Azure-säkerhetsbaslinje för Azure Stack Edge

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Microsoft Azure Stack Edge. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Stack Edge.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontroller och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Stack Edge, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Azure Stack Edge mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Stack Edge-säkerhetsbaslinjen.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Kunder distribuerar en Microsoft-tillhandahållen, fysisk Azure Stack Edge-enhet till sitt privata nätverk för intern åtkomst och har alternativ för att skydda den ytterligare. Azure Stack Edge-enheten är till exempel tillgänglig via kundens interna nätverk och kräver en kundkonfigurerad IP-adress. Dessutom väljs ett åtkomstlösenord av kunden för att få åtkomst till enhetens användargränssnitt.

Intern trafik skyddas ytterligare av:

  • TLS-version 1.2 (Transport Layer Security) krävs för Azure Portal och SDK-hantering av Azure Stack Edge-enheten.

  • All klientåtkomst till enheten sker via det lokala webbgränssnittet med standard-TLS 1.2 som standardsäkerhetsprotokoll.

  • Endast en auktoriserad Azure Stack Edge Pro-enhet får ansluta till den Azure Stack Edge-tjänst som kunden skapar i sin Azure-prenumeration.

Ytterligare information finns på de refererade länkarna.

Ansvar: Kund

NS-2: Koppla samman privata nätverk

Vägledning: Kunder kan välja ett punkt-till-plats-virtuellt privat nätverk (VPN) för att ansluta en Azure Stack Edge-enhet från sitt lokala privata nätverk till Azure-nätverket. VPN tillhandahåller ett andra krypteringslager för data i rörelse över transportnivåsäkerhet från kundens enhet till Azure.

Kunder kan konfigurera ett virtuellt privat nätverk på sin Azure Stack Edge-enhet via Azure Portal eller via Azure PowerShell.

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Kunder kan välja ett punkt-till-plats-virtuellt privat nätverk (VPN) för att ansluta en Azure Stack Edge-enhet från sitt lokala privata nätverk till Azure-nätverket. VPN tillhandahåller ett andra krypteringslager för data i rörelse över transportnivåsäkerhet från kundens enhet till Azure.

Ansvar: Kund

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Azure Stack Edge-enheten innehåller standardfunktioner för Windows Server-nätverksskydd, som inte kan konfigureras av kunder.

Kunder kan välja att skydda sitt privata nätverk som är anslutet till Azure Stack Edge-enheten från externa attacker med hjälp av en virtuell nätverksinstallation, till exempel en brandvägg med DDoS-skydd (Advanced Distributed Denial of Service).

Ansvar: Delad

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Azure Active Directory-autentisering (Azure AD) krävs för alla hanteringsåtgärder som utförs på Azure Stack Edge-enheter via Azure Portal. Azure Stack Hub kräver Azure AD eller Active Directory Federation Services (AD FS) (ADFS), som backas upp av Azure AD, som identitetsprovider.

Standardisera på Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsofts molnresurser, till exempel Azure Portal, Azure Storage, Azure Virtual Machines (Linux och Windows), Azure Key Vault, PaaS-program (plattform som en tjänst) och SaaS-program (programvara som en tjänst)

  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser

Observera att Azure AD endast används vid åtkomst till enheten via Azure Portal. Lokala hanteringsåtgärder till Azure Stack Edge-enheten utnyttjar inte Azure AD.

Ansvar: Microsoft

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Alla Azure Stack Edge-enheter har automatiskt en systemtilldelad hanterad identitet i Azure Active Directory (Azure AD). För närvarande används den hanterade identiteten för molnhantering av virtuella datorer som finns på Azure Stack Edge.

Azure Stack Edge-enheter startar i ett låst tillstånd för lokal åtkomst. För det lokala enhetsadministratörskontot måste du ansluta till enheten via det lokala webbanvändargränssnittet eller PowerShell-gränssnittet och ange ett starkt lösenord. Lagra och hantera din enhetsadministratörsautentiseringsuppgifter på en säker plats, till exempel en Azure-Key Vault och rotera administratörslösenordet enligt organisationens standarder.

Ansvar: Delad

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Enkel inloggning stöds inte för Azure Stack Edge-slutpunktsenheter. Du kan dock välja att aktivera standardbaserad enkel inloggning med Azure Active Directory (Azure AD) för säker åtkomst till dina Azure-molnresurser.

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Följ metodtipsen för att skydda autentiseringsuppgifter, till exempel:

  • Aktiveringsnyckel som används för att aktivera enheten med Azure Stack Edge-resursen i Azure.
  • Logga in autentiseringsuppgifter för att komma åt Azure Stack Edge-enheten.
  • Viktiga filer som kan underlätta återställningen av Azure Stack Edge-enheten.
  • Kanalkrypteringsnyckel

Rotera och synkronisera sedan dina lagringskontonycklar regelbundet för att skydda ditt lagringskonto mot obehöriga användare.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Azure Stack Edge har en användare med namnet "EdgeUser" som kan konfigurera enheten. Den har också Azure Resource Manager-användaren "EdgeArmUser" för de lokala Funktionerna i Azure Resource Manager på enheten.

Metodtips bör följas för att skydda:

  • Autentiseringsuppgifter som används för att komma åt den lokala enheten

  • Autentiseringsuppgifter för SMB-resurs.

  • Åtkomst till klientsystem som har konfigurerats för att använda NFS-resurser.

  • Lokala lagringskontonycklar som används för att komma åt de lokala lagringskontona när du använder BLOB REST-API:et.

Ytterligare information finns på den refererade länken.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade och isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratörer, utvecklare och kritiska tjänstoperatörer. Använd mycket säkra användararbetsstationer med eller utan Azure Bastion för administrativa uppgifter. Använd Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) och Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter.

Skyddade arbetsstationer kan hanteras centralt för att upprätthålla en säker konfiguration med kraftfulla baslinjer för autentisering, programvara och maskinvara samt begränsad logisk och nätverksbaserad åtkomst.

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Azure Stack Edge-användare har JEA-åtkomst (Just Enough Administration) som krävs för att utföra sina uppgifter. Det finns inget behov av fullständig windows-administratörsåtkomst.

Du kan fjärransluta till PowerShell-gränssnittet för Azure Stack Edge-enheten. Fjärrhantering har också konfigurerats för att använda just enough-administration för att begränsa vad användarna kan göra. Du kan sedan ange enhetslösenordet för att logga in på enheten.

Ansvar: Microsoft

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-2: Skydda känsliga data

Vägledning: Azure Stack Edge behandlar alla interagerade data som känsliga med endast behöriga användare som har åtkomst till dessa data. Du bör följa metodtipsen för att skydda de autentiseringsuppgifter som används för åtkomst till Azure Stack Edge-tjänsten.

Ansvar: Delad

DP-4: Kryptera känslig information under överföring

Vägledning: Azure Stack Edge använder säkra kanaler för data under flygning. Dessa är:

  • Standard TLS 1.2 används för data som överförs mellan enheten och Azure-molnet. Det finns ingen återställning till TLS 1.1 och tidigare. Agentkommunikation blockeras om TLS 1.2 inte stöds. TLS 1.2 krävs också för hantering av Azure Portal och software development kit (SDK).

  • När klienter får åtkomst till din enhet via det lokala webbanvändargränssnittet i en webbläsare används standard TLS 1.2 som standardprotokoll för säkert protokoll

Det bästa sättet är att konfigurera webbläsaren så att den använder TLS 1.2. Använd SMB 3.0 med kryptering för att skydda data när du kopierar dem från dina dataservrar.

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: Alla vilande data på Azure Stack Edge-enheten krypteras med AES 256-bitarskryptering. Åtkomst till vilande data, till exempel filresurser, är begränsad till:

  • SMB-klienter som har åtkomst till resursdata behöver användarautentiseringsuppgifter som är associerade med resursen. Dessa autentiseringsuppgifter definieras när resursen skapas.

  • IP-adresserna för NFS-klienter som har åtkomst till en resurs måste läggas till när resursen skapas.

  • BitLocker XTS-AES 256-bitars kryptering används för att skydda lokala data.

Granska ytterligare information som är tillgänglig på den refererade länken.

Ansvar: Microsoft

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur säkerhetsteamets ansvarsområden är strukturerade kan övervakning av säkerhetsrisker vara ett centralt säkerhetsteams eller ett lokalt teams ansvar. Detta innebär att säkerhetsinsikter och -risker alltid måste samlas centralt inom en organisation.

Behörigheter för säkerhetsläsare kan tillämpas brett över en hel klientorganisation (rothanteringsgrupp) eller omfattas av hanteringsgrupper eller specifika prenumerationer.

Observera att ytterligare behörigheter kan krävas för att få insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-6: Använd endast godkända program i beräkningsresurser

Vägledning: Du kan använda egna program för att köras på alla lokalt skapade virtuella datorer. Använd PowerShell-skript för att skapa lokala virtuella datorer för beräkning på Stack Edge-enheten. Vi rekommenderar starkt att du endast tar in betrodda program som ska köras på de lokala virtuella datorerna.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Azure Stack Edge erbjuder inte funktioner för hotidentifiering. Kunder kan dock samla in granskningsloggar i ett supportpaket för identifiering och analys av offlinehot.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Azure Stack Edge har nätverksgranskningsloggar aktiverade som en del av det nedladdningsbara supportpaketet. Dessa loggar kan parsas för att implementera en semi-realtidsövervakning för dina Azure Stack Edge-enheter.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Realtidsövervakning med loggar stöds för närvarande inte för Azure Stack Edge. Det finns en funktion för att samla in ett supportpaket som gör att du kan analysera de olika loggarna som ingår i det, till exempel brandvägg, programvara, maskinvaruintrång och systemhändelseloggar för din Azure Stack Edge Pro-enhet. Observera att programvaruintrånget eller standardbrandväggsloggarna samlas in för inkommande och utgående trafik.

Ansvar: Kund

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Realtidsövervakning med loggar stöds för närvarande inte för Azure Stack Edge. Du kan dock samla in ett supportpaket som gör att du kan analysera de olika loggarna som ingår i det. Supportpaketet komprimeras och laddas ned till valfri sökväg. Packa upp paketet och visa systemloggfilerna i det. Du kan också skicka loggarna till ett händelsehanteringsverktyg för säkerhetsinformation eller till en annan central lagringsplats för analys.

Ansvar: Kund

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Kvarhållningsperioden för logglagring kan inte ändras på Azure Stack Edge-enheten. Äldre loggar rensas efter behov. Du kan samla in supportpaket från enheten med jämna mellanrum för eventuella krav för att behålla loggarna under en längre tidsperiod.

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Azure Stack Edge använder time.windows.com, en server för nätverkstidsprovider från Microsoft. Med Azure Stack Edge kan kunden även konfigurera valfri nätverkstidsprotokollserver.

Ansvar: Kund

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Microsoft ställer in säker konfiguration för Azure Stack Edge-enheten och underhåller dessa inställningar under enhetens livslängd.

Ansvar: Microsoft

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: De användardefinierade säkerhetskonfigurationerna är begränsade på Azure Edge Stack-enheten. De flesta enhetssäkerhetsinställningar kan inte konfigureras och hålla dig uppdaterad med installationen av de senaste uppdateringarna.

Ansvar: Microsoft

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Azure Stack Edge har stöd för att skapa säkra konfigurationer för de lokala virtuella datorer som skapas av kunderna. Vi rekommenderar starkt att du använder microsofts riktlinjer för att upprätta säkerhetsbaslinjer när du skapar lokala virtuella datorer.

Ansvar: Kund

PV-4: Upprätthålla säkra konfigurationer för beräkningsresurser

Vägledning: Azure Stack Edge har inte stöd för att upprätthålla säkra konfigurationer för de lokala virtuella datorer som har skapats av kunderna. Vi rekommenderar starkt att kunderna använder SCT (Security Compliance Toolkits) för att upprätthålla säkra konfigurationer för sina beräkningsresurser.

Värdoperativsystem och virtuella datorer som hanteras av Azure Stack Edge underhåller sina säkerhetskonfigurationer.

Ansvar: Delad

PV-5: Lagra anpassade operativsystem och containeravbildningar på ett säkert sätt

Vägledning: Värdoperativsystem och virtuella datorer som hanteras av Azure Stack Edge lagras på ett säkert sätt.

Kunder kan ta med sina egna avbildningar av virtuella datorer och containrar och ansvarar för sin säkra hantering.

Ansvar: Kund

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Sårbarhetsbedömningar av programvara utförs mot alla Azure Stack Edge-versioner, inklusive livscykelgranskningar av programvaruutveckling som utförs för dem. Eventuella problem som hittas åtgärdas baserat på deras allvarlighetsgrad och prioritet.

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Azure Stack Edge tillhandahåller regelbundna uppdateringsuppdateringar och varnar kunder när sådana uppdateringar är tillgängliga för att åtgärda säkerhetsrisker. Det är kundens ansvar att hålla sina enheter och virtuella datorer (skapade av dem) uppdaterade med de senaste korrigeringarna.

Ansvar: Kund

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester och ”red team”-aktiviteter för dina Azure-resurser och åtgärda alla kritiska säkerhetsbrister som upptäcks. Se till att följa reglerna för intrångstester i Microsoft Cloud så att dina tester inte strider mot Microsofts policyer. Använd Microsofts strategi och utförande av ”red team”-aktiviteter och intrångstester live mot molninfrastruktur, tjänster och appar som hanteras av Microsoft.

Ansvar: Delad

Slutpunktssäkerhet

Mer information finns i Azure Security Benchmark: Endpoint Security.

ES-1: Använd Slutpunktsidentifiering och svar (EDR)

Vägledning: Azure Stack Edge stöder inte slutpunktsidentifiering och svar (EDR) direkt. Du kan dock samla in ett supportpaket och hämta granskningsloggar. Dessa loggar kan sedan analyseras för att söka efter avvikande aktiviteter.

Ansvar: Kund

ES-2: Använd centralt hanterad modern programvara mot skadlig kod

Vägledning: Azure Stack Edge använder Windows Defender Application Control (WDAC) med en strikt kodintegritetsprincip (CI) som endast tillåter att fördefinierade program och skript körs. Windows Defender realtidsskydd (RTP) mot skadlig kod är också aktiverat. Kunden kan välja att köra skadlig kod på de virtuella beräkningsdatorer som de skapar för att köra lokalt på Azure Stack Edge-enheten.

Ansvar: Kund

ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras

Vägledning: Azure Stack Edge håller kodintegritetsprincipen (CI) uppdaterad samt uppdaterar Windows Defender signaturfiler.

Ansvar: Microsoft

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Se till att regelbundna automatiserade säkerhetskopieringar

Vägledning: Regelbundna säkerhetskopieringar av din Azure Stack Edge-enhet rekommenderas och kan utföras med Azure Backup och andra dataskyddslösningar från tredje part för att skydda data i de virtuella datorer som distribueras på enheten. Dataskyddslösningar från tredje part som Cohesity, Commvault och Veritas kan också tillhandahålla en säkerhetskopieringslösning för data i lokala SMB- eller NFS-resurser.

Ytterligare information finns på de refererade länkarna.

Ansvar: Kund

BR-2: Kryptera säkerhetskopieringsdata

Vägledning: Se till att dina säkerhetskopior skyddas mot attacker. Detta bör omfatta kryptering av säkerhetskopior för att skydda mot förlust av konfidentialitet. Mer information finns i valfri säkerhetskopieringslösning för mer information.

Ansvar: Kund

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Utför regelbundet dataåterställning av dina säkerhetskopior.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Se till att alla Azure Stack Edge-säkerhetskopior, inklusive kundhanterade nycklar, skyddas i enlighet med organisationens regelverk. Din Azure Stack Edge-enhet är associerad med ett Azure Storage-konto som används som mållagringsplats för dina data i Azure.

Åtkomst till Azure Storage-kontot styrs av Azure-prenumerationer och de två 512-bitars lagringsåtkomstnycklar som är associerade med det lagringskontot. En av åtkomstnycklarna används för autentisering när Azure Stack Edge-enheten kommer åt lagringskontot. Den andra nyckeln lagras i reserverad för periodisk nyckelrotation. Se till att rekommenderade säkerhetsmetoder används för nyckelrotation.

Ansvar: Kund

Nästa steg