Azure-säkerhetsbaslinje för Azure Private Link

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 1.0 till Azure Private Link. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Private Link.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte är tillämpliga på Azure Private Link, eller för vilka ansvaret är Microsofts, har exkluderats. Information om hur Azure Private Link mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Private Link säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

1.11: Använd automatiserade verktyg för att övervaka nätverksresurskonfigurationer och identifiera ändringar

Vägledning: Använd Azure-aktivitetsloggen för att övervaka resurskonfigurationer och identifiera ändringar i dina nätverksresurser relaterade till Private Link.

Skapa aviseringar i Azure Monitor som utlöses när ändringar av viktiga resurser sker.

Ansvar: Kund

Loggning och övervakning

Mer information finns i Azure Security Benchmark: Loggning och övervakning.

2.2: Konfigurera central hantering av säkerhetsloggar

Vägledning: Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av nätverksresurser som Private Link slutpunkter, virtuella nätverk och nätverkssäkerhetsgrupper.

Använd Log Analytics-arbetsytor i Azure Monitor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig/arkiveringslagring.

Aktivera och registrera även data till Microsoft Sentinel eller en SIEM från tredje part baserat på organisationens affärsbehov.

Ansvar: Kund

2.3: Aktivera granskningsloggning för Azure-resurser

Vägledning: Aktivera Azure Monitor-aktivitetsloggar, vilka loggåtgärder som vidtas på Private Link resurser, till exempel vem som startade åtgärden, när åtgärden inträffade, status för åtgärden och annan användbar granskningsinformation.

Ansvar: Kund

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Vägledning: För loggar relaterade till Private Link anger du kvarhållningsperioden för Log Analytics-arbetsytan enligt organisationens efterlevnadsregler i Azure Monitor. Använd Azure Storage-konton för långsiktig/arkiveringslagring av loggar.

Ansvar: Kund

2.6: Övervaka och granska loggar

Vägledning: Analysera och övervaka loggar för avvikande beteende och granska resultat regelbundet. Använd Log Analytics-arbetsytan i Azure Monitor för att granska loggar och köra frågor på loggdata.

Ett annat alternativ är att aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part.

Ansvar: Kund

2.7: Aktivera aviseringar för avvikande aktiviteter

Vägledning: Använd Microsoft Defender för molnet som konfigurerats med en Log Analytics-arbetsyta för övervakning och aviseringar om avvikande aktivitet som finns i säkerhetsloggar och händelser.

Aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part baserat på organisationens affärsbehov.

Ansvar: Kund

Identitets- och åtkomstkontroll

Mer information finns i Azure Security Benchmark: Identitet och Access Control.

3.1: Bevara en förteckning över administrativa konton

Vägledning: Använd inbyggda administratörsroller i Azure Active Directory (Azure AD), som kan tilldelas och frågas uttryckligen. Kör Azure AD PowerShell-modulen för att utföra ad hoc-frågor för att identifiera konton som är medlemmar i administrativa grupper.

Ansvar: Kund

3.3: Använd dedikerade administrativa konton

Vägledning: Skapa standardprocedurer för användning av dedikerade administrativa konton. Använd microsoft Defender för molnets funktioner för identitets- och åtkomsthantering för att övervaka antalet administrativa konton.

Aktivera också just-in-time/just-enough-access med hjälp av Azure Active Directory (Azure AD) Privileged Identity Management privilegierade roller för Microsoft-tjänster och Azure Resource Manager.

Ansvar: Kund

3.4: Använd enkel inloggning i Azure Active Directory (SSO)

Vägledning: Använd enkel inloggning med Azure Active Directory (Azure AD) i stället för att konfigurera enskilda fristående autentiseringsuppgifter per tjänst när det är möjligt.

Ansvar: Kund

3.5: Använd multifaktorautentisering för all Azure Active Directory-baserad åtkomst

Vägledning: Aktivera multifaktorautentisering i Azure Active Directory (Azure AD) och följ rekommendationerna för Identitets- och åtkomsthantering i Microsoft Defender för molnet.

Ansvar: Kund

3.6: Använd säkra, Azure-hanterade arbetsstationer för administrativa uppgifter

Vägledning: Använd en PAW (Privileged Access Workstation) med multifaktorautentisering konfigurerad för att logga in på och konfigurera Azure-nätverksresurser.

Ansvar: Kund

3.7: Logga och varna om misstänkta aktiviteter från administrativa konton

Vägledning: Använd funktionen För riskidentifiering i Azure Active Directory (Azure AD) för att visa aviseringar och rapporter om riskfyllda användarbeteenden.

Mata in Aviseringar om riskidentifiering i Microsoft Defender för molnet i Azure Monitor och konfigurera anpassade aviseringar/meddelanden med åtgärdsgrupper.

Ansvar: Kund

3.8: Hantera Azure-resurser från endast godkända platser

Vägledning: Använd villkorlig åtkomst med namngivna platser för att endast tillåta åtkomst från specifika logiska grupperingar av IP-adressintervall eller länder/regioner.

Ansvar: Kund

3.9: Använda Azure Active Directory

Vägledning: Använd Azure Active Directory (Azure AD) som centralt autentiserings- och auktoriseringssystem. Azure AD skyddar data med hjälp av stark kryptering för vilande data och under överföring samt salter, hashvärden och säker lagring av användarautentiseringsuppgifter.

Ansvar: Kund

3.10: Granska och stämma av användaråtkomst regelbundet

Vägledning: Azure Active Directory (Azure AD) innehåller loggar som hjälper dig att identifiera inaktuella konton. Använd också Azure Identity Access Reviews för att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användaråtkomst kan granskas regelbundet för att se till att endast rätt användare har fortsatt åtkomst.

Ansvar: Kund

3.11: Övervaka försök att komma åt inaktiverade autentiseringsuppgifter

Vägledning: Använd azure Active Directory-loggkällorna (Azure AD) inloggningsaktivitet, granskning och riskhändelse för att integrera med alla SIEM/övervakningsverktyg.

Effektivisera den här processen genom att skapa diagnostikinställningar för Azure AD användarkonton och skicka granskningsloggarna och inloggningsloggarna till en Log Analytics-arbetsyta. Konfigurera önskade aviseringar i Log Analytics-arbetsytan.

Ansvar: Kund

3.12: Avisering om beteendeavvikelse för kontoinloggning

Vägledning: Använd azure active directory-funktioner (Azure AD) risk och identitetsskydd för att konfigurera automatiserade svar på identifierade misstänkta åtgärder relaterade till användaridentiteter för dina nätverksresurser.

Mata in data i Microsoft Sentinel för vidare undersökning.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

4.2: Isolera system som lagrar eller bearbetar känslig information

Vägledning: Implementera isolering med separata prenumerationer och hanteringsgrupper för enskilda säkerhetsdomäner, till exempel miljötyp och datakänslighetsnivå.

Begränsa åtkomstnivån till dina Azure-resurser med dina program och företagsmiljöer baserat på affärskrav.

Kontrollera åtkomsten till Azure-resurser via rollbaserad åtkomstkontroll i Azure (Azure AD).

Ansvar: Kund

4.4: Kryptera all känslig information under överföring

Vägledning: Kryptera all känslig information under överföring. Se till att alla klienter som ansluter till dina Azure-resurser i virtuella nätverk kan förhandla om TLS 1.2 eller senare. Private Link stör inte underliggande protokoll. Använd metodtips för andra erbjudanden som används av kunder.

Följ Microsoft Defender for Cloud-rekommendationer för kryptering i vila och kryptering under överföring, i förekommande fall.

Ansvar: Delad

4.6: Använd Azure RBAC för att styra åtkomsten till resurser

Vägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att styra åtkomsten till data och resurser, annars använder du tjänstspecifika åtkomstkontrollmetoder.

Anropa PowerShell-cmd "Get-AzRoleDefinition" eller "az role definition list" för att hämta en lista över roller i din miljö.

Granska alternativen för att kontrollera exponeringen av tjänsten via inställningen Synlighet. i Private Link. Dessa synlighetsinställningar avgör om en konsument kan ansluta till din tjänst.

Gör din tjänst privat för förbrukning från dina andra virtuella nätverk (endast Azure RBAC-behörigheter). Begränsa exponeringen för en begränsad uppsättning betrodda prenumerationer eller gör den offentlig så att alla Azure-prenumerationer kan begära anslutningar på Private Link-tjänsten.

Ansvar: Kund

4.9: Logga och avisera om ändringar av viktiga Azure-resurser

Vägledning: Använd Azure Monitor-aktivitetsloggaviseringar för att skapa aviseringar för när ändringar sker i viktiga Azure-resurser som Private Link tjänster och slutpunkter.

Ansvar: Kund

Inventerings- och tillgångshantering

Mer information finns i Azure Security Benchmark: Inventory and Asset Management (Azure Security Benchmark: Inventory and Asset Management).

6.1: Använd automatiserad tillgångsidentifieringslösning

Vägledning: Använd Azure Resource Graph för att fråga och identifiera alla nätverksresurser som Private Link tjänster och slutpunkter i dina prenumerationer.

Se till att du har lämpliga (läsbehörigheter) i din klientorganisation och kan räkna upp alla Azure-prenumerationer samt resurser i dina prenumerationer.

Ansvar: Kund

6.2: Underhålla tillgångsmetadata

Vägledning: Tillämpa taggar på Azure-resurser med hjälp av metadata för att logiskt organisera dem i en taxonomi.

Ansvar: Kund

6.3: Ta bort obehöriga Azure-resurser

Vägledning: Använd taggning, hanteringsgrupper och separata prenumerationer, där det är lämpligt, för att organisera och spåra Private Link och relaterade resurser.

Stämma av inventeringen regelbundet och se till att obehöriga resurser tas bort från prenumerationen i tid.

Ansvar: Kund

6.4: Definiera och underhålla inventeringen av godkända Azure-resurser

Vägledning: Skapa en inventering av godkända Azure-resurser och programvara för beräkningsresurser baserat på organisationens behov.

Ansvar: Kund

6.5: Övervaka för ej godkända Azure-resurser

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper

  • Tillåtna resurstyper

Använd även Azure-Resource Graph för att fråga/identifiera resurser i prenumerationerna. Detta kan hjälpa dig i högsäkerhetsbaserade miljöer, till exempel de med lagringskonton.

Ansvar: Kund

6.7: Ta bort icke godkända Azure-resurser

Vägledning: Kunden kan förhindra resursskapande eller användning med Azure Policy enligt kundens företagsprinciper. Du kan implementera en egen process för att ta bort obehöriga resurser.

Ansvar: Kund

6.9: Använd endast godkända Azure-tjänster

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

Ansvar: Kund

6.11: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Vägledning: Använd villkorsstyrd åtkomst i Azure för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".

Ansvar: Kund

Säker konfiguration

Mer information finns i Azure Security Benchmark: Säker konfiguration.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Vägledning: Använd Azure Policy alias för att skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Azure-nätverksresurser tillsammans med de inbyggda Azure Policy definitionerna.

Azure Resource Manager har möjlighet att exportera mallen i JavaScript Object Notation (JSON). Den här artefakten bör granskas för att säkerställa att konfigurationerna uppfyller eller överskrider säkerhetskraven för din organisation.

Implementera rekommendationer från Microsoft Defender för molnet som en säker konfigurationsbaslinje för dina Azure-resurser.

Ansvar: Kund

7.3: Underhålla säkra Azure-resurskonfigurationer

Vägledning: Använd Azure Resource Manager-mallar och Azure Policy för att konfigurera Azure-resurser som är associerade med Private Link och relaterade resurser på ett säkert sätt.

Azure Resource Manager-mallar är JSON-baserade filer (JavaScript Object Notation) som används för att distribuera Azure-resurser. Alla anpassade mallar måste lagras och underhållas på ett säkert sätt på en kodlagringsplats.

Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säkra inställningar för dina Azure-resurser.

Ansvar: Kund

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Vägledning: Använd Azure DevOps för att lagra och hantera din kod på ett säkert sätt, till exempel anpassade Azure-principer, Azure Resource Manager-mallar och Desired State Configuration skript.

Bevilja eller neka behörigheter till specifika användare, inbyggda säkerhetsgrupper eller grupper som definierats i Azure Active Directory (Azure AD) om de är integrerade med Azure DevOps för deras åtkomst eller Active Directory om de är integrerade med Team Foundation Server.

Ansvar: Kund

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer för Azure-resurser med hjälp av Azure Policy.

Använd Azure Policy alias för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina Azure-resurser.

Använd även de inbyggda principdefinitionerna som är relaterade till specifika resurser som hanteras under dina prenumerationer.

Ansvar: Kund

7.9: Implementera automatiserad konfigurationsövervakning för Azure-resurser

Vägledning: Använda Azure Policy för att granska Azure-resurskonfigurationer. Till exempel kan Azure Policy användas för att identifiera resurser som inte har konfigurerats med en privat slutpunkt.

Ansvar: Kund

Dataåterställning

Mer information finns i Azure Security Benchmark: Data Recovery.

9.1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Vägledning: Använd Azure Resource Manager för att distribuera Private Link tjänster, slutpunkter och relaterade resurser. Med Azure Resource Manager kan du exportera mallar som kan användas som säkerhetskopior för att återställa Private Link slutpunkter och relaterade resurser.

Använd Azure Automation för att anropa Export-API:et för Azure Resource Manager-mall regelbundet.

Ansvar: Kund

9.2: Utför fullständiga systemsäkerhetskopior och säkerhetskopiering av kundhanterade nycklar

Vägledning: Använd Azure Resource Manager för att distribuera Private Link tjänster, slutpunkter och relaterade resurser. Med Azure Resource Manager kan du exportera mallar som kan användas som säkerhetskopior för att återställa Private Link slutpunkter och relaterade resurser.

Använd Azure Automation för att anropa Export-API:et för Azure Resource Manager-mall regelbundet.

Säkerhetskopiera kundhanterade nycklar i Azure Key Vault.

Ansvar: Kund

9.3: Verifiera alla säkerhetskopior, inklusive kundhanterade nycklar

Vägledning: Validera möjligheten att regelbundet utföra distribution av Azure Resource Manager-mallar regelbundet till en isolerad prenumeration enligt dina affärsbehov.

Verifiera även återställningar av säkerhetskopierade kundhanterade nycklar.

Ansvar: Kund

9.4: Skydda säkerhetskopior och kundhanterade nycklar

Vägledning: Använd Azure DevOps för att lagra och hantera din kod på ett säkert sätt, till exempel Azure Resource Manager mallar.

Bevilja eller neka behörigheter till specifika användare, inbyggda säkerhetsgrupper eller grupper som definierats i Azure Active Directory (Azure AD) om de är integrerade med Azure DevOps för åtkomst till dessa resurser eller i Active Directory om de är integrerade med Team Foundation Server.

Ansvar: Kund

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

10.1: Skapa en guide för incidenthantering

Vägledning: Skapa en guide till incidentsvar för organisationen.

Se till att det finns skriftliga planer för incidenthantering som definierar alla roller för personal och faser för incidenthantering eller hantering från identifiering till granskning efter incident.

Ansvar: Kund

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering för att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på sökningen eller den analys som används för att utfärda aviseringen samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera tydligt prenumerationer (till exempel produktion, icke-produktion) med hjälp av taggar och skapa ett namngivningssystem för att tydligt identifiera och kategorisera Azure-resurser, särskilt de som bearbetar känsliga data.

Kunden ansvarar för att prioritera reparationen av aviseringar baserat på allvarlighetsgrad för de Azure-resurser och den miljö där incidenten inträffade.

Ansvar: Kund

10.3: Testa procedurer för säkerhetshantering

Vägledning: Utför övningar för att testa systemens incidenthanteringsfunktioner regelbundet för att skydda dina Azure-resurser. Identifiera svaga punkter och luckor, och ändra planen efter behov.

Ansvar: Kund

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Vägledning: Kontaktinformation om säkerhetsincidenter används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att dina data har använts av en otillåten eller obehörig part.

Granska incidenter, efter förekomst, för att säkerställa att problem har lösts.

Ansvar: Kund

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Vägledning: Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med funktionen Kontinuerlig export för att identifiera risker för Azure-resurser. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt.

Använd även dataanslutningsappen för Microsoft Defender för molnet för att strömma aviseringarna till Microsoft Sentinel efter behov enligt din verksamhet.

Ansvar: Kund

10.6: Automatisera svaret på säkerhetsaviseringar

Vägledning: Använd funktionen Arbetsflödesautomation i Microsoft Defender för molnet för att automatiskt utlösa svar med Logic Apps om säkerhetsaviseringar och rekommendationer för att skydda dina Azure-resurser.

Ansvar: Kund

Intrångstester och Red Team-övningar (rött lag)

Mer information finns i Azure Security Benchmark: Penetrationstester och Red Team-övningar.

11.1: Utför regelbundna intrångstester av dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas

Vägledning: Följ Microsofts regler för engagemang för att säkerställa att dina intrångstester inte bryter mot Microsofts principer.

Använd Microsofts strategi och utförande av red teamindelning och intrångstester för livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program.

Ansvar: Delad

Nästa steg