Megoldási ötletek
Ez a cikk egy megoldási ötletet ismertet. A felhőmérnök ezen útmutató segítségével megjelenítheti az architektúra tipikus implementációjának fő összetevőit. Ez a cikk kiindulási pontként szolgál egy jól megtervezett megoldás megtervezéséhez, amely megfelel a számítási feladat egyedi követelményeinek.
Ez a cikk bemutatja, hogyan ábrázolhatja a szervezet alapvető informatikai környezetét, és hogyan hozhat létre fenyegetéstérképet. Ezek a diagramok értékes eszközök egy robusztus védelmi biztonsági réteg tervezéséhez és létrehozásához. Az informatikai környezet és architektúrája megértése elengedhetetlen a megfelelő védelem biztosításához szükséges biztonsági szolgáltatások azonosításához.
A számítógépes rendszerek olyan információkat tárolnak, amelyek nem csak az azt létrehozó szervezetek, hanem a rosszindulatú szereplők számára is értékesek. Ezek a szereplők, akár egyének, akár csoportok, olyan káros tevékenységeket folytatnak, amelyek a vállalatok számítógépeinek, eszközeinek, rendszereinek és hálózatainak veszélyeztetésére vagy károsítására irányulnak. Céljuk gyakran a bizalmas adatok ellopása vagy sérülése olyan fenyegetésekkel, mint a kártevők vagy találgatásos támadások.
Ebben a cikkben bemutatunk egy módszert az informatikai környezet fenyegetéseinek leképezésére, amely lehetővé teszi a Microsoft biztonsági szolgáltatások megvalósításának megtervezését a biztonsági stratégia részeként. Ez a második cikk egy ötből álló sorozatban, az előző részletben bemutatott módon. Az Azure Monitorozás használatával integrálhatja a biztonsági összetevőket.
A jó hír az, hogy nem kell teljesen új fenyegetéstérképet létrehoznia. A MITRE ATT&CK mátrix kiváló erőforrást kínál a fejlesztéshez. A MITRE ATT&CK egy globális tudásbázis, amely megfigyelt taktikák és technikák alapján térképi fel a valós fenyegetéseket. A MITRE Corporation részletesen dokumentál minden ismert fenyegetést, értékes betekintést nyújt a fenyegetések működésébe és az ellenük való védekezés módjába. Ez a nyilvánosan elérhető erőforrás online elérhető a MITRE ATT&CK-ban®.
Ebben a cikkben ezeknek a fenyegetéseknek egy részhalmazát használjuk annak szemléltetésére, hogyan képezheti le a fenyegetéseket az informatikai környezetére.
Lehetséges használati esetek
Egyes fenyegetések minden iparágban gyakoriak, például zsarolóprogramok, DDoS-támadások, helyek közötti szkriptelés és SQL-injektálás. Azonban számos szervezetnek egyedi fenyegetéseknek kell szembenéznie az iparágaikban, vagy a korábbi kibertámadások alapján. A cikkben szereplő diagram segíthet a szervezet fenyegetéseinek feltérképezésében a rosszindulatú szereplők által leginkább érintett területek azonosításával. A fenyegetéstérképek létrehozásával megtervezheti a szükséges védelmi rétegeket egy biztonságosabb környezethez.
Ezt a diagramot a támadások különböző kombinációinak modellezéséhez és azok megelőzésének és csökkentésének jobb megértéséhez igazíthatja. Bár a MITRE ATT&CK-keretrendszer hasznos hivatkozás, nem kötelező. A Microsoft Sentinel és más Microsoft biztonsági szolgáltatások is együttműködnek a MITRE-vel, hogy értékes betekintést nyújtsanak a különböző fenyegetésekbe.
Egyes szervezetek a Lockheed Martin módszertana, a Cyber Kill Chain® használatával térképezik fel és értelmezik, hogyan hajtanak végre támadásokat vagy támadássorozatokat egy informatikai környezet ellen. A Cyber Kill Chain úgy szervezi a fenyegetéseket és támadásokat, hogy kevesebb taktikát és technikát mérlegel, mint a MITRE ATT&CK-keretrendszer. Ennek ellenére hatékony segítséget nyújt a fenyegetések és azok végrehajtásának megértésében. Erről a módszertanról további információt a Cyber Kill Chain című témakörben talál.
Architektúra
Töltse le az architektúra Visio-fájlját.
©2021 A MITRE Corporation. Ezt a munkát a MITRE Corporation engedélyével reprodukálják és terjesztik.
A szervezetek informatikai környezetében csak az Azure-hoz és a Microsoft 365-höz adhatja meg az összetevőket. Az adott informatikai környezet tartalmazhat különböző technológiai szolgáltatóktól származó eszközöket, berendezéseket és technológiákat.
Az Azure-környezetben a diagram az alábbi táblázatban felsorolt összetevőket mutatja be.
| Címke | Dokumentáció |
|---|---|
| Virtuális hálózat | Mi az Azure Virtual Network? |
| LBS | Mi az Azure Load Balancer? |
| SÍPJEL | Nyilvános IP-címek |
| SZERVEREK | Virtuális gépek |
| K8S | Azure Kubernetes Service |
| VDI | Mi az Az Azure Virtual Desktop? |
| WEBALKALMAZÁSOK | Az App Service áttekintése |
| AZURE STORAGE | A Microsoft Azure Storage bemutatása |
| DB | Mi az Azure SQL Database? |
| Microsoft Entra ID | Mi a Microsoft Entra-azonosító? |
A diagram a Microsoft 365-öt ábrázolja az alábbi táblázatban felsorolt összetevőkön keresztül.
| Címke | Leírás | Dokumentáció |
|---|---|---|
OFFICE 365 |
Microsoft 365-szolgáltatások (korábban Office 365). A Microsoft 365 által elérhetővé tesz alkalmazások a licenc típusától függenek. | Microsoft 365 – Office Apps-előfizetés |
Microsoft Entra ID |
Microsoft Entra ID, ugyanaz, amelyet az Azure használ. Sok vállalat ugyanazt a Microsoft Entra szolgáltatást használja az Azure-hoz és a Microsoft 365-höz. | Mi a Microsoft Entra-azonosító? |
Munkafolyamat
A jelen cikkben szereplő architektúradiagram egy helyszíni rendszerekkel, Microsoft 365-előfizetéssel és Azure-előfizetéssel rendelkező szervezet tipikus informatikai környezetén alapul, amely segít megérteni, hogy az informatikai környezet mely részét fenyegeti a fenyegetés. Az egyes rétegek erőforrásai olyan szolgáltatások, amelyek sok vállalat számára gyakoriak. A diagramban a Microsoft Teljes felügyelet alappillérei szerint vannak besorolva: hálózat, infrastruktúra, végpont, alkalmazás, adatok és identitás. A Teljes felügyelet kapcsolatos további információkért lásd: Proaktív biztonság Teljes felügyelet.
Az architektúradiagram a következő rétegeket tartalmazza:
A helyszínen
A diagram néhány alapvető szolgáltatást tartalmaz, például a kiszolgálókat (virtuális gépeket), a hálózati berendezéseket és a DNS-t. Olyan gyakori alkalmazásokat tartalmaz, amelyek a legtöbb informatikai környezetben találhatók, és virtuális gépeken vagy fizikai kiszolgálókon futnak. Emellett különböző típusú adatbázisokat is tartalmaz, az SQL-t és a nem SQL-t is. A szervezetek általában rendelkeznek olyan fájlkiszolgálóval, amely a vállalat teljes területén fájlokat oszt meg. Végül a Active Directory-tartomány szolgáltatás, amely széles körben elterjedt infrastruktúra-összetevő, kezeli a felhasználói hitelesítő adatokat. A diagram a helyszíni környezet összes összetevőjét tartalmazza.
Office 365-környezet
Ez a példakörnyezet olyan hagyományos irodai alkalmazásokat tartalmaz, mint a Word, az Excel, a PowerPoint, az Outlook és a OneNote. A licenc típusától függően más alkalmazásokat is tartalmazhat, például a OneDrive-ot, az Exchange-et, a SharePointot és a Teamst. A diagramon a Microsoft 365 -ös (korábban Office 365-ös) alkalmazások ikonja és a Microsoft Entra-azonosító ikonja látható. A Microsoft 365-alkalmazásokhoz való hozzáféréshez hitelesíteni kell a felhasználókat, és a Microsoft Entra ID identitásszolgáltatóként működik. A Microsoft 365 ugyanazzal a Microsoft Entra-azonosítóval hitelesíti a felhasználókat, mint amelyet az Azure használ. A legtöbb szervezetben a Microsoft Entra ID-bérlő az Azure-ban és a Microsoft 365-ben is ugyanaz.
Azure-környezet
Ez a réteg az Azure nyilvános felhőszolgáltatásait képviseli, beleértve a virtuális gépeket, a virtuális hálózatokat, a szolgáltatások platformjait, a webalkalmazásokat, az adatbázisokat, a tárterületeket, az identitásszolgáltatásokat stb. Az Azure-ról további információt az Azure dokumentációjában talál.
MITRE ATT&CK taktikák és technikák
Ez az ábra a 16 leggyakoribb fenyegetést mutatja be a MITRE Corporation által közzétett taktikák és technikák szerint. Piros vonalakban egy vegyes támadásra láthat példát, ami azt jelenti, hogy egy rosszindulatú szereplő egyszerre több támadást is koordinálhat.
A MITRE ATT&CK keretrendszer használata
Kezdje egy egyszerű kereséssel a fenyegetés vagy a támadási kód nevére a fő weblapon, a MITRE ATT&CK-n®.
A fenyegetéseket a taktikák vagy technikák oldalán is böngészheti:
Továbbra is használhatja a MITRE ATT&CK® Navigátort, a MITRE által biztosított intuitív eszközt, amely segít felderíteni a taktikákat, technikákat és a fenyegetések részleteit.
Összetevők
A cikkben szereplő példaarchitektúra a következő Azure-összetevőket használja:
A Microsoft Entra ID egy felhőalapú identitás- és hozzáférés-kezelési szolgáltatás. A Microsoft Entra ID segítségével a felhasználók hozzáférhetnek külső erőforrásokhoz, például a Microsoft 365-höz, az Azure Portalhoz és több ezer más SaaS-alkalmazáshoz. Emellett segít a belső erőforrások, például a vállalati intranetes hálózaton lévő alkalmazások elérésében.
Az Azure Virtual Network az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózat számos Azure-erőforrástípus számára teszi lehetővé az egymással, az internettel és a helyszíni hálózatokkal való biztonságos kommunikációt. A Virtuális hálózat olyan virtuális hálózatot biztosít, amely az Azure infrastruktúrájának előnyeit biztosítja, például a skálázást, a rendelkezésre állást és az elkülönítést.
Az Azure Load Balancer egy nagy teljesítményű, alacsony késésű 4. rétegbeli terheléselosztási szolgáltatás (bejövő és kimenő) az összes UDP- és TCP-protokollhoz. Másodpercenként több millió kérés kezelésére készült, miközben biztosítja, hogy a megoldás magas rendelkezésre állású legyen. Az Azure Load Balancer zónaredundáns, így magas rendelkezésre állást biztosít a rendelkezésre állási zónák között.
A virtuális gépek egyike az Azure által kínált, igény szerinti, méretezhető számítási erőforrásoknak. Egy Azure-beli virtuális gép (VM) lehetővé teszi a virtualizálás rugalmasságát anélkül, hogy meg kellene vásárolnia és fenntartania az azt futtató fizikai hardvert.
Az Azure Kubernetes service (AKS) egy teljes körűen felügyelt Kubernetes-szolgáltatás a tárolóalapú alkalmazások üzembe helyezéséhez és kezeléséhez. Az AKS kiszolgáló nélküli Kubernetes-t, folyamatos integrációt/folyamatos teljesítést (CI/CD) és nagyvállalati szintű biztonságot és irányítást biztosít.
Az Azure Virtual Desktop egy asztali és alkalmazásvirtualizálási szolgáltatás, amely a felhőben fut, hogy asztalokat biztosítson a távoli felhasználók számára.
A Web Apps egy HTTP-alapú szolgáltatás webalkalmazások, REST API-k és mobil háttérrendszerek üzemeltetésére. A kedvenc nyelven fejleszthet, és az alkalmazások windowsos és Linux-alapú környezetekben is könnyedén futnak és méretezhetők.
Az Azure Storage magas rendelkezésre állású, nagymértékben méretezhető, tartós és biztonságos tároló a felhőben található különböző adatobjektumokhoz, beleértve az objektumokat, blobokat, fájlokat, lemezeket, üzenetsorokat és táblatárolókat. Az Azure Storage-fiókba írt összes adatot a szolgáltatás titkosítja. Az Azure Storage használatával részletesen szabályozhatja, hogy ki férhet hozzá az adatokhoz.
Az Azure SQL Database egy teljes mértékben felügyelt PaaS-adatbázismotor, amely kezeli az adatbázis-kezelési funkciók többségét, például a frissítést, a javítást, a biztonsági mentéseket és a monitorozást. Felhasználói beavatkozás nélkül biztosítja ezeket a függvényeket. Az SQL Database számos beépített biztonsági és megfelelőségi funkciót biztosít, amelyek segítenek az alkalmazásnak megfelelni a biztonsági és megfelelőségi követelményeknek.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Rudnei Oliveira | Vezető Azure biztonsági mérnök
Egyéb közreműködők:
- Gary Moore | Programozó/író
- Andrew Nathan | Vezető ügyfélmérnöki vezető
Következő lépések
Ez a dokumentum néhány szolgáltatásra, technológiára és terminológiára hivatkozik. Ezekről az alábbi forrásokban talál további információt:
- MITRE ATT&CK®
- ATT&CK® Kezelő)
- Nyilvános előzetes verzió: A MITRE ATT&CK-keretrendszer panelje a Microsoft Sentinelben, az Azure Cloud & AI Domain blog bejegyzése
- A cyber kill lánc®
- Proaktív biztonság Teljes felügyelet
- Kevert fenyegetés a Wikipédián
- Hogyan változnak a kibertámadások a Microsoft Security Blog új Microsoft Digitális védelmi jelentés szerint
Kapcsolódó erőforrások
A referenciaarchitektúra további részleteiért tekintse meg a sorozat többi cikkét:
- 1. rész: Biztonsági összetevők integrálása az Azure Monitorozás használatával
- 3. rész: Az első védelmi réteg létrehozása az Azure Security-szolgáltatásokkal
- 4. rész: A második védelmi réteg kiépítése a Microsoft Defender XDR Biztonsági szolgáltatásokkal
- 5. rész: Az Azure és a Microsoft Defender XDR biztonsági szolgáltatásainak integrálása