Styrning, risk och efterlevnad

Organisationer av alla storlekar begränsas av sina tillgängliga resurser. ekonomi, människor och tid. För att uppnå en effektiv avkastning på investeringar (ROI) måste organisationer prioritera var de ska investera. Implementering av säkerhet i hela organisationen begränsas också av detta, så för att uppnå en lämplig ROI för säkerhet måste organisationen först förstå och definiera sina säkerhetsprioriteringar.

Styrning – Hur ska organisationens säkerhet övervakas, granskas och rapporteras? Design och implementering av säkerhetskontroller inom en organisation är bara början på berättelsen. Hur vet organisationen att saker och ting faktiskt fungerar? Förbättras de? Finns det nya krav? Finns det obligatorisk rapportering? På liknande sätt kan det finnas externa bransch-, myndighets- eller regelstandarder som måste övervägas.

Risk – Vilka typer av risker står organisationen inför när de försöker skydda identifierbar information, immateriella rättigheter (IP), finansiell information? Vem kan vara intresserad av eller använda den här informationen om den blir stulen, inklusive externa och interna hot samt oavsiktliga eller skadliga? Ett vanligt bortglömt men extremt viktigt övervägande inom risk är att hantera haveriberedskap och affärskontinuitet.

Efterlevnad – Finns det specifika bransch-, myndighets- eller regelkrav som dikterar eller ger rekommendation om kriterier som organisationens säkerhetskontroller måste uppfylla? Exempel på sådana standarder, organisationer, kontroller och lagstiftning är ISO27001, NIST, PCI-DSS.

Organisationens eller organisationens kollektiva roll är att hantera organisationens säkerhetsstandarder genom deras livscykel:

  • Definiera – Ange organisationsstandarder och principer för metoder, tekniker och konfigurationer baserat på interna faktorer (organisationskultur, riskaptit, tillgångsvärdering, affärsinitiativ osv.) och externa faktorer (riktmärken, regelstandarder, hotmiljö med mera)

  • Förbättra – Kontinuerligt driva dessa standarder stegvis framåt mot det ideala tillståndet för att säkerställa kontinuerlig riskreducering.

  • Sustain – Se till att säkerhetsstatusen inte försämras naturligt med tiden genom att införa granskning och övervakning av efterlevnad av organisationens standarder.

Prioritera investeringar i metodtips för säkerhet

Metodtips för säkerhet tillämpas proaktivt och helt på alla system när du skapar ditt molnprogram, men detta är inte verklighet för de flesta företagsorganisationer. Affärsmål, projektbegränsningar och andra faktorer gör ofta att organisationer balanserar säkerhetsrisker mot andra risker och tillämpar en delmängd av bästa praxis vid en viss tidpunkt.

Vi rekommenderar att du tillämpar så många som möjligt av bästa praxis så tidigt som möjligt och sedan arbetar för att eftermontera eventuella luckor över tid när du mognar ditt säkerhetsprogram. Vi rekommenderar att du utvärderar följande överväganden när du prioriterar vilka som ska följas först:

  • Hög affärspåverkan och högexponerade system – Dessa inkluderar system med direkt inbyggt värde samt de system som ger angripare en sökväg till dem. Mer information finns i Identifiera och klassificera affärskritiska program.

  • Enklast att implementera åtgärder – Identifiera snabba vinster genom att prioritera de bästa metoderna, som din organisation kan köra snabbt eftersom du redan har de färdigheter, verktyg och kunskaper som krävs för att göra det (till exempel implementera en Web App Firewall (WAF) för att skydda ett äldre program).
    Var noga med att inte uteslutande använda (eller överanvända) den här kortsiktiga prioriteringsmetoden. Detta kan öka risken genom att hindra programmet från att växa och lämna kritiska risker exponerade under längre perioder.

Microsoft har tillhandahållit några prioriterade listor över säkerhetsinitiativ som hjälper organisationer att börja med dessa beslut baserat på vår erfarenhet av hot och åtgärdsinitiativ i våra egna miljöer och i våra kunder. Se modul 4a i Microsoft CISO-workshopen

Hantera anslutna klienter

Se till att din säkerhetsorganisation är medveten om alla registreringar och associerade prenumerationer som är anslutna till din befintliga miljö (via ExpressRoute eller Site-Site VPN) och övervakning som en del av det övergripande företaget.

Dessa Azure-resurser är en del av din företagsmiljö och säkerhetsorganisationer kräver insyn i dem. Säkerhetsorganisationer behöver den här åtkomsten för att bedöma risker och för att identifiera om organisationsprinciper och tillämpliga regelkrav följs.

Se till att alla Azure-miljöer som ansluter till din produktionsmiljö/ditt nätverk tillämpar organisationens policy- och IT-styrningskontroller för säkerhet. Du kan identifiera befintliga anslutna klienter med hjälp av ett verktyg som tillhandahålls av Microsoft. Vägledning om behörigheter som du kan tilldela till säkerhet finns i avsnittet Tilldela behörigheter för att hantera miljön .

Rensa ansvarslinjer

Utse de parter som ansvarar för specifika funktioner i Azure

Att tydligt dokumentera och dela de kontakter som ansvarar för var och en av dessa funktioner skapar konsekvens och underlättar kommunikationen. Baserat på vår erfarenhet av många molnimplementeringsprojekt undviker detta förvirring som kan leda till mänskliga fel och automatiseringsfel som skapar säkerhetsrisker.

Ange grupper (eller enskilda roller) som ska ansvara för dessa viktiga funktioner:

Grupp eller enskild roll Ansvar
Nätverkssäkerhet Vanligtvis befintligt nätverkssäkerhetsteam. Konfiguration och underhåll av Azure Firewall, virtuella nätverksinstallationer (och tillhörande routning), WAF:er, NSG:er, ASG:er osv.
Nätverkshantering Vanligtvis befintligt nätverksdriftsteam. Allokering av virtuella nätverk och undernät för hela företaget.
Säkerhet för serverslutpunkt Vanligtvis IT-åtgärder, säkerhet eller gemensamt. Övervaka och åtgärda serversäkerhet (korrigering, konfiguration, slutpunktssäkerhet osv.).
Incidentövervakning och incidenthantering Vanligtvis säkerhetsåtgärdsteam. Undersöka och åtgärda säkerhetsincidenter i Säkerhetsinformation och händelsehantering (SIEM) eller källkonsolen.
Principhantering Vanligtvis GRC-team + arkitektur. Ange riktning för användning av rollbaserad åtkomstkontroll (RBAC), Microsoft Defender för molnet, administratörsskyddsstrategi och Azure Policy för att styra Azure-resurser.
Identitetssäkerhet och standarder Vanligtvis säkerhetsteam + identitetsteam gemensamt. Ange riktning för Azure AD-kataloger, PIM/PAM-användning, MFA, konfiguration av lösenord/synkronisering, programidentitetsstandarder.

Strategi för segmentering av företag

Identifiera grupper med resurser som kan isoleras från andra delar av företaget för att innehålla (och identifiera) angripares förflyttning inom företaget. Den här enhetliga segmenteringsstrategin för företag hjälper alla tekniska team att konsekvent segmentera åtkomst med hjälp av nätverk, program, identiteter och andra åtkomstkontroller.

En tydlig och enkel segmenteringsstrategi hjälper till att begränsa risker samtidigt som produktivitet och affärsverksamhet aktiveras.

En strategi för segmentering av företag definieras som högre än en traditionell säkerhetsstrategi för "nätverkssegmentering" . Traditionella segmenteringsmetoder för lokala miljöer misslyckades ofta med att uppnå sina mål eftersom de utvecklades "nedifrån och upp" av olika tekniska team och inte var väl anpassade till affärsanvändningsfall och programarbetsbelastningar. Detta resulterade i en överväldigande komplexitet som genererar supportproblem och ofta undergräver det ursprungliga syftet med breda undantag från nätverksbrandväggen.

Genom att skapa en enhetlig företagsstrategi för segmentering kan du vägleda alla intressenter i tekniska team (IT, säkerhet, program osv.) Affärsenheter som bygger på affärsrisker och behov kommer att öka anpassningen till och förstå och stödja hållbarheten i löftena om säkerhetsomslutning. Den här tydligheten och anpassningen minskar också risken för mänskliga fel och automatiseringsfel som kan leda till säkerhetsproblem, driftstopp eller både och.

Även om mikrosegmentering av nätverk också ger löfte om att minska risken (beskrivs mer i avsnittet Nätverkssäkerhet och inneslutning ), eliminerar det inte behovet av att anpassa tekniska team. Mikrosegmentering bör övervägas efter och planer för att säkerställa att de tekniska teamen är justerade så att du kan undvika en upprepning av de interna konflikter som plågade och förvirringen i de lokala segmenteringsstrategierna för nätverksgenerering.

Här är Microsofts rekommendationer för att prioritera initiativ för inneslutning och segmentering (baserat på noll förtroendeprinciper). Dessa rekommendationer anges i prioritetsordning efter högsta prioritet.

  • Se till att tekniska team anpassas till en enda strategi för segmentering av företag.

  • Investera i att bredda inneslutningen genom att upprätta en modern perimeter baserad på noll förtroendeprinciper som fokuserar på identitet, enhet, program och andra signaler (för att övervinna begränsningen av nätverkskontroller för att skydda nya resurser och attacktyper).

  • Stärka nätverkskontroller för äldre program genom att utforska strategier för mikrosegmentering.

En bra strategi för segmentering av företag uppfyller följande kriterier:

  • Aktiverar åtgärder – Minimerar driftsfriktionen genom att anpassa till affärsmetoder och program

  • Innehåller risk – Lägger till kostnader och friktion för angripare genom att

    • Isolera känsliga arbetsbelastningar från intrång i andra tillgångar

    • Isolera system med hög exponering från att användas som en pivot till andra system

  • Övervakas – Säkerhetsåtgärder bör övervaka potentiella överträdelser av segmentens integritet (kontoanvändning, oväntad trafik osv.)

Cell phone Description automatically generated

Synlighet för säkerhetsteam

Ge säkerhetsteam skrivskyddad åtkomst till säkerhetsaspekterna för alla tekniska resurser i sin översikt

Säkerhetsorganisationer behöver insyn i den tekniska miljön för att kunna bedöma och rapportera om organisationsrisker. Utan den här synligheten måste säkerheten förlita sig på information från grupper som driver miljön och som har en potentiell intressekonflikt (och andra prioriteringar).

Observera att säkerhetsteam separat kan beviljas ytterligare behörigheter om de har operativa ansvarsområden eller ett krav på att framtvinga efterlevnad för Azure-resurser.

I Azure till exempel tilldelar du säkerhetsteam till behörigheten Säkerhetsläsare som ger åtkomst till att mäta säkerhetsrisker (utan att ge åtkomst till själva datan)

För företagssäkerhetsgrupper med stort ansvar för säkerheten i Azure kan du tilldela den här behörigheten med hjälp av:

  • Rothanteringsgrupp – för team som ansvarar för att bedöma och rapportera risker för alla resurser

  • Segmenthanteringsgrupp(er) – för team med begränsat ansvarsområde (krävs vanligtvis på grund av organisationsgränser eller regelkrav)

Eftersom säkerheten kommer att ha bred åtkomst till miljön (och insyn i potentiellt sårbarheter som kan utnyttjas), bör du överväga dem konton med kritisk påverkan och tillämpa samma skydd som administratörer. Avsnittet Administration beskriver dessa kontroller för Azure.

Tilldela behörigheter för att hantera miljön

Bevilja roller med driftsansvar i Azure lämpliga behörigheter baserat på en tydligt dokumenterad strategi som bygger på principen om lägsta behörighet och dina operativa behov.

Att ge tydlig vägledning som följer en referensmodell minskar risken eftersom det genom att öka den ger klarhet för dina tekniska team som implementerar dessa behörigheter. Den här tydligheten gör det enklare att identifiera och korrigera mänskliga fel som överförbrukning, vilket minskar den totala risken.

Microsoft rekommenderar att du börjar med dessa Microsoft-referensmodeller och anpassar dig efter din organisation.

Diagram of the Core Services Reference Permissions, showing enterprise and resource role permissions.

Referensbehörigheter för Core Services

Det här segmentet är värd för delade tjänster som används i hela organisationen. Dessa delade tjänster omfattar vanligtvis Active Directory Domain Services, DNS/DHCP, systemhanteringsverktyg som finns på virtuella IaaS-datorer (Infrastruktur som en tjänst) i Azure.

Säkerhetssynlighet för alla resurser – Bevilja skrivskyddad åtkomst till säkerhetsattribut för alla tekniska miljöer för säkerhetsteam. Den här åtkomstnivån behövs för att utvärdera riskfaktorer, identifiera potentiella åtgärder och ge råd till organisationens intressenter som accepterar risken. Mer information finns i Synlighet för säkerhetsteam .

Principhantering för vissa eller alla resurser – Om du vill övervaka och framtvinga efterlevnad av externa (eller interna) regler, standarder och säkerhetsprinciper tilldelar du lämplig behörighet till dessa roller. Vilka roller och behörigheter du väljer beror på organisationens kultur och förväntningar på principprogrammet. Se Microsoft Cloud Adoption Framework för Azure.

Centrala IT-åtgärder för alla resurser – Bevilja behörigheter till den centrala IT-avdelningen (ofta infrastrukturteamet) för att skapa, ändra och ta bort resurser som virtuella datorer och lagring.

Central nätverksgrupp över nätverksresurser – För att säkerställa konsekvens och undvika tekniska konflikter tilldelar du nätverksresursansvar till en enda central nätverksorganisation. Dessa resurser bör omfatta virtuella nätverk, undernät, nätverkssäkerhetsgrupper (NSG) och de virtuella datorer som är värdar för virtuella nätverksinstallationer. Mer information finns i Centralisera nätverkshantering och säkerhet

Behörigheter för resursroll – För de flesta kärntjänster beviljas administrativa behörigheter som krävs för att hantera dem via själva programmet (Active Directory, DNS/DHCP, systemhanteringsverktyg osv.), så inga ytterligare Azure-resursbehörigheter krävs. Om din organisationsmodell kräver att dessa team hanterar sina egna virtuella datorer, lagring eller andra Azure-resurser kan du tilldela dessa behörigheter till dessa roller.

Tjänstadministratör (Break Glass-konto) – Använd endast tjänstadministratörsrollen för nödsituationer (och inledande konfiguration om det behövs). Använd inte den här rollen för dagliga uppgifter. Mer information finns i Nödåtkomst ("Break Glass"-konton).

Diagram of the reference permissions, showing the relationship between the Enterprise Role Permissions and Subscriptions.

Segmentreferensbehörigheter

Den här segmentbehörighetsdesignen ger konsekvens samtidigt som den ger flexibilitet för att hantera utbudet av organisationsmodeller från en enda central IT-grupp till mestadels oberoende IT- och DevOps-team.

Säkerhetssynlighet för alla resurser – Bevilja skrivskyddad åtkomst till säkerhetsattribut för alla tekniska miljöer för säkerhetsteam. Den här åtkomstnivån behövs för att utvärdera riskfaktorer, identifiera potentiella åtgärder och ge råd till organisationens intressenter som accepterar risken. Se Synlighet för säkerhetsteamet.

Principhantering för vissa eller alla resurser – Om du vill övervaka och framtvinga efterlevnad av externa (eller interna) regler, standarder och säkerhetsprinciper tilldelar du lämplig behörighet till dessa roller. Vilka roller och behörigheter du väljer beror på organisationens kultur och förväntningar på principprogrammet. Se Microsoft Cloud Adoption Framework för Azure.

IT-åtgärder för alla resurser – Bevilja behörighet att skapa, ändra och ta bort resurser. Syftet med segmentet (och resulterande behörigheter) beror på organisationens struktur.

  • Segment med resurser som hanteras av en central IT-organisation kan ge den centrala IT-avdelningen (ofta infrastrukturteamet) behörighet att ändra dessa resurser.

  • Segment som hanteras av oberoende affärsenheter eller funktioner (till exempel ett PERSONAL-IT-team) kan ge dessa team behörighet till alla resurser i segmentet.

  • Segment med autonoma DevOps-team behöver inte bevilja behörigheter för alla resurser eftersom resursrollen (nedan) ger behörigheter till programteam. För nödsituationer använder du tjänstadministratörskontot (break-glass-konto).

Central nätverksgrupp över nätverksresurser – För att säkerställa konsekvens och undvika tekniska konflikter tilldelar du nätverksresursansvar till en enda central nätverksorganisation. Dessa resurser bör omfatta virtuella nätverk, undernät, nätverkssäkerhetsgrupper (NSG) och de virtuella datorer som är värdar för virtuella nätverksinstallationer. Se Centralisera nätverkshantering och säkerhet.

Behörigheter för resursroll – Segment med autonoma DevOps-team hanterar de resurser som är associerade med varje program. De faktiska rollerna och deras behörigheter beror på programmets storlek och komplexitet, programteamets storlek och komplexitet samt organisationens och programteamets kultur.

Tjänstadministratör (Break Glass-konto) – Använd endast tjänstadministratörsrollen för nödsituationer (och inledande konfiguration om det behövs). Använd inte den här rollen för dagliga uppgifter. Mer information finns i Nödåtkomst ("Break Glass"-konton).

Vägledning och tips för behörigheter

  • För att öka konsekvensen och säkerställa program till framtida prenumerationer bör behörigheter tilldelas i hanteringsgruppen för segmentet i stället för de enskilda prenumerationerna. Mer information finns i Undvik detaljerade och anpassade behörigheter .

  • Du bör först granska de inbyggda rollerna för att se om en sådan är tillämplig innan du skapar en anpassad roll för att bevilja lämpliga behörigheter till virtuella datorer och andra objekt. Mer information finns i Använda inbyggda roller

  • Gruppmedlemskap för säkerhetshanterare kan vara lämpligt för mindre team/organisationer där säkerhetsteam har omfattande driftsansvar.

Upprätta segmentering med hanteringsgrupper

Strukturhanteringsgrupper i en enkel design som vägleder företagssegmenteringsmodellen.

Hanteringsgrupper erbjuder möjligheten att konsekvent och effektivt hantera resurser (inklusive flera prenumerationer efter behov). På grund av deras flexibilitet är det dock möjligt att skapa en alltför komplex design. Komplexiteten skapar förvirring och påverkar både åtgärder och säkerhet negativt (vilket illustreras av alltför komplexa organisationsenhets- och grupprincipobjektdesigner (GPO) för Active Directory).

Microsoft rekommenderar att du justerar den högsta nivån av hanteringsgrupper (MG) till en enkel företagsstrategi som är begränsad till 1 eller 2 nivåer.

Använd rothanteringsgruppen noggrant

Använd rothanteringsgruppen (MG) för företagskonsekvens, men testa ändringarna noggrant för att minimera risken för driftstörningar.

Med rothanteringsgruppen kan du säkerställa konsekvens i hela företaget genom att tillämpa principer, behörigheter och taggar i alla prenumerationer. Var försiktig när du planerar och implementerar tilldelningar till rothanteringsgruppen eftersom detta kan påverka alla resurser i Azure och potentiellt orsaka driftstopp eller andra negativa effekter på produktiviteten i händelse av fel eller oväntade effekter.

Vägledning för rothanteringsgrupper:

  • Planera noggrant – Välj företagsomfattande element i rothanteringsgruppen som har ett tydligt krav på att tillämpas för varje resurs och/eller låg påverkan.

    Exempel på bra kandidater är:

    • Regelkrav med tydlig affärsrisk/påverkan (till exempel begränsningar relaterade till datasuveränitet).

    • Nästan noll potentiell negativ inverkan på åtgärder som principer med granskningseffekt, taggtilldelning, RBAC-behörighetstilldelningar som har granskats noggrant.

  • Testa först – Testa noggrant alla företagsomfattande ändringar i rothanteringsgruppen innan du tillämpar (princip, taggar, RBAC-modell osv.) med hjälp av en

    • Testlabb – Representativ labbklient eller labbsegment i produktionsklientorganisationen.

    • Produktionspilot - Segmentera MG eller angiven delmängd i prenumerationer/MG.

  • Verifiera ändringar – för att säkerställa att de har önskad effekt.

Säkerhetsuppdateringar för virtuella datorer (VM) och starka lösenord

Se till att principer och processer möjliggör (och kräver) snabb tillämpning av säkerhetsuppdateringar på virtuella datorer.

Angripare genomsöker ständigt IP-intervall för offentliga moln efter öppna hanteringsportar och försöker sig på "enkla" attacker som vanliga lösenord och odefinierade sårbarheter.

Aktivera Microsoft Defender för molnet för att identifiera saknade säkerhetsuppdateringar & tillämpa dem.

En lokal lösning för administratörslösenord (LAPS) eller en hantering av privilegierad åtkomst från tredje part kan ange starka lokala administratörslösenord och just-in-time-åtkomst till dem.

Ta bort direkt internetanslutning för virtuell dator (VM)

Se till att principer och processer kräver begränsning och övervakning av direkt Internetanslutning av virtuella datorer

Angripare genomsöker ständigt IP-intervall för offentliga moln efter öppna hanteringsportar och försöker sig på "enkla" attacker som vanliga lösenord och kända odefinierade sårbarheter

Detta kan åstadkommas med en eller flera metoder i Azure:

  • Skydd mot hela företaget – Förhindra oavsiktlig exponering med ett företagsnätverk och en behörighetsmodell, till exempel referensmodellen som beskrivs i den här vägledningen. Detta minskar avsevärt risken för oavsiktlig exponering av internet för virtuella datorer genom att

    • Se till att nätverkstrafiken dirigeras via godkända utgående punkter som standard

    • Undantag (till exempel lägga till en offentlig IP-adress till en resurs) måste gå igenom en central grupp (som noggrant kan utvärdera undantagsbegäranden för att säkerställa att lämpliga kontroller tillämpas)

  • Identifiera och åtgärda exponerade virtuella datorer med hjälp av nätverksvisualiseringen Microsoft Defender för molnet för att snabbt identifiera internetexponerade resurser.

  • Begränsa hanteringsportar (RDP, SSH) med just-in-time-åtkomst i Microsoft Defender för molnet.

Tilldela incidentmeddelandekontakt

Se till att en säkerhetskontakt får Azure-incidentaviseringar från Microsoft vanligtvis ett meddelande om att din resurs har komprometterats och/eller angriper en annan kund.

På så sätt kan ditt säkerhetsteam snabbt reagera på potentiella säkerhetsrisker och åtgärda dem.

Se till att administratörens kontaktuppgifter i Azure-registreringsportalen innehåller kontaktinformation som meddelar säkerhetsåtgärder (direkt eller snabbt via en intern process)

Granska regelbundet kritisk åtkomst

Granska regelbundet roller som tilldelas behörigheter med en affärskritisk inverkan.

Konfigurera ett återkommande granskningsmönster för att säkerställa att konton tas bort från behörigheter när roller ändras. Du kan utföra granskningen manuellt eller via en automatiserad process med hjälp av verktyg som Azure AD-åtkomstgranskningar.

Identifiera och åtgärda vanliga risker

Identifiera välkända risker för dina Azure-klienter, åtgärda dessa risker och spåra förloppet med hjälp av Säkerhetspoäng.

Att identifiera och åtgärda vanliga säkerhetshygienrisker minskar avsevärt den totala risken för din organisation genom att öka kostnaderna för angripare. När du tar bort billiga och väletablerade attackvektorer tvingas angripare att hämta och använda avancerade eller otestade attackmetoder.

Azure Secure Score i Microsoft Defender för molnet övervakar säkerhetsstatusen för datorer, nätverk, lagrings- och datatjänster och program för att identifiera potentiella säkerhetsproblem (internetanslutna virtuella datorer eller saknade säkerhetsuppdateringar, slutpunktsskydd eller kryptering saknas, avvikelser från grundläggande säkerhetskonfigurationer, saknad brandvägg för webbaserade program (WAF) med mera). Du bör aktivera den här funktionen (utan extra kostnad), granska resultaten och följa de inkluderade rekommendationerna för att planera och utföra tekniska åtgärder som börjar med de högst prioriterade objekten.

När du hanterar risker kan du följa förloppet och prioritera pågående investeringar i dina styrnings- och riskreduceringsprogram.

Öka automatiseringen med Azure Blueprints

Använd Azures inbyggda automatiseringsfunktioner för att öka konsekvens, efterlevnad och distributionshastighet för arbetsbelastningar.

Automatisering av distributions- och underhållsaktiviteter minskar säkerhets- och efterlevnadsrisken genom att begränsa möjligheten att introducera mänskliga fel under manuella uppgifter. Detta gör det också möjligt för både IT-driftteam och säkerhetsteam att flytta fokus från upprepade manuella uppgifter till uppgifter med högre värde, till exempel att aktivera utvecklare och affärsinitiativ, skydda information och så vidare.

Använd Azure Blueprint-tjänsten för att snabbt och konsekvent distribuera programmiljöer som är kompatibla med organisationens principer och externa regler. Azure Blueprint Service automatiserar distributionen av miljöer, inklusive RBAC-roller, principer, resurser (VM/Net/Storage/etc.) med mera. Azure Blueprints bygger på Microsofts betydande investering i Azure Resource Manager för att standardisera resursdistribution i Azure och aktivera resursdistribution och styrning baserat på en metod för önskat tillstånd. Du kan använda inbyggda konfigurationer i Azure Blueprint, skapa egna eller bara använda Resource Manager-skript för mindre omfång.

Det finns flera exempelsäkerhets- och efterlevnadsskisser som kan användas som en startmall.

Utvärdera säkerhet med hjälp av riktmärken

Använd ett branschstandardmått för att utvärdera organisationens aktuella säkerhetsstatus.

Med benchmarking kan du förbättra ditt säkerhetsprogram genom att lära dig från externa organisationer. Benchmarking låter dig veta hur ditt aktuella säkerhetstillstånd står sig i jämförelse med andra organisationers, vilket ger både extern validering för framgångsrika element i ditt nuvarande system samt identifiering av luckor som fungerar som möjligheter att utöka ditt teams övergripande säkerhetsstrategi. Även om ditt säkerhetsprogram inte är kopplat till ett specifikt riktmärke eller en regelstandard kan du dra nytta av att förstå de dokumenterade idealtillstånden för dem utanför och inom din bransch.

  • Till exempel har Center for Internet Security (CIS) skapat säkerhetsmått för Azure som mappar till CIS Control Framework. Ett annat referensexempel är MITRE ATT&CK-ramverket™ som definierar de olika angreppstaktikerna och teknikerna baserat på verkliga observationer. Dessa externa referenskontrollmappningar hjälper dig att förstå eventuella luckor mellan din nuvarande strategi vad du har och vad andra experter i branschen har.

Granska och framtvinga principefterlevnad

Se till att säkerhetsteamet granskar miljön för att rapportera efterlevnad av organisationens säkerhetsprincip. Säkerhetsteam kan också framtvinga efterlevnad av dessa principer.

Organisationer av alla storlekar har krav på säkerhetsefterlevnad. Bransch-, myndighets- och interna säkerhetsprinciper måste granskas och framtvingas. Principövervakning är viktigt för att kontrollera att de inledande konfigurationerna är korrekta och att de fortsätter att vara kompatibla över tid.

I Azure kan du dra nytta av Azure Policy för att skapa och hantera principer som framtvingar efterlevnad. Precis som Azure Blueprints bygger Azure-principerna på de underliggande Azure Resource Manager-funktionerna på Azure-plattformen (och Azure Policy kan också tilldelas via Azure Blueprints).

Mer information om hur du gör detta i Azure finns i Självstudie: Skapa och hantera principer för att framtvinga efterlevnad.

Övervaka identitetsrisk

Övervaka identitetsrelaterade riskhändelser för att varna om potentiellt komprometterade identiteter och åtgärda dessa risker.

De flesta säkerhetsincidenter sker efter att en angripare först får åtkomst med hjälp av en stulen identitet. Dessa identiteter kan ofta börja med låga privilegier, men angriparna använder sedan den identiteten för att bläddra i sidled och få åtkomst till mer privilegierade identiteter. Detta upprepas efter behov tills angriparen kontrollerar åtkomsten till de ultimata måldata eller systemen.

Azure Active Directory använder anpassningsbara maskininlärningsalgoritmer, heuristik och kända komprometterade autentiseringsuppgifter (användarnamn/lösenordspar) för att identifiera misstänkta åtgärder som är relaterade till dina användarkonton. Dessa par med användarnamn/lösenord kommer från övervakning av offentliga och mörka webbplatser (där angripare ofta dumpar komprometterade lösenord) och genom att arbeta med säkerhetsforskare, brottsbekämpning, säkerhetsteam på Microsoft och andra.

Det finns två platser där du granskar rapporterade riskhändelser:

Dessutom kan du använda API:et Identity Protection risk events för att få programmatisk åtkomst till säkerhetsidentifieringar med hjälp av Microsoft Graph.

Åtgärda dessa risker genom att manuellt adressera varje rapporterat konto eller genom att konfigurera en användarriskprincip som kräver en lösenordsändring för dessa högriskhändelser.

Intrångstest

Använd intrångstestning för att verifiera säkerhetsskydd.

Verklig validering av säkerhetsförsvar är avgörande för att verifiera din försvarsstrategi och implementering. Detta kan åstadkommas genom ett intrångstest (simulerar en engångsattack) eller ett rött teamprogram (simulerar en beständig hotskådespelare som riktar sig mot din miljö).

Följ de riktlinjer som publicerats av Microsoft för planering och körning av simulerade attacker.

Identifiera & ersätta osäkra protokoll

Identifiera och inaktivera användningen av äldre osäkra protokoll SMBv1, LM/NTLMv1, wDigest, osignerade LDAP-bindningar och svaga chiffer i Kerberos.

Autentiseringsprotokoll är en viktig grund för nästan alla säkerhetsgarantier. Dessa äldre versioner kan utnyttjas av angripare med åtkomst till nätverket och används ofta i stor utsträckning på äldre system i IaaS (Infrastruktur som en tjänst).

Här är några sätt att minska risken:

  • Identifiera protokollanvändning genom att granska loggar med Microsoft Sentinels instrumentpanel för osäkert protokoll eller verktyg från tredje part

  • Begränsa eller inaktivera användningen av dessa protokoll genom att följa anvisningarna för SMB, NTLM, WDigest

Vi rekommenderar att du implementerar ändringar med hjälp av pilot- eller annan testmetod för att minska risken för driftavbrott.

Utökade säkerhetsfunktioner

Överväg om du vill använda specialiserade säkerhetsfunktioner i din företagsarkitektur.

Dessa åtgärder kan förbättra säkerheten och uppfylla regelkraven, men kan medföra komplexitet som kan påverka driften och effektiviteten negativt.

Vi rekommenderar noggrant övervägande och omdömesgill användning av dessa säkerhetsåtgärder efter behov:

Nästa steg

Ytterligare säkerhetsvägledning från Microsoft finns i Microsofts säkerhetsdokumentation.