适用于 Azure HPC 缓存的 Azure 安全基线

此安全基线将 Azure 安全基准版本 2.0 中的指导应用于 Microsoft Azure HPC 缓存。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 其内容按安全控制分组,这些控制根据适用于 Azure HPC 缓存的 Azure 安全基准和相关指导定义。

当某个功能具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Azure HPC 缓存的控制以及建议逐字使用全局指导的控制。 若要查看 Azure HPC 缓存如何完全映射到 Azure 安全基准,请参阅完整的 Azure HPC 缓存安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

NS-1:实现内部流量的安全性

指导:部署 Azure HPC 缓存资源时,必须创建或使用现有虚拟网络。

确保所有 Azure 虚拟网络都遵循与业务风险相匹配的企业分段原则。 任何可能会给组织带来更高风险的系统都应隔离在其自己的虚拟网络中,并通过网络安全组 (NSG) 和/或 Azure 防火墙进行充分保护。

应该先设置以下两个与网络相关的必备组件,然后才能使用缓存:

  • Azure HPC 缓存实例的专用子网

  • DNS 支持,使缓存能够访问存储和其他资源

Azure HPC 缓存需要具有以下特质的专用子网:

  • 该子网必须至少提供 64 个可用 IP 地址。

  • 子网内的通信必须不受限制。 如果对缓存子网使用网络安全组,请确保它允许内部 IP 地址之间的所有服务。

  • 该子网不能托管任何其他 VM,即使是客户端计算机等相关服务的 VM。

  • 如果使用多个 Azure HPC 缓存实例,则每个实例都需要其自身的子网。

最佳做法是为每个缓存创建一个新子网。 可以在创建缓存的过程中创建新的虚拟网络和子网。

若要将 HPC 缓存与本地 NAS 存储结合使用,你必须确保本地网络中的某些端口允许来自 Azure HPC 缓存子网的无限制流量。

如何使用安全规则创建网络安全组:/azure/virtual-network/tutorial-filter-network-traffic​​

如何部署和配置 Azure 防火墙:/azure/firewall/tutorial-firewall-deploy-portal

责任:客户

NS-2:将专用网络连接在一起

指导:在共置环境中,使用 Azure ExpressRoute 或 Azure 虚拟专用网 (VPN) 在 Azure 数据中心与本地基础结构之间创建专用连接。 ExpressRoute 连接并不通过公共 Internet,与典型的 Internet 连接相比,它们的可靠性更高、速度更快且延迟时间更短。 对于点到站点 VPN 和站点到站点 VPN,可使用这些 VPN 选项的任意组合以及 Azure ExpressRoute 将本地设备或网络连接到虚拟网络。

若要将 Azure 中的两个或更多虚拟网络连接在一起,请使用虚拟网络对等互连。 对等互连虚拟网络之间的网络流量是专用的,且保留在 Azure 主干网络上。

HPC 缓存资源仅连接到 Azure 虚拟网络,无法从 Azure 的生产内部网络访问这些资源。 因此,HPC 缓存 可以直接从 VNet、对等互连 VNet 或本地通过 虚拟网络 网关 (ExpressRoute 或 VPN 网关.VPN 网关.) 访问 HPC 缓存 计算资源的权限,只有需要审核 JIT 访问权限的授权服务/工程人员才允许访问HPC 缓存服务。

责任:客户

NS-3:建立对 Azure 服务的专用网络访问

指导:使用 Azure 虚拟网络服务终结点提供对 HPC 缓存的安全访问。 服务终结点是 Azure 主干网络上的优化路由,无需经过 Internet。

HPC 缓存不支持使用 Azure 专用链接将其管理终结点安全连接到专用网络。

专用访问是除 Azure 服务提供的身份验证和流量安全性之外的另一项深度防护措施。

责任:客户

NS-4:保护应用程序和服务不受外部网络攻击

指导:帮助 HPC 缓存资源防范来自外部网络的攻击,包括分布式拒绝服务 (DDoS) 攻击、特定于应用程序的攻击,以及未经请求和可能存在恶意的 Internet 流量。

为此,Azure 提供了一些原生功能:

  • 使用 Azure 防火墙保护应用程序和服务免受来自 Internet 和其他外部位置的潜在恶意流量的侵害。
  • 通过在 Azure 虚拟网络上启用 DDoS 标准保护,保护资产免受 DDoS 攻击。
  • 使用 Microsoft Defender for Cloud 检测与网络资源相关的错误配置风险。

Azure HPC 缓存不运行 Web 应用程序,并且不需要配置任何其他设置或部署任何额外的网络服务来保护其免受针对 Web 应用程序的外部网络攻击。

责任:客户

NS-6:简化网络安全规则

指导:不适用;此建议适用于可以部署到 Azure 虚拟网络,或者能够定义允许的 IP 范围分组以进行有效管理的产品/服务。 HPC 缓存目前不支持服务标记。

最佳做法是为每个缓存创建一个新子网。 可以在创建缓存的过程中创建新的虚拟网络和子网。

责任:客户

NS-7:安全域名服务 (DNS)

指导:遵循 DNS 安全的最佳做法来防范常见攻击,例如无关联 DNS、DNS 放大攻击、DNS 中毒和欺骗等。

Azure HPC 缓存需要 DNS 才能访问缓存的专用虚拟网络外部的资源。 如果工作流包含 Azure 外部的资源,则除了使用 Azure DNS 之外,还需要设置并保护你自己的 DNS 服务器。

  • 若要访问 Azure Blob 存储终结点、基于 Azure 的客户端计算机或其他 Azure 资源,请使用 Azure DNS。
  • 若要访问本地存储,或从 Azure 外部的客户端连接到缓存,你需要创建一个可以解析这些主机名的自定义 DNS 服务器。
  • 如果工作流同时包含内部和外部资源,请设置自定义 DNS 服务器,以将特定于 Azure 的解析请求转发到 Azure DNS 服务器。

将 Azure DNS 用作权威 DNS 服务时,请确保使用 Azure RBAC 和资源锁保护 DNS 区域和记录,使之免受意外或恶意的修改。

如果要配置自己的 DNS 服务器,请确保遵循以下安全指导原则:

责任:客户

标识管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-1:将 Azure Active Directory 标准化为中央标识和身份验证系统

指导:Azure HPC 缓存未与 Azure Active Directory 集成来执行内部操作。 但是,Azure AD 可用于在 Azure 门户或 CLI 中对用户进行身份验证,以便创建、查看和管理 HPC 缓存部署及相关组件。

Azure Active Directory (Azure AD) 是 Azure 中的默认标识和访问管理服务。 你应该使 Azure AD 标准化,以便控制组织在以下资源中的标识和访问管理:

  • Microsoft 云资源,如 Azure 门户、Azure 存储、Azure 虚拟机(Linux 和 Windows)、Azure Key Vault、PaaS 和 SaaS 应用程序。

  • 你的组织的资源,例如 Azure 上的应用程序,或公司网络资源。

在组织的云安全做法中,应优先处理 Azure AD 保护事宜。 Azure AD 提供标识安全分数,帮助你评估与 Microsoft 的最佳做法建议相关的标识安全状况。 使用评分来估计你的配置与最佳做法建议的匹配程度,并改善你的安全状况。

注意:Azure AD 支持外部标识,使没有 Microsoft 帐户的用户可以使用其外部标识登录到其应用程序和资源。

责任:客户

IM-2:安全且自动地管理应用程序标识

指导:HPC 缓存将 Azure 托管标识用于非人工帐户,如服务或自动化。 建议使用 Azure 的托管标识功能,而不是创建功能更强大的人工帐户来访问或执行资源。

HPC 缓存可以通过预定义的访问授权规则,向支持 Azure Active Directory (Azure AD) 身份验证的 Azure 服务/资源进行本机身份验证。 这样就无需在源代码或配置文件中使用硬编码的凭据。

责任:客户

IM-3:使用 Azure AD 单一登录 (SSO) 进行应用程序访问

指导:Azure HPC 缓存未与 Azure Active Directory (Azure AD) 集成,因此无法通过这种集成执行内部操作。 但是,Azure AD 可用于在 Azure 门户或 CLI 中对用户进行身份验证,以便创建、查看和管理 HPC 缓存部署及相关组件。

Azure AD 提供对 Azure 资源、云应用程序和本地应用程序的标识和访问管理。 此内容包括企业标识(例如员工)以及外部标识(如合作伙伴和供应商)。 这样,单一登录 (SSO) 便可以管理和保护对本地和云中的组织数据和资源的访问。 将所有用户、应用程序和设备连接到 Azure AD,实现无缝的安全访问和更好的可见性和控制。

责任:客户

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-3:定期审查和协调用户访问权限

指导:定期审查用户帐户和访问权限分配,确保帐户及其访问级别均有效。

Azure HPC 缓存可以使用 Azure Active Directory (Azure AD) 帐户通过 Azure 门户和相关界面来管理用户访问。 Azure AD 提供访问评审,可帮助审查组成员身份、对企业应用程序的访问权限和角色分配。 Azure AD 报告提供日志来帮助发现过时的帐户。 你还可使用 Azure AD Privileged Identity Management 来创建访问评审报表工作流以便于执行评审。

此外,Azure Privileged Identity Management 还可配置为在创建过多的管理员帐户时发出警报,并识别过时或配置不正确的管理员帐户。

注意:某些 Azure 服务支持不通过 Azure AD 进行管理的本地用户和角色。 你需要单独管理这些用户。

使用 NFS 存储目标时,需要与网络管理员和防火墙管理员合作,以验证访问设置,并确保 Azure HPC 缓存能够与 NFS 存储系统通信。

责任:客户

PA-7:遵循 Just Enough Administration(最小特权原则)

指导:HPC 缓存通过与 Azure 基于角色的访问控制 (RBAC) 集成来管理其资源。 使用 Azure RBAC,可通过角色分配来管理 Azure 资源访问。 可以将这些角色分配给用户、组服务主体和托管标识。 某些资源具有预定义的内置角色,可以通过工具(例如 Azure CLI、Azure PowerShell 或 Azure 门户)来清点或查询这些角色。

通过 Azure RBAC 分配给资源的特权应始终限制为角色所需的特权。 这是对 Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 的实时 (JIT) 方法的补充,应定期进行评审。

请使用内置角色来分配权限,仅在必要时创建自定义角色。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-1:对敏感数据进行发现、分类和标记

指导:HPC 缓存可管理敏感数据,但无法对敏感数据进行发现、分类和标记。

责任:共享

DP-2:保护敏感数据

指导:使用 Azure 基于角色的访问控制 (Azure RBAC)、基于网络的访问控制以及 Azure 服务中的特定控制(例如 SQL 和其他数据库中的加密)来限制访问,从而保护敏感数据。

为了确保一致的访问控制,所有类型的访问控制都应符合企业分段策略。 企业分段策略还应根据敏感的或业务关键型的数据和系统的位置来确定。

对于 Microsoft 管理的基础平台,Microsoft 会将所有客户内容视为敏感数据,全方位防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据始终安全,Microsoft 实施了一些默认的数据保护控制机制和功能。

责任:共享

DP-3:监视未经授权的敏感数据传输

指导:HPC 缓存可传输敏感数据,但不支持监视未经授权的敏感数据传输。

责任:共享

DP-4:加密传输中的敏感信息

指导:HPC 缓存支持使用 TLS v1.2 或更高版本进行的传输中数据加密。

虽然这对于专用网络上的流量来说是可选的,但对于外部和公共网络上的流量来说,这是至关重要的。 对于 HTTP 流量,请确保连接到 Azure 资源的任何客户端能够协商 TLS v1.2 或更高版本。 对于远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是使用未加密的协议。 应当禁用已过时的 SSL、TLS 和 SSH 版本和协议,以及弱密码。

默认情况下,Azure 为在 Azure 数据中心之间传输的数据提供加密。

责任:共享

DP-5:加密静态敏感数据

指导:为了对访问控制进行补充,应使用加密保护静态数据,以免遭受“带外”攻击(例如访问底层存储)。 这有助于确保攻击者无法轻松读取或修改数据。

默认情况下,Azure 提供静态数据加密。 对于高度敏感的数据,你可以选择在所有可用的 Azure 资源上进行额外的静态加密。 默认情况下,Azure 管理你的加密密钥,但是 Azure 为某些 Azure 服务提供了管理你自己的密钥(客户管理的密钥)的选项。

默认情况下,Azure 中存储的所有数据(包括缓存磁盘上存储的所有数据)都使用 Microsoft 管理的密钥进行静态加密。 仅当需要管理用于加密数据的密钥时,才需要自定义 Azure HPC 缓存设置。

如果需要在计算资源上确保合规性,则实施第三方工具(如基于主机的自动数据丢失防护解决方案),以便对数据强制实施访问控制,即使数据从系统复制也是如此。

责任:共享

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-1:确保安全团队可以了解与资产相关的风险

指导:确保在 Azure 租户和订阅中向安全团队授予安全读取者权限,方便他们使用 Microsoft Defender for Cloud 监视安全风险。

根据安全团队责任划分方式的不同,监视安全风险可能是中心安全团队或本地团队的责任。 也就是说,安全见解和风险必须始终在组织内集中聚合。

安全读取者权限可以广泛应用于整个租户(根管理组),也可以限制到管理组或特定订阅。

注意:若要了解工作负载和服务,可能需要更多权限。

责任:客户

AM-2:确保安全团队有权访问资产清单和元数据

指导:Azure HPC 缓存支持使用标记。 将标记应用到 Azure 资源、资源组和订阅,以便有条理地将它们组织成分类。 每个标记均由名称和值对组成。

例如,可以对生产中的所有资源应用名称“Environment”和值“Production”。 可以在创建缓存时添加标记,也可以在部署缓存后添加标记。

使用 Azure 虚拟机清单自动收集有关虚拟机上的软件的信息。 可从 Azure 门户获得软件名称、版本、发布者和刷新时间。 若要访问安装日期和其他信息,请启用来宾级别诊断,并将 Windows 事件日志引入 Log Analytics 工作区。 HPC 缓存不允许在其资源上运行应用程序或安装软件。

责任:客户

AM-3:仅使用已批准的 Azure 服务

指导:HPC 缓存支持 Azure 资源管理器部署。 请使用 Azure Policy 来审核和限制用户可以在你的环境中预配哪些服务。 使用 Azure Resource Graph 查询和发现订阅中的资源。 你也可以使用 Azure Monitor 来创建规则,以便在检测到未经批准的服务时触发警报。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-1:为 Azure 资源启用威胁检测

指导:使用 Microsoft Defender for Cloud 内置威胁检测功能,并为 HPC 缓存资源启用 Microsoft Defender。 用于 HPC 缓存的 Microsoft Defender 提供额外的安全智能层,可检测是否存在访问或攻击缓存资源的异常和潜在有害尝试行为。

将 HPC 缓存中的所有日志转发到可用于设置自定义威胁检测的 SIEM。 确保正在监视不同类型的 Azure 资产,以发现潜在的威胁和异常情况。 专注于获取高质量警报以减少误报,便于分析人员进行分类整理。 警报可能源自日志数据、代理或其他数据。

责任:客户

LT-2:启用 Azure 标识和访问管理的威胁检测

指导:Azure Active Directory (Azure AD) 提供以下用户日志,这些日志可在 Azure AD 报告中查看,也可与 Azure Monitor、Microsoft Sentinel 或其他 SIEM/监视工具集成,以用于更复杂的监视和分析用例:

  • 登录 - 在登录报告中,可了解托管应用程序的使用情况和用户登录活动。
  • 审核日志 - 通过日志为 Azure AD 中的各种功能所做的所有更改提供可跟踪性。 审核日志的示例包括对 Azure AD 中的任何资源所做的更改,例如添加或删除用户、应用、组、角色和策略。
  • 风险登录 - 风险登录是指可能由非用户帐户合法拥有者进行的登录尝试。
  • 已标记为存在风险的用户 - 风险用户是指可能已泄露的用户帐户。

Microsoft Defender for Cloud 还可针对某些可疑活动发出警报,例如,失败的身份验证尝试次数过多或使用了订阅中的已弃用帐户。 除了基本的安全卫生监视以外,Microsoft Defender for Cloud 的威胁防护模块还可从各个 Azure 计算资源(虚拟机、容器、应用服务)、数据资源(SQL 数据库和存储)和 Azure 服务层收集更深入的安全警报。 通过此功能,可查看各个资源内的帐户异常情况。

责任:客户

LT-3:为 Azure 网络活动启用日志记录

指导:除了常用的数据包捕获工具外,还可以使用 VPN 网关及其数据包捕获功能来记录在虚拟网络之间传播的网络数据包。

在部署了 Azure HPC 缓存资源的网络上部署网络安全组。 在网络安全组上针对流量审核启用网络安全组流日志。

流日志将保留在存储帐户中。 启用流量分析解决方案来处理这些流日志,并将其发送到 Log Analytics 工作区。 流量分析提供有关 Azure 网络流量流的更多见解。 流量分析有助于直观呈现网络活动、识别热点、识别安全威胁、了解流量流模式以及查明网络配置错误。

缓存需要通过 DNS 访问其虚拟网络外部的资源。 根据所用的资源,可能需要设置一个自定义的 DNS 服务器,并在该服务器与 Azure DNS 服务器之间配置转发。

根据组织的需求,从 Azure 市场实现 DNS 日志记录解决方案的第三方解决方案。

责任:客户

LT-4:为 Azure 资源启用日志记录

指导:Azure HPC 缓存资源自动创建活动日志。 这些日志包含所有写入操作(PUT、POST、DELETE),但不包括读取操作 (GET)。 活动日志可用于在进行故障排除时查找错误,或监视组织中的用户如何对资源进行修改。

你还可以使用 Microsoft Defender for Cloud 和 Azure Policy 为 HPC 缓存启用 Azure 资源日志和日志数据收集。 这些日志可能对日后调查安全事件和执行取证演练至关重要。

责任:共享

LT-5:集中管理和分析安全日志

指导:集中记录存储和分析来实现关联。 对于每个日志源,请确保已分配数据所有者、访问指南、存储位置、用于处理和访问数据的工具以及数据保留要求。

确保正在将 Azure 活动日志集成到中央日志记录。 通过 Azure Monitor 引入日志,以聚合终结点设备、网络资源和其他安全系统生成的安全数据。 在 Azure Monitor 中,使用 Log Analytics 工作区来查询和执行分析,并使用 Azure 存储帐户进行长期存档存储。

另外,请启用 Microsoft Sentinel 或第三方 SIEM,并在其中加入数据。

许多组织选择将 Microsoft Sentinel 用于“热”数据(频繁使用的数据),将 Azure 存储用于“冷”数据(不太频繁使用的数据)。

责任:客户

LT-7:使用批准的时间同步源

指导:HPC 缓存不支持配置你自己的时间同步源。 HPC 缓存服务依赖于 Microsoft 时间同步源,这些源不会向客户公开以允许其进行配置。

责任:Microsoft

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-3:为计算资源建立安全配置

指导:使用 Microsoft Defender for Cloud 和 Azure Policy 在所有计算资源(包括 VM、容器和其他资源)上建立安全配置。

责任:客户

PV-6:执行软件漏洞评估

指导:不适用;Microsoft 对支持 HPC 缓存的基础系统执行漏洞管理。

责任:Microsoft

PV-8:执行定期攻击模拟

指导:根据需要,对 Azure 资源进行渗透测试或红队活动,并确保修正所有关键安全发现。 请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。

责任:共享

备份和恢复

有关详细信息,请参阅 Azure 安全基准:备份和恢复

BR-1:确保定期执行自动备份

指导:由于 Azure HPC 缓存是一种缓存解决方案,而不是存储系统,因此请注意确保定期备份其存储目标中的数据。 遵循有关 Azure Blob 容器以及备份任何本地存储目标的标准过程。

若要在发生区域性中断时最大程度地减少中断,可以采取措施来确保跨区域数据访问。

每个 Azure HPC 缓存实例在一个特定订阅和一个区域中运行。 这意味着,如果区域出现全面故障,那么缓存工作流可能会中断。 为了最大程度地减少这种中断,组织应使用可从多个区域访问的后端存储。 此存储可以是具有适当 DNS 支持的本地 NAS 系统,也可以是驻留在与缓存不同的区域中的 Azure Blob 存储。

当工作流在主要区域中继续运行时,数据保存在区域外的长期存储中。 如果缓存区域变得不可用,则可以在次要区域中创建重复的 Azure HPC 缓存实例,连接到相同的存储,然后在新缓存中继续工作。

责任:客户

BR-2:加密备份数据

指导:确保备份不受攻击。 这应包括对备份进行加密,以防止丧失机密性。

对于使用 Azure 备份的本地备份,请使用所提供的密码提供静态加密。 对于常规 Azure 服务备份,系统会使用 Azure 平台管理的密钥自动加密备份数据。 你可以选择使用客户管理的密钥对备份进行加密。 在这种情况下,请确保 Key Vault 中客户管理的密钥也在备份范围内。

即使为缓存磁盘添加了客户密钥,用于保存已缓存数据的托管磁盘上的 VM 主机加密也为 Azure HPC 缓存提供保护。 通过添加客户管理的密钥进行双重加密,可为具有高安全性需求的客户额外添加一层安全保护。 若要了解详细信息,请阅读《Azure 磁盘存储的服务器端加密》。

在 Azure 备份、Azure 密钥保管库或其他资源中使用基于角色的访问控制来保护备份和客户管理的密钥。 此外,可启用高级安全功能,要求在更改或删除备份之前进行多重身份验证。

责任:客户

BR-3:验证所有备份,包括客户管理的密钥

指导:定期确保你可以还原已备份的客户管理密钥。

责任:客户

BR-4:减少密钥丢失风险

指导:确保你有适当的措施来防止和恢复丢失的密钥。 在 Azure Key Vault 中启用软删除和清除保护,以防止意外删除或恶意删除密钥。

责任:客户

后续步骤