أفضل ممارسات أمان Azure

  • مقالة

توضح هذه المقالة أفضل ممارسات الأمان الموصى بها، والتي تستند إلى الدروس المستفادة من قبل العملاء ومن الخبرة في بيئاتنا الخاصة.

للحصول على عرض تقديمي للفيديو، راجع أفضل الممارسات لأمان Azure.

1. الأشخاص: تثقيف الفرق حول رحلة أمان السحابة

يحتاج الفريق إلى فهم الرحلة التي يقومون بها.

ما هو؟

تثقيف فرق الأمان وفرق تكنولوجيا المعلومات حول رحلة أمان السحابة والتغييرات التي سيتنقلون فيها، بما في ذلك:

  • التهديدات في السحابة
  • نموذج المسؤولية المشتركة وكيفية تأثيره على الأمان
  • التغييرات في الثقافة والأدوار والمسؤوليات التي تأتي عادة مع اعتماد السحابة

لماذا؟

يتطلب أمان السحابة تحولا في العقلية والنهج. في حين أن النتائج التي يوفرها الأمان للمؤسسة لا تتغير، فإن أفضل طريقة لتحقيق هذه النتائج في السحابة يمكن أن تتغير بشكل كبير.

يشبه الانتقال إلى السحابة الانتقال من منزل مستقل إلى مبنى سكني مرتفع. لا يزال لديك البنية التحتية الأساسية، مثل السباكة والكهرباء، والقيام بأنشطة مماثلة، مثل التهيئة الاجتماعية، والطهي، والتلفزيون والإنترنت، وما إلى ذلك. ومع ذلك، غالبا ما يكون هناك اختلاف كبير في ما يأتي مع المبنى، الذي يوفره ويحافظ عليه، وروتينك اليومي.

من؟

يجب أن يكون كل شخص في مؤسسة الأمان و تكنولوجيا المعلومات مع أي مسؤولية أمنية، من رئيس قسم المعلومات أو CISO إلى الممارسين التقنيين، على دراية بالتغييرات.

كيف؟‬

تزويد الفرق بالسياق المطلوب للنشر والتشغيل بنجاح أثناء الانتقال إلى بيئة السحابة.

نشرت Microsoft الدروس التالية التي تعلمها العملاء ومؤسسة تكنولوجيا المعلومات في رحلاتهم إلى السحابة.

لمزيد من المعلومات، راجع أدوار Azure Security Benchmark ومسؤولياته ومسؤولياته.

2. الأشخاص: تثقيف الفرق حول تقنية أمان السحابة

الأشخاص بحاجة إلى فهم إلى أين سيذهبون.

ما هو؟

تأكد من تخصيص فرقك للوقت المخصص للتعليم التقني بشأن تأمين موارد السحابة، بما في ذلك:

  • تقنية السحابة وتكنولوجيا أمان السحابة
  • التكوينات الموصى بها وأفضل الممارسات
  • مكان معرفة المزيد من التفاصيل التقنية

لماذا؟

تحتاج الفرق الفنية إلى الوصول إلى المعلومات التقنية لاتخاذ قرارات أمنية مستنيرة. الفرق التقنية جيدة في تعلم التقنيات الجديدة أثناء العمل، ولكن حجم التفاصيل في السحابة غالبا ما يطغى على قدرتها على احتواء التعلم في روتينها اليومي.

تخصيص وقت مخصص للتعلم التقني. يساعد التعلم على ضمان أن يكون لدى الأشخاص الوقت لبناء الثقة في قدرتهم على تقييم أمان السحابة. فهو يساعدهم على التفكير من خلال كيفية تكييف مهاراتهم وعملياتهم الحالية.

من؟

يجب أن تخصص جميع أدوار الأمان وتكنولوجيا المعلومات التي تتفاعل مباشرة مع تقنية السحابة الوقت للتعلم التقني على الأنظمة الأساسية السحابية وكيفية تأمينها.

يمكن للأمان والمديرين التقنيين في تكنولوجيا المعلومات ومديري المشاريع تطوير الإلمام ببعض التفاصيل التقنية لتأمين موارد السحابة. يساعدهم هذا الإلمام على قيادة المبادرات السحابية وتنسيقها بشكل أكثر فعالية.

كيف؟‬

تأكد من تخصيص وقت لمتخصصي الأمان التقني للتدريب الذاتي على كيفية تأمين الأصول السحابية. على الرغم من أنه ليس ممكنا دائما، قم بتوفير الوصول إلى التدريب الرسمي مع مدرب متمرس ومختبرات عملية.

هام

تعد بروتوكولات الهوية ضرورية للتحكم في الوصول في السحابة، ولكنها غالبا لا يتم تحديد أولوياتها في الأمان المحلي. يجب أن تركز فرق الأمان على تطوير الإلمام بهذه البروتوكولات والسجلات.

توفر Microsoft موارد واسعة لمساعدة المهنيين التقنيين على زيادة قدراتهم. وتشمل هذه الموارد ما يلي:

3. العملية: تعيين المساءلة عن قرارات أمان السحابة

لن يتم اتخاذ قرارات الأمان إذا لم يكن أحد مسؤولا عن اتخاذها.

ما هو؟

اختر المسؤول عن اتخاذ كل نوع من قرارات الأمان لبيئة Azure للمؤسسة.

لماذا؟

تؤدي ملكية قرارات الأمان الواضحة إلى تسريع اعتماد السحابة وزيادة الأمان. يؤدي نقص الملكية عادة إلى الاحتكاك لأنه لا يشعر أي شخص بتمكينه من اتخاذ القرارات. لا أحد يعرف من يطلب اتخاذ قرار ولا يحفز أحد على البحث عن قرار مستنير. يعرقل الاحتكاك في كثير من الأحيان:

  • أهداف العمل
  • المخططات الزمنية للمطور
  • أهداف تكنولوجيا المعلومات
  • ضمانات الأمان

يمكن أن يؤدي الاحتكاك إلى:

  • المشاريع المتوقفة التي تنتظر الموافقة على الأمان
  • عمليات التوزيع غير الآمنة التي لم تتمكن من انتظار الموافقة على الأمان

من؟

تختار قيادة الأمان الفرق أو الأفراد الذين يحاسبون على اتخاذ قرارات الأمان حول السحابة.

كيف؟‬

اختر المجموعات أو الأفراد ليكونوا مسؤولين عن اتخاذ قرارات الأمان الرئيسية.

قم بتوثيق هؤلاء المالكين ومعلومات الاتصال الخاصة بهم وإضفاء الطابع الاجتماعي على المعلومات على نطاق واسع داخل فرق الأمان وتكنولوجيا المعلومات والسحابة. يضمن التنشئة الاجتماعية أنه من السهل على جميع الأدوار الاتصال بها.

هذه المجالات عادة ما تكون هناك حاجة إلى قرارات أمنية. يعرض الجدول التالي فئة القرار ووصف الفئة والفرق التي غالبا ما تتخذ القرارات.

القرار الوصف الفريق النموذجي
أمان الشبكة تكوين وصيانة جدار حماية Azure والأجهزة الظاهرية للشبكة والتوجيه المرتبط وجدران حماية تطبيقات الويب (WAFs) ومجموعات أمان الشبكة وASGs وما إلى ذلك. ركز فريق أمان البنية الأساسية ونقطة النهاية على أمان الشبكة
إدارة الشبكة إدارة تخصيص الشبكة الظاهرية والشبكة الفرعية على مستوى المؤسسة. فريق عمليات الشبكة الحالي في عمليات تكنولوجيا المعلومات المركزية
أمان نقطة نهاية الخادم مراقبة أمان الخادم ومعالجته، بما في ذلك التصحيح والتكوين وأمان نقطة النهاية وما إلى ذلك. عمليات تكنولوجيا المعلومات المركزية وفرق أمان البنية الأساسية ونقطة النهاية بشكل مشترك
مراقبة الحوادث والاستجابة لها التحقيق في حوادث الأمان ومعالجتها في SIEM أو وحدة تحكم المصدر، بما في ذلك Microsoft Defender for Cloud وحماية الهوية Azure AD وما إلى ذلك. فريق عمليات الأمان
إدارة السياسات تعيين اتجاه لاستخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC) و Defender for Cloud واستراتيجية حماية المسؤول ونهج Azure للتحكم في موارد Azure. فرق بنية السياساتوالمعايير والأمان بشكل مشترك
أمان الهوية ومعاييرها تعيين اتجاه للدلائل Azure AD، واستخدام PIM/pam، والمصادقة متعددة العوامل، وتكوين كلمة المرور/المزامنة، ومعايير هوية التطبيق. فرق إدارة الهوية والمفتاحوالسياسات والمعاييروبنية الأمان بشكل مشترك

ملاحظة

  • تأكد من أن صناع القرار لديهم التعليم المناسب في منطقتهم السحابية لمرافقة هذه المسؤولية.
  • ضمان توثيق القرارات في السياسة والمعايير لتوفير سجل وتوجيه المنظمة على المدى الطويل.

4. العملية: تحديث عمليات الاستجابة للحوادث للسحابة

خطط للمستقبل. ليس لديك الوقت للتخطيط لأزمة أثناء الأزمة.

ما هو؟

الاستعداد لحوادث الأمان على النظام الأساسي السحابي Azure. يتضمن هذا الإعداد أي أدوات أصلية للكشف عن التهديدات التي اعتمدتها. قم بتحديث العمليات وإعداد فريقك وممارسة هجمات المحاكاة حتى يتمكنوا من العمل في أفضل حالاتها أثناء التحقيق في الحوادث والمعالجة وتعقب التهديدات.

لماذا؟

يشكل المهاجمون النشطون خطرا فوريا على المؤسسة. ويمكن أن يصبح من الصعب السيطرة على الوضع بسرعة. الاستجابة بسرعة وفعالية للهجمات. يجب أن تكون عملية الاستجابة للحوادث هذه فعالة لممتلكاتك بأكملها، بما في ذلك جميع الأنظمة الأساسية السحابية التي تستضيف بيانات المؤسسة وأنظمتها وحساباتها.

على الرغم من أن الأنظمة الأساسية السحابية متشابهة من نواح عديدة، فهي تختلف تقنيا عن الأنظمة المحلية. يمكن للأنظمة المحلية كسر العمليات الحالية، عادة لأن المعلومات متوفرة في شكل مختلف. قد يواجه محللو الأمان تحديات في الاستجابة السريعة لبيئة غير مألوفة يمكن أن تبطئهم. هذا البيان صحيح بشكل خاص إذا تم تدريبهم فقط على البنى المحلية الكلاسيكية ونهج الأدلة الجنائية للشبكة/القرص.

من؟

عادة ما تقود عمليات الأمان تحديث عملية وقت تشغيل التكامل. وغالبا ما يأتي هذا الجهد بدعم من مجموعات أخرى للحصول على المعرفة والخبرة.

  • الرعاية: عادة ما يرعى مدير عمليات الأمان أو ما يعادله تحديث العملية.

  • التنفيذ: يعد تكييف العمليات الحالية، أو كتابتها لأول مرة، جهدا تعاونيا يتضمن:

    • عمليات الأمان: يقود فريق إدارة الحوادث أو القيادة عملية وتحديثات التكامل لأصحاب المصلحة الخارجيين الرئيسيين. وتشمل هذه الفرق فرقا قانونية وفرق اتصالات أو علاقات عامة.
    • العمليات الأمنية: يوفر محللو الأمان الخبرة في التحقيق التقني في الحوادث والفرز.
    • عمليات تكنولوجيا المعلومات المركزية: يوفر هذا الفريق الخبرة في النظام الأساسي السحابي مباشرة، أو عبر مركز التميز السحابي، أو عبر مستشارين خارجيين.

كيف؟‬

قم بتحديث العمليات وإعداد فريقك حتى يعرف ما يجب القيام به عند العثور على مهاجم نشط.

  • العمليات ودلائل المبادئ: تكييف التحقيقات والمعالجة وعمليات تتبع التهديدات الحالية مع اختلافات كيفية عمل الأنظمة الأساسية السحابية. تتضمن الاختلافات أدوات جديدة أو مختلفة ومصادر البيانات وبروتوكولات الهوية وما إلى ذلك.
  • التعليم: تثقيف المحللين حول التحول السحابي الشامل، والتفاصيل التقنية لكيفية عمل النظام الأساسي، والعمليات الجديدة أو المحدثة. تتيح لهم هذه المعلومات معرفة ما قد يتغير ومكان الانتقال إلى ما يحتاجون إليه.
  • مجالات التركيز الرئيسية: في حين أن هناك العديد من التفاصيل الموضحة في روابط الموارد، فإن هذه المجالات هي المكان الذي تركز فيه جهودك التعليمية والتخطيطية:
    • نموذج المسؤولية المشتركة وبنى السحابة: إلى محلل الأمان، Azure هو مركز بيانات محدد بالبرامج يوفر العديد من الخدمات. تتضمن هذه الخدمات الأجهزة الظاهرية وغيرها التي تختلف عن المحلية، مثل Azure SQL Database Azure Functions. أفضل البيانات موجودة في سجلات الخدمة أو خدمات الكشف عن التهديدات المتخصصة. إنه ليس في سجلات نظام التشغيل/الأجهزة الظاهرية الأساسية، والتي تشغلها Microsoft وتخدم عملاء متعددين. يحتاج المحللون إلى فهم هذا السياق ودمجه في مهام سير العمل اليومية الخاصة بهم. وبهذه الطريقة يعرفون البيانات التي يجب توقعها ومكان الحصول عليها والتنسيق الذي توجد به.
    • مصادر بيانات نقطة النهاية: غالبا ما يكون الحصول على رؤى وبيانات للهجمات والبرامج الضارة على الخوادم المستضافة على السحابة أسرع وأسهل وأكثر دقة باستخدام أدوات الكشف عن السحابة الأصلية. توفر أدوات مثل Microsoft Defender للسحابة وحلول الكشف عن نقاط النهاية والاستجابة لها (EDR) بيانات أكثر دقة من الأساليب التقليدية للوصول المباشر إلى القرص. تتوفر الأدلة الجنائية المباشرة للقرص للسيناريوهات التي يكون فيها ذلك ممكنا ومطلوبا للإجراءات القانونية. لمزيد من المعلومات، راجع الطب الشرعي للكمبيوتر في Azure. ومع ذلك، غالبا ما يكون هذا النهج الطريقة الأكثر كفاءة للكشف عن الهجمات والتحقيق فيها.
    • مصادر بيانات الشبكة والهوية: تستخدم العديد من وظائف الأنظمة الأساسية السحابية الهوية في المقام الأول للتحكم في الوصول. يتضمن عنصر التحكم في الوصول هذا الوصول إلى مدخل Microsoft Azure، على الرغم من استخدام عناصر التحكم في الوصول إلى الشبكة على نطاق واسع أيضا. يتطلب التحكم في الوصول هذا من المحللين تطوير فهم لبروتوكولات الهوية السحابية للحصول على صورة كاملة وغنية لنشاط المهاجم ونشاط المستخدم المشروع لدعم التحقيق في الحوادث ومعالجتها. تختلف دلائل الهوية والبروتوكولات عن تلك المحلية. عادة ما تستند إلى SAML وOAuth وOpenID Connect ودلائل السحابة بدلا من LDAP وKerberos وNTLM وActive Directory.
    • تمارين التدريب: يمكن أن تساعد محاكاة الهجوم والاستجابة في بناء ذاكرة العضلات التنظيمية والاستعداد التقني. وهي توفر الإعداد لمحللي الأمان وصائدي التهديدات ومديري الحوادث وأصحاب المصلحة الآخرين في مؤسستك. التعلم على الوظيفة والتكيف هو جزء طبيعي من الاستجابة للحوادث، ولكن يمكنك العمل لتقليل مقدار ما يجب عليك تعلمه في الأزمات.

الموارد الرئيسية

لمزيد من المعلومات، راجع عملية الاستجابة لحوادث Azure Security Benchmark ل Azure.

5. العملية: إنشاء إدارة الوضع الأمني

أولا، تعرف نفسك.

ما هو؟

تأكد من أنك تدير الوضع الأمني لبيئة Azure بنشاط من خلال:

  • تعيين ملكية واضحة للمسؤوليات من أجل:
    • مراقبة الوضع الأمني
    • التخفيف من المخاطر على الأصول
  • أتمتة هذه المهام وتبسيطها

لماذا؟

يؤدي تحديد مخاطر النظافة الأمنية الشائعة ومعالجتها بسرعة إلى تقليل المخاطر التنظيمية بشكل كبير.

تتيح الطبيعة المعرفة بالبرامج لمراكز البيانات السحابية المراقبة المستمرة لمخاطر الأمان، مثل الثغرات الأمنية أو التكوينات الأمنية الخاطئة، مع أدوات الأصول واسعة النطاق. تؤدي السرعة التي يمكن للمطورين وفريق تكنولوجيا المعلومات بها نشر الأجهزة الظاهرية وقواعد البيانات والموارد الأخرى إلى الحاجة إلى ضمان تكوين الموارد بشكل آمن ونشط.

توفر هذه الإمكانات الجديدة إمكانيات جديدة، ولكن تحقيق القيمة منها يتطلب تعيين مسؤولية استخدامها. يتطلب التنفيذ باستمرار مع عمليات السحابة سريعة التطور الحفاظ على العمليات البشرية بسيطة وآلية قدر الإمكان. راجع مبدأ الأمان "محرك البساطة".

ملاحظة

لا يتعلق الهدف من التبسيط والأتمتة بالتخلص من الوظائف، ولكن حول إزالة عبء المهام المتكررة من الأشخاص حتى يتمكنوا من التركيز على الأنشطة البشرية ذات القيمة الأعلى مثل التفاعل مع فرق تكنولوجيا المعلومات وDevOps وتثقيفها.

من؟

وتنقسم هذه الممارسة عادة إلى مجموعتين من المسؤوليات:

  • إدارة الوضع الأمني: غالبا ما تكون هذه الوظيفة تطورا لإدارة الثغرات الأمنية الحالية أو وظائف الحوكمة. تتضمن النتيجة مراقبة الوضع الأمني العام باستخدام Microsoft Defender لدرجة أمان السحابة ومصادر البيانات الأخرى. ويشمل العمل بنشاط مع مالكي الموارد للتخفيف من المخاطر والإبلاغ عن المخاطر للقيادة الأمنية.

  • معالجة الأمان: تعيين المساءلة لمعالجة هذه المخاطر للفرق المسؤولة عن إدارة هذه الموارد. تنتمي هذه المساءلة إما إلى فرق DevOps التي تدير موارد التطبيق الخاصة بها أو الفرق الخاصة بالتكنولوجيا في عمليات تكنولوجيا المعلومات المركزية:

    • موارد الحوسبة والتطبيق
      • خدمات التطبيقات: فرق تطوير التطبيقات والأمان
      • الحاويات: تطوير التطبيقات أو عمليات البنية الأساسية/تكنولوجيا المعلومات
      • الأجهزة الظاهرية ومجموعات المقاييس والحوسبة: عمليات تكنولوجيا المعلومات/البنية الأساسية
    • موارد البيانات والتخزين
      • SQL، Redis، Data Lake Analytics، مخزن مستودع البيانات: فريق قاعدة البيانات
      • حسابات التخزين: فريق التخزين والبنية الأساسية
    • موارد الهوية والوصول
      • الاشتراكات: فرق الهوية
      • Key vault: فريق أمان الهوية أو المعلومات/البيانات
    • موارد الشبكات: فريق أمان الشبكة
    • أمان IoT: فريق عمليات IoT

كيف؟‬

الأمن هو وظيفة الجميع. ومع ذلك، لا يعرف الجميع مدى أهمية ذلك، وما يجب القيام به، وكيفية القيام بذلك.

  • محاسبة مالكي الموارد على مخاطر الأمان تماما كما تتم محاسبتهم على عوامل التوفر والأداء والتكلفة وغيرها من عوامل النجاح.
  • دعم مالكي الموارد بفهم واضح لسبب أهمية مخاطر الأمان لأصولهم، وما يمكنهم القيام به للتخفيف من المخاطر، وكيفية تنفيذها بأقل قدر من فقدان الإنتاجية.

هام

غالبا ما تتشابه تفسيرات السبب وما وكيفية تأمين الموارد عبر أنواع الموارد والتطبيقات المختلفة، ولكن من الضروري ربطها بما يعرفه كل فريق ويهتم به بالفعل. يمكن لفرق الأمان التفاعل مع نظرائها في تكنولوجيا المعلومات وDevOps كمستشار موثوق وشريك يركز على تمكين هذه الفرق من النجاح.

الأدوات: توفر درجة الأمان في Microsoft Defender للسحابة تقييما لأهم معلومات الأمان في Azure لمجموعة واسعة من الأصول. يمكن أن يكون هذا التقييم نقطة البداية الخاصة بك في إدارة الوضع ويمكن استكماله بنهج Azure المخصصة والآليات الأخرى حسب الحاجة.

التكرار: إعداد إيقاع منتظم، عادة ما يكون شهريا، لمراجعة درجة أمان Azure وتخطيط المبادرات ذات أهداف تحسين محددة. يمكن زيادة التردد حسب الحاجة.

تلميح

قم بتجميل النشاط إذا أمكن لزيادة المشاركة، مثل إنشاء مسابقات وجوائز ممتعة لفرق DevOps التي تحسن درجاتها أكثر.

لمزيد من المعلومات، راجع استراتيجية إدارة وضع الأمان لمعيار أمان Azure.

6. التكنولوجيا: طلب مصادقة بدون كلمة مرور أو مصادقة متعددة العوامل

هل أنت على استعداد للمراهنة على أمان مؤسستك على أن المهاجمين المحترفين لا يمكنهم تخمين كلمة مرور المسؤول أو سرقتها؟

ما هو؟

اطلب من جميع المسؤولين ذو التأثير الحرج استخدام مصادقة بدون كلمة مرور أو مصادقة متعددة العوامل.

لماذا؟

تماما كما أن مفاتيح الهيكل العظمي العتيقة لن تحمي المنزل من لص اليوم الحديث، لا يمكن لكلمات المرور حماية الحسابات من الهجمات الشائعة. للحصول على التفاصيل التقنية، راجع pa$$word لا يهم.

كانت المصادقة متعددة العوامل مرة واحدة خطوة إضافية مرهقة. تعمل الأساليب التي لا تتطلب كلمة مرور اليوم على تحسين كيفية تسجيل دخول المستخدمين باستخدام الأساليب البيومترية مثل التعرف على الوجه في Windows Hello والأجهزة المحمولة. بالإضافة إلى ذلك، تذكر نهج الثقة المعدومة الأجهزة الموثوق بها. يقلل هذا الأسلوب من المطالبة بإجراءات المصادقة متعددة العوامل المزعجة خارج النطاق. لمزيد من المعلومات، راجع تكرار تسجيل دخول المستخدم.

من؟

عادة ما تقود كلمة المرور والمبادرة متعددة العوامل بواسطة الهوية وإدارة المفاتيح أو بنية الأمان.

كيف؟‬

تنفيذ المصادقة بدون كلمة مرور أو مصادقة متعددة العوامل. تدريب المسؤولين على كيفية استخدامه كما يحتاجون إليه، ومطالبة المسؤولين بالمتابعة باستخدام نهج مكتوب. استخدم واحدة أو أكثر من هذه التقنيات:

ملاحظة

أصبحت المصادقة متعددة العوامل المستندة إلى الرسائل النصية الآن غير مكلفة نسبيا للمهاجمين لتجاوزها، لذا ركز على المصادقة متعددة العوامل بدون كلمة مرور وأقوى.

لمزيد من المعلومات، راجع عناصر تحكم المصادقة القوية لمعيار أمان Azure لجميع الوصول المستند إلى Azure AD.

7. التكنولوجيا: دمج جدار الحماية الأصلي وأمان الشبكة

تبسيط حماية الأنظمة والبيانات من هجمات الشبكة.

ما هو؟

تبسيط استراتيجية أمان الشبكة وصيانتها من خلال دمج جدار حماية Azure وجدار حماية تطبيق الويب Azure (WAF) والتخفيفات الموزعة لحجب الخدمة (DDoS) في نهج أمان الشبكة.

لماذا؟

تعد البساطة أمرا بالغ الأهمية للأمان لأنها تقلل من احتمالية المخاطر من الارتباك والتكوينات الخاطئة والأخطاء البشرية الأخرى. راجع مبدأ الأمان "محرك البساطة".

تعد جدران الحماية وWAFs عناصر تحكم أمان أساسية مهمة لحماية التطبيقات من نسبة استخدام الشبكة الضارة، ولكن يمكن أن يكون إعدادها وصيانتها معقدين ويستهلكان قدرا كبيرا من وقت فريق الأمان واهتمامه (على غرار إضافة أجزاء ما بعد البيع المخصصة إلى سيارة). يمكن أن تبسط القدرات الأصلية ل Azure تنفيذ وتشغيل جدران الحماية وجدران حماية تطبيقات الويب والتخفيف الموزعة من رفض الخدمة (DDoS) والمزيد.

يمكن لهذه الممارسة تحرير وقت فريقك واهتمامه لمهام الأمان ذات القيمة الأعلى مثل:

  • تقييم أمان خدمات Azure
  • أتمتة عمليات الأمان
  • دمج الأمان مع التطبيقات وحلول تكنولوجيا المعلومات

من؟

  • الرعاية: عادة ما ترعى القيادة الأمنية أو قيادة تكنولوجيا المعلومات تحديث استراتيجية أمان الشبكة.
  • التنفيذ: دمج الاستراتيجيات في استراتيجية أمان شبكة السحابة الخاصة بك هو جهد تعاوني يتضمن:
    • بنية الأمان: إنشاء بنية أمان الشبكة السحابية مع الشبكة السحابية وعناصر عملاء متوقعين لأمان الشبكة السحابية.
    • تقود شبكة السحابة عمليات تكنولوجيا المعلومات المركزيةويقود أمان شبكة السحابة فريق أمان البنية الأساسية
      • إنشاء بنية أمان الشبكة السحابية مع مهندسي الأمان.
      • تكوين قدرات جدار الحماية وNSG و WAF والعمل مع مهندسي التطبيقات على قواعد WAF.
    • مهندسو التطبيقات: العمل مع أمان الشبكة لإنشاء مجموعات قواعد WAF وتكوينات DDoS وتحسينها لحماية التطبيق دون تعطيل التوفر

كيف؟‬

المؤسسات التي تريد تبسيط عملياتها لديها خياران:

  • توسيع القدرات والبنى الحالية: غالبا ما تختار العديد من المؤسسات توسيع استخدام قدرات جدار الحماية الحالية حتى تتمكن من الاستفادة من الاستثمارات الحالية في المهارات وتكامل العمليات، خاصة لأنها تعتمد السحابة أولا.
  • تبني عناصر تحكم الأمان الأصلية: بدأت المزيد من المؤسسات تفضل استخدام عناصر التحكم الأصلية لتجنب تعقيد دمج قدرات الجهات الخارجية. تسعى هذه المؤسسات عادة إلى تجنب مخاطر التكوين الخاطئ في موازنة التحميل والمسارات المعرفة من قبل المستخدم وجدار الحماية أو WAF نفسه والتأخير في التسليمات بين فرق تقنية مختلفة. هذا الخيار مقنع للمؤسسات التي تتبنى البنية الأساسية مع اقتراب التعليمات البرمجية حيث يمكنها أتمتة القدرات المضمنة واستخدامها بسهولة أكبر من قدرات الجهات الخارجية.

يمكن العثور على وثائق حول إمكانات أمان شبكة Azure الأصلية في:

يتضمن Azure Marketplace العديد من موفري جدار الحماية التابعين لجهة خارجية.

لمزيد من المعلومات، راجع حماية Azure Security Benchmark DDOSوحماية جدار حماية تطبيق الويب.

8. التكنولوجيا: دمج الكشف عن التهديدات الأصلية

تبسيط الكشف عن الهجمات ضد أنظمة Azure وبياناتها والاستجابة لها.

ما هو؟

تبسيط استراتيجية الكشف عن التهديدات والاستجابة لها من خلال دمج قدرات الكشف عن التهديدات الأصلية في عمليات الأمان و SIEM.

لماذا؟

الغرض من عمليات الأمان هو تقليل تأثير المهاجمين النشطين الذين يمكنهم الوصول إلى البيئة. يتم قياس التأثير حسب الوقت المناسب للإقرار (MTTA) ومعالجة الحوادث (MTTR). تتطلب هذه الممارسة كل من الدقة والسرعة في جميع عناصر الاستجابة للحوادث. تساعد النتيجة على ضمان جودة الأدوات وكفاءة تنفيذ العملية أمران بالغان الأهمية.

من الصعب الحصول على اكتشافات عالية للتهديدات باستخدام الأدوات والنهج الحالية. تم تصميم الأدوات والنهج للكشف عن التهديدات المحلية بسبب الاختلافات في تكنولوجيا السحابة وسرعة وتيرة التغيير. توفر عمليات الكشف المتكاملة في الأصل حلول النطاق الصناعي التي يحتفظ بها موفرو السحابة الذين يمكنهم مواكبة التهديدات الحالية وتغييرات النظام الأساسي السحابي.

تمكن هذه الحلول الأصلية فرق عمليات الأمان من التركيز على التحقيق في الحوادث ومعالجتها. ركز على هذه العناصر بدلا من إضاعة الوقت عن طريق إنشاء تنبيهات من بيانات السجل غير المألوفة ودمج الأدوات ومهام الصيانة.

من؟

عادة ما يقوده فريق عمليات الأمان .

  • الرعاية: عادة ما تتم رعاية هذا العمل من قبل مدير عمليات الأمان أو الدور المكافئ.
  • التنفيذ: يعد دمج الكشف عن التهديدات الأصلية جهدا تعاونيا يتضمن تلك الحلول من خلال:

كيف؟‬

قم بتمكين الكشف عن التهديدات في Microsoft Defender للسحابة لجميع الموارد التي تستخدمها وادمج كل فريق هذه الموارد في عملياته كما هو موضح أعلاه.

لمزيد من المعلومات، راجع الكشف عن تهديدات Azure Security Benchmark لموارد Azure.

9. البنية: توحيد على دليل واحد وهوية واحدة

لا أحد يريد التعامل مع هويات ودلائل متعددة.

ما هو؟

توحيد دليل Azure AD واحد. يمكنك توحيد هوية واحدة لكل تطبيق ومستخدم في Azure.

ملاحظة

تشير أفضل الممارسات هذه على وجه التحديد إلى موارد المؤسسة. بالنسبة لحسابات الشركاء، استخدم Azure AD B2B حتى لا تضطر إلى إنشاء الحسابات وصيانتها في دليلك. بالنسبة لحسابات العملاء أو المواطنين، استخدم Azure AD B2C لإدارتها.

لماذا؟

تنشئ الحسابات المتعددة ودلائل الهوية احتكاكا غير ضروري، ما يخلق ارتباكا في مهام سير العمل اليومية من أجل:

  • مستخدمو الإنتاجية
  • المطورون
  • مسؤولو تكنولوجيا المعلومات والهوية
  • محللو الأمان
  • أدوار أخرى

تؤدي إدارة حسابات ودلائل متعددة إلى خلق حافز للممارسات الأمنية السيئة. تتضمن هذه الممارسات أشياء مثل إعادة استخدام كلمة المرور عبر الحسابات. يزيد من احتمالية الحسابات القديمة أو المهجورة التي يمكن للمهاجمين استهدافها.

في حين أنه يبدو أحيانا من الأسهل الوقوف بسرعة في دليل LDAP مخصص لتطبيق معين أو حمل عمل معين، فإن هذا الإجراء ينشئ المزيد من العمل للتكامل والإدارة. يشبه هذا العمل اختيار إعداد مستأجر Azure إضافي أو غابة Active Directory محلي بدلا من استخدام مستأجر المؤسسة الحالي. لمزيد من المعلومات، راجع مبدأ الأمان لدفع البساطة.

من؟

غالبا ما يكون توحيد دليل Azure AD واحد جهدا عبر الفريق. يعتمد هذا الجهد على بنية الأمان أو فرق إدارة الهوية والمفتاح .

كيف؟‬

اعتماد نهج عملي يبدأ بقدرات جديدة في الحقل الأخضر. بعد ذلك، قم بتنظيف التحديات باستخدام الحقل البني للتطبيقات والخدمات الحالية كتمرين متابعة:

  • Greenfield: إنشاء نهج واضح وتنفيذه بأن جميع هوية المؤسسة يمكنها استخدام دليل Azure AD واحد مع حساب واحد لكل مستخدم.

  • Brownfield: غالبا ما يكون لدى العديد من المؤسسات العديد من الدلائل القديمة وأنظمة الهوية. معالجة هذه العناصر القديمة عندما تتجاوز تكلفة احتكاك الإدارة المستمر الاستثمار لتنظيفه. في حين أن حلول إدارة الهوية والمزامنة يمكن أن تخفف من بعض هذه المشكلات، فإنها تفتقر إلى التكامل العميق لميزات الأمان والإنتاجية. تتيح هذه الميزات تجربة سلسة للمستخدمين والمسؤولين والمطورين.

الوقت المثالي للجمع بين استخدامك للهوية هو أثناء دورات تطوير التطبيق كما كنت:

  • تحديث التطبيقات للسحابة.
  • تحديث التطبيقات السحابية باستخدام عمليات DevOps.

في حين أن هناك أسبابا وجيهة لدليل منفصل لوحدات العمل المستقلة أو المتطلبات التنظيمية، تجنب دلائل متعددة في جميع الظروف الأخرى.

لمزيد من المعلومات، راجع Azure Security Benchmark Azure AD نظام الهوية والمصادقة المركزي.

هام

الاستثناء الوحيد لقاعدة الحسابات الفردية هو أن المستخدمين المتميزين، بما في ذلك مسؤولو تكنولوجيا المعلومات ومحللي الأمان، يمكن أن يكون لديهم حسابات منفصلة لمهام المستخدم القياسية مقارنة بالمهام الإدارية.

لمزيد من المعلومات، راجع الوصول المتميز لمعيار أمان Azure.

10. البنية: استخدام التحكم في الوصول المستند إلى الهوية بدلا من المفاتيح

ما هو؟

استخدم الهويات Azure AD بدلا من المصادقة المستندة إلى المفتاح حيثما أمكن ذلك. على سبيل المثال، خدمات Azure والتطبيقات وواجهات برمجة التطبيقات.

لماذا؟

يمكن استخدام المصادقة المستندة إلى المفتاح للمصادقة على الخدمات السحابية وواجهات برمجة التطبيقات. ولكنه يتطلب إدارة المفاتيح بشكل آمن، وهو أمر صعب القيام به بشكل جيد، خاصة على نطاق واسع. إدارة المفاتيح الآمنة صعبة على المهنيين غير الأمنيين مثل المطورين ومحترفي البنية الأساسية وغالبا ما يفشلون في القيام بذلك بشكل آمن، وغالبا ما يخلقون مخاطر أمنية كبيرة للمؤسسة.

المصادقة المستندة إلى الهوية تتغلب على العديد من هذه التحديات مع قدرات ناضجة. وتشمل القدرات التناوب السري وإدارة دورة الحياة والتفويض الإداري والمزيد.

من؟

غالبا ما يكون تنفيذ التحكم في الوصول المستند إلى الهوية جهدا عبر الفريق. يعتمد هذا الجهد على بنية الأمان أو فرق إدارة الهوية والمفتاح .

كيف؟‬

يتطلب تعيين تفضيل تنظيمي وعادة لاستخدام المصادقة المستندة إلى الهوية اتباع عملية وتمكين التكنولوجيا.

العملية

  1. إنشاء نهج ومعايير تحدد بوضوح المصادقة الافتراضية المستندة إلى الهوية والاستثناءات المقبولة.
  2. تثقيف المطورين وفرق البنية الأساسية حول سبب استخدام النهج الجديد، وما يحتاجون إلى القيام به، وكيفية القيام بذلك.
  3. تنفيذ التغييرات بطريقة عملية من خلال البدء بقدرات greenfield الجديدة التي يتم اعتمادها الآن وفي المستقبل، مثل خدمات Azure الجديدة والتطبيقات الجديدة، ثم المتابعة بتنظيف تكوينات brownfield الحالية.
  4. مراقبة التوافق والمتابعة مع فرق المطورين والبنية التحتية للمعالجة.

التقنيات

بالنسبة للحسابات غير البشرية مثل الخدمات أو الأتمتة، استخدم الهويات المدارة. يمكن للهويات المدارة من Azure المصادقة على خدمات وموارد Azure التي تدعم مصادقة Azure AD. يتم تمكين المصادقة من خلال قواعد منح الوصول المعرفة مسبقا، وتجنب بيانات الاعتماد المضمنة في التعليمات البرمجية المصدر أو ملفات التكوين.

بالنسبة للخدمات التي لا تدعم الهويات المدارة، استخدم Azure AD لإنشاء كيان خدمة بأذونات مقيدة على مستوى المورد بدلا من ذلك. يجب عليك تكوين كيانات الخدمة مع بيانات اعتماد الشهادة والتراجع عن أسرار العميل. في كلتا الحالتين، يمكن استخدام Key Vault Azure مع الهويات المدارة من Azure، بحيث يمكن لبيئة وقت التشغيل، مثل دالة Azure، استرداد بيانات الاعتماد من مخزن المفاتيح.

لمزيد من المعلومات، راجع هويات تطبيق Azure Security Benchmark.

11. البنية: إنشاء استراتيجية أمان موحدة واحدة

يحتاج الجميع إلى الصف في نفس الاتجاه للقارب للمضي قدما.

ما هو؟

تأكد من محاذاة جميع الفرق إلى استراتيجية واحدة تسمح بأنظمة وبيانات المؤسسة وتؤمنها.

لماذا؟

عندما تعمل الفرق بمعزل عن بعضها البعض دون المواءمة مع استراتيجية مشتركة، يمكن أن تضعف إجراءاتها الفردية جهود بعضها البعض عن غير قصد. يمكن أن يؤدي عدم المواءمة إلى احتكاك غير ضروري يبطئ التقدم مقابل أهداف الجميع.

أحد الأمثلة على الفرق التي تعمل بمعزل عن بعضها والتي لعبت بشكل متسق في العديد من المؤسسات هو تجزئة الأصول:

  • أمان الشبكة: تطوير استراتيجية لتقسيم شبكة ثابتة. تزيد الاستراتيجية من الأمان، وغالبا ما تستند إلى المواقع الفعلية أو عناوين/نطاقات عناوين IP المعينة أو العناصر المماثلة.
  • فريق الهوية: يطور استراتيجية للمجموعات والوحدات التنظيمية ل Active Directory (OUs) بناء على فهمها ومعرفتها بالمؤسسة.
  • فرق التطبيق: تجد صعوبة في العمل مع هذه الأنظمة. من الصعب لأنها تم تصميمها مع مدخلات وفهم محدودين للعمليات التجارية والأهداف والمخاطر.

في المؤسسات التي يحدث فيها هذا القيد، تواجه الفرق تعارضات بشكل متكرر على استثناءات جدار الحماية. يمكن أن تؤثر التعارضات سلبا على الأمان لأن الفرق توافق على الاستثناءات. تؤثر الإنتاجية سلبا على الأمان لأن عمليات التوزيع تتباطأ في وظائف التطبيق التي تحتاجها الأعمال.

في حين أن الأمن يمكن أن يخلق احتكاكا صحيا من خلال فرض التفكير النقدي، إلا أن هذا الصراع لا يخلق سوى احتكاك غير صحي يعيق الأهداف. لمزيد من المعلومات، راجع إرشادات استراتيجية الأمان.

من؟

  • الرعاية: عادة ما تتم مسؤولية الاستراتيجية الموحدة من قبل رئيس قسم المعلومات و CISO و CTO. غالبا ما تأتي الرعاية مع دعم قيادة الأعمال لبعض العناصر رفيعة المستوى ويدافع عنها ممثلون من كل فريق.
  • التنفيذ: يجب تنفيذ استراتيجية الأمان من قبل الجميع. وهو يدمج البيانات من فرق مختلفة لزيادة الملكية والشراء واحتمال النجاح.
    • بنية الأمان: يقود هذا الفريق الجهد لبناء استراتيجية الأمان والهندسة الناتجة. تجمع بنية الأمان بشكل نشط الملاحظات من الفرق وتوثقها في العروض التقديمية والمستندات والرسومات التخطيطية لمختلف الجماهير.
    • النهج والمعايير: يلتقط هذا الفريق العناصر المناسبة في المعايير والنهج ثم يراقب الامتثال.
    • جميع فرق تكنولوجيا المعلومات والأمان التقنية: توفر هذه الفرق متطلبات الإدخال، ثم تتوافق مع استراتيجية المؤسسة وتنفذها.
    • مالكو التطبيقات ومطوروها: تقرأ هذه الفرق وثائق الاستراتيجية التي تنطبق عليها وتفهمها. من الناحية المثالية، فإنها تصمم إرشادات لدورها.

كيف؟‬

إنشاء وتنفيذ استراتيجية أمان للسحابة تتضمن مدخلات ومشاركة نشطة من جميع الفرق. بينما يمكن أن يختلف تنسيق وثائق العملية، فإنه يتضمن دائماً:

  • الإدخال النشط من الفرق: تفشل الاستراتيجيات عادة إذا لم يشترها الأشخاص في المؤسسة. من الناحية المثالية، احصل على جميع الفرق في نفس الغرفة لبناء الاستراتيجية بشكل تعاوني. في ورش العمل التي نجريها مع العملاء، غالباً ما نجد أن المؤسسات تعمل في صوامع فعلية، وغالباً ما تؤدي هذه الاجتماعات إلى اجتماع الأشخاص بعضهم البعض للمرة الأولى. ونجد أن الشمولية تعد متطلباً لا غنى عنه. إذا لم تتم دعوة بعض الفرق، يجب عادة تكرار هذا الاجتماع حتى ينضم إليه جميع المشاركين. إذا لم ينضموا، فلن يمضي المشروع قدمًا.
  • موثق ومتواصل بوضوح: يجب أن يكون لدى جميع الفرق وعي باستراتيجية الأمان. من الناحية المثالية، تعد استراتيجية الأمان مكوناً أمنياً لاستراتيجية التكنولوجيا الشاملة. تتضمن هذه الاستراتيجية سبب دمج الأمان، وما هو المهم في الأمان، وما يبدو عليه نجاح الأمان. تتضمن هذه الاستراتيجية إرشادات محددة لفرق التطبيقات والتطوير حتى يتمكنوا من الحصول على إرشادات واضحة ومنظمة دون الحاجة إلى قراءة المعلومات غير ذات الصلة.
  • مستقر، ولكنه مرن: حافظ على الاستراتيجيات متسقة ومستقرة نسبيا، ولكن قد تحتاج البنيات والوثائق إلى إضافة الوضوح واستيعاب الطبيعة الديناميكية للسحابة. على سبيل المثال، ستظل تصفية نسبة استخدام الشبكة الخارجية الضارة متسقة كضرورة استراتيجية حتى إذا انتقلت من استخدام جدار حماية الجيل التالي لجهة خارجية إلى جدار حماية Azure وتعديل الرسومات التخطيطية والإرشادات حول كيفية القيام بذلك.
  • ابدأ بالتجزئة: هناك مشكلات استراتيجية كبيرة وصغيرة لمعالجتها، ولكنك تحتاج إلى البدء في مكان ما. ابدأ استراتيجية الأمان مع تجزئة أصول المؤسسة. هذا التقسيم هو قرار أساسي قد يكون من الصعب تغييره لاحقا ويتطلب إدخالات الأعمال والعديد من الفرق التقنية.

نشرت Microsoft إرشادات فيديو لتطبيق استراتيجية تجزئة على Azure. هناك مستندات منشورة حول تجزئة المؤسسةومواءمة أمان الشبكة معها.

يتضمن Cloud Adoption Framework إرشادات لمساعدة فرقك في:

لمزيد من المعلومات، راجع استراتيجية إدارة معيار أمان Azure.