Azure-säkerhetsbaslinje för Azure Cosmos DB

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 till Azure Cosmos DB. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Cosmos DB.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Cosmos DB, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Azure Cosmos DB mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Cosmos DB-säkerhetsbaslinjen.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: När du distribuerar Cosmos DB-resurser skapar eller använder du ett befintligt virtuellt nätverk. Se till att alla virtuella Azure-nätverk följer en princip för företagssegmentering som överensstämmer med affärsriskerna. Alla system som kan medföra högre risk för organisationen bör isoleras i sitt eget virtuella nätverk och skyddas tillräckligt med en nätverkssäkerhetsgrupp (NSG) och/eller Azure Firewall.

Använd Microsoft Defender för molnanpassad nätverkshärdning för att rekommendera konfigurationer av nätverkssäkerhetsgrupper som begränsar portar och käll-IP-adresser baserat på referensen till regler för extern nätverkstrafik.

Baserat på dina program och företagets segmenteringsstrategi begränsar eller tillåter du trafik mellan interna resurser baserat på reglerna för nätverkssäkerhetsgruppen. För specifika, väldefinierade program (till exempel en app med tre nivåer) kan detta vara en mycket säker neka som standard.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.DocumentDB:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Cosmos DB-konton bör ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel som definierats med det aktiverade filtret för virtuellt nätverk anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.0.0

NS-2: Koppla samman privata nätverk

Vägledning: Använd Azure ExpressRoute eller Ett virtuellt privat Azure-nätverk (VPN) för att skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar upprättas inte via offentligt internet, och de är tillförlitligare, snabbare och har kortare svarstider och högre säkerhet än vanliga anslutningar över internet. För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk med valfri kombination av dessa VPN-alternativ och Azure ExpressRoute.

Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och sparas i Azure-stamnätverket.

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Använd Azure Private Link för att aktivera privat åtkomst till Cosmos DB från dina virtuella nätverk utan att korsa Internet.

Privat åtkomst är ett ytterligare skydd i djupmått för autentisering och trafiksäkerhet som erbjuds av Azure-tjänster.

Ansvar: Kund

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Skydda dina Cosmos DB-resurser mot attacker från externa nätverk, inklusive DDoS-attacker (Distributed Denial of Service), programspecifika attacker och oönskad och potentiellt skadlig Internettrafik. Använd Azure Firewall för att skydda program och tjänster mot potentiellt skadlig trafik från Internet och andra externa platser. Skydda dina tillgångar mot DDoS-attacker genom att aktivera DDoS-standardskydd i dina virtuella Azure-nätverk. Använd Microsoft Defender för molnet för att identifiera felkonfigurationsrisker för dina nätverksrelaterade resurser.

Cosmos DB är inte avsett att köra webbprogram och kräver inte att du konfigurerar ytterligare inställningar eller distribuerar extra nätverkstjänster för att skydda den mot externa nätverksattacker som riktar sig mot webbprogram.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.DocumentDB:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Cosmos DB-konton bör ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB-konton för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel som definierats med det aktiverade filtret för virtuellt nätverk anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, neka, inaktiverad 2.0.0

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Azure Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall som konfigurerats för dina Cosmos DB-resurser. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen i rätt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Tjänsttaggen AzureCosmosDB stöds för utgående användning och kan vara regional och kan användas med Azure Firewall.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Följ metodtipsen för DNS-säkerhet för att minimera vanliga attacker som dinglande DNS-, DNS-förstärkningsattacker, DNS-förgiftning och förfalskning osv.

När Azure DNS används som din auktoritativa DNS-tjänst ska du se till att DNS-zoner och poster skyddas mot oavsiktliga eller skadliga ändringar med hjälp av Azure RBAC och resurslås.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Cosmos DB använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault-, PaaS- och SaaS-program.
  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör ha hög prioritet i organisationens molnsäkerhetspraxis. Azure AD tillhandahåller en identitetssäkerhetspoäng som hjälper dig att utvärdera identitetssäkerhetsstatus i förhållande till Microsofts rekommendationer för bästa praxis. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Obs! Azure AD stöder externa identiteter som gör att användare utan Ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

Azure Cosmos DB har inbyggd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för vanliga hanteringsscenarier i Azure Cosmos DB. En person som har en profil i Azure Active Directory kan tilldela dessa Azure-roller till användare, grupper, tjänstens huvudnamn eller hanterade identiteter för att bevilja eller neka åtkomst till resurser och åtgärder på Azure Cosmos DB-resurser. Rolltilldelningar är begränsade till endast kontrollplansåtkomst, vilket omfattar åtkomst till Azure Cosmos-konton, databaser, containrar och erbjudanden (dataflöde).

Azure Cosmos DB erbjuder tre sätt att styra åtkomsten till dina data. Primära nycklar är delade hemligheter som tillåter hantering eller dataåtgärder. De finns i både skrivskyddade och skrivskyddade varianter. Rollbaserad åtkomstkontroll ger detaljerad, rollbaserad behörighetsmodell med hjälp av Azure Active Directory-identiteter (AAD) för autentisering. Resurstoken ger detaljerad behörighetsmodell baserat på interna Azure Cosmos DB-användare och behörigheter.

Ansvar: Delad

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Cosmos DB stöder hanterade identiteter för sina Azure-resurser. Använd hanterade identiteter med Cosmos DB i stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser. Cosmos DB kan internt autentisera till Azure-tjänster/-resurser som stöder Azure AD autentisering via en fördefinierad regel för åtkomstbeviljande utan att använda autentiseringsuppgifter hårdkodade i källkods- eller konfigurationsfiler.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Cosmos DB integreras med Azure Active Directory (Azure AD) för att tillhandahålla identitets- och åtkomsthantering till sina Azure-resurser. Azure Cosmos DB använder två typer av nycklar för att auktorisera användare och stöder inte enkel Sign-On (SSO) på dataplansnivå. Åtkomst till kontrollplanet för Cosmos DB är dock tillgängligt via REST API och har stöd för enkel inloggning. Om du vill autentisera anger du auktoriseringshuvudet för dina begäranden till en JSON-webbtoken som du får från Azure AD.

Ansvar: Delad

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Cosmos DB är inte avsett att lagra kod, men för ARM-mallar som är relaterade till dina Cosmos DB-distributioner rekommenderar vi att du implementerar Credential Scanner på de lagringsplatser som lagrar dessa mallar för att identifiera autentiseringsuppgifter i konfigurationer. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: De mest kritiska inbyggda rollerna för Azure AD är global administratör och privilegierad rolladministratör, eftersom användare som är tilldelade till dessa två roller kan delegera administratörsroller:

  • Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD, samt tjänster som använder Azure AD identiteter.
  • Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD, samt inom Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter.

Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller med vissa privilegierade behörigheter tilldelade. Du kanske också vill tillämpa liknande kontroller på administratörskontot för kritiska affärstillgångar.

Du bör begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå. Användare med den här behörigheten kan direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö.

Du kan aktivera jit-privilegierad åtkomst (just-in-time) till Azure-resurser och Azure AD med hjälp av Azure AD PIM. JIT beviljar temporära behörigheter för att utföra privilegierade uppgifter endast när användarna behöver det. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Cosmos DB använder Azure Active Directory-konton (Azure AD) för att hantera sina resurser, granska användarkonton och komma åt tilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Du kan använda Azure AD och åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton. Du kan också använda Azure AD Privileged Identity Management (PIM) för att skapa arbetsflöden för åtkomstgranskningsrapporter för att underlätta granskningsprocessen.

Dessutom kan Azure AD PIM också konfigureras för att varna dig när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

Azure Cosmos DB har 5 inbyggda roller:

  • DocumentDB-kontodeltagaren kan hantera Azure Cosmos DB-konton.
  • Cosmos DB-kontoläsaren kan läsa Azure Cosmos DB-kontodata.
  • Cosmos Backup-operatören kan skicka en återställningsbegäran för Azure Portal för en periodisk säkerhetskopieringsaktiverad databas eller en container och ändra säkerhetskopieringsintervallet och kvarhållningen på Azure Portal.
  • CosmosRestoreOperator kan utföra återställningsåtgärden för Azure Cosmos DB-kontot med kontinuerligt säkerhetskopieringsläge.
  • Cosmos DB-operatören kan etablera Azure Cosmos-konton, databaser och containrar.

Läs mer i följande referenser:

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbetsstationer och/eller Azure Bastion för administrativa uppgifter. Använd Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) och/eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. De skyddade arbetsstationerna kan hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer samt begränsad logisk åtkomst och nätverksåtkomst.

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Cosmos DB är integrerat med rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, grupper av tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell eller Azure Portal. De behörigheter som du tilldelar resurser via Azure RBAC bör alltid vara begränsade till vad som krävs av rollerna. Detta kompletterar JIT-metoden (just-in-time) för Azure AD Privileged Identity Management (PIM) och bör granskas regelbundet.

Använd inbyggda roller för att allokera behörigheter och endast skapa anpassade roller när det behövs.

Azure Cosmos DB har fem inbyggda roller som hjälper dig att hantera åtkomst till konfiguration och data. Ge användarna den lägsta åtkomstnivå som krävs för att slutföra sitt arbete.

Ansvar: Kund

PA-8: Välj godkännandeprocess för Microsoft-support

Vägledning: Cosmos DB stöder inte kundlåsbox. Microsoft kan arbeta med kunder via en icke-låsbox-metod för att godkänna åtkomst till kunddata.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Vägledning: Funktioner för automatisk dataidentifiering, klassificering och förlustskydd är ännu inte tillgängliga för Azure Cosmos DB. Du kan dock använda Azure Cognitive Search integrering för klassificering och dataanalys. Du kan också implementera en tredjepartslösning om det behövs i efterlevnadssyfte.

För den underliggande plattformen som hanteras av Microsoft behandlar Microsoft allt kundinnehåll som känsligt och räcker till för att skydda mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra har Microsoft implementerat och underhåller en uppsättning robusta dataskyddskontroller och funktioner.

Ansvar: Kund

DP-2: Skydda känsliga data

Vägledning: Skydda känsliga data genom att begränsa åtkomsten med rollbaserad åtkomstkontroll i Azure (Azure RBAC), nätverksbaserade åtkomstkontroller och specifika kontroller i Azure-tjänster (till exempel kryptering).

För att säkerställa konsekvent åtkomstkontroll bör alla typer av åtkomstkontroll anpassas till din strategi för företagssegmentering. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.

För den underliggande plattformen (som hanteras av Microsoft) behandlar Microsoft allt kundinnehåll som känsligt och skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure alltid är skyddade har Microsoft implementerat vissa standardkontroller och funktioner för dataskydd.

Cosmos DB stöder även kundhanterade nycklar för ytterligare en krypteringsnivå.

Ansvar: Delad

DP-3: Övervaka obehörig överföring av känsliga data

Vägledning: Cosmos DB stöder Advanced Threat Protection. Advanced Threat Protection för Azure Cosmos DB ger ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja Azure Cosmos DB-konton. Med det här skyddsskiktet kan du hantera hot, även utan att vara säkerhetsexpert, och integrera dem med centrala säkerhetsövervakningssystem.

Ansvar: Kund

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontroller bör data under överföring skyddas mot "out of band"-attacker (till exempel trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Cosmos DB stöder datakryptering under överföring med TLS v1.2 eller senare.

Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS-, SSH-versioner och protokoll samt svaga chiffer bör inaktiveras.

Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

Alla anslutningar till Azure Cosmos DB stöder HTTPS. Alla konton som skapats efter den 29 juli 2020 har en lägsta TLS-version av TLS 1.2 som standard. Du kan begära att den lägsta TLS-versionen av dina konton som skapades före den 29 juli 2020 uppgraderas till TLS 1.2 genom att azurecosmosdbtls@service.microsoft.comkontakta .

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Cosmos DB vilande data för att skydda mot "out of band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

Data som lagras i ditt Azure Cosmos-konto krypteras automatiskt och sömlöst med nycklar som hanteras av Microsoft (tjänsthanterade nycklar). Du kan också välja att lägga till ett andra krypteringslager med nycklar som du hanterar (kundhanterade nycklar).

Ansvar: Delad

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.DocumentDB:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. granska, neka, inaktiverad 1.0.2

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Tillämpa taggar på dina Azure Cosmos DB-instanser och relaterade resurser med relevanta metadata, till exempel spårning av Azure Cosmos DB-instanser som lagrar eller bearbetar känslig information. Cosmos DB tillåter inte körning av ett program eller installation av programvara på dess resurser.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Cosmos DB stöder nekande av resursdistributioner med Azure Policy, vilket gör att du kan begränsa distributioner där den här tjänsten ännu inte har godkänts. Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö enligt dina säkerhetsbehov. Använd Azure Resource Graph för att fråga efter och identifiera resurser i dina prenumerationer. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd den inbyggda hotidentifieringsfunktionen i Microsoft Defender för molnet och aktivera Microsoft Defender för dina Cosmos DB-resurser. Microsoft Defender för Cosmos DB tillhandahåller ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina Cosmos DB-resurser.

Vidarebefordra alla loggar från Cosmos DB till din SIEM, som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure Active Directory (Azure AD) innehåller följande användarloggar, som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:

  • Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.
  • Granskningsloggar – Ger spårbarhet via loggar för alla ändringar som gjorts via olika funktioner i Azure AD. Exempel på granskningsloggar är ändringar som görs i alla resurser inom Azure AD, till exempel lägga till eller ta bort användare, appar, grupper, roller och principer.
  • Riskfyllda inloggningar – En riskfylld inloggning indikerar ett potentiellt inloggningsförsök av någon annan än användarkontots ägare.
  • Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.

Microsoft Defender för molnet kan också utlösa aviseringar om vissa misstänkta aktiviteter, till exempel överdrivet många misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen. Förutom den grundläggande säkerhetshygienövervakningen kan Microsoft Defender för molnets hotskyddsmodul också samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (virtuella datorer, containrar, apptjänst), dataresurser (SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du ha insyn i kontoavvikelser i enskilda resurser.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Cosmos DB distribuerar inga resurser direkt till ett virtuellt nätverk. Med Cosmos DB kan du dock använda privata slutpunkter för att ansluta säkert till dess resurser från ett virtuellt nätverk. Cosmos DB varken producerar eller bearbetar DNS-frågeloggar som måste aktiveras.

Aktivera loggning på dina konfigurerade privata Cosmos DB-slutpunkter för insamling:

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar, som är automatiskt tillgängliga, innehåller alla skrivåtgärder (PUT, POST, DELETE) för dina Cosmos DB-resurser förutom läsåtgärder (GET). Aktivitetsloggar kan användas för att hitta ett fel vid felsökning eller för att övervaka hur en användare i din organisation ändrade en resurs.

Aktivera Azure-resursloggar för Cosmos DB. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

Ansvar: Kund

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggning, lagring och analys av Cosmos DB-loggar. Se till att du integrerar Azure-aktivitetsloggar som skapats av Cosmos DB-hanteringsåtgärder i din centrala loggningslösning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och utföra analyser och använda Azure Storage-konton för långsiktig lagring och arkivlagring.

Dessutom aktiverar och registrerar du data till Microsoft Sentinel eller en SIEM från tredje part.

Många organisationer väljer att använda Microsoft Sentinel för "frekventa" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.

Ansvar: Kund

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Se till att alla lagringskonton eller Log Analytics-arbetsytor som används för att lagra loggar som skapats av dina Cosmos DB-resurser har loggkvarhållningsperioden inställd enligt organisationens efterlevnadsregler.

I Azure Monitor kan du ange kvarhållningsperioden för Log Analytics-arbetsytan enligt organisationens efterlevnadsregler. Använd Azure Storage-, Data Lake- eller Log Analytics-arbetsytekonton för långsiktig lagring och arkivering.

Ansvar: Kund

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Du kan använda Azure Blueprints för att automatisera distributionen och konfigurationen av Cosmos DB-tjänsten, inklusive Azure Resources Manager-mallar, Azure RBAC-kontroller och principer, i en enda skissdefinition.

Advanced Threat Protection för Azure Cosmos DB ger ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja Azure Cosmos DB-konton. Med det här skyddsskiktet kan du hantera hot, även utan att vara säkerhetsexpert, och integrera dem med centrala säkerhetsövervakningssystem.

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Använd Microsoft Defender för molnet för att övervaka din konfigurationsbaslinje och framtvinga dessa konfigurationer med hjälp av Azure Policy [neka] och [distribuera om det inte finns] effekter för att upprätthålla säker konfiguration över dina Cosmos DB-resurser.

Använd Azure Policy alias i namnområdet "Microsoft.DocumentDB" för att skapa anpassade principer för att avisera, granska och framtvinga systemkonfigurationer. Utveckla dessutom en process och pipeline för att hantera principfel.

Ansvar: Kund

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks.

Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Kund

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Vägledning: Azure Cosmos DB säkerhetskopierar automatiskt dina data med jämna mellanrum. Om databasen eller containern tas bort kan du skapa ett supportärende eller anropa Azure Support för att återställa data från automatiska onlinesäkerhetskopieringar. Azure Support är endast tillgängligt för valda planer, till exempel Standard, Developer och planer som är högre än dem. För att återställa en specifik ögonblicksbild av säkerhetskopian kräver Azure Cosmos DB att data är tillgängliga under säkerhetskopieringscykeln för ögonblicksbilden.

Om du använder Key Vault för att lagra autentiseringsuppgifter för dina Cosmos DB-instanser kontrollerar du regelbundna automatiska säkerhetskopior av dina nycklar.

Ansvar: Delad

BR-2: Kryptera säkerhetskopierade data

Vägledning: Alla användardata som lagras i Cosmos DB krypteras i vila som standard. Det finns inga kontroller för att stänga av den. Azure Cosmos DB använder AES-256-kryptering i alla regioner där kontot körs.

Som standard hanterar Microsoft de nycklar som används för att kryptera data i ditt Azure Cosmos-konto. Du kan också välja att lägga till ett andra krypteringslager med dina egna nycklar.

Ansvar: Microsoft

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Azure Cosmos DB säkerhetskopierar automatiskt dina data med jämna mellanrum. Om databasen eller containern tas bort kan du skapa ett supportärende eller anropa Azure Support för att återställa data från automatiska onlinesäkerhetskopieringar. För att återställa en specifik ögonblicksbild av säkerhetskopian kräver Azure Cosmos DB att data är tillgängliga under säkerhetskopieringscykeln för ögonblicksbilden.

Om du använder Key Vault för att lagra autentiseringsuppgifter för dina Cosmos DB-instanser som är krypterade med kundhanterade nycklar kontrollerar du regelbundna automatiska säkerhetskopior av dina nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Se till att du har åtgärder för att förhindra och återställa från förlust av nycklar. Aktivera skydd mot mjuk borttagning och rensning i Azure Key Vault för att skydda dina krypteringsnycklar mot oavsiktlig eller skadlig borttagning.

Ansvar: Kund

Nästa steg