Az Azure ajánlott biztonsági eljárásai

Ez a cikk az ajánlott biztonsági ajánlott eljárásokat ismerteti, amelyek az ügyfelek tapasztalatain és a saját környezetünkben szerzett tapasztalatokon alapulnak.

Videóbemutatókért tekintse meg az Azure-biztonság ajánlott eljárásait.

1. Kapcsolatok: A csapatok oktatása a felhőbiztonsági folyamatról

A csapatnak meg kell értenie, hogy milyen úton haladnak.

Mi?

Megismertetheti a biztonsági és informatikai csapatokkal a felhőbeli biztonsági folyamatokat és az általuk végrehajtott módosításokat, többek között az alábbiakat:

• Fenyegetések a felhőben
• A megosztott felelősségi modell és annak hatása a biztonságra
• A kultúra, valamint a jellemzően felhőbevezetéssel járó szerepkörök és felelősségek változásai

Why?

A felhőbiztonság szemléletváltást és megközelítést igényel. Bár a szervezet számára biztosított biztonsági eredmények nem változnak, a felhőbeli eredmények elérésének legjobb módja jelentősen változhat.

A felhőbe való áttérés hasonló az önálló házról egy magasházra való áttéréshez. Még mindig rendelkezik alapszintű infrastruktúrával, például vízvezetékekkel és elektromos árammal, és hasonló tevékenységeket végez, például szocializációt, főzést, tv-t és internetet stb. Azonban gyakran van elég különbség abban, hogy mi jön az épület, aki biztosítja és karbantartja azt, és a napi rutin.

Ki?

A biztonsági és informatikai szervezet minden biztonsági felelősének ismernie kell a változásokat a CIO-tól vagy a CISO-tól a műszaki szakemberekig.

Hogyan?

Adja meg a csapatoknak a felhőkörnyezetre való áttérés során a sikeres üzembe helyezéshez és működéshez szükséges környezetet.

A Microsoft a következő leckéket tette közzé, amelyeket az ügyfelek és az informatikai szervezet a felhőbe vezető útjuk során tanultak meg.

• Hogyan fejlődnek a biztonsági szerepkörök és a felelősségek a biztonsági szervezetben.
• A veszélyforrások környezetének, szerepköreinek és digitális stratégiáinak fejlődése.
• A biztonság, a stratégiák, az eszközök és a fenyegetések átalakítása.
• Tanulás a Microsoft rugalmas skálázású felhőkörnyezetek biztonságossá tételével kapcsolatos tapasztalataiból.

További információkért tekintse meg az Azure Security Benchmark szerepköreit, feladatait és elszámoltathatóságát.

2. Kapcsolatok: A csapatok oktatása a felhőbiztonsági technológiákról

Kapcsolatok tudniuk kell, hová mennek.

Mi?

Győződjön meg arról, hogy a csapatoknak van idő félretéve a felhőbeli erőforrások biztonságossá tételével kapcsolatos műszaki oktatásra, beleértve a következőket:

• Felhőtechnológia és felhőbiztonsági technológia
• Ajánlott konfigurációk és ajánlott eljárások
• További technikai részletek

Why?

A technikai csapatoknak hozzáférésre van szükségük a technikai információkhoz a megalapozott biztonsági döntések meghozatalához. A technikai csapatok jól tanulnak új technológiákat a feladathoz, de a felhőben lévő részletek mennyisége gyakran túlterheli a tanulás napi rutinba való illesztésének képességét.

Szánjon külön időt a műszaki tanulásra. Tanulás biztosíthatja, hogy az embereknek legyen ideje bizalmat építeni a felhőbiztonság értékelésének képességében. Segít nekik átgondolni, hogyan alakíthatják át meglévő készségeiket és folyamataikat.

Ki?

Minden olyan biztonsági és informatikai szerepkörnek, amely közvetlenül kommunikál a felhőtechnológiával, időt kell szánnia a felhőplatformokon való műszaki tanulásra és azok védelmére.

A biztonság, az informatikai műszaki vezetők és a projektmenedzserek megismerkedhetnek a felhőerőforrások biztonságossá tételének néhány technikai részletével. Ez a jártasság segíti őket a felhőbeli kezdeményezések hatékonyabb irányításában és koordinálásában.

Hogyan?

Győződjön meg arról, hogy a műszaki biztonsági szakembereknek időt kell szánnia arra, hogy öngyors képzést biztosítsanak a felhőbeli eszközök védelméről. Bár nem mindig megvalósítható, biztosítson hozzáférést a formális képzéshez egy tapasztalt oktatóval és gyakorlati tesztkörnyezettel.

Fontos

Az identitásprotokollok kritikus fontosságúak a felhőbeli hozzáférés-vezérléshez, de gyakran nem rangsorolja a helyszíni biztonságot. A biztonsági csapatoknak a protokollok és naplók ismeretének fejlesztésére kell összpontosítaniuk.

A Microsoft széles körű forrásanyagokkal segíti a műszaki szakembereket képességeik kihasználásában. Ezek az erőforrások a következők:

• Azure-biztonság
  • Az-500 képzési terv és minősítés
  • Azure-biztonsági teljesítményteszt
    • Az Azure biztonsági alapkonfigurációi
  • Ajánlott microsoftos biztonsági eljárások
• Azure-megfelelőség
  • Jogszabályi megfelelőség
• Identitásprotokollok és biztonság
  • Az Azure biztonsági dokumentációs webhelye
  • Microsoft Entra-hitelesítés – YouTube-sorozat
  • Azure-környezetek védelme a Microsoft Entra-azonosítóval

3. Folyamat: Elszámoltathatóság hozzárendelése a felhőbeli biztonsági döntésekhez

A biztonsági döntéseket nem hozzák meg, ha senki sem felelős azok meghozásáért.

Mi?

Válassza ki, hogy ki felelős a vállalati Azure-környezet minden biztonsági döntésének meghozataláért.

Why?

A biztonsági döntések egyértelmű tulajdonjoga felgyorsítja a felhőbevezetést, és növeli a biztonságot. A tulajdonjog hiánya általában súrlódást okoz, mert senki sem érzi magát felhatalmazva a döntések meghozatalára. Senki sem tudja, kitől kérjen döntést, és senki sem ösztönöz arra, hogy megalapozott döntést keressen. A súrlódás gyakran akadályozza:

• Üzleti célok
• Fejlesztői ütemtervek
• Informatikai célok
• Biztonsági garanciák

A súrlódás a következőt eredményezheti:

• Elakadt projektek, amelyek biztonsági jóváhagyásra várnak
• Nem biztonságos üzemelő példányok, amelyek nem tudtak várni a biztonsági jóváhagyásra

Ki?

A biztonsági vezetés dönti el, hogy mely csapatok vagy személyek legyenek elszámoltathatók a felhőre vonatkozó biztonsági döntések meghozataláért.

Hogyan?

Válassza ki a legfontosabb biztonsági döntések meghozataláért felelős csoportokat vagy személyeket.

Dokumentálja ezeket a tulajdonosokat, a kapcsolattartási adatokat, és széles körben szocializálja az információkat a biztonsági, informatikai és felhőbeli csapatokban. A szocializáció biztosítja, hogy minden szerepkör könnyen kapcsolatba lépjen velük.

Ezek a területek általában olyan területek, ahol biztonsági döntésekre van szükség. Az alábbi táblázat a döntési kategóriát, a kategória leírását és azt mutatja be, hogy mely csapatok hozzák meg gyakran a döntéseket.

Döntés	Leírás	Tipikus csapat
Hálózati biztonság	Konfigurálhatja és karbantarthatja az Azure Firewallt, a hálózati virtuális berendezéseket és a kapcsolódó útválasztást, a webalkalmazási tűzfalakat (WAF-eket), az NSG-ket, az ASG-ket stb.	Az infrastruktúra- és végpontbiztonsági csapat a hálózati biztonságra összpontosított
Hálózatkezelés	Nagyvállalati szintű virtuális hálózat és alhálózat-kiosztás kezelése.	Meglévő hálózati üzemeltetési csapat a központi informatikai műveletekben
Kiszolgálóvégpont biztonsága	A kiszolgáló biztonságának figyelése és javítása, beleértve a javítást, a konfigurációt, a végpontbiztonságot stb.	Központi informatikai üzemeltetési és infrastruktúra- és végpontbiztonsági csapatok közösen
Incidensfigyelés és -reagálás	Biztonsági incidensek kivizsgálása és elhárítása a SIEM-ben vagy a forráskonzolon, beleértve a Felhőhöz készült Microsoft Defender, Microsoft Entra ID-védelem stb.	Biztonsági műveleti csapat
Házirendkezelés	Az Azure-erőforrások szabályozásához adja meg az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC), a Felhőhöz készült Defender, a rendszergazdai védelmi stratégia és az Azure Policy használatának irányát.	A szabályzatok és szabványok , valamint a biztonsági architektúra csapatai közösen
Identitásbiztonság és -szabványok	Irányt állíthat be a Microsoft Entra-címtárakhoz, a PIM-/pam-használathoz, a többtényezős hitelesítéshez, a jelszó-/szinkronizálási konfigurációhoz, az alkalmazás identitásszabványaihoz.	Identitás- és kulcskezelés, szabályzatok és szabványok, valamint biztonsági architektúra-csapatok közösen

Megjegyzés:

• Gondoskodjon arról, hogy a döntéshozók megfelelő oktatást biztosítsanak a felhő területén ahhoz, hogy ezt a felelősséget el tudják követni.
• Győződjön meg arról, hogy a döntések dokumentálva vannak a szabályzatokban és a szabványokban, hogy rögzíthesse és hosszú távon irányíthassa a szervezetet.

4. Folyamat: Incidenskezelési folyamatok frissítése a felhőben

Tervezze meg előre. Nincs ideje válságot tervezni egy válság idején.

Mi?

Biztonsági incidensek előkészítése az Azure-felhőplatformon. Ez az előkészítés tartalmazza az ön által alkalmazott natív fenyegetésészlelési eszközöket . Frissítse a folyamatokat, készítse elő a csapatot, és gyakoroljon szimulált támadásokkal, hogy a lehető legjobban tudjanak működni az incidensek kivizsgálása, a szervizelés és a fenyegetéskeresés során.

Why?

Az aktív támadók azonnali kockázatot jelentenek a szervezet számára. A helyzet gyorsan nehezen ellenőrizhetővé válhat. Gyorsan és hatékonyan reagálhat a támadásokra. Ennek az incidenskezelési (IR) folyamatnak hatékonynak kell lennie a teljes tulajdonban, beleértve a vállalati adatokat, rendszereket és fiókokat üzemeltető összes felhőplatformot.

Bár a felhőplatformok számos szempontból hasonlóak, technikailag eltérnek a helyszíni rendszerektől. A helyszíni rendszerek megszakíthatják a meglévő folyamatokat, általában azért, mert az információk más formában érhetők el. A biztonsági elemzőknek lehetnek olyan kihívásai, amelyek gyorsan reagálnak egy ismeretlen környezetre, amely lelassíthatja őket. Ez az állítás különösen igaz, ha csak klasszikus helyszíni architektúrákra és hálózati/lemezes kriminalisztikai megközelítésekre tanítják be őket.

Ki?

Az integrációs modul folyamatának modernizálását általában biztonsági műveletek vezérlik. Az erőfeszítések gyakran más csoportok támogatásával járnak a tudás és a szakértelem terén.

• Szponzorálás: A biztonsági üzemeltetési igazgató vagy azzal egyenértékű általában a folyamat modernizálását támogatja.

• Végrehajtás: A meglévő folyamatok adaptálása vagy első alkalommal történő megírása a következő együttműködésen alapuló munka:

  • Biztonsági műveletek: Az incidenskezelő csapat vagy a vezetőség folyamat- és integrációfrissítéseket vezet a legfontosabb külső érdekelt felek számára. Ezek a csapatok közé tartoznak a jogi és kommunikációs vagy public relations csapatok.
  • Biztonsági műveletek: A biztonsági elemzők szakértelmet nyújtanak a technikai incidensek kivizsgálása és osztályozása terén.
  • Központi informatikai műveletek: Ez a csapat közvetlenül a felhőplatformon, a felhőbeli kiválósági központon vagy külső tanácsadókon keresztül nyújt szakértelmet.

Hogyan?

Frissítse a folyamatokat, és készítse elő a csapatot, hogy tudják, mit tegyenek, ha aktív támadót találnak.

• Folyamatok és forgatókönyvek: Meglévő vizsgálatok, szervizelési és fenyegetéskeresési folyamatok adaptálása a felhőplatformok működésének különbségeihez. A különbségek közé tartoznak az új vagy különböző eszközök, adatforrások, identitásprotokollok stb.
• Oktatás: Az elemzők oktatása a teljes felhőátalakításról, a platform működésének technikai részleteiről, valamint az új vagy frissített folyamatokról. Ez az információ tájékoztatja őket arról, hogy mi változhat, és hová kell menniük, amire szükségük van.
• Fő fókuszterületek: Bár az erőforrás-hivatkozások számos részletet ismertetnek, ezek a területek az oktatási és tervezési erőfeszítések fókuszba helyezésének helyei:
  • Megosztott felelősségi modell és felhőarchitektúra: Egy biztonsági elemző számára az Azure egy szoftveralapú adatközpont, amely számos szolgáltatást biztosít. Ezek a szolgáltatások közé tartoznak a helyszínitől eltérő virtuális gépek és egyéb szolgáltatások, például az Azure SQL Database Azure Functions. A legjobb adatok a szolgáltatásnaplókban vagy a speciális fenyegetésészlelési szolgáltatásokban találhatóak. Nem szerepel a naplókban a mögöttes operációs rendszerek/virtuális gépek esetében, amelyeket a Microsoft üzemeltet, és több ügyfelet is kiszolgál. Az elemzőknek meg kell érteniük és integrálniuk kell ezt a környezetet a napi munkafolyamatokba. Így tudják, hogy milyen adatokat várnak el, hol szerezzék be őket, és milyen formátumban legyenek.
  • Végpont adatforrások: A felhőben üzemeltetett kiszolgálókon végrehajtott támadások és kártevők elemzési és adatbeolvasása gyakran gyorsabb, egyszerűbb és pontosabb a natív felhőészlelési eszközökkel. Az olyan eszközök, mint a Felhőhöz készült Microsoft Defender és végponti észlelés és reagálás (Végponti észlelés és reagálás) megoldások, pontosabb adatokat biztosítanak, mint a közvetlen lemezhozzáférés hagyományos megközelítései. A közvetlen lemezes kriminalisztika olyan helyzetekben érhető el, ahol ez lehetséges és szükséges a jogi eljárásokhoz. További információkért tekintse meg az Azure-beli számítógépes kriminalisztikai adatokat. Gyakran azonban ez a módszer a leghatékonyabb módszer a támadások észlelésére és kivizsgálására.
  • Hálózati és identitás adatforrások: A felhőplatformok számos funkciója elsősorban az identitást használja a hozzáférés-vezérléshez. Ez a hozzáférés-vezérlés magában foglalja az Azure Portalhoz való hozzáférést, bár a hálózati hozzáférés-vezérlést is széles körben használják. A hozzáférés-vezérléshez az elemzőknek ki kell dolgozniuk a felhőbeli identitásprotokollok ismeretét, hogy teljes képet kapjanak a támadói tevékenységről és a jogos felhasználói tevékenységről az incidensek kivizsgálásának és szervizelésének támogatásához. Az identitáskönyvtárak és protokollok eltérnek a helyszínitől. Ezek általában SAML, OAuth és OpenID Csatlakozás és felhőkönyvtárakon alapulnak az LDAP, a Kerberos, az NTLM és az Active Directory helyett.
  • Gyakorló gyakorlatok: A szimulált támadás és válasz segíthet a szervezeti izommemória és a műszaki felkészültség kiépítésében. Felkészítik a biztonsági elemzőket, a fenyegetésvadászokat, az incidenskezelőket és a szervezet más érdekelt feleit. Tanulás a feladat és az alkalmazkodás természetes része az incidensekre adott válasznak, de a lehető legkisebbre csökkentheti, hogy mennyit kell tanulnia egy válsághelyzetben.

Elsődleges források

• Incidensmegoldás – gyorsútmutató
• Útmutató saját biztonsági incidensek elhárításának folyamatához
• Azure-naplózás és -riasztás
• Ajánlott microsoftos biztonsági eljárások
  • A biztonság, stratégiák, eszközök és fenyegetések átalakítása
  • Biztonsági műveletek
• Microsoft-tanulás a Cyber Defense Operations Centerből (CDOC)
  • Általános tanulságok
  • Incidens kivizsgálása
  • Incidens szervizelése

További információkért tekintse meg az Azure Security Benchmark incidenskezelési folyamatát.

5. Folyamat: Biztonsági helyzetkezelés létrehozása

Először is, ismerd meg magad.

Mi?

Győződjön meg arról, hogy aktívan felügyeli az Azure-környezet biztonsági állapotát:

• A felelősségek egyértelmű tulajdonjogának hozzárendelése a következőhöz:
  • Biztonsági helyzet figyelése
  • Az eszközök kockázatának csökkentése
• A feladatok automatizálása és egyszerűsítése

Why?

A gyakori biztonsági higiéniai kockázatok gyors azonosítása és elhárítása jelentősen csökkenti a szervezeti kockázatokat.

A felhőalapú adatközpontok szoftveralapú jellege lehetővé teszi a biztonsági kockázatok, például a szoftveres biztonsági rések vagy a biztonsági helytelen konfigurációk folyamatos monitorozását, kiterjedt eszközállapottal. A fejlesztők és az informatikai csapat által a virtuális gépek, adatbázisok és egyéb erőforrások üzembe helyezésének sebessége szükségessé teszi az erőforrások biztonságos és aktívan történő konfigurálását.

Ezek az új képességek új lehetőségeket kínálnak, de az értékük felismerése megköveteli a használatukkal kapcsolatos felelősség hozzárendelését. A gyorsan fejlődő felhőműveletek következetes végrehajtásához az emberi folyamatok lehető legegyszerűbb és legautomatizálása szükséges. Tekintse meg a "meghajtó egyszerűsége" biztonsági alapelvet.

Megjegyzés:

Az egyszerűsítés és az automatizálás célja nem a munkahelyek megszabadulása, hanem az ismétlődő feladatok terheinek eltávolítása az emberektől, hogy nagyobb értékű emberi tevékenységekre összpontosíthassanak, például az informatikai és a DevOps-csapatok bevonására és oktatására.

Ki?

Ez a gyakorlat általában két felelősségi csoportra oszlik:

• Biztonsági helyzet kezelése: Ez a függvény gyakran a meglévő biztonságirés-kezelés vagy szabályozási függvények fejlődése. Az eredmény magában foglalja az általános biztonsági helyzet figyelését Felhőhöz készült Microsoft Defender biztonsági pontszám és más adatforrások használatával. Ez magában foglalja az erőforrás-tulajdonosokkal való aktív munkát a kockázatok mérséklése és a biztonsági vezetésnek jelentett kockázatok bejelentése érdekében.

• Biztonsági szervizelés: Elszámoltathatóság hozzárendelése a kockázatok kezeléséhez az erőforrások kezeléséért felelős csapatokhoz. Ez az elszámoltathatóság vagy a saját alkalmazáserőforrásokat kezelő DevOps-csapatokhoz vagy a központi informatikai műveletek technológiaspecifikus csapataihoz tartozik:

  • Számítási és alkalmazáserőforrások
    • Alkalmazásszolgáltatások: Alkalmazásfejlesztési és biztonsági csapatok
    • Tárolók: Alkalmazásfejlesztés vagy infrastruktúra/IT-műveletek
    • Virtuális gépek, méretezési csoportok, számítás: INFORMATIKAI/infrastruktúra-műveletek
  • Adat- és tárolási erőforrások
    • SQL, Redis, Data Lake Analytics, data lake store: Adatbázis-csapat
    • Tárfiókok: Tárolási és infrastruktúra-csapat
  • Identitás és erőforrások elérése
    • Előfizetések: Identitáscsapatok
    • Key Vault: Identitás- vagy információ-/adatbiztonsági csapat
  • Hálózati erőforrások: Hálózati biztonsági csapat
  • IoT-biztonság: IoT-üzemeltetési csapat

Hogyan?

A biztonság mindenki feladata. Nem mindenki tudja azonban, hogy milyen fontos, mit kell tennie, és hogyan kell csinálni.

• A biztonsági kockázatért felelős erőforrás-tulajdonosokat ugyanúgy tartsa számon, mint a rendelkezésre állásért, a teljesítményért, a költségekért és más sikertényezőkért.
• Az erőforrás-tulajdonosok támogatásával tisztában lehet azzal, hogy miért fontos a biztonsági kockázat az eszközeiken, mit tehetnek a kockázatok mérséklése érdekében, és hogyan valósíthatják meg minimális termelékenységcsökkenéssel.

Fontos

Az erőforrások védelmének okai, mije és biztonságossá tételének magyarázata gyakran hasonló a különböző erőforrástípusokhoz és alkalmazásokhoz, de kritikus fontosságú, hogy ezeket az egyes csapatok már tudják és érdeklik. A biztonsági csapatok megbízható tanácsadóként és partnerként együttműködhetnek az informatikai és DevOps-partnerekkel, és a csapatok sikeressé tételére összpontosíthatnak.

Eszközhasználat: A Felhőhöz készült Microsoft Defender biztonsági pontszáma az Azure legfontosabb biztonsági információinak felmérését nyújtja az eszközök széles köréhez. Ez az értékelés lehet a testtartás-kezelés kiindulópontja, és szükség szerint kiegészíthető egyéni Azure-szabályzatokkal és egyéb mechanizmusokkal.

Gyakoriság: Állítson be egy rendszeres, jellemzően havi ütemezést az Azure biztonságos pontszámának áttekintéséhez, és tervezze meg a kezdeményezéseket konkrét fejlesztési célokkal. A gyakoriság igény szerint növelhető.

Tipp.

Ha lehetséges, növelje az aktivitást, például szórakoztató versenyeket és díjakat hozzon létre a DevOps-csapatok számára, amelyek a legjobban javítják a pontszámukat.

További információkért tekintse meg az Azure Security Benchmark biztonsági helyzetkezelési stratégiáját.

6. Technológia: Jelszó nélküli vagy többtényezős hitelesítés megkövetelése

Hajlandó arra, hogy fogadjon a vállalata biztonságára, hogy a profi támadók nem tudják kitalálni vagy ellopni a rendszergazda jelszavát?

Mi?

Az összes kritikus fontosságú rendszergazdának jelszó nélküli vagy többtényezős hitelesítést kell használnia.

Why?

Ahogy az antik csontvázkulcsok nem védik a házat a modern betörők ellen, a jelszavak nem tudják megvédeni a fiókokat a gyakori támadások ellen. A technikai részletekért tekintse meg a pa$$word nem számít.

A többtényezős hitelesítés egykor megterhelő extra lépés volt. A jelszó nélküli megközelítések ma javítják, hogy a felhasználók biometrikus módszerekkel jelentkezzenek be, például az arcfelismerést a Windows Hello-ban és a mobileszközökön. Emellett a zéró megbízhatósági megközelítések megjegyzik a megbízható eszközöket. Ez a módszer csökkenti a sávon kívüli, bosszantó többtényezős hitelesítési műveletekre való kérést. További információ: felhasználói bejelentkezés gyakorisága.

Ki?

A jelszó- és többtényezős kezdeményezést általában identitás- és kulcskezelési vagy biztonsági architektúra vezérli.

• Szponzorálás: A CISO, a CIO vagy az identitás igazgatója általában szponzorálja ezt a munkát.
• Végrehajtás: A végrehajtás olyan együttműködési tevékenység, amely a következőt foglalja magában:
  • Szabályzat- és szabványügyi csapat: Egyértelmű követelmények meghatározása.
  • Identitás- és kulcskezelés vagy központi informatikai műveletek: A szabályzat implementálása.
  • Biztonsági megfelelőség kezelése: Figyelés a megfelelőség biztosításához.

Hogyan?

Jelszó nélküli vagy többtényezős hitelesítés implementálása. Betanítsa a rendszergazdákat arra, hogy szükség szerint használják, és írott szabályzattal követelje meg a rendszergazdáktól, hogy kövessék azokat. Használjon legalább egy ilyen technológiát:

• Jelszó nélküli Windows Hello
• Jelszó nélküli hitelesítő alkalmazás
• Microsoft Entra többtényezős hitelesítés
• Külső féltől származó többtényezős hitelesítési megoldás

Megjegyzés:

A szöveges üzenetalapú többtényezős hitelesítés mostantól viszonylag olcsó a támadók számára, ezért a jelszó nélküli és erősebb többtényezős hitelesítésre összpontosítsanak.

További információ: Az Azure Security Benchmark erős hitelesítési vezérlői az összes Microsoft Entra ID-alapú hozzáféréshez.

7. Technológia: Natív tűzfal és hálózati biztonság integrálása

Egyszerűbbé teheti a rendszerek és adatok védelmét a hálózati támadásokkal szemben.

Mi?

Egyszerűsítse a hálózati biztonsági stratégiát és karbantartást az Azure Firewall, az Azure Web App Firewall (WAF) és az elosztott szolgáltatásmegtagadási (DDoS) megoldások hálózati biztonsági megközelítésbe való integrálásával.

Why?

Az egyszerűség kritikus fontosságú a biztonság szempontjából, mivel csökkenti a keveredés, a helytelen konfigurációk és más emberi hibák kockázatának valószínűségét. Tekintse meg a "meghajtó egyszerűsége" biztonsági alapelvet.

A tűzfalak és WAF-ok fontos alapvető biztonsági vezérlők az alkalmazások rosszindulatú forgalom elleni védelméhez, de a beállításuk és karbantartásuk összetett lehet, és jelentős mennyiségű időt és figyelmet igényelhet a biztonsági csapat számára (hasonlóan az egyéni utángyártott alkatrészek autóhoz való hozzáadásához). Az Azure natív képességei leegyszerűsíthetik a tűzfalak, a webalkalmazási tűzfalak, az elosztott szolgáltatásmegtagadási (DDoS) megoldások implementálását és működését.

Ez a gyakorlat felszabadíthatja a csapat idejét és figyelmét a magasabb értékű biztonsági feladatokra, például:

• Az Azure-szolgáltatások biztonságának értékelése
• Biztonsági műveletek automatizálása
• Biztonság integrálása alkalmazásokkal és informatikai megoldásokkal

Ki?

• Szponzorálás: A biztonsági vezetés vagy az informatikai vezetés általában a hálózati biztonsági stratégia frissítését szponzorálja.
• Végrehajtás: A stratégiák felhőhálózati biztonsági stratégiába való integrálása az alábbiakat magában foglaló együttműködési munka:
  • Biztonsági architektúra: Felhőalapú hálózati biztonsági architektúra létrehozása felhőhálózati és felhőhálózati biztonsági érdeklődőkkel.
  • A felhőhálózat a központi informatikai műveleteket és a felhőhálózat biztonsági vezető infrastruktúrájának biztonsági csapatát vezeti
    • Felhőalapú hálózati biztonsági architektúra létrehozása biztonsági tervezőkkel.
    • Konfigurálja a tűzfal, az NSG és a WAF képességeit, és együttműködjön az alkalmazástervezőkkel a WAF-szabályokon.
  • Alkalmazástervezők: A hálózati biztonsággal együttműködve WAF-szabálykészleteket és DDoS-konfigurációkat hozhat létre és finomíthat az alkalmazás védelme érdekében a rendelkezésre állás zavarása nélkül

Hogyan?

Azok a szervezetek, amelyek egyszerűsíteni szeretnék a működésüket, két lehetőség közül választhatnak:

• Meglévő képességek és architektúrák kiterjesztése: Számos szervezet gyakran úgy dönt, hogy kibővíti a meglévő tűzfalfunkciók használatát, hogy kihasználhassa a meglévő beruházásokat a készségek és a folyamatintegráció terén, különösen a felhő bevezetésekor.
• Natív biztonsági vezérlők használata: Egyre több szervezet kezd natív vezérlőket használni, hogy elkerülje a külső képességek integrálásának összetettségét. Ezek a szervezetek általában arra törekszenek, hogy elkerüljék a terheléselosztás, a felhasználó által megadott útvonalak, a tűzfal vagy a WAF helytelen konfigurálásának kockázatát, valamint a különböző technikai csapatok közötti átadások késleltetését. Ez a lehetőség vonzó az infrastruktúrát kódként alkalmazó szervezetek számára, mivel egyszerűbben automatizálhatják és rendszerezhetik a beépített képességeket, mint a harmadik féltől származó képességeket.

Az Azure natív hálózati biztonsági képességeinek dokumentációja a következő helyen található:

• Azure Firewall
• Azure Web Application Firewall (WAF)
• Azure DDoS-védelem

Az Azure Marketplace számos külső tűzfalszolgáltatót tartalmaz.

További információ: Azure Security Benchmark DDOS-védelem és webalkalmazási tűzfalvédelem.

8. Technológia: Natív fenyegetésészlelés integrálása

Egyszerűsítheti az Azure-rendszerek és -adatok elleni támadások észlelését és reagálását.

Mi?

Egyszerűsítse a fenyegetésészlelési és válaszstratégiát azáltal, hogy natív fenyegetésészlelési képességeket épít be a biztonsági műveletekbe és a SIEM-be.

Why?

A biztonsági műveletek célja a környezethez hozzáférő aktív támadók hatásának csökkentése. A hatást az MTTA(MTTA) és a szervizelési (MTTR) incidensek középideje alapján mérik. Ez a gyakorlat megköveteli a pontosságot és a sebességet az incidenskezelés minden elemében. Az eredmény segít biztosítani az eszközök minőségét és a folyamatvégrehajtás hatékonyságát.

A meglévő eszközök és megközelítések használatával nehéz magas szintű fenyegetésészlelést elérni. Az eszközöket és megközelítéseket a helyszíni fenyegetésészleléshez tervezték a felhőtechnológiában és a gyors változási ütemben tapasztalható különbségek miatt. A natívan integrált észlelések olyan ipari szintű megoldásokat biztosítanak, amelyeket a felhőszolgáltatók tartanak fenn, és képesek lépést tartani a jelenlegi fenyegetésekkel és a felhőplatform változásaival.

Ezek a natív megoldások lehetővé teszik, hogy a biztonsági műveleti csapatok az incidensek kivizsgálására és szervizelésére összpontosítsanak. Összpontosítson ezekre az elemekre ahelyett, hogy időt fordítanának az ismeretlen naplóadatokból származó riasztások létrehozásával, az eszközök integrálásával és a karbantartási feladatokkal.

Ki?

Általában a biztonsági műveleti csapat hajtja.

• Szponzorálás: Ezt a munkát általában a biztonsági üzemeltetési igazgató vagy azzal egyenértékű szerepkör támogatja.
• Végrehajtás: A natív fenyegetésészlelés integrálása együttműködésen alapuló munka, amely a következő megoldásokat foglalja magában:
  • Biztonsági műveletek: Riasztások integrálása SIEM- és incidensvizsgálati folyamatokba. A biztonsági műveletek megtaníthatják az elemzőket a felhőbeli riasztásokra és azok jelentéseire, valamint a natív felhőeszközök használatára.
  • Incidensek előkészítése: A felhőbeli incidensek integrálása a gyakorlati gyakorlatokba, és annak biztosítása, hogy a gyakorlatok a csapat felkészültségének hajtómányai legyenek.
  • Fenyegetésfelderítés: A felhőalapú támadásokkal kapcsolatos információk kutatása és integrálása a csapatok környezettel és intelligenciával való tájékoztatásához.
  • Biztonsági architektúra: Natív eszközök integrálása a biztonsági architektúra dokumentációjába.
  • Szabályzatok és szabványok: Szabványok és szabályzatok beállítása a natív eszközök engedélyezéséhez az egész szervezetben. Monitorozza a megfelelőséget.
  • Infrastruktúra, végpont és központi informatikai műveletek: Észlelések konfigurálása és engedélyezése, integráció az automatizálásba és az infrastruktúrába kódmegoldásként.

Hogyan?

Engedélyezze a fenyegetésészlelést a Felhőhöz készült Microsoft Defender az összes használt erőforráshoz, és minden csapat integrálja ezeket az erőforrásokat a fent leírt folyamatokba.

További információ: Azure Security Benchmark fenyegetésészlelés az Azure-erőforrásokhoz.

9. Architektúra: Egységesítés egyetlen könyvtáron és identitáson

Senki sem akar több identitással és könyvtárral foglalkozni.

Mi?

Egységesíthet egyetlen Microsoft Entra-címtárban. Az Azure-ban minden alkalmazáshoz és felhasználóhoz egységesíthet egyetlen identitást.

Megjegyzés:

Ez az ajánlott eljárás kifejezetten vállalati erőforrásokra vonatkozik. Partnerfiókok esetén használja a Microsoft Entra B2B-t , hogy ne kelljen fiókokat létrehoznia és fenntartania a címtárban. Ügyfél- vagy állampolgári fiókok esetén az Azure AD B2C használatával kezelheti őket.

Why?

Több fiók és identitáskönyvtár szükségtelen súrlódást okoz, ami zavart okoz a napi munkafolyamatokban a következőkkel:

• Hatékonyságnövelő felhasználók
• Fejlesztők
• Informatikai és identitásgazdák
• Biztonsági elemzők
• Egyéb szerepkörök

A több fiók és címtár kezelése ösztönzi a gyenge biztonsági gyakorlatokat. Ezek a gyakorlatok többek között a jelszavak fiókok közötti újrafelhasználását is magukban foglalják. Növeli annak a valószínűségét, hogy a támadók elavult vagy elhagyatott fiókokat célozhatnak meg.

Bár néha egyszerűbbnek tűnik az egyéni LDAP-címtárak gyors felállása egy adott alkalmazáshoz vagy számítási feladathoz, ez a művelet sokkal több munkát hoz létre az integrációhoz és a kezeléshez. Ez a munka hasonló ahhoz, hogy a meglévő vállalati bérlő helyett egy további Azure-bérlőt vagy helyi Active Directory erdőt állítson be. További információkért tekintse meg az egyszerűség biztosításának biztonsági elvét.

Ki?

A Microsoft Entra-címtárak szabványosítása gyakran csapatközi munka. Az erőfeszítést biztonsági architektúra, identitás- és kulcskezelési csapatok hajtják.

• Szponzorálás: Az identitás- és kulcskezelési és biztonsági architektúra általában szponzorálja ezt a munkát, bár egyes szervezetekhez szükség lehet a CISO vagy a CIO szponzorálására.
• Végrehajtás: A végrehajtás olyan együttműködési tevékenység, amely a következőt foglalja magában:
  • Biztonsági architektúra: Ez a csapat beépíti a folyamatot a biztonsági és informatikai architektúra dokumentumaiba és diagramjaiba.
  • Szabályzat és szabványok: Ez a csapat a szabályzatot dokumentálja, és figyeli a megfelelőséget.
  • Identitás- és kulcskezelés vagy központi informatikai műveletek: Ezek a csapatok úgy implementálják a szabályzatot, hogy engedélyezik a funkciókat, és támogatják a fejlesztőket fiókokkal, oktatással stb.
  • Alkalmazásfejlesztők vagy központi informatikai műveletek: Ezek a csapatok identitást használnak az alkalmazásokban és az Azure-szolgáltatáskonfigurációkban. A felelősségek a DevOps bevezetésének szintjétől függően változnak.

Hogyan?

Pragmatikus megközelítés alkalmazása, amely új zöldmezős képességekkel kezdődik. Ezt követően a meglévő alkalmazások és szolgáltatások barnamezőjével kapcsolatos kihívásokat a következő feladatként takaríthatja meg:

• Zöldmező: Hozzon létre és implementáljon egy egyértelmű szabályzatot, amely szerint minden vállalati identitás egyetlen Microsoft Entra-címtárat használhat egyetlen fiókkal minden felhasználóhoz.

• Brownfield: Sok szervezet gyakran több örökölt címtárat és identitásrendszert is használ. Kezelje ezeket az örökölt elemeket, ha a folyamatos felügyeleti súrlódás költsége meghaladja a tisztításhoz szükséges befektetést. Bár az identitáskezelési és szinkronizálási megoldások enyhíthetik a problémák némelyikét, nem integrálása a biztonsági és hatékonyságnövelő funkcióknak. Ezek a funkciók zökkenőmentes felhasználói élményt tesznek lehetővé a felhasználók, rendszergazdák és fejlesztők számára.

Az identitáshasználat kombinálásának ideális ideje az alkalmazásfejlesztési ciklusok során, mint Ön:

• Alkalmazások modernizálása a felhőben.
• Felhőalkalmazások frissítése DevOps-folyamatokkal.

Bár a független üzleti egységekre vagy a szabályozási követelményekre vonatkozó külön címtárnak vannak érvényes okai, minden más körülmények között kerülje a címtárak használatát.

További információkért tekintse meg az Azure Security Benchmark Microsoft Entra központi identitás- és hitelesítési rendszerét.

Fontos

Az egyetlen kivétel az egyetlen fiókszabály alól, hogy a kiemelt felhasználók, beleértve az informatikai rendszergazdákat és a biztonsági elemzőket, külön fiókokkal rendelkezhetnek a standard felhasználói feladatokhoz a felügyeleti feladatokhoz képest.

További információ: Azure Security Benchmark privileged access.

10. Architektúra: Kulcsok helyett identitásalapú hozzáférés-vezérlés használata

Mi?

Amikor csak lehetséges, használja a Microsoft Entra-identitásokat kulcsalapú hitelesítés helyett. Például Azure-szolgáltatások, alkalmazások, API-k.

Why?

A kulcsalapú hitelesítés a felhőszolgáltatások és API-k hitelesítésére használható. Azonban a kulcsok biztonságos kezelését igényli, ami nehéz feladat, különösen nagy méretekben. A biztonságos kulcskezelés a nem biztonsági szakemberek, például a fejlesztők és az infrastruktúra-szakemberek számára nehéz, és gyakran nem teszik biztonságossá, gyakran jelentős biztonsági kockázatokat okozva a szervezet számára.

Az identitásalapú hitelesítés számos, érett képességekkel rendelkező kihíváson felülkerekedik. A funkciók közé tartozik a titkos kulcsok rotálása, az életciklus-kezelés, a felügyeleti delegálás stb.

Ki?

Az identitásalapú hozzáférés-vezérlés megvalósítása gyakran csapatközi munka. Az erőfeszítést biztonsági architektúra, identitás- és kulcskezelési csapatok hajtják.

• Szponzorálás: Ezt az erőfeszítést általában a biztonsági architektúra vagy az identitáskezelés és a kulcskezelés támogatja, bár egyes szervezetek esetében a CISO vagy a CIO szponzorálására lehet szükség.
• Végrehajtás: Együttműködésen alapuló munka, amely a következőt foglalja magában:
  • Biztonsági architektúra: Ez a csapat ajánlott eljárásokat tartalmaz a biztonsági és informatikai architektúra diagramjaiba és dokumentumaiba.
  • Szabályzat és szabványok: Ez a csapat a szabályzatot dokumentálja, és figyeli a megfelelőséget.
  • Identitás- és kulcskezelés vagy központi informatikai műveletek: Ezek a csapatok úgy implementálják a szabályzatot, hogy engedélyezik a funkciókat, és támogatják a fejlesztőket fiókokkal, oktatással stb.
  • Alkalmazásfejlesztők vagy központi informatikai műveletek: Identitás használata alkalmazásokban és Azure-szolgáltatáskonfigurációkban. A felelősségek a DevOps bevezetésének szintjétől függően változnak.

Hogyan?

Az identitásalapú hitelesítés szervezeti beállításának és szokásának beállításához egy folyamat követésére és a technológia engedélyezésére van szükség.

A folyamat

1. Olyan szabályzatokat és szabványokat hozhat létre, amelyek egyértelműen felvázolják az alapértelmezett identitásalapú hitelesítést és az elfogadható kivételeket.
2. Tájékoztassa a fejlesztőket és az infrastruktúra-csapatokat, hogy miért érdemes használni az új megközelítést, mit kell tenniük, és hogyan kell megtenniük.
3. A változásokat pragmatikus módon valósítja meg, kezdve azzal, hogy új zöldmezős képességeket fogad el most és a jövőben, például új Azure-szolgáltatásokat és új alkalmazásokat, majd nyomon követi a meglévő barnamezős konfigurációk megtisztítását.
4. Figyelheti a megfelelőséget, és nyomon követheti a fejlesztői és infrastruktúra-csapatokat a szervizeléshez.

A technológiák

Nem emberi fiókok, például szolgáltatások vagy automatizálás esetén használjon felügyelt identitásokat. Az Azure által felügyelt identitások hitelesíthetők a Microsoft Entra-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítés előre definiált hozzáférés-engedélyezési szabályokkal van engedélyezve, elkerülve a forráskódban vagy konfigurációs fájlokban lévő, nem kódolt hitelesítő adatokat.

A felügyelt identitásokat nem támogató szolgáltatások esetében a Microsoft Entra ID használatával hozzon létre egy korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. A szolgáltatásneveknek tanúsítvány-hitelesítő adatokkal kell konfigurálnia, és vissza kell állítania az ügyfél titkos kulcsait. Az Azure Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal, így a futtatókörnyezet, például egy Azure-függvény lekérheti a hitelesítő adatokat a kulcstartóból.

További információkért tekintse meg az Azure Security Benchmark-alkalmazás identitását.

11. Architektúra: Egységes biztonsági stratégia létrehozása

Mindenkinek ugyanabban az irányban kell eveznie ahhoz, hogy a hajó továbbhaladjon.

Mi?

Győződjön meg arról, hogy minden csapat egyetlen olyan stratégiához van igazítva, amely lehetővé teszi és védi a vállalati rendszereket és adatokat.

Why?

Ha a csapatok elszigetelten dolgoznak anélkül, hogy egy közös stratégiához igazodnak, az egyes műveletek véletlenül gyengíthetik egymás erőfeszítéseit. A félreértelmezés szükségtelen súrlódást okozhat, amely lelassítja a haladást mindenki céljaival szemben.

Az elkülönítésben dolgozó csapatok egyik példája, amely számos szervezetben következetesen működött, az eszközök szegmentálása:

• Hálózatbiztonság: Stratégiát fejleszt egy lapos hálózat szegmentálására. A stratégia növeli a biztonságot, gyakran fizikai helyek, hozzárendelt IP-címek/tartományok vagy hasonló elemek alapján.
• Identitáscsoport: Stratégiát fejleszt a csoportok és az Active Directory szervezeti egységek (OU-k) számára a szervezet ismerete és ismerete alapján.
• Alkalmazáscsapatok: Nehezen működik ezekkel a rendszerekkel. Ez nehéz, mert az üzleti műveletek, célok és kockázatok korlátozott bevitelével és megértésével lettek kialakítva.

Azokban a szervezetekben, ahol ez a korlátozás történik, a csapatok gyakran tapasztalnak ütközéseket a tűzfalak kivételei miatt. Az ütközések negatív hatással lehetnek a biztonságra, mert a csapatok jóváhagyják a kivételeket. A termelékenység negatívan befolyásolja a biztonságot, mivel az üzembe helyezés lassul az üzleti igényeknek megfelelő alkalmazásfunkciók esetében.

Bár a biztonság a kritikus gondolkodás kényszerítésével egészséges súrlódást hozhat létre, ez a konfliktus csak olyan egészségtelen súrlódást okoz, amely akadályozza a célokat. További információkért tekintse meg a biztonsági stratégia útmutatását.

Ki?

• Szponzorálás: Az egységes stratégiát általában a CIO, a CISO és a CTO támogatja. A szponzorálás gyakran jár üzleti vezetői támogatás néhány magas szintű elemek és a bajnokok képviselői minden csapat.
• Végrehajtás: A biztonsági stratégiát mindenkinek végre kell hajtania. A különböző csapatok adatait integrálja a tulajdonjog növelése, a bevásárlás és a siker valószínűsége érdekében.
  • Biztonsági architektúra: Ez a csapat a biztonsági stratégia és az eredményül kapott architektúra kialakítására törekszik. A biztonsági architektúra aktívan gyűjti a csapatok visszajelzéseit és dokumentumait bemutatókban, dokumentumokban és diagramokban a különböző célközönségek számára.
  • Szabályzat és szabványok: Ez a csapat rögzíti a megfelelő elemeket a szabványokban és a szabályzatokban, majd figyeli a megfelelőséget.
  • Minden technikai informatikai és biztonsági csapat: Ezek a csapatok bemeneti követelményeket biztosítanak, majd igazodnak a vállalati stratégiához és implementálják azt.
  • Alkalmazástulajdonosok és fejlesztők: Ezek a csapatok elolvassák és megértik a rájuk vonatkozó stratégiai dokumentációt. Ideális esetben a szerepkörükhöz igazítják az útmutatást.

Hogyan?

Hozzon létre és implementáljon egy felhőre vonatkozó biztonsági stratégiát, amely magában foglalja az összes csapat bemenetét és aktív részvételét. Bár a folyamatdokumentáció formátuma eltérő lehet, mindig a következőket tartalmazza:

• Aktív bemenet a csapatoktól: A stratégiák általában meghiúsulnak, ha a szervezet tagjai nem vásárolnak bele. Ideális esetben minden csapat ugyanabban a szobában van a stratégia közös kialakításához. Az ügyfelekkel tartott workshopokon gyakran tapasztaljuk, hogy a szervezetek de facto silókban működnek, és ezek az értekezletek gyakran azt eredményezik, hogy az emberek először találkoznak egymással. Úgy látjuk, hogy a befogadás követelmény. Ha egyes csapatok meghívása nem történik meg, ezt az értekezletet általában meg kell ismételni, amíg az összes résztvevő be nem csatlakozik. Ha nem csatlakoznak, akkor a projekt nem halad előre.
• Dokumentálva és egyértelműen közölve: Minden csapatnak tisztában kell lennie a biztonsági stratégiával. Ideális esetben a biztonsági stratégia az általános technológiai stratégia biztonsági összetevője. Ez a stratégia magában foglalja a biztonság integrálásának okát, a biztonságban fontos szempontokat és a biztonsági sikerek megjelenését. Ez a stratégia konkrét útmutatást tartalmaz az alkalmazás- és fejlesztési csapatok számára, hogy világos, szervezett útmutatást kapjanak anélkül, hogy nem releváns információkat kellene elolvasniuk.
• Stabil, de rugalmas: A stratégiák viszonylag konzisztensek és stabilak maradnak, de az architektúráknak és a dokumentációnak egyértelműbbé kell tenni a felhő dinamikus jellegét. A rosszindulatú külső forgalom kiszűrése például stratégiai fontosságú marad, még akkor is, ha egy harmadik féltől származó következő generációs tűzfalról az Azure Firewallra vált, és módosítja a diagramokat és útmutatást ennek módjáról.
• Kezdje a szegmentálással: Vannak olyan stratégiai problémák, amelyek nagyok és kicsik is, de valahol el kell kezdenie. Indítsa el a biztonsági stratégiát a vállalati eszközök szegmentálásával. Ez a szegmentálás egy alapvető döntés, amely később nehéz lenne megváltoztatni, és üzleti bemenetet és számos technikai csapatot igényel.

A Microsoft közzétett egy videós útmutatót a szegmentálási stratégia Azure-ra való alkalmazásához. A vállalati szegmentálásról és a hálózati biztonság hozzáigazításáról közzétett dokumentumok.

A felhőadaptálási keretrendszer útmutatást tartalmaz a csapatoknak a következőkhöz:

• Felhőstratégiáért felelős csapat létrehozása: Ideális esetben a biztonságot egy meglévő felhőstratégiába integrálhatja.
• Biztonsági stratégia létrehozása vagy modernizálása: Az üzleti és biztonsági célok elérése a felhőszolgáltatások és a modern fenyegetések jelenlegi korában.

További információkért tekintse meg az Azure Security Benchmark szabályozási stratégiáját.