Azure-säkerhetsbaslinje för offentlig IP-adress i Azure

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 1.0 till azures offentliga IP-adress. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för azures offentliga IP-adress.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för offentliga IP-adresser i Azure, eller för vilka ansvaret är Microsofts, har exkluderats. Om du vill se hur azures offentliga IP helt mappas till Azure Security Benchmark kan du läsa den fullständiga mappningsfilen för azures offentliga IP-säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

1.10: Dokumentera trafikkonfigurationsregler

Vägledning: Offentliga IP-adresser i Azure kan tilldelas taggar. Använd resurstaggar för nätverkssäkerhetsgrupper och andra resurser som rör nätverkssäkerhet. Använd någon av de inbyggda Azure Policy definitioner som är relaterade till taggning, till exempel "Kräv tagg och dess värde" som säkerställer att alla resurser skapas med taggar och för att meddela dig om befintliga otaggade resurser.

Azure PowerShell eller Azure CLI kan användas för att söka efter eller utföra åtgärder på resurser baserat på deras taggar.

Ansvar: Kund

Loggning och övervakning

Mer information finns i Azure Security Benchmark: Loggning och övervakning.

2.2: Konfigurera central hantering av säkerhetsloggar

Vägledning: Använd Azure-aktivitetsloggen för att övervaka konfigurationer och identifiera ändringar i dina offentliga IP-instanser. Förutom på kontrollplanet (till exempel Azure Portal) genererar den offentliga IP-adressen inte loggar relaterade till nätverkstrafik.

Offentlig IP innehåller verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för resurser i ett virtuellt Azure-nätverk.

I stället kan du aktivera och registrera data till Microsoft Sentinel eller en SIEM från tredje part.

Ansvar: Kund

2.3: Aktivera granskningsloggning för Azure-resurser

Vägledning: Använd Azure-aktivitetsloggen för att övervaka konfigurationer och identifiera ändringar för dina offentliga IP-instanser. Förutom på kontrollplanet (till exempel Azure Portal) genererar inte den offentliga IP-adressen granskningsloggar. Offentlig IP innehåller verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för resurser i ett virtuellt Azure-nätverk.

Ansvar: Kund

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Vägledning: Använd Azure Monitor för att ange loggkvarhållningsperiod för Log Analytics-arbetsytor som är associerade med offentliga IP-instanser enligt organisationens efterlevnadsskyldigheter.

Ansvar: Kund

2.6: Övervaka och granska loggar

Vägledning: Offentlig IP innehåller verktyg för att övervaka, diagnostisera, visa mått och aktivera eller inaktivera loggar för resurser i ett virtuellt Azure-nätverk.

Använd Azure-aktivitetsloggen för att övervaka konfigurationer och identifiera ändringar för dina offentliga IP-instanser.

Den offentliga IP-adressen genererar inte loggar som är relaterade till annan nätverkstrafik än på kontrollplanet (till exempel Azure Portal).

Ansvar: Kund

2.7: Aktivera aviseringar för avvikande aktiviteter

Vägledning: Konfigurera dina aviseringar baserat på aktivitetsloggar relaterade till offentlig IP. Använd Azure Monitor för att konfigurera en avisering för att skicka ett e-postmeddelande, anropa en webhook eller anropa en Azure-logikapp.

Ansvar: Kund

Identitets- och åtkomstkontroll

Mer information finns i Azure Security Benchmark: Identitet och Access Control.

3.1: Bevara en förteckning över administrativa konton

Vägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera åtkomst till Azure-resurser som offentliga IP-instanser med rolltilldelningar. Tilldela dessa roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter.

Inventerade eller frågedefinierade inbyggda Azure-roller finns för vissa resurser via verktyg som Azure CLI, Azure PowerShell eller Azure Portal.

Ansvar: Kund

3.3: Använd dedikerade administrativa konton

Vägledning: Skapa standardprocedurer för användning av dedikerade administrativa konton.

Aktiverad just-in-time-åtkomst med hjälp av Azure Active Directory (Azure AD) Privileged Identity Management (PIM) och Azure Resource Manager.

Ansvar: Kund

3.5: Använd multifaktorautentisering för all Azure Active Directory-baserad åtkomst

Vägledning: Aktivera multifaktorautentisering i Azure Active Directory (Azure AD) och följ rekommendationerna för Identitets- och åtkomsthantering i Microsoft Defender för molnet.

Ansvar: Kund

3.6: Använd dedikerade datorer (arbetsstationer för privilegierad åtkomst) för alla administrativa uppgifter

Vägledning: Använd en PAW (Privileged Access Workstation) med Azure AD Multi-Factor Authentication aktiverat för att logga in på och konfigurera dina Microsoft Sentinel-relaterade resurser.

Ansvar: Kund

3.7: Logga och varna om misstänkta aktiviteter från administrativa konton

Vägledning: Använd Azure Active Directory (Azure AD) Privileged Identity Management (PIM) för generering av loggar och aviseringar när misstänkt eller osäker aktivitet inträffar i miljön.

Granska och vidta åtgärder Azure AD riskidentifieringar för aviseringar och rapporter om riskfyllda användarbeteenden.

Ansvar: Kund

3.8: Hantera endast Azure-resurser från godkända platser

Vägledning: Använd namngivna platser för villkorsstyrd åtkomst för att tillåta åtkomst till Azure Portal endast från specifika logiska grupperingar av IP-adressintervall eller länder/regioner.

Ansvar: Kund

3.9: Använda Azure Active Directory

Vägledning: Använd Azure Active Directory (Azure AD) som centralt autentiserings- och auktoriseringssystem. Azure AD skyddar data med hjälp av stark kryptering för vilande data och under överföring. Azure AD även saltar, hashar och lagrar användarautentiseringsuppgifter på ett säkert sätt.

Ansvar: Kund

3.10: Granska och stämma av användaråtkomst regelbundet

Vägledning: Identifiera inaktuella konton med loggar i Azure Active Directory (Azure AD).

Använd Azure Identity Access Reviews för att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användaråtkomst kan granskas regelbundet för att se till att användarna har godkänd och fortsatt åtkomst.

Ansvar: Kund

3.11: Övervaka försök att komma åt inaktiverade autentiseringsuppgifter

Vägledning: Implementera integrering med alla SIEM/övervakningsverktyg baserat på din åtkomst till inloggningsaktiviteter, gransknings- och riskloggkällor i Azure Active Directory (Azure AD). Effektivisera den här processen genom att skapa diagnostikinställningar för Azure AD användarkonton och skicka granskningsloggar och inloggningsloggar till en Log Analytics-arbetsyta. Konfigurera önskade aviseringar på Log Analytics-arbetsytan.

Ansvar: Kund

3.12: Avisering om kontoinloggningsbeteendeavvikelse

Vägledning: Använd Identity Protection-funktioner i Azure Active Directory (Azure AD) för att konfigurera automatiserade svar på identifierade misstänkta åtgärder relaterade till användaridentiteter. Mata in data i Microsoft Sentinel för ytterligare undersökning efter behov och baserat på affärskrav.

Ansvar: Kund

Inventerings- och tillgångshantering

Mer information finns i Azure Security Benchmark: Inventory and Asset Management (Azure Security Benchmark: Inventory and Asset Management).

6.1: Använd automatiserad tillgångsidentifieringslösning

Vägledning: Använd Azure Resource Graph för att fråga/identifiera alla resurser (till exempel beräkning, lagring, nätverk, portar och protokoll och så vidare) i dina prenumerationer. Kontrollera lämpliga (läsbehörigheter) i din klientorganisation och räkna upp alla Azure-prenumerationer samt resurser i dina prenumerationer.

Även om klassiska Azure-resurser kan identifieras via Resource Graph rekommenderar vi starkt att du skapar och använder Azure Resource Manager resurser framöver.

Ansvar: Kund

6.2: Underhålla tillgångsmetadata

Vägledning: Tillämpa taggar på Azure-resurser som ger metadata för att logiskt organisera dem i en taxonomi.

Ansvar: Kund

6.3: Ta bort obehöriga Azure-resurser

Vägledning: Använd taggning, hanteringsgrupper och separata prenumerationer, där det är lämpligt, för att organisera och spåra Azure-resurser. Stämma av inventeringen regelbundet och se till att obehöriga resurser tas bort från prenumerationen i tid.

Använd dessutom Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper
  • Tillåtna resurstyper

Läs mer i följande referenser:

Ansvar: Kund

6.5: Övervaka för ej godkända Azure-resurser

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i dina prenumerationer.

Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Kontrollera att alla Azure-resurser som finns i miljön är godkända.

Ansvar: Kund

6.9: Använd endast godkända Azure-tjänster

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper
  • Tillåtna resurstyper

Läs mer i följande referenser:

Ansvar: Kund

6.11: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Vägledning: Konfigurera villkorsstyrd åtkomst i Azure för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".

Ansvar: Kund

Säker konfiguration

Mer information finns i Azure Security Benchmark: Säker konfiguration.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer för azures offentliga IP-adress med Azure Policy. Använd Azure Policy alias i namnområdet "Microsoft.Network" för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina offentliga IP-instanser i Azure. Du kan också använda inbyggda principdefinitioner.

Ansvar: Kund

7.3: Underhålla säkra Azure-resurskonfigurationer

Vägledning: Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säkra inställningar för dina Azure-resurser.

Ansvar: Kund

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Vägledning: Om du använder anpassade Azure Policy definitioner använder du Azure DevOps eller Azure Repos för att lagra och hantera koden på ett säkert sätt.

Ansvar: Kund

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer för azures offentliga IP-adress med Azure Policy. Använd Azure Policy alias i namnområdet "Microsoft.Network" för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina offentliga IP-instanser i Azure.

Ansvar: Kund

7.9: Implementera automatisk konfigurationsövervakning för Azure-resurser

Vägledning: Använd inbyggda Azure Policy definitioner samt Azure Policy alias i namnområdet "Microsoft.Network" för att skapa anpassade Azure Policy definitioner för att avisera, granska och framtvinga systemkonfigurationer. Använd Azure Policy [granskning], [neka] och [distribuera om det inte finns] för att automatiskt framtvinga konfigurationer för dina Azure-resurser.

Ansvar: Kund

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

10.1: Skapa en guide för incidenthantering

Vägledning: Skapa en guide till incidentsvar för organisationen. Se till att det finns skriftliga planer för incidentsvar som definierar alla personalroller och faser i incidenthanteringen, från identifiering till granskning efter incidenten.

Ansvar: Kund

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på att hitta eller den analys som används för att utfärda aviseringen samt konfidensnivån för att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera dessutom tydligt prenumerationer (t.ex. produktion, icke-prod) och skapa ett namngivningssystem för att tydligt identifiera och kategorisera Azure-resurser.

Ansvar: Kund

10.3: Testa procedurer för säkerhetshantering

Vägledning: Utför övningar för att testa systemets incidenthanteringsfunktioner regelbundet. Identifiera svaga punkter och luckor, och ändra planen efter behov.

Ansvar: Kund

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Vägledning: Kontaktinformation för säkerhetsincidenter används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att kundens data har använts av en otillåten eller obehörig part. Granska incidenter i efterhand för att se till att problemen är lösta.

Ansvar: Kund

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Vägledning: Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med funktionen Kontinuerlig export. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt. Du kan använda dataanslutningsappen för Microsoft Defender för molnet för att strömma aviseringarna från Microsoft Sentinel.

Ansvar: Kund

10.6: Automatisera svaret på säkerhetsaviseringar

Vägledning: Använd funktionen Arbetsflödesautomation i Microsoft Defender för molnet för att automatiskt utlösa svar via "Logic Apps" för säkerhetsaviseringar och rekommendationer.

Ansvar: Kund

Intrångstester och Red Team-övningar (rött lag)

Mer information finns i Azure Security Benchmark: Penetrationstester och Red Team-övningar.

11.1: Utför regelbundna intrångstester av dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas

Vägledning: Följ Microsoft Cloud Penetration Testing Rules of Engagement för att säkerställa att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Delad

Nästa steg