Säkerhetskontroll: Säker konfiguration

Anteckning

Det senaste Azure Security Benchmark finns här.

Upprätta, implementera och aktivt hantera (spåra, rapportera om, korrigera) säkerhetskonfigurationen för Azure-resurser för att förhindra att angripare utnyttjar sårbara tjänster och inställningar.

7.1: Upprätta säkra konfigurationer för alla Azure-resurser

Azure-ID	CIS-ID:n	Ansvar
7.1	5,1	Kund

Använd Azure Policy alias för att skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Azure-resurser. Du kan också använda inbyggda Azure Policy definitioner.

Dessutom har Azure Resource Manager möjlighet att exportera mallen i JavaScript Object Notation (JSON), som bör granskas för att säkerställa att konfigurationerna uppfyller/överskrider säkerhetskraven för din organisation.

Du kan också använda rekommendationer från Azure Security Center som en säker konfigurationsbaslinje för dina Azure-resurser.

• Så här visar du tillgängliga Azure Policy alias

• Självstudie: Skapa och hantera principer för att framtvinga efterlevnad

• Export av en enskild resurs och flera resurser till en mall i Azure Portal

• Säkerhetsrekommendationer – en referensguide

7.2: Upprätta säkra operativsystemskonfigurationer

Azure-ID	CIS-ID:n	Ansvar
7.2	5,1	Kund

Använd Azure Security Center rekommendationer för att upprätthålla säkerhetskonfigurationer för alla beräkningsresurser. Dessutom kan du använda anpassade operativsystemavbildningar eller Azure Automation State-konfiguration för att upprätta säkerhetskonfigurationen för det operativsystem som krävs av din organisation.

• Övervaka Azure Security Center rekommendationer

• Säkerhetsrekommendationer – en referensguide

• översikt över Azure Automation State Configuration

• Ladda upp en virtuell hårddisk och använd den för att skapa nya virtuella Windows-datorer i Azure

• Skapa en virtuell Linux-dator från en anpassad disk med Azure CLI

7.3: Underhålla säkra Azure-resurskonfigurationer

Azure-ID	CIS-ID:n	Ansvar
7.3	5.2	Kund

Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säkra inställningar för dina Azure-resurser. Dessutom kan du använda Azure Resource Manager-mallar för att upprätthålla säkerhetskonfigurationen för dina Azure-resurser som krävs av din organisation.

• Förstå Azure Policy-effekter

• Skapa och hantera principer för att använda kompatibilitet

• Översikt över Azure Resource Manager-mallar

7.4: Underhålla säkra operativsystemskonfigurationer

Azure-ID	CIS-ID:n	Ansvar
7,4	5.2	Delad

Följ rekommendationerna från Azure Security Center om att utföra sårbarhetsbedömningar på dina Azure-beräkningsresurser. Dessutom kan du använda Azure Resource Manager-mallar, anpassade operativsystemavbildningar eller Azure Automation State-konfiguration för att upprätthålla säkerhetskonfigurationen för det operativsystem som krävs av din organisation. Mallarna för virtuella Microsoft-datorer i kombination med Azure Automation Desired State Configuration kan hjälpa dig att uppfylla och upprätthålla säkerhetskrav.

Observera också att Azure Marketplace avbildningar av virtuella datorer som publicerats av Microsoft hanteras och underhålls av Microsoft.

• Så här implementerar du rekommendationer för Azure Security Center sårbarhetsbedömning

• Så här skapar du en virtuell Azure-dator från en Azure Resource Manager-mall

• översikt över Azure Automation State Configuration

• Skapa en virtuell Windows-dator i Azure Portal

• Information om hur du laddar ned mallen för virtuella datorer

• Exempelskript för att överföra en virtuell hårddisk till Azure och skapa en ny virtuell dator

7.5: Lagra konfigurationen av Azure-resurser på ett säkert sätt

Azure-ID	CIS-ID:n	Ansvar
7.5	5.3	Kund

Använd Azure DevOps för att lagra och hantera din kod på ett säkert sätt, till exempel anpassade Azure-principer, Azure Resource Manager-mallar och Desired State Configuration skript. För att få åtkomst till de resurser som du hanterar i Azure DevOps kan du bevilja eller neka behörigheter till specifika användare, inbyggda säkerhetsgrupper eller grupper som definierats i Azure Active Directory (Azure AD) om de är integrerade med Azure DevOps eller Active Directory om de är integrerade med TFS.

• Så här lagrar du kod i Azure DevOps

• Om behörigheter och grupper i Azure DevOps

7.6: Lagra anpassade operativsystemavbildningar på ett säkert sätt

Azure-ID	CIS-ID:n	Ansvar
7.6	5.3	Kund

Om du använder anpassade avbildningar använder du rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att säkerställa att endast behöriga användare får åtkomst till avbildningarna. Med hjälp av en Shared Image Gallery kan du dela dina bilder med olika användare, tjänstens huvudnamn eller AD-grupper i din organisation. För containeravbildningar lagrar du dem i Azure Container Registry och använder Azure RBAC för att säkerställa att endast behöriga användare får åtkomst till avbildningarna.

• Förstå Azure RBAC

• Förstå Azure RBAC för Container Registry

• Så här konfigurerar du Azure RBAC

• Shared Image Gallery översikt

7.7: Distribuera konfigurationshanteringsverktyg för Azure-resurser

Azure-ID	CIS-ID:n	Ansvar
7.7	5.4	Kund

Definiera och implementera standardsäkerhetskonfigurationer för Azure-resurser med hjälp av Azure Policy. Använd Azure Policy alias för att skapa anpassade principer för att granska eller framtvinga nätverkskonfigurationen för dina Azure-resurser. Du kan också använda inbyggda principdefinitioner som är relaterade till dina specifika resurser. Dessutom kan du använda Azure Automation för att distribuera konfigurationsändringar.

• Konfigurera och hantera Azure Policy

• Använda alias

7.8: Distribuera konfigurationshanteringsverktyg för operativsystem

Azure-ID	CIS-ID:n	Ansvar
7,8	5.4	Kund

Azure Automation State Configuration är en konfigurationshanteringstjänst för Desired State Configuration-noder (DSC) i alla moln- eller lokala datacenter. Du kan enkelt registrera datorer, tilldela dem deklarativa konfigurationer och visa rapporter som visar varje dators kompatibilitet till det önskade tillstånd som du angav.

• Registrering av datorer för hantering av Azure Automation State Configuration

7.9: Implementera automatisk konfigurationsövervakning för Azure-resurser

Azure-ID	CIS-ID:n	Ansvar
7,9	5,5	Kund

Använd Azure Security Center för att utföra baslinjegenomsökningar för dina Azure-resurser. Använd dessutom Azure Policy för att avisera och granska Azure-resurskonfigurationer.

• Åtgärda rekommendationer i Azure Security Center

7.10: Implementera automatisk konfigurationsövervakning för operativsystem

Azure-ID	CIS-ID:n	Ansvar
7.10	5,5	Kund

Använd Azure Security Center för att utföra baslinjegenomsökningar för OS- och Docker-inställningar för containrar.

• Förstå rekommendationer för Azure Security Center-container

7.11: Hantera Azure-hemligheter på ett säkert sätt

Azure-ID	CIS-ID:n	Ansvar
7.11	13,1	Kund

Använd hanterad tjänstidentitet tillsammans med Azure Key Vault för att förenkla och skydda hemlighetshanteringen för dina molnprogram.

• Så här integrerar du med Hanterade Identiteter i Azure

• Skapa en Key Vault

• Autentisera till Key Vault

• Tilldela en Key Vault åtkomstprincip

7.12: Hantera identiteter på ett säkert och automatiskt sätt

Azure-ID	CIS-ID:n	Ansvar
7.12	4.1	Kund

Använd hanterade identiteter för att tillhandahålla Azure-tjänster med en automatiskt hanterad identitet i Azure AD. Med hanterade identiteter kan du autentisera till alla tjänster som stöder Azure AD autentisering, inklusive Key Vault, utan några autentiseringsuppgifter i koden.

• Så här konfigurerar du hanterade identiteter

7.13: Eliminera exponering av oavsiktliga autentiseringsuppgifter

Azure-ID	CIS-ID:n	Ansvar
7.13	18.1, 18.7	Kund

Implementera Skanner för autentiseringsuppgifter för att identifiera autentiseringsuppgifter i kod. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.

• Konfigurera skanner för autentiseringsuppgifter

Nästa steg

• Se nästa säkerhetskontroll: Skydd mot skadlig kod