Biztonságvezérlés: Biztonságos konfiguráció
Megjegyzés
A legfrissebb Azure Security Benchmark itt érhető el.
Az Azure-erőforrások biztonsági konfigurációjának létrehozása, implementálása és aktívan kezelése (nyomon követése, jelentése, javítása), hogy a támadók ne használják ki a sebezhető szolgáltatásokat és beállításokat.
7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.1 | 5,1 | Ügyfél |
Használjon Azure Policy aliasokat egyéni szabályzatok létrehozásához az Azure-erőforrások konfigurációjának naplózásához vagy kikényszerítéséhez. Használhat beépített Azure Policy definíciókat is.
Emellett az Azure Resource Manager képes exportálni a sablont JavaScript Object Notation (JSON) formátumban, amelyet felül kell vizsgálni annak biztosítása érdekében, hogy a konfigurációk megfeleljenek a szervezet biztonsági követelményeinek.
A Azure Security Center javaslatait is használhatja az Azure-erőforrások biztonságos konfigurációs alapkonfigurációjaként.
Oktatóanyag: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez
Egy- és több erőforrásból álló exportálás sablonba Azure Portal
7.2: Biztonságos operációsrendszer-konfigurációk létrehozása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.2 | 5,1 | Ügyfél |
Használja Azure Security Center javaslatokat az összes számítási erőforrás biztonsági konfigurációinak fenntartásához. Emellett egyéni operációsrendszer-lemezképeket vagy Azure Automation állapotkonfigurációt is használhat a szervezet által igényelt operációs rendszer biztonsági konfigurációjának meghatározásához.
VHD feltöltése és használata új Windows rendszerű virtuális gépek létrehozásához az Azure-ban
Linux rendszerű virtuális gép létrehozása egyéni lemezről az Azure CLI használatával
7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.3 | 5,2 | Ügyfél |
Használja Azure Policy [megtagadás] és [üzembe helyezés, ha nem létezik], hogy biztonságos beállításokat kényszerítsen ki az Azure-erőforrásokban. Emellett Azure Resource Manager-sablonokat is használhat a szervezet által igényelt Azure-erőforrások biztonsági konfigurációjának fenntartásához.
7.4: Biztonságos operációsrendszer-konfigurációk fenntartása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7,4 | 5,2 | Megosztott |
Kövesse Azure Security Center ajánlásait az Azure-beli számítási erőforrások sebezhetőségi felméréseinek elvégzésére vonatkozóan. Emellett Azure Resource Manager-sablonokat, egyéni operációsrendszer-lemezképeket vagy Azure Automation State konfigurációt is használhat a szervezet által igényelt operációs rendszer biztonsági konfigurációjának fenntartásához. A Microsoft virtuálisgép-sablonjai és a Azure Automation Desired State Configuration együttesen segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.
Azt is vegye figyelembe, hogy Azure Marketplace Microsoft által közzétett virtuálisgép-rendszerképeket a Microsoft kezeli és tartja karban.
Azure Security Center sebezhetőségi felmérésre vonatkozó javaslatok megvalósítása
Azure-beli virtuális gép létrehozása Azure Resource Manager-sablonból
Példaszkript egy VHD Azure-ba történő feltöltéséhez és új virtuális gép létrehozásához
7.5: Az Azure-erőforrások konfigurációjának biztonságos tárolása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7,5 | 5.3 | Ügyfél |
Az Azure DevOps használatával biztonságosan tárolhatja és kezelheti a kódot, például egyéni Azure-szabályzatokat, Azure Resource Manager-sablonokat és Desired State Configuration-szkripteket. Az Azure DevOpsban kezelt erőforrások eléréséhez engedélyeket adhat vagy tagadhat meg adott felhasználóknak, beépített biztonsági csoportoknak vagy az Azure Active Directoryban (Azure AD) meghatározott csoportoknak, ha az Azure DevOpsba van integrálva, vagy megtagadhatja az Engedélyek megtagadása beállítást, ha a TFS-sel van integrálva.
7.6: Egyéni operációsrendszer-lemezképek biztonságos tárolása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.6 | 5.3 | Ügyfél |
Egyéni rendszerképek használata esetén az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá a rendszerképekhez. Egy Shared Image Gallery segítségével megoszthatja a képeket a szervezet különböző felhasználóival, szolgáltatásnevekkel vagy AD-csoportokkal. Tárolórendszerképek esetében tárolja őket Azure Container Registry, és használja az Azure RBAC-t, hogy csak a jogosult felhasználók férhessenek hozzá a lemezképekhez.
7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.7 | 5.4 | Ügyfél |
Standard biztonsági konfigurációk definiálása és implementálása Azure-erőforrásokhoz Azure Policy használatával. Használjon Azure Policy aliasokat egyéni szabályzatok létrehozásához az Azure-erőforrások hálózati konfigurációjának naplózásához vagy kikényszerítéséhez. Használhatja az adott erőforrásokhoz kapcsolódó beépített szabályzatdefiníciókat is. Emellett Azure Automation is használhatja a konfigurációs módosítások üzembe helyezéséhez.
7.8: Konfigurációkezelő eszközök telepítése operációs rendszerekhez
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7,8 | 5.4 | Ügyfél |
Azure Automation State Configuration egy konfigurációkezelő szolgáltatás Desired State Configuration (DSC) csomópontokhoz bármely felhőbeli vagy helyszíni adatközpontban. Könnyedén előkészítheti a gépeket, deklaratív konfigurációkat rendelhet hozzájuk, és megtekintheti az egyes gépeknek a megadott célállapotnak való megfelelőségét mutató jelentéseket.
7.9: Azure-erőforrások automatizált konfigurációmonitorozásának implementálása
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.9 | 5,5 | Ügyfél |
A Azure Security Center használatával alapkonfiguráció-vizsgálatokat végezhet az Azure-erőforrásokon. Emellett az Azure Policy használatával riasztást és naplózást végezhet az Azure-erőforrások konfigurációiban.
7.10: Automatizált konfigurációfigyelés implementálása operációs rendszerekhez
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.10 | 5,5 | Ügyfél |
A tárolók operációs rendszerének és Docker-beállításainak alapkonfiguráció-vizsgálatához használja a Azure Security Center.
7.11: Azure-titkos kódok biztonságos kezelése
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.11 | 13,1 | Ügyfél |
A felügyeltszolgáltatás-identitás és az Azure Key Vault együttes használatával leegyszerűsítheti és biztonságossá teheti a felhőalkalmazások titkos kulcsainak kezelését.
7.12: Identitások biztonságos és automatikus kezelése
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.12 | 4.1 | Ügyfél |
A Felügyelt identitások használatával automatikusan felügyelt identitást biztosíthat az Azure-szolgáltatások számára Azure AD. A felügyelt identitások lehetővé teszik a hitelesítést bármely olyan szolgáltatásban, amely támogatja a Azure AD hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezik.
7.13: A hitelesítő adatok nem kívánt expozíciójának kiküszöbölése
| Azure-azonosító | CIS-azonosítók | Felelősség |
|---|---|---|
| 7.13 | 18.1, 18.7 | Ügyfél |
Implementálja a Credential Scannert a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.
Következő lépések
- Lásd a következő biztonsági vezérlőt: Malware Defense