Ochrana prostředků Azure před destruktivními kybernetickými útoky

Tento článek obsahuje postup použití principů nulová důvěra (Zero Trust) k ochraně prostředků Microsoft Azure před destruktivními kybernetickými útoky následujícími způsoby:

princip nulová důvěra (Zero Trust)	Definice
Explicitní ověření	Vždy ověřovat a autorizovat na základě všech dostupných datových bodů.
Použití nejméně privilegovaného přístupu	Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat.
Předpokládat porušení zabezpečení	Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany. Vylepšete ochranu pomocí zámků prostředků, záloh a zotavení po havárii pro virtuální počítače, služby ochrany dat a dostupnosti dat a ochrany infrastruktury obnovení, služeb založených na konfiguraci a automatizaci platforem a nástrojů DevOps. K detekci hrozeb použijte Microsoft Sentinel a pokročilou detekci multistage a připravte plány reakcí na incidenty pro prostředky Azure.

Tento článek obsahuje pokyny pro:

• Chraňte své prostředky Microsoft Azure před destruktivními kybernetickými útoky.
• Detekce kybernetických útoků, když k nim dojde.
• Jak na ně reagovat.

Tento článek je určený pro technické implementátory, které podporují infrastrukturu implementace ochrany před únikem informací a obnovení nulová důvěra (Zero Trust) obchodním scénáři.

Referenční architektura

Následující obrázek znázorňuje referenční architekturu pro tuto nulová důvěra (Zero Trust) pokyny pro seskupení pro každou kategorii ochrany.

Toto prostředí Azure zahrnuje:

Komponenta	Popis
A	Virtuální počítače a jejich soubory
T	Datové služby a jejich data
C	Infrastruktura obnovení včetně souborů a šablon a automatizačních skriptů
D	Služby založené na konfiguraci
E	Automatizace platformy a nástroje DevOps (nezobrazují se)

Úlohy pro ochranu jednotlivých typů prostředků jsou podrobně popsány v kroku 1 tohoto článku.

Co je v tomto článku?

Tento článek vás provede postupem použití principů nulová důvěra (Zero Trust) v referenční architektuře.

Krok	Úloha
0	Nakonfigurujte ochranu před kybernetickými útoky.
2	Nakonfigurujte detekci kybernetických útoků.
3	Připravte plány reakce na incidenty.

Krok 1: Konfigurace ochrany před kybernetickými útoky

Řada organizací implementuje řešení zálohování a zotavení po havárii pro své virtuální počítače Azure jako součást úsilí o migraci. Můžete například použít nativní řešení Azure nebo se rozhodnout používat vlastní řešení třetích stran pro váš cloudový ekosystém.

I když je ochrana virtuálních počítačů a jejich aplikací a dat důležitá, je také důležité rozšířit rozsah ochrany nad rámec virtuálních počítačů. Tato část obsahuje rozpis aspektů a doporučení pro ochranu různých typů prostředků v Azure před destruktivním kybernetickým útokem.

Kromě aspektů specifických pro službu byste měli zvážit použití zámků prostředků, abyste zabránili odstranění služeb tím, že chrání jejich rovinu správy. Zámky prostředků můžete také použít k vykreslení prostředků jen pro čtení. Zámky prostředků pracují s řízeným přístupem, aby se snížila pravděpodobnost zničení prostředků Azure v kybernetickém útoku tím, že brání jejich úpravám nebo zničení.

Pokud chcete zabránit zámkům prostředků v vytváření neočekávaných výsledků, měli byste před použitím zámků zkontrolovat důležité informace, abyste měli jistotu, že zámky použijete u příslušných prostředků způsobem, který jim umožní pracovat. Například uzamčení virtuální sítě místo celé skupiny prostředků může zabránit příliš omezující zámek u jiných prostředků v rámci skupiny prostředků. Z těchto důvodů byste měli určit prioritu uzamčení prostředků, které by při změně nebo odstranění způsobily největší přerušení.

Zámky můžou mít také některé aspekty cílů doby obnovení pro úlohy, u kterých došlo k převzetí služeb při selhání. Plán zotavení po havárii by měl vzít v úvahu zámky a měli byste mít otestovaný postup pro odebrání zámků řízeným způsobem. Budete muset vytrénovat správce a pracovníky secOps, jak spravovat zámky v rámci každodenního provozu i nouzových scénářů.

Správci s přístupem k odebrání zámků by měli být omezeni a měli by zahrnovat přístup JIT, jako je například přístup poskytovaný službou Microsoft Entra Privileged Identity Management. Přístup ke změnám zámků u prostředků se řídí oborem Microsoft.Authorization/locks/* a neměl by být udělen jako součást stálého přístupu.

A. Ochrana virtuálních počítačů

U úloh založených na virtuálních počítačích, včetně škálovacích sad a clusterů Kubernetes, musíte kromě použití zámků prostředků v rovině správy naplánovat dvě vrstvy ochrany.

Nejprve je potřeba naplánovat zálohování dat z virtuálních počítačů, abyste mohli obnovit ztracená data v případě útoku, který zahrnuje službu Azure Kubernetes Service (AKS). Musíte také chránit zálohovaná data před útoky pomocí ovládacích prvků obnovitelného odstranění. Informace o konfiguraci záloh najdete v tématech:

• Vytvoření a konfigurace trezoru služby Recovery Services
• Zálohování virtuálního počítače v Azure
• Konfigurace zálohování pro cluster Azure Kubernetes Service
• Zálohování a obnovení pro AKS
• Plán zálohování a obnovení pro ochranu před ransomwarem
• Obnovitelné odstranění pro službu Azure Backup

Za druhé je potřeba naplánovat možnost obnovení serveru do nového umístění, když dojde k útoku na základní infrastrukturu ve vaší oblasti. Informace o konfiguraci replikace na virtuálních počítačích najdete v tématu Nastavení zotavení po havárii pro virtuální počítače Azure. To zahrnuje konfiguraci aplikací a nastavení pro prostředky používané během převzetí služeb při selhání.

Důležité

Při použití Azure Site Recovery pro virtuální počítače, které jsou součástí škálovací sady virtuálních počítačů, můžete replikovat stav virtuálního počítače. Replikovaná zařízení ale nepodporují škálování.

U některých úloh založených na virtuálních počítačích, jako jsou clustery Kubernetes, se skutečný stav serverů nedá replikovat prostřednictvím Azure Site Recovery. Možná budete potřebovat další řešení, jako je aktivní/pasivní konfigurace.

B. Ochrana datových služeb

Datové služby jsou neformální kolekce služeb, které obsahují data nezbytná pro operace, ale samotný prostředek není tak důležitý. Mezi dvěma účty úložiště nakonfigurovaným stejným způsobem a hostování stejných dat je například malý rozdíl.

Datové služby se liší od virtuálních počítačů, které můžou mít konfigurace operačního systému oddělené od aplikací spuštěných a oddělených od konfigurace roviny správy. V důsledku toho tyto služby:

• Často obsahují vlastní nástroje pro převzetí služeb při selhání, jako je schopnost účtu úložiště replikovat do jiné oblasti jako součást geograficky redundantních úrovní úložiště (GRS).
• Mějte své vlastní aspekty ochrany dat před útoky a opětovné zpřístupnění dat v případě útoku.

Následující tabulka obsahuje odkazy na ochranu dat a dostupnost pro běžně používané služby, ale měli byste prozkoumat dokumentaci k produktům jednotlivých služeb, abyste porozuměli dostupným možnostem.

Služba	Ochrana dat	Dostupnost dat
Soubory Azure	Zálohování sdílených složek Azure Prevence náhodného odstranění sdílených složek Azure	Povolení obnovitelného odstranění ve sdílených složkách Azure
Azure Blob Storage	Povolení obnovení k určitému bodu v čase u dat objektů blob Ukládání důležitých podnikových dat objektů blob s využitím neměnného úložiště	Přehled ochrany dat pro objekty blob Azure Povolení a správa obnovitelného odstranění kontejnerů Povolení obnovitelného odstranění pro objekty blob
Databáze Azure SQL	Automatizované zálohování ve službě Azure SQL Database	Aktivní geografická replikace Skupiny převzetí služeb při selhání pro Azure SQL Database
Spravované instance SQL	Automatizované zálohování ve službě Azure SQL Managed Instance	Skupiny převzetí služeb při selhání pro spravovanou instanci Azure SQL
SQL na virtuálních počítačích Azure	Zálohování a obnovení SQL Serveru na virtuálních počítačích Azure	Instance clusteru s podporou převzetí služeb při selhání s SQL Serverem na virtuálních počítačích Azure
Trezory klíčů	Zálohování a obnovení služby Azure Key Vault	Povolení obnovitelného odstranění a ochrany před vymazáním pro trezory klíčů Dostupnost a redundance služby Azure Key Vault

Upozorňující

Některé scénáře obnovení účtu úložiště se nepodporují. Další informace najdete v tématu Nepodporované obnovení úložiště.

C. Ochrana infrastruktury obnovení

Kromě ochrany prostředků ve vašich úlohách potřebujete také chránit prostředky, které používáte k obnovení funkčnosti po přerušení, například dokumentaci k postupům obnovení a konfigurační skripty a šablony. Pokud útočníci můžou cílit na infrastrukturu obnovení a narušit ji, může dojít k ohrožení celého prostředí, což vede k podstatným zpožděním při zotavení z útoku a opuštění vaší organizace vůči scénářům ransomwaru.

U dat chráněných službou Azure Backup vám použití obnovitelného odstranění pro zálohování Azure umožňuje obnovit zálohovaná data i v případě odstranění. Vylepšené obnovitelné odstranění navíc vynucuje přiřazení obnovitelného odstranění a umožňuje definovat dobu uchovávání.

Pokud chcete dále zvýšit zabezpečení, implementujte autorizaci více uživatelů (MUA) pro kritické operace, což vyžaduje, aby před spuštěním schválili dva nebo více uživatelů kritické operace. Tím se přidá další vrstva zabezpečení tím, že zajistíte, aby žádný uživatel, a proto útočník s jediným uživatelským účtem mohl ohrozit integritu zálohování. Povolte a nakonfigurujte MUA , abyste ochránili zásady zálohování před neoprávněnými změnami a odstraněními.

Azure Site Recovery můžete chránit pomocí zámků prostředků a přístupu JEA/JIT, abyste zabránili neoprávněnému přístupu a detekci v případě ohrožení prostředků.

Při replikaci virtuálních počítačů pomocí Azure Site Recovery, které jsou šifrované pomocí služby Azure Disk Encryption (ADE) nebo klíčů spravovaných zákazníkem (CMK), se ujistěte, že jsou šifrovací klíče uložené ve službě Azure Key Vault pro cílovou oblast. Ukládání klíčů v cílové oblasti usnadňuje bezproblémový přístup ke klíčům po převzetí služeb při selhání a udržuje kontinuitu zabezpečení dat. Pokud chcete službu Azure Key Vault chránit před destruktivními kybernetickými útoky, povolte pokročilé funkce ochrany před hrozbami, jako je obnovitelné odstranění a ochrana před vymazáním.

Podrobné pokyny k replikaci pro šifrované virtuální počítače najdete v následujících tématech:

• Replikace virtuálních počítačů chráněných ADE
• Replikace virtuálních počítačů s disky CMK

D. Ochrana služeb založených na konfiguraci

Služby založené na konfiguraci jsou služby Azure, které nemají data kromě jejich konfigurace v rovině správy. Tyto prostředky jsou obecně založené na infrastruktuře a představují základní služby, které podporují úlohy. Mezi příklady patří virtuální sítě, nástroje pro vyrovnávání zatížení, síťové brány a aplikační brány.

Vzhledem k tomu, že tyto služby jsou bezstavové, nejsou k dispozici žádná provozní data k ochraně. Nejlepší možností pro ochranu těchto služeb je mít infrastrukturu jako šablony nasazení IaC (kód), jako je Bicep, které můžou obnovit stav těchto služeb po destruktivním útoku. Můžete také použít skripty pro nasazení, ale nasazení IaC fungují lépe při obnovování funkcí v existujícím prostředí, na které má vliv jenom několik služeb.

Pokud je možné nasadit prostředek stejným způsobem, můžou služby i nadále fungovat. Místo toho, abyste se pokusili zálohovat a udržovat kopie těchto prostředků, můžete k zotavení z útoku použít programové nasazení.

Další informace o používání IaC najdete v tématu Doporučení pro použití infrastruktury jako kódu.

E. Ochrana automatizace platformy a nástrojů DevOps

Pokud používáte programová nasazení nebo jiné typy automatizace, je potřeba zabezpečit také prostředky pro automatizaci platforem a nástroje DevOps. Příklady ochrany infrastruktury nasazení najdete v tématu Zabezpečení kanálůCI/CD a doporučení DevOps pro zabezpečení životního cyklu vývoje.

Měli byste ale také naplánovat ochranu samotného kódu, který se liší podle nástrojů správy zdrojového kódu, které používáte. GitHub například obsahuje pokyny pro zálohování úložiště pro úložiště zdrojového kódu.

Měli byste také zkontrolovat konkrétní služby a určit, jak nejlépe chránit zdrojový kód a kanály před útoky a zničením.

U komponent, jako jsou agenti sestavení hostovaní na virtuálních počítačích, můžete použít příslušný plán ochrany založený na virtuálních počítačích, abyste měli jistotu, že jsou agenti v případě potřeby k dispozici.

Krok 2: Konfigurace detekce kybernetických útoků

Pro detekci útoků na vaši infrastrukturu Azure začněte v programu Microsoft Defender for Cloud, platformou ochrany aplikací nativní pro cloud (CNAPP), která se skládá z bezpečnostních opatření a postupů navržených k ochraně cloudových aplikací před různými kybernetickými hrozbami a ohroženími zabezpečení.

Defender for Cloud ve spojení s dalšími plány komponent Azure shromažďuje signály z komponent Azure a poskytuje specifickou ochranu pro servery, kontejnery, úložiště, databáze a další úlohy.

Následující diagram znázorňuje tok informací o událostech zabezpečení ze služeb Azure prostřednictvím defenderu pro cloud a Microsoft Sentinel.

Na obrázku:

• Služby Azure odesílají signály do Microsoft Defenderu pro cloud.
• Microsoft Defender for Cloud s dalšími plány, jako je Defender for Servers, analyzuje signály pro rozšířenou detekci hrozeb a odesílá data o zabezpečení a správě událostí (SIEM) do Microsoft Sentinelu.
• Microsoft Sentinel používá data SIEM k detekci, vyšetřování, reakci a proaktivnímu proaktivnímu proaktivnímu proaktivnímu vyhledávání.

Jakmile lépe ochráníte prostředky Azure pomocí doporučení v kroku 1 tohoto článku, musíte mít plán pro detekci destruktivních kybernetických útoků pomocí Služby Microsoft Sentinel. Výchozím bodem je použití pokročilé detekce útoků s více fázemi v Microsoft Sentinelu. Díky tomu můžete vytvářet detekce pro konkrétní scénáře, jako je zničení dat, odepření služby, škodlivá aktivita správy a mnoho dalších.

V rámci přípravy úloh na odpověď je potřeba:

• Určete, jak určíte, jestli je prostředek napadený.
• Určete, jak můžete zachytit a vyvolat incident v důsledku toho.

Krok 3: Příprava plánů reakce na incidenty

Před výskytem incidentů potřebujete mít dobře definované plány reakce na incidenty připravené k implementaci destruktivních kybernetických útoků. Během incidentu nebudete mít čas určit, jak probíhající útoky omezit nebo obnovit poškozená data a služby.

Aplikace Azure a sdílené služby by měly mít plány odezvy a obnovení, které zahrnují playbooky pro obnovení virtuálních počítačů, datových služeb, konfiguračních služeb a služeb automatizace/DevOps. Každá oblast aplikace nebo služby by měla mít své definice a dobře definované závislosti.

Playbooky by měly:

• Zahrňte procesy pro následující scénáře:

  • Převzetí služeb při selhání virtuálních počítačů Azure do sekundární oblasti
  • Obnovení dat virtuálních počítačů Azure na webu Azure Portal
  • Obnovení souborů do virtuálního počítače v Azure
  • Obnovení obnovitelně odstraněných dat a bodů obnovení pomocí rozšířeného obnovitelného odstranění ve službě Azure Backup
  • Obnovení stavu clusterů Kubernetes po havárii
  • Obnovení odstraněného účtu úložiště
  • Obnovení obnovitelného odstraněného trezoru klíčů
  • Obnovení obnovitelně odstraněných tajných kódů, klíčů a certifikátů z trezoru klíčů
  • Pokyny pro zotavení po havárii pro Azure SQL Database

• Zahrňte proces obnovení pro všechny ostatní prostředky, které tuto službu tvoří.

• Pravidelně testujte jako součást procesů údržby SecOps.

Doporučené školení

• Implementace Privileged Identity Management
• Návrh řešení pro zálohování a zotavení po havárii
• Vylepšení stavu zabezpečení cloudu pomocí Microsoft Defenderu pro cloud
• Vytváření detekcí a prošetřování pomocí Služby Microsoft Sentinel

Další kroky

Pokračujte v implementaci infrastruktury ochrany před únikem informací a obnovení zabezpečení.

Reference

V těchto odkazech se dozvíte o různých službách a technologiích uvedených v tomto článku.

• Zámky prostředků
• Microsoft Entra Privileged Identity Management
• Obnovitelné odstranění pro zálohování Azure
• Autorizace více uživatelů (MUA)
• Bicep
• Microsoft Defender for Cloud
• Microsoft Sentinel