Azure-säkerhetsbaslinje för Azure Data Box

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 till Azure Data Box. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Data Box.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Data Box, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Azure Data Box mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Säkerhetsbaslinje för Azure Data Box.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Azure Data Box stöder inte distribution direkt till ett virtuellt nätverk. Du kan inte använda vissa nätverksfunktioner med erbjudandets resurser, till exempel:

• Nätverkssäkerhetsgrupper (NSG:er)
• Routningstabeller
• Andra nätverksberoende enheter, till exempel en Azure Firewall

Som standard använder Data Box TLS 1.2. Om något av dina system inte har aktiverat TLS 1.2 kan du med Data Box aktivera TLS 1.1/1.0 via det lokala användargränssnittet.

Lagringskonton med virtuella nätverk stöds. Vill du tillåta att Data Box fungerar med skyddade lagringskonton? Aktivera sedan de betrodda tjänsterna i lagringskontots brandväggsinställningar.

• Lägga till Azure Data Box som en betrodd tjänst

• Äldre TLS-protokoll som Data Box stöder

• Nätverk och portkrav för Data Box

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Följ metodtipsen för DNS-säkerhet. Dessa metoder minimerar vanliga attacker, till exempel:

• Dangling DNS
• DNS-förstärkningsattacker
• DNS-förgiftning och förfalskning

När du använder Azure DNS som auktoritativ DNS-tjänst kontrollerar du att DNS-zoner och -poster skyddas från oavsiktliga eller skadliga ändringar. Använd rollbaserad åtkomstkontroll i Azure (RBAC) och resurslås.

Data Box rekommenderar att du tar med egna certifikat. Om du väljer att använda enhetsgenererade standardcertifikat måste du följa riktlinjerna som beskrivs i det här dokumentet.

Lägg till en referens om DNS-konfigurationer som kunder kan hantera.

• Ansluta via enhetsgenererade certifikat

• Ansluta via certifikat som tillhandahålls av kunden

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Data Box använder lokal autentisering för:

• Kontrollera enhetsåtkomst via en nyckel för enhetslåsning.

• SMB-autentiseringsuppgifter för att kopiera data till och från enheten.

• Azure Storage-kontonycklar för åtkomst till Data Box via REST-API:er.

• IP-adresskonfiguration för NFS-åtkomst.

Mer information finns i följande artiklar:

• Enhetslösenord

• SMB-autentiseringsuppgifter

• NFS-åtkomst

• REST API-åtkomst

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Azure Data Box rekommenderar att du använder Azure Active Directory (Azure AD) för att skapa ett huvudnamn för tjänsten med begränsade behörigheter på resursnivå. Konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgå till klienthemligheter. I båda fallen kan du använda Azure Key Vault med Azure-hanterade identiteter, så att körningsmiljön (till exempel en Azure-funktion) kan hämta autentiseringsuppgifterna från nyckelvalvet.

Med Data Box kan du använda dina egna nycklar för kryptering. Du kan också använda dina egna lösenord för enheten och resurserna.

• Kundhanterade hemligheter

Ansvar: Delad

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Azure Data Box använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för att:

• Azure-resurser
• Molnprogram
• Lokala program

Den här hanteringen omfattar:

• Företagsidentiteter, till exempel anställda.
• Externa identiteter, till exempel partners, leverantörer och leverantörer.

Med den här identitets- och åtkomsthanteringen kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser. Åtkomsten gäller både lokalt och i molnet. Anslut alla användare, program och enheter till Azure AD. Azure AD erbjuder sömlös och säker åtkomst samt bättre synlighet och kontroll.

För att skapa Data Box-resursen använder Data Box Azure AD för att autentisera prenumerationen.

• Skapande och hantering av Data Box-resurser

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: Som standard finns det inga högprivilegierade användare. I sällsynta fall kan du behöva öppna en supportsession (med förhöjd behörighet). Den här supportsessionen kräver samordning med Microsofts supportpersonal.

Kunder behöver inte använda och hantera Azure AD högprivilegierade konton, till exempel administratörskonton på lokal nivå för Data Box.

Ansvar: Delad

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: För att skapa och hantera en Data Box-resurs måste en kund logga in med Azure AD-baserad prenumeration.

Du kan använda dessa inbyggda roller:

• Data Box-läsare. Den här rollen har skrivskyddad åtkomst till beställningar, enligt definitionen i omfånget. Rollen kan bara visa information om en order. Den kan inte komma åt annan information som rör lagringskonton. Det går inte heller att redigera orderinformationen, till exempel adress.

• Data Box-deltagare. Om kunden redan har skrivåtkomst till ett lagringskonto kan den här rollen skapa en order för att överföra data till det kontot. Om kunden inte har åtkomst till ett lagringskonto kan de inte skapa en Data Box-beställning för att kopiera data till kontot. Den här rollen definierar inte några lagringskontorelaterade behörigheter. Den beviljar inte åtkomst till lagringskonton.

• Skapande och hantering av Data Box-resurser

• Inbyggda RBAC-roller för Data Box

Ansvar: Delad

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Azure Data Box integreras med Azure RBAC för att hantera dess resurser.

Du kan styra vem som kan komma åt din Data Box-beställning när den först skapas. Om du vill styra åtkomsten till Data Box-ordningen kan du konfigurera Azure-roller i olika omfattningar.

De två inbyggda rollerna som kan definieras för Azure Data Box-tjänsten är:

• Data Box Reader. Den här rollen har skrivskyddad åtkomst till beställningar, enligt definitionen i omfånget. Rollen kan bara visa information om en order. Den kan inte komma åt någon annan information som är relaterad till lagringskonton. Den kan inte heller redigera orderinformationen, till exempel adress.

• Data Box-deltagare. Om kunden redan har skrivåtkomst till ett lagringskonto kan den här rollen skapa en order om att överföra data till det kontot. Om kunden inte har åtkomst till ett lagringskonto kan de inte skapa en Data Box-order för att kopiera data till kontot. Den här rollen definierar inte några lagringskontorelaterade behörigheter. Den ger inte heller åtkomst till lagringskonton.

• Inbyggda RBAC-roller för Data Box-resurs

Ansvar: Delad

PA-8: Välj godkännandeprocess för Microsoft-support

Vägledning: I supportscenarier där Microsoft behöver åtkomst till kunddata har Azure Data Box stöd för Customer Lockbox. Customer Lockbox tillhandahåller ett gränssnitt som du kan granska och sedan godkänna eller avvisa begäranden om åtkomst till kunddata.

• Förstå kundlåsbox

• Använda Customer Lockbox för Azure Data Box

Ansvar: Delad

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-2: Skydda känsliga data

Vägledning: Skydda känsliga data genom att begränsa åtkomsten med hjälp av:

• Azure RBAC.
• Nätverksbaserade åtkomstkontroller.
• Specifika kontroller i Azure-tjänster (till exempel kryptering).

För att säkerställa konsekvent åtkomstkontroll justerar du alla typer av åtkomstkontroll med din företagsstrategi för segmentering. Informera din strategi för företagssegmentering med platsen för känsliga eller affärskritiska data och system.

För den underliggande Microsoft-hanterade plattformen behandlar Microsoft allt kundinnehåll som känsligt. Den skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra använder Microsoft vissa standardkontroller och funktioner för dataskydd.

Data Box krypterar alla vilande data och alla data under överföring.

• Azure RBAC

• Förstå skydd av kunddata i Azure

• Säkerhetsöversikt för Data Box

Ansvar: Delad

DP-4: Kryptera känslig information under överföring

Vägledning: Data Box stöder SMB-kryptering. NFS stöds också, men kunderna måste kryptera sina data i förväg när de använder det här protokollet.

För att komplettera åtkomstkontrollerna skyddar du data under överföring mot "out of band"-attacker (till exempel trafikinsamling) med hjälp av kryptering. Den här åtgärden säkerställer att angripare inte enkelt kan läsa eller ändra data.

Azure Data Box stöder datakryptering under överföring med TLS v1.2 eller senare.

Även om den här funktionen är valfri för trafik i privata nätverk är den viktig för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Inaktivera svaga chiffer och föråldrade versioner av följande protokoll:

• SSL
• TLS
• SSH

Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

• Förstå kryptering under överföring med Azure

• Information om TLS-säkerhet

• Dubbel kryptering för Azure-data under överföring

• Använda SMB-kryptering med Robocopy

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Azure Data Box vilande data för att skydda mot "out of band"-attacker (till exempel åtkomst till underliggande lagring) som använder kryptering. Den här åtgärden hjälper till att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data kan du implementera extra kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard. Men du kan också hantera dina egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster för att uppfylla regelkraven.

• Förstå kryptering vid vila i Azure

• Dubbelkryptering av vilande data i Azure

• Konfigurera kundhanterade krypteringsnycklar

• Du kan också aktivera dubbel kryptering när du placerar Data Box-beställning

• Använda kundhanterade nycklar i Azure Key Vault för Data Box

Ansvar: Delad

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Bevilja säkerhetsläsare behörigheter till säkerhetsteam i din Azure-klientorganisation och prenumerationer. Sedan kan säkerhetsteam övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Baserat på hur du strukturerar säkerhetsteamets ansvarsområden kan ett centralt säkerhetsteam eller ett lokalt team ansvara för övervakning av säkerhetsrisker. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare i stort sett för en hel klientorganisation (rothanteringsgrupp). Eller så kan du begränsa dessa behörigheter till hanteringsgrupper eller specifika prenumerationer.

Obs! För att få insyn i arbetsbelastningar och tjänster kan extra behörigheter krävas.

• Översikt över säkerhetsläsarrollen

• Översikt över Azure-hanteringsgrupper

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteam har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Azure Data Box. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker. Dessa team behöver också inventeringen som indata för kontinuerliga säkerhetsförbättringar.

Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. Tilldela sedan gruppen läsbehörighet till alla Azure Data Box-resurser. Du kan förenkla den här processen till en enda rolltilldelning på hög nivå i din prenumeration.

Azure Data Box använder inte taggar. Kunder kan inte tillämpa eller använda taggar för resursmetadata för att logiskt organisera dem i en taxonomi.

Med hjälp av inventering av virtuella Azure-datorer automatiserar du insamlingen av information om programvara på Virtual Machines. Azure Portal gör följande informationsfält tillgängliga:

• Programvarunamn
• Version
• Publisher
• Uppdateringstid

Aktivera diagnostik på gästnivå för att få åtkomst till installationsdatum och annan information. Ta sedan windows-händelseloggarna till en Log Analytics-arbetsyta.

Azure Data Box tillåter inte körning av ett program eller installation av programvara på dess resurser.

• Skapa och hantera beställningar via Azure CLI eller Azure PowerShell

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använda Azure Policy, granska och begränsa vilka tjänster som användare kan etablera i din miljö. Med Azure Resource Graph kan du fråga efter och identifiera resurser i deras prenumerationer. Använd också Azure Monitor för att skapa regler som utlöser aviseringar när en tjänst som inte har godkänts identifieras.

• Konfigurera och hantera Azure Policy

• Neka en specifik resurstyp med Azure Policy

• Skapa frågor med Azure Resource Graph Explorer

• Azure Policy inbyggda definitioner för Azure Data Box

• Lägga till Azure Data Box som en betrodd tjänst

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Azure Data Box skapar kundriktade resursloggar som de kan använda för hotidentifiering.

Azure Data Box skapar inte loggar som du kan använda för hotidentifiering. Dessa loggar kan inte vidarebefordras till ett SIEM-verktyg för övervakning och aviseringar.

• Granskningsloggar för Din Azure Data Box

Ansvar: Delad

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure AD innehåller följande användarloggar, som kan visas i Azure AD rapportering. För mer avancerade användningsfall för övervakning och analys kan du integrera dem med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg.

• Inloggningar. Inloggningsrapporten innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.

• Granskningsloggar. Granskningsloggar ger spårning för alla ändringar som görs av olika funktioner i Azure AD. Exempel på granskningsloggar är ändringar som görs i alla resurser inom Azure AD, till exempel att lägga till eller ta bort:

  • Användare
  • Appar
  • Grupper
  • Roller
  • Principer

• Riskfyllda inloggningar. En riskfylld inloggning anger ett inloggningsförsök som kan ha gjorts av någon som inte är användarkontots legitima ägare.

• Användare som flaggats för risk. En riskfylld användare anger ett användarkonto som kan ha komprometterats.

Microsoft Defender för molnet kan också utlösa aviseringar om vissa misstänkta aktiviteter. Dessa aktiviteter kan omfatta ett överdrivet antal misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen. Tillsammans med grundläggande övervakning av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul samla in mer djupgående säkerhetsaviseringar från:

• Enskilda Azure-beräkningsresurser (virtuella datorer, containrar och App Service).
• Dataresurser (SQL DB och lagring).
• Azure-tjänstlager.

Med den här funktionen har du insyn i kontoavvikelser i enskilda resurser.

• Granska aktivitetsrapporter i Azure AD

• Aktivera Azure Identity Protection

• Hotskydd i Microsoft Defender för molnet

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Azure Data Box är inte avsett att distribueras till virtuella nätverk.

Du kan inte använda en NSG för att framtvinga eller skicka trafik till och från Azure Data Box-resurserna. Därför kan du inte konfigurera NSG-flödesloggning för Azure Data Box.

Azure Data Box loggar all nätverkstrafik som bearbetas för kundåtkomst.

Azure Data Box tillåter inte att du konfigurerar eller exponerar DNS-loggning för kunden.

• Granskningsloggar för Din Azure Data Box

Ansvar: Delad

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar innehåller alla skrivåtgärder (PUT, POST och DELETE) för dina Azure Data Box-resurser. Dessa loggar är automatiskt tillgängliga, men de innehåller inte läsåtgärder (GET). Du kan använda aktivitetsloggar för att hitta ett fel vid felsökning. Eller använd dessa loggar för att övervaka hur en användare i din organisation ändrade en resurs.

Data Box genererar följande resursloggar:

• Kopiera loggar
• Granskningsloggar
• BOM-filer i importordning
• Utförliga loggar i exportordning

Azure Data Box skapar även säkerhetsgranskningsloggar för de lokala administratörskontona.

• Samla in plattformsloggar och mått med Azure Monitor

• Förstå loggning och olika loggtyper i Azure

• Förstå datainsamling i Microsoft Defender för molnet

• Data Box-resursloggar

• Data Box-granskningsloggar

Ansvar: Delad

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Data Box använder microsoft NTP-standardservern. Anslut Azure Data Box till nätverket som har åtkomst till standard-NTP-servern. Annars kan Azure Data Box-tiden glida om den är frånkopplad.

Ansvar: Delad

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Azure Data Box stöder inte specifika principer i Microsoft Defender för molnet.

Du kan konfigurera en Azure-princip för att aktivera dubbel kryptering för Azure Data Box. Eller när du gör en beställning för Data Box, begär att aktivera dubbel kryptering för vilande data på enheten.

• Skapa och hantera principer för att använda kompatibilitet

• Skapa en Azure-princip för att aktivera dubbel kryptering på Data Box

• Begära dubbel kryptering för Data Box-beställning

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Data Box konfigurerar och låser alla säkerhetsinställningar för enheten under orderns livslängd.

• Data Box-säkerhetsfunktioner

Ansvar: Microsoft

PV-6: Gör sårbarhetsbedömningar för programvara

Vägledning: Ej tillämpligt; Azure Data Box stöder inga sårbarhetsbedömningar.

Microsoft gör intern sårbarhetsgenomsökning i Azure Data Box.

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Microsoft hanterar alla programuppdateringar från tredje part.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför vid behov intrångstestning eller aktiviteter för röda team på dina Azure-resurser. Se till att alla kritiska säkerhetsresultat åtgärdas.

Följ Microsoft Cloud Penetration Testing Rules of Engagement för att säkerställa att intrångstesterna inte bryter mot Microsofts principer. Använd Microsofts strategi och körning av red teamindelning och intrångstester för livewebbplatser mot Microsoft-hanterad:

• Molninfrastruktur
• Tjänster
• Program

Mer information finns i följande artiklar:

• Intrångstester i Azure

• Regler för intrångstester

• ”Red team”-aktiviteter i Microsoft Cloud

Ansvar: Kund

Slutpunktssäkerhet

Mer information finns i Azure Security Benchmark: Endpoint Security.

ES-2: Använd centralt hanterad modern programvara mot skadlig kod

Vägledning: Azure Data Box har Windows Defender aktiverat.

Ansvar: Microsoft

ES-3: Se till att program och signaturer mot skadlig kod uppdateras

Vägledning: Microsoft aktiverar Windows Defender och underhåller uppdateringarna på Azure Data Box.

Ansvar: Microsoft

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Kontrollera regelbundet att du kan återställa kundhanterade nycklar som har säkerhetskopierats.

• Återställa Key Vault nycklar i Azure

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Ha åtgärder på plats för att förhindra och återställa från förlust av nycklar. Aktivera skydd mot mjuk borttagning och rensning i Azure Key Vault. Den här åtgärden skyddar nycklar mot oavsiktlig eller skadlig borttagning.

• Aktivera mjukt borttagnings- och rensningsskydd i Key Vault

Ansvar: Kund

Nästa steg

• Läs mer i Översikten över Azure Security Benchmark V2
• Läs mer om säkerhetsbaslinjer för Azure