Azure-säkerhetsbaslinje för Container Instances

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 1.0 på Container Instances. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Container Instances.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontroller och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Container Instances, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Om du vill se hur Container Instances helt mappar till Azure Security Benchmark kan du läsa den fullständiga mappningsfilen för Container Instances säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

1.1: Skydda Azure-resurser i virtuella nätverk

Vägledning: Integrera dina containergrupper i Azure Container Instances med ett virtuellt Azure-nätverk. Med virtuella Azure-nätverk kan du placera många av dina Azure-resurser, till exempel containergrupper, i ett routbart nätverk som inte kan dirigeras via Internet.

Kontrollera utgående nätverksåtkomst från ett undernät som delegerats till Azure Container Instances med hjälp av Azure Firewall.

Ansvar: Kund

1.2: Övervaka och logga konfigurationen och trafiken för virtuella nätverk, undernät och nätverksgränssnitt

Vägledning: Använd Microsoft Defender för molnet och följ nätverksskyddsrekommendationerna för att skydda dina nätverksresurser i Azure. Aktivera NSG-flödesloggar och skicka loggar till ett lagringskonto för trafikgranskning. Du kan också skicka NSG-flödesloggar till en Log Analytics-arbetsyta och använda Traffic Analytics för att ge insikter om trafikflödet i ditt Azure-moln. Några fördelar med Traffic Analytics är möjligheten att visualisera nätverksaktivitet och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Ansvar: Kund

1.3: Skydda kritiska webbprogram

Vägledning: Skydda alla internettillgängliga program i ACI genom att distribuera en Azure-Web Application Firewall (på Application Gateway) framför din app. Kör all programtrafik utgående via en Azure Firewall enhet och övervaka loggarna.

Ansvar: Kund

1.4: Neka kommunikation med kända skadliga IP-adresser

Vägledning: Aktivera DDoS Standard-skydd i dina virtuella nätverk för skydd mot DDoS-attacker. Använd Microsoft Defender for Cloud Integrated Threat Intelligence för att neka kommunikation med kända skadliga eller oanvända IP-adresser på Internet. Distribuera Azure Firewall vid var och en av organisationens nätverksgränser med Hotinformation aktiverat och konfigurerat till "Avisering och nekande" för skadlig nätverkstrafik.

Du kan använda Åtkomst till just-in-time-nätverk i Microsoft Defender för molnet för att konfigurera NSG:er för att begränsa exponeringen av slutpunkter till godkända IP-adresser under en begränsad period. Använd dessutom Microsoft Defender för molnanpassad nätverkshärdning för att rekommendera NSG-konfigurationer som begränsar portar och käll-IP-adresser baserat på faktisk trafik- och hotinformation.

Ansvar: Kund

1.5: Registrera nätverkspaket

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances kan du aktivera flödesloggar för nätverkssäkerhetsgrupper (NSG) för den NSG som är kopplad till det undernät som används för att skydda ditt Azure-containerregister. Du kan sedan registrera NSG-flödesloggarna i ett Azure Storage-konto. Om det krävs för att undersöka avvikande aktivitet kan du även aktivera Azure Network Watcher paketinsamling.

Ansvar: Kund

1.6: Distribuera nätverksbaserade system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Vägledning: Välj ett erbjudande från Azure Marketplace som stöder IDS/IPS-funktioner med funktioner för nyttolastgranskning. Om intrångsidentifiering och/eller skydd baserat på nyttolastinspektion inte är ett krav kan Azure Firewall med Hotinformation användas. Azure Firewall Hotinformationsbaserad filtrering kan avisera och neka trafik till och från kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet.

Distribuera valfri brandväggslösning vid var och en av organisationens nätverksgränser för att identifiera och/eller neka skadlig trafik.

Ansvar: Kund

1.7: Hantera trafik till webbprogram

Vägledning: Om du använder Azure Container Instances som värd för webbprogram kan du distribuera Azure Application Gateway med HTTPS/SSL aktiverat för betrodda certifikat. Sedan kan du dirigera programwebbtrafik via Application Gateway till containergruppen.

Ansvar: Kund

1.8: Minimera komplexitet och administrativa kostnader för nätverkssäkerhetsregler

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances använder du tjänsttaggar för virtuella nätverk för Azure Container Registry-tjänsten för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange tjänsttaggens namn "AzureContainerRegistry" i rätt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Ansvar: Kund

1.9: Underhåll standardsäkerhetskonfigurationer för nätverksenheter

Vägledning: När du använder Azure Container Registry med Azure Container Instances rekommenderar vi att du definierar och implementerar standardsäkerhetskonfigurationer för nätverksresurser som är associerade med azure-containerregistret.

Använd Azure Policy alias i namnrymderna Microsoft.ContainerRegistry och Microsoft.Network för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina containerregister.

Du kan använda Azure Blueprints för att förenkla storskaliga Azure-distributioner genom att paketera viktiga miljöartefakter, till exempel Azure Resource Manager-mallar, Azure RBAC-kontroller och principdefinitioner i en enda skissdefinition. Använd enkelt skissen på nya prenumerationer och finjustera kontrollen och hanteringen via versionshantering.

Ansvar: Kund

1.10: Dokumentera trafikkonfigurationsregler

Vägledning: Kunden kan använda Azure Blueprints för att förenkla storskaliga Azure-distributioner genom att paketera viktiga miljöartefakter, till exempel Azure Resource Manager-mallar, Azure RBAC-kontroller och principer, i en enda skissdefinition. Använd enkelt skissen på nya prenumerationer och finjustera kontrollen och hanteringen via versionshantering.

Ansvar: Kund

1.11: Använd automatiserade verktyg för att övervaka nätverksresurskonfigurationer och identifiera ändringar

Vägledning: Använd Azure-aktivitetsloggen för att övervaka nätverksresurskonfigurationer och identifiera ändringar för nätverksresurser som är relaterade till dina containerregister. Skapa aviseringar i Azure Monitor som utlöses när ändringar av kritiska nätverksresurser sker.

Ansvar: Kund

Loggning och övervakning

Mer information finns i Azure Security Benchmark: Loggning och övervakning.

2.1: Använd godkända tidssynkroniseringskällor

Vägledning: Microsoft underhåller tidskällor för Azure-resurser, men du har möjlighet att hantera tidssynkroniseringsinställningarna för dina beräkningsresurser.

Ansvar: Microsoft

2.2: Konfigurera central hantering av säkerhetsloggar

Vägledning: Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av en Azure-containerinstans. I Azure Monitor använder du en Log Analytics-arbetsyta för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig/arkiveringslagring.

Ansvar: Kund

2.3: Aktivera granskningsloggning för Azure-resurser

Vägledning: Azure Monitor samlar in resursloggar (kallades tidigare diagnostikloggar) för användardrivna händelser. Samla in och använda dessa data för att granska containerautentiseringshändelser och tillhandahålla en fullständig aktivitetslogg för artefakter som pull- och push-händelser så att du kan diagnostisera säkerhetsproblem med din containergrupp.

Ansvar: Kund

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Vägledning: I Azure Monitor anger du kvarhållningsperioden för Log Analytics-arbetsytan enligt organisationens efterlevnadsregler. Använd Azure Storage-konton för långsiktig/arkiveringslagring.

Ansvar: Kund

2.6: Övervaka och granska loggar

Vägledning: Analysera och övervaka Azure Container Instances loggar för avvikande beteende och granska resultaten regelbundet. Använd Log Analytics-arbetsytan i Azure Monitor för att granska loggar och köra frågor på loggdata.

Ansvar: Kund

2.7: Aktivera aviseringar för avvikande aktiviteter

Vägledning: Använd Azure Log Analytics-arbetsytan för övervakning och aviseringar om avvikande aktiviteter i säkerhetsloggar och händelser som är relaterade till din Azure Container Instances eller Azure Container Registries.

Ansvar: Kund

2.8: Centralisera loggning av skadlig kod

Vägledning: Azure Container Instances är ett fullständigt hanterat PaaS-erbjudande och Microsoft ansvarar för att installera och hantera skydd & mot skadlig kod.

Ansvar: Microsoft

2.9: Aktivera DNS-frågeloggning

Vägledning: Azure Container Instances inte exponerar dess underliggande DNS-konfigurationer underhålls dessa inställningar av Microsoft.

Ansvar: Microsoft

Identitets- och åtkomstkontroll

Mer information finns i Azure Security Benchmark: Identity and Access Control (Azure Security Benchmark: Identity and Access Control).

3.1: Upprätthålla en förteckning över administrativa konton

Vägledning: Azure Active Directory (Azure AD) har inbyggda roller som måste tilldelas uttryckligen och som kan frågas. Använd Azure AD PowerShell-modulen för att utföra ad hoc-frågor för att identifiera konton som är medlemmar i administrativa grupper.

Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances kan du för varje Azure-containerregister spåra om det inbyggda administratörskontot är aktiverat eller inaktiverat. Inaktivera kontot när det inte används.

Ansvar: Kund

3.2: Ändra standardlösenord där det är tillämpligt

Vägledning: Azure Active Directory (Azure AD) har inte begreppet standardlösenord. Andra Azure-resurser som kräver ett lösenord tvingar ett lösenord att skapas med komplexitetskrav och en minsta längd på lösenord, som skiljer sig beroende på tjänsten. Du ansvarar för program från tredje part och Marketplace-tjänster som kan använda standardlösenord.

Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances skapas komplexa lösenord automatiskt och ska roteras om standardadministratörskontot för ett Azure-containerregister är aktiverat. Inaktivera kontot när det inte används.

Ansvar: Kund

3.3: Använda dedikerade administrativa konton

Vägledning: Skapa standardprocedurer för användning av dedikerade administrativa konton. Använd Microsoft Defender för molnidentitet och åtkomsthantering för att övervaka antalet administrativa konton.

Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances skapar du procedurer för att aktivera det inbyggda administratörskontot för ett containerregister. Inaktivera kontot när det inte används.

Ansvar: Kund

3.4: Använd enkel inloggning i Azure Active Directory (SSO)

Vägledning: När det är möjligt använder du enkel inloggning med Azure Active Directory (Azure AD) i stället för att konfigurera enskilda fristående autentiseringsuppgifter per tjänst. Använd rekommendationer för Microsoft Defender för molnidentitet och åtkomsthantering.

Ansvar: Kund

3.5: Använd multifaktorautentisering för all Azure Active Directory-baserad åtkomst

Vägledning: Aktivera Azure Active Directory (Azure AD) multifaktorautentisering och följ rekommendationerna för Microsoft Defender för molnidentitet och åtkomsthantering.

Ansvar: Kund

3.6: Använd dedikerade datorer (privilegierade arbetsstationer för åtkomst) för alla administrativa uppgifter

Vägledning: Använd PAWs (arbetsstationer för privilegierad åtkomst) med multifaktorautentisering konfigurerad för att logga in på och konfigurera Azure-resurser.

Ansvar: Kund

3.7: Logga och varna om misstänkta aktiviteter från administrativa konton

Vägledning: Använd Azure Active Directory-säkerhetsrapporter (Azure AD) för generering av loggar och aviseringar när misstänkt eller osäker aktivitet inträffar i miljön. Använd Microsoft Defender för molnet för att övervaka identitets- och åtkomstaktivitet.

Ansvar: Kund

3.8: Hantera Azure-resurser från endast godkända platser

Vägledning: Använd namngivna platser för villkorlig åtkomst för att endast tillåta åtkomst från specifika logiska grupperingar av IP-adressintervall eller länder/regioner.

Ansvar: Kund

3.9: Använda Azure Active Directory

Vägledning: Använd Azure Active Directory (Azure AD) som centralt autentiserings- och auktoriseringssystem. Azure AD skyddar data med hjälp av stark kryptering för vilande data och under överföring. Azure AD även salter, hashvärden och lagrar autentiseringsuppgifter på ett säkert sätt.

Ansvar: Kund

3.10: Granska och stämma av användaråtkomst regelbundet

Vägledning: Azure Active Directory (Azure AD) innehåller loggar som hjälper dig att identifiera inaktuella konton. Dessutom kan du använda Azure Identity Access Reviews för att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användaråtkomst kan granskas regelbundet för att se till att endast rätt användare har fortsatt åtkomst.

Ansvar: Kund

3.11: Övervaka försök att komma åt inaktiverade autentiseringsuppgifter

Vägledning: Du har åtkomst till azure Active Directory-inloggningskällor (Azure AD) för aktivitet, granskning och riskhändelse, vilket gör att du kan integrera med alla SIEM-verktyg (Security Information and Event Management) /Monitoring.

Du kan effektivisera den här processen genom att skapa diagnostikinställningar för Azure AD användarkonton och skicka granskningsloggar och inloggningsloggar till en Log Analytics-arbetsyta. Du kan konfigurera önskade aviseringar i Log Analytics-arbetsytan.

Ansvar: Kund

3.12: Avisering om beteendeavvikelse för kontoinloggning

Vägledning: Använd azure Active Directory-funktioner (Azure AD) risk och identitetsskydd för att konfigurera automatiserade svar på identifierade misstänkta åtgärder relaterade till användaridentiteter.

Ansvar: Kund

3.13: Ge Microsoft åtkomst till relevanta kunddata under supportscenarier

Vägledning: Inte tillgänglig; Customer Lockbox stöds för närvarande inte för Azure Container Instances.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

4.1: Upprätthålla en inventering av känslig information

Vägledning: Använd resurstaggar för att hjälpa till att spåra Azure-containerregister som lagrar eller bearbetar känslig information.

Tagga och versionscontaineravbildningar eller andra artefakter i ett register samt låsa avbildningar eller lagringsplatser för att hjälpa till att spåra avbildningar som lagrar eller bearbetar känslig information.

Ansvar: Kund

4.2: Isolera system som lagrar eller bearbetar känslig information

Vägledning: Implementera separata containerregister, prenumerationer och/eller hanteringsgrupper för utveckling, testning och produktion. Resurser som lagrar eller bearbetar känsliga data bör vara tillräckligt isolerade.

Resurser bör avgränsas med virtuellt nätverk eller undernät, taggas på lämpligt sätt och skyddas av en nätverkssäkerhetsgrupp (NSG) eller Azure Firewall.

Ansvar: Kund

4.3: Övervaka och blockera obehörig överföring av känslig information

Vägledning: Distribuera ett automatiserat verktyg i nätverksperimeter som övervakar obehörig överföring av känslig information och blockerar sådana överföringar samtidigt som informationssäkerhetspersonal varnas.

För den underliggande plattformen som hanteras av Microsoft behandlar Microsoft alla kunddata som känsliga och gör stora åtgärder för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Delad

4.4: Kryptera all känslig information under överföring

Vägledning: Se till att alla klienter som ansluter till din Azure Container Registry kan förhandla om TLS 1.2 eller senare. Microsoft Azure-resurser förhandlar om TLS 1.2 som standard.

Följ Microsoft Defender for Cloud-rekommendationer för kryptering i vila och kryptering under överföring, i förekommande fall.

Ansvar: Delad

4.5: Använd ett aktivt identifieringsverktyg för att identifiera känsliga data

Vägledning: Om du använder ett molnbaserat privat register som Azure-containerregistret med Azure Container Instances är dataidentifiering, klassificering och förlustskyddsfunktioner ännu inte tillgängliga för Azure Container Registry. Implementera en tredjepartslösning om det behövs i efterlevnadssyfte.

För den underliggande plattformen som hanteras av Microsoft behandlar Microsoft alla kunddata som känsliga och gör stora åtgärder för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Delad

4.6: Använd rollbaserad åtkomstkontroll för att styra åtkomsten till resurser

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera åtkomst till data och resurser i ett Azure-containerregister.

Ansvar: Kund

4.7: Använd värdbaserad dataförlustskydd för att framtvinga åtkomstkontroll

Vägledning: Om det krävs för efterlevnad av beräkningsresurser implementerar du ett verktyg från tredje part, till exempel en automatiserad lösning för dataförlustskydd för värdbaserad dataförlust, för att framtvinga åtkomstkontroller till data även när data kopieras från ett system.

För den underliggande plattformen som hanteras av Microsoft behandlar Microsoft alla kunddata som känsliga och gör stora åtgärder för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Delad

4.8: Kryptera känslig information i vila

Vägledning: Använd kryptering i vila på alla Azure-resurser. Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances krypteras som standard alla data i ett Azure-containerregister i vila med hjälp av Microsoft-hanterade nycklar.

Ansvar: Kund

4.9: Logga och avisera om ändringar av viktiga Azure-resurser

Vägledning: Log Analytics-arbetsytor ger en central plats för lagring och frågekörning av loggdata inte bara från Azure-resurser, utan även lokala resurser och resurser i andra moln. Azure Container Instances innehåller inbyggt stöd för att skicka loggar och händelsedata till Azure Monitor-loggar.

Ansvar: Kund

Sårbarhetshantering

Mer information finns i Azure Security Benchmark: Vulnerability Management( Azure Security Benchmark: Vulnerability Management).

5.1: Kör automatiserade verktyg för sårbarhetsgenomsökning

Vägledning: Dra nytta av lösningar för att skanna containeravbildningar i ett privat register och identifiera potentiella sårbarheter. Det är viktigt att förstå djupet av hotidentifieringen som de olika lösningarna tillhandahåller. Följ rekommendationerna från Microsoft Defender för molnet om att utföra sårbarhetsbedömningar på dina containeravbildningar. Du kan också distribuera lösningar från tredje part från Azure Marketplace för att utföra sårbarhetsbedömningar av avbildningar.

Ansvar: Kund

5.2: Distribuera automatiserad lösning för uppdatering av operativsystem

Vägledning: Automatisera uppdateringar av containeravbildningar när uppdateringar av basavbildningar från operativsystemet och andra korrigeringar identifieras.

Microsoft utför korrigeringshantering för de underliggande system som stöder körning av Azure Container Instances.

Ansvar: Delad

5.3: Distribuera automatiserad korrigeringshanteringslösning för programvarutitlar från tredje part

Vägledning: Du kan använda en tredjepartslösning för att korrigera programbilder. Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances kan du också köra Azure Container Registry uppgifter för att automatisera uppdateringar av programavbildningar i ett containerregister baserat på säkerhetskorrigeringar eller andra uppdateringar i basavbildningar.

Ansvar: Kund

5.4: Jämför sårbarhetsgenomsökningar från back-to-back

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances integrerar du Azure Container Registry (ACR) med Microsoft Defender för molnet för att aktivera regelbunden genomsökning av containeravbildningar efter säkerhetsrisker. Du kan också distribuera lösningar från tredje part från Azure Marketplace för att utföra periodiska sårbarhetsgenomsökningar av avbildningar.

Ansvar: Kund

5.5: Använd en riskklassificeringsprocess för att prioritera reparation av identifierade sårbarheter

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry med Azure Container Instances kan du integrera Azure Container Registry (ACR) med Microsoft Defender för molnet för att aktivera regelbunden genomsökning av containeravbildningar för säkerhetsrisker och för att klassificera risker. Du kan också distribuera lösningar från tredje part från Azure Marketplace för att utföra periodiska avbildningssårbarhetsgenomsökningar och riskklassificering.

Ansvar: Kund

Inventerings- och tillgångshantering

Mer information finns i Azure Security Benchmark: Inventory and Asset Management (Azure Security Benchmark: Inventory and Asset Management).

6.1: Använd automatiserad tillgångsidentifieringslösning

Vägledning: Använd Azure Resource Graph för att fråga/identifiera alla resurser (till exempel beräkning, lagring, nätverk, portar och protokoll osv.) i dina prenumerationer. Kontrollera lämpliga (läsbehörigheter) i din klientorganisation och räkna upp alla Azure-prenumerationer samt resurser i dina prenumerationer.

Även om klassiska Azure-resurser kan identifieras via Resource Graph rekommenderar vi starkt att du skapar och använder Azure Resource Manager resurser framöver.

Ansvar: Kund

6.2: Underhålla tillgångsmetadata

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry (ACR) med Azure Container Instances underhåller ACR metadata inklusive taggar och manifest för avbildningar i ett register. Följ rekommenderade metoder för att tagga artefakter.

Ansvar: Kund

6.3: Ta bort obehöriga Azure-resurser

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry (ACR) med Azure Container Instances underhåller ACR metadata inklusive taggar och manifest för avbildningar i ett register. Följ rekommenderade metoder för att tagga artefakter.

Ansvar: Kund

6.4: Definiera och underhålla inventeringen av godkända Azure-resurser

Vägledning: Du måste skapa en inventering av godkända Azure-resurser enligt organisationens behov.

Ansvar: Kund

6.5: Övervaka för ej godkända Azure-resurser

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i dina prenumerationer.

Använd Azure Resource Graph för att fråga/identifiera resurser i deras prenumerationer. Kontrollera att alla Azure-resurser som finns i miljön är godkända.

Ansvar: Kund

6.6: Övervaka för program som inte har godkänts i beräkningsresurser

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry (ACR) med Azure Container Instances kan du analysera och övervaka Azure Container Registry loggar för avvikande beteende och regelbundet granska resultaten. Använd Log Analytics-arbetsytan i Azure Monitor för att granska loggar och köra frågor om loggdata.

Ansvar: Kund

6.7: Ta bort icke godkända Azure-resurser och program

Vägledning: Azure Automation ger fullständig kontroll under distribution, åtgärder och avaktivering av arbetsbelastningar och resurser. Du kan implementera en egen lösning för att ta bort obehöriga Azure-resurser.

Ansvar: Kund

6.8: Använd endast godkända program

Vägledning: Utveckla och hantera en lista över tillåtna filer och körbara filer som krävs för att programmet ska fungera korrekt och konfigurera containergenomsökning för att identifiera icke-godkända program. Du kan också skanna containeravbildningar som lagras i Azure Container Registry med Microsoft Defender för containrar för att hitta säkerhetsrisker som finns i dessa avbildningar.

Ansvar: Kund

6.9: Använd endast godkända Azure-tjänster

Vägledning: Använd Azure Policy för att begränsa vilka tjänster du kan etablera i din miljö.

Ansvar: Kund

6.10: Underhåll en inventering av godkända programvarutitlar

Vägledning: Utveckla och hantera en lista över tillåtna filer och körbara filer som krävs för att programmet som körs på Azure Container Instances ska fungera korrekt. Genomför regelbundna säkerhetsgranskningar för ändringar i den här listan och upprätta en central process för att hantera och uppdatera godkända programvarutitlar för din organisation.

Ansvar: Kund

6.11: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Vägledning: Använd operativsystemspecifika konfigurationer eller resurser från tredje part för att begränsa användarnas möjlighet att köra skript i Azure-beräkningsresurser.

Ansvar: Kund

6.12: Begränsa användarnas möjlighet att köra skript i beräkningsresurser

Vägledning: Använd operativsystemspecifika konfigurationer eller resurser från tredje part för att begränsa användarnas möjlighet att köra skript i Azure-beräkningsresurser.

Ansvar: Kund

6.13: Fysiskt eller logiskt avgränsa högriskprogram

Vägledning: Programvara som krävs för affärsverksamhet, men som kan medföra högre risk för organisationen, bör isoleras i sin egen virtuella dator och/eller virtuella nätverk och skyddas tillräckligt med antingen en Azure Firewall eller en nätverkssäkerhetsgrupp.

Ansvar: Kund

Säker konfiguration

Mer information finns i Azure Security Benchmark: Säker konfiguration.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Vägledning: Använd Azure Policy eller Microsoft Defender för molnet för att underhålla säkerhetskonfigurationer för alla Azure-resurser.

Ansvar: Kund

7.2: Upprätta säkra operativsystemkonfigurationer

Vägledning: Gäller inte för Azure Container Instances (ACI). ACI tillhandahåller som standard en säkerhetsoptimerad värdoperativsystem (OS) för den underliggande infrastrukturen. Det finns inget aktuellt alternativ för att välja ett alternativt eller anpassat operativsystem.

Ansvar: Ej tillämpligt

7.3: Underhålla säkra Azure-resurskonfigurationer

Vägledning: Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säkra inställningar för dina Azure-resurser.

Om du använder ett molnbaserat privat register som Azure Container Registry (ACR) med Azure Container Instances granskar du efterlevnaden av Azure-containerregister med hjälp av Azure Policy.

Ansvar: Kund

7.4: Underhålla säkra operativsystemkonfigurationer

Vägledning: Gäller inte för Azure Container Instances (ACI). ACI tillhandahåller som standard en säkerhetsoptimerad värdoperativsystem (OS) för den underliggande infrastrukturen. Det finns inget aktuellt alternativ för att välja ett alternativt eller anpassat operativsystem.

Ansvar: Ej tillämpligt

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Vägledning: Om du använder anpassade Azure-principdefinitioner använder du Azure Repos för att lagra och hantera koden på ett säkert sätt.

Ansvar: Kund

7.6: Lagra anpassade operativsystemavbildningar på ett säkert sätt

Vägledning: Gäller inte för Azure Container Instances (ACI). ACI tillhandahåller som standard en säkerhetsoptimerad värdoperativsystem (OS). Det finns inget aktuellt alternativ för att välja ett alternativt eller anpassat operativsystem.

Ansvar: Ej tillämpligt

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Vägledning: Använd Azure Policy för att avisera, granska och framtvinga systemkonfigurationer. Utveckla dessutom en process och pipeline för att hantera principfel.

Om du använder ett molnbaserat privat register som Azure Container Registry (ACR) med Azure Container Instances granskar du efterlevnaden av Azure-containerregister med hjälp av Azure Policy.

Ansvar: Kund

7.8: Distribuera konfigurationshanteringsverktyg för operativsystem

Vägledning: Inte tillämpligt, Azure Container Instances underliggande värdoperativsystemet skyddas och konfigureras av Microsoft. För containrar som körs ovanpå tjänsten rekommenderas hanteringen av dessa avbildningar att uppnås via en säker avbildningsversionsprocess med hjälp av en CI/CD-pipeline eller avbildningsverktyget.

Ansvar: Ej tillämpligt

7.9: Implementera automatisk konfigurationsövervakning för Azure-resurser

Vägledning: Använd Microsoft Defender för molnet för att utföra baslinjegenomsökningar för dina Azure-resurser.

Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i dina prenumerationer.

Om du använder ett molnbaserat privat register som Azure Container Registry (ACR) med Azure Container Instances granskar du efterlevnaden av Azure-containerregister med hjälp av Azure Policy.

Ansvar: Kund

7.10: Implementera automatisk konfigurationsövervakning för operativsystem

Vägledning: Använd Microsoft Defender för molnet för att utföra baslinjegenomsökningar för OS- och Docker-inställningar för containrar.

Ansvar: Kund

7.11: Hantera Azure-hemligheter på ett säkert sätt

Vägledning: Använd hanterad tjänstidentitet tillsammans med Azure Key Vault för att förenkla och skydda hemlig hantering för dina molnprogram.

Ansvar: Kund

7.12: Hantera identiteter på ett säkert och automatiskt sätt

Vägledning: Använd hanterade identiteter för att tillhandahålla Azure-tjänster med en automatiskt hanterad identitet i Azure Active Directory (Azure AD). Med hanterade identiteter kan du autentisera till alla tjänster som stöder Azure AD-autentisering, inklusive Azure Key Vault, utan några autentiseringsuppgifter i koden.

Om du använder ett molnbaserat privat register som Azure Container Registry (ACR) med Azure Container Instances granskar du efterlevnaden av Azure-containerregister med hjälp av Azure Policy.

Ansvar: Kund

7.13: Eliminera exponering av oavsiktliga autentiseringsuppgifter

Vägledning: Implementera skanner för autentiseringsuppgifter för att identifiera autentiseringsuppgifter i kod. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.

Ansvar: Kund

Skydd mot skadlig kod

Mer information finns i Azure Security Benchmark: Malware Defense.

8.1: Använd centralt hanterad programvara mot skadlig kod

Vägledning: Använd Microsofts program mot skadlig kod för Azure Cloud Services och Virtual Machines för att kontinuerligt övervaka och försvara dina resurser. För Linux använder du en lösning för skydd mot skadlig kod från tredje part.

Ansvar: Kund

8.2: Förgenomsöka filer som ska laddas upp till azure-resurser som inte beräknas

Vägledning: Genomsök alla filer som laddas upp till dina ACI-resurser i förväg. Använd Security Centers hotidentifiering för datatjänster för att identifiera skadlig kod som laddats upp till lagringskonton om du använder ett Azure Storage-konto som ett datalager.

För den underliggande tjänstinfrastrukturen hanterar Microsoft filgenomsökning.

Ansvar: Delad

8.3: Se till att programvara och signaturer mot skadlig kod uppdateras

Vägledning: Microsoft hanterar skadlig kod mot underliggande containerinstanstjänst och Azure-plattformen.

Ansvar: Microsoft

Dataåterställning

Mer information finns i Azure Security Benchmark: Data Recovery.

9.1: Se till att regelbundna automatiserade säkerhetskopieringar

Vägledning: Om du använder ett molnbaserat privat register som Azure Container Registry (ACR) med Azure Container Instances replikeras alltid data i ditt Microsoft Azure-containerregister automatiskt för att säkerställa hållbarhet och hög tillgänglighet. Azure Container Registry kopierar dina data så att de skyddas från planerade och oplanerade händelser.

Du kan också geo-replikera ett containerregister för att underhålla registerrepliker i flera Azure-regioner.

Ansvar: Kund

9.2: Utför fullständiga systemsäkerhetskopior och säkerhetskopiera eventuella kundhanterade nycklar

Vägledning: Om du vill kan du säkerhetskopiera containeravbildningar genom att importera från ett register till ett annat.

Säkerhetskopiera kundhanterade nycklar i Azure Key Vault med hjälp av Azures kommandoradsverktyg eller SDK:er.

Ansvar: Kund

9.3: Verifiera alla säkerhetskopior, inklusive kundhanterade nycklar

Vägledning: Testa återställning av säkerhetskopierade kundhanterade nycklar i Azure Key Vault med hjälp av Azure-kommandoradsverktyg eller SDK:er.

Ansvar: Kund

9.4: Skydda säkerhetskopior och kundhanterade nycklar

Vägledning: Aktivera mjuk borttagning i Azure Key Vault för att skydda nycklar mot oavsiktlig eller skadlig borttagning.

Ansvar: Kund

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

10.1: Skapa en guide för incidenthantering

Vägledning: Skapa en guide till incidentsvar för organisationen. Se till att det finns skriftliga planer för incidentsvar som definierar alla personalroller och faser i incidenthanteringen, från identifiering till granskning efter incidenten.

Ansvar: Kund

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på att hitta, eller den analys som används för att utfärda aviseringen. Allvarlighetsgraden är också kopplad till konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera dessutom prenumerationer med taggar och skapa ett namngivningssystem för att identifiera och kategorisera Azure-resurser, särskilt de som bearbetar känsliga data. Det är ditt ansvar att prioritera reparationen av aviseringar baserat på allvarlighetsgrad för De Azure-resurser och den miljö där incidenten inträffade.

Ansvar: Kund

10.3: Testa procedurer för säkerhetshantering

Vägledning: Utför övningar för att testa systemens incidenthanteringsfunktioner med jämna mellanrum. Identifiera svaga punkter och luckor, och ändra planen efter behov.

Ansvar: Kund

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Vägledning: Kontaktinformation för säkerhetsincidenter kommer att användas av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att kundens data har använts av en olaglig eller obehörig part. Granska incidenter i efterhand för att se till att problemen är lösta.

Ansvar: Kund

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Vägledning: Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med funktionen Kontinuerlig export. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt. Du kan använda dataanslutningsappen Microsoft Defender för molnet för att strömma aviseringarna till Microsoft Sentinel.

Ansvar: Kund

10.6: Automatisera svaret på säkerhetsaviseringar

Vägledning: Använd funktionen Arbetsflödesautomatisering i Microsoft Defender för molnet för att automatiskt utlösa svar via "Logic Apps" för säkerhetsaviseringar och rekommendationer.

Ansvar: Kund

Intrångstester och Red Team-övningar (rött lag)

Mer information finns i Azure Security Benchmark: Penetrationstester och red team-övningar.

11.1: Utför regelbunden penetrationstestning av dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas

Vägledning: Följ Microsoft Cloud Penetration Testing Rules of Engagement för att se till att intrångstesterna inte bryter mot Microsofts principer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Delad

Nästa steg