Az Azure ajánlott biztonsági eljárásai
Ez a cikk az ajánlott biztonsági eljárásokat ismerteti, amelyek az ügyfelek tapasztalatain és a saját környezetünkben szerzett tapasztalatokon alapulnak.
Videóbemutatóért tekintse meg az Azure biztonságával kapcsolatos ajánlott eljárásokat.
1. Kapcsolatok: A csapatok tájékoztatása a felhőbiztonsági folyamatról
A csapatnak meg kell értenie, milyen úton haladnak.
Mi?
Tájékoztassa a biztonsági és informatikai csapatokat a felhőbeli biztonsági folyamatról és az általuk végrehajtott változásokról, többek között az alábbiakról:
- Fenyegetések a felhőben
- A megosztott felelősségi modell és annak hatása a biztonságra
- A kulturális környezet, valamint a jellemzően felhőbevezetéssel járó szerepkörök és felelősségek változásai
Miért?
A felhőbiztonság szemléletváltást és megközelítést igényel. Bár a szervezet számára biztosított biztonsági eredmények nem változnak, a felhőbeli eredmények elérésének legjobb módja jelentősen változhat.
A felhőbe való áttérés hasonlít az önálló házról egy magasházra való áttéréshez. Még mindig rendelkezik alapszintű infrastruktúrával, például vízvezetékekkel és elektromossággal, és hasonló tevékenységeket végez, mint például a szocializáció, a főzés, a TV és az internet stb. Azonban gyakran elég nagy különbség van abban, hogy mi jár az épülettel, ki biztosítja és tartja karban azt, valamint a napi rutinját.
Ki?
A biztonsági és informatikai szervezet minden biztonsági felelősségi körébe tartozó személynek, az CIO-tól vagy a CISO-tól kezdve a műszaki szakemberekig, ismernie kell a változásokat.
Hogyan?
Adja meg a csapatoknak a felhőkörnyezetre való áttérés során történő sikeres üzembe helyezéshez és működéshez szükséges környezetet.
A Microsoft az alábbi tanulságokat tette közzé, amelyeket az ügyfelek és az informatikai szervezet a felhőbe vezető útjukról tanultak meg.
- Hogyan alakulnak a biztonsági szerepkörök és a felelősségek a biztonsági szervezetben?
- A veszélyforrások környezetének, szerepköreinek és digitális stratégiáinak fejlődése.
- A biztonság, a stratégiák, az eszközök és a fenyegetések átalakítása.
- A Microsoft tapasztalata a rugalmas skálázású felhőkörnyezet biztonságossá tételében.
További információ: Azure Security Benchmark szerepkörök, felelősségek és fiókképességek.
2. Kapcsolatok: A csapatok képzése a felhőbiztonsági technológiákról
Kapcsolatok meg kell érteniük, hová mennek.
Mi?
Győződjön meg arról, hogy a csapatok rendelkeznek a felhőbeli erőforrások biztonságossá tételével kapcsolatos műszaki oktatásra szánt időre, beleértve a következőket:
- Felhőtechnológia és felhőbiztonsági technológia
- Ajánlott konfigurációk és ajánlott eljárások
- További technikai részletek
Miért?
A műszaki csapatoknak hozzá kell férni a műszaki információkhoz a megalapozott biztonsági döntések meghozatalához. A műszaki csapatok jól tanulnak új technológiákat a feladathoz, de a felhőbeli részletek mennyisége gyakran túlterheli a tanulás napi rutinba való illesztésének képességét.
Különítsen el külön időt a műszaki tanuláshoz. A tanulás segít biztosítani, hogy a felhasználók magabiztosan értékelhessék a felhőbiztonságot. Segít nekik átgondolni, hogyan alakíthatják át meglévő készségeiket és folyamataikat.
Ki?
Minden olyan biztonsági és informatikai szerepkörnek, amely közvetlenül kommunikál a felhőtechnológiával, időt kell szentelnie a felhőplatformokon történő műszaki tanulásnak és a biztonságuknak.
A biztonság, az informatikai műszaki vezetők és a projektmenedzserek megismerhetik a felhőbeli erőforrások védelmének néhány technikai részletét. Ez a jártasság segít nekik hatékonyabban vezetni és koordinálni a felhőbeli kezdeményezéseket.
Hogyan?
Győződjön meg arról, hogy a műszaki biztonsági szakembereknek időt kell félretenniük a felhőalapú eszközök védelmére vonatkozó öngyors képzésre. Bár nem mindig megvalósítható, a formális képzéshez való hozzáférést tapasztalt oktatóval és gyakorlati tesztkörnyezetekkel biztosíthatja.
Fontos
Az identitásprotokollok kritikus fontosságúak a hozzáférés-vezérléshez a felhőben, de gyakran nem rangsorozzák a helyszíni biztonságot. A biztonsági csapatoknak ezeknek a protokolloknak és naplóknak a megismerésére kell összpontosítaniuk.
A Microsoft széles körű forrásanyagokkal segíti a műszaki szakembereket képességeik kihasználásában. Ezek az erőforrások a következők:
- Azure-biztonság
- Az Azure megfelelősége
- Identitásprotokollok és biztonság
- Az Azure biztonsági dokumentációs webhelye
- Azure Active Directory-hitelesítés (Azure AD) – YouTube-sorozat
- Azure-környezetek biztonságossá tétele Azure AD
3. Folyamat: Elszámoltathatóság hozzárendelése a felhőbiztonsági döntésekhez
A biztonsági döntések nem születnek meg, ha senki sem felelős azért, hogy meghozta őket.
Mi?
Válassza ki, hogy ki felelős a vállalati Azure-környezet minden biztonsági típusának meghozásáért.
Miért?
A biztonsági döntések egyértelmű tulajdonjoga felgyorsítja a felhőbevezetést, és növeli a biztonságot. A tulajdonjog hiánya általában súrlódást okoz, mert senki sem érzi magát jogosultnak a döntések meghozatalára. Senki sem tudja, kitől kérjen döntést, és senki sem ösztönöz arra, hogy megalapozott döntést keressen. A súrlódás gyakran akadályozza a következőket:
- Üzleti célok
- Fejlesztői ütemtervek
- Informatikai célok
- Biztonsági biztosítékok
A súrlódás a következőket eredményezheti:
- Elakadt projektek, amelyek biztonsági jóváhagyásra várnak
- Nem biztonságos üzemelő példányok, amelyek nem tudtak várni a biztonsági jóváhagyásra
Ki?
A biztonsági vezetés dönti el, hogy mely csapatok vagy személyek legyenek elszámoltathatók a felhőre vonatkozó biztonsági döntések meghozataláért.
Hogyan?
Válassza ki azokat a csoportokat vagy személyeket, amelyek a legfontosabb biztonsági döntések meghozataláért felelősek.
Dokumentálja ezeket a tulajdonosokat, kapcsolattartási adatait, és széles körben szocializálja az információkat a biztonsági, informatikai és felhőbeli csapatokban. A szocializáció biztosítja, hogy minden szerepkör könnyen kapcsolatba lépjen velük.
Ezek a területek általában olyan területek, ahol biztonsági döntésekre van szükség. Az alábbi táblázat a döntési kategóriát, a kategórialeírást és azt mutatja be, hogy mely csapatok hozzák meg gyakran a döntéseket.
Döntés | Leírás | Tipikus csapat |
---|---|---|
Hálózati biztonság | Konfigurálhatja és karbantarthatja Azure Firewall, hálózati virtuális berendezéseket és a kapcsolódó útválasztást, webalkalmazási tűzfalakat (WAF-okat), NSG-ket, ASG-ket stb. | Az infrastruktúra- és végpontbiztonsági csapat a hálózati biztonságra összpontosított |
Hálózatkezelés | Nagyvállalati szintű virtuális hálózat és alhálózat-kiosztás kezelése. | Meglévő hálózati üzemeltetési csapat a központi informatikai műveletekben |
Kiszolgálóvégpont biztonsága | A kiszolgáló biztonságának figyelése és javítása, beleértve a javítást, a konfigurációt, a végpontbiztonságot stb. | Központi informatikai üzemeltetési és infrastruktúra- és végpontbiztonsági csapatok közösen |
Incidensfigyelés és reagálás | Vizsgálja meg és javítsa ki a biztonsági incidenseket a SIEM-ben vagy a forráskonzolon, beleértve a felhőhöz készült Microsoft Defender, Azure AD identitásvédelmet stb. | Biztonsági üzemeltetési csapat |
Szabályzatkezelés | Állítsa be az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC), a Felhőhöz készült Defender, a rendszergazdai védelmi stratégia és a Azure Policy használatának irányát az Azure-erőforrások szabályozásához. | Szabályzat- és szabványügyi és biztonsági architektúra-csapatok közösen |
Identitásbiztonság és -szabványok | Irány beállítása Azure AD könyvtárakhoz, PIM-/pam-használathoz, többtényezős hitelesítéshez, jelszó-/szinkronizálási konfigurációhoz, alkalmazás-identitásszabványokhoz. | Identitás- és kulcskezelés, szabályzatok és szabványok, valamint biztonsági architektúra-csapatok közösen |
Megjegyzés
- Győződjön meg arról, hogy a döntéshozók megfelelő oktatásban lesznek része a felhőben ennek a felelősségnek.
- Győződjön meg arról, hogy a döntések dokumentálva vannak a szabályzatokban és a szabványokban, hogy hosszú távon rekordokat és útmutatást nyújtson a szervezet számára.
4. Folyamat: Incidenskezelési folyamatok frissítése a felhőben
Tervezze meg előre. Nincs ideje arra, hogy válság idején tervezze meg a válságot.
Mi?
Készüljön fel a biztonsági incidensekre az Azure-felhőplatformon. Ez az előkészítés tartalmazza az Ön által alkalmazott natív fenyegetésészlelési eszközöket . Frissítse a folyamatokat, készítse elő a csapatot, és gyakorolja a szimulált támadásokat, hogy a lehető legjobban tudjanak működni az incidensvizsgálat, a szervizelés és a veszélyforrás-keresés során.
Miért?
Az aktív támadók azonnali kockázatot jelentenek a szervezet számára. A helyzet gyorsan nehezen ellenőrizhetővé válhat. Gyorsan és hatékonyan reagálhat a támadásokra. Ennek az incidenskezelési (IR) folyamatnak hatékonynak kell lennie a teljes tulajdonban, beleértve a vállalati adatokat, rendszereket és fiókokat üzemeltető összes felhőplatformot.
Bár a felhőplatformok sok szempontból hasonlóak, technikailag eltérnek a helyszíni rendszerektől. A helyszíni rendszerek megszakíthatják a meglévő folyamatokat, általában azért, mert az információk más formában érhetők el. Előfordulhat, hogy a biztonsági elemzőknek olyan kihívásokkal kell szembenézniük, amelyek gyorsan reagálnak egy ismeretlen környezetre, amely lelassíthatja őket. Ez az állítás különösen igaz, ha csak klasszikus helyszíni architektúrákon és hálózati/lemezes kriminalisztikai megközelítéseken tanítják be őket.
Ki?
Az integrációs modul folyamatának modernizálását általában biztonsági műveletek vezérik. Az erőfeszítések gyakran más csoportok támogatásával járnak a tudás és a szakértelem terén.
Szponzorálás: A biztonsági üzemeltetési igazgató vagy azzal egyenértékű, általában szponzorált folyamat modernizálása.
Végrehajtás: A meglévő folyamatok adaptálása vagy első alkalommal történő megírása együttműködésen alapuló munka, amely a következőket foglalja magában:
- Biztonsági műveletek: Az incidenskezelő csapat vagy a vezetőség folyamat- és integrációfrissítéseket vezet a legfontosabb külső érdekelt felek számára. Ezek közé a csapatok közé tartoznak a jogi és kommunikációs vagy public relations csapatok.
- Biztonsági műveletek: A biztonsági elemzők szakértelmet biztosítanak a technikai incidensek kivizsgálása és osztályozása terén.
- Központi informatikai műveletek: Ez a csapat közvetlenül, a felhőbeli kiválósági központon vagy külső tanácsadókon keresztül nyújt szakértelmet a felhőplatformon.
Hogyan?
Frissítse a folyamatokat, és készítse elő a csapatot, hogy tudják, mi a teendő, ha aktív támadót találnak.
- Folyamatok és forgatókönyvek: A meglévő vizsgálatok, a szervizelés és a fenyegetéskeresési folyamatok a felhőplatformok működésének különbségeihez igazíthatók. A különbségek közé tartoznak az új vagy különböző eszközök, adatforrások, identitásprotokollok stb.
- Oktatás: Tájékoztassa az elemzőket a teljes felhőátalakításról, a platform működésének technikai részleteiről, valamint az új vagy frissített folyamatokról. Ezek az információk tájékoztatják őket arról, hogy mi változhat, és hová kell menniük, hogy mire van szükségük.
- Fő fókuszterületek: Bár az erőforrás-hivatkozások számos részletet ismertetnek, ezek a területek az oktatási és tervezési tevékenységekre összpontosítanak:
- Megosztott felelősségi modell és felhőarchitektúrák: A biztonsági elemzők számára az Azure egy szoftveralapú adatközpont, amely számos szolgáltatást nyújt. Ezek a szolgáltatások közé tartoznak a helyszínitől eltérő virtuális gépek, például Azure SQL Database Azure Functions. A legjobb adatok a szolgáltatásnaplókban vagy a speciális fenyegetésészlelési szolgáltatásokban találhatóak. Nem szerepel a mögöttes operációsrendszer-/virtuális gépek naplóiban, amelyeket a Microsoft üzemeltet, és több ügyfelet is kiszolgál. Az elemzőknek meg kell érteniük és integrálniuk kell ezt a kontextust a napi munkafolyamataikba. Így tudják, hogy milyen adatokra számíthatnak, hol szerezhetik be őket, és milyen formátumúak.
- Végponti adatforrások: A natív felhőészlelési eszközökkel gyakran gyorsabb, egyszerűbb és pontosabb megállapításokat és adatokat kaphat a felhőben üzemeltetett kiszolgálókon végrehajtott támadásokról és kártevőkről. Az olyan eszközök, mint a Microsoft Defender a felhőbeli és végpontészlelési és -reagálási (EDR) megoldásokhoz, pontosabb adatokat biztosítanak, mint a közvetlen lemezhozzáférés hagyományos megközelítései. A közvetlen lemezes kriminalisztika olyan forgatókönyvekhez érhető el, ahol ez lehetséges és szükséges a jogi eljárásokhoz. További információ: Számítógépes kriminalisztika az Azure-ban. Gyakran azonban ez a módszer a leghatékonyabb módszer a támadások észlelésére és kivizsgálására.
- Hálózati és identitás adatforrások: A felhőplatformok számos funkciója elsősorban identitást használ a hozzáférés-vezérléshez. Ez a hozzáférés-vezérlés magában foglalja a Azure Portal való hozzáférést, bár a hálózati hozzáférés-vezérlést is széles körben használják. A hozzáférés-vezérléshez az elemzőknek ki kell dolgozniuk a felhőbeli identitásprotokollok megértését, hogy teljes képet kapjanak a támadók tevékenységéről és a jogos felhasználói tevékenységekről az incidensvizsgálat és a szervizelés támogatásához. Az identitáskönyvtárak és protokollok eltérnek a helyszíniektől. Ezek általában SAML-, OAuth- és OpenID Connect- és felhőkönyvtárakon alapulnak az LDAP, a Kerberos, az NTLM és az Active Directory helyett.
- Gyakorló gyakorlatok: A szimulált támadás és reagálás segíthet a szervezeti izommemória és a műszaki felkészültség kiépítésében. Előkészítik a biztonsági elemzőket, a fenyegetésvadászokat, az incidenskezelőket és a szervezet más érdekelt feleit. A munka elsajátítása és az alkalmazkodás természetes része az incidenskezelésnek, de a lehető legkisebbre csökkenthető a válsághelyzetekben szükséges tanulás.
Fő erőforrások
- Incidensválasz referencia-útmutató
- Útmutatás saját biztonsági incidensmegoldási folyamat létrehozásához
- Azure-naplózás és -riasztások
- Ajánlott eljárások a Microsoft biztonságával kapcsolatban
- Microsoft-tanulás a Cyber Defense Operations Centerből (CDOC)
További információ: Azure Security Benchmark incidensmegoldási folyamat az Azure-ban.
5. Folyamat: Biztonsági helyzetkezelés létrehozása
Először is, ismerd meg magad.
Mi?
Győződjön meg arról, hogy aktívan kezeli az Azure-környezet biztonsági állapotát:
- A felelősségek egyértelmű tulajdonjogának hozzárendelése a következőhöz:
- Biztonsági helyzet figyelése
- Az eszközökre irányuló kockázatok csökkentése
- A feladatok automatizálása és egyszerűsítése
Miért?
A gyakori biztonsági higiéniai kockázatok gyors azonosítása és elhárítása jelentősen csökkenti a szervezeti kockázatokat.
A felhőalapú adatközpontok szoftveralapú jellege lehetővé teszi a biztonsági kockázatok, például a szoftveres biztonsági rések vagy a biztonsági helytelen konfigurációk folyamatos monitorozását, kiterjedt eszközállapottal. Az a sebesség, amellyel a fejlesztők és az informatikai csapat virtuális gépeket, adatbázisokat és más erőforrásokat helyezhetnek üzembe, szükségessé teszi az erőforrások biztonságos konfigurálását és aktív figyelását.
Ezek az új képességek új lehetőségeket kínálnak, de az értékük felismeréséhez felelősséget kell rendelni a használatukért. A gyorsan fejlődő felhőműveletekkel való konzisztens végrehajtáshoz az emberi folyamatok lehető legegyszerűbb és automatizáltabbnak kell maradnia. Tekintse meg a "meghajtó egyszerűsége" biztonsági alapelvet.
Megjegyzés
Az egyszerűsítés és az automatizálás célja nem a munkahelyektől való megszabadulás, hanem az ismétlődő feladatok terheinek eltávolítása az emberektől, hogy nagyobb értékű emberi tevékenységekre összpontosíthassanak, például az informatikai és a DevOps-csapatok bevonására és oktatására.
Ki?
Ez a gyakorlat általában két felelősségi csoportra oszlik:
Biztonsági helyzet kezelése: Ez a funkció gyakran a meglévő biztonságirés-kezelési vagy irányítási funkciók fejlődése. Az eredmény magában foglalja a teljes biztonsági helyzet monitorozását a felhőbeli biztonsági pontszám Microsoft Defender és más adatforrások használatával. Ez magában foglalja az erőforrás-tulajdonosokkal való aktívan végzett munkát a kockázatok mérséklése és a biztonsági vezetésnek jelentett kockázat bejelentése érdekében.
Biztonsági szervizelés: Rendeljen elszámoltathatóságot ezeknek a kockázatoknak a kezeléséhez az erőforrások kezeléséért felelős csapatoknak. Ez az elszámoltathatóság vagy a saját alkalmazáserőforrásokat kezelő DevOps-csapatokhoz, vagy a központi informatikai műveletekben a technológiaspecifikus csapatokhoz tartozik:
- Számítási és alkalmazás-erőforrások
- Alkalmazásszolgáltatások: Alkalmazásfejlesztési és biztonsági csapatok
- Tárolók: Alkalmazásfejlesztés vagy infrastruktúra/IT-műveletek
- Virtuális gépek, méretezési csoportok, számítás: IT-/infrastruktúra-műveletek
- Adat- és tárolási erőforrások
- SQL, Redis, Data Lake Analytics, data lake store: Adatbázis-csapat
- Tárfiókok: Tárolási és infrastruktúra-csapat
- Identitás- és hozzáférési erőforrások
- Előfizetések: Identitáskezelési csapatok
- Key Vault: Identitás- vagy információ-/adatbiztonsági csapat
- Hálózati erőforrások: Hálózati biztonsági csapat
- IoT-biztonság: IoT-üzemeltetési csapat
- Számítási és alkalmazás-erőforrások
Hogyan?
A biztonság mindenki feladata. Nem mindenki tudja azonban, hogy mennyire fontos, mit kell tenni, és hogyan kell csinálni.
- A biztonsági kockázatért felelős erőforrás-tulajdonosoknak ugyanúgy kell elszámolniuk, mint a rendelkezésre állásért, a teljesítményért, a költségekért és más sikertényezőkért.
- Támogassa az erőforrás-tulajdonosokat, és tisztában legyenek azzal, hogy miért fontos a biztonsági kockázat az eszközeiken, mit tehetnek a kockázatok mérséklése érdekében, és hogyan valósíthatják meg minimális hatékonyságvesztéssel.
Fontos
Az erőforrások védelmének okai, mi és hogyani magyarázata gyakran hasonló a különböző erőforrástípusokhoz és alkalmazásokhoz, de fontos, hogy ezeket az egyes csapatok által már ismert és fontosnak számító adatokhoz kapcsoljuk. A biztonsági csapatok megbízható tanácsadóként és partnerként kapcsolatba léphetnek az informatikai és DevOps-partnerekkel, és arra összpontosíthatnak, hogy ezek a csapatok sikeresek legyenek.
Eszközhasználat: A felhőhöz készült Microsoft Defender biztonsági pontszáma az Azure legfontosabb biztonsági információinak felmérését nyújtja a legkülönfélébb eszközökhöz. Ez az értékelés lehet a kiindulási pont a testtartás kezelésével kapcsolatban, és szükség szerint kiegészíthető egyéni Azure-szabályzatokkal és más mechanizmusokkal.
Gyakoriság: Állítson be egy rendszeres, általában havi ütemezést az Azure biztonsági pontszámának áttekintéséhez, és tervezze meg a konkrét fejlesztési célokkal rendelkező kezdeményezéseket. A gyakoriság igény szerint növelhető.
Tipp
Ha lehetséges, növelje a aktivitást, például hozzon létre szórakoztató versenyeket és díjakat a DevOps-csapatoknak, amelyek a legjobban javítják a pontszámukat.
További információ: Az Azure Security Benchmark biztonsági helyzetkezelési stratégiája.
6. Technológia: Jelszó nélküli vagy többtényezős hitelesítés megkövetelése
Hajlandó elfogadni a vállalata biztonságát, hogy a profi támadók nem találják ki vagy lopják el a rendszergazda jelszavát?
Mi?
A jelszó nélküli vagy többtényezős hitelesítés használatához minden kritikus fontosságú rendszergazdának szüksége van.
Miért?
Ahogy az antik csontvázkulcsok nem védik meg a házat egy modern betörő ellen, a jelszavak nem tudják megvédeni a fiókokat a gyakori támadások ellen. Technikai részletekért lásd: A pa$$word nem számít.
A többtényezős hitelesítés egykor nehézkes extra lépés volt. A jelszó nélküli megközelítések ma javítják, hogy a felhasználók biometrikus módszerekkel jelentkeznek be, például az arcfelismerést Windows Hello és mobileszközökre. Emellett a megbízhatóság nélküli megközelítések megjegyzik a megbízható eszközöket. Ez a módszer csökkenti a sávon kívüli többtényezős hitelesítési műveletek bosszantó kérését. További információ: Felhasználói bejelentkezés gyakorisága.
Ki?
A jelszó- és többtényezős kezdeményezést általában identitás- és kulcskezelési vagy biztonsági architektúra vezéri.
- Szponzorálás: Ezt a munkát általában a CISO, az CIO vagy az identitás igazgatója szponzorálja.
- Végrehajtás: A végrehajtás együttműködésen alapuló munka, amely a következőket foglalja magában:
- Szabályzat- és szabványügyi csapat: Egyértelmű követelményeket állapítson meg.
- Identitás- és kulcskezelés vagy központi informatikai műveletek: Implementálja a szabályzatot.
- Biztonsági megfelelőség kezelése: Figyelés a megfelelőség biztosításához.
Hogyan?
Jelszó nélküli vagy többtényezős hitelesítés implementálása. Betanítsa a rendszergazdáknak, hogy miként használhatják, ahogy szükségük van rá, és megkövetelhetik a rendszergazdáktól, hogy az írott szabályzattal kövessék azokat. Használjon egy vagy több ilyen technológiát:
- Jelszó nélküli Windows Hello
- Jelszó nélküli hitelesítő alkalmazás
- Azure AD többtényezős hitelesítés
- Külső többtényezős hitelesítési megoldás
Megjegyzés
A szöveges üzenetalapú többtényezős hitelesítés mostantól viszonylag olcsó a támadók számára, ezért a jelszó nélküli és erősebb többtényezős hitelesítésre kell összpontosítani.
További információ: Az Azure Security Benchmark erős hitelesítési vezérlői az összes Azure AD-alapú hozzáféréshez.
7. Technológia: Natív tűzfal és hálózati biztonság integrálása
Egyszerűsítse a rendszerek és adatok védelmét a hálózati támadásokkal szemben.
Mi?
Egyszerűsítse a hálózati biztonsági stratégiát és a karbantartást azáltal, hogy a Azure Firewall, az Azure-webalkalmazási tűzfal (WAF) és az elosztott szolgáltatásmegtagadási (DDoS) kockázatcsökkentéseket integrálja a hálózati biztonsági megközelítésbe.
Miért?
Az egyszerűség kritikus fontosságú a biztonság szempontjából, mivel csökkenti a félreértések, helytelen konfigurációk és egyéb emberi hibák kockázatának valószínűségét. Tekintse meg a "meghajtó egyszerűsége" biztonsági alapelvet.
A tűzfalak és WAF-ok fontos alapvető biztonsági vezérlők az alkalmazások rosszindulatú forgalom elleni védelméhez, de a beállításuk és karbantartásuk összetett lehet, és jelentős mennyiségű időt és figyelmet igényelhet a biztonsági csapat számára (hasonlóan az egyéni utángyártott alkatrészek autóhoz való hozzáadásához). Az Azure natív képességei leegyszerűsíthetik a tűzfalak, a webalkalmazási tűzfalak, az elosztott szolgáltatásmegtagadási (DDoS) megoldások megvalósítását és működését, és így tovább.
Ez a gyakorlat időt és figyelmet szabadíthat fel a csapat számára az olyan nagyobb értékű biztonsági feladatok esetében, mint például:
- Az Azure-szolgáltatások biztonságának értékelése
- Biztonsági műveletek automatizálása
- Biztonság integrálása alkalmazásokkal és informatikai megoldásokkal
Ki?
- Szponzorálás: A biztonsági vezetés vagy az informatikai vezetés általában a hálózati biztonsági stratégia frissítését szponzorálja.
- Végrehajtás: A stratégiák felhőbeli hálózati biztonsági stratégiába való integrálása együttműködésen alapuló erőfeszítés, amely a következőket foglalja magában:
- Biztonsági architektúra: Felhőalapú hálózati biztonsági architektúra létrehozása felhőalapú hálózati és felhőhálózati biztonsági érdeklődőkkel.
- A felhőhálózat vezeti a központi informatikai műveleteket és a Felhőhálózat biztonsági vezető infrastruktúrájának biztonsági csapatát
- Felhőalapú hálózati biztonsági architektúra létrehozása biztonsági tervezőkkel.
- Konfigurálja a tűzfal, az NSG és a WAF képességeit, és együttműködjön az alkalmazástervezőkkel a WAF-szabályokon.
- Alkalmazástervezők: A hálózati biztonsággal együttműködve WAF-szabálykészleteket és DDoS-konfigurációkat hozhat létre és finomíthat az alkalmazás védelme érdekében a rendelkezésre állás megzavarása nélkül
Hogyan?
Azokat a szervezeteket, amelyek egyszerűsíteni szeretnék a működésüket, két lehetőség közül választhatnak:
- Meglévő képességek és architektúrák kiterjesztése: Számos szervezet gyakran úgy dönt, hogy kibővíti a meglévő tűzfalfunkciók használatát, hogy kihasználhassa a meglévő befektetéseket a készségekbe és a folyamatintegrációba, különösen a felhő bevezetésekor.
- Natív biztonsági vezérlők használata: Egyre több szervezet kezdi előnyben részesíteni a natív vezérlők használatát, hogy elkerülje a harmadik féltől származó képességek integrálásának összetettségét. Ezek a szervezetek általában arra törekednek, hogy elkerüljék a terheléselosztás, a felhasználó által megadott útvonalak, a tűzfal vagy a WAF helytelen konfigurációjának kockázatát, valamint a különböző technikai csapatok közötti átadások késését. Ez a lehetőség lenyűgöző az infrastruktúrát kódként alkalmazó szervezetek számára, mivel könnyebben automatizálhatják és rendszerezhetik a beépített képességeket, mint a harmadik féltől származó képességeket.
Az Azure natív hálózati biztonsági képességeivel kapcsolatos dokumentáció a következő helyen található:
Azure Marketplace számos külső tűzfalszolgáltatót tartalmaz.
További információ: Az Azure Security Benchmark DDOS-védelme és a webalkalmazási tűzfalvédelem.
8. Technológia: Natív fenyegetésészlelés integrálása
Leegyszerűsítheti az Azure-rendszerek és -adatok elleni támadások észlelését és reagálását.
Mi?
Leegyszerűsítheti a fenyegetésészlelési és -reagálási stratégiát azáltal, hogy natív fenyegetésészlelési képességeket épít be a biztonsági műveletekbe és a SIEM-be.
Miért?
A biztonsági műveletek célja a környezethez hozzáférő aktív támadók hatásának csökkentése. A hatást az MTTA(MTTA) és a szervizelés (MTTR) incidenseinek átlagos ideje alapján mérik. Ehhez a gyakorlathoz pontosságra és sebességre is szükség van az incidenskezelés minden elemében. Az eredmény segít biztosítani az eszközök minőségét és a folyamatvégrehajtás hatékonyságát.
A meglévő eszközök és megközelítések használatával nehéz magas fenyegetésészlelést elérni. Az eszközöket és a megközelítéseket a helyszíni fenyegetésészleléshez tervezték a felhőtechnológia eltérései és a gyors változási üteme miatt. A natívan integrált észlelések olyan ipari méretű megoldásokat biztosítanak, amelyeket a felhőszolgáltatók kezelnek, és képesek lépést tartani a jelenlegi fenyegetésekkel és a felhőplatform változásaival.
Ezek a natív megoldások lehetővé teszik, hogy a biztonsági üzemeltetési csapatok az incidensvizsgálatra és a szervizelésre összpontosítsanak. A nem ismert naplóadatokból, az eszközök integrálásával és a karbantartási feladatokból származó riasztások létrehozásával nem kell időt fordítania ezekre az elemekre.
Ki?
Általában a biztonsági üzemeltetési csapat hajtja.
- Szponzorálás: Ezt a munkát általában a biztonsági üzemeltetési igazgató vagy azzal egyenértékű szerepkör támogatja.
- Végrehajtás: A natív fenyegetésészlelés integrálása az alábbi megoldásokat magában foglaló együttműködési erőfeszítés:
- Biztonsági műveletek: Riasztások integrálása SIEM- és incidensvizsgálati folyamatokba. A biztonsági műveletek megtaníthatják az elemzőket a felhőbeli riasztásokra és azok lényegére, valamint a natív felhőeszközök használatára.
- Incidens-előkészítés: Integrálja a felhőbeli incidenseket a gyakorlatokba, és győződjön meg arról, hogy a gyakorlatok a csapat felkészültségének hajtói.
- Fenyegetésfelderítés: A felhőalapú támadásokkal kapcsolatos információk kutatása és integrálása a csapatok kontextussal és intelligenciával való tájékoztatásához.
- Biztonsági architektúra: A natív eszközök integrálása a biztonsági architektúra dokumentációjába.
- Szabályzatok és szabványok: Állítson be szabványokat és szabályzatokat a natív eszközök engedélyezéséhez a teljes szervezetben. Monitorozza a megfelelőséget.
- Infrastruktúra és végpont , valamint központi informatikai műveletek: Észlelések konfigurálása és engedélyezése, integráció az automatizálásba és az infrastruktúrába kódmegoldásként.
Hogyan?
Engedélyezze a fenyegetésészlelést a felhőhöz készült Microsoft Defender az összes használt erőforráshoz, és minden csapat integrálja ezeket az erőforrásokat a fent leírt folyamatokba.
További információ: Az Azure Security Benchmark fenyegetésészlelése az Azure-erőforrásokhoz.
9. Architektúra: Egységesítés egyetlen címtáron és identitáson
Senki sem akar több identitással és címtárral foglalkozni.
Mi?
Egységesíthet egyetlen Azure AD könyvtárban. Az Azure-ban minden alkalmazáshoz és felhasználóhoz egységesíthet egyetlen identitást.
Megjegyzés
Ez az ajánlott eljárás kifejezetten a vállalati erőforrásokra vonatkozik. Partnerfiókok esetén használja a Azure AD B2B-t, hogy ne kelljen fiókokat létrehoznia és karbantartania a címtárban. Ügyfél- vagy állampolgári fiókok esetén Azure AD B2C-vel kezelheti őket.
Miért?
Több fiók és identitáskönyvtár szükségtelen súrlódást okoz, ami zavart okoz a napi munkafolyamatokban:
- Hatékonyságnövelő felhasználók
- Fejlesztők
- Informatikai és identitás-rendszergazdák
- Biztonsági elemzők
- Egyéb szerepkörök
Ha több fiókot és címtárat kezel, az ösztönzőt jelent a gyenge biztonsági gyakorlatokhoz. Ezek közé a gyakorlatok közé tartoznak például a jelszavak fiókok közötti újrafelhasználása. Ez növeli annak a valószínűségét, hogy a támadók elavult vagy elhagyatott fiókokat célozhatnak meg.
Bár néha egyszerűbbnek tűnik az egyéni LDAP-címtárak gyors felállása egy adott alkalmazáshoz vagy számítási feladathoz, ez a művelet sokkal több munkát hoz létre az integrációhoz és a felügyelethez. Ez a munka hasonló ahhoz, mint amikor egy további Azure-bérlőt vagy helyi Active Directory erdőt szeretne beállítani a meglévő vállalati bérlő használata helyett. További információkért lásd az egyszerűség biztosításának biztonsági elvét.
Ki?
Az egyetlen Azure AD könyvtár szabványosítása gyakran csapatközi munka. A munkát a biztonsági architektúra , az identitás- és a kulcskezelési csapatok hajtják.
- Szponzorálás: Az identitás- és kulcskezelési és biztonsági architektúra általában szponzorálja ezt a munkát, bár egyes szervezetek esetében a CISO vagy az CIO szponzorálására lehet szükség.
- Végrehajtás: A végrehajtás együttműködésen alapuló munka, amely a következőket foglalja magában:
- Biztonsági architektúra: Ez a csapat beépíti a folyamatot a biztonsági és informatikai architektúra dokumentumaiba és diagramjaiba.
- Szabályzatok és szabványok: Ez a csapat dokumentálja a szabályzatokat és figyeli a megfelelőséget.
- Identitás- és kulcskezelés vagy központi informatikai műveletek: Ezek a csapatok úgy valósítják meg a szabályzatot, hogy engedélyezik a funkciókat, és támogatják a fejlesztőket fiókokkal, oktatással stb.
- Alkalmazásfejlesztők vagy központi informatikai műveletek: Ezek a csapatok identitást használnak az alkalmazásokban és az Azure-szolgáltatáskonfigurációkban. A felelősségek a DevOps bevezetésének szintjétől függően változnak.
Hogyan?
Az új zöldmezős képességekkel kezdődő pragmatikus megközelítés alkalmazása. Ezután a meglévő alkalmazások és szolgáltatások barnamezőjével kapcsolatos kihívásokat a következő feladatként törölje:
Zöldmező: Hozzon létre és implementáljon egy egyértelmű szabályzatot, amely szerint minden vállalati identitás használhat egyetlen Azure AD címtárat, amely minden felhasználóhoz egyetlen fiókot biztosít.
Barnamezős: Sok szervezet gyakran több örökölt címtárat és identitásrendszert használ. Kezelje ezeket az örökölt elemeket, ha a folyamatos felügyeleti súrlódás költsége meghaladja a tisztításhoz szükséges befektetést. Bár az identitáskezelési és szinkronizálási megoldások csökkenthetik a problémák egy részét, nem integrálása a biztonsági és hatékonysági funkciókba. Ezek a funkciók zökkenőmentes felhasználói élményt tesznek lehetővé a felhasználók, rendszergazdák és fejlesztők számára.
Az identitáshasználat kombinálásának ideális ideje az alkalmazásfejlesztési ciklusok során, amikor Ön:
- Modernizálja a felhőbeli alkalmazásokat.
- Felhőalkalmazások frissítése DevOps-folyamatokkal.
Bár a független üzleti egységekre vagy a szabályozási követelményekre vonatkozó külön címtárnak vannak érvényes okai, minden más körülmények között kerülje a több címtár használatát.
További információ: Az Azure Security Benchmark Azure AD központi identitás- és hitelesítési rendszer.
Fontos
Az egyetlen kivétel az egyetlen fiókszabály alól, hogy a kiemelt felhasználók, beleértve az informatikai rendszergazdákat és a biztonsági elemzőket, külön fiókokkal rendelkezhetnek a standard felhasználói feladatokhoz a felügyeleti feladatokhoz képest.
További információ: Az Azure Security Benchmark emelt szintű hozzáférése.
10. Architektúra: Kulcsok helyett identitásalapú hozzáférés-vezérlés használata
Mi?
Ahol csak lehetséges, kulcsalapú hitelesítés helyett használjon Azure AD identitásokat. Ilyenek például az Azure-szolgáltatások, -alkalmazások, API-k.
Miért?
A kulcsalapú hitelesítés használható a felhőszolgáltatások és API-k hitelesítésére. Ehhez azonban biztonságos kulcskezelésre van szükség, ami nehéz feladat, különösen nagy méretekben. A biztonságos kulcskezelés nehéz a nem biztonsági szakemberek, például a fejlesztők és az infrastruktúra-szakemberek számára, és gyakran nem teszik meg biztonságosan, gyakran jelentős biztonsági kockázatokat okozva a szervezet számára.
Az identitásalapú hitelesítés számos ilyen kihívást leküzd a kiforrott képességekkel. A képességek közé tartozik többek között a titkos kulcsok rotálása, az életciklus kezelése, a rendszergazdai delegálás.
Ki?
Az identitásalapú hozzáférés-vezérlés implementálása gyakran csapatközi erőfeszítés. A munkát a biztonsági architektúra , az identitás- és a kulcskezelési csapatok hajtják.
- Szponzorálás: Ezt az erőfeszítést általában biztonsági architektúra vagy identitás- és kulcskezelés támogatja, bár egyes szervezetek esetében a CISO vagy az CIO szponzorálására lehet szükség.
- Végrehajtás: Együttműködésen alapuló erőfeszítés, amely a következőket foglalja magában:
- Biztonsági architektúra: Ez a csapat az ajánlott eljárásokat beépíti a biztonsági és informatikai architektúra diagramjaiba és dokumentumaiba.
- Szabályzatok és szabványok: Ez a csapat dokumentálja a szabályzatokat és figyeli a megfelelőséget.
- Identitás- és kulcskezelés vagy központi informatikai műveletek: Ezek a csapatok úgy valósítják meg a szabályzatot, hogy engedélyezik a funkciókat, és támogatják a fejlesztőket fiókokkal, oktatással stb.
- Alkalmazásfejlesztők vagy központi informatikai műveletek: Identitás használata alkalmazásokban és Azure-szolgáltatáskonfigurációkban. A felelősségek a DevOps bevezetésének szintjétől függően változnak.
Hogyan?
Az identitásalapú hitelesítés szervezeti beállításának és szokásának megadásához egy folyamat követésére és a technológia engedélyezésére van szükség.
A folyamat
- Hozzon létre olyan szabályzatokat és szabványokat, amelyek egyértelműen felvázolják az alapértelmezett identitásalapú hitelesítést és az elfogadható kivételeket.
- Tájékoztassa a fejlesztőket és az infrastruktúra-csapatokat arról, hogy miért érdemes az új megközelítést használni, mit kell tenniük, és hogyan kell elvégezniük.
- A változások pragmatikus implementálásával kezdve az új zöldmezős képességeket már most és a jövőben is alkalmazzák, például új Azure-szolgáltatásokat és új alkalmazásokat, majd a meglévő barnamezős konfigurációk törlését követve.
- Figyelheti a megfelelőséget, és nyomon követheti a fejlesztői és infrastrukturális csapatokat a szervizeléshez.
A technológiák
Nem emberi fiókok, például szolgáltatások vagy automatizálás esetén használjon felügyelt identitásokat. Az Azure-beli felügyelt identitások hitelesíthetők Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítés előre meghatározott hozzáférési engedélyezési szabályokkal engedélyezhető, így elkerülhetők a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatok.
A felügyelt identitásokat nem támogató szolgáltatások esetében a Azure AD használatával hozzon létre egy korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrásszinten. Konfigurálnia kell a szolgáltatásneveket a tanúsítvány hitelesítő adataival, és vissza kell állítania az ügyfél titkos kulcsait. Az Azure Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal, így a futtatókörnyezet, például egy Azure-függvény lekérheti a hitelesítő adatokat a kulcstartóból.
További információ: Az Azure Security Benchmark alkalmazási identitásai.
11. Architektúra: Egységes biztonsági stratégia létrehozása
Mindenkinek ugyanabban az irányban kell sorba lépnie, hogy a hajó továbbhaladjon.
Mi?
Győződjön meg arról, hogy minden csapat egyetlen stratégiához van igazítva, amely lehetővé teszi és védi a vállalati rendszereket és adatokat.
Miért?
Ha a csapatok úgy dolgoznak elkülönítve, hogy nem igazodnak egy közös stratégiához, az egyes műveletek véletlenül gyengíthetik egymás erőfeszítéseit. A helytelen értékesítés szükségtelen súrlódást okozhat, amely lelassítja a haladást mindenki céljaival szemben.
Az elkülönítésben dolgozó csapatok egyik példája, amely számos szervezetnél következetesen működött, az eszközök szegmentálása:
- Hálózati biztonság: Stratégiát fejleszt egy lapos hálózat szegmentálására. A stratégia növeli a biztonságot, gyakran fizikai helyek, hozzárendelt IP-címek/tartományok vagy hasonló elemek alapján.
- Identitásért felelős csapat: Stratégiát fejleszt a csoportok és az Active Directory szervezeti egységek (OU-k) számára a szervezet ismeretére és ismeretére alapozva.
- Alkalmazáscsapatok: Nehéz lehet ezekkel a rendszerekkel dolgozni. Ez nehéz, mert az üzleti műveletek, célok és kockázatok korlátozott bevitelével és megértésével készültek.
Azokban a szervezetekben, ahol ez a korlátozás történik, a csapatok gyakran tapasztalnak ütközéseket a tűzfalak kivételei miatt. Az ütközések negatív hatással lehetnek a biztonságra, mert a csapatok jóváhagyják a kivételeket. A termelékenység negatívan befolyásolja a biztonságot, mivel az üzembe helyezés lassul az üzleti igényeknek megfelelő alkalmazásfunkciók esetében.
Bár a biztonság a kritikus gondolkodás kényszerítésével egészséges súrlódást hozhat létre, ez a konfliktus csak a célokat akadályozó, nem kifogástalan súrlódást okoz. További információ: Biztonsági stratégia útmutatója.
Ki?
- Szponzorálás: Az egységes stratégiát általában a CIO, a CISO és a CTO kozponálja. A szponzorálás gyakran jár az üzleti vezetői támogatás néhány magas szintű elemeket, és a bajnokok képviselői minden csapat.
- Végrehajtás: A biztonsági stratégiát mindenkinek végre kell hajtania. A különböző csapatok adatait integrálja, hogy növelje a tulajdonjogot, a bevásárlást és a siker valószínűségét.
- Biztonsági architektúra: Ez a csapat vezeti a biztonsági stratégia és az eredményül kapott architektúra létrehozására irányuló erőfeszítéseket. A biztonsági architektúra aktívan gyűjti a visszajelzéseket a csapatoktól, és a különböző közönség számára bemutatókban, dokumentumokban és diagramokban dokumentálja azokat.
- Szabályzatok és szabványok: Ez a csapat rögzíti a megfelelő elemeket a szabványokban és a szabályzatokban, majd figyeli a megfelelőséget.
- Minden műszaki informatikai és biztonsági csapat: Ezek a csapatok bemeneti követelményeket biztosítanak, majd igazodnak a vállalati stratégiához és implementálják azt.
- Alkalmazástulajdonosok és fejlesztők: Ezek a csapatok elolvassák és megértik a rájuk vonatkozó stratégiai dokumentációt. Ideális esetben a szerepkörükhöz igazítják az útmutatást.
Hogyan?
Hozzon létre és implementáljon egy felhőhöz készült biztonsági stratégiát, amely magában foglalja az összes csapat bemenetét és aktív részvételét. Bár a folyamatdokumentáció formátuma eltérő lehet, mindig a következőket tartalmazza:
- Aktív bevitel a csapatoktól: A stratégiák általában meghiúsulnak, ha a szervezet tagjai nem vásárolnak bele. Ideális esetben az összes csapat ugyanabban a helyiségben van, hogy közösen felépítse a stratégiát. Az ügyfelekkel folytatott workshopokon gyakran azt látjuk, hogy a szervezetek de facto silókban működnek, és ezek az értekezletek gyakran azt eredményezik, hogy az emberek először találkoznak egymással. Úgy látjuk, hogy a befogadóság követelmény. Ha egyes csapatokat nem hívnak meg, ezt az értekezletet általában meg kell ismételni, amíg az összes résztvevő csatlakozik hozzá. Ha nem csatlakoznak, a projekt nem halad előre.
- Dokumentálva és egyértelműen közölve: Minden csapatnak tisztában kell lennie a biztonsági stratégiával. Ideális esetben a biztonsági stratégia az általános technológiai stratégia biztonsági összetevője. Ez a stratégia magában foglalja a biztonság integrálásának okát, a biztonság szempontjából fontos szempontokat és a biztonsági sikerek megjelenését. Ez a stratégia konkrét útmutatást tartalmaz az alkalmazás- és fejlesztési csapatok számára, hogy világos, szervezett útmutatást kapjanak anélkül, hogy nem releváns információkon kellene átolvasniuk őket.
- Stabil, de rugalmas: A stratégiák viszonylag konzisztensek és stabilak maradnak, de az architektúráknak és a dokumentációnak egyértelművé kell tenni a felhő dinamikus jellegét. A kártékony külső forgalom kiszűrése például stratégiai fontosságú marad, még akkor is, ha a külső gyártó következő generációs tűzfalának használatáról áttűn a Azure Firewall és a diagramok módosítására, és útmutatást ad ennek módjára.
- Kezdje a szegmentálással: Vannak olyan stratégiai problémák, amelyek mind a nagy, mind a kicsik számára megoldandók, de valahol el kell kezdenie. Indítsa el a biztonsági stratégiát a vállalati eszközök szegmentálásával. Ez a szegmentálás egy alapvető döntés, amely később kihívást jelent a változáshoz, és üzleti bemenetet és számos műszaki csapatot igényel.
A Microsoft közzétett egy videós útmutatót a szegmentálási stratégia Azure-ra való alkalmazásához. A vállalati szegmentálásról és a hálózati biztonság hozzáigazításáról közzétett dokumentumok.
A felhőadaptálási keretrendszer útmutatást tartalmaz a csapatoknak a következőkhöz:
- Felhőstratégiáért felelős csapat létrehozása: Ideális esetben a biztonságot egy meglévő felhőstratégiába integrálhatja.
- Biztonsági stratégia létrehozása vagy modernizálása: Az üzleti és biztonsági célok elérése a felhőszolgáltatások és a modern fenyegetések jelenlegi korában.
További információ: Az Azure Security Benchmark szabályozási stratégiája.