Azure-säkerhetsbaslinje för Azure HPC Cache

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Microsoft Azure HPC Cache. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure HPC Cache.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontroller och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure HPC Cache, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Azure HPC Cache helt mappar till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure HPC Cache säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: När du distribuerar Azure HPC Cache resurser måste du skapa eller använda ett befintligt virtuellt nätverk.

Se till att alla virtuella Azure-nätverk följer en princip för företagssegmentering som överensstämmer med affärsriskerna. Alla system som kan medföra högre risk för organisationen bör isoleras i sitt eget virtuella nätverk och skyddas tillräckligt med antingen en nätverkssäkerhetsgrupp (NSG) och/eller Azure Firewall.

Två nätverksrelaterade krav bör konfigureras innan du kan använda cacheminnet:

  • Ett dedikerat undernät för Azure HPC Cache-instansen

  • DNS-stöd så att cachen kan komma åt lagring och andra resurser

Azure HPC Cache behöver ett dedikerat undernät med följande egenskaper:

  • Undernätet måste ha minst 64 TILLGÄNGLIGA IP-adresser.

  • Kommunikationen i undernätet måste vara obegränsad. Om du använder en nätverkssäkerhetsgrupp för cacheundernätet kontrollerar du att den tillåter alla tjänster mellan interna IP-adresser.

  • Undernätet kan inte vara värd för andra virtuella datorer, även för relaterade tjänster som klientdatorer.

  • Om du använder flera Azure HPC Cache-instanser behöver var och en ett ett eget undernät.

Det bästa sättet är att skapa ett nytt undernät för varje cache. Du kan skapa ett nytt virtuellt nätverk och undernät som en del av att skapa cachen.

Om du vill använda HPC Cache med lokal NAS-lagring måste du se till att vissa portar i det lokala nätverket tillåter obegränsad trafik från Azure HPC Cache undernät.

Så här skapar du en nätverkssäkerhetsgrupp med säkerhetsregler: /azure/virtual-network/tutorial-filter-network-traffic

Distribuera och konfigurera Azure Firewall: /azure/firewall/tutorial-firewall-deploy-portal

Ansvar: Kund

NS-2: Koppla samman privata nätverk

Vägledning: Använd Azure ExpressRoute eller Ett virtuellt privat Azure-nätverk (VPN) för att skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar går inte via det offentliga Internet, och de erbjuder mer tillförlitlighet, snabbare hastigheter och lägre svarstider än vanliga Internetanslutningar. För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk med valfri kombination av dessa VPN-alternativ och Azure ExpressRoute.

Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peerkopplade virtuella nätverk är privat och sparas i Azure-stamnätverket.

De HPC Cache resurserna är endast anslutna till din Azure-Virtual Network och är inte tillgängliga från Azures interna produktionsnätverk. Därför kan du komma åt HPC Cache-tjänsten direkt från ditt virtuella nätverk, från peerkopplade virtuella nätverk eller lokalt via en Virtual Network Gateway (ExpressRoute eller VPN Gateway.) Åtkomst till HPC Cache beräkningsresurser tillåts endast av auktoriserad service-/teknikpersonal som kräver granskad JIT-åtkomst.

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Använd Azure Virtual Network-tjänstslutpunkter för att ge säker åtkomst till HPC Cache. Tjänstslutpunkter är en optimerad väg över Azure-stamnätverket utan att korsa Internet.

HPC Cache stöder inte användning av Azure Private Link för att skydda dess hanteringsslutpunkter till ett privat nätverk.

Privat åtkomst är ytterligare ett djupskyddsmått, förutom autentisering och trafiksäkerhet som erbjuds av Azure-tjänster.

Ansvar: Kund

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Skydda dina HPC Cache resurser mot attacker från externa nätverk, inklusive DDoS-attacker (Distributed Denial of Service), programspecifika attacker och oönskad och potentiellt skadlig Internettrafik.

Azure innehåller inbyggda funktioner för det här skyddet:

  • Använd Azure Firewall för att skydda program och tjänster mot potentiellt skadlig trafik från Internet och andra externa platser.
  • Skydda dina tillgångar mot DDoS-attacker genom att aktivera DDoS-standardskydd i dina virtuella Azure-nätverk.
  • Använd Microsoft Defender för molnet för att identifiera felkonfigurationsrisker relaterade till dina nätverksresurser.

Azure HPC Cache är inte avsett att köra webbprogram och kräver inte att du konfigurerar ytterligare inställningar eller distribuerar några extra nätverkstjänster för att skydda den mot externa nätverksattacker som riktar sig mot webbprogram.

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Ej tillämpligt; den här rekommendationen är avsedd för erbjudanden som kan distribueras till virtuella Azure-nätverk eller har möjlighet att definiera grupper av tillåtna IP-intervall för effektiv hantering. HPC Cache stöder för närvarande inte tjänsttaggar.

Det bästa sättet är att skapa ett nytt undernät för varje cache. Du kan skapa ett nytt virtuellt nätverk och undernät som en del av att skapa cachen.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Följ metodtipsen för DNS-säkerhet för att minimera vanliga attacker som dinglande DNS-, DNS-förstärkningsattacker, DNS-förgiftning och förfalskning med mera.

Azure HPC Cache behöver DNS för att få åtkomst till resurser utanför cachens privata virtuella nätverk. Om arbetsflödet innehåller resurser utanför Azure måste du konfigurera och skydda din egen DNS-server utöver att använda Azure DNS.

  • Om du vill komma åt Azure Blob Storage-slutpunkter, Azure-baserade klientdatorer eller andra Azure-resurser använder du Azure DNS.
  • För att få åtkomst till lokal lagring eller för att ansluta till cachen från klienter utanför Azure måste du skapa en anpassad DNS-server som kan matcha dessa värdnamn.
  • Om arbetsflödet innehåller både interna och externa resurser konfigurerar du din anpassade DNS-server för att vidarebefordra Azure-specifika matchningsbegäranden till Azure DNS-servern.

När Azure DNS används som din auktoritativa DNS-tjänst kontrollerar du att DNS-zoner och -poster skyddas mot oavsiktliga eller skadliga ändringar med hjälp av Azure RBAC och resurslås.

Om du konfigurerar en egen DNS-server ska du följa dessa säkerhetsriktlinjer:

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Azure HPC Cache är inte integrerat med Azure Active Directory för interna åtgärder. Men Azure AD kan användas för att autentisera användare i Azure Portal eller CLI för att skapa, visa och hantera HPC Cache distributioner och relaterade komponenter.

Azure Active Directory (Azure AD) är standardtjänsten för identitets- och åtkomsthantering i Azure. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault-, PaaS- och SaaS-program.

  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Skyddet av Azure AD bör ha hög prioritet i organisationens säkerhetspraxis för molnet. Azure AD ger dig en identitetsskyddspoäng som hjälper dig att utvärdera identiteternas säkerhet i relation till Microsofts rekommendationer kring regelverk. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

Obs! Azure AD stöder extern identitet som gör att användare utan ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: HPC Cache använder Azure-hanterade identiteter för icke-mänskliga konton, till exempel tjänster eller automatisering. Vi rekommenderar att du använder Azures funktion för hanterad identitet i stället för att skapa ett kraftfullare mänskligt konto för att komma åt eller köra dina resurser.

HPC Cache kan internt autentisera mot Azure-tjänster/resurser som stöder Azure Active Directory-autentisering (Azure AD) via fördefinierade regler för åtkomstbeviljande. På så sätt slipper du använda hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Azure HPC Cache integreras inte med Azure Active Directory (Azure AD) för interna åtgärder. Men Azure AD kan användas för att autentisera användare i Azure Portal eller CLI för att skapa, visa och hantera HPC Cache distributioner och relaterade komponenter.

Azure AD tillhandahåller identitets- och åtkomsthantering för Azure-resurser, molnprogram och lokala program. I det här ingår företagsidentiteter som anställda samt externa identiteter som partner, och leverantörer. På så sätt kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser både lokalt och i molnet. Anslut alla användare, appar och enheter till Azure AD för en smidig och säker åtkomst samt bättre insyn och kontroll.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Granska användarkonton och åtkomsttilldelningar regelbundet för att säkerställa att kontona och deras åtkomstnivåer är giltiga.

Azure HPC Cache kan använda Azure Active Directory-konton (Azure AD) för att hantera användaråtkomst via Azure Portal och relaterade gränssnitt. Azure AD erbjuder åtkomstgranskningar som hjälper dig att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton. Du kan också använda Azure AD Privileged Identity Management för att skapa arbetsflödet för åtkomstgranskningsrapporter för att underlätta granskningsprocessen.

Dessutom kan Azure Privileged Identity Management konfigureras för att varna när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

När du använder NFS-lagringsmål måste du arbeta med nätverksadministratörer och brandväggshanterare för att verifiera åtkomstinställningarna och se till att Azure HPC Cache kan kommunicera med NFS-lagringssystemen.

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: HPC Cache är integrerad med rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, grupper av tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller frågas via verktyg som Azure CLI, Azure PowerShell eller Azure-portalen.

De behörigheter som du tilldelar till resurser via Azure RBAC bör alltid begränsas till vad som krävs av rollerna. Detta kompletterar jit-metoden (just-in-time) i Azure Active Directory (Azure AD) Privileged Identity Management (PIM) och bör granskas regelbundet.

Använd inbyggda roller för att allokera behörighet och skapa bara en anpassad roll vid behov.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Vägledning: HPC Cache hanterar känsliga data men har inte möjlighet att identifiera, klassificera och märka känsliga data.

Ansvar: Delad

DP-2: Skydda känsliga data

Vägledning: Skydda känsliga data genom att begränsa åtkomsten med hjälp av Azure Role Based Access Control (Azure RBAC), nätverksbaserade åtkomstkontroller och specifika kontroller i Azure-tjänster (till exempel kryptering i SQL och andra databaser).

För att säkerställa konsekvent åtkomstkontroll bör alla typer av åtkomstkontroll justeras mot din strategi för företagssegmentering. Strategin för företagssegmentering bör också informeras om platsen för känsliga eller affärskritiska data och system.

När det gäller den underliggande plattformen, som hanteras av Microsoft, behandlar Microsoft allt kundinnehåll som känsligt och skyddar det mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure alltid är skyddade har Microsoft implementerat vissa standardkontroller och funktioner för dataskydd.

Ansvar: Delad

DP-3: Övervaka obehörig överföring av känsliga data

Vägledning: HPC Cache överför känsliga data men stöder inte övervakning av obehörig överföring av känsliga data.

Ansvar: Delad

DP-4: Kryptera känslig information under överföring

Vägledning: HPC Cache stöder datakryptering under överföring med TLS v1.2 eller senare.

Även om detta är valfritt för trafik i privata nätverk är detta viktigt för trafik på externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Föråldrade SSL-, TLS- och SSH-versioner och protokoll och svaga chiffer bör inaktiveras.

Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller bör vilande data skyddas mot "out-of-band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller vilande datakryptering som standard. För mycket känsliga data har du alternativ för att implementera ytterligare kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard, men Azure tillhandahåller alternativ för att hantera dina egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster.

Alla data som lagras i Azure, inklusive på cachediskarna, krypteras i vila med hjälp av Microsoft-hanterade nycklar som standard. Du behöver bara anpassa inställningarna för Azure HPC Cache om du vill hantera de nycklar som används för att kryptera dina data.

Om det krävs för efterlevnad av beräkningsresurser implementerar du ett verktyg från tredje part, till exempel en automatiserad lösning för skydd mot dataförlust, för att framtvinga åtkomstkontroller till data även när data kopieras från ett system.

Ansvar: Delad

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Obs! Ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Azure HPC Cache stöder användning av taggar. Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att logiskt organisera dem i en taxonomi. Varje tagg består av ett namn och ett värdepar.

Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön. Taggar kan läggas till när du skapar en cache och när cachen har distribuerats.

Använd Azure Virtual Machine Inventory för att automatisera insamlingen av information om programvara på Virtual Machines. Programnamn, version, utgivare och uppdateringstid är tillgängliga från Azure Portal. Om du vill få åtkomst till installationsdatum och annan information aktiverar du diagnostik på gästnivå och tar windows-händelseloggarna till en Log Analytics-arbetsyta. HPC Cache tillåter inte körning av ett program eller installation av programvara på dess resurser.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: HPC Cache stöder Azure Resource Manager-distributioner. Använd Azure Policy till att granska och begränsa vilka tjänster användarna kan etablera i miljön. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd den inbyggda hotidentifieringsfunktionen i Microsoft Defender för molnet och aktivera Microsoft Defender för dina HPC Cache resurser. Microsoft Defender för HPC Cache tillhandahåller ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina cacheresurser.

Vidarebefordra loggar från HPC Cache till din SIEM som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure Active Directory (Azure AD) innehåller följande användarloggar som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:

  • Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.
  • Granskningsloggar – Tillhandahålla spårningsbarhet via loggar för alla ändringar som görs av olika funktioner i Azure AD. Exempel på granskningsloggar är ändringar som görs i alla resurser inom Azure AD, till exempel lägga till eller ta bort användare, appar, grupper, roller och principer.
  • Riskfyllda inloggningar – En riskfylld inloggning indikerar ett potentiellt inloggningsförsök av någon annan än användarkontots ägare.
  • Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.

Microsoft Defender för molnet kan också avisera om vissa misstänkta aktiviteter, till exempel överdrivet många misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen. Förutom den grundläggande säkerhetshygienövervakningen kan Microsoft Defender för molnets hotskyddsmodul också samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (virtuella datorer, containrar, apptjänst), dataresurser (SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du ha insyn i kontoavvikelser i de enskilda resurserna.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Du kan använda VPN-gatewayer och deras paketinsamlingsfunktion utöver vanliga paketinsamlingsverktyg för att registrera nätverkspaket som färdas mellan dina virtuella nätverk.

Distribuera en nätverkssäkerhetsgrupp i nätverket där dina Azure-HPC Cache-resurser distribueras. Aktivera flödesloggar för nätverkssäkerhetsgrupp i nätverkssäkerhetsgrupper för trafikgranskning.

Dina flödesloggar behålls i ett lagringskonto. Gör det möjligt för Traffic Analytics-lösningen att bearbeta och skicka dessa flödesloggar till en Log Analytics-arbetsyta. Traffic Analytics ger ytterligare insikter om trafikflödet för dina Azure-nätverk. Traffic Analytics kan hjälpa dig att visualisera nätverksaktivitet och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster och hitta felkonfigurationer i nätverket.

Cachen behöver DNS för att komma åt resurser utanför det virtuella nätverket. Beroende på vilka resurser du använder kan du behöva konfigurera en anpassad DNS-server och konfigurera vidarebefordran mellan servern och Azure DNS-servrarna.

Implementera en tredjepartslösning från Azure Marketplace för DNS-loggningslösning enligt organisationens behov.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Azure HPC Cache resurser skapar automatiskt aktivitetsloggar. Dessa loggar innehåller alla skrivåtgärder (PUT, POST, DELETE) men inkluderar inte läsåtgärder (GET). Aktivitetsloggar kan användas för att hitta ett fel vid felsökning eller för att övervaka hur en användare i din organisation ändrade en resurs.

Du kan också använda Microsoft Defender för molnet och Azure Policy för att aktivera Azure-resursloggar för HPC Cache och till och loggdatainsamling. Dessa loggar kan vara viktiga för att senare undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

Ansvar: Delad

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring och analys för att aktivera korrelation. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, vilka verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.

Se till att du integrerar Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och utföra analyser och använda Azure Storage-konton för långsiktig lagring och arkivlagring.

Dessutom aktiverar och registrerar du data till Microsoft Sentinel eller en SIEM från tredje part.

Många organisationer väljer att använda Microsoft Sentinel för "frekventa" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: HPC Cache stöder inte konfiguration av dina egna tidssynkroniseringskällor. HPC Cache-tjänsten förlitar sig på Microsofts tidssynkroniseringskällor, som inte exponeras för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Använd Microsoft Defender för molnet och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser, inklusive virtuella datorer, containrar och andra.

Ansvar: Kund

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Ej tillämpligt; Microsoft utför sårbarhetshantering på de underliggande system som stöder HPC Cache.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks. Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Delad

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Se till att regelbundna automatiserade säkerhetskopieringar

Vägledning: Eftersom Azure HPC Cache är en cachelagringslösning och inte ett lagringssystem bör du fokusera på att säkerställa att data i lagringsmålen säkerhetskopieras regelbundet. Följ standardprocedurerna för Azure Blob-containrar och för att säkerhetskopiera eventuella lokala lagringsmål.

För att minimera störningar i händelse av ett regionalt avbrott kan du vidta åtgärder för att säkerställa dataåtkomst mellan regioner.

Varje Azure HPC Cache-instans körs inom en viss prenumeration och i en region. Det innebär att ditt cachearbetsflöde eventuellt kan avbrytas om regionen har ett fullständigt avbrott. För att minimera den här störningen bör organisationen använda serverdelslagring som är tillgänglig från flera regioner. Den här lagringen kan antingen vara ett lokalt NAS-system med lämpligt DNS-stöd eller Azure Blob Storage som finns i en annan region än cachen.

När arbetsflödet fortsätter i den primära regionen sparas data i den långsiktiga lagringen utanför regionen. Om cacheregionen blir otillgänglig kan du skapa en duplicerad Azure HPC Cache-instans i en sekundär region, ansluta till samma lagring och återuppta arbetet från det nya cacheminnet.

Ansvar: Kund

BR-2: Kryptera säkerhetskopieringsdata

Vägledning: Se till att dina säkerhetskopior skyddas mot attacker. Detta bör omfatta kryptering av säkerhetskopior för att skydda mot förlust av konfidentialitet.

För lokal säkerhetskopiering med Azure Backup tillhandahålls kryptering i vila med den lösenfras som du anger. För vanlig säkerhetskopiering av Azure-tjänsten krypteras säkerhetskopieringsdata automatiskt med hjälp av Plattformshanterade Azure-nycklar. Du kan välja att kryptera säkerhetskopian med hjälp av kundhanterade nycklar. I det här fallet kontrollerar du att den här kundhanterade nyckeln i nyckelvalvet också finns i säkerhetskopieringsomfånget.

Azure HPC Cache skyddas också av kryptering av virtuella datorer på de hanterade diskar som innehåller dina cachelagrade data, även om du lägger till en kundnyckel för cachediskarna. Att lägga till en kundhanterad nyckel för dubbel kryptering ger en extra säkerhetsnivå för kunder med höga säkerhetsbehov. Mer information finns i Kryptering på serversidan av Azure-disklagring.

Använd rollbaserad åtkomstkontroll i Azure Backup, Azure Key Vault eller andra resurser för att skydda säkerhetskopior och kundhanterade nycklar. Dessutom kan du aktivera avancerade säkerhetsfunktioner för att kräva multifaktorautentisering innan säkerhetskopior kan ändras eller tas bort.

Ansvar: Kund

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Kontrollera regelbundet att du kan återställa säkerhetskopierade kundhanterade nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Se till att du har åtgärder för att förhindra och återställa från förlust av nycklar. Aktivera mjuk borttagning och rensningsskydd i Azure Key Vault som skydd mot oavsiktlig eller skadlig borttagning.

Ansvar: Kund

Nästa steg