Azure-säkerhetsbaslinje för Microsoft Purview

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Microsoft Purview. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Microsoft Purview.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontroller och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Microsoft Purview, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Microsoft Purview mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Microsoft Purview-säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Microsoft Purview stöder inte distribution direkt till ett virtuellt nätverk. Så du kan inte använda vissa nätverksfunktioner med erbjudandets resurser, till exempel:

• Nätverkssäkerhetsgrupper (NSG:er).
• Routningstabeller.
• Andra nätverksberoende enheter, till exempel en Azure Firewall.

Du kan använda privata slutpunkter som kan aktiveras i ditt virtuella nätverk. Och du kan inaktivera offentlig Internetåtkomst för att ansluta säkert till Microsoft Purview.

• Privata Slutpunkter för Microsoft Purview

Ansvar: Kund

NS-2: Koppla samman privata nätverk

Vägledning: Vill du skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö? Använd sedan Azure ExpressRoute eller Ett virtuellt privat Azure-nätverk (VPN). ExpressRoute-anslutningar går inte via det offentliga Internet. Jämfört med vanliga Internetanslutningar erbjuder ExpressRoute-anslutningar:

• Mer tillförlitlighet
• Snabbare hastigheter
• Lägre svarstider

För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk. Använd bara valfri kombination av dessa VPN-alternativ och Azure ExpressRoute.

När du använder privat slutpunkt med Microsoft Purview ansluter du nätverket där din Microsoft Purview-slutpunkt finns till de nätverk där datakällorna finns. Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk. Nätverkstrafik mellan peer-kopplade virtuella nätverk är privat och sparas i Azures stamnätverk.

• Vilka är ExpressRoute-anslutningsmodellerna?

• Översikt över Azure VPN

• Peering för virtuella nätverk

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Om du vill aktivera privat åtkomst till Microsoft Purview från dina virtuella nätverk utan att korsa Internet använder du Azure Private Link. Privat åtkomst är ett extra skydd på djupet för den autentisering och trafiksäkerhet som Azure-tjänster erbjuder.

• Förstå Azure Private Link

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Microsoft Purview exponerar inte sina underliggande DNS-konfigurationer. Microsoft underhåller dessa inställningar.

Ansvar: Microsoft

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Microsoft Purview använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

• Microsoft Cloud-resurser, till exempel:

  • Azure Portal
  • Microsoft Purview
  • Infrastruktur som en tjänst (IaaS)
  • Plattform som en tjänst (PaaS)
  • SaaS-tjänster och -program (Programvara som en tjänst)

• Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser

Se till att skydda Azure AD hög prioritet i organisationens molnsäkerhetspraxis. För att hjälpa dig att utvärdera identitetssäkerhetsstatus mot Microsofts rekommendationer för bästa praxis tillhandahåller Azure AD en identitetssäkerhetspoäng. Använd poängen för att mäta hur nära konfigurationen matchar rekommendationer för bästa praxis. Använd också poängen för att förbättra din säkerhetsstatus.

Obs! Azure AD stöder externa identiteter. Med en extern identitet kan en användare utan Ett Microsoft-konto logga in på sina program och resurser.

• Innehav i Azure AD

• Skapa och konfigurera en Azure AD-instans

• Roller och behörigheter för Microsoft Purview

Ansvar: Delad

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Microsoft Purview stöder hanterade identiteter för sina Azure-resurser. I stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser använder du hanterade identiteter med Microsoft Purview. Microsoft Purview kan autentiseras internt mot De Azure-tjänster och resurser som stöder Azure AD autentisering. Autentiseringen sker via en fördefinierad regel för åtkomstbeviljande. Den här regeln för åtkomstbidrag använder inte autentiseringsuppgifter som är hårdkodade i källkods- eller konfigurationsfiler.

• Använda Purview-hanterad identitet för att konfigurera genomsökningar

• Azure-hanterade identiteter

• Tjänster som stöder hanterade identiteter för Azure-resurser

Ansvar: Microsoft

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Hur ser du till att användarkonton och deras åtkomstnivå är giltiga? Du granskar kontona och kontrollerar regelbundet tilldelningsbeviljande åtkomst till Microsoft Purview. Med Azure AD åtkomstgranskningar granskar du gruppmedlemskap och rolltilldelningar som är relaterade till dina Microsoft Purview-resurser. Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. Om du vill skapa ett arbetsflöde för åtkomstgranskningsrapport som hjälper granskningsprocessen använder du Azure AD Privileged Identity Management (PIM).

Konfigurera Azure AD PIM för att varna dig när ett stort antal administratörskonton skapas. Och konfigurera det för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

• Skapa en åtkomstgranskning av Azure-resursroller i PIM

• Använda Azure AD identitets- och åtkomstgranskningar

• Microsoft Purview-åtkomstkontroll

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Microsoft Purview är integrerat med Azure RBAC för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Tilldela dessa roller till:

• Användare
• Grupper
• Tjänstens huvudnamn
• Hanterade identiteter

Det finns fördefinierade inbyggda roller för vissa resurser. Inventera eller fråga dessa roller via verktyg, till exempel:

• Azure CLI
• Azure PowerShell
• Azure Portal

Begränsa alltid de behörigheter som du tilldelar till resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar JIT-metoden (just-in-time) för Azure AD PIM, och den bör granskas regelbundet.

Använd inbyggda roller för att bevilja behörigheter. Skapa endast anpassade roller när det behövs.

• Vad är Azure RBAC?

• Konfigurera RBAC i Azure

• Använda Azure AD identitets- och åtkomstgranskningar

Ansvar: Kund

PA-8: Välj godkännandeprocess för Microsoft-support

Vägledning: Microsoft Purview stöder inte kundlåsbox. För att få åtkomst till kunddata kan Microsoft arbeta med kunder via icke-lockbox-metoder för godkännande.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Vägledning: Använd Microsoft Purview för att identifiera, märka och klassificera din Azure-dataegendom. Registrera alla dina datakällor. Konfigurera Microsoft Purview-genomsökningar för att identifiera, klassificera och märka känsliga data. Utforma sedan lämpliga kontroller så att organisationens tekniksystem vidtar följande åtgärder för känslig information på ett säkert sätt:

• Storage
• Bearbetar
• Överföring

Mer information finns i följande artikel:

• Microsoft Purview-datakällor

Ansvar: Kund

DP-2: Skydda känsliga data

Vägledning: Microsoft Purview lagrar metadata för kunddatakällor. Tjänsten ger detaljerad åtkomstkontroll via Microsoft Purview-roller och Azure RBAC.

Skydda känsliga data genom att begränsa åtkomsten med hjälp av:

• Azure RBAC
• Nätverksbaserade åtkomstkontroller
• Specifika kontroller i Azure-tjänster, till exempel kryptering i SQL och andra databaser

För att säkerställa konsekvent åtkomstkontroll justerar du alla typer av åtkomstkontroll till din strategi för företagssegmentering. Informera din strategi för företagssegmentering med platsen för känsliga eller affärskritiska data och system.

Microsoft hanterar den underliggande plattformen. Microsoft behandlar allt kundinnehåll som känsligt och skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra implementerar Microsoft vissa standardkontroller och funktioner för dataskydd.

• Katalogbehörigheter för Microsoft Purview

• Azure RBAC

• Förstå skydd av kunddata i Azure

Ansvar: Delad

DP-3: Övervaka obehörig överföring av känsliga data

Vägledning: Microsoft Purview erbjuder funktioner för ursprungsövervakning. För närvarande stöder Microsoft Purview följande verktyg för extrahering, transformering och inläsning (ETL):

• Azure Data Factory
• Azure Data Share
• Power BI

Data härkomst kan visa hur data sprids från ett system till ett annat. Den här skärmen hjälper till att eliminera duplicering av känsliga data. Den ger en grafisk representation för att öka synligheten för data härstamning.

För dina datakällor som Microsoft Purview genomsöker övervakar du obehörig överföring av data till platser utanför företagets synlighet och kontroll. Använd tjänstspecifika Microsoft Defender- och loggalternativ för att utföra övervakningen. Den här åtgärden omfattar vanligtvis övervakning av avvikande aktiviteter, till exempel stora eller ovanliga överföringar. Dessa aktiviteter kan tyda på obehörig dataexfiltrering.

• Microsoft Purview-data härkomst

Ansvar: Kund

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontroller skyddar du data under överföring mot out-of-band-attacker (till exempel trafikinsamling). Den använder kryptering för att se till att angripare inte enkelt kan läsa eller ändra data.

Microsoft Purview stöder datakryptering under överföring med TLS (Transport Layer Security) v1.2 eller senare.

Kryptering är valfritt för trafik i privata nätverk, men kryptering är viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Inaktivera svaga chiffer och föråldrade versioner av SSL-, TLS- och SSH-protokollen.

Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.

• Förstå kryptering under överföring med Azure

• Information om TLS-säkerhet

• Dubbel kryptering för Azure-data under överföring

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Microsoft Purview vilande data för att skydda mot out-of-band-attacker (till exempel åtkomst till underliggande lagring). Den använder kryptering med Microsoft-hanterade nycklar. Den här metoden hjälper till att se till att angripare inte enkelt kan läsa eller ändra data.

Microsoft Purview stöder för närvarande inte kryptering i resten av sina metadata med en kundhanterad nyckel.

• Förstå kryptering vid vila i Azure

• Dubbel kryptering av vilande data i Azure

Ansvar: Delad

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Ge säkerhetsteamen behörigheten "Microsoft Purview Data Reader Role" och "Reader" i din Azure-klientorganisation och prenumerationer. Sedan kan teamen läsa alla Microsoft Purview-konfigurationer, innehåll och resultat för säkerhetsrisker.

Beroende på hur du strukturerar säkerhetsteamets ansvarsområden kan ett centralt säkerhetsteam eller ett lokalt team ansvara för övervakningen av säkerhetsriskerna. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare brett för en hel klientorganisation (rothanteringsgrupp). Eller så kan du begränsa behörigheterna till hanteringsgrupper eller specifika prenumerationer.

• Rollbaserad åtkomstkontroll i Microsoft Purviews dataplan

• Översikt över säkerhetsläsarrollen

• Översikt över Azure-hanteringsgrupper

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Gör så att säkerhetsteam kan komma åt en kontinuerligt uppdaterad inventering av Azure-tillgångar, till exempel Microsoft Purview. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker. Inventeringen är också en indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. Tilldela sedan läsbehörighet till alla Microsoft Purview-resurser för gruppen. Du kan förenkla processen till en enda rolltilldelning på hög nivå i din prenumeration.

Om du vill organisera i en taxonomi logiskt tillämpar du taggar på:

• Azure-resurser
• Resursgrupper
• Prenumerationer

Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Microsoft Purview tillåter inte körning av ett program eller installation av programvara på dess resurser.

• Skapa frågor med Azure Resource Graph Explorer

• Beslutsguide för namngivning och taggning av resurser

Ansvar: Delad

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Microsoft Purview tillhandahåller inte inbyggda funktioner för att övervaka säkerhetshot som är relaterade till dess resurser.

Vidarebefordra alla loggar från Microsoft Purview till din SIEM, som du kan använda för att konfigurera anpassade hotidentifieringar. Övervaka olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar för att minska falska positiva identifieringar för analytiker att sortera igenom. Du kan hämta aviseringar från:

• Loggdata
• Agenter
• Andra data

Mer information finns i följande artiklar:

• Skapa anpassade analysregler för att identifiera hot

• Cyberhotinformation med Microsoft Sentinel

• Microsoft Purview-övervakningsloggar

Ansvar: Delad

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar innehåller alla skrivåtgärder (PUT, POST och DELETE) för dina Microsoft Purview-resurser. Loggarna är automatiskt tillgängliga, men de innehåller inte läsåtgärder (GET). Använd aktivitetsloggar för att hitta ett fel vid felsökning. Eller använd loggarna för att övervaka hur en användare i din organisation ändrade en resurs.

Aktivera Azure-resursloggar för Microsoft Purview för data som ScanStatusLogEvent och AllMetrics. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

• Microsoft Purview-diagnostiklogg

• Samla in plattformsloggar och mått med Azure Monitor

• Förstå loggning och olika loggtyper i Azure

• Förstå datainsamling i Microsoft Defender för molnet

Ansvar: Delad

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Om du vill aktivera korrelationen mellan Microsoft Purview-loggdata centraliserar du loggningslagring och analys. Kontrollera att du har tilldelats för varje loggkälla:

• Dataägare
• Vägledning för åtkomst
• Lagringsplats
• Verktyg som används för att bearbeta och komma åt data
• Krav för datakvarhållning

Integrera Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av:

• Slutpunktsenheter
• Nätverksresurser
• Andra säkerhetssystem

I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och göra analyser. Använd Azure Storage-konton för långsiktig lagring och arkivering.

Aktivera och publicera data till Microsoft Sentinel eller en SIEM från tredje part. Många organisationer väljer att använda Microsoft Sentinel för "frekventa" data som används ofta. Dessa organisationer väljer sedan Azure Storage för "kalla" data som används mindre ofta.

• Microsoft Purview-mått i Azure Monitor

• Samla in plattformsloggar och mått med Azure Monitor

• Registrera Microsoft Sentinel

Ansvar: Delad

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Har du lagringskonton eller Log Analytics-arbetsytor som används för att lagra Microsoft Purview-loggar? Ange sedan loggkvarhållningsperioden baserat på organisationens efterlevnadsregler. Använd Azure Storage- eller Log Analytics-arbetsytekonton för långsiktig lagring och arkivering.

• Microsoft Purview-diagnostikloggar till Azure Storage-konto

• Konfigurera kvarhållningsperiod för Log Analytics-arbetsyta

• Lagra resursloggar i ett Azure Storage-konto

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Microsoft Purview stöder inte konfiguration av dina egna tidssynkroniseringskällor. Microsoft Purview-tjänsten förlitar sig på Microsofts tidssynkroniseringskällor och exponeras inte för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Microsoft Purview stöder distribution av resursen via Azure Resource Manager mallar. Använd Azure Policy för att framtvinga eller övervaka för säkra konfigurationer. För närvarande finns det inga inbyggda Azure Policy definitioner för Microsoft Purview. Men du kan skapa egna anpassade definitioner med hjälp av namnområdesaliasen "Microsoft.Purview".

I en enda skissdefinition använder du Azure Blueprints för att automatisera distributionen och konfigurationen av Microsoft Purview-tjänsten genom att paketera:

• Azure Resources Manager-mallar
• Azure RBAC-kontroller
• Azure Policy definitioner

Mer information finns i följande artiklar:

• Skapa och hantera principer för att använda kompatibilitet

• Azure Blueprint

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Använd Microsoft Defender för molnet för att övervaka konfigurationsbaslinjen för Microsoft Purview. Förhindra osäkra konfigurationer med hjälp av Azure Policy. Microsoft Purview stöder distribution av resursen via Azure Resource Manager mallar. Du kan använda Azure Policy för att framtvinga eller övervaka säkra konfigurationer med tjänsten. För närvarande finns det inga inbyggda Azure Policy definitioner för Microsoft Purview. Men du kan skapa egna anpassade definitioner med hjälp av namnområdesaliasen "Microsoft.Purview".

• Förstå Azure Policy-effekter

• Skapa och hantera principer för att använda kompatibilitet

Ansvar: Kund

PV-6: Gör sårbarhetsbedömningar för programvara

Vägledning: Microsoft Purview är ett PaaS-erbjudande. Den distribuerar inte kundriktade beräkningsresurser som stöder verktyg för sårbarhetsbedömning. För den underliggande plattformen som stöder Microsoft Purview hanterar Microsoft sårbarheter och utvärderingar.

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Microsoft Purview är ett PaaS-erbjudande. Den distribuerar inte kundriktade beräkningsresurser som stöder verktyg för sårbarhetsbedömning. För den underliggande plattformen som stöder Microsoft Purview hanterar Microsoft sårbarheter och utvärderingar.

Ansvar: Microsoft

Slutpunktssäkerhet

Mer information finns i Azure Security Benchmark: Endpoint Security.

ES-2: Använd centralt hanterad modern programvara mot skadlig kod

Vägledning: Microsoft Purview distribuerar inte några kundriktade beräkningsresurser som kräver att kunderna konfigurerar skydd mot skadlig kod. Microsoft hanterar den underliggande infrastrukturen för Microsoft Purview och hantering av program mot skadlig kod.

Ansvar: Microsoft

ES-3: Se till att program och signaturer mot skadlig kod uppdateras

Vägledning: Microsoft Purview distribuerar inte några kundriktade beräkningsresurser som kräver att kunderna konfigurerar skydd mot skadlig kod. Microsoft hanterar den underliggande infrastrukturen för Microsoft Purview och hantering av program mot skadlig kod.

Ansvar: Microsoft

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Se till att regelbundna automatiserade säkerhetskopieringar

Vägledning: Microsoft Purview stöder inte någon intern automatiserad säkerhetskopiering av data. Du ansvarar för säkerhetskopierings- och återställningsaktiviteter. Om du vill exportera viktiga metadata och egenskaper för säkerhetskopiering och återställning använder du REST-API:er för Microsoft Purview.

• Haveriberedskap för Microsoft Purview

• Microsoft Purview-plattformshärdning

Ansvar: Delad

BR-2: Kryptera säkerhetskopieringsdata

Vägledning: Microsoft Purview stöder för närvarande inte automatisk säkerhetskopiering eller säkerhetskopieringskryptering.

Ansvar: Kund

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Microsoft Purview stöder för närvarande inte automatisk säkerhetskopiering av data, kryptering av säkerhetskopior eller kundhanterade nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Alla autentiseringsuppgifter som används för Microsoft Purview lagras i ett Azure-nyckelvalv som du kan ansluta till från Microsoft Purview. Håll mått på plats för att förhindra och återställa från förlust av nycklar som används med Microsoft Purview. Om du vill skydda nycklar mot oavsiktlig eller skadlig borttagning aktiverar du skydd mot mjuk borttagning och rensning i Azure Key Vault.

• Aktivera mjukt borttagnings- och rensningsskydd i Key Vault

Ansvar: Kund

Nästa steg

• Läs mer i Översikten över Azure Security Benchmark V2
• Läs mer om säkerhetsbaslinjer för Azure