适用于 Microsoft Defender for IoT 的 Azure 安全基线

此安全基线将 Azure 安全基准版本 2.0 中的指导应用于 Microsoft Defender for IoT。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按照 Azure 安全基准定义的安全控制措施和适用于 Microsoft Defender for IoT 的相关指导进行分组。

当某个功能具有相关的Azure Policy定义时,它们列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Microsoft Defender for IoT 的控制以及为其逐字建议全局指导的控制。 若要了解 Microsoft Defender for IoT 如何完全映射到 Azure 安全基准,请参阅完整的 Microsoft Defender for IoT 安全基线映射文件

标识管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-1:将 Azure Active Directory 标准化为中央标识和身份验证系统

指导:Microsoft Defender for IoT 已与 Azure Active Directory (Azure AD)、Azure 的默认标识和访问管理服务集成。 你应该使 Azure AD 标准化,以便控制组织在以下资源中的标识和访问管理:

  • Microsoft 云资源,如 Azure 门户、Azure 存储、Azure 虚拟机(Linux 和 Windows)、Azure Key Vault、PaaS 和 SaaS 应用程序。
  • 你的组织的资源,例如 Azure 上的应用程序,或公司网络资源。

在组织的云安全做法中,应优先处理 Azure AD 保护事宜。 Azure AD 提供标识安全分数,帮助你评估与 Microsoft 的最佳做法建议相关的标识安全状况。 使用评分来估计你的配置与最佳做法建议的匹配程度,并改善你的安全状况。

Azure AD 支持外部标识,使没有 Microsoft 帐户的用户可以使用其外部标识登录到其应用程序和资源。

责任:客户

IM-3:使用 Azure AD 单一登录 (SSO) 进行应用程序访问

指导:Microsoft Defender for IoT 使用 Azure Active Directory (Azure AD) 来提供对 Azure 资源、云应用程序和本地应用程序的标识和访问管理。 此内容包括企业标识(例如员工)以及外部标识(如合作伙伴和供应商)。 这样,单一登录 (SSO) 便可以管理和保护对本地和云中的组织数据和资源的访问。 将所有用户、应用程序和设备连接到 Azure AD,实现无缝的安全访问和更好的可见性和控制。

责任:客户

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-7:遵循 Just Enough Administration(最小特权原则)

指导:Microsoft Defender for IoT 已与 Azure 基于角色的访问控制 (RBAC) 集成,以管理其资源。 使用 Azure RBAC,可通过角色分配来管理 Azure 资源访问。 可以将这些角色分配给用户、组服务主体和托管标识。 某些资源具有预定义的内置角色,可以通过工具(例如 Azure CLI、Azure PowerShell 或 Azure 门户)来清点或查询这些角色。 通过 Azure RBAC 分配给资源的特权应始终限制为角色所需的特权。 这是对 Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 的实时 (JIT) 方法的补充,应定期进行审查。

请使用内置角色来分配权限,仅在必要时创建自定义角色。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-1:对敏感数据进行发现、分类和标记

指导:对敏感数据进行发现、分类和标记,以便设计合适的控件,确保组织的技术系统能够安全地存储、处理和传输敏感信息。 对于 Azure 中的、本地的、Office 365 中的和其他位置中的 Office 文档内的敏感信息,请使用 Azure 信息保护(及其关联的扫描工具)。

使用 Azure SQL 信息保护有助于对 Azure SQL 数据库中存储的信息进行分类和标记。

责任:客户

DP-2:保护敏感数据

指导:使用 Azure 基于角色的访问控制 (Azure RBAC)、基于网络的访问控制以及 Azure 服务中的特定控制(例如 SQL 和其他数据库中的加密)来限制访问,从而保护敏感数据。 为了确保一致的访问控制,所有类型的访问控制都应符合企业分段策略。 企业分段策略还应根据敏感的或业务关键型的数据和系统的位置来确定。

对于 Microsoft 管理的基础平台,Microsoft 会将所有客户内容视为敏感数据,全方位防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据始终安全,Microsoft 实施了一些默认的数据保护控制机制和功能。

责任:客户

DP-4:加密传输中的敏感信息

指导:为了对访问控制进行补充,应该对传输中的数据使用加密技术防止“带外”攻击(例如流量捕获),以确保攻击者无法轻松读取或修改数据。 虽然这对于专用网络上的流量来说是可选的,但对于外部和公共网络上的流量来说,这是至关重要的。 对于 HTTP 流量,请确保连接到 Azure 资源的任何客户端能够协商 TLS v1.2 或更高版本。 对于远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是使用未加密的协议。 应当禁用已过时的 SSL、TLS 和 SSH 版本和协议,以及弱密码。

默认情况下,Azure 为在 Azure 数据中心之间传输的数据提供加密。

责任:客户

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-1:确保安全团队可以了解与资产相关的风险

指导:确保在 Azure 租户和订阅中向安全团队授予安全读取者权限,方便他们使用 Microsoft Defender for Cloud 监视安全风险。

根据安全团队责任划分方式的不同,监视安全风险可能是中心安全团队或本地团队的责任。 也就是说,安全见解和风险必须始终在组织内集中聚合。

安全读取者权限可以广泛应用于整个租户(根管理组),也可以限制到管理组或特定订阅。

若要了解工作负载和服务,可能需要更多权限。

责任:客户

AM-3:仅使用已批准的 Azure 服务

指导:请使用 Azure Policy 来审核和限制用户可以在你的环境中预配哪些服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则,以便在检测到未经批准的服务时触发警报。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-7:使用批准的时间同步源

指导:Microsoft Defender for IoT 不支持配置你自己的时间同步源。 Microsoft Defender for IoT 服务依赖于 Microsoft 时间同步源,不会向客户公开以允许其进行配置。

责任:Microsoft

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-6:执行软件漏洞评估

指导:不适用;Microsoft 对支持 Microsoft Defender for IoT 的基础系统进行漏洞管理。

责任:Microsoft

PV-8:执行定期攻击模拟

指导:根据需要,对 Azure 资源进行渗透测试或红队活动,并确保修正所有关键安全发现。 请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。

责任:共享

后续步骤