Azure-säkerhetsbaslinje för Azure Policy

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 2.0 till Azure Policy. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter efterlevnadsdomäner och säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Policy.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen i Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Policy, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Azure Policy mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Policy säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-7: Secure Domain Name Service (DNS)

Vägledning: Azure Policy inte exponerar sina underliggande DNS-konfigurationer underhålls dessa inställningar av Microsoft.

Ansvar: Microsoft

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Azure Policy använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Du bör standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault-, PaaS- och SaaS-program.- Din organisations resurser, till exempel program i Azure eller företagets nätverksresurser. Att skydda Azure AD bör ha hög prioritet i organisationens molnsäkerhetspraxis. Azure AD ger dig en identitetsskyddspoäng som hjälper dig att utvärdera identiteternas säkerhet i relation till Microsofts rekommendationer kring regelverk. Använd poängen för att mäta hur nära konfigurationen matchar rekommendationerna för bästa praxis och för att förbättra din säkerhetsstatus. Obs! Azure AD stöder externa identiteter som gör att användare utan Ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

  • Klientorganisation i Azure Active Directory

  • Skapa och konfigurera en Azure AD-instans

  • Använda en extern identitetsprovider för appar

  • Vad är identitetsskyddspoängen i Azure Active Directory

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Azure Policy använder Azure-hanterade identiteter för icke-mänskliga konton, till exempel tjänster eller automatisering, och vi rekommenderar att du använder funktionen Azure-hanterad identitet i stället för att skapa ett kraftfullare mänskligt konto för att komma åt eller köra dina resurser. Azure Policy kan autentiseras internt mot Azure-tjänster/-resurser som stöder Azure AD autentisering via en fördefinierad regel för åtkomstbeviljande utan att använda autentiseringsuppgifter hårdkodade i källkods- eller konfigurationsfiler. Azure Policy skapar en hanterad identitet för reparationsbaserade principtilldelningar. Om tilldelningen skapas i portalen beviljar Azure Policy rollerna i principdefinitionen till den hanterade identiteten. Om tilldelningen skapas via SDK ansvarar kunden för att bevilja nödvändiga roller till den hanterade identiteten.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Azure Policy använder Azure Active Directory (Azure AD) för att tillhandahålla identitets- och åtkomsthantering för Azure-resurser, molnprogram och lokala program. I det här ingår företagsidentiteter som anställda samt externa identiteter som partner, och leverantörer. Azure AD aktiverar enkel inloggning (SSO) för att hantera Azure Policy-tjänsten via Azure Portal med hjälp av synkroniserade företags Active Directory-identiteter. Anslut alla användare, appar och enheter till Azure AD för en smidig och säker åtkomst samt bättre insyn och kontroll.

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Azure Policy definitioner kan innehålla känslig information eller hemligheter. Vi rekommenderar att du granskar autentiseringsuppgifterna

eller hemligheter i JSON-definitionerna.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: De mest kritiska inbyggda rollerna för Azure AD är global administratör och privilegierad rolladministratör, eftersom användare som är tilldelade till dessa två roller kan delegera administratörsroller:

  • Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD, samt tjänster som använder Azure AD identiteter.- Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD och inom Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter. Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller med vissa privilegierade behörigheter tilldelade. Du kanske också vill tillämpa liknande kontroller på administratörskontot för kritiska affärstillgångar. Du bör begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå. Användare med den här behörigheten kan direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö. Du kan aktivera jit-privilegierad åtkomst (just-in-time) till Azure-resurser och Azure AD med hjälp av Azure AD PIM. JIT beviljar temporära behörigheter för att utföra privilegierade uppgifter endast när användarna behöver det. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD-organisation.

  • Behörigheter för administratörsrollen i Azure AD

  • Använda säkerhetsaviseringar från Privileged Identity Management i Azure

  • Skydda privilegierad åtkomst för hybrid- och molndistributioner i Azure AD

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Azure Policy använder Azure Active Directory-konton (Azure AD) för att hantera sina resurser, granska användarkonton och åtkomsttilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Du kan använda Azure AD och åtkomstgranskningar för att granska gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Azure AD rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton. Du kan också använda Azure AD Privileged Identity Management (PIM) för att skapa arbetsflöden för åtkomstgranskningsrapporter för att underlätta granskningsprocessen.

Dessutom kan Azure AD PIM också konfigureras för att varna dig när ett stort antal administratörskonton skapas och för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade. Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Du måste hantera dessa användare separat.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbetsstationer och/eller Azure Bastion för administrativa uppgifter. Använd Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) och/eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. De skyddade arbetsstationerna kan hanteras centralt för att framtvinga säker konfiguration, inklusive stark autentisering, programvaru- och maskinvarubaslinjer samt begränsad logisk åtkomst och nätverksåtkomst.

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Azure Policy är integrerat med rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Du kan tilldela dessa roller till användare, grupper av tjänstens huvudnamn och hanterade identiteter. Det finns fördefinierade inbyggda roller för vissa resurser och dessa roller kan inventeras eller efterfrågas via verktyg som Azure CLI, Azure PowerShell eller Azure Portal. De behörigheter som du tilldelar resurser via Azure RBAC bör alltid vara begränsade till vad som krävs av rollerna. Detta kompletterar JIT-metoden (just-in-time) för Azure AD Privileged Identity Management (PIM) och bör granskas regelbundet.

Använd inbyggda roller för att allokera behörigheter och endast skapa anpassade roller när det behövs.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-4: Kryptera känslig information under överföring

Vägledning: Azure Policy stöder datakryptering under överföring med TLS v1.2 eller senare. Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.

Ansvar: Microsoft

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.GuestConfiguration:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Windows-webbservrar bör konfigureras för att använda protokoll för säker kommunikation För att skydda sekretessen för information som förmedlas via Internet bör dina webbservrar använda den senaste versionen av det branschstandardmässiga kryptografiska protokollet Transport Layer Security (TLS). TLS skyddar kommunikationen över ett nätverk med hjälp av säkerhetscertifikat för att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 3.0.0

DP-5: Kryptera känsliga data i vila

Vägledning: Som standard krypterar Microsoft tjänstdata i vila för att skydda mot out-of-band-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Detta säkerställer att angripare inte enkelt kan läsa eller ändra data.

Ansvar: Microsoft

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteam har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Azure Policy. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure Active Directory-grupp (Azure AD) som ska innehålla organisationens auktoriserade säkerhetsteam och tilldela dem läsåtkomst till alla Azure Policy resurser, vilket kan förenklas med en enda rolltilldelning på hög nivå i din prenumeration eller en hanteringsgrupp.

Azure Policy använder inte taggar eller tillåter kunder att tillämpa eller använda taggar för resurser som metadata för att logiskt organisera dem i en taxonomi.

Azure Policy stöder Resource Manager-baserade resursdistributioner med effekten DeployIfNotExists. Den stöder även Azure Resource Graph-frågor och stöds av anpassade tabeller.

Azure Policy tillåter inte körning av ett program eller installation av programvara på dess resurser. Beskriv andra funktioner i ditt erbjudande som tillåter eller stöder den här funktionen, beroende på vad som är tillämpligt.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Azure Policy tillhandahåller inte inbyggda funktioner för att övervaka säkerhetshot relaterade till dess resurser.

Vidarebefordra loggar från Azure Policy till SIEM, som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure Active Directory (Azure AD) innehåller följande användarloggar som kan visas i Azure AD rapportering eller integreras med Azure Monitor, Microsoft Sentinel eller andra SIEM/övervakningsverktyg för mer avancerade användningsfall för övervakning och analys:

  • Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.

  • Granskningsloggar – Ger spårbarhet via loggar för alla ändringar som gjorts via olika funktioner i Azure AD. Exempel på granskningsloggar är ändringar som gjorts i resurser i Azure AD, till exempel att lägga till eller ta bort användare, appar, grupper, roller och principer.

  • Riskfyllda inloggningar – En riskfylld inloggning indikerar ett potentiellt inloggningsförsök av någon annan än användarkontots ägare.

  • Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.

Microsoft Defender för molnet kan också utlösa aviseringar om vissa misstänkta aktiviteter, till exempel överdrivet många misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen. Förutom den grundläggande övervakningen av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul också samla in mer djupgående säkerhetsaviseringar från enskilda Azure-beräkningsresurser (virtuella datorer, containrar, apptjänst), dataresurser (SQL DB och lagring) och Azure-tjänstlager. Med den här funktionen kan du få insyn i kontoavvikelser i enskilda resurser.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar, som är automatiskt tillgängliga, innehåller alla skrivåtgärder (PUT, POST, DELETE) för dina Azure Policy-resurser förutom läsåtgärder (GET). Aktivitetsloggar kan användas för att hitta ett fel vid felsökning eller för att övervaka hur en användare i din organisation ändrade en resurs.

Azure Policy producerar för närvarande inte Azure-resursloggar.

Ansvar: Kund

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring och analys för att aktivera korrelation. För varje loggkälla kontrollerar du att du har tilldelat en dataägare, åtkomstvägledning, lagringsplats, vilka verktyg som används för att bearbeta och komma åt data samt krav på datakvarhållning.

Se till att du integrerar Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig och arkiveringslagring. Dessutom aktiverar och registrerar du data till Microsoft Sentinel eller en SIEM från tredje part. Många organisationer väljer att använda Microsoft Sentinel för "heta" data som används ofta och Azure Storage för "kalla" data som används mindre ofta.

Ansvar: Kund

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Se till att alla lagringskonton eller Log Analytics-arbetsytor som används för att lagra Azure Policy loggar har loggkvarhållningsperioden inställd enligt organisationens efterlevnadsregler.

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Azure Policy stöder inte konfiguration av dina egna tidssynkroniseringskällor.

Azure Policy-tjänsten förlitar sig på Microsofts tidssynkroniseringskällor och exponeras inte för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks.

Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Kund

Nästa steg