Sdílet prostřednictvím


Zabezpečení infrastruktury pomocí nulová důvěra (Zero Trust)

Infrastruktura představuje kritický vektor hrozby. INFRASTRUKTURA IT, ať už místní nebo multicloudová, je definována jako veškerý hardware (fyzický, virtuální, kontejnerizovaný), software (open source, první a třetí strana, PaaS, SaaS), mikroslužby (funkce, rozhraní API), síťová infrastruktura, zařízení atd., který se vyžaduje k vývoji, testování, doručování, monitorování, řízení nebo podpoře IT služeb. Je to oblast, ve které Microsoft investoval obrovské prostředky k vývoji komplexní sady funkcí pro zabezpečení budoucího cloudu a místní infrastruktury.

Moderní zabezpečení s ucelenou strategií nulová důvěra (Zero Trust) usnadňuje:

  • Posouzení verze
  • Proveďte správu konfigurace.
  • Používejte oprávnění pro správu za běhu a přístup podle potřeby (JIT/JEA) k posílení ochrany.
  • K detekci útoků a anomálií použijte telemetrii.
  • Automaticky blokovat a označit rizikové chování a provádět ochranné akce.

Stejně důležité jsou i funkce Microsoft Azure Blueprints a související funkce, které zajišťují, aby byly prostředky navržené, implementované a udržitelné způsobem, který vyhovuje zásadám, standardům a požadavkům organizace.

Azure Blueprints, Azure Policies, Microsoft Defender for Cloud, Microsoft Sentinel a Azure Sphere můžou výrazně přispět ke zlepšení zabezpečení nasazené infrastruktury. Společně umožňují jiný přístup k definování, návrhu, zřizování, nasazování a monitorování infrastruktury.

Opakující se kruhový diagram pěti prvků: Posouzení dodržování předpisů, sledování mezer, vytváření, testování a nasazení

Cíle nasazení nulová důvěra (Zero Trust) infrastruktury

Tip

Než většina organizací zahájí nulová důvěra (Zero Trust) cestu, je jejich přístup k zabezpečení infrastruktury charakterizován následujícími způsoby:

  • Oprávnění se spravují ručně napříč prostředími.
  • Správa konfigurace virtuálních počítačů a serverů, na kterých běží úlohy.

Při implementaci komplexního nulová důvěra (Zero Trust) architektury pro správu a monitorování infrastruktury doporučujeme zaměřit se nejprve na tyto počáteční cíle nasazení:

Ikona seznamu s jedním zaškrtnutím

I. Úlohy se monitorují a upozorňují na neobvyklé chování.

II. Každé úloze je přiřazena identita aplikace a konfigurovaná a nasazená konzistentně.

III. Lidský přístup k zdrojům vyžaduje technologii Just-In-Time.

Po dokončení počátečních cílů se zaměřte na tyto další cíle nasazení:

Ikona seznamu se dvěma značkami zaškrtnutí

IV. Zablokují se neautorizovaná nasazení a aktivuje se upozornění.

V. Podrobná viditelnost a řízení přístupu jsou k dispozici napříč úlohami.

VI. Přístup k uživatelům a prostředkům segmentovaný pro každou úlohu

Průvodce nasazením infrastruktury nulová důvěra (Zero Trust)

Tato příručka vás provede kroky potřebnými k zabezpečení infrastruktury podle principů architektury zabezpečení nulová důvěra (Zero Trust).

Než začnete, ujistěte se, že jste splnili tyto standardní cíle nasazení infrastruktury.

Nastavení standardních hodnot tenanta Microsoftu

Pro správu infrastruktury by se měl nastavit směrný plán podle priority. Použití oborových pokynů, jako je NIST 800-53, můžete odvodit sadu požadavků pro správu infrastruktury. V Microsoftu jsme nastavili minimální směrný plán na následující seznam požadavků:

  • Přístup k datům, sítím, službám, nástrojům, nástrojům a aplikacím musí být řízen ověřovacími a autorizačními mechanismy.

  • Data musí být při přenosu a neaktivních uložených datech zašifrovaná.

  • Omezte toky síťového provozu.

  • Bezpečnostní tým má přehled o všech prostředcích.

  • Monitorování a auditování musí být povolené a správně nakonfigurované podle předepsaného organizačního návodu.

  • Antimalwarový software musí být aktuální a spuštěný.

  • Kontroly ohrožení zabezpečení se musí provádět a chyby zabezpečení se opravují podle předepsaného organizačního návodu.

Abychom mohli měřit a řídit dodržování předpisů podle tohoto minimálního nebo rozšířeného směrného plánu, začneme tím, že v tenantovi Azure použijeme roli Čtenář zabezpečení na úrovni tenanta a napříč místními prostředími. Díky roli Čtenář zabezpečení může získat další přehled prostřednictvím Programu Microsoft Defender pro cloud a zásady Azure, které je možné použít k použití oborových směrných plánů (například Azure CIS, PCI, ISO 27001) nebo vlastního směrného plánu, který vaše organizace definovala.

Oprávnění se spravují ručně napříč prostředími.

Od úrovně tenanta až po jednotlivé prostředky v rámci každého předplatného ad-skupiny prostředků je potřeba použít příslušné řízení přístupu na základě role.

Tip

Přečtěte si o implementaci komplexní strategie nulová důvěra (Zero Trust) identit.

Správa konfigurace virtuálních počítačů a serverů, na kterých běží úlohy

Stejně jako jsme spravovali místní prostředí datového centra, musíme také zajistit efektivní správu cloudových prostředků. Výhodou využití Azure je možnost spravovat všechny virtuální počítače z jedné platformy pomocí Azure Arc (Preview). Pomocí služby Azure Arc můžete rozšířit standardní hodnoty zabezpečení ze služby Azure Policy, zásad Microsoft Defenderu pro cloud a vyhodnocení skóre zabezpečení a také protokolování a monitorování všech vašich prostředků na jednom místě. Níže jsou uvedeny některé akce, které vám pomůžou začít.

Implementace Služby Azure Arc (Preview)

Azure Arc umožňuje organizacím rozšířit známé bezpečnostní prvky Azure do místního prostředí a hraničních zařízení infrastruktury organizace. Správci mají několik možností připojení místních prostředků ke službě Azure Arc. Patří mezi ně Azure Portal, PowerShell a instalace Windows pomocí skriptování instančního objektu.

Přečtěte si další informace o těchto technikách.

Použití standardních hodnot zabezpečení prostřednictvím služby Azure Policy, včetně použití zásad v hostech

Povolením defenderu pro cloud budete moct začlenit sadu základních ovládacích prvků prostřednictvím předdefinovaných definic zásad Azure Policy pro Microsoft Defender for Cloud. Sada základních zásad se projeví v skóre zabezpečení Defenderu pro cloud, kde můžete měřit dodržování těchto zásad.

Pokud není integrovaný, můžete rozšířit pokrytí zásad nad rámec sady Defenderu pro cloud a vytvořit vlastní zásady. Můžete také začlenit zásady konfigurace hosta, které měří dodržování předpisů v rámci vašich virtuálních počítačů hosta v rámci vašich předplatných.

Použití nástroje Defender for Cloud Endpoint Protection a ovládací prvky správy ohrožení zabezpečení

Ochrana koncových bodů je nezbytná k zajištění zabezpečení a dostupnosti infrastruktury. V rámci jakékoli strategie ochrany koncových bodů a správa ohrožení zabezpečení budete moct centrálně měřit dodržování předpisů, abyste zajistili povolení a konfiguraci ochrany před malwarem prostřednictvím posouzení ochrany koncových bodů a doporučení v Programu Microsoft Defender for Cloud.

Centralizovaná viditelnost směrného plánu napříč několika předplatnými

Použitím role čtenáře tenanta můžete získat přehled o stavu jednotlivých zásad, které se vyhodnocují jako součást bezpečnostních skóre Defenderu pro cloud, Azure Policy a zásad konfigurace hosta. Tento postup se nachází na řídicím panelu dodržování předpisů vaší organizace pro centrální generování sestav o stavu vašeho tenanta.

Kromě toho můžete jako součást Defenderu pro servery použít zásadu Povolení integrovaného řešení posouzení ohrožení zabezpečení na virtuálních počítačích (využívajících Qualys) ke kontrole ohrožení zabezpečení vašich virtuálních počítačů a ty se projeví přímo v Defenderu pro cloud. Pokud už máte v podniku nasazené řešení pro kontrolu ohrožení zabezpečení, můžete použít alternativní řešení posouzení ohrožení zabezpečení zásad, které by se mělo nainstalovat na virtuální počítače pro nasazení řešení kontroly ohrožení zabezpečení partnera.




Ikona kontrolního seznamu s jednou značkou zaškrtnutí

Počáteční cíle nasazení

Jakmile splníte základní cíle infrastruktury, můžete se zaměřit na implementaci moderní infrastruktury s ucelenou strategií nulová důvěra (Zero Trust).

I. Úlohy se monitorují a upozorňují na neobvyklé chování.

Při vytváření nové infrastruktury je potřeba zajistit, abyste také vytvořili pravidla pro monitorování a vyvolávání výstrah. Toto je klíč pro identifikaci, kdy prostředek zobrazuje neočekávané chování.

Doporučujeme povolit Microsoft Defender for Cloud a jeho plány na ochranu podporovaných typů prostředků, včetně Defenderu pro servery, Defenderu for Storage, Defenderu pro kontejnery, Defenderu pro SQL atd.

Pro monitorování identit doporučujeme povolit Microsoft Defender for Identity a Advanced Threat Analytics , aby bylo možné shromažďovat signály k identifikaci, zjišťování a zkoumání pokročilých hrozeb, ohrožených identit a škodlivých vnitřních akcí zaměřených na vaši organizaci.

Integrace těchto signálů z programu Defender for Cloud, Defender for Identity, Advanced Threat Analytics a dalších systémů monitorování a auditování s Microsoft Sentinelem, nativním cloudem, správou událostí zabezpečení (SIEM) a řešením pro orchestraci zabezpečení (SOAR) umožní vaší službě Security Operations Center (SOC) pracovat z jednoho podokna skla a monitorovat události zabezpečení v celém podniku.

Tip

Přečtěte si o implementaci komplexní strategie nulová důvěra (Zero Trust) identit.

II. Každé úloze se přiřadí identita aplikace a konzistentně nakonfigurovaná a nasazená

Při vytváření prostředků a úloh doporučujeme použít zásadu, která se přiřazuje a vynucuje. Zásady můžou vyžadovat použití značek na prostředek při vytváření, přiřazení skupiny prostředků a omezení/přímé technické charakteristiky, jako jsou povolené oblasti, specifikace virtuálních počítačů (například typ virtuálního počítače, disky, použité zásady sítě).

III. Lidský přístup k prostředkům vyžaduje just-In-Time

Pracovníci by měli používat přístup pro správu střídmě. Pokud jsou vyžadovány funkce pro správu, uživatelé by měli obdržet dočasný přístup pro správu.

Organizace by měly vytvořit program Chránit správce . Mezi charakteristiky těchto programů patří:

  • Cílená redukce počtu uživatelů s oprávněními správce.
  • Auditování účtů a rolí se zvýšenými oprávněními
  • Vytváření speciálních zón infrastruktury HVA (High-Value Asset) pro snížení plochy
  • Poskytnutí speciálních pracovních stanic SAWs (Secure Admin Workstations) správcům ke snížení pravděpodobnosti krádeže přihlašovacích údajů.

Všechny tyto položky pomáhají organizaci lépe vědět, jak se používají oprávnění pro správu, kde jsou tato oprávnění stále potřebná, a poskytují plán, jak bezpečněji pracovat.




Ikona kontrolního seznamu se dvěma značkami zaškrtnutí

Další cíle nasazení

Jakmile dosáhnete počátečních tří cílů, můžete se zaměřit na další cíle, jako je blokování neautorizovaných nasazení.

IV. Neautorizované nasazení jsou blokovaná a aktivuje se upozornění.

Když se organizace přesunou do cloudu, možnosti jsou neomezené. To není vždycky dobrá věc. Z různých důvodů musí být organizace schopny blokovat neautorizovaná nasazení a aktivovat upozornění, aby vedoucí pracovníci a manažeři o těchto problémech věděli.

Microsoft Azure nabízí Azure Blueprints , které určují, jak se nasazují prostředky, a zajišťuje, aby bylo možné nasadit jenom schválené prostředky (například šablony ARM). Podrobné plány můžou zajistit, aby prostředky, které nesplňují zásady podrobného plánu, nebo jiná pravidla zablokovala nasazení. Porušení skutečného nebo pokusu o podrobný plán může podle potřeby vyvolat výstrahy a posílat oznámení, aktivovat webhooky nebo runbooky automatizace nebo dokonce vytvářet lístky správy služeb.

V. Podrobná viditelnost a řízení přístupu jsou k dispozici napříč úlohami.

Microsoft Azure nabízí různé metody, jak dosáhnout viditelnosti prostředků. Vlastníci prostředků na webu Azure Portal můžou nastavit mnoho možností shromažďování metrik a protokolů a analýzy. Tato viditelnost se dá použít nejen k podávání operací zabezpečení, ale také k podpoře výpočetní efektivity a organizačních cílů. Patří mezi ně funkce, jako jsou škálovací sady virtuálních počítačů, které umožňují zabezpečené a efektivní horizontální navýšení kapacity a škálování prostředků na základě metrik.

Na straně řízení přístupu je možné pro přiřazení oprávnění k prostředkům použít řízení přístupu na základě role (RBAC ). To umožňuje jednotné přiřazování a odvolávání oprávnění na jednotlivých úrovních a úrovních skupin pomocí různých předdefinovaných nebo vlastních rolí.

VI. Přístup uživatelů a prostředků segmentovaný pro každou úlohu

Microsoft Azure nabízí mnoho způsobů, jak segmentovat úlohy pro správu přístupu uživatelů a prostředků. Segmentace sítě je celkový přístup a v rámci Azure je možné prostředky izolovat na úrovni předplatného pomocí virtuálních sítí, pravidel partnerského vztahu virtuálních sítí, skupin zabezpečení sítě (NSG), skupin zabezpečení aplikací (ASG) a bran Azure Firewall. Existuje několik vzorů návrhu, které určují nejlepší přístup k segmentování úloh.

Produkty popsané v této příručce

Microsoft Azure

Azure Blueprint

Azure Policy

Azure Arc

Microsoft Defender for Cloud

Microsoft Sentinel

Šablony Azure Resource Manageru (ARM)

Závěr

Infrastruktura je zásadní pro úspěšnou strategii nulová důvěra (Zero Trust). Pokud potřebujete další informace nebo pomoc s implementací, obraťte se na tým zákaznického úspěchu nebo pokračujte ve čtení dalších kapitol této příručky, která zahrnuje všechny pilíře nulová důvěra (Zero Trust).



Série průvodce nasazením nulová důvěra (Zero Trust)

Ikona úvodu

Ikona pro identitu

Ikona pro koncové body

Ikona pro aplikace

Ikona pro data

Ikona infrastruktury

Ikona sítí

Ikona pro viditelnost, automatizaci, orchestraci