Azure-säkerhetsbaslinje för Azure Storage

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 1.0 till Azure Storage. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure Storage.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure Storage, eller för vilka ansvaret är Microsofts, har exkluderats. Information om hur Azure Storage mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure Storage-säkerhetsbaslinjen.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

1.1: Skydda Azure-resurser i virtuella nätverk

Vägledning: Konfigurera brandväggen för ditt lagringskonto genom att begränsa åtkomsten till klienter från specifika offentliga IP-adressintervall, välja virtuella nätverk eller specifika Azure-resurser. Du kan också konfigurera privata slutpunkter så att trafik till lagringstjänsten från företaget endast överförs via privata nätverk.

Obs! Klassiska lagringskonton stöder inte brandväggar och virtuella nätverk.

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Storage:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. Om du vill tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla lagringskonton som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. Granskning, inaktiverad 1.0.0

1.2: Övervaka och logga konfigurationen och trafiken för virtuella nätverk, undernät och nätverksgränssnitt

Vägledning: Azure Storage tillhandahåller en säkerhetsmodell i flera lager. Du kan begränsa åtkomsten till ditt lagringskonto till begäranden som kommer från angivna IP-adresser, IP-intervall eller från en lista över undernät i en Azure-Virtual Network. Du kan använda Microsoft Defender för molnet och följa nätverksskyddsrekommendationerna för att skydda dina nätverksresurser i Azure. Aktivera även flödesloggar för nätverkssäkerhetsgrupper för virtuella nätverk eller undernät som konfigurerats för lagringskontona via brandväggen för lagringskontot och skicka loggar till ett lagringskonto för trafikgranskning.

Observera att om du har privata slutpunkter kopplade till ditt lagringskonto kan du inte konfigurera regler för nätverkssäkerhetsgrupp för undernät.

Ansvar: Kund

1.3: Skydda kritiska webbprogram

Vägledning: Ej tillämpligt; rekommendationen är avsedd för webbprogram som körs på Azure App Service- eller beräkningsresurser.

Ansvar: Kund

1.4: Neka kommunikation med kända skadliga IP-adresser

Vägledning: Aktivera Microsoft Defender för Storage för ditt Azure Storage-konto. Microsoft Defender för Storage tillhandahåller ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Integrerade aviseringar i Microsoft Defender för molnet baseras på aktiviteter för vilka nätverkskommunikation har associerats med en IP-adress som har lösts, oavsett om IP-adressen är en känd riskabel IP-adress (till exempel en känd kryptominer) eller en IP-adress som inte tidigare har identifierats som riskabel. Säkerhetsaviseringar utlöses när avvikelser i en aktivitet inträffar.

Ansvar: Kund

1.5: Registrera nätverkspaket

Vägledning: med Network Watcher paketinsamling kan du skapa avbildningssessioner för att spåra trafik mellan lagringskontot och en virtuell dator. Filter tillhandahålls för avbildningssessionen för att säkerställa att du bara avbildar den trafik du vill ha. Paketinsamling hjälper till att diagnostisera nätverksavvikelser, både reaktivt och proaktivt. Andra användningsområden är att samla in nätverksstatistik, få information om nätverksintrång, felsöka klient-serverkommunikation och mycket mer. Om du fjärrutlöser paketinsamlingar minskar du bördan av att köra en paketinsamling manuellt på en önskad virtuell dator, vilket sparar värdefull tid.

Ansvar: Kund

1.6: Distribuera nätverksbaserade system för intrångsidentifiering/intrångsskydd (IDS/IPS)

Vägledning: Microsoft Defender för Storage ger ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Säkerhetsaviseringar utlöses när avvikelser i en aktivitet inträffar. Dessa säkerhetsaviseringar är integrerade med Microsoft Defender för molnet och skickas också via e-post till prenumerationsadministratörer, med information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot.

Ansvar: Kund

1.7: Hantera trafik till webbprogram

Vägledning: Ej tillämpligt; rekommendationen är avsedd för webbprogram som körs på Azure App Service- eller beräkningsresurser.

Ansvar: Kund

1.8: Minimera komplexitet och administrativa kostnader för nätverkssäkerhetsregler

Vägledning: För resurser i virtuella nätverk som behöver åtkomst till ditt lagringskonto använder du Virtual Network Service-taggar för de konfigurerade Virtual Network för att definiera nätverksåtkomstkontroller i nätverkssäkerhetsgrupper eller Azure Firewall. Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange namnet på tjänsttaggen (till exempel Lagring) i rätt käll- eller målfält för en regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

När nätverksåtkomst måste begränsas till specifika lagringskonton använder du Virtual Network tjänstslutpunktsprinciper.

Ansvar: Kund

1.9: Underhåll standardsäkerhetskonfigurationer för nätverksenheter

Vägledning: Definiera och implementera standardsäkerhetskonfigurationer för nätverksresurser som är associerade med ditt Azure Storage-konto med Azure Policy. Använd Azure Policy alias i namnrymderna "Microsoft.Storage" och "Microsoft.Network" för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina lagringskontoresurser.

Du kan också använda inbyggda principdefinitioner relaterade till lagringskonto, till exempel: Lagringskonton bör använda en tjänstslutpunkt för virtuellt nätverk

Ansvar: Kund

1.10: Dokumentera trafikkonfigurationsregler

Vägledning: Använd taggar för nätverkssäkerhetsgrupper och andra resurser som rör nätverkssäkerhet och trafikflöde. Med taggning kan du associera inbyggda och anpassade namn/värde-par med en viss nätverksresurs, vilket hjälper dig att organisera nätverksresurser och relatera Azure-resurser tillbaka till din nätverksdesign.

Använd någon av de inbyggda Azure Policy definitionerna som rör taggning, till exempel "Kräv tagg och dess värde" för att säkerställa att alla resurser skapas med taggar och för att meddela dig om befintliga otaggade resurser.

Nätverkssäkerhetsgrupper stöder taggar, men det gör inte enskilda säkerhetsregler. Säkerhetsregler har ett beskrivningsfält som du kan använda för att lagra viss information som du normalt lägger till i en tagg.

Ansvar: Kund

1.11: Använd automatiserade verktyg för att övervaka nätverksresurskonfigurationer och identifiera ändringar

Vägledning: Använd Azure Policy för att logga konfigurationsändringar för nätverksresurser. Skapa aviseringar i Azure Monitor som utlöses när ändringar av kritiska nätverksresurser sker.

Ansvar: Kund

Loggning och övervakning

Mer information finns i Azure Security Benchmark: Loggning och övervakning.

2.2: Konfigurera central hantering av säkerhetsloggar

Vägledning: Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av slutpunktsenheter, nätverksresurser och andra säkerhetssystem. I Azure Monitor använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser och använda Azure Storage-konton för långsiktig/arkiveringslagring, om du vill med säkerhetsfunktioner som oföränderlig lagring och framtvingad kvarhållning.

Ansvar: Kund

2.3: Aktivera granskningsloggning för Azure-resurser

Vägledning: Azure Lagringsanalys tillhandahåller loggar för blobar, köer och tabeller. Du kan använda Azure Portal för att konfigurera vilka loggar som registreras för ditt konto.

Ansvar: Kund

2.5: Konfigurera kvarhållning av säkerhetslogglagring

Vägledning: När du lagrar säkerhetshändelseloggar på Azure Storage-kontot eller Log Analytics-arbetsytan kan du ange kvarhållningsprincipen enligt organisationens krav.

Ansvar: Kund

2.6: Övervaka och granska loggar

Vägledning: Om du vill granska Azure Storage-loggarna finns det vanliga alternativ, till exempel frågor via Log Analytics-erbjudandet och ett unikt alternativ för att visa loggfilerna direkt. I Azure Storage lagras loggarna i blobar som måste nås direkt på http://accountname.blob.core.windows.net/$logs (loggningsmappen är dold som standard, så du måste navigera direkt. Den visas inte i listkommandon)

Aktivera även Microsoft Defender för Storage för ditt lagringskonto. Microsoft Defender för Storage tillhandahåller ytterligare ett lager med säkerhetsinformation som identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. Säkerhetsaviseringar utlöses när avvikelser i en aktivitet inträffar. Dessa säkerhetsaviseringar är integrerade med Microsoft Defender för molnet och skickas också via e-post till prenumerationsadministratörer, med information om misstänkt aktivitet och rekommendationer om hur du undersöker och åtgärdar hot.

Ansvar: Kund

2.7: Aktivera aviseringar för avvikande aktiviteter

Vägledning: Aktivera Microsoft Defender för lagringskonto i Microsoft Defender för molnet. Aktivera diagnostikinställningar för lagringskontot och skicka loggar till en Log Analytics-arbetsyta. Registrera Din Log Analytics-arbetsyta i Microsoft Sentinel eftersom den tillhandahåller en soAR-lösning (Security Orchestration Automated Response). Detta gör att spelböcker (automatiserade lösningar) kan skapas och användas för att åtgärda säkerhetsproblem.

Ansvar: Kund

2.8: Centralisera loggning av skadlig kod

Vägledning: Använd Microsoft Defender för molnet och aktivera Microsoft Defender för Storage för att identifiera uppladdningar av skadlig kod till Azure Storage med hash-ryktesanalys och misstänkt åtkomst från en aktiv Tor-avslutsnod (en anonymiserande proxy).

Ansvar: Kund

2.9: Aktivera DNS-frågeloggning

Vägledning: Azure DNS Analytics-lösning (förhandsversion) i Azure Monitor samlar in insikter om DNS-infrastruktur för säkerhet, prestanda och åtgärder. För närvarande stöder detta inte Azure Storage-konton, men du kan använda dns-loggningslösning från tredje part.

Ansvar: Kund

Identitets- och åtkomstkontroll

Mer information finns i Azure Security Benchmark: Identity and Access Control (Azure Security Benchmark: Identity and Access Control).

3.1: Upprätthålla en förteckning över administrativa konton

Vägledning: Azure Active Directory (Azure AD) har inbyggda roller som måste tilldelas uttryckligen och som kan frågas. Använd Azure AD PowerShell-modulen för att utföra ad hoc-frågor för att identifiera konton som är medlemmar i administrativa grupper.

Ansvar: Kund

3.2: Ändra standardlösenord där det är tillämpligt

Vägledning: Azure Storage-konton eller Azure Active Directory (Azure AD) har begreppet standardlösenord eller tomma lösenord. Azure Storage implementerar en åtkomstkontrollmodell som stöder rollbaserad åtkomstkontroll i Azure (Azure RBAC) samt signaturer för delad nyckel och signatur för delad åtkomst (SAS). En egenskap för delad nyckel och SAS-autentisering är att ingen identitet är associerad med anroparen och därför går det inte att utföra behörighetsbaserad auktorisering för säkerhetsobjektet.

Ansvar: Kund

3.3: Använda dedikerade administrativa konton

Vägledning: Skapa standardprocedurer för användning av dedikerade administrativa konton som har åtkomst till ditt lagringskonto. Använd Microsoft Defender för molnidentitet och åtkomsthantering för att övervaka antalet administrativa konton.

Du kan också aktivera just-in-time/just-enough-access med hjälp av Azure Active Directory (Azure AD) Privileged Identity Management Privilegierade roller för Microsoft Services och Azure Resource Manager.

Ansvar: Kund

3.4: Använd enkel inloggning i Azure Active Directory (SSO)

Vägledning: När det är möjligt använder du enkel inloggning med Azure Active Directory (Azure AD) i stället för att konfigurera enskilda fristående autentiseringsuppgifter per tjänst. Använd rekommendationer för Microsoft Defender för molnidentitet och åtkomsthantering.

Ansvar: Kund

3.5: Använd multifaktorautentisering för all Azure Active Directory-baserad åtkomst

Vägledning: Aktivera Multifaktorautentisering i Azure Active Directory (Azure AD) och följ rekommendationerna för Microsoft Defender för molnidentitet och åtkomsthantering för att skydda dina lagringskontoresurser.

Ansvar: Kund

3.6: Använd säkra, Azure-hanterade arbetsstationer för administrativa uppgifter

Vägledning: Använd PAW:ar (arbetsstationer för privilegierad åtkomst) med multifaktorautentisering konfigurerad för att logga in på och konfigurera lagringskontoresurser.

Ansvar: Kund

3.7: Logga och varna om misstänkta aktiviteter från administrativa konton

Vägledning: Skicka aviseringar för Microsoft Defender för molnriskidentifiering till Azure Monitor och konfigurera anpassade aviseringar/meddelanden med åtgärdsgrupper. Aktivera Microsoft Defender för lagringskonto för att generera aviseringar för misstänkt aktivitet. Använd dessutom Azure Active Directory (Azure AD) Riskidentifieringar för att visa aviseringar och rapporter om riskfyllda användarbeteenden.

Ansvar: Kund

3.8: Hantera Azure-resurser från endast godkända platser

Vägledning: Använd villkorlig åtkomst med namngivna platser för att endast tillåta åtkomst från specifika logiska grupperingar av IP-adressintervall eller länder/regioner.

Ansvar: Kund

3.9: Använda Azure Active Directory

Vägledning: Använd Azure Active Directory (Azure AD) som centralt autentiserings- och auktoriseringssystem. Azure tillhandahåller rollbaserad åtkomstkontroll i Azure (Azure RBAC) för detaljerad kontroll över en klients åtkomst till resurser i ett lagringskonto. Använd Azure AD autentiseringsuppgifter när det är möjligt som bästa praxis för säkerhet, i stället för att använda kontonyckeln, som är enklare att kompromettera. När din programdesign kräver signaturer för delad åtkomst för åtkomst till Blob Storage använder du Azure AD autentiseringsuppgifter för att skapa en signatur för delad åtkomst (SAS) för användardelegering när det är möjligt för överlägsen säkerhet.

Ansvar: Kund

3.10: Granska och stämma av användaråtkomst regelbundet

Vägledning: Granska Loggarna för Azure Active Directory (Azure AD) för att identifiera inaktuella konton som kan innehålla dem med administrativa roller för Lagringskonto. Dessutom kan du använda Azure Identity Access Reviews för att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram som kan användas för att komma åt lagringskontoresurser och rolltilldelningar. Användaråtkomst bör granskas regelbundet för att se till att endast rätt användare har fortsatt åtkomst.

Du kan också använda signatur för delad åtkomst (SAS) för att ge säker delegerad åtkomst till resurser i ditt lagringskonto utan att äventyra säkerheten för dina data. Du kan styra vilka resurser som klienten kan komma åt, vilka behörigheter de har för dessa resurser och hur länge SAS är giltigt, bland andra parametrar.

Granska även anonym läsåtkomst till containrar och blobar. Som standard kan en container och alla blobar i den endast nås av användare som har fått rätt behörighet. Du kan använda Azure Monitor för att avisera om anonym åtkomst för Lagringskonton med hjälp av ett anonymt autentiseringsvillkor.

Ett effektivt sätt att minska risken för intet ont anande användarkontoåtkomst är att begränsa varaktigheten för åtkomst som du beviljar till användare. Tidsbegränsade SAS-URI:er är ett effektivt sätt att automatiskt förfalla användaråtkomst till ett lagringskonto. Dessutom är roterande lagringskontonycklar ofta ett sätt att säkerställa att oväntad åtkomst via lagringskontonycklar är av begränsad varaktighet.

Ansvar: Kund

3.11: Övervakaren försöker komma åt inaktiverade autentiseringsuppgifter

Vägledning: Använd Lagringsanalys för att logga detaljerad information om lyckade och misslyckade begäranden till en lagringstjänst. Alla loggar lagras i blockblobar i en container med namnet $logs, som skapas automatiskt när Lagringsanalys aktiveras för ett lagringskonto.

Skapa diagnostikinställningar för Användarkonton i Azure Active Directory (Azure AD) och skicka granskningsloggarna och inloggningsloggarna till en Log Analytics-arbetsyta. Du kan konfigurera önskade aviseringar i Log Analytics-arbetsytan.

Om du vill övervaka autentiseringsfel mot Azure Storage-konton kan du skapa aviseringar som meddelar dig när vissa tröskelvärden har uppnåtts för lagringsresursmått. Använd dessutom Azure Monitor för att varna om anonym åtkomst för Lagringskonton med hjälp av anonym autentiseringsvillkor.

Ansvar: Kund

3.12: Avisering vid kontoinloggningsbeteendeavvikelse

Vägledning: Använd Azure Active Directory (Azure AD)s funktioner för risk och identitetsskydd för att konfigurera automatiserade svar på identifierade misstänkta åtgärder relaterade till dina lagringskontoresurser. Du bör aktivera automatiserade svar via Microsoft Sentinel för att implementera organisationens säkerhetssvar.

Ansvar: Kund

3.13: Ge Microsoft åtkomst till relevanta kunddata under supportscenarier

Vägledning: I supportscenarier där Microsoft behöver åtkomst till kunddata tillhandahåller Customer Lockbox (förhandsversion för lagringskonto) ett gränssnitt där kunder kan granska och godkänna eller avvisa begäranden om åtkomst till kunddata. Microsoft kräver inte eller begär åtkomst till organisationens hemligheter som lagras i lagringskontot.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

4.1: Bevara en förteckning över känslig information

Vägledning: Använd taggar för att spåra lagringskontoresurser som lagrar eller bearbetar känslig information.

Ansvar: Kund

4.2: Isolera system som lagrar eller bearbetar känslig information

Vägledning: Implementera isolering med separata prenumerationer, hanteringsgrupper och lagringskonton för enskilda säkerhetsdomäner som miljö och datakänslighet. Du kan begränsa ditt lagringskonto för att styra åtkomstnivån till dina lagringskonton som dina program och företagsmiljöer kräver, baserat på vilken typ och delmängd av nätverk som används. När nätverksregler har konfigurerats kan endast program som begär data via den angivna uppsättningen nätverk komma åt ett lagringskonto. Du kan styra åtkomsten till Azure Storage via Azure RBAC (Azure RBAC).

Du kan också konfigurera privata slutpunkter för att förbättra säkerheten när trafiken mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet.

Ansvar: Kund

4.3: Övervaka och blockera obehörig överföring av känslig information

Vägledning: För lagringskontoresurser som lagrar eller bearbetar känslig information markerar du resurserna som känsliga med hjälp av taggar. För att minska risken för dataförlust via exfiltrering begränsar du utgående nätverkstrafik för Azure Storage-konton med hjälp av Azure Firewall.

Använd dessutom principer för tjänstslutpunkter för virtuellt nätverk för att filtrera utgående trafik för virtuella nätverk till Azure Storage-konton över tjänstslutpunkten och tillåta dataexfiltrering till endast specifika Azure Storage-konton.

Ansvar: Kund

4.4: Kryptera all känslig information under överföring

Vägledning: Du kan framtvinga användningen av HTTPS genom att aktivera säker överföring som krävs för lagringskontot. Anslutningar som använder HTTP avvisas när detta har aktiverats. Använd dessutom Microsoft Defender för molnet och Azure Policy för att framtvinga säker överföring för ditt lagringskonto.

Ansvar: Delad

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Storage:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Säker överföring till lagringskonton ska vara aktiverat Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0

4.5: Använd ett aktivt identifieringsverktyg för att identifiera känsliga data

Vägledning: Dataidentifieringsfunktioner är ännu inte tillgängliga för Azure Storage-konto och relaterade resurser. Implementera en tredjepartslösning om det behövs i efterlevnadssyfte.

Ansvar: Kund

4.6: Använd rollbaserad åtkomstkontroll för att styra åtkomsten till resurser

Vägledning: Azure Active Directory (Azure AD) auktoriserar åtkomsträttigheter till skyddade resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure Storage definierar en uppsättning inbyggda RBAC-roller i Azure som omfattar vanliga uppsättningar med behörigheter som används för åtkomst till blob- eller ködata.

Ansvar: Kund

4.8: Kryptera känslig information i vila

Vägledning: Azure Storage-kryptering är aktiverat för alla lagringskonton och kan inte inaktiveras. Azure Storage krypterar automatiskt dina data när de sparas i molnet. När du läser data från Azure Storage krypteras dem av Azure Storage innan de returneras. Med Azure Storage-kryptering kan du skydda dina vilande data utan att behöva ändra kod eller lägga till kod i några program.

Ansvar: Kund

4.9: Logga och avisera om ändringar av viktiga Azure-resurser

Vägledning: Använd Azure Monitor med Azure-aktivitetsloggen för att skapa aviseringar för när ändringar sker i Lagringskontoresurser. Du kan också aktivera Azure Storage-loggning för att spåra hur varje begäran som görs mot Azure Storage har auktoriserats. Loggarna anger om en begäran gjordes anonymt, med hjälp av en OAuth 2.0-token, med hjälp av delad nyckel eller med hjälp av en signatur för delad åtkomst (SAS). Använd dessutom Azure Monitor för att avisera om anonym åtkomst för Lagringskonton med hjälp av ett anonymt autentiseringsvillkor.

Ansvar: Kund

Sårbarhetshantering

Mer information finns i Azure Security Benchmark: Vulnerability Management( Azure Security Benchmark: Vulnerability Management).

5.1: Kör automatiserade verktyg för sårbarhetsgenomsökning

Vägledning: Följ rekommendationerna från Microsoft Defender för molnet för att kontinuerligt granska och övervaka konfigurationen av dina lagringskonton.

Ansvar: Kund

5.4: Jämför sårbarhetsgenomsökningar från back-to-back

Vägledning: Ej tillämpligt; Microsoft utför sårbarhetshantering på de underliggande system som stöder lagringskonton.

Ansvar: Kund

5.5: Använd en riskklassificeringsprocess för att prioritera reparation av identifierade sårbarheter

Vägledning: Använd standardriskklassificeringarna (Secure Score) som tillhandahålls av Microsoft Defender för molnet.

Ansvar: Kund

Inventerings- och tillgångshantering

Mer information finns i Azure Security Benchmark: Inventory and Asset Management (Azure Security Benchmark: Inventory and Asset Management).

6.1: Använd automatiserad tillgångsidentifieringslösning

Vägledning: Använd Azure Resource Graph för att fråga och identifiera alla resurser (inklusive lagringskonton) i dina prenumerationer. Se till att du har lämpliga (läsbehörigheter) i din klientorganisation och kan räkna upp alla Azure-prenumerationer samt resurser i dina prenumerationer.

Ansvar: Kund

6.2: Underhålla tillgångsmetadata

Vägledning: Tillämpa taggar på lagringskontoresurser som ger metadata för att logiskt organisera dem i en taxonomi.

Ansvar: Kund

6.3: Ta bort obehöriga Azure-resurser

Vägledning: Använd taggning, hanteringsgrupper och separata prenumerationer, där det är lämpligt, för att organisera och spåra lagringskonton och relaterade resurser. Stämma av inventeringen regelbundet och se till att obehöriga resurser tas bort från prenumerationen i tid.

Använd också Microsoft Defender för Storage för att identifiera obehöriga Azure-resurser.

Ansvar: Kund

6.4: Definiera och underhålla inventeringen av godkända Azure-resurser

Vägledning: Du måste skapa en inventering av godkända Azure-resurser enligt organisationens behov.

Ansvar: Kund

6.5: Övervaka för ej godkända Azure-resurser

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper

  • Tillåtna resurstyper

Använd dessutom Azure-Resource Graph för att fråga efter och identifiera resurser i prenumerationerna. Detta kan hjälpa dig i högsäkerhetsbaserade miljöer, till exempel de med lagringskonton.

Ansvar: Kund

6.7: Ta bort icke godkända Azure-resurser och program

Vägledning: Kunden kan förhindra resursskapande eller användning med Azure Policy enligt kundens företagsprinciper.

Ansvar: Kund

6.9: Använd endast godkända Azure-tjänster

Vägledning: Använd Azure Policy för att begränsa vilken typ av resurser som kan skapas i kundprenumerationer med hjälp av följande inbyggda principdefinitioner:

  • Otillåtna resurstyper
  • Tillåtna resurstyper

Ytterligare information finns på de refererade länkarna.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ClassicStorage:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Lagringskonton ska migreras till nya Azure Resource Manager-resurser Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhet Management Granska, neka, inaktiverad 1.0.0

Azure Policy inbyggda definitioner – Microsoft.Storage:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Lagringskonton ska migreras till nya Azure Resource Manager-resurser Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhet Management Granska, neka, inaktiverad 1.0.0

6.11: Begränsa användarnas möjlighet att interagera med Azure Resource Manager

Vägledning: Använd villkorsstyrd åtkomst i Azure för att begränsa användarnas möjlighet att interagera med Azure Resource Manager genom att konfigurera "Blockera åtkomst" för appen "Microsoft Azure Management". Detta kan förhindra att resurser skapas och ändras i en miljö med hög säkerhet, till exempel de med lagringskonton.

Ansvar: Kund

Säker konfiguration

Mer information finns i Azure Security Benchmark: Säker konfiguration.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Vägledning: Använd Azure Policy-alias i namnområdet Microsoft.Storage för att skapa anpassade principer för att granska eller framtvinga konfigurationen av dina lagringskontoinstanser. Du kan också använda inbyggda Azure Policy definitioner för Azure Storage-konto, till exempel:

  • Granska obegränsad nätverksåtkomst till lagringskonton
  • Distribuera Microsoft Defender för Storage
  • Lagringskonton ska migreras till nya Azure Resource Manager-resurser
  • Säker överföring till lagringskonton ska vara aktiverat

Använd rekommendationer från Microsoft Defender för molnet som en säker konfigurationsbaslinje för dina Lagringskonton.

Ansvar: Kund

7.3: Underhålla säkra Azure-resurskonfigurationer

Vägledning: Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säkra inställningar för dina lagringskontoresurser.

Ansvar: Kund

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Vägledning: Använd Azure-lagringsplatser för att lagra och hantera din kod på ett säkert sätt, till exempel anpassade Azure-principer, Azure Resource Manager-mallar, Desired State Configuration skript osv. För att få åtkomst till de resurser som du hanterar i Azure DevOps kan du bevilja eller neka behörigheter till specifika användare, inbyggda säkerhetsgrupper eller grupper som definierats i Azure Active Directory (Azure AD) om de är integrerade med Azure DevOps eller Azure AD om de är integrerade med TFS.

Ansvar: Kund

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Vägledning: Använd Azure Policy för att varna, granska och framtvinga systemkonfigurationer för lagringskontot. Dessutom kan du utveckla en process och pipeline för att hantera principfel.

Ansvar: Kund

7.9: Implementera automatiserad konfigurationsövervakning för Azure-resurser

Vägledning: Använd Microsoft Defender för molnet för att utföra baslinjegenomsökningar för dina Azure Storage-kontoresurser.

Ansvar: Kund

7.11: Hantera Azure-hemligheter på ett säkert sätt

Vägledning: Azure Storage krypterar automatiskt dina data när de sparas i molnet. Du kan använda Microsoft-hanterade nycklar för kryptering av lagringskontot eller hantera kryptering med egna nycklar. Om du använder nycklar som tillhandahålls av kunden kan du använda Azure Key Vault för att lagra nycklarna på ett säkert sätt.

Rotera dessutom lagringskontonycklar ofta för att begränsa effekten av förlust eller avslöjande av lagringskontonycklar.

Ansvar: Kund

7.12: Hantera identiteter på ett säkert och automatiskt sätt

Vägledning: Auktorisera åtkomst till blobar och köer i Azure Storage-konton med Azure Active Directory (Azure AD) och hanterade identiteter. Azure Blob- och Queue Storage stöder Azure AD autentisering med hanterade identiteter för Azure-resurser.

Hanterade identiteter för Azure-resurser kan auktorisera åtkomst till blob- och ködata med hjälp av Azure AD autentiseringsuppgifter från program som körs i Azure Virtual Machines r, funktionsappar, VM-skalningsuppsättningar och andra tjänster. Genom att använda hanterade identiteter för Azure-resurser tillsammans med Azure AD autentisering kan du undvika att lagra autentiseringsuppgifter med dina program som körs i molnet.

Ansvar: Kund

7.13: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Implementera skanner för autentiseringsuppgifter för att identifiera autentiseringsuppgifter i kod. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.

Ansvar: Kund

Skydd mot skadlig kod

Mer information finns i Azure Security Benchmark: Malware Defense.

8.2: Förgenomsöka filer som ska laddas upp till Azure-resurser som inte är beräkningsbaserade

Vägledning: Använd Microsoft Defender för Storage för att identifiera uppladdningar av skadlig kod till Azure Storage med hash-ryktesanalys och misstänkt åtkomst från en aktiv Tor-avslutsnod (en anonymiserande proxy).

Du kan också förgenomsöka innehåll efter skadlig kod innan du laddar upp till Azure-resurser som inte är beräkningsbaserade, till exempel App Service, Data Lake Storage, Blob Storage och andra för att uppfylla organisationens krav.

Ansvar: Kund

Dataåterställning

Mer information finns i Azure Security Benchmark: Data Recovery.

9.1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Vägledning: Data i ditt Microsoft Azure-lagringskonto replikeras alltid automatiskt för att säkerställa hållbarhet och hög tillgänglighet. Azure Storage kopierar dina data så att de skyddas från planerade och oplanerade händelser, inklusive tillfälliga maskinvarufel, nätverks- eller strömavbrott och massiva naturkatastrofer. Du kan välja att replikera dina data inom samma datacenter, mellan zonindelade datacenter i samma region eller i geografiskt avgränsade regioner.

Du kan också aktivera Azure Automation för att ta regelbundna ögonblicksbilder av blobarna.

Ansvar: Kund

9.2: Utför fullständiga systemsäkerhetskopior och säkerhetskopiering av kundhanterade nycklar

Vägledning: För att säkerhetskopiera data från tjänster som stöds av lagringskonton finns det flera tillgängliga metoder, inklusive användning av azcopy eller verktyg från tredje part. Oföränderlig lagring för Azure Blob Storage gör det möjligt för användare att lagra affärskritiska dataobjekt i ett WORM-tillstånd (Write Once, Read Many). Det här tillståndet gör att data inte kan raderas och inte kan ändras för ett användardefingivet intervall.

Kundhanterade/tillhandahållna nycklar kan säkerhetskopieras i Azure Key Vault med hjälp av Azure CLI eller PowerShell.

Ansvar: Kund

9.3: Verifiera alla säkerhetskopior, inklusive kundhanterade nycklar

Vägledning: Utför regelbundet dataåterställning av dina Key Vault-certifikat, nycklar, hanterade lagringskonton och hemligheter med följande PowerShell-kommandon:

Restore-AzKeyVaultCertificate Restore-AzKeyVaultKey Restore-AzKeyVaultManagedStorageAccount Restore-AzKeyVaultSecret

Obs! Om du vill kopiera data till och från Azure Table Storage-tjänsten installerar du AzCopy version 7.3.

Ansvar: Kund

9.4: Skydda säkerhetskopior och kundhanterade nycklar

Vägledning: Om du vill aktivera kundhanterade nycklar på ett lagringskonto måste du använda en Azure-Key Vault för att lagra dina nycklar. Du måste aktivera både egenskaperna Mjuk borttagning och Rensa inte i nyckelvalvet. Key Vault funktionen Mjuk borttagning gör det möjligt att återställa borttagna valv och valvobjekt som nycklar, hemligheter och certifikat. Om du säkerhetskopierar lagringskontodata till Azure Storage-blobar aktiverar du mjuk borttagning för att spara och återställa dina data när blobar eller blobögonblicksbilder tas bort. Du bör behandla dina säkerhetskopior som känsliga data och tillämpa relevanta åtkomst- och dataskyddskontroller som en del av den här baslinjen. För förbättrat skydd kan du dessutom lagra affärskritiska dataobjekt i ett WORM-tillstånd (Write Once, Read Many).

Ansvar: Kund

Incidenthantering

Mer information finns i Azure Security Benchmark: Incidentsvar.

10.1: Skapa en guide för incidenthantering

Vägledning: Skapa en guide till incidentsvar för organisationen. Se till att det finns skriftliga planer för incidentsvar som definierar alla personalroller och faser i incidenthanteringen, från identifiering till granskning efter incidenten.

Ansvar: Kund

10.2: Skapa en incidentbedömnings- och prioriteringsprocedur

Vägledning: Microsoft Defender för molnet tilldelar en allvarlighetsgrad till varje avisering som hjälper dig att prioritera vilka aviseringar som ska undersökas först. Allvarlighetsgraden baseras på hur säker Microsoft Defender för molnet är på sökningen eller den analys som används för att utfärda aviseringen samt konfidensnivån att det fanns skadlig avsikt bakom aktiviteten som ledde till aviseringen.

Markera dessutom tydligt prenumerationer (t.ex. produktion, icke-prod) med hjälp av taggar och skapa ett namngivningssystem för att tydligt identifiera och kategorisera Azure-resurser, särskilt de som bearbetar känsliga data. Det är ditt ansvar att prioritera åtgärdandet av aviseringar baserat på allvarlighetsgraden för de Azure-resurser och den miljö där incidenten inträffade.

Ansvar: Kund

10.3: Testa procedurer för säkerhetshantering

Vägledning: Utför övningar för att testa systemens incidenthanteringsfunktioner regelbundet för att skydda dina Azure-resurser. Identifiera svaga punkter och luckor, och ändra planen efter behov.

Ansvar: Kund

10.4: Ange kontaktuppgifter för säkerhetsincidenter och konfigurera aviseringsaviseringar för säkerhetsincidenter

Vägledning: Kontaktinformation om säkerhetsincidenter används av Microsoft för att kontakta dig om Microsoft Security Response Center (MSRC) upptäcker att dina data har använts av en otillåten eller obehörig part. Granska incidenter i efterhand för att se till att problemen är lösta.

Ansvar: Kund

10.5: Införliva säkerhetsaviseringar i ditt incidenthanteringssystem

Vägledning: Exportera aviseringar och rekommendationer för Microsoft Defender för molnet med funktionen Kontinuerlig export för att identifiera risker för Azure-resurser. Med kontinuerlig export kan du exportera aviseringar och rekommendationer antingen manuellt eller kontinuerligt. Du kan använda dataanslutningsappen för Microsoft Defender för molnet för att strömma aviseringarna till Microsoft Sentinel.

Ansvar: Kund

10.6: Automatisera svaret på säkerhetsaviseringar

Vägledning: Använd funktionen Arbetsflödesautomation i Microsoft Defender för molnet för att automatiskt utlösa svar via "Logic Apps" för säkerhetsaviseringar och rekommendationer för att skydda dina Azure-resurser.

Ansvar: Kund

Intrångstester och Red Team-övningar (rött lag)

Mer information finns i Azure Security Benchmark: Penetrationstester och Red Team-övningar.

11.1: Utför regelbundna intrångstester av dina Azure-resurser och se till att alla kritiska säkerhetsresultat åtgärdas

Vägledning: Följ Microsofts regler för engagemang för att säkerställa att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts strategi och utförande av red teamindelning och intrångstester för livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program.

Ansvar: Delad

Nästa steg