Azure-säkerhetsbaslinje för Azure Spring Cloud Service

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 2.0 till Azure Spring Cloud Service. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Spring Cloud Service.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Spring Cloud Service, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Om du vill se hur Azure Spring Cloud Service helt mappar till Azure Security Benchmark kan du läsa den fullständiga mappningsfilen för Azure Spring Cloud Service-säkerhetsbaslinjen.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: När du distribuerar Azure Spring Cloud Service-resurser skapar eller använder du ett befintligt virtuellt nätverk. Kontrollera att alla virtuella Azure-nätverk följer en princip för företagssegmentering som överensstämmer med affärsriskerna. Om något system medför högre risk för organisationen isolerar du det i ett eget virtuellt nätverk. Tillräckligt säkert för systemet med en nätverkssäkerhetsgrupp (NSG) eller Azure Firewall.

Med hjälp av anpassningsbar nätverkshärdning i Microsoft Defender för molnet rekommenderar du NSG-konfigurationer som begränsar portar och käll-IP-adresser. Basera konfigurationerna på regler för extern nätverkstrafik.

Baserat på dina program och företagets segmenteringsstrategi begränsar eller tillåter du trafik mellan interna resurser med hjälp av dina NSG-regler. För specifika, väldefinierade program (till exempel en app med tre nivåer) kan den här regeln vara en mycket säker neka som standard.

Ansvar: Kund

NS-2: Koppla samman privata nätverk

Vägledning: Använda Azure ExpressRoute eller Ett virtuellt privat Azure-nätverk (VPN) och skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar går inte via det offentliga Internet. Jämfört med vanliga Internetanslutningar erbjuder ExpressRoute-anslutningar:

  • Mer tillförlitlighet
  • Snabbare hastigheter
  • Lägre svarstider

För punkt-till-plats-VPN och plats-till-plats-VPN ansluter du lokala enheter eller nätverk till ett virtuellt nätverk. Använd valfri kombination av dessa VPN-alternativ och Azure ExpressRoute.

Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat. Den här typen av trafik sparas i Azure-stamnätverket.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.AppPlatform:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Spring Cloud bör använda nätverksinmatning Azure Spring Cloud-instanser bör använda virtuell nätverksinmatning för följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Gör det möjligt för Azure Spring Cloud att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. Granska, inaktiverad, neka 1.0.0

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Azure Spring Cloud Service tillåter inte att dess hanteringsslutpunkter skyddas i ett privat nätverk med Private Link-tjänsten.

Azure Spring Cloud Service tillhandahåller inte möjligheten att konfigurera Virtual Network tjänstslutpunkter.

Ansvar: Kund

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Skydda dina Azure Spring Cloud Service-resurser mot attacker från externa nätverk, inklusive:

  • DDoS-attacker (Distributed Denial of Service).
  • Programspecifika attacker.
  • Oönskad och potentiellt skadlig Internettrafik.

Använd Azure Firewall och skydda program och tjänster mot potentiellt skadlig trafik från Internet och andra externa platser. Om du vill skydda dina tillgångar mot DDoS-attacker aktiverar du DDoS-standardskydd i dina virtuella Azure-nätverk. Använd Microsoft Defender för molnet för att identifiera felkonfigurationsrisker för dina nätverksrelaterade resurser.

Om du vill skydda dina appar som körs i Azure Spring Cloud Service mot programnivåattacker använder du funktionerna i Web Application Firewall (WAF) i:

  • Azure Application Gateway
  • Azure Front Door
  • Azure Content Delivery Network (CDN)

Mer information finns i följande artiklar:

Ansvar: Kund

NS-5: Distribuera system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Vägledning: Använda Azure Firewall hotinformationsbaserad filtrering, avisering på eller blockera trafik till och från kända skadliga IP-adresser och domäner. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-flödet. När nyttolastinspektion krävs distribuerar du ett intrångsidentifierings-/intrångsskyddssystem från tredje part (IDS/IPS) från Azure Marketplace med funktioner för nyttolastgranskning. Eller så kan du använda värdbaserad IDS/IPS eller en värdbaserad lösning för slutpunktsidentifiering och svar (EDR) med eller i stället för nätverksbaserad IDS/IPS.

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd tjänsttaggar för virtuella Azure-nätverk, definiera nätverksåtkomstkontroller för NSG:er eller Azure Firewall som har konfigurerats för dina Azure Spring Cloud Service-resurser. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen i lämplig regels käll- eller målfält tillåter eller nekar du trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen. Tjänsttaggen uppdateras automatiskt när adresserna ändras.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Följ metodtipsen för DNS-säkerhet för att minimera vanliga attacker, till exempel:

  • Dangling DNS
  • DNS-förstärkningsattacker
  • DNS-förgiftning och förfalskning

Vad händer om du vill använda Azure DNS som din auktoritativa DNS-tjänst? Skydda sedan DNS-zoner och -poster från oavsiktlig eller skadlig ändring med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC) och resurslås.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Azure Spring Cloud Service använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser, till exempel:

    • Azure Portal
    • Azure Storage
    • Azure Virtual Machines (Linux och Windows)
    • Azure Key Vault
    • Plattform som en tjänst (PaaS)
    • SaaS-program (Programvara som en tjänst)
  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Se till att skydd Azure AD hög prioritet i organisationens molnsäkerhetspraxis. För att hjälpa dig att utvärdera din identitetssäkerhetsstatus mot Microsofts rekommendationer för bästa praxis tillhandahåller Azure AD en identitetssäkerhetspoäng. Med hjälp av den här poängen mäter du hur nära konfigurationen matchar rekommendationerna för bästa praxis. Gör sedan förbättringar i din säkerhetsstatus.

Obs! Azure AD stöder externa identiteter. Användare som inte har något Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

Azure Spring Cloud har den inbyggda rollen "Azure Spring Cloud Data Reader", som anger "läsåtkomst" mot Azure Spring Cloud-dataplansresurser. Vad händer om kunderna vill att andra ska få åtkomst till sitt Azure Spring Cloud-dataplan? Kunder kan sedan använda den här rollen och ge behörighet till andra.

Läs mer i följande referenser:

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Azure Spring Cloud Service stöder hanterade identiteter för sina Azure-resurser. Använd hanterade identiteter med Azure Spring Cloud Service i stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser. Azure Spring Cloud Service kan autentiseras internt mot de Azure-tjänster och resurser som stöder Azure AD autentisering. Autentiseringen sker via en fördefinierad regel för åtkomstbeviljande. Den använder inte autentiseringsuppgifter som är hårdkodade i källkods- eller konfigurationsfiler.

Vill du konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgå till klienthemligheter? Azure Spring Cloud Service rekommenderar sedan att du använder Azure AD för att skapa ett huvudnamn för tjänsten med begränsade behörigheter på resursnivå. I båda fallen kan Key Vault användas med Azure-hanterade identiteter. Sedan kan körningsmiljön (till exempel en Azure-funktion) hämta autentiseringsuppgifterna från nyckelvalvet.

Ansvar: Delad

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Azure Spring Cloud Service använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för att:

  • Azure-resurser
  • Molnprogram
  • Lokala program

Identitets- och åtkomsthantering omfattar företagsidentiteter, till exempel anställda, och externa identiteter, till exempel:

  • Partner
  • Leverantörer
  • Leverantörs-

Med den här hanteringen kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser. Du kan tillämpa enkel inloggning lokalt och i molnet. För sömlös, säker åtkomst, plus bättre synlighet och kontroll, anslut till Azure AD alla dina:

  • Användare
  • Program
  • Enheter

Mer information finns i följande artikel:

Ansvar: Kund

SNABBMEDDELANDE 4: Använd starka autentiseringskontroller för alla Azure AD-baserad åtkomst

Vägledning: Azure Spring Cloud Service använder Azure AD, som stöder starka autentiseringskontroller via multifaktorautentisering (MFA) och starka lösenordslösa metoder.

  • MFA. Aktivera Azure AD MFA. Metodtips i MFA-konfigurationen finns i rekommendationer för identitets- och åtkomsthantering i Microsoft Defender för molnet. Baserat på inloggningsvillkor och riskfaktorer kan MFA tillämpas på:

    • Alla användare
    • Välj användare
    • Nivå per användare
  • Lösenordsfri autentisering. Det finns tre alternativ för lösenordsfri autentisering:

    • Windows Hello för företag
    • Microsoft Authenticator-appen
    • Lokala autentiseringsmetoder, till exempel smartkort

För administratörer och privilegierade användare använder du den högsta nivån av den starka autentiseringsmetoden. Distribuera sedan lämplig princip för stark autentisering till andra användare.

Ansvar: Kund

IM-5: Övervaka och skicka aviseringar vid kontoavvikelser

Vägledning: Azure Spring Cloud Service är integrerat med Azure AD, som tillhandahåller följande datakällor:

  • Inloggningar. Inloggningsrapporten innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.

  • Granskningsloggar. Granskningsloggar ger spårning genom loggar för alla ändringar som olika funktioner gör i Azure AD. Exempel är ändringar som görs i alla resurser inom Azure AD, till exempel att lägga till eller ta bort:

    • Användare
    • Appar
    • Grupper
    • Roller
    • Principer
  • Riskfyllda inloggningar. En riskabel inloggning anger ett inloggningsförsök som kan ha gjorts av någon som inte är användarkontots legitima ägare.

  • Användare som flaggats för risk. En riskfylld användare anger ett användarkonto som kan ha komprometterats.

Dessa datakällor kan integreras med:

  • Azure Monitor
  • Microsoft Sentinel
  • System för säkerhetsinformation och händelsehantering från tredje part (SIEM)

Microsoft Defender för molnet kan också varna dig om vissa misstänkta aktiviteter. Dessa aktiviteter omfattar ett överdrivet antal misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen.

Azure Advanced Threat Protection (ATP) är en säkerhetslösning. Den kan använda Active Directory-signaler för att identifiera, identifiera och undersöka:

  • Avancerade hot
  • Komprometterade identiteter
  • Skadliga insideråtgärder

Mer information finns i följande artiklar:

Ansvar: Kund

IM-6: Begränsa åtkomsten till Azure-resurser baserat på villkor

Vägledning: Azure Spring Cloud Service stöder Azure AD villkorlig åtkomst för en mer detaljerad åtkomstkontroll som baseras på användardefinierade villkor. Dessa villkor omfattar användarinloggningar från vissa IP-intervall som behöver logga in med MFA. Du kan också använda en detaljerad princip för hantering av autentiseringssessioner för olika användningsfall. Dessa principer för villkorlig åtkomst gäller endast för användarkonton som autentiserar för att Azure AD för att komma åt och hantera Azure Spring Cloud Service. Dessa principer gäller inte för tjänstens huvudnamn, nycklar eller token som används för att ansluta till din Azure Spring Cloud Service-resurs.

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Med Azure Spring Cloud Service kan kunder distribuera och köra följande entiteter med identiteter eller hemligheter:

  • Kod
  • Konfigurationer
  • Sparade data

Implementera Skanner för autentiseringsuppgifter för att identifiera autentiseringsuppgifter inom dessa entiteter. Genomsökning av autentiseringsuppgifter uppmuntrar också till att flytta identifierade autentiseringsuppgifter till säkrare platser, till exempel Key Vault.

För GitHub kan du använda funktionen för intern hemlighetsgenomsökning för att identifiera autentiseringsuppgifter eller andra former av hemligheter i koden.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-2: Begränsa administrativ åtkomst till affärskritiska system

Vägledning: Azure Spring Cloud Service använder Azure RBAC för att isolera åtkomst till affärskritiska system. Den begränsar vilka konton som beviljas privilegierad åtkomst till de prenumerationer och hanteringsgrupper som de finns i.

Begränsa också åtkomsten till de hanterings-, identitets- och säkerhetssystem som har administrativ åtkomst till dina affärskritiska åtkomstkontroller, till exempel:

  • Active Directory-domän controllers (DCs).
  • Säkerhetsverktyg.
  • Systemhanteringsverktyg med agenter som är installerade på affärskritiska system.

Angripare som komprometterar dessa hanterings- och säkerhetssystem kan omedelbart ge dem vapen för att kompromettera affärskritiska tillgångar.

För att säkerställa konsekvent åtkomstkontroll justerar du alla typer av åtkomstkontroller efter din företagsstrategi för segmentering.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: För att säkerställa att Azure AD konton och deras åtkomst är giltiga använder Azure Spring Cloud Service följande konton för att:

  • Hantera dess resurser.
  • Granska användarkonton.
  • Åtkomsttilldelningar regelbundet.

Använd Azure AD och åtkomstgranskningar för att granska:

  • Gruppmedlemskap
  • Åtkomst till företagsprogram
  • Rolltilldelningar

Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. För att underlätta granskningsprocessen använder du även Azure AD Privileged Identity Management (PIM) för att skapa rapportarbetsflöden för åtkomstgranskningar.

Du kan också konfigurera Azure AD PIM för att varna dig när ett stort antal administratörskonton skapas. Eller konfigurera för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Hantera dessa användare separat.

Azure Spring Cloud har den inbyggda rollen "Azure Spring Cloud Data Reader". Den här rollen anger "läsåtkomst" mot dataplansresurser i Azure Spring Cloud. Vad händer om en kund vill låta andra komma åt sitt Azure Spring Cloud-dataplan? Sedan kan kunden använda den här rollen och ge behörighet till andra,

Läs mer i följande referenser:

Ansvar: Kund

PA-4: Konfigurera nödåtkomst i Azure AD

Vägledning: Azure Spring Cloud Service använder Azure AD för att hantera sina resurser. Vill du förhindra att av misstag blir utelåst från din Azure AD organisation? Konfigurera sedan ett konto för nödåtkomst för åtkomst när normala administrativa konton inte kan användas. Konton för nödåtkomst är mycket privilegierade. Tilldela inte dessa konton till specifika personer. Konton för nödåtkomst är begränsade till nödsituations- eller "break glass"-scenarier där normala administrativa konton inte kan användas.

Behåll autentiseringsuppgifter (till exempel lösenord, certifikat eller smartkort) för konton med nödåtkomst säker. Visa autentiseringsuppgifterna bara för personer som har behörighet att endast använda dem i en nödsituation.

Ansvar: Kund

PA-5: Automatisera berättigandehantering

Vägledning: Azure Spring Cloud Service är integrerat med Azure AD för att hantera dess resurser. Med hjälp av Azure AD funktioner för berättigandehantering automatiserar du arbetsflöden för åtkomstbegäran, inklusive:

  • Åtkomsttilldelningar
  • Omdömen
  • Förfallodatum

Dubbelt eller flerstegsgodkännande stöds också.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller, till exempel:

  • Administratör
  • Utvecklare
  • Kritisk tjänstoperator

Använd mycket säkra användararbetsstationer eller Azure Bastion för administrativa uppgifter. Om du vill distribuera en säker och hanterad användararbetsstation använder du en eller flera av:

  • Azure AD
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

Hantera de skyddade arbetsstationerna centralt för att framtvinga säker konfiguration, inklusive:

  • Stark autentisering
  • Programvaru- och maskinvarubaslinjer
  • Begränsad logisk åtkomst och nätverksåtkomst

Mer information finns i följande artiklar:

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Azure Spring Cloud Service är integrerat med Azure RBAC för att hantera dess resurser. Med Azure RBAC kan du hantera Åtkomst till Azure-resurser via rolltilldelningar. Tilldela dessa roller till:

  • Användare
  • Grupper
  • Tjänstens huvudnamn
  • Hanterade identiteter

Det finns fördefinierade inbyggda roller för vissa resurser. Du kan inventera eller fråga dessa roller via verktyg, till exempel:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Begränsa alltid de behörigheter som du tilldelar resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar jit-metoden (just-in-time) för Azure AD PIM och bör granskas regelbundet.

Använd inbyggda roller för att bevilja behörigheter. Skapa bara anpassade roller när det behövs.

Azure Spring Cloud har den inbyggda rollen "Azure Spring Cloud Data Reader", som anger "läsåtkomst" mot dataplansresurserna i Azure Spring Cloud. Vad händer om kunden vill låta andra komma åt sitt Azure Spring Cloud-dataplan? Sedan kan kunden använda den här rollen och ge behörighet till andra,

Läs mer i följande referenser:

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Vägledning: Ej tillämpligt; Azure Spring Cloud Service hanterar kundinnehåll, men det kan inte låta kunderna identifiera, klassificera eller märka dessa data.

Ansvar: Kund

DP-2: Skydda känsliga data

Vägledning: Skydda känsliga data genom att begränsa åtkomsten med hjälp av:

  • Azure RBAC.
  • Nätverksbaserade åtkomstkontroller.
  • Specifika kontroller i Azure-tjänster, till exempel kryptering.

För att säkerställa konsekvent åtkomstkontroll justerar du alla typer av åtkomstkontroll med din företagsstrategi för segmentering. Informera företagets segmenteringsstrategi med platsen för känsliga eller affärskritiska data och system.

För den underliggande plattformen (som hanteras av Microsoft) behandlar Microsoft allt kundinnehåll som känsligt. Den skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra implementerar Microsoft vissa standardkontroller och funktioner för dataskydd.

Ansvar: Kund

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontrollerna skyddar du data under överföring mot "out of band"-attacker, till exempel trafikinsamling. Använd kryptering för att se till att angripare inte enkelt kan läsa eller ändra data.

Azure Spring Cloud Service stöder datakryptering under överföring med Transport Layer Security (TLS) v1.2 eller senare.

Även om den här krypteringen är valfri för trafik i privata nätverk är den viktig för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du något av följande i stället för ett okrypterat protokoll:

  • Secure Shell (SSH) för Linux
  • Remote Desktop Protocol (RDP) och TLS för Windows

Inaktivera svaga chiffer, plus föråldrade versioner och protokoll för:

  • Secure Sockets Layer (SSL)
  • TLS
  • SSH

Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

Ansvar: Kund

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Azure Spring Cloud Service vilande data för att skydda mot "out of band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Den här metoden hjälper till att se till att angripare inte enkelt kan läsa eller ändra data.

Ansvar: Kund

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Bevilja säkerhetsteam säkerhetsläsarbehörigheter i din Azure-klientorganisation och dina prenumerationer. Sedan kan teamen övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur du strukturerar säkerhetsteamets ansvarsområden kan ett centralt säkerhetsteam eller ett lokalt team ansvara för övervakning av säkerhetsrisker. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare i stort sett för en hel klientorganisation (rothanteringsgrupp). Eller begränsa dem till hanteringsgrupper eller specifika prenumerationer.

Obs! Extra behörigheter kan behövas för att få insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteamen har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Azure Spring Cloud Service. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker. Inventeringen är också en indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. Tilldela teamet läsbehörighet till alla Azure Spring Cloud Service-resurser. Du kan förenkla de här stegen till en enda rolltilldelning på hög nivå i din prenumeration.

Om du vill organisera i en taxonomi logiskt tillämpar du taggar på:

  • Azure-resurser
  • Resursgrupper
  • Prenumerationer

Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Med hjälp av inventering av virtuella Azure-datorer automatiserar du insamlingen av information om programvara på virtuella datorer. På Azure Portal är följande objekt tillgängliga:

  • Programvarunamn
  • Version
  • Publisher
  • Uppdateringstid

Aktivera diagnostik på gästnivå för att få åtkomst till installationsdatum och annan information. Ta sedan windows-händelseloggarna till en Log Analytics-arbetsyta.

Om du vill ange vilka filtyper som en regel kanske inte gäller för använder du anpassningsbara programkontroller i Microsoft Defender för molnet.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Granska och begränsa vilka tjänster som användare kan etablera i din miljö med hjälp av Azure Policy. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Använd Övervaka och skapa regler för att utlösa aviseringar när en tjänst som inte har godkänts identifieras.

Ansvar: Kund

AM-4: Garantera säker livscykelhantering för tillgångar

Vägledning: Ej tillämpligt; Du kan inte använda Azure Spring Cloud Service för att säkerställa säkerheten för tillgångar i en livscykelhanteringsprocess. Kunden ansvarar för att underhålla attributen och nätverkskonfigurationerna för tillgångar som anses ha hög påverkan. Låt kunden skapa en process för att:

  • Samla in attribut- och nätverkskonfigurationsändringarna.
  • Mät ändringseffekten.
  • Skapa reparationsuppgifter, beroende på vad som är tillämpligt.

Ansvar: Kund

AM-5: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Vägledning: Använd villkorsstyrd åtkomst i Azure och begränsa användarnas möjlighet att interagera med Azure Resource Manager. Konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management".

Ansvar: Kund

AM-6: Använd endast godkända program i beräkningsresurser

Vägledning: Använd inventering av virtuella Azure-datorer och automatisera insamlingen av information om all programvara på virtuella datorer. Azure Portal gör följande tillgängliga:

  • Programvarunamn
  • Version
  • Publisher
  • Uppdateringstid

Aktivera diagnostik på gästnivå för att få åtkomst till installationsdatumet och annan information. Ta sedan windows-händelseloggarna till en Log Analytics-arbetsyta.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd den inbyggda hotidentifieringsfunktionen i Microsoft Defender för molnet. Aktivera Microsoft Defender för dina Azure Spring Cloud Service-resurser. Microsoft Defender för Azure Spring Cloud Service tillhandahåller ytterligare ett lager med säkerhetsinformation. Det här lagret identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina Azure Spring Cloud Service-resurser.

Vidarebefordra alla loggar från Azure Spring Cloud Service till din SIEM så att du kan konfigurera anpassade hotidentifieringar. Övervaka olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar, så analytiker behöver inte sortera igenom så många falska positiva identifieringar. Du kan källaviseringar från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure Active Directory (Azure AD) innehåller följande användarloggar:

  • Inloggningar. Inloggningsrapporten innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.

  • Granskningsloggar. Granskningsloggar ger spårning genom loggar för alla ändringar som olika funktioner gör i Azure AD. Exempel är ändringar som görs i alla resurser inom Azure AD, till exempel att lägga till eller ta bort:

    • Användare
    • Appar
    • Grupper
    • Roller
    • Principer
  • Riskfyllda inloggningar. En riskfylld inloggning anger för ett inloggningsförsök som kan ha gjorts av någon som inte är användarkontots legitima ägare.

  • Användare som flaggats för risk. En riskfylld användare anger ett användarkonto som kan ha komprometterats.

Du kan visa dessa loggar i Azure AD rapportering. För mer avancerade användningsfall för övervakning och analys kan du integrera loggarna med:

  • Övervaka
  • Microsoft Sentinel
  • Andra SIEM/övervakningsverktyg

Microsoft Defender för molnet kan också utlösa aviseringar om vissa misstänkta aktiviteter. Dessa aktiviteter omfattar ett överdrivet antal misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen. Förutom den grundläggande övervakningen av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul även samla in djupgående säkerhetsaviseringar från enskilda:

  • Azure-beräkningsresurser (virtuella datorer, containrar och App Service)
  • Dataresurser (SQL DB och lagring)
  • Azure-tjänstlager

Med den här funktionen kan du visa kontoavvikelser i enskilda resurser.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: För säkerhetsanalys aktiverar och samlar du in loggar för:

  • NSG-resurser
  • NSG-flöden
  • Azure Firewall
  • Brandvägg för webbaserade program (WAF)

Använd dessa loggar för att stödja:

  • Incidentundersökningar
  • Jakt på hot
  • Generering av säkerhetsaviseringar

Skicka flödesloggarna till en Log Analytics-arbetsyta i Monitor. Använd sedan Trafikanalys för att ge insikter.

Azure Spring Cloud Service loggar all nätverkstrafik som den bearbetar för kundåtkomst. Aktivera nätverksflödesfunktionen i dina distribuerade erbjudanderesurser.

Samla in DNS-frågeloggar för att korrelera andra nätverksdata. Implementera en lösning från tredje part från Azure Marketplace för DNS-loggning enligt organisationens behov.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar innehåller alla skrivåtgärder (PUT, POST och DELETE) för dina Azure Spring Cloud Service-resurser. Aktivitetsloggar är automatiskt tillgängliga, men de innehåller inte läsåtgärder (GET). Du kan använda aktivitetsloggar för att hitta ett fel vid felsökning. Eller använd loggarna för att övervaka hur en användare i din organisation ändrade en resurs.

Aktivera Azure-resursloggar för Azure Spring Cloud Service. Använd Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och utföra kriminaltekniska övningar.

Azure Spring Cloud Service skapar även säkerhetsgranskningsloggar för de lokala administratörskontona. Aktivera dessa granskningsloggar för lokala administratörer.

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Ej tillämpligt; Azure Spring Cloud Service stöder inte konfiguration av dina egna tidssynkroniseringskällor.

Azure Spring Cloud Service-tjänsten förlitar sig på Microsofts tidssynkroniseringskällor. Den exponeras inte för kunder för konfiguration.

Ansvar: Microsoft

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

IR-1: Förberedelse – uppdatera processen för svar på incidenter i Azure

Vägledning: Se till att din organisation:

  • Har processer för att svara på säkerhetsincidenter.
  • Har uppdaterat dessa processer för Azure.
  • Utför regelbundet processerna för att säkerställa beredskap.

Mer information finns i följande artiklar:

Ansvar: Kund

IR-2: Förberedelse – konfigurera incidentavisering

Vägledning: Konfigurera kontaktuppgifter för säkerhetsincidenter i Microsoft Defender för molnet. Vad händer om Microsoft Security Response Center (MSRC) hittar en otillåten eller obehörig part som har använt dina data? Sedan använder Microsoft den här kontaktinformationen för att kontakta dig. Baserat på dina incidenthanteringsbehov kan du anpassa incidentaviseringar och meddelanden i olika Azure-tjänster.

Ansvar: Kund

IR-3: Identifiering och analys – skapa incidenter baserat på aviseringar av hög kvalitet

Vägledning: Ha en process för att skapa aviseringar av hög kvalitet och mäta aviseringarnas kvalitet. Med den här metoden kan du dra lärdomar av tidigare incidenter. Sedan kan du fokusera på aviseringar för analytiker, så att de inte slösar tid på falska positiva identifieringar.

Genom att åtgärda och korrelera olika signalkällor kan du skapa aviseringar av hög kvalitet baserat på:

  • Erfarenhet från tidigare incidenter.
  • Verifierade community-källor.
  • Verktyg som är utformade för att generera och rensa aviseringar.

Microsoft Defender för molnet tillhandahåller aviseringar av hög kvalitet för många Azure-tillgångar. Du kan använda dataanslutningsappen för Microsoft Defender för molnet för att strömma aviseringarna till Microsoft Sentinel. Om du vill generera incidenter automatiskt för en undersökning kan du med Microsoft Sentinel skapa avancerade aviseringsregler.

För att identifiera risker för Azure-resurser exporterar du aviseringar och rekommendationer för Microsoft Defender för molnet med hjälp av exportfunktionen. Exportera aviseringar och rekommendationer manuellt. Eller exportera på ett pågående, kontinuerligt sätt.

Ansvar: Kund

IR-4: Identifiering och analys – undersöka en incident

Vägledning: Se till att analytiker kan köra frågor mot och använda olika datakällor när de undersöker potentiella incidenter. Då kan analytiker bygga en fullständig bild av vad som hände. För att undvika oupptäckta problem samlar du in olika loggar för att spåra aktiviteter för en potentiell angripare i killkedjan. Samla in insikter och lärdomar för andra analytiker och för framtida historiska referenser.

Datakällorna för undersökning omfattar de centraliserade loggningskällor som redan samlas in från tjänsterna inom omfånget och system som körs. Datakällor kan också innehålla:

  • Nätverksdata. Om du vill samla in nätverksflödesloggar och annan analysinformation använder du:

    • NSG:er flödesloggar
    • Azure Network Watcher
    • Övervaka
  • Ögonblicksbilder av system som körs:

    • Använd funktionen för ögonblicksbilder på den virtuella Azure-datorn för att skapa en ögonblicksbild av det aktiva systemets disk.

    • Använd operativsystemets interna minnesdumpningsfunktion för att skapa en ögonblicksbild av det aktiva systemets minne.

    • Använd funktionen för ögonblicksbilder i Azure-tjänsterna eller din programvaras egna funktion för att skapa ögonblicksbilder av de system som körs.

Microsoft Sentinel tillhandahåller omfattande dataanalys över praktiskt taget alla loggkällor. Den tillhandahåller en ärendehanteringsportal för att hantera hela livscykeln för incidenter. I spårnings- och rapporteringssyfte associerar du underrättelseinformation under en undersökning med en incident.

Ansvar: Kund

IR-5: Identifiering och analys – fokusera på incidenter

Vägledning: Baserat på allvarlighetsgrad för aviseringar och tillgångskänslighet ger du kontext till analytiker som incidenter ska fokusera på först.

Microsoft Defender för molnet tilldelar varje avisering en allvarlighetsgrad. Den här allvarlighetsgraden hjälper dig att betona vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på:

  • Hur säker Microsoft Defender för molnet är på att hitta.
  • Hur säker Microsoft Defender för molnet är i den analys som användes för att utfärda aviseringen.
  • Konfidensnivån att det finns skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera resurser med taggar. Skapa ett namngivningssystem för att identifiera och kategorisera Azure-resurser, särskilt de resurser som bearbetar känsliga data. Du ansvarar för att fokusera på reparation av aviseringar, baserat på allvarlighetsgrad för Azure-resurser och miljön där incidenten inträffade.

Ansvar: Kund

IR-6: Inneslutning, utrotning och återställning – automatisera incidenthanteringen

Vägledning: Automatisera manuella återkommande uppgifter för att korta ned svarstiderna och underlätta för analytikerna. Manuella uppgifter:

  • Det tar längre tid att köra.
  • Saktar ned förloppet för varje incident.
  • Minskar hur många incidenter en analytiker kan hantera.

Manuella uppgifter ökar också analytikertröttheten, vilket ökar risken för mänskliga fel som orsakar förseningar. Trötthet försämrar analytikernas förmåga att effektivt fokusera på komplexa uppgifter.

Använd funktioner för arbetsflödesautomatisering i Microsoft Defender för molnet och Microsoft Sentinel för att automatiskt utlösa åtgärder. Eller använd dessa funktioner för att köra en spelbok som svarar på inkommande säkerhetsaviseringar. Spelboken vidtar åtgärder, till exempel:

  • Skicka meddelanden
  • Inaktivera konton
  • Isolera problematiska nätverk

Mer information finns i följande artiklar:

Ansvar: Kund

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Använd Microsoft Defender för molnet och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser. Dessa resurser omfattar virtuella datorer, containrar och andra.

Ansvar: Kund

PV-6: Gör sårbarhetsbedömningar för programvara

Vägledning: Ej tillämpligt; Microsoft utför sårbarhetshantering på de underliggande system som stöder Azure Spring Cloud Service.

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Använd en korrigeringshanteringslösning från tredje part för programvara från tredje part. Eller använd System Center Uppdateringar Publisher för Configuration Manager.

Ansvar: Kund

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför vid behov intrångstestning eller aktiviteter för röda team på dina Azure-resurser. Se till att alla kritiska säkerhetsresultat åtgärdas.

Om du vill se till att intrångstesterna inte bryter mot Microsofts principer följer du Microsoft Cloud Penetration Testing Rules of Engagement. Använd Microsofts strategi och körning av red teamindelning och intrångstester för livewebbplatser mot Microsoft-hanterad:

  • Molninfrastruktur
  • Tjänster
  • Program

Mer information finns i följande artiklar:

Ansvar: Kund

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-4: Minska risken för förlorade nycklar

Vägledning: Ha åtgärder på plats för att förhindra och återställa från förlust av nycklar. Om du vill skydda nycklar mot oavsiktlig eller skadlig borttagning aktiverar du skydd mot mjuk borttagning och rensning i Key Vault.

Ansvar: Kund

Styrning och strategi

Mer information finns i Azure Security Benchmark: Styrning och strategi.

GS-1: Definiera en strategi för tillgångshantering och dataskydd

Vägledning: Dokumentera och förmedla en tydlig strategi för kontinuerlig övervakning och skydd av system och data. För affärskritiska data och system fokuserar du på:

  • Identifiering
  • Utvärdering
  • Skydd
  • Övervakning

Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:

  • Dataklassificeringsstandard som överensstämmer med affärsriskerna

  • Säkerhetsorganisationens insyn i risker och tillgångsinventering

  • Säkerhetsorganisationens godkännande av de Azure-tjänster som används

  • Tillgångars säkerhet genom hela livscykeln

  • Obligatorisk strategi för åtkomstkontroll som överensstämmer med organisationens dataklassificering

  • Användning av dataskyddsfunktioner i Azure och från tredje part

  • Krav på datakryptering både under överföring och i vila

  • Lämpliga kryptografiska standarder

Läs mer i följande referenser:

Ansvar: Kund

GS-2: Definiera företagets segmenteringsstrategi

Vägledning: Upprätta en företagsomfattande strategi för segmentering av åtkomst till tillgångar med hjälp av en kombination av:

  • Identitet
  • Nätverk
  • Program
  • Prenumeration
  • Hanteringsgrupp
  • Andra kontroller

Balansera noggrant:

  • Behovet av säkerhetsavgränsning.
  • Behovet av att aktivera daglig drift av system som kommunicerar och får åtkomst till data.

Implementera segmenteringsstrategin konsekvent mellan kontrolltyper, inklusive:

  • Nätverkssäkerhet
  • Identitets- och åtkomstmodeller
  • Programbehörighet och åtkomstmodeller
  • Mänskliga processkontroller

Mer information finns i följande länkar:

Ansvar: Kund

GS-3: Definiera en strategi för hantering av säkerhetspositionen

Vägledning: Kontinuerligt mäta och minimera risker för dina enskilda tillgångar och den miljö som de finns i. Fokusera på värdefulla tillgångar och högexponerade attackytor, till exempel:

  • Publicerade program
  • Ingångs- och utgångspunkter för nätverk
  • Användar- och administratörsslutpunkter

Mer information finns i följande artikel:

Ansvar: Kund

GS-4: Justera organisationens roller och ansvarsområden

Vägledning: Dokumentera och förmedla en tydlig strategi för roller och ansvarsområden i din säkerhetsorganisation. Betona:

  • Ge ett tydligt ansvar för säkerhetsbeslut.
  • Utbilda alla om modellen med delat ansvar.
  • Utbilda tekniska team om teknik för att skydda molnet.

Mer information finns i följande artiklar:

Ansvar: Kund

GS-5: Definiera en strategi för nätverkssäkerhet

Vägledning: Upprätta en azure-nätverkssäkerhetsmetod. Gör den här metoden till en del av organisationens övergripande strategi för säkerhetsåtkomstkontroll,

Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:

  • Centraliserade ansvarsområden kring nätverkshantering och säkerhet

  • Segmenteringsmodell för virtuella nätverk som är anpassad till företagets segmenteringsstrategi

  • Åtgärdsstrategi för olika hot- och angreppsscenarier

  • Internet-, ingress- och utgående strategi

  • Strategi för hybridmoln och lokala anslutningar

  • Uppdaterade nätverkssäkerhetsartefakter, till exempel nätverksdiagram och referensnätverksarkitektur

Läs mer i följande referenser:

Ansvar: Kund

GS-6: Definiera en strategi för identiteter och privilegierad åtkomst

Vägledning: Upprätta en Azure-identitet och privilegierad åtkomst. Gör dessa objekt till en del av organisationens övergripande strategi för säkerhetsåtkomstkontroll.

Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:

  • Ett centraliserat identitets- och autentiseringssystem och dess sammankoppling med andra interna och externa identitetssystem

  • Starka autentiseringsmetoder i olika användningsfall och scenarier

  • Skydda och användare med hög behörighet

  • Övervakning och hantering av avvikande användaraktiviteter

  • Process för att granska och stämma av identiteter och åtkomstbehörighet

Läs mer i följande referenser:

Ansvar: Kund

GS-7: Definiera en strategi för loggning och hotåtgärder

Vägledning: Upprätta en strategi för loggning och hothantering för att snabbt identifiera och åtgärda hot samtidigt som efterlevnadskraven uppfylls. Fokusera på att ge analytiker högkvalitativa aviseringar och sömlösa upplevelser. Sedan kan analytikerna fokusera på hot i stället för integrering och manuella steg.

Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:

  • SecOps-organisationens roll och ansvarsområden

  • En väldefinierad incidenthanteringsprocess som överensstämmer med ett branschramverk, till exempel National Institute of Standards and Technology (NIST)

  • Logginsamling och kvarhållning som stöd för:

    • Hotidentifiering
    • Incidenthantering
    • Efterlevnadsbehov
  • Centraliserad synlighet för och korrelationsinformation om hot, med hjälp av:

    • SIEM
    • Inbyggda Azure-funktioner
    • Andra källor
  • Kommunikations- och meddelandeplan med din:

    • Kunder
    • Leverantörs-
    • Offentliga parter av intresse
  • Användning av azures interna plattformar och tredjepartsplattformar för incidenthantering, till exempel:

    • Loggning och hotidentifiering
    • Kriminalteknik
    • Reparation och utrotning av attacker
  • Processer för hantering av incidenter och efterföljande aktiviteter som hantering av lärdomar och bevis

Läs mer i följande referenser:

Ansvar: Kund

GS-8: Definiera strategi för säkerhetskopiering och återställning

Vägledning: Upprätta en strategi för säkerhetskopiering och återställning i Azure för din organisation.

Strategin bör omfatta dokumenterad vägledning, policyer och standarder för följande element:

  • Mål för återställningstid (RTO) och RPO-definitioner (Återställningspunktmål) som överensstämmer med dina mål för affärsåterhämtning

  • Redundansdesign i program- och infrastrukturkonfigurationen

  • Skydd av säkerhetskopiering med hjälp av åtkomstkontroll och datakryptering

Läs mer i följande referenser:

Ansvar: Kund

Nästa steg