Az Azure ajánlott biztonsági eljárásai

Ez a lista az azure-beli biztonsági ajánlott eljárásokat tartalmazza, amelyeket az ügyfelek és a saját környezetünk tanulságai alapján ajánlunk.

Az ajánlott eljárásokat bemutató videóért tekintse meg az Azure-biztonság 10 legjobb gyakorlatát.

1. Személyek: A csapatok tájékoztatása a felhőbiztonsági folyamatról

A csapatnak meg kell értenie, milyen úton járnak.

Mi

Tájékoztassa a biztonsági és informatikai csapatokat a felhőbeli biztonsági folyamatról és az általuk végrehajtott változásokról, többek között az alábbiakról:

  • Fenyegetések a felhőben
  • Megosztott felelősségi modell és annak hatása a biztonságra
  • A jellemzően felhőbevezetéssel kapcsolatos kulturális és szerepkör-/felelősségi változások

Miért

A felhőbe való áttérés jelentős változás, amely a biztonság szemléletének és megközelítésének megváltoztatását igényli. Bár a szervezet számára biztosított biztonsági eredmények nem változnak, a legjobb módszer, hogy ezeket az eredményeket a felhőben érje el, gyakran változik, néha jelentősen.

A felhőbe való áttérés hasonló ahhoz, mint amikor egy önálló házról egy magas épületre költözik. Még mindig rendelkezik alapvető infrastruktúrával, például vízvezetékekkel és elektromos árammal, és hasonló tevékenységeket végez, például szocializál, főz, tv-t és internetet stb. Gyakran azonban nagy különbség van abban, hogy mi jár az épülettel, ki biztosítja és tartja karban azt, és mi a napi rutinja.

Who

A biztonsági és informatikai szervezet minden biztonsági felelősének ismernie kell ezt a kontextust. Ismerniük kell az CIO vagy a CISO műszaki szakemberekre vonatkozó változásait.

Hogyan

Biztosíthatja a csapatok számára a felhőkörnyezetre való áttérés során a sikeres üzembe helyezéshez és működéshez szükséges környezetet.

A Microsoft az alábbi tanulságokat tette közzé, amelyeket az ügyfelek és az informatikai szervezet a felhőbe vezető útjuk során tanultak meg.

További információkért lásd az Azure Security Benchmark gs-3-at: a szervezeti szerepkörök, a felelősségek és a fiókképességek összehangolását.

2. Személyek: Csapatok oktatása a felhőbiztonsági technológiákról

Az embereknek meg kell érteniük, hová mennek.

Mi

Győződjön meg arról, hogy a csapatok időt különítettek el a felhőbeli erőforrások védelmére vonatkozó műszaki oktatásra, beleértve a következőket:

  • Felhőtechnológia és felhőbiztonsági technológia
  • Ajánlott konfigurációk és ajánlott eljárások
  • További technikai részletek

Miért

A műszaki csapatoknak hozzá kell férni a műszaki információkhoz a megalapozott biztonsági döntések meghozatalához. A műszaki csapatok jól tanulnak új technológiákat a feladathoz, de a felhőbeli részletek mennyisége gyakran túlterheli a tanulás napi rutinba való illesztésének képességét.

Szánjon külön időt a műszaki tanulásra. Tanulás segít biztosítani, hogy a felhasználók magabiztosan értékelhessék a felhőbiztonságot. Segít átgondolni, hogyan alakíthatják át meglévő készségeiket és folyamataikat. Még a legtehetségesebb különleges hadműveleti csapatoknak is szükségük van a képzésre és a intelligenciára, hogy a legjobban működjenek.

Who

Minden olyan biztonsági és informatikai szerepkörnek, amely közvetlenül együttműködik a felhőtechnológiával, időt kell szentelnie a felhőplatformokon végzett műszaki tanulásnak és azok biztonságossá tételének.

A biztonság, az informatikai műszaki vezetők és a projektmenedzserek megismerkedhetnek a felhőbeli erőforrások védelmének néhány technikai részletével. Ez a jártasság segíti őket abban, hogy hatékonyabban vezessenek és koordináljanak felhőbeli kezdeményezéseket.

Hogyan

Győződjön meg arról, hogy a műszaki biztonsági szakembereknek időt kell szánni a felhőbeli eszközök védelmére vonatkozó, öngyorsított képzésre. Bár ez nem mindig kivitelezhető, a formális képzéshez egy tapasztalt oktató és gyakorlati labor segítségével férhet hozzá.

Fontos

Az identitásprotokollok kritikus fontosságúak a hozzáférés-vezérléshez a felhőben, de a helyszíni biztonságban gyakran nem rangsorolásra kerülnek. A biztonsági csapatoknak tehát ezeknek a protokolloknak és naplóknak a megismerésére kell összpontosítaniuk.

A Microsoft széles körű forrásanyagokkal segíti a műszaki szakembereket az Azure-erőforrások biztonságossá tételében és a jelentések megfelelőségének biztosításában. Ezek az erőforrások a következők:

További információkért lásd az Azure Security Benchmark gs-3-at: a szervezeti szerepkörök, a felelősségek és a fiókképességek összehangolását.

3. Folyamat: Elszámoltathatóság hozzárendelése a felhőbiztonsági döntésekhez

Ha senki nem felelős a biztonsági döntések meghozataláért, akkor nem fognak tenni.

Mi

Válassza ki, hogy ki felelős a vállalati Azure-környezet minden biztonsági döntésének meghozataláért.

Miért

A biztonsági döntések egyértelmű tulajdonjoga felgyorsítja a felhőbevezetést, és növeli a biztonságot. A tulajdonjog hiánya általában súrlódást okoz. Ez súrlódást okoz, mert senki sem érzi képesnek arra, hogy döntéseket hozzon. Senki sem tudja, kitől kérjen döntést, és senki sem arra van ösztönözve, hogy jól megalapozott döntést vizsgáljanak. A súrlódás gyakran akadályozza a következő tényezőket:

  • Üzleti célok
  • Fejlesztői ütemtervek
  • Informatikai célok
  • Biztonsági biztosítékok

A súrlódás a következőt eredményezheti:

  • Elakadt projektek, amelyek biztonsági jóváhagyásra várnak
  • Nem biztonságos üzemelő példányok, amelyek nem tudtak várni a biztonsági jóváhagyásra

Who

A biztonsági vezetés dönti el, hogy mely csapatok vagy személyek legyenek elszámoltathatók a felhőre vonatkozó biztonsági döntések meghozataláért.

Hogyan

Válassza ki azokat a csoportokat vagy személyeket, amelyek a legfontosabb biztonsági döntések meghozataláért lesznek felelősek.

Dokumentálja ezeket a tulajdonosokat, kapcsolattartási adatait, és széles körben közösségiesíti az információkat a biztonsági, informatikai és felhőbeli csapatokban. A szocializáció biztosítja, hogy minden szerepkör könnyen kapcsolatba lépjen velük.

Ezek a területek általában olyan területek, ahol biztonsági döntésekre van szükség. Az alábbi táblázat a döntési kategóriát, a kategória leírását és azt mutatja be, hogy mely csapatok hozzák meg gyakran a döntéseket.

Döntés Description Tipikus csapat
Hálózati biztonság Konfigurálhatja és karbantarthatja a Azure Firewall, a hálózati virtuális berendezéseket (és a társított útválasztást), a webalkalmazási tűzfalakat (WAF-eket), az NSG-ket, az ASG-ket stb. Az infrastruktúra- és végpontbiztonsági csapat a hálózati biztonságra összpontosított
Hálózatkezelés Nagyvállalati szintű virtuális hálózat és alhálózatok lefoglalásának kezelése. Meglévő hálózati üzemeltetési csapat a központi informatikai műveletekben
Kiszolgálóvégpont biztonsága A kiszolgáló biztonságának figyelése és javítása, beleértve a javítást, a konfigurációt, a végpontbiztonságot stb. Központi informatikai üzemeltetési és infrastruktúra- és végpontbiztonsági csapatok közösen
Incidensfigyelés és -reagálás Biztonsági incidensek kivizsgálása és elhárítása a SIEM-ben vagy a forráskonzolon, beleértve a Felhőhöz készült Microsoft Defender, az Azure AD-identitásvédelmet stb. Biztonsági üzemeltetési csapat
Szabályzatkezelés Állítsa be az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC), Felhőhöz készült Microsoft Defender, rendszergazdai védelmi stratégia és Azure Policy használatának irányát az Azure-erőforrások szabályozásához. Szabályzat- és szabványügyi és biztonsági architektúra csapatok közösen
Identitásbiztonság és -szabványok Irányt állíthat be az Azure AD-címtárakhoz, a PIM-/pam-használathoz, a többtényezős hitelesítéshez, a jelszó-/szinkronizálási konfigurációhoz, az alkalmazás identitásszabványaihoz. Identitás- és kulcskezelés, szabályzatok és szabványok, valamint biztonsági architektúra csapatok közösen

Megjegyzés

  • Győződjön meg arról, hogy a döntéshozók megfelelő oktatást biztosítanak a felhő területén ahhoz, hogy ezt a felelősséget el tudják kísérni.
  • Győződjön meg arról, hogy a döntések dokumentálva vannak a szabályzatokban és a szabványokban, hogy hosszú távon rekordokat és útmutatást nyújtson a szervezet számára.

További információ: Az Azure Security Benchmark gs-3: szervezeti szerepkörök, felelősségek és fiókképességek összehangolása

4. Folyamat: Incidenskezelési folyamatok frissítése a felhőben

Nincs időd arra, hogy válságot tervezz a válság idején.

Mi

Folyamatokat frissíthet, és felkészítheti az elemzőket arra, hogy reagáljanak a biztonsági incidensekre az Azure-felhőplatformon. Ez az előkészítés tartalmazza az Ön által alkalmazott natív fenyegetésészlelési eszközöket . Frissítse a folyamatokat, készítse elő a csapatot, és szimulált támadásokkal gyakoroljon, hogy a lehető legjobban tudjanak működni az incidensek kivizsgálása, a szervizelés és a fenyegetéskeresés során.

Miért

Az aktív támadók azonnali kockázatot jelentenek a szervezet számára. A kockázat gyorsan nehezen ellenőrizhetővé válhat. Gyorsan és hatékonyan reagálhat a támadásokra. Ennek az incidenskezelési (IR) folyamatnak hatékonynak kell lennie a teljes tulajdonban, beleértve a vállalati adatokat, rendszereket és fiókokat üzemeltető összes felhőplatformot.

Bár a felhőplatformok sok szempontból hasonlóak, technikailag eltérnek a helyszíni rendszerektől. A helyszíni rendszerek megszakíthatják a meglévő folyamatokat, általában azért, mert az információk más formában érhetők el. Előfordulhat, hogy a biztonsági elemzőknek olyan kihívásokat kell megoldaniuk, amelyek gyorsan reagálnak egy ismeretlen környezetre, amely lelassíthatja őket. Ez az állítás igaz, különösen akkor, ha csak klasszikus helyszíni architektúrákon és hálózati/lemezes kriminalisztikai megközelítéseken tanítják be őket.

Who

Az integrációs modul folyamatának modernizálását általában biztonsági műveletek vezérlik. Az erőfeszítések gyakran más csoportok támogatásával járnak a tudás és a szakértelem terén.

  • Szponzorálás: A biztonsági üzemeltetési igazgató vagy azzal egyenértékű általában a folyamat modernizálásának szponzorálása.

  • Végrehajtás: A meglévő folyamatok adaptálása (vagy első alkalommal történő írása) együttműködésen alapuló munka, amely az alábbiakat foglalja magában:

    • Biztonsági műveletek: Az incidenskezelő csapat vagy a vezetőség folyamat- és integrációfrissítéseket vezet a legfontosabb külső résztvevők számára. Ezek a csapatok közé tartoznak a jogi és kommunikációs, illetve a pr-kapcsolatokért felelős csapatok.
    • Biztonsági műveletek: A biztonsági elemzők szakértelmet nyújtanak a technikai incidensek kivizsgálása és osztályozása terén.
    • Központi informatikai műveletek: Ez a csapat közvetlenül, a felhőbeli kiválósági központon vagy külső tanácsadókon keresztül nyújt szakértelmet a felhőplatformhoz.

Hogyan

Frissítse a folyamatokat, és készítse elő a csapatot, hogy tudják, mit tegyenek, ha aktív támadót találnak.

  • Folyamatok és forgatókönyvek: A meglévő vizsgálatok, a szervizelés és a fenyegetéskeresési folyamatok a felhőplatformok működésének különbségeihez igazítva. A különbségek közé tartoznak az új vagy eltérő eszközök, adatforrások, identitásprotokollok stb.
  • Oktatás: Az elemzők tájékoztatása a felhő általános átalakításáról, a platform működésének technikai részleteiről, valamint az új vagy frissített folyamatokról. Ezek az információk tájékoztatják őket arról, hogy mi változhat, és hová fordulhatnak a szükséges információkért.
  • Fő fókuszterületek: Bár az erőforrás-hivatkozások számos részletet ismertetnek, ezek a területek az oktatásra és a tervezésre összpontosítanak:
    • Megosztott felelősségi modell és felhőarchitektúrák: A biztonsági elemzők számára az Azure egy szoftveralapú adatközpont, amely számos szolgáltatást nyújt. Ezek a szolgáltatások közé tartoznak a helyszínitől eltérő virtuális gépek és egyéb szolgáltatások, például Azure SQL Database Azure Functions stb. A legjobb adatok a szolgáltatásnaplókban vagy a speciális fenyegetésészlelési szolgáltatásokban találhatóak. Nem szerepel a mögöttes operációs rendszerek/virtuális gépek naplóiban, amelyeket a Microsoft üzemeltet, és több ügyfelet is kiszolgál. Az elemzőknek meg kell érteniük és integrálniuk kell ezt a környezetet a napi munkafolyamataikba. Így tudják, hogy milyen adatokra számíthatnak, hol szerezhetik be őket, és milyen formátumban vannak.
    • Végpont-adatforrások: A natív felhőészlelési eszközökkel gyakran gyorsabban, egyszerűbben és pontosabban kaphat elemzéseket és adatokat a felhőben üzemeltetett kiszolgálókon végrehajtott támadásokhoz és kártevőkhez. Az olyan eszközök, mint a Felhőhöz készült Microsoft Defender és a végponti észlelés és reagálás (EDR) pontosabb adatokat biztosítanak, mint a közvetlen lemezhozzáférés hagyományos megközelítései. A közvetlen lemezes kriminalisztika olyan helyzetekben érhető el, ahol ez lehetséges és jogi eljárásokhoz szükséges. További információ: (számítógépes kriminalisztika az Azure-ban). Gyakran azonban ez a módszer a leghatékonyabb módszer a támadások észlelésére és kivizsgálására.
    • Hálózati és identitás adatforrások: A felhőplatformok számos funkciója elsősorban az identitást használja a hozzáférés-vezérléshez. Ez a hozzáférés-vezérlés magában foglalja a Azure Portal elérését is, bár a hálózati hozzáférés-vezérlést is széles körben használják. A hozzáférés-vezérléshez az elemzőknek ki kell dolgozniuk a felhőalapú identitásprotokollok ismeretét, hogy teljes képet kapjanak a támadók tevékenységéről és a jogos felhasználói tevékenységekről az incidensek kivizsgálásának és szervizelésének támogatásához. Az identitáskönyvtárak és protokollok eltérnek a helyszínitől. Ezek általában az SAML, az OAuth és az OpenID Csatlakozás és a felhőkönyvtárakon alapulnak az LDAP, a Kerberos, az NTLM és az Active Directory helyett.
    • Gyakorlatok: A szimulált támadások és válaszok segíthetnek a szervezeti izommemória és a műszaki felkészültség kiépítésében. Előkészítik a biztonsági elemzőket, a fenyegetésvadászokat, az incidenskezelőket és a szervezet más érdekelt feleit. Tanulás a feladat és az alkalmazkodás természetes része az incidenskezelésnek, de a lehető legkisebbre csökkentheti, hogy mennyit kell tanulnia egy válsághelyzetben.

Fő erőforrások

További információ: Azure Security Benchmark IR-1: preparation – update incident response process for Azure.

5. Folyamat: Biztonsági helyzetkezelés létrehozása

Először is, ismerd meg magad.

Mi

Győződjön meg arról, hogy aktívan felügyeli az Azure-környezet biztonsági állapotát a következő lépéssel:

  • A felelősségek egyértelmű tulajdonjogának hozzárendelése a következőhöz:
    • Biztonsági állapot monitorozása
    • Eszközökre vonatkozó kockázatok mérséklése
  • Ezen feladatok automatizálása és egyszerűsítése

Miért

A gyakori biztonsági higiéniai kockázatok gyors azonosítása és elhárítása jelentősen csökkenti a szervezeti kockázatokat.

A felhőalapú adatközpontok szoftveralapú jellege lehetővé teszi a biztonsági kockázatok (például a szoftveres biztonsági rések vagy a biztonsági hibás konfigurációk) folyamatos monitorozását kiterjedt eszközállapottal. A fejlesztők és az informatikai csapat által a virtuális gépek, adatbázisok és egyéb erőforrások üzembe helyezésének sebessége szükségessé teszi az erőforrások biztonságos konfigurálását és aktív figyelését.

Ezek az új képességek új lehetőségeket kínálnak, de az értékek felismerése megköveteli a használatukkal kapcsolatos felelősség hozzárendelését. A gyorsan változó felhőműveletekkel való konzisztens végrehajtáshoz az emberi folyamatokat a lehető legegyszerűbben és automatizáltan kell tartani. Lásd a "meghajtó egyszerűség" biztonsági alapelvét.

Megjegyzés

Az egyszerűsítés és az automatizálás célja nem a munkahelyek megszabadulása, hanem az ismétlődő feladatok terheinek eltávolítása az emberektől, hogy nagyobb értékű emberi tevékenységekre összpontosíthassanak, például az informatikai és a DevOps-csapatok bevonására és oktatására.

Who

Ez a gyakorlat általában két felelősségi csoportra oszlik:

  • Biztonsági helyzet kezelése: Ez a függvény gyakran a meglévő biztonságirés-kezelés vagy irányítási függvények fejlődése. Az eredmény magában foglalja az általános biztonsági állapot figyelését Felhőhöz készült Microsoft Defender biztonsági pontszám és más adatforrások használatával. Ez magában foglalja az erőforrás-tulajdonosokkal való aktívan végzett munkát a kockázatok csökkentése és a biztonsági vezetés számára jelentett kockázatok jelentéséhez.

  • Biztonsági szervizelés: Rendeljen elszámoltathatóságot ezeknek a kockázatoknak a kezeléséhez az erőforrások kezeléséért felelős csapatoknak. Ez az elszámoltathatóság vagy a devOps-csapatokhoz tartozik, amelyek saját alkalmazás-erőforrásaikat kezelik, vagy a központi informatikai műveletekben a technológiaspecifikus csapatokat:

    • Számítási és alkalmazás-erőforrások
      • Alkalmazásszolgáltatások: Alkalmazásfejlesztési/biztonsági csapatok
      • Tárolók: Alkalmazásfejlesztés vagy infrastruktúra/IT-műveletek
      • Virtuális gépek/méretezési csoportok/számítás: INFORMATIKAI/infrastruktúra-műveletek
    • Adat- és tárolási erőforrások
      • SQL/Redis/Data Lake Analytics/data lake store: Adatbázis-csapat
      • Storage fiókok: Storage/infrastruktúra-csapat
    • Identitás- és hozzáférési erőforrások
      • Előfizetések: Identitáskezelési csapatok
      • Key Vault: Identitás- vagy információ-/adatbiztonsági csapat
    • Hálózati erőforrások: Hálózati biztonsági csapat
    • IoT-biztonság: IoT-üzemeltetési csapat

Hogyan

A biztonság mindenki feladata. Nem mindenki tudja azonban, mennyire fontos, mit kell tennie, és hogyan kell csinálni.

  • Az erőforrás-tulajdonosok a rendelkezésre állásért, a teljesítményért, a költségekért és más sikertényezőkért is elszámoltathatók a biztonsági kockázatért.
  • Támogassa az erőforrás-tulajdonosokat, hogy tisztában legyenek azzal, hogy miért fontos a biztonsági kockázat az eszközeiken, mit tehetnek a kockázatok mérséklése érdekében, és hogyan valósíthatják meg minimális hatékonyságvesztéssel.

Fontos

Az erőforrások biztonságossá tételének magyarázata gyakran hasonló a különböző erőforrástípusokhoz és alkalmazásokhoz, de fontos, hogy ezeket az egyes csapatok által már ismert és fontos dolgokhoz kapcsoljuk. A biztonsági csapatok megbízható tanácsadóként és partnerként kapcsolatba léphetnek az informatikai és DevOps-partnerekkel, és arra összpontosíthatnak, hogy ezek a csapatok sikeresek legyenek.

Eszközök: A Felhőhöz készült Microsoft Defender biztonsági pontszáma az Azure legfontosabb biztonsági információinak felmérését nyújtja a legkülönfélébb eszközökhöz. Ez az értékelés lehet a kiindulási pont a testtartás kezelésével kapcsolatban, és szükség szerint kiegészíthető egyéni Azure-szabályzatokkal és más mechanizmusokkal.

Gyakoriság: Állítson be rendszeres ütemezést, általában havonta, hogy áttekintse az Azure biztonsági pontszámát, és konkrét fejlesztési célokkal tervezze meg a kezdeményezéseket. A gyakoriság igény szerint növelhető.

Tipp

Ha lehetséges, gamify the activity to increase engagement, such fun competitions and prizes for the DevOps teams to improve their score the a legtöbbet.

További információ: Az Azure Security Benchmark gs-2: a biztonsági helyzet kezelési stratégiájának meghatározása.

6. Technológia: Jelszó nélküli vagy többtényezős hitelesítés megkövetelése

Fogad a vállalata biztonságára, hogy a profi támadók nem találják ki vagy lopják el a rendszergazda jelszavát?

Mi

A jelszó nélküli vagy többtényezős hitelesítés használatához minden kritikus fontosságú rendszergazda szükséges.

Miért

Ahogy az antik csontvázkulcsok nem védik meg a házat a modern betörők ellen, a jelszavak nem tudják megvédeni a fiókokat a mai gyakori támadások ellen. A technikai részleteket a pa$$word nem számít.

A többtényezős hitelesítés egykor nehézkes extra lépés volt. A jelszó nélküli megközelítések ma javítják, hogy a felhasználók hogyan jelentkeznek be biometrikus módszerekkel, például az arcfelismeréssel Windows Hello és mobileszközökre. Emellett a megbízhatóság nélküli megközelítések megjegyzik a megbízható eszközöket. Ez a módszer csökkenti a sávon kívüli többtényezős hitelesítési műveletek bosszantó kérését. További információ: Felhasználói bejelentkezés gyakorisága.

Who

A jelszó- és többtényezős kezdeményezést általában identitás- és kulcskezelési vagy biztonsági architektúra irányítja.

Hogyan

Jelszó nélküli vagy többtényezős hitelesítés implementálása. Betanítsa a rendszergazdákat arra, hogy miként használhatják, amikor szükségük van rá, és megkövetelhetik a rendszergazdáktól, hogy írásbeli szabályzattal kövessék a használatot. Ezt a következő technológiák közül egy vagy több valósíthatja meg:

Megjegyzés

A szöveges üzenetalapú többtényezős hitelesítés mostantól viszonylag olcsón megkerülhető a támadók számára, ezért a jelszó nélküli és erősebb többtényezős hitelesítésre kell összpontosítani.

További információ: Az Azure Security Benchmark ID-4: erős hitelesítési vezérlők használata minden Azure Active Directory-alapú hozzáféréshez.

7. Technológia: Natív tűzfal és hálózati biztonság integrálása

Egyszerűbbé teszi a rendszerek és az adatok védelmét a hálózati támadásokkal szemben.

Mi

Egyszerűsítheti hálózati biztonsági stratégiáját és karbantartását Azure Firewall, az Azure-webalkalmazási tűzfal (WAF) és az elosztott szolgáltatásmegtagadási (DDoS) kockázatcsökkentések hálózati biztonsági megközelítésbe való integrálásával.

Miért

Az egyszerűség kritikus fontosságú a biztonság szempontjából, mivel csökkenti a félreértések, a helytelen konfigurációk és más emberi hibák kockázatának valószínűségét. Tekintse meg a "meghajtó egyszerűsége" biztonsági alapelvet.

A tűzfalak és a WAF-ok fontos alapvető biztonsági vezérlők az alkalmazások rosszindulatú forgalom elleni védelméhez, de beállításuk és karbantartásuk összetett lehet, és jelentős mennyiségű időt és figyelmet igényelhet a biztonsági csapat számára (hasonlóan az egyéni utángyártott alkatrészek autóhoz való hozzáadásához). Az Azure natív képességei leegyszerűsíthetik a tűzfalak, a webalkalmazási tűzfalak, az elosztott szolgáltatásmegtagadási (DDoS)-megoldások és egyebek megvalósítását és működését.

Ez a gyakorlat időt és figyelmet szabadíthat fel a csapat számára az olyan magasabb szintű biztonsági feladatok esetében, mint például:

  • Az Azure-szolgáltatások biztonságának értékelése
  • Biztonsági műveletek automatizálása
  • Biztonság integrálása alkalmazásokkal és informatikai megoldásokkal

Who

  • Szponzorálás: A biztonsági vezetés vagy az informatikai vezetés általában a hálózati biztonsági stratégia frissítését támogatja.
  • Végrehajtás: A stratégiák felhőhálózati biztonsági stratégiába való integrálása a következő együttműködési erőfeszítésekből áll:
    • Biztonsági architektúra: Felhőhálózati biztonsági architektúra létrehozása felhőalapú hálózattal és felhőhálózati biztonsági vezetőkkel.
    • Felhőhálózati érdeklődők (központi informatikai műveletek) és felhőhálózati biztonsági érdeklődők (infrastruktúra-biztonsági csapat)
      • Felhőhálózati biztonsági architektúra kialakítása biztonsági tervezőkkel.
      • Konfigurálja a tűzfal, az NSG és a WAF képességeit, és együttműködjön az alkalmazástervezőkkel a WAF-szabályokon.
    • Alkalmazástervezők: A hálózati biztonsággal együttműködve WAF-szabálykészleteket és DDoS-konfigurációkat hozhat létre és finomíthat az alkalmazás védelme érdekében a rendelkezésre állás megzavarása nélkül

Hogyan

Azokat a szervezeteket, amelyek egyszerűsíteni szeretnék a működésüket, két lehetőség közül választhatnak:

  • Meglévő képességek és architektúrák kiterjesztése: Számos szervezet gyakran úgy dönt, hogy kibővíti a meglévő tűzfalfunkciók használatát, hogy kihasználhassa a meglévő befektetéseket a készségek és a folyamatintegráció terén, különösen a felhő első bevezetésekor.
  • A natív biztonsági vezérlők használata: Egyre több szervezet kezdi előnyben részesíteni a natív vezérlőket, hogy elkerülje a harmadik féltől származó képességek integrálásának összetettségét. Ezek a szervezetek általában arra törekszenek, hogy elkerüljék a terheléselosztás, a felhasználó által megadott útvonalak, a tűzfal vagy a WAF helytelen konfigurációjának, valamint a különböző technikai csapatok közötti átadások késésének kockázatát. Ez a lehetőség lenyűgöző az infrastruktúrát kódalapú megközelítésként alkalmazó szervezetek számára, mivel egyszerűbben automatizálhatják és alakíthatják a beépített képességeket, mint a harmadik féltől származó képességek.

Az Azure natív hálózati biztonsági képességeivel kapcsolatos dokumentáció a következő helyen található:

Azure Marketplace számos külső tűzfalszolgáltatót tartalmaz.

További információ: Az Azure Security Benchmark ns-4: az alkalmazások és szolgáltatások védelme a külső hálózati támadások ellen.

8. Technológia: Natív fenyegetésészlelés integrálása

Egyszerűbbé teszi az Azure-rendszerek és -adatok elleni támadások észlelését és elhárítását.

Mi

Leegyszerűsítheti a fenyegetésészlelési és -reagálási stratégiát azáltal, hogy natív fenyegetésészlelési képességeket épít be a biztonsági műveletekbe és a SIEM-be.

Miért

A biztonsági műveletek célja az aktív támadók hatásának csökkentése, akik hozzáférnek a környezethez. A hatás mérése a nyugtázási (MTTA) és a szervizelési (MTTR) incidensek átlagos ideje alapján történik. Ez a gyakorlat megköveteli a pontosságot és a sebességet az incidenskezelés minden elemében. Az eredmény segít biztosítani az eszközök minőségét és a folyamatvégrehajtás hatékonyságát.

A meglévő eszközök és megközelítések használatával nehéz magas fenyegetésészlelést elérni. Az eszközöket és megközelítéseket a helyszíni fenyegetésészleléshez tervezték a felhőalapú technológia eltérései és a gyors változási üteme miatt. A natívan integrált észlelések olyan ipari szintű megoldásokat biztosítanak, amelyeket a felhőszolgáltatók tartanak karban, amelyek képesek lépést tartani a jelenlegi fenyegetésekkel és a felhőplatform változásaival.

Ezek a natív megoldások lehetővé teszik a biztonsági üzemeltetési csapatok számára, hogy az incidensek kivizsgálására és szervizelésére összpontosítsanak. Ezekre az elemekre összpontosítson ahelyett, hogy időt szeretne elsiklani azáltal, hogy riasztásokat hoz létre a nem ismert naplóadatokból, integrálja az eszközöket és a karbantartási feladatokat.

Who

Általában a biztonsági üzemeltetési csapat hajtja.

  • Szponzorálás: Ezt a munkát általában a biztonsági üzemeltetési igazgató vagy azzal egyenértékű szerepkör támogatja.
  • Végrehajtás: A natív fenyegetésészlelés integrálása együttműködésen alapuló munka, amely a következő megoldásokat foglalja magában:
    • Biztonsági műveletek: Riasztások integrálása SIEM- és incidensvizsgálati folyamatokba. A biztonsági műveletek megtaníthatják az elemzőket a felhőbeli riasztásokra és azok jelentéseire, valamint a natív felhőeszközök használatára.
    • Incidensek előkészítése: A felhőbeli incidensek integrálása a gyakorlat gyakorlataiba, és annak biztosítása, hogy a gyakorlatok a csapat készenlétének hajtódjanak.
    • Fenyegetésfelderítés: A felhőalapú támadásokkal kapcsolatos információk kutatása és integrálása a csapatok környezettel és intelligenciával való tájékoztatásához.
    • Biztonsági architektúra: Natív eszközök integrálása a biztonsági architektúra dokumentációjába.
    • Szabályzatok és szabványok: Szabványok és szabályzatok beállítása a natív eszközök engedélyezéséhez a teljes szervezetben. Monitorozza a megfelelőséget.
    • Infrastruktúra és végpont / Központi informatikai műveletek: Észlelések konfigurálása és engedélyezése, integráció az automatizálásba és az infrastruktúrába kódmegoldásként.

Hogyan

Engedélyezze a fenyegetésészlelést Felhőhöz készült Microsoft Defender az összes használt erőforráshoz, és minden csapat integrálja ezeket az erőforrásokat a folyamatukba a fent leírtak szerint.

További információ: Az Azure Security Benchmark LT-1: fenyegetésészlelés engedélyezése az Azure-erőforrásokhoz.

9. Architektúra: Egységesítés egyetlen címtáron és identitáson

Senki sem akar több identitással és címtárral foglalkozni.

Mi

Egységesíthet egyetlen Azure AD-címtárban. Az Azure-ban minden alkalmazáshoz és felhasználóhoz egységesíthet egyetlen identitást.

Megjegyzés

Ez az ajánlott eljárás kifejezetten vállalati erőforrásokra vonatkozik. Partnerfiókok esetén használja az Azure AD B2B-t , hogy ne kelljen fiókokat létrehoznia és fenntartania a címtárban. Ügyfél-/állampolgári fiókok esetén az Azure AD B2C-vel kezelheti őket.

Miért

Több fiók és identitáskönyvtár szükségtelen súrlódást okoz. Ez a súrlódás zavart okoz a napi munkafolyamatokban a következőkkel kapcsolatban:

  • Hatékonyságnövelő felhasználók
  • Fejlesztők
  • Informatikai és identitásadminisztrátor
  • Biztonsági elemzők
  • Egyéb szerepkörök

A több fiók és címtár kezelése ösztönzőleg hatja meg a gyenge biztonsági eljárásokat. Ezek közé a gyakorlatok közé tartoznak például a jelszavak újbóli felhasználása a fiókok között. Növeli a támadók által megcélzott elavult vagy elhagyatott fiókok valószínűségét.

Bár néha egyszerűbbnek tűnik az egyéni LDAP-címtárak gyors felállása egy adott alkalmazáshoz vagy számítási feladathoz, ez a művelet sokkal több munkát hoz létre az integrációhoz és a felügyelethez. Ez a munka hasonló ahhoz, mint amikor egy további Azure-bérlőt vagy helyi Active Directory erdőt szeretne beállítani a meglévő vállalati bérlő használata helyett. További információkért tekintse meg az egyszerűség vezérelte biztonsági alapelvet.

Who

Az egyetlen Azure AD-címtár szabványosítása gyakran csapatközi munka. A munkát a biztonsági architektúra , az identitás- és a kulcskezelő csapatok hajtják.

Hogyan

Az új zöldmezős képességekkel kezdődő pragmatikus megközelítés alkalmazása. Ezt követően a meglévő alkalmazások és szolgáltatások barnamezőjével kapcsolatos kihívásokat a következő gyakorlatként törölheti:

  • Zöldmező: Hozzon létre és implementáljon egy egyértelmű szabályzatot, amely szerint minden vállalati identitás egyetlen Azure AD-címtárat használhat egyetlen fiókkal az egyes felhasználók számára.

  • Barnamezős: Sok szervezet gyakran több örökölt címtárat és identitásrendszert használ. Kezelje ezeket az örökölt elemeket, ha a folyamatos felügyeleti súrlódás költsége meghaladja a tisztításhoz szükséges befektetést. Bár az identitáskezelési és szinkronizálási megoldások csökkenthetik a problémák egy részét, a biztonsági és hatékonyságnövelő funkciók nem integrálása nélkülözhetők. Ezek a funkciók zökkenőmentes felhasználói élményt tesznek lehetővé a felhasználók, rendszergazdák és fejlesztők számára.

Az identitáshasználat kombinálásának ideális ideje az alkalmazásfejlesztési ciklusok során, mint Ön:

  • Modernizálja az alkalmazásokat a felhőben.
  • Felhőalkalmazások frissítése DevOps-folyamatokkal.

Bár a független üzleti egységek külön címtárának vagy a szabályozási követelményeknek vannak érvényes okai, minden más körülmények között kerülje a több címtár használatát.

További információ: Az Azure Security Benchmark ID-1: standardizálása Azure Active Directory központi identitás- és hitelesítési rendszerként.

Fontos

Az egyetlen fiókszabály alól csak az a kivétel, hogy a kiemelt felhasználók (beleértve az informatikai rendszergazdákat és a biztonsági elemzőket) külön fiókokkal rendelkezhetnek a szokásos felhasználói feladatokhoz és a felügyeleti feladatokhoz.

További információ: Azure Security Benchmark emelt szintű hozzáférés.

10. Architektúra: kulcsok helyett identitásalapú hozzáférés-vezérlés használata

Mi

Ahol csak lehetséges, használja az Azure AD-identitásokat kulcsalapú hitelesítés helyett (Azure-szolgáltatások, alkalmazások, API-k stb.).

Miért

A kulcsalapú hitelesítés használható a felhőszolgáltatások és API-k hitelesítésére. Azonban a kulcsok biztonságos kezelését igényli, ami kihívást jelent, különösen nagy méretekben. A biztonságos kulcskezelés nehéz a nem biztonsági szakemberek, például a fejlesztők és az infrastruktúra-szakemberek számára, és gyakran nem tudják biztonságosan elvégezni, gyakran jelentős biztonsági kockázatokat okozva a szervezet számára.

Az identitásalapú hitelesítés számos ilyen kihívást leküzd, és kiforrott képességekkel rendelkezik. A képességek közé tartozik a titkos kulcsok rotálása, az életciklus-kezelés, a felügyeleti delegálás és egyebek.

Who

Az identitásalapú hozzáférés-vezérlés megvalósítása gyakran csapatközi munka. A munkát a biztonsági architektúra , az identitás- és a kulcskezelő csapatok hajtják.

Hogyan

Az identitásalapú hitelesítés szervezeti beállításának és szokásának beállításához egy folyamat követésére és a technológia engedélyezésére van szükség.

A folyamat

  1. Olyan szabályzatokat és szabványokat hozhat létre, amelyek egyértelműen ismertetik az alapértelmezett identitásalapú hitelesítést és az elfogadható kivételeket.
  2. Tájékoztassa a fejlesztőket és az infrastruktúra-csapatokat arról, hogy miért érdemes használni az új megközelítést, mit kell tenniük, és hogyan kell csinálniuk.
  3. A módosítások gyakorlati megvalósításához kezdjen új zöldmezős képességeket bevezetni most és a jövőben (új Azure-szolgáltatások, új alkalmazások), majd kövesse a meglévő barnamezős konfigurációk törlését.
  4. Figyelheti a megfelelőséget, és nyomon követheti a fejlesztői és infrastruktúra-csapatokat a szervizeléshez.

A technológiák

Nem emberi fiókok, például szolgáltatások vagy automatizálás esetén használjon felügyelt identitásokat. Az Azure-beli felügyelt identitások hitelesíthetők az Azure AD-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítés előre definiált hozzáférés-engedélyezési szabályokkal van engedélyezve, így elkerülhetők a forráskódban vagy konfigurációs fájlokban található, rögzített hitelesítő adatok.

A felügyelt identitásokat nem támogató szolgáltatások esetében az Azure AD használatával hozzon létre egy korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Azt javasoljuk, hogy konfigurálja a szolgáltatásneveket a tanúsítvány hitelesítő adataival, és térjen vissza az ügyfél titkos kulcsaihoz. Az Azure Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal, így a futtatókörnyezet (például egy Azure-függvény) lekérheti a hitelesítő adatokat a kulcstartóból.

További információ: Az Azure Security Benchmark ID-2: az alkalmazásidentitások biztonságos és automatikus kezelése.

11. Architektúra: egységesített biztonsági stratégia kialakítása

Mindenkinek ugyanabban az irányban kell sorba lépnie ahhoz, hogy a hajó továbbhaladjon.

Mi

Győződjön meg arról, hogy minden csapat egyetlen olyan stratégiához van igazítva, amely lehetővé teszi és védi a vállalati rendszereket és adatokat.

Miért

Ha a csapatok elkülönítve dolgoznak anélkül, hogy egy közös stratégiához igazodnak, az egyes műveletek véletlenül gyengíthetik egymás erőfeszítéseit. A téves rendezés szükségtelen súrlódást okozhat, amely lelassítja a haladást mindenki céljaival szemben.

Az elkülönítésben dolgozó, számos szervezetben konzisztensen dolgozó csapatok egyik példája az eszközök szegmentálása:

  • Hálózati biztonság: Egy egybesimított hálózat szegmentálására szolgáló stratégiát fejleszt. A stratégia növeli a biztonságot, gyakran fizikai helyek, hozzárendelt IP-címek/tartományok vagy hasonló elemek alapján.
  • Identitáskezelési csapat: A csoportok és az Active Directory szervezeti egységek (OU-k) stratégiáját fejleszti a szervezet ismerete és ismerete alapján.
  • Alkalmazáscsapatok: Ezekkel a rendszerekkel nehéz dolgozni. Ez azért nehéz, mert az üzleti műveletek, célok és kockázatok korlátozott bevitelével és megértésével lettek kialakítva.

Azokban a szervezetekben, ahol ez a korlátozás történik, a csapatok gyakran tapasztalnak ütközéseket tűzfalkivételeket. Az ütközések negatív hatással lehetnek a biztonságra, mert a csapatok jóváhagyják a kivételeket. A termelékenység negatívan befolyásolja a biztonságot, mivel az üzembe helyezés lassul az üzleti igényeknek megfelelő alkalmazásfunkciók esetében.

Bár a biztonság egészséges súrlódást okozhat a kritikus gondolkodás kényszerítésével, ez az ütközés csak a célokat akadályozó, nem kifogástalan súrlódást okoz. További információkért tekintse meg a biztonsági stratégia útmutatását: a biztonsági súrlódás megfelelő szintje.

Who

  • Szponzorálás: Az egységes stratégiát általában az CIO, a CISO és a CTO együttese határozza meg. A szponzorálás gyakran üzleti vezetői támogatást nyújt néhány magas szintű elemhez, és minden csapat képviselői támogatják.
  • Végrehajtás: A biztonsági stratégiát mindenkinek végre kell hajtania. A különböző csapatok adatait integrálja, hogy növelje a tulajdonjogot, a bevásárlást és a siker valószínűségét.
    • Biztonsági architektúra: Ez a csapat a biztonsági stratégia és az eredményül kapott architektúra kialakítására irányuló erőfeszítéseket vezeti. A biztonsági architektúra aktívan gyűjti a csapatok visszajelzéseit, és a különböző közönség számára bemutatókban, dokumentumokban és diagramokban dokumentálja azokat.
    • Szabályzat és szabványok: Ez a csapat rögzíti a megfelelő elemeket a szabványokban és szabályzatokban, majd figyeli a megfelelőséget.
    • Minden műszaki informatikai és biztonsági csapat: Ez a csapat bemeneti követelményeket biztosít, majd igazodik a vállalati stratégiához és implementálja azt.
    • Alkalmazástulajdonosok és fejlesztők: Ezek a csapatok elolvashatják és megérthetik a rájuk vonatkozó stratégiai dokumentációt. Ideális esetben a szerepkörükhöz igazítják az útmutatást.

Hogyan

Hozzon létre és implementáljon egy felhőre vonatkozó biztonsági stratégiát, amely tartalmazza az összes csapat bemenetét és aktív részvételét. Bár a folyamatdokumentáció formátuma eltérő lehet, mindig tartalmazza a következőket:

  • Aktív bevitel a csapatoktól: A stratégiák általában sikertelenek, ha a szervezet tagjai nem vásárolnak bele. Ideális esetben az összes csapat ugyanabban a helyiségben található a stratégia közös kialakításához. Az ügyfelekkel tartott workshopokon gyakran előfordul, hogy a szervezetek de facto silókban működnek, és ezek az értekezletek gyakran azt eredményezik, hogy az emberek először találkoznak egymással. Úgy látjuk, hogy a befogadás követelmény. Ha egyes csapatokat nem hívnak meg, ezt az értekezletet általában meg kell ismételni, amíg az összes résztvevő be nem csatlakozik hozzá. Ha nem csatlakoznak, a projekt nem lép előre.
  • Dokumentálva és egyértelműen közölve: Minden csapatnak tisztában kell lennie a biztonsági stratégiával. Ideális esetben a biztonsági stratégia az általános technológiai stratégia biztonsági összetevője. Ez a stratégia magában foglalja a biztonság integrálásának okát, a biztonságban fontos szempontokat és a biztonsági sikerek megjelenését. Ez a stratégia konkrét útmutatást tartalmaz az alkalmazás- és fejlesztési csapatok számára, hogy világos, rendezett útmutatást kapjanak anélkül, hogy át kellene olvasniuk a nem releváns információkat.
  • Stabil, de rugalmas: A stratégiák viszonylag konzisztensek és stabilak maradnak, de az architektúráknak és a dokumentációnak egyértelművé kell tenni a felhő dinamikus jellegét. A rosszindulatú külső forgalom kiszűrése például akkor is következetes marad, mint stratégiai imperatív, még akkor is, ha a külső gyártótól származó következő generációs tűzfalról Azure Firewall és a diagramok módosítására és a végrehajtására vonatkozó útmutatásra vált.
  • Kezdje a szegmentálással: A felhőbevezetés során a csapatok számos, nagy és kicsi stratégiai problémával foglalkoznak, de valahol el kell kezdenie. Javasoljuk, hogy indítsa el a biztonsági stratégiát a vállalati eszközök szegmentálásával. Ez a szegmentálás egy alapvető döntés, amely később kihívást jelent a változáshoz, és mind az üzleti, mind a technikai csapatokat igényli.

A Microsoft videós útmutatót tett közzé szegmentálási stratégia Azure-ra való alkalmazásához. A vállalati szegmentálásról és a hálózati biztonság hozzáigazításáról szóló dokumentumok is közzé vannak téve.

A felhőadaptálási keretrendszer útmutatást tartalmaz a csapatoknak a következőkhöz:

További információkért lásd az Azure Security Benchmark szabályozását és stratégiáját.