توصيات لتقوية الموارد

  • مقالة

ينطبق على توصية قائمة التحقق من أمان Azure Well-Architected Framework هذه:

SE:08 تقوية جميع مكونات حمل العمل عن طريق تقليل مساحة السطح الغريبة وتشديد التكوينات لزيادة تكلفة المهاجم.

يصف هذا الدليل توصيات تقوية الموارد من خلال تطوير عناصر تحكم مترجمة داخل حمل العمل والحفاظ عليها لتحمل الهجمات المتكررة.

تصلب الأمن هو ممارسة متعمدة للحفاظ على الذات. الهدف هو تقليل سطح الهجوموزيادة تكاليف المهاجمين في مناطق أخرى، ما يحد من فرص المستخدمين الضارين لاستغلال نقاط الضعف. لحماية حمل العمل الخاص بك، نفذ أفضل ممارسات الأمان وتكويناته.

إن تصلب الأمن عملية مستمرة تتطلب الرصد المستمر والتكيف مع التهديدات والثغرات الأمنية المتطورة.

التعريفات

المصطلح التعريف
تصلب ممارسة تقليل مساحة سطح الهجوم عن طريق إزالة الموارد الغريبة أو ضبط التكوينات.
محطة عمل الوصول المتميز (PAW) جهاز مخصص وآمن تستخدمه لأداء المهام الحساسة، ما يقلل من مخاطر الاختراق.
تأمين محطة العمل الإدارية (SAW) محطة العمل ذات امتياز متخصصة تستخدمها حسابات التأثيرات الحرجة.
المساحه بصمة منطقية لحمل العمل الذي يحتوي على ثغرات أمنية.

استراتيجيات التصميم الرئيسية

تقوية الأمان هو تمرين مترجم للغاية يعزز عناصر التحكم على مستوى المكون، سواء كانت موارد أو عمليات. عند تشديد أمان كل مكون، فإنه يحسن ضمان الأمان الكلي لحمل العمل الخاص بك.

لا يأخذ تصلب الأمان في الاعتبار وظائف حمل العمل، ولا يكشف عن التهديدات أو يقوم بإجراء فحص تلقائي. يركز تصلب الأمان على ضبط التكوين مع عقلية افتراض الخرق والدفاع المتعمق. الهدف هو جعل من الصعب على المهاجم التحكم في النظام. يجب ألا يغير التصلب الأداة المساعدة المقصودة لحمل العمل أو عملياته.

الخطوة الأولى من عملية التصلب هي جمع مخزون شامل لجميع أصول الأجهزة والبرامج والبيانات. احتفظ بسجلات المخزون محدثة عن طريق إضافة أصول جديدة وإزالة الأصول التي تم إيقاف تشغيلها. بالنسبة لجميع الأصول في مخزونك، ضع في اعتبارك أفضل الممارسات التالية:

  • تقليل البصمة. إزالة مساحة سطح غريبة أو تقليل النطاق. القضاء على الأهداف السهلة، أو ناقلات الهجوم الرخيصة والراسخة، مثل مآثر البرامج غير الموضعية وهجمات القوة الغاشمة. قبل نشر الإنتاج، يجب تنظيف الهويات وإنشاء المكونات والأصول الأخرى غير الطلبية من شجرة المصدر.

  • ضبط التكوينات. تقييم وتشديد مساحة السطح المتبقية. عندما يتم تقوية الموارد، لم تعد الطرق المجربة والمختبرة التي يستخدمها المهاجمون ناجحة. يفرض على المهاجمين الحصول على أساليب هجوم متقدمة أو غير مختبرة واستخدامها، ما يزيد من تكاليفهم.

  • الحفاظ على الدفاعات. الحفاظ على تدابير الحماية من خلال إجراء الكشف المستمر عن التهديدات للمساعدة في ضمان الاعتماد على جهود التقوية بمرور الوقت.

ضع في اعتبارك أيضا العوامل التالية.

مصدر موثوق به. يتضمن جزء من تمرين التصلب سلسلة توريد البرامج. يفترض هذا التوجيه أنه يتم الحصول على جميع المكونات من مصادر موثوق بها. يجب على مؤسستك الموافقة على البرامج التي يتم شراؤها من موردي الجهات الخارجية. تنطبق هذه الموافقة على مصادر نظام التشغيل والصور وأدوات الجهات الخارجية الأخرى. بدون موارد موثوق بها، يمكن أن يكون التصلب استنزافا لا نهائيا لضمانات الأمان على مصادر غير موثوق بها.

للحصول على توصيات حول الأمان لسلسلة التوريد الخاصة بك، راجع توصيات لتأمين دورة حياة التطوير.

التدريب. التصلب هو مهارة متخصصة. إنها منهجية وتتطلب مستوى عال من الكفاءة. تحتاج إلى فهم وظائف المكون وكيفية تأثير التغييرات على المكون. يجب أن يكون عضو الفريق قادرا على تمييز التوجيهات من خبراء الصناعة والمنصة لتمييزها عن التوجيه من المصادر غير المؤكدة. تثقيف أعضاء فريقك في إنشاء ثقافة مدركة للأمان. تأكد من أن فريقك بارع في أفضل ممارسات الأمان، ولديه وعي بالتهديدات المحتملة، ويتعلم من بأثر رجعي بعد الحدث.

الوثائق. توثيق ونشر متطلبات التصلب والقرارات والأساليب المحددة. للشفافية، قم أيضا بوثيق الاستثناءات أو الانحرافات عن تلك المتطلبات.

يمكن أن يكون التصلب مرهقا، ولكنه تمرين أمني حاسم يجب توثيقه. تقوية المكونات الأساسية أولا، ثم التوسع إلى مجالات أخرى، مثل العمليات الآلية والعمليات البشرية، لتضييق الفجوات المحتملة. كن دقيقا بشأن التغييرات. على سبيل المثال، الخطوة الضرورية هي تعطيل الإعدادات الافتراضية لأن التغييرات على القيم الافتراضية لا يمكن أن تؤثر على استقرار النظام. حتى إذا كان تكوين الاستبدال هو نفسه الإعداد الافتراضي، يجب تعريفه. تصف الأقسام التالية الأهداف الشائعة للتصلب. قم بتقييم مجالات التصميم الرئيسية لحمل العمل الخاص بك واتبع الاستراتيجيات الرئيسية للتصلب على مستوى المكون.

الشبكات

قسم الشبكة إلى شرائح لعزل الأصول الهامة والبيانات الحساسة عن الأصول الأقل أمانا، ما يقلل من الحركات الجانبية من قبل المهاجمين. في هذه المقاطع، قم بتطبيق نهج الرفض بشكل افتراضي . أضف الوصول إلى قائمة السماح فقط إذا كان مبررا.

تعطيل المنافذ والبروتوكولات غير المستخدمة بنشاط. على سبيل المثال، في Azure App Service، إذا لم تكن بحاجة إلى التوزيع عبر FTP، يمكنك تعطيله. أو إذا قمت بإجراء عمليات إدارة عبر شبكة داخلية، يمكنك تعطيل الوصول الإداري من الإنترنت.

إزالة البروتوكولات القديمة أو تعطيلها. يستغل المهاجمون الأنظمة التي تستخدم الإصدارات القديمة. استخدم خدمة الكشف عن Azure لمراجعة السجلات وتحديد استخدام البروتوكول. قد يكون من الصعب إزالة البروتوكولات لأنه يمكن أن يعطل وظائف النظام. اختبر جميع التغييرات قبل التنفيذ للتخفيف من مخاطر الانقطاع التشغيلي.

تعامل مع عناوين IP العامة (PIP) كأصول عالية المخاطر لأنها سهلة الوصول إليها ولها نطاق واسع في جميع أنحاء العالم. لتقليل التعرض، قم بإزالة الوصول غير الضروري إلى الإنترنت إلى حمل العمل. استخدم عناوين IP العامة المشتركة التي توفرها خدمات Microsoft، مثل Azure Front Door. تم تصميم هذه الخدمات لتكون مواجهة للإنترنت، وتحظر الوصول إلى البروتوكولات غير المسموح بها. تقوم العديد من هذه الخدمات بإجراء فحوصات أولية على الطلبات الواردة على حافة الشبكة. باستخدام PIP مخصص، أنت مسؤول عن إدارة جوانب الأمان الخاصة به، والسماح بالمنافذ أو حظرها، ومسح الطلبات الواردة ضوئيا لضمان صلاحيتها.

بالنسبة للتطبيقات التي تواجه الإنترنت، قم بتقييد الوصول عن طريق إضافة خدمة الطبقة 7 التي يمكنها تصفية نسبة استخدام الشبكة غير الصالحة. استكشف الخدمات الأصلية التي تفرض حماية رفض الخدمة الموزعة (DDoS)، وامتلك جدران حماية لتطبيق الويب، وتوفر الحماية على الحافة قبل وصول نسبة استخدام الشبكة إلى طبقة التطبيق.

يعد تصلب نظام أسماء المجالات (DNS) ممارسة أمان شبكة أخرى. للتأكد من أن البنية الأساسية ل DNS آمنة، نوصي باستخدام محللات DNS الموثوق بها. للتحقق من صحة المعلومات من محللات DNS وتوفير طبقة إضافية من الأمان، عندما يكون ذلك ممكنا، استخدم بروتوكول أمان DNS لمناطق DNS شديدة الحساسية. لمنع هجمات مثل التسمم بذاكرة التخزين المؤقت ل DNS وهجمات DDoS وهجمات التضخيم، استكشف عناصر التحكم الأمنية الأخرى المتعلقة ب DNS مثل تحديد معدل الاستعلام والحد من معدل الاستجابة وملفات تعريف الارتباط DNS.

الهوية

إزالة الحسابات غير المستخدمة أو الافتراضية. تعطيل أساليب المصادقة والتخويل غير المستخدمة.

تعطيل أساليب المصادقة القديمة لأنها ناقلات هجوم بشكل متكرر. غالبا ما تفتقر البروتوكولات القديمة إلى تدابير مضادة للهجوم، مثل تأمين الحساب. قم بإضفاء الطابع الخارجي على متطلبات المصادقة الخاصة بك لموفر الهوية (IdP)، مثل Microsoft Entra ID.

يفضل الاتحاد على إنشاء هويات مكررة. إذا تم اختراق الهوية، فمن الأسهل إبطال وصولها عندما تتم إدارتها مركزيا.

فهم قدرات النظام الأساسي للمصادقة والتخويل المحسنين. تقوية عناصر التحكم في الوصول من خلال الاستفادة من المصادقة متعددة العوامل والمصادقة بدون كلمة مرور والوصول المشروط والميزات الأخرى التي Microsoft Entra ID توفرها للتحقق من الهوية. يمكنك إضافة حماية إضافية حول أحداث تسجيل الدخول وتقليل النطاق الذي يمكن للمهاجم فيه تقديم طلب.

استخدم الهويات المدارة وهويات حمل العمل بدون بيانات اعتماد حيثما أمكن ذلك. يمكن تسريب بيانات الاعتماد. لمزيد من المعلومات، راجع توصيات لحماية أسرار التطبيق.

استخدم نهج أقل الامتيازات لعمليات الإدارة الخاصة بك. قم بإزالة تعيينات الأدوار غير الضرورية وإجراء مراجعات وصول Microsoft Entra منتظمة. استخدم أوصاف تعيين الدور للاحتفاظ بسجل ورقي من المبررات، وهو أمر بالغ الأهمية للتدقيق.

موارد السحابة

تنطبق توصيات التصلب السابقة للشبكات والهوية على الخدمات السحابية الفردية. بالنسبة للشبكات، انتبه جيدا إلى جدران الحماية على مستوى الخدمة، وقم بتقييم قواعدها الواردة.

اكتشاف وتعطيل القدرات أو الميزات غير المستخدمة ، مثل الوصول إلى مستوى البيانات غير المستخدم وميزات المنتج، التي قد تغطيها المكونات الأخرى. على سبيل المثال، تدعم App Service Kudu، الذي يوفر عمليات توزيع FTP وتصحيح الأخطاء عن بعد والميزات الأخرى. إذا لم تكن بحاجة إلى هذه الميزات، فقم بإيقاف تشغيلها.

تابع دائما مخطط Azure وخريطة طريق حمل العمل. تطبيق التحديثات الجزئية وتعيين الإصدارات التي تقدمها خدمات Azure. السماح بالتحديثات المقدمة من النظام الأساسي والاشتراك في قنوات التحديث التلقائية.

المخاطر: غالبا ما يكون لموارد السحابة متطلبات للعلاوات أو يجب تشغيلها في تكوينات موثقة ليتم اعتبارها مدعومة. يمكن أن تتسبب بعض تقنيات التصلب، مثل حظر نسبة استخدام الشبكة الصادرة بقوة، في وقوع الخدمة خارج التكوين المدعوم، حتى إذا كانت الخدمة تعمل بشكل طبيعي. فهم متطلبات وقت تشغيل كل مورد سحابي من النظام الأساسي الخاص بك للتأكد من الحفاظ على الدعم لهذا المورد.

التطبيقات

تقييم المناطق التي قد يتسرب فيها تطبيقك المعلومات عن غير قصد. على سبيل المثال، افترض أن لديك واجهة برمجة تطبيقات تسترد معلومات المستخدم. قد يكون للطلب معرف مستخدم صالح، ويرجع التطبيق الخاص بك خطأ 403. ولكن مع معرف عميل غير صالح، يرجع الطلب خطأ 404. ثم تقوم بتسريب معلومات حول معرفات المستخدم بشكل فعال.

قد تكون هناك حالات أكثر دقة. على سبيل المثال، زمن انتقال الاستجابة بمعرف مستخدم صالح أعلى من معرف عميل غير صالح.

ضع في اعتبارك تنفيذ تصلب التطبيق في المجالات التالية:

  • التحقق من صحة الإدخال وتعقيمه: منع هجمات الحقن مثل حقن SQL والبرمجة النصية عبر المواقع (XSS) عن طريق التحقق من صحة جميع مدخلات المستخدم وتعقيمها. أتمتة تعقيم الإدخال باستخدام مكتبات وأطر عمل التحقق من صحة الإدخال.

  • إدارة الجلسة: حماية معرفات الجلسة والرموز المميزة من هجمات السرقة أو تثبيت الجلسة باستخدام تقنيات إدارة الجلسة الآمنة. تنفيذ مهلات الجلسة، وفرض إعادة المصادقة للإجراءات الحساسة.

  • إدارة الأخطاء: تنفيذ معالجة الأخطاء المخصصة لتقليل تعريض المعلومات الحساسة للمهاجمين. تسجيل الأخطاء بأمان ومراقبة هذه السجلات للنشاط المشبوه.

  • عناوين أمان HTTP: التخفيف من الثغرات الأمنية الشائعة على الويب باستخدام عناوين الأمان في استجابات HTTP، مثل نهج أمان المحتوى (CSP) وX-Content-Type-Options وX-Frame-Options.

  • أمان واجهة برمجة التطبيقات: قم بتأمين واجهات برمجة التطبيقات الخاصة بك باستخدام آليات المصادقة والتخويل المناسبة. لتحسين الأمان بشكل أكبر، قم بتنفيذ تحديد المعدل والتحقق من صحة الطلب وعناصر التحكم في الوصول لنقاط نهاية واجهة برمجة التطبيقات.

اتبع ممارسات الترميز الآمنة عند تطوير التطبيقات وصيانتها. إجراء مراجعات التعليمات البرمجية بانتظام وفحص التطبيقات بحثا عن الثغرات الأمنية. لمزيد من المعلومات، راجع توصيات تأمين دورة حياة التطوير.

عمليات الإدارة

قم أيضا بتقوية الموارد الأخرى غير المتعلقة بوقت التشغيل. على سبيل المثال، قم بتقليل بصمة عمليات البناء الخاصة بك عن طريق أخذ مخزون لجميع الأصول وإزالة الأصول غير المستخدمة من البنية الأساسية لبرنامج ربط العمليات التجارية الخاصة بك. بعد ذلك، اسحب المهام التي يتم نشرها بواسطة مصادر موثوقة، وقم بتشغيل المهام التي تم التحقق من صحتها فقط.

حدد ما إذا كنت بحاجة إلى وكلاء بناء مستضافين من Microsoft أو مستضافين ذاتيا. يحتاج وكلاء البناء المستضافون ذاتيا إلى إدارة إضافية ويجب تقويةهم.

من منظور إمكانية المراقبة، قم بتنفيذ عملية لمراجعة السجلات للانتهاكات المحتملة. مراجعة قواعد التحكم في الوصول وتحديثها بانتظام استنادا إلى سجلات الوصول. العمل مع الفرق المركزية لتحليل سجلات إدارة أحداث معلومات الأمان (SIEM) والاستجابة التلقائية لتنسيق الأمان (SOAR) للكشف عن الحالات الشاذة.

ضع في اعتبارك طلب PAWs أو SAWs لعمليات الإدارة المتميزة. PAWs وSAWs هي أجهزة مادية متشددة توفر مزايا أمنية كبيرة، ولكن تنفيذها يتطلب تخطيطا وإدارة دقيقين. لمزيد من المعلومات، راجع تأمين الأجهزة كجزء من قصة الوصول المتميز.

تسهيل Azure

يوفر Microsoft Defender للسحابة العديد من قدرات التقوية:

يقدم مركز أمان الإنترنت (CIS) صورا متصلبة في Azure Marketplace.

يمكنك استخدام Azure VM Image Builder لإنشاء عملية قابلة للتكرار لصور نظام التشغيل المتصلبة. Common Base Linux-Mariner هو توزيع Linux متصلب تم تطويره بواسطة Microsoft يتبع معايير الأمان وشهادات الصناعة. يمكنك استخدامه مع منتجات البنية الأساسية ل Azure لإنشاء تطبيقات حمل العمل.

مثال

الإجراء التالي هو مثال على كيفية تقوية نظام التشغيل:

  1. تقليل البصمة. إزالة المكونات غير الضرورية في صورة. قم بتثبيت ما تحتاج إليه فقط.

  2. ضبط التكوينات. تعطيل الحسابات غير المستخدمة. يحتوي التكوين الافتراضي لأنظمة التشغيل على حسابات إضافية مرتبطة بمجموعات الأمان. إذا لم تستخدم هذه الحسابات، فقم بتعطيلها أو إزالتها من النظام. الهويات الإضافية هي متجهات التهديد التي يمكن استخدامها للوصول إلى الخادم.

    تعطيل الوصول غير الضروري إلى نظام الملفات. تشفير نظام الملفات وضبط عناصر التحكم في الوصول للهوية والشبكات.

    قم بتشغيل ما هو مطلوب فقط. حظر التطبيقات والخدمات التي تعمل بشكل افتراضي. الموافقة فقط على التطبيقات والخدمات المطلوبة لوظائف حمل العمل.

  3. الحفاظ على الدفاعات. تحديث مكونات نظام التشغيل بانتظام بأحدث تحديثات الأمان والتصحيحات للتخفيف من الثغرات الأمنية المعروفة.

معايير CIS

قائمة التحقق من الأمان

راجع المجموعة الكاملة من التوصيات.

قائمة التحقق من الأمان