Azure-säkerhetsbaslinje för Microsoft Purview
Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Microsoft Purview. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Microsoft Purview.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontroller och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Kontroller som inte gäller för Microsoft Purview, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Microsoft Purview mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Microsoft Purview-säkerhetsbaslinje.
Nätverkssäkerhet
Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.
NS-1: Implementera säkerhet för intern trafik
Vägledning: Microsoft Purview stöder inte distribution direkt till ett virtuellt nätverk. Så du kan inte använda vissa nätverksfunktioner med erbjudandets resurser, till exempel:
- Nätverkssäkerhetsgrupper (NSG:er).
- Routningstabeller.
- Andra nätverksberoende enheter, till exempel en Azure Firewall.
Du kan använda privata slutpunkter som kan aktiveras i ditt virtuella nätverk. Och du kan inaktivera offentlig Internetåtkomst för att ansluta säkert till Microsoft Purview.
Ansvar: Kund
NS-2: Koppla samman privata nätverk
Vägledning: Vill du skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö? Använd sedan Azure ExpressRoute eller Ett virtuellt privat Azure-nätverk (VPN). ExpressRoute-anslutningar går inte via det offentliga Internet. Jämfört med vanliga Internetanslutningar erbjuder ExpressRoute-anslutningar:
- Mer tillförlitlighet
- Snabbare hastigheter
- Lägre svarstider
För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk. Använd bara valfri kombination av dessa VPN-alternativ och Azure ExpressRoute.
När du använder privat slutpunkt med Microsoft Purview ansluter du nätverket där din Microsoft Purview-slutpunkt finns till de nätverk där datakällorna finns. Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk. Nätverkstrafik mellan peer-kopplade virtuella nätverk är privat och sparas i Azures stamnätverk.
Ansvar: Kund
NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster
Vägledning: Om du vill aktivera privat åtkomst till Microsoft Purview från dina virtuella nätverk utan att korsa Internet använder du Azure Private Link. Privat åtkomst är ett extra skydd på djupet för den autentisering och trafiksäkerhet som Azure-tjänster erbjuder.
Ansvar: Kund
NS-7: Secure Domain Name Service (DNS)
Vägledning: Microsoft Purview exponerar inte sina underliggande DNS-konfigurationer. Microsoft underhåller dessa inställningar.
Ansvar: Microsoft
Identitetshantering
Mer information finns i Azure Security Benchmark: Identitetshantering.
IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering
Vägledning: Microsoft Purview använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:
Microsoft Cloud-resurser, till exempel:
- Azure Portal
- Microsoft Purview
- Infrastruktur som en tjänst (IaaS)
- Plattform som en tjänst (PaaS)
- SaaS-tjänster och -program (Programvara som en tjänst)
Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser
Se till att skydda Azure AD hög prioritet i organisationens molnsäkerhetspraxis. För att hjälpa dig att utvärdera identitetssäkerhetsstatus mot Microsofts rekommendationer för bästa praxis tillhandahåller Azure AD en identitetssäkerhetspoäng. Använd poängen för att mäta hur nära konfigurationen matchar rekommendationer för bästa praxis. Använd också poängen för att förbättra din säkerhetsstatus.
Obs! Azure AD stöder externa identiteter. Med en extern identitet kan en användare utan Ett Microsoft-konto logga in på sina program och resurser.
Ansvar: Delad
IM-2: Hantera appidentiteter säkert och automatiskt
Vägledning: Microsoft Purview stöder hanterade identiteter för sina Azure-resurser. I stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser använder du hanterade identiteter med Microsoft Purview. Microsoft Purview kan autentiseras internt mot De Azure-tjänster och resurser som stöder Azure AD autentisering. Autentiseringen sker via en fördefinierad regel för åtkomstbeviljande. Den här regeln för åtkomstbidrag använder inte autentiseringsuppgifter som är hårdkodade i källkods- eller konfigurationsfiler.
Använda Purview-hanterad identitet för att konfigurera genomsökningar
Tjänster som stöder hanterade identiteter för Azure-resurser
Ansvar: Microsoft
Privilegierad åtkomst
Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.
PA-3: Granska och stäm av användarnas åtkomst regelbundet
Vägledning: Hur ser du till att användarkonton och deras åtkomstnivå är giltiga? Du granskar kontona och kontrollerar regelbundet tilldelningsbeviljande åtkomst till Microsoft Purview. Med Azure AD åtkomstgranskningar granskar du gruppmedlemskap och rolltilldelningar som är relaterade till dina Microsoft Purview-resurser. Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. Om du vill skapa ett arbetsflöde för åtkomstgranskningsrapport som hjälper granskningsprocessen använder du Azure AD Privileged Identity Management (PIM).
Konfigurera Azure AD PIM för att varna dig när ett stort antal administratörskonton skapas. Och konfigurera det för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.
Ansvar: Kund
PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)
Vägledning: Microsoft Purview är integrerat med Azure RBAC för att hantera dess resurser. Med Azure RBAC kan du hantera åtkomst till Azure-resurser via rolltilldelningar. Tilldela dessa roller till:
- Användare
- Grupper
- Tjänstens huvudnamn
- Hanterade identiteter
Det finns fördefinierade inbyggda roller för vissa resurser. Inventera eller fråga dessa roller via verktyg, till exempel:
- Azure CLI
- Azure PowerShell
- Azure Portal
Begränsa alltid de behörigheter som du tilldelar till resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar JIT-metoden (just-in-time) för Azure AD PIM, och den bör granskas regelbundet.
Använd inbyggda roller för att bevilja behörigheter. Skapa endast anpassade roller när det behövs.
Ansvar: Kund
PA-8: Välj godkännandeprocess för Microsoft-support
Vägledning: Microsoft Purview stöder inte kundlåsbox. För att få åtkomst till kunddata kan Microsoft arbeta med kunder via icke-lockbox-metoder för godkännande.
Ansvar: Kund
Dataskydd
Mer information finns i Azure Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Vägledning: Använd Microsoft Purview för att identifiera, märka och klassificera din Azure-dataegendom. Registrera alla dina datakällor. Konfigurera Microsoft Purview-genomsökningar för att identifiera, klassificera och märka känsliga data. Utforma sedan lämpliga kontroller så att organisationens tekniksystem vidtar följande åtgärder för känslig information på ett säkert sätt:
- Storage
- Bearbetar
- Överföring
Mer information finns i följande artikel:
Ansvar: Kund
DP-2: Skydda känsliga data
Vägledning: Microsoft Purview lagrar metadata för kunddatakällor. Tjänsten ger detaljerad åtkomstkontroll via Microsoft Purview-roller och Azure RBAC.
Skydda känsliga data genom att begränsa åtkomsten med hjälp av:
- Azure RBAC
- Nätverksbaserade åtkomstkontroller
- Specifika kontroller i Azure-tjänster, till exempel kryptering i SQL och andra databaser
För att säkerställa konsekvent åtkomstkontroll justerar du alla typer av åtkomstkontroll till din strategi för företagssegmentering. Informera din strategi för företagssegmentering med platsen för känsliga eller affärskritiska data och system.
Microsoft hanterar den underliggande plattformen. Microsoft behandlar allt kundinnehåll som känsligt och skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra implementerar Microsoft vissa standardkontroller och funktioner för dataskydd.
Ansvar: Delad
DP-3: Övervaka obehörig överföring av känsliga data
Vägledning: Microsoft Purview erbjuder funktioner för ursprungsövervakning. För närvarande stöder Microsoft Purview följande verktyg för extrahering, transformering och inläsning (ETL):
- Azure Data Factory
- Azure Data Share
- Power BI
Data härkomst kan visa hur data sprids från ett system till ett annat. Den här skärmen hjälper till att eliminera duplicering av känsliga data. Den ger en grafisk representation för att öka synligheten för data härstamning.
För dina datakällor som Microsoft Purview genomsöker övervakar du obehörig överföring av data till platser utanför företagets synlighet och kontroll. Använd tjänstspecifika Microsoft Defender- och loggalternativ för att utföra övervakningen. Den här åtgärden omfattar vanligtvis övervakning av avvikande aktiviteter, till exempel stora eller ovanliga överföringar. Dessa aktiviteter kan tyda på obehörig dataexfiltrering.
Ansvar: Kund
DP-4: Kryptera känslig information under överföring
Vägledning: För att komplettera åtkomstkontroller skyddar du data under överföring mot out-of-band-attacker (till exempel trafikinsamling). Den använder kryptering för att se till att angripare inte enkelt kan läsa eller ändra data.
Microsoft Purview stöder datakryptering under överföring med TLS (Transport Layer Security) v1.2 eller senare.
Kryptering är valfritt för trafik i privata nätverk, men kryptering är viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Inaktivera svaga chiffer och föråldrade versioner av SSL-, TLS- och SSH-protokollen.
Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.
Ansvar: Delad
DP-5: Kryptera känsliga data i vila
Vägledning: För att komplettera åtkomstkontroller krypterar Microsoft Purview vilande data för att skydda mot out-of-band-attacker (till exempel åtkomst till underliggande lagring). Den använder kryptering med Microsoft-hanterade nycklar. Den här metoden hjälper till att se till att angripare inte enkelt kan läsa eller ändra data.
Microsoft Purview stöder för närvarande inte kryptering i resten av sina metadata med en kundhanterad nyckel.
Ansvar: Delad
Tillgångshantering
Mer information finns i Azure Security Benchmark: Tillgångshantering.
AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar
Vägledning: Ge säkerhetsteamen behörigheten "Microsoft Purview Data Reader Role" och "Reader" i din Azure-klientorganisation och prenumerationer. Sedan kan teamen läsa alla Microsoft Purview-konfigurationer, innehåll och resultat för säkerhetsrisker.
Beroende på hur du strukturerar säkerhetsteamets ansvarsområden kan ett centralt säkerhetsteam eller ett lokalt team ansvara för övervakningen av säkerhetsriskerna. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.
Du kan använda behörigheter för säkerhetsläsare brett för en hel klientorganisation (rothanteringsgrupp). Eller så kan du begränsa behörigheterna till hanteringsgrupper eller specifika prenumerationer.
Ansvar: Kund
AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata
Vägledning: Gör så att säkerhetsteam kan komma åt en kontinuerligt uppdaterad inventering av Azure-tillgångar, till exempel Microsoft Purview. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker. Inventeringen är också en indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. Tilldela sedan läsbehörighet till alla Microsoft Purview-resurser för gruppen. Du kan förenkla processen till en enda rolltilldelning på hög nivå i din prenumeration.
Om du vill organisera i en taxonomi logiskt tillämpar du taggar på:
- Azure-resurser
- Resursgrupper
- Prenumerationer
Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.
Microsoft Purview tillåter inte körning av ett program eller installation av programvara på dess resurser.
Ansvar: Delad
Loggning och hotidentifiering
Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera hotidentifiering för Azure-resurser
Vägledning: Microsoft Purview tillhandahåller inte inbyggda funktioner för att övervaka säkerhetshot som är relaterade till dess resurser.
Vidarebefordra alla loggar från Microsoft Purview till din SIEM, som du kan använda för att konfigurera anpassade hotidentifieringar. Övervaka olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar för att minska falska positiva identifieringar för analytiker att sortera igenom. Du kan hämta aviseringar från:
- Loggdata
- Agenter
- Andra data
Mer information finns i följande artiklar:
Ansvar: Delad
LT-4: Aktivera loggning för Azure-resurser
Vägledning: Aktivitetsloggar innehåller alla skrivåtgärder (PUT, POST och DELETE) för dina Microsoft Purview-resurser. Loggarna är automatiskt tillgängliga, men de innehåller inte läsåtgärder (GET). Använd aktivitetsloggar för att hitta ett fel vid felsökning. Eller använd loggarna för att övervaka hur en användare i din organisation ändrade en resurs.
Aktivera Azure-resursloggar för Microsoft Purview för data som ScanStatusLogEvent och AllMetrics. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.
Ansvar: Delad
LT-5: Central hantering och analys av säkerhetsloggar
Vägledning: Om du vill aktivera korrelationen mellan Microsoft Purview-loggdata centraliserar du loggningslagring och analys. Kontrollera att du har tilldelats för varje loggkälla:
- Dataägare
- Vägledning för åtkomst
- Lagringsplats
- Verktyg som används för att bearbeta och komma åt data
- Krav för datakvarhållning
Integrera Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av:
- Slutpunktsenheter
- Nätverksresurser
- Andra säkerhetssystem
I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och göra analyser. Använd Azure Storage-konton för långsiktig lagring och arkivering.
Aktivera och publicera data till Microsoft Sentinel eller en SIEM från tredje part. Många organisationer väljer att använda Microsoft Sentinel för "frekventa" data som används ofta. Dessa organisationer väljer sedan Azure Storage för "kalla" data som används mindre ofta.
Ansvar: Delad
LT-6: Konfigurera kvarhållning av loggar
Vägledning: Har du lagringskonton eller Log Analytics-arbetsytor som används för att lagra Microsoft Purview-loggar? Ange sedan loggkvarhållningsperioden baserat på organisationens efterlevnadsregler. Använd Azure Storage- eller Log Analytics-arbetsytekonton för långsiktig lagring och arkivering.
Ansvar: Kund
LT-7: Använd godkända tidssynkroniseringskällor
Vägledning: Microsoft Purview stöder inte konfiguration av dina egna tidssynkroniseringskällor. Microsoft Purview-tjänsten förlitar sig på Microsofts tidssynkroniseringskällor och exponeras inte för kunder för konfiguration.
Ansvar: Microsoft
Hantering av säkerhetsposition och säkerhetsrisker
Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.
PV-1: Upprätta säkra konfigurationer för Azure-tjänster
Vägledning: Microsoft Purview stöder distribution av resursen via Azure Resource Manager mallar. Använd Azure Policy för att framtvinga eller övervaka för säkra konfigurationer. För närvarande finns det inga inbyggda Azure Policy definitioner för Microsoft Purview. Men du kan skapa egna anpassade definitioner med hjälp av namnområdesaliasen "Microsoft.Purview".
I en enda skissdefinition använder du Azure Blueprints för att automatisera distributionen och konfigurationen av Microsoft Purview-tjänsten genom att paketera:
- Azure Resources Manager-mallar
- Azure RBAC-kontroller
- Azure Policy definitioner
Mer information finns i följande artiklar:
Ansvar: Kund
PV-2: Underhåll säkra konfigurationer för Azure-tjänster
Vägledning: Använd Microsoft Defender för molnet för att övervaka konfigurationsbaslinjen för Microsoft Purview. Förhindra osäkra konfigurationer med hjälp av Azure Policy. Microsoft Purview stöder distribution av resursen via Azure Resource Manager mallar. Du kan använda Azure Policy för att framtvinga eller övervaka säkra konfigurationer med tjänsten. För närvarande finns det inga inbyggda Azure Policy definitioner för Microsoft Purview. Men du kan skapa egna anpassade definitioner med hjälp av namnområdesaliasen "Microsoft.Purview".
Ansvar: Kund
PV-6: Gör sårbarhetsbedömningar för programvara
Vägledning: Microsoft Purview är ett PaaS-erbjudande. Den distribuerar inte kundriktade beräkningsresurser som stöder verktyg för sårbarhetsbedömning. För den underliggande plattformen som stöder Microsoft Purview hanterar Microsoft sårbarheter och utvärderingar.
Ansvar: Microsoft
PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt
Vägledning: Microsoft Purview är ett PaaS-erbjudande. Den distribuerar inte kundriktade beräkningsresurser som stöder verktyg för sårbarhetsbedömning. För den underliggande plattformen som stöder Microsoft Purview hanterar Microsoft sårbarheter och utvärderingar.
Ansvar: Microsoft
Slutpunktssäkerhet
Mer information finns i Azure Security Benchmark: Endpoint Security.
ES-2: Använd centralt hanterad modern programvara mot skadlig kod
Vägledning: Microsoft Purview distribuerar inte några kundriktade beräkningsresurser som kräver att kunderna konfigurerar skydd mot skadlig kod. Microsoft hanterar den underliggande infrastrukturen för Microsoft Purview och hantering av program mot skadlig kod.
Ansvar: Microsoft
ES-3: Se till att program och signaturer mot skadlig kod uppdateras
Vägledning: Microsoft Purview distribuerar inte några kundriktade beräkningsresurser som kräver att kunderna konfigurerar skydd mot skadlig kod. Microsoft hanterar den underliggande infrastrukturen för Microsoft Purview och hantering av program mot skadlig kod.
Ansvar: Microsoft
Säkerhetskopiering och återställning
Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Vägledning: Microsoft Purview stöder inte någon intern automatiserad säkerhetskopiering av data. Du ansvarar för säkerhetskopierings- och återställningsaktiviteter. Om du vill exportera viktiga metadata och egenskaper för säkerhetskopiering och återställning använder du REST-API:er för Microsoft Purview.
Ansvar: Delad
BR-2: Kryptera säkerhetskopieringsdata
Vägledning: Microsoft Purview stöder för närvarande inte automatisk säkerhetskopiering eller säkerhetskopieringskryptering.
Ansvar: Kund
BR-3: Validera all säkerhetskopiering med kundhanterade nycklar
Vägledning: Microsoft Purview stöder för närvarande inte automatisk säkerhetskopiering av data, kryptering av säkerhetskopior eller kundhanterade nycklar.
Ansvar: Kund
BR-4: Minska risken för förlorade nycklar
Vägledning: Alla autentiseringsuppgifter som används för Microsoft Purview lagras i ett Azure-nyckelvalv som du kan ansluta till från Microsoft Purview. Håll mått på plats för att förhindra och återställa från förlust av nycklar som används med Microsoft Purview. Om du vill skydda nycklar mot oavsiktlig eller skadlig borttagning aktiverar du skydd mot mjuk borttagning och rensning i Azure Key Vault.
Ansvar: Kund
Nästa steg
- Läs mer i Översikten över Azure Security Benchmark V2
- Läs mer om säkerhetsbaslinjer för Azure