Säker infrastruktur med Nolltillit

Infrastruktur representerar en kritisk hotvektor. IT-infrastruktur, oavsett om det är lokalt eller flera moln, definieras som all maskinvara (fysisk, virtuell, containeriserad), programvara (öppen källkod, första och tredje part, PaaS, SaaS), mikrotjänster (funktioner, API:er), nätverksinfrastruktur, anläggningar osv. som krävs för att utveckla, testa, leverera, övervaka, kontrollera eller stödja IT-tjänster. Det är ett område där Microsoft har investerat enorma resurser för att utveckla en omfattande uppsättning funktioner för att säkra din framtida moln- och lokal infrastruktur.

Modern säkerhet med en heltäckande Nolltillit strategi gör det enklare för dig att:

  • Utvärdera för version.
  • Utför konfigurationshantering.
  • Använd just-in-Time och just-Enough-Access (JIT/JEA) administrativa privilegier för att härda försvar.
  • Använd telemetri för att upptäcka attacker och avvikelser.
  • Blockera och flagga riskfyllt beteende automatiskt och vidta skyddsåtgärder.

Lika viktigt är att Microsoft Azure ritningar och relaterade funktioner säkerställer att resurser utformas, implementeras och upprätthålls på sätt som överensstämmer med en organisations policyer, standarder och krav.

Azure Blueprints, Azure Policies, Microsoft Defender för molnet, Microsoft Sentinel och Azure Sphere kan i hög grad bidra till att förbättra säkerheten för din distribuerade infrastruktur och möjliggöra en annan metod för att definiera, utforma, etablera, distribuera och övervaka infrastrukturen.

A repeating circular diagram of 5 elements: Assess compliance, Observe gaps, Author, Test, and Deploy.

Infrastruktur Nolltillit distributionsmål

Tips

Innan de flesta organisationer börjar Nolltillit resan kännetecknas deras inställning till infrastruktursäkerhet av följande:

  • Behörigheter hanteras manuellt i olika miljöer.
  • Konfigurationshantering av virtuella datorer och servrar som arbetsbelastningar körs på.

När du implementerar ett Nolltillit ramverk för hantering och övervakning av infrastrukturen rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:

List icon with one checkmark.

I.Arbetsbelastningar övervakas och varnas för onormalt beteende.

II.Varje arbetsbelastning tilldelas en appidentitet – och konfigureras och distribueras konsekvent.

III.Personalåtkomst till resurser kräver Just-In-Time.

När dessa har slutförts fokuserar du på dessa ytterligare distributionsmål:

List icon with two checkmarks.

IV.Obehöriga distributioner blockeras och aviseringar utlöses.

V.Granular synlighet och åtkomstkontroll är tillgängliga i alla arbetsbelastningar.

VI.Användar- och resursåtkomst segmenterad för varje arbetsbelastning.

Distributionsguide för infrastruktur Nolltillit

I den här guiden vägleds du genom de steg som krävs för att skydda infrastrukturen enligt principerna i ett Nolltillit säkerhetsramverk.

Innan du börjar bör du kontrollera att du har uppfyllt de här målen för grundläggande infrastrukturdistribution.

Ange microsoft-klientorganisationens originalplan

En prioriterad baslinje bör anges för hur infrastrukturen hanteras. Med hjälp av branschvägledning som NIST 800-53 kan du härleda en uppsättning krav för hantering av infrastrukturen. På Microsoft har vi ställt in en minimal baslinje på följande lista över krav:

  • Åtkomst till data, nätverk, tjänster, verktyg, verktyg och program måste styras av autentiserings- och auktoriseringsmekanismer.

  • Data måste krypteras vid överföring och vila.

  • Begränsa nätverkstrafikflöden.

  • Säkerhetsteamet ser alla tillgångar.

  • Övervakning och granskning måste aktiveras och konfigureras korrekt enligt föreskriven organisationsvägledning.

  • Antivirusprogram måste vara uppdaterade och köras.

  • Genomsökningar av sårbarheter måste utföras och sårbarheter åtgärdas enligt föreskriven organisationsvägledning.

För att mäta och driva efterlevnaden till denna minimala baslinje , eller vår utökade, börjar vi med att få synlighet på innehavarnivå och i dina lokala miljöer genom att använda en roll som säkerhetsläsare i azure-klientorganisationen. Med rollen Säkerhetsläsare på plats kan den få ytterligare synlighet genom Microsoft Defender för molnet och Azure-principer som kan användas för att tillämpa baslinjer för branschen (t.ex. Azure CIS, PCI, ISO 27001) eller en anpassad baslinje som organisationen har definierat.

Behörigheter hanteras manuellt i olika miljöer

Från innehavarnivån till de enskilda resurserna inom varje resursgrupps annonsprenumeration måste lämpliga rollbaserade åtkomstkontroller tillämpas.

Konfigurationshantering av VMS och servrar som arbetsbelastningar körs på

Precis som vi har hanterat vår lokala datacentermiljö måste vi också se till att vi hanterar våra molnresurser effektivt. Fördelen med att utnyttja Azure är möjligheten att hantera alla virtuella datorer från en plattform med hjälp av Azure Arc (förhandsversion). Med Azure Arc kan du utöka dina säkerhetsbaslinjer från Azure Policy, dina Microsoft Defender för molnet-principer (Defender för molnet) och utvärderingar av säker poäng samt logga och övervaka alla dina resurser på ett och samma ställe. Nedan följer några åtgärder för att komma igång.

Implementera Azure Arc (förhandsversion)

Azure Arc gör det möjligt för organisationer att utöka de välbekanta säkerhetskontrollerna för Azure till lokalt och i utkanten av organisationens infrastruktur. Administratörer har flera alternativ för att ansluta lokala resurser till Azure Arc. Dessa omfattar Azure Portal, PowerShell och Windows installation med Service Principal-skript.

Läs mer om de här teknikerna.

Tillämpa säkerhetsbaslinjer via Azure Policy, inklusive tillämpning av principer för in-guest

Om du aktiverar Defender för molnet Standard kan du införliva en uppsättning baslinjekontroller via Azure Policy genom att använda de Azure Policy inbyggda principdefinitionerna för Microsoft Defender för molnet. Uppsättningen baslinjeprinciper återspeglas i Defender för molnet säkra poäng, där du kan mäta din efterlevnad av dessa principer.

Du kan utöka din policytäckning utöver de Defender för molnet ange och skapa anpassade principer om det inte finns några inbyggda principer. Du och kan också införliva principer för gästkonfiguration som mäter efterlevnad i dina virtuella gästdatorer i dina prenumerationer.

Tillämpa kontroller för Defender för molnet Endpoint Protection och sårbarhetshantering

Slutpunktsskydd är viktigt för att säkerställa att infrastrukturen förblir säker och tillgänglig. Som en del av en strategi för slutpunktsskydd och hantering av säkerhetsrisker kan du mäta efterlevnad centralt för att säkerställa att skydd mot skadlig kod är aktiverat och konfigurerat via utvärdering och rekommendationer om slutpunktsskydd i Microsoft Defender för molnet.

Centraliserad synlighet för baslinjen i flera prenumerationer

Genom att använda klientorganisationsläsarrullen kan du se statusen för var och en av principerna som utvärderas som en del av principerna för Defender för molnet säker poäng, Azure Policy och gästkonfiguration. Du tratt det till instrumentpanelen för organisationsefterlevnad för central rapportering av klientorganisationens status.

Som en del av Defender för molnet Standard kan du dessutom använda principen Aktivera den inbyggda lösningen för sårbarhetsutvärdering på virtuella datorer (som drivs av Qualys) för att söka igenom virtuella datorer efter sårbarheter, och få dem att återspeglas direkt i Defender för molnet. Om du redan har en lösning för säkerhetsskanning distribuerad i ditt företag kan du använda den alternativa lösningen för sårbarhetsutvärdering, som ska installeras på dina virtuella datorer för distribution av en lösning för sårbarhetsskanning av partner.




Checklist icon with one checkmark.

Inledande distributionsmål

När du har uppfyllt de grundläggande infrastrukturmålen kan du fokusera på att implementera en modern infrastruktur med en heltäckande Nolltillit strategi.

I. Arbetsbelastningar övervakas och varnas för onormalt beteende

När du skapar ny infrastruktur måste du se till att du även upprättar regler för övervakning och bevakning av aviseringar. Det här är viktigt för att identifiera när en resurs visar oväntat beteende.

Vi rekommenderar starkt att du aktiverar Microsoft Defender för molnet med standardnivå (Defender för molnet), inklusive relevanta paket för att täcka dina olika resurser (t.ex. behållarregister, Kubernetes, IoT Virtual Machines osv.).

För att övervaka identiteter rekommenderar vi att du aktiverar Microsoft Defender for Identity och avancerad hotanalys för att möjliggöra insamling av signaler för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder som riktas mot din organisation.

Om du integrerar dessa signaler från Defender för molnet, Defender för identitet, avancerad hotanalys och andra övervaknings- och granskningssystem med Microsoft Sentinel, en molnbaserad, säkerhetsinformationshändelsehanteringslösning (SIEM) och en lösning för automatiserad säkerhetsorkestrering (SOAR), kan säkerhetsoperationscentret (SOC) fungera från en enda glasruta för att övervaka säkerhetshändelser i hela företaget.

II. Varje arbetsbelastning tilldelas en appidentitet – och konfigureras och distribueras konsekvent

Microsoft rekommenderar kunderna att använda en princip som tilldelas och tillämpas när resurser/arbetsbelastningar skapas. Principer kan kräva att taggar tillämpas på en resurs när en resurs skapas, tilldela resursgrupptilldelning, samt begränsa/direkt tekniska egenskaper, till exempel tillåtna regioner, VM-specifikationer (t.ex. VM-typ, diskar, nätverksprinciper).

III. Personalåtkomst till resurser kräver Just-In-Time

Personalen bör använda administrativ åtkomst sparsamt. När administrativa funktioner krävs bör användarna få tillfällig administrativ åtkomst.

Organisationer bör upprätta ett program för att skydda administratören . Dessa program har följande egenskaper:

  • Riktad minskning av antalet användare med administrativ behörighet.
  • Granska konton och roller med förhöjd behörighet.
  • Skapa särskilda High-Value infrastrukturzoner (HVA) för att minska ytan.
  • Ge administratörer särskilda saws (Secure Admin Workstations) för att minska risken för stöld av autentiseringsuppgifter.

Alla dessa objekt hjälper en organisation att bli mer medveten om hur administrativa behörigheter används, var dessa behörigheter fortfarande är nödvändiga och ge en översikt över hur man kan arbeta säkrare.




Checklist icon with two checkmarks.

Ytterligare distributionsmål

När du har uppnått de tre första målen kan du fokusera på ytterligare mål, till exempel blockera obehöriga distributioner.

IV. Obehöriga distributioner blockeras och aviseringar utlöses

När organisationer flyttar till molnet är möjligheterna obegränsade. Det är inte alltid bra. Av olika anledningar måste organisationer kunna blockera obehöriga distributioner och utlösa aviseringar för att göra ledare och chefer medvetna om problemen.

Microsoft Azure erbjuder Azure Blueprints som styr hur resurser distribueras och ser till att endast godkända resurser (t.ex. ARM-mallar) kan distribueras. Ritningar kan säkerställa att resurser som inte uppfyller Blueprints principer eller andra regler blockeras från distribution. Faktiska eller försök till ritningsöverträdelse kan visa aviseringar efter behov och göra aviseringar, aktivera webhooks eller automation runbooks eller till och med skapa servicehanteringsbiljetter.

V. Detaljerad synlighet och åtkomstkontroll är tillgängliga i alla arbetsbelastningar

Microsoft Azure erbjuder en mängd olika metoder för att uppnå resurssynlighet. Från Azure Portal kan resursägare konfigurera många mät- och logginsamlings- och analysfunktioner. Denna synlighet kan användas inte bara för att mata säkerhetsåtgärder utan kan också stödja datoreffektivitet och organisatoriska mål. Dessa omfattar funktioner som vm-skalningsuppsättningar, som möjliggör säker och effektiv skalning av resurser baserat på mått.

På åtkomstkontrollsidan kan rollbaserade Access Control (RBAC) användas för att tilldela behörigheter till resurser. På så sätt kan behörigheter tilldelas och återkallas enhetligt på individ- och gruppnivå genom att använda en mängd olika inbyggda eller anpassade roller.

VI. Användar- och resursåtkomst segmenterad för varje arbetsbelastning

Microsoft Azure erbjuder många sätt att segmentera arbetsbelastningar för att hantera användar- och resursåtkomst. Nätverkssegmentering är den övergripande metoden och i Azure kan resurser isoleras på prenumerationsnivå med virtuella nätverk (VNets), VNet-peeringregler, nätverkssäkerhetsgrupper (NSG), programsäkerhetsgrupper (ASG) och Azure-brandväggar. Det finns flera designmönster för att fastställa det bästa sättet att segmentera arbetsbelastningar.

Produkter som omfattas av den här guiden

Microsoft Azure

Azure-ritningar

Azure Policy

Azure Arc

Microsoft Defender för molnet

Microsoft Sentinel

Azure Resource Manager-mallar (ARM)

Slutsats

Infrastruktur är centralt för en framgångsrik Nolltillit strategi. Om du vill ha mer information eller hjälp med implementeringen kontaktar du ditt kundframgångsteam eller fortsätter att läsa igenom de andra kapitlen i den här guiden, som spänner över alla Nolltillit pelare.



Serien Nolltillit distributionsguide

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration