Suojaustyökalut ja -käytännöt
Tailwind Traders -kertomuksessa asiakas valitsi Azuren laskeutumisvyöhykkeiden "aloita pieni" -lähestymistavan. Tämä tarkoittaa sitä, että niiden nykyinen toteutus ei sisällä kaikkia ehdotettuja suojauksen ohjausobjekteja. Ihannetapauksessa asiakas olisi aloittanut Azuren laskeutumisalueen kiihdyttimellä, joka olisi jo asentanut monia seuraavista työkaluista.
Tässä osiossa kuvataan, mitä ohjausobjekteja tämän asiakkaan ympäristöön lisätään, jotta voidaan siirtyä lähemmäs Azure-laskeutumisvyöhykkeiden käsitteellistä arkkitehtuuria ja valmistella organisaation suojausvaatimukset.
Käytettävissäsi on useita työkaluja ja ohjausobjekteja, joiden avulla voit nopeasti saavuttaa suojauksen perustasot:
- Microsoft Defender for Cloud: Tarjoaa työkaluja, joita tarvitaan resurssien koventamiseen, suojaus ryhtisi seuraamiseen, kyberhyökkäyksiltä suojautumiseen ja suojauksen hallinnan järkeistämiseen.
- Microsoft Entra ID: Oletusarvoinen käyttäjätietojen ja käyttöoikeuksien hallintapalvelu. Microsoft Entra ID tarjoaa käyttäjätietojen suojauspisteet, joiden avulla voit arvioida käyttäjätietojen suojausasennon suhteessa Microsoftin suosituksiin.
- Microsoft Sentinel: Pilvipohjainen sieM, joka tarjoaa älykkään suojausanalytiikan koko yrityksellesi tekoälyn avulla.
- Azure Distributed Denial of Service (DDoS) -vakiosuojaussuunnitelma (valinnainen): Tarjoaa parannettuja DDoS-lieventämisominaisuuksia DDoS-hyökkäyksiltä suojautumiseen.
- Azure Firewall: Pilvipohjainen ja älykäs verkon palomuurin suojauspalvelu, joka tarjoaa uhkasuojauksen Azuressa suoritettaville pilvipalvelukuormituksille.
- verkkosovelluksen palomuuri: Pilvipohjainen palvelu, joka suojaa verkkosovelluksia yleisiltä verkkohakkerointitekniikoilta, kuten SQL:n pistos- ja suojaushaavoittuvuuksilta, kuten sivustojen välisiltä komentosareilta.
- Privileged Identity Management (PIM) -: Microsoft Entra ID:ssä oleva palvelu, jolla voit hallita, hallita ja valvoa organisaatiosi tärkeiden resurssien käyttöä.
- Microsoft Intune: Pilvipohjainen palvelu, joka keskittyy mobiililaitteiden hallintaan ja mobiilisovellusten hallintaan.
Seuraavissa osioissa kuvataan, miten Tailwind Traders saattaa saavuttaa suojauksen perustason käytännössä.
Perustason toteutus käyttöoikeuksien valvonnassa
CISO haluaa saavuttaa seuraavat asiakaskerronnan tavoitteet:
- Salli ihmisten tehdä työnsä turvallisesti mistä tahansa käsin
- Suursuojauksesta aiheutuvien liiketoimintavaurioiden minimointi
Jos nämä tavoitteet ovat yhdenmukaisia organisaatiosi kanssa tai jos sinulla on muita ohjaimia käyttöoikeuksien hallinnan lisäämiseksi, ota seuraavat tehtävät huomioon suojauksen perustasossa:
- Ota käyttöön Microsoft Entra ID vahvojen tunnistetietojen ottamiseksi käyttöön
- Intunen lisääminen laitteen suojaukseen
- LISÄÄ PIM etuoikeutetuille tileille, jotta voit siirtyä lähemmäs Zero-Trust maailmaan
- Ota käyttöön ääniverkon segmentointi käyttämällä hub-and-spoke-mallia, jossa on break-glass-ohjausobjektit ja palomuurin ohjausobjektit sovellusten laskeutumisvyöhykkeiden välillä
- Lisää Defender for Cloud ja Azure Policy valvoaksesi näiden vaatimusten noudattamista
Perustason toteutus yhteensopivuuden osalta
CISO haluaa saavuttaa seuraavan tavoitteen asiakkaan kertomuksen avulla:
- Sääntely- ja yhteensopivuusvaatimusten ennakoiva täyttäminen
Jos tämä tavoite on linjassa organisaatiosi kanssa tai jos sinulla on muita ohjaimia käyttöoikeuksien hallinnan lisäämiseksi, ota seuraava tehtävä huomioon suojauksen perustasossa:
- LISÄÄ PIM etuoikeutetuille tileille, jotta voit siirtyä lähemmäs Zero-Trust maailmaan
Perustason toteutus luottamuksellisten yritystietojen tunnistamisessa ja suojaamisessa
CISO haluaa saavuttaa seuraavat asiakaskerronnan tavoitteet:
- Luottamuksellisten yritystietojen tunnistaminen ja suojaaminen
- Modernisoi nopeasti olemassa olevaa suojausohjelmaa
Jos nämä tavoitteet ovat yhdenmukaisia organisaatiosi kanssa tai jos sinulla on muita ohjaimia käyttöoikeuksien hallinnan lisäämiseksi, ota seuraavat tehtävät huomioon suojauksen perustasossa:
- Lisää Defender for Cloud, jotta saat keskitettyä, integroitua näkyvyyttä ja hallintaa rönsyilevään digitaaliseen jalanjälkeen ja ymmärrät, mitä altistumista on olemassa
- Lisää Microsoft Sentinel automatisoimaan prosesseja, jotka ovat toistettavissa ja vapauttavat aikaa tietoturvatiimille
Kun oikeat työkalut ovat käytössä, varmista, että käytössäsi ovat hyvät käytännöt, joilla voit valvoa näiden työkalujen asianmukaista käyttöä. Useat käytännöt koskevat verkko- ja yrityskohtaisia laskeutumisvyöhykkeitä:
- Pakota suojattu käyttö, kuten HTTPS, tallennustilille: Määritä tallennustilisi hyväksymään pyyntöjä suojattuista yhteyksistä vain määrittämällä suojattu siirto pakollinen -ominaisuus tallennustilille. Kun edellytät suojattua siirtoa, kaikki pyynnöt, jotka ovat peräisin suojaamattomasta yhteydestä, hylätään.
- Auditing for Azure SQL Database: Seuraa tietokantatapahtumia ja kirjoita ne valvontalokiin Azure-tallennustililläsi, Log Analytics -työtilassa tai tapahtumatoiminnoissa.
- Pakota salaus Azure SQL -tietokannan: Läpinäkyvä tietojen salaus auttaa suojaamaan SQL-tietokantaa, Azure SQL:n hallittua esiintymää ja Azure Synapse Analyticsia haitalliselta offline-toiminnan uhalta salaamalla lepäävät tiedot.
- Estä IP-välitys: IP-välitystoiminnon avulla näennäiskoneeseen liitetty verkkoliittymä voi vastaanottaa verkkoliikennettä, jota ei ole tarkoitettu millekään verkkoliittymän IP-määritykselle määritetylle IP-osoitteelle. Voit myös lähettää verkkoliikennettä eri IP-lähdeosoitteella kuin jollakin verkkoliittymän IP-määrityksistä. Asetus on otettava käyttöön jokaiselle verkkoliittymälle, joka on liitetty näennäiskoneeseen, joka vastaanottaa liikennettä, joka näennäiskoneen on välitettävä.
- Varmista, että aliverkot liittyvät verkon käyttöoikeusryhmiin: Azure NSG:n avulla voit suodattaa Azure-näennäisverkon Azure-resursseihin ja azure-resursseista. NSG sisältää suojaussääntöjä, jotka sallivat tai estävät saapuvan verkkoliikenteen useantyyppisiin Azure-resursseihin tai lähtevän verkkoliikenteen. Voit määrittää jokaiselle säännölle lähteen ja kohteen, portin ja protokollan.