Service Fabric 的 Azure 安全基线

此安全基线将 Azure 安全基准版本 1.0 中的指南应用于 Service Fabric。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控件”分组,安全控件根据适用于 Service Fabric 的 Azure 安全基准和相关指导进行定义。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将列在 Microsoft Defender for Cloud 仪表板的“法规合规性”部分中。

当某个部分具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

排除了不适用于 Service Fabric 或 Microsoft 为其责任方的控件。 若要了解 Service Fabric 如何完全映射到 Azure 安全基准,请参阅完整的 Service Fabric 安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

1.1:保护虚拟网络中的 Azure 资源

指导:确保所有虚拟网络子网部署都应用了网络安全组,且具有特定于应用程序受信任端口和源的网络访问控制。

责任:客户

1.2:监视和记录虚拟网络、子网和 NIC 的配置与流量

指导:使用 Microsoft Defender for Cloud 修正虚拟网络、子网以及用于保护 Azure Service Fabric 群集的网络安全组的网络保护建议。 启用网络安全组流日志,并将日志发送到 Azure 存储帐户以进行流量审核。 还可将网络安全组流日志发送到 Azure Log Analytics 工作区,并使用 Azure 流量分析来深入了解 Azure 云中的流量流。 Azure 流量分析的优势包括能够可视化网络活动、识别热点、识别安全威胁、了解流量流模式,以及查明网络不当配置。

责任:客户

1.3:保护关键 Web 应用程序

指导:提供前端网关,为用户、设备或其他应用程序提供单一入口点。 Azure API Management 直接与 Service Fabric 集成,可保护对后端服务的访问、防止 DOS 攻击,还可以验证 API 密钥、JWT 令牌、证书和其他凭据。

请考虑在关键 Web 应用程序前部署 Azure Web 应用程序防火墙 (WAF),以对传入的流量进行额外的检查。 启用 WAF 的诊断设置,并将日志引入存储帐户、事件中心或 Log Analytics 工作区。

责任:客户

1.4:拒绝与已知恶意的 IP 地址进行通信

指导:为了防范 DDoS 攻击,请在部署 Azure Service Fabric 群集的虚拟网络中启用 Azure DDoS 标准防护。 使用 Microsoft Defender for Cloud 的集成式威胁情报功能拒绝与已知恶意或未使用的 Internet IP 地址通信。

责任:客户

1.5:记录网络数据包

指导:针对附加到子网的、用于保护 Service Fabric 群集的网络安全组启用网络安全组流日志。 将 NSG 流日志记录到 Azure 存储帐户中,以生成流记录。 如果需要调查异常活动,请启用 Azure 网络观察程序数据包捕获。

责任:客户

1.6:部署基于网络的入侵检测/入侵防护系统 (IDS/IPS)

指导:从 Azure 市场中选择一种产品/服务,该产品/服务应支持包含有效负载检查功能的 ID/IPS 功能。 如果不需要基于有效负载检查的入侵检测和/或防护,则可以使用包含威胁情报功能的 Azure 防火墙。 基于 Azure 防火墙威胁情报的筛选功能可以发出警报,并拒绝传入和传出已知恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。

在组织的每个网络边界上部署所选的防火墙解决方案,以检测和/或拒绝恶意流量。

责任:客户

1.7:管理发往 Web 应用程序的流量

指导:为 Web 应用程序部署 Azure 应用程序网关,并为受信任的证书启用 HTTPS/SSL。

责任:客户

1.8:最大程度地降低网络安全规则的复杂性和管理开销

指导:使用虚拟网络服务标记,在附加到部署 Azure Service Fabric 群集的子网的网络安全组 (NSG) 中定义网络访问控制。 创建安全规则时,可以使用服务标记代替特定的 IP 地址。 在规则的相应源或目标字段中指定服务标记名称(例如 ApiManagement),可以允许或拒绝相应服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。

责任:客户

1.9:维护网络设备的标准安全配置

指导:定义并实施与 Azure Service Fabric 群集相关的网络资源的标准安全配置。 在“Microsoft.ServiceFabric”和“Microsoft.Network”命名空间中使用 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure Service Fabric 群集的网络配置。

也可以使用 Azure 蓝图来简化大规模的 Azure 部署,具体方法为在单个蓝图定义中打包关键环境项目,如 Azure 资源管理器模板、Azure RBAC 控制和策略。 轻松将蓝图应用到新的订阅和环境,并通过版本控制来微调控制措施和管理。

责任:客户

1.10:阐述流量配置规则

指导:对与 Service Fabric 群集关联的网络安全性和流量流相关的网络安全组及其他资源使用标记。 针对各个网络安全组规则,请使用“说明”字段为允许流量传入/传出网络的任何规则指定业务需要、持续时间等。

使用标记相关的任何内置 Azure Policy 定义(例如“需要标记及其值”)来确保使用标记创建所有资源,并在有现有资源不带标记时发出通知。

可以使用 Azure PowerShell 或 Azure 命令行接口 (CLI) 根据资源的标记查找资源或对其执行操作。

责任:客户

1.11:使用自动化工具来监视网络资源配置和检测更改

指导:使用 Azure 活动日志监视网络资源配置,并检测与 Azure Service Fabric 部署相关的网络资源的更改。 在 Azure Monitor 中创建当关键网络资源发生更改时触发的警报。

责任:客户

日志记录和监视

有关详细信息,请参阅 Azure 安全基线: 日志记录和监视

2.2:配置中心安全日志管理

指导:可将 Azure Service Fabric 群集加入 Azure Monitor,以聚合群集生成的安全数据。 查看 Service Fabric 的示例诊断问题和解决方案。

责任:客户

2.3:为 Azure 资源启用审核日志记录

指导:为 Service Fabric 群集启用 Azure Monitor,并将日志定向到 Log Analytics 工作区。 这会记录所有 Azure Service Fabric 群集节点的相关群集信息和 OS 指标。

责任:客户

2.4:从操作系统收集安全日志

指导:将 Azure Service Fabric 群集加入 Azure Monitor。 确保根据组织的合规性规章为使用的 Log Analytics 工作区设置日志保留期。

责任:客户

2.5:配置安全日志存储保留期

指导:将 Service Fabric 群集加入 Azure Monitor。 确保根据组织的合规性规章为使用的 Log Analytics 工作区设置日志保留期。

责任:客户

2.6:监视和查看日志

指导:使用 Azure Log Analytics 工作区查询来查询 Azure Service Fabric 日志。

责任:客户

2.7:针对异常活动启用警报

指导:使用 Azure Log Analytics 工作区在与 Azure Service Fabric 群集相关的安全日志和事件中监视异常活动并对其发出警报。

责任:客户

2.8:集中管理反恶意软件日志记录

指导:默认情况下,Windows Defender 安装在 Windows Server 2016 上。 如果不使用 Windows Defender,请参阅有关配置规则的反恶意软件文档。 Linux 不支持 Windows Defender。

责任:客户

2.9:启用 DNS 查询日志记录

指导:实施用于 DNS 日志记录的第三方解决方案。

责任:客户

2.10:启用命令行审核日志记录

指导:为每个节点手动配置控制台日志记录。

责任:客户

标识和访问控制

有关详细信息,请参阅 Azure 安全基线: 标识和访问控制

3.1:维护管理帐户的清单

指导:维护预配 Azure Service Fabric 群集期间创建的本地管理帐户以及创建的任何其他帐户的记录。 此外,如果使用 Azure Active Directory (Azure AD) 集成,那么 Azure AD 有必须显式分配的内置角色,因此是可查询的。 使用 Azure AD PowerShell 模块执行即席查询,以发现属于管理组的成员的帐户。

此外,可以使用 Microsoft Defender for Cloud 的标识和访问管理建议。

责任:客户

3.2:在适用的情况下更改默认密码

指导:预配群集时,Azure 会要求创建新的密码用于访问 Web 门户。 没有要更改的默认密码,但是,可以指定不同的密码用于访问 Web 门户。

责任:客户

3.3:使用专用管理帐户

指导:将适用于 Service Fabric 的身份验证与 Azure Active Directory (Azure AD) 集成。 围绕专用管理帐户的使用创建策略和过程。

此外,可以使用 Microsoft Defender for Cloud 的标识和访问管理建议。

责任:客户

3.4:将单一登录 (SSO) 与 Azure Active Directory 配合使用

指导:请尽可能使用 Azure Active Directory (Azure AD) SSO,而不是为每个服务配置单个独立凭据。 使用 Microsoft Defender for Cloud 的标识和访问管理建议。

责任:客户

3.5:对所有基于 Azure Active Directory 的访问使用多重身份验证

指导:启用 Azure Active Directory (Azure AD) 多重身份验证,并遵循 Microsoft Defender for Cloud 标识和访问管理的建议。

责任:客户

3.6:对所有管理任务使用专用计算机(特权访问工作站)

指导:使用配置了多重身份验证的特权访问工作站 (PAW) 来登录和配置 Service Fabric 群集和相关资源。

责任:客户

3.7:记录来自管理帐户的可疑活动并对其发出警报

指导:当环境中出现可疑或不安全的活动时,可使用 Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 生成日志和警报。 此外,还可使用 Azure AD 风险检测来查看警报和报告有风险的用户行为。

责任:客户

3.8:仅从批准的位置管理 Azure 资源

指南:使用条件访问命名位置,仅允许从 IP 地址范围或国家/地区的特定逻辑分组进行访问。

责任:客户

3.9:使用 Azure Active Directory

指导:使用 Azure Active Directory (Azure AD) 作为中心身份验证和授权系统,以安全访问 Service Fabric 群集的管理终结点。 Azure AD 通过对静态数据和传输中数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行加盐、哈希处理和安全存储操作。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ServiceFabric:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 审核 Service Fabric 中仅通过 Azure Active Directory 进行客户端身份验证 Audit、Deny、Disabled 1.1.0

3.10:定期审查和协调用户访问

指导:对 Service Fabric 群集使用 Azure Active Directory (Azure AD) 身份验证。 Azure AD 提供日志来帮助发现过时的帐户。 此外,请使用 Azure 标识访问评审来有效管理组成员身份、对企业应用程序的访问和角色分配。 可以定期评审用户的访问权限,确保只有适当的用户才持续拥有访问权限。

责任:客户

3.11:针对帐户登录行为偏差发出警报

指导:使用 Azure Active Directory (Azure AD) 登录和审核日志来监视是否有人尝试访问已停用的帐户;这些日志可以集成到任何第三方 SIEM/监视工具中。

通过为 Azure AD 用户帐户创建诊断设置,并将审核日志和登录日志发送到 Azure Log Analytics 工作区,可以简化此过程。 在 Azure Log Analytics 工作区中配置所需的警报。

责任:客户

3.12:针对帐户登录行为偏差发出警报

指导:使用 Azure Active Directory (Azure AD) 风险和标识保护功能配置对检测到的与用户标识相关的可疑操作的自动响应。 还可以将数据引入 Microsoft Sentinel 中进行进一步调查。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

4.1:维护敏感信息的清单

指导:对与 Service Fabric 部署相关的资源使用标记,以帮助跟踪存储或处理敏感信息的 Azure 资源。

责任:客户

4.2:隔离存储或处理敏感信息的系统

指导:为开发、测试和生产实施单独的订阅和/或管理组。 资源应当按虚拟网络或子网进行分隔,相应地进行标记,并由网络安全组或 Azure 防火墙提供保护。 存储或处理敏感数据的资源应当充分隔离。 对于存储或处理敏感数据的虚拟机,请实施相应的策略和过程,以在不使用这些虚拟机时将其关闭。

责任:客户

4.3:监视和阻止未经授权的敏感信息传输

指导:在网络外围部署一个自动化工具,用于监视敏感信息的未授权传输,并阻止此类传输,同时提醒信息安全专业人员。

对于 Microsoft 管理的底层平台,Microsoft 会将所有客户内容视为敏感数据,并会全方位地防范客户数据丢失和遭到透露。 为了确保 Azure 中的客户数据保持安全,Microsoft 已实施并维护一套可靠的数据保护控制机制和功能。

责任:共享

4.4:加密传输中的所有敏感信息

指导:加密传输中的所有敏感信息。 确保连接到 Azure 资源的任何客户端能够协商 TLS 1.2 或更高版本。

对于 Service Fabric 客户端到节点相互身份验证,请使用 x.509 证书作为 http 通信的服务器标识和 TLS 加密。 出于应用程序安全目的,可以在群集上安装任意数量的附加证书,包括在复制期间跨节点加密和解密应用程序配置值和数据。 请按照 Microsoft Defender for Cloud 的建议进行静态加密和传输中加密(如果适用)。

责任:共享

4.5:使用有效的发现工具识别敏感数据

指导:数据标识、分类和丢失防护功能尚不适用于 Azure 存储或计算资源。 如果需要出于合规性目的使用这些功能,请实施第三方解决方案。

对于 Microsoft 管理的底层平台,Microsoft 会将所有客户内容视为敏感数据,并会全方位地防范客户数据丢失和遭到透露。 为了确保 Azure 中的客户数据保持安全,Microsoft 已实施并维护一套可靠的数据保护控制机制和功能。

责任:共享

4.7:使用基于主机的数据丢失防护来强制实施访问控制

指导:对于存储或处理敏感信息的 Service Fabric 群集,请使用标记将该群集和相关资源标记为敏感。 数据标识、分类和丢失防护功能尚不适用于 Azure 存储或计算资源。 如果需要出于合规性目的使用这些功能,请实施第三方解决方案。

对于 Microsoft 管理的底层平台,Microsoft 会将所有客户内容视为敏感数据,并会全方位地防范客户数据丢失和遭到透露。 为了确保 Azure 中的客户数据保持安全,Microsoft 已实施并维护一套可靠的数据保护控制机制和功能。

责任:共享

4.8:静态加密敏感信息

指导:在所有 Azure 资源上使用静态加密。 Microsoft 建议允许 Azure 管理加密密钥,但在某些情况下,你可以选择管理自己的密钥。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ServiceFabric:

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 Audit、Deny、Disabled 1.1.0

4.9:记录对关键 Azure 资源的更改并对此类更改发出警报

指导:将 Azure Monitor 与 Azure 活动日志结合使用,以创建在关键 Azure 资源发生更改时发出的警报。

责任:客户

漏洞管理

有关详细信息,请参阅 Azure 安全基线: 漏洞管理。

5.1:运行自动漏洞扫描工具

指导:定期运行 Service Fabric 故障分析服务和混沌服务,以模拟整个群集中的故障,从而评估服务的稳定性和可靠性。

遵循 Microsoft Defender for Cloud 关于在 Azure 虚拟机和容器映像上执行漏洞评估的建议。

使用第三方解决方案对网络设备和 Web 应用程序执行漏洞评估。 执行远程扫描时,不要使用单个永久管理帐户。 请考虑为扫描帐户实现 JIT 预配方法。 扫描帐户的凭据应受到保护、监视,并且仅用于漏洞扫描。

责任:客户

5.2:部署自动操作系统修补管理解决方案

指南:在 Service Fabric 群集的虚拟机规模集上启用自动 OS 映像升级。

或者,若要在投入生产之前先测试 OS 修补程序,请使用手动触发器对规模集进行 OS 映像升级。 请注意,手动触发器选项不提供内置回滚。 使用 Azure 自动化中的更新管理监视 OS 修补程序。

责任:客户

5.3:为第三方软件部署自动修补程序管理解决方案

指导:在 Azure Service Fabric 群集的虚拟机规模集上启用自动 OS 映像升级。 修补业务流程应用程序 (POA) 是一种替代解决方案,适用于 Azure 外部托管的 Service Fabric 群集。 可结合使用 POA 和 Azure 群集,但需要一些额外的托管开销。

责任:客户

5.4:比较连续进行的漏洞扫描

指导:以一致的间隔导出扫描结果,并比较结果以验证漏洞是否已修复。 使用 Microsoft Defender for Cloud 建议的漏洞管理建议时,可以转到所选解决方案的门户查看历史扫描数据。

责任:客户

5.5:使用风险评级过程来确定已发现漏洞的修正措施的优先级

指南:使用常见的风险分级程序(例如“常见漏洞评分系统”)或第三方扫描工具提供的默认风险分级功能。

责任:客户

清单和资产管理

有关详细信息,请参阅 Azure 安全基线: 清单和资产管理

6.1:使用自动化资产发现解决方案

指导:使用 Azure Resource Graph 查询/发现订阅中的所有资源(例如计算、存储、网络、端口和协议等)。 确保租户中具有适当的(读取)权限,并枚举所有 Azure 订阅以及订阅中的资源。

尽管可以通过 Resource Graph 发现经典 Azure 资源,但我们强烈建议你今后还是创建并使用 Azure 资源管理器资源。

责任:客户

6.2:维护资产元数据

指导:将标记应用到 Azure资源,以便有条理地将元数据组织成某种分类。

责任:客户

6.3:删除未经授权的 Azure 资源

指导:在适用的情况下,请使用标记、管理组和单独的订阅来组织和跟踪资产。 定期核对清单,确保及时地从订阅中删除未经授权的资源。

责任:客户

6.4:定义并维护已批准的 Azure 资源的清单

指导:为计算资源定义已批准的 Azure 资源和软件。

责任:客户

6.5:监视未批准的 Azure 资源

指南:在 Azure Policy 中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型

  • 允许的资源类型

使用 Azure Resource Graph 查询/发现订阅中的资源。 确保环境中存在的所有 Azure 资源已获得批准。

责任:客户

6.6:监视计算资源中未批准的软件应用程序

指导:实施第三方解决方案以监视群集节点中未批准的软件应用程序。

责任:客户

6.7:删除未批准的 Azure 资源和软件应用程序

指导:使用 Azure Resource Graph 查询/发现订阅中的所有资源(例如计算、存储、网络、端口和协议等),包括 Service Fabric 群集。 删除发现的任何未经批准的 Azure 资源。 对于 Service Fabric 群集节点,请实施第三方解决方案来删除未批准的软件或对其发出警报。

责任:客户

6.8:仅使用已批准的应用程序

指导:对于 Service Fabric 群集节点,请实施第三方解决方案,以防止执行未经授权的软件。

责任:客户

6.9:仅使用已批准的 Azure 服务

指导:使用 Azure Policy 限制可在环境中预配的服务。

责任:客户

6.10:维护已获批软件的清单

指导:对于 Azure Service Fabric 群集节点,请实施第三方解决方案,以防止执行未经授权的文件类型。

责任:客户

6.11:限制用户与 Azure 资源管理器进行交互的能力

指导:通过为“Microsoft Azure 管理”应用配置“阻止访问”,使用 Azure 条件访问来限制用户与 Azure 资源管理器交互的能力。

责任:客户

6.12:限制用户在计算资源中执行脚本的功能

指导:使用特定于操作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。

责任:客户

6.13:以物理或逻辑方式隔离高风险应用程序

指导:业务运营所需的软件可能会给组织带来更高的风险,应将其隔离在自己的虚拟机和/或虚拟网络中,并通过 Azure 防火墙或网络安全组进行充分的保护。

责任:客户

安全配置

有关详细信息,请参阅 Azure 安全基线: 安全配置

7.1:为所有 Azure 资源建立安全配置

指导:在“Microsoft.ServiceFabric”命名空间中使用 Azure Policy 别名创建自定义策略,以审核或强制实施 Service Fabric 群集的网络配置。

责任:客户

7.2:建立安全的操作系统配置

指导:Service Fabric 操作系统映像由 Microsoft 管理和维护。 客户负责为群集节点的操作系统实施安全配置。

责任:客户

7.3:维护安全的 Azure 资源配置

指导:使用 Azure 策略“[拒绝]”和“[不存在则部署]”的作用来对 Azure Service Fabric 群集和相关资源强制实施安全设置。

责任:客户

7.4:维护安全的操作系统配置

指导:Service Fabric 群集操作系统映像由 Microsoft 管理和维护。 客户负责实施 OS 级别的状态配置。

责任:共享

7.5:安全存储 Azure 资源的配置

指导:如果使用自定义的 Azure Policy 定义,请使用 Azure DevOps 或 Azure Repos 安全地存储和管理代码。

责任:客户

7.6:安全存储自定义操作系统映像

指导:如果使用自定义映像,请使用 Azure 基于角色的访问控制 (Azure RBAC) 来确保只有授权用户才能访问映像。 对于容器映像,请将其存储在 Azure 容器注册表中,并利用 Azure RBAC 确保只有授权用户才能访问这些映像。

责任:客户

7.7:部署 Azure 资源的配置管理工具

指导:在“Microsoft.ServiceFabric”命名空间中使用 Azure Policy 别名创建自定义策略,以审核、强制实施系统配置并对其发出警报。 另外,开发一个用于管理策略例外的流程和管道。

责任:客户

7.9:为 Azure 资源实施自动配置监视

指导:在“Microsoft.ServiceFabric”命名空间中使用 Azure Policy 别名创建自定义策略,以审核或强制实施 Service Fabric 群集的配置。

责任:客户

7.10:为操作系统实施自动配置监视

指导:使用 Microsoft Defender for Cloud 为容器的 OS 和 Docker 设置执行基线扫描。

责任:客户

7.11:安全管理 Azure 机密

指导:将托管服务标识与 Azure Key Vault 结合使用,以便简化和保护云应用程序的机密管理。

责任:客户

7.12:安全自动管理标识

指导:托管标识可用于 Azure 部署的 Service Fabric 群集,也可用于部署为 Azure 资源的应用程序。 通过托管标识,可向支持 Azure Active Directory (Azure AD) 身份验证的任何服务(包括密钥保管库)进行身份验证,无需在代码中放入任何凭据。

责任:客户

7.13:消除意外的凭据透露

指导:如果使用与 Azure Service Fabric 部署相关的任何代码,可以实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如 Azure Key Vault。

使用 Azure Key Vault 自动轮换 Service Fabric 群集证书。

责任:客户

恶意软件防护

有关详细信息,请参阅 Azure 安全基线: 恶意软件防护

8.1:使用集中管理的反恶意软件

指导:默认情况下,Windows Defender 防病毒安装在 Windows Server 2016 上。 用户界面默认安装在某些 SKU 上,但不是必需的。

如果不使用 Windows Defender,请参阅有关配置规则的反恶意软件文档。 Linux 不支持 Windows Defender。

责任:客户

数据恢复

有关详细信息,请参阅 Azure 安全基线: 数据恢复

9.1:确保定期执行自动备份

指导:Service Fabric 中的备份和还原服务可以轻松自动备份存储在有状态服务中的信息。 定期备份应用程序数据是防止数据丢失和服务不可用的基础。 Service Fabric 提供可选的备份和还原服务,因此无需编写任何其他代码,便可配置有状态可靠服务(包括角色服务)的定期备份。 它还有助于还原以前执行的备份。

责任:客户

9.2:执行完整系统备份,并备份客户管理的所有密钥

指导:在 Service Fabric 群集中启用备份还原服务,并创建备份策略以定期和按需备份有状态服务。 在 Azure Key Vault 中备份客户管理的密钥。

责任:客户

9.3:验证所有备份,包括客户管理的密钥

指导:通过定期查看备份配置信息和可用备份,确保能够从备份还原服务执行还原。 测试对备份的客户管理的密钥进行还原。

责任:客户

9.4:确保保护备份和客户管理的密钥

指导:Service Fabric 备份还原服务中的备份使用订阅中的 Azure 存储帐户。 Azure 存储对静态存储帐户中的所有数据进行加密。 默认情况下,数据使用 Microsoft 管理的密钥进行加密。 为了更进一步控制加密密钥,可以提供客户管理的密钥用于对存储数据进行加密。

如果使用的是客户管理的密钥,请确保在 Key Vault 中启用软删除,以防止意外或恶意删除密钥。

责任:客户

事件响应

有关详细信息,请参阅 Azure 安全基线: 事件响应

10.1:创建事件响应指导

指导:为组织制定事件响应指南。 确保在书面的事件响应计划中定义人员职责,以及事件处理和管理从检测到事件后审查的各个阶段。

责任:客户

10.2:创建事件评分和优先级设定过程

指导:Microsoft Defender for Cloud 可以为每个警报分配严重性,以帮助你优先处理应先调查的警报。 严重性取决于 Microsoft Defender for Cloud 在发出警报时所依据的检测结果或指标的置信度,以及导致发出警报的活动背后的恶意企图的置信度。

此外,使用标记来标记订阅,并创建命名系统来对 Azure 资源进行标识和分类,特别是处理敏感数据的资源。 你的责任是根据发生事件的 Azure 资源和环境的关键性确定修正警报的优先级。

责任:客户

10.3:测试安全响应过程

指导:定期执行演练来测试系统的事件响应功能。 识别弱点和差距,并根据需要修改计划。

责任:客户

10.4:提供安全事件联系人详细信息,并针对安全事件配置警报通知

指导:如果 Microsoft 安全响应中心 (MSRC) 发现数据被某方非法访问或未经授权访问,Microsoft 会使用安全事件联系信息联系用户。 事后审查事件,确保问题得到解决。

责任:客户

10.5:将安全警报整合到事件响应系统中

指导:使用连续导出功能导出 Microsoft Defender for Cloud 警报和建议。 使用连续导出可以手动导出或者持续导出警报和建议。 可以使用 Microsoft Defender for Cloud 数据连接器将警报流式传输给 Sentinel。

责任:客户

10.6:自动响应安全警报

指导:使用 Microsoft Defender for Cloud 的工作流自动化功能,通过“逻辑应用”自动触发对安全警报和建议的响应。

责任:客户

渗透测试和红队练习

有关详细信息,请参阅 Azure 安全基线: 渗透测试和红队演练

11.1:定期对 Azure 资源执行渗透测试,确保修正所有发现的关键安全问题

指导:请遵循 Microsoft 云渗透测试互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行现场渗透测试。

责任:共享

后续步骤