-SecureString. Nu kan du spara den här krypterade standardsträngen i en fil med set-content.

Dessutom rekommenderar vi att du lagrar de privata nycklarna för certifikat som används i Azure Cloud Services till en säker lagringsplats.

Ansvar: Kund

7.13: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Skydda hemligheter som autentiseringsuppgifter som används i Azure Cloud Services så att du inte behöver ange ett lösenord varje gång.

Börja genom att ange ett lösenord för oformaterad text, ändra det till en säker sträng med hjälp av Kommandot ConvertTo-SecureString och PowerShell. Konvertera sedan den här säkra strängen till en krypterad standardsträng med ConvertFrom-SecureString. Spara nu den här krypterade standardsträngen i en fil med hjälp av kommandot Set-Content.

Lagra de privata nycklarna för certifikat som används i Azure Cloud Services till en säker lagringsplats.

Ansvar: Kund

Skydd mot skadlig kod

Mer information finns i Azure Security Benchmark: Malware Defense.

8.1: Använd centralt hanterad programvara mot skadlig kod

Vägledning: Microsoft Antimalware för Azure är tillgängligt för Azure Cloud Services och Virtual Machines. Det är ett kostnadsfritt realtidsskydd som hjälper dig att identifiera och ta bort virus, spionprogram och annan skadlig programvara. Den genererar aviseringar när känd skadlig eller oönskad programvara försöker installera sig själv eller köras på dina Azure-system.

Använd den PowerShell-baserade cmdleten Antimalware för att hämta konfigurationen för program mot skadlig kod med "Get-AzureServiceAntimalwareConfig".

Aktivera tillägget Antimalware med ett PowerShell-skript i startaktiviteten i Azure Cloud Services.

Välj funktionen Anpassningsbar programkontroll i Microsoft Defender för molnet, en intelligent, automatiserad lösning från slutpunkt till slutpunkt. Det hjälper dig att skydda dina datorer mot skadlig kod och gör att du kan blockera eller varna vid försök att köra skadliga program, inklusive sådana som annars kan missas av lösningar mot skadlig kod.

Ansvar: Kund

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

10.1: Skapa en guide för incidenthantering

Vägledning: Skapa en guide till incidentsvar för organisationen. Se till att det finns skriftliga planer för incidentsvar som definierar alla personalroller och faser i incidenthanteringen, från identifiering till granskning efter incidenten.

Ansvar: Kund

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på sökningen eller den analys som används för att utfärda aviseringen samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera prenumerationer (till exempel produktion, icke-produktion) och skapa ett namngivningssystem för att tydligt identifiera och kategorisera Azure-resurser.

Ansvar: Kund

10.3: Testa procedurer för säkerhetshantering

Vägledning: Utför övningar för att testa systemets incidenthanteringsfunktioner regelbundet. Identifiera svaga punkter och luckor, och ändra planen efter behov.

Ansvar: Kund

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Vägledning: Kontaktinformation för säkerhetsincidenter används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att kundens data har använts av en otillåten eller obehörig part. Granska incidenter i efterhand för att se till att problemen är lösta.

Ansvar: Kund

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Vägledning: Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med funktionen Kontinuerlig export. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt. Du kan använda dataanslutningsappen för Microsoft Defender för molnet för att strömma aviseringarna till Microsoft Sentinel.

Ansvar: Kund

10.6: Automatisera svaret på säkerhetsaviseringar

Vägledning: Använd funktionen Arbetsflödesautomation i Microsoft Defender för molnet för att automatiskt utlösa svar via "Logic Apps" för säkerhetsaviseringar och rekommendationer.

Ansvar: Kund

Intrångstester och Red Team-övningar (rött lag)

Mer information finns i Azure Security Benchmark: Penetrationstester och Red Team-övningar.

11.1: Utför regelbundna intrångstester av dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas

Vägledning: Följ Microsoft Cloud Penetration Testing Rules of Engagement för att säkerställa att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Delad

Nästa steg