Az Azure ajánlott biztonsági eljárásai
Ez a cikk az ajánlott biztonsági ajánlott eljárásokat ismerteti, amelyek az ügyfelek tapasztalatain és a saját környezetünkben szerzett tapasztalatokon alapulnak.
Videóbemutatókért tekintse meg az Azure-biztonság ajánlott eljárásait.
1. Kapcsolatok: A csapatok oktatása a felhőbiztonsági folyamatról
A csapatnak meg kell értenie, hogy milyen úton haladnak.
Mi?
Megismertetheti a biztonsági és informatikai csapatokkal a felhőbeli biztonsági folyamatokat és az általuk végrehajtott módosításokat, többek között az alábbiakat:
- Fenyegetések a felhőben
- A megosztott felelősségi modell és annak hatása a biztonságra
- A kultúra, valamint a jellemzően felhőbevezetéssel járó szerepkörök és felelősségek változásai
Why?
A felhőbiztonság szemléletváltást és megközelítést igényel. Bár a szervezet számára biztosított biztonsági eredmények nem változnak, a felhőbeli eredmények elérésének legjobb módja jelentősen változhat.
A felhőbe való áttérés hasonló az önálló házról egy magasházra való áttéréshez. Még mindig rendelkezik alapszintű infrastruktúrával, például vízvezetékekkel és elektromos árammal, és hasonló tevékenységeket végez, például szocializációt, főzést, tv-t és internetet stb. Azonban gyakran van elég különbség abban, hogy mi jön az épület, aki biztosítja és karbantartja azt, és a napi rutin.
Ki?
A biztonsági és informatikai szervezet minden biztonsági felelősének ismernie kell a változásokat a CIO-tól vagy a CISO-tól a műszaki szakemberekig.
Hogyan?
Adja meg a csapatoknak a felhőkörnyezetre való áttérés során a sikeres üzembe helyezéshez és működéshez szükséges környezetet.
A Microsoft a következő leckéket tette közzé, amelyeket az ügyfelek és az informatikai szervezet a felhőbe vezető útjuk során tanultak meg.
- Hogyan fejlődnek a biztonsági szerepkörök és a felelősségek a biztonsági szervezetben.
- A veszélyforrások környezetének, szerepköreinek és digitális stratégiáinak fejlődése.
- A biztonság, a stratégiák, az eszközök és a fenyegetések átalakítása.
- Tanulás a Microsoft rugalmas skálázású felhőkörnyezetek biztonságossá tételével kapcsolatos tapasztalataiból.
További információkért tekintse meg az Azure Security Benchmark szerepköreit, feladatait és elszámoltathatóságát.
2. Kapcsolatok: A csapatok oktatása a felhőbiztonsági technológiákról
Kapcsolatok tudniuk kell, hová mennek.
Mi?
Győződjön meg arról, hogy a csapatoknak van idő félretéve a felhőbeli erőforrások biztonságossá tételével kapcsolatos műszaki oktatásra, beleértve a következőket:
- Felhőtechnológia és felhőbiztonsági technológia
- Ajánlott konfigurációk és ajánlott eljárások
- További technikai részletek
Why?
A technikai csapatoknak hozzáférésre van szükségük a technikai információkhoz a megalapozott biztonsági döntések meghozatalához. A technikai csapatok jól tanulnak új technológiákat a feladathoz, de a felhőben lévő részletek mennyisége gyakran túlterheli a tanulás napi rutinba való illesztésének képességét.
Szánjon külön időt a műszaki tanulásra. Tanulás biztosíthatja, hogy az embereknek legyen ideje bizalmat építeni a felhőbiztonság értékelésének képességében. Segít nekik átgondolni, hogyan alakíthatják át meglévő készségeiket és folyamataikat.
Ki?
Minden olyan biztonsági és informatikai szerepkörnek, amely közvetlenül kommunikál a felhőtechnológiával, időt kell szánnia a felhőplatformokon való műszaki tanulásra és azok védelmére.
A biztonság, az informatikai műszaki vezetők és a projektmenedzserek megismerkedhetnek a felhőerőforrások biztonságossá tételének néhány technikai részletével. Ez a jártasság segíti őket a felhőbeli kezdeményezések hatékonyabb irányításában és koordinálásában.
Hogyan?
Győződjön meg arról, hogy a műszaki biztonsági szakembereknek időt kell szánnia arra, hogy öngyors képzést biztosítsanak a felhőbeli eszközök védelméről. Bár nem mindig megvalósítható, biztosítson hozzáférést a formális képzéshez egy tapasztalt oktatóval és gyakorlati tesztkörnyezettel.
Fontos
Az identitásprotokollok kritikus fontosságúak a felhőbeli hozzáférés-vezérléshez, de gyakran nem rangsorolja a helyszíni biztonságot. A biztonsági csapatoknak a protokollok és naplók ismeretének fejlesztésére kell összpontosítaniuk.
A Microsoft széles körű forrásanyagokkal segíti a műszaki szakembereket képességeik kihasználásában. Ezek az erőforrások a következők:
- Azure-biztonság
- Azure-megfelelőség
- Identitásprotokollok és biztonság
- Az Azure biztonsági dokumentációs webhelye
- Microsoft Entra-hitelesítés – YouTube-sorozat
- Azure-környezetek védelme a Microsoft Entra-azonosítóval
3. Folyamat: Elszámoltathatóság hozzárendelése a felhőbeli biztonsági döntésekhez
A biztonsági döntéseket nem hozzák meg, ha senki sem felelős azok meghozásáért.
Mi?
Válassza ki, hogy ki felelős a vállalati Azure-környezet minden biztonsági döntésének meghozataláért.
Why?
A biztonsági döntések egyértelmű tulajdonjoga felgyorsítja a felhőbevezetést, és növeli a biztonságot. A tulajdonjog hiánya általában súrlódást okoz, mert senki sem érzi magát felhatalmazva a döntések meghozatalára. Senki sem tudja, kitől kérjen döntést, és senki sem ösztönöz arra, hogy megalapozott döntést keressen. A súrlódás gyakran akadályozza:
- Üzleti célok
- Fejlesztői ütemtervek
- Informatikai célok
- Biztonsági garanciák
A súrlódás a következőt eredményezheti:
- Elakadt projektek, amelyek biztonsági jóváhagyásra várnak
- Nem biztonságos üzemelő példányok, amelyek nem tudtak várni a biztonsági jóváhagyásra
Ki?
A biztonsági vezetés dönti el, hogy mely csapatok vagy személyek legyenek elszámoltathatók a felhőre vonatkozó biztonsági döntések meghozataláért.
Hogyan?
Válassza ki a legfontosabb biztonsági döntések meghozataláért felelős csoportokat vagy személyeket.
Dokumentálja ezeket a tulajdonosokat, a kapcsolattartási adatokat, és széles körben szocializálja az információkat a biztonsági, informatikai és felhőbeli csapatokban. A szocializáció biztosítja, hogy minden szerepkör könnyen kapcsolatba lépjen velük.
Ezek a területek általában olyan területek, ahol biztonsági döntésekre van szükség. Az alábbi táblázat a döntési kategóriát, a kategória leírását és azt mutatja be, hogy mely csapatok hozzák meg gyakran a döntéseket.
Döntés | Leírás | Tipikus csapat |
---|---|---|
Hálózati biztonság | Konfigurálhatja és karbantarthatja az Azure Firewallt, a hálózati virtuális berendezéseket és a kapcsolódó útválasztást, a webalkalmazási tűzfalakat (WAF-eket), az NSG-ket, az ASG-ket stb. | Az infrastruktúra- és végpontbiztonsági csapat a hálózati biztonságra összpontosított |
Hálózatkezelés | Nagyvállalati szintű virtuális hálózat és alhálózat-kiosztás kezelése. | Meglévő hálózati üzemeltetési csapat a központi informatikai műveletekben |
Kiszolgálóvégpont biztonsága | A kiszolgáló biztonságának figyelése és javítása, beleértve a javítást, a konfigurációt, a végpontbiztonságot stb. | Központi informatikai üzemeltetési és infrastruktúra- és végpontbiztonsági csapatok közösen |
Incidensfigyelés és -reagálás | Biztonsági incidensek kivizsgálása és elhárítása a SIEM-ben vagy a forráskonzolon, beleértve a Felhőhöz készült Microsoft Defender, Microsoft Entra ID-védelem stb. | Biztonsági műveleti csapat |
Házirendkezelés | Az Azure-erőforrások szabályozásához adja meg az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC), a Felhőhöz készült Defender, a rendszergazdai védelmi stratégia és az Azure Policy használatának irányát. | A szabályzatok és szabványok , valamint a biztonsági architektúra csapatai közösen |
Identitásbiztonság és -szabványok | Irányt állíthat be a Microsoft Entra-címtárakhoz, a PIM-/pam-használathoz, a többtényezős hitelesítéshez, a jelszó-/szinkronizálási konfigurációhoz, az alkalmazás identitásszabványaihoz. | Identitás- és kulcskezelés, szabályzatok és szabványok, valamint biztonsági architektúra-csapatok közösen |
Megjegyzés:
- Gondoskodjon arról, hogy a döntéshozók megfelelő oktatást biztosítsanak a felhő területén ahhoz, hogy ezt a felelősséget el tudják követni.
- Győződjön meg arról, hogy a döntések dokumentálva vannak a szabályzatokban és a szabványokban, hogy rögzíthesse és hosszú távon irányíthassa a szervezetet.
4. Folyamat: Incidenskezelési folyamatok frissítése a felhőben
Tervezze meg előre. Nincs ideje válságot tervezni egy válság idején.
Mi?
Biztonsági incidensek előkészítése az Azure-felhőplatformon. Ez az előkészítés tartalmazza az ön által alkalmazott natív fenyegetésészlelési eszközöket . Frissítse a folyamatokat, készítse elő a csapatot, és gyakoroljon szimulált támadásokkal, hogy a lehető legjobban tudjanak működni az incidensek kivizsgálása, a szervizelés és a fenyegetéskeresés során.
Why?
Az aktív támadók azonnali kockázatot jelentenek a szervezet számára. A helyzet gyorsan nehezen ellenőrizhetővé válhat. Gyorsan és hatékonyan reagálhat a támadásokra. Ennek az incidenskezelési (IR) folyamatnak hatékonynak kell lennie a teljes tulajdonban, beleértve a vállalati adatokat, rendszereket és fiókokat üzemeltető összes felhőplatformot.
Bár a felhőplatformok számos szempontból hasonlóak, technikailag eltérnek a helyszíni rendszerektől. A helyszíni rendszerek megszakíthatják a meglévő folyamatokat, általában azért, mert az információk más formában érhetők el. A biztonsági elemzőknek lehetnek olyan kihívásai, amelyek gyorsan reagálnak egy ismeretlen környezetre, amely lelassíthatja őket. Ez az állítás különösen igaz, ha csak klasszikus helyszíni architektúrákra és hálózati/lemezes kriminalisztikai megközelítésekre tanítják be őket.
Ki?
Az integrációs modul folyamatának modernizálását általában biztonsági műveletek vezérlik. Az erőfeszítések gyakran más csoportok támogatásával járnak a tudás és a szakértelem terén.
Szponzorálás: A biztonsági üzemeltetési igazgató vagy azzal egyenértékű általában a folyamat modernizálását támogatja.
Végrehajtás: A meglévő folyamatok adaptálása vagy első alkalommal történő megírása a következő együttműködésen alapuló munka:
- Biztonsági műveletek: Az incidenskezelő csapat vagy a vezetőség folyamat- és integrációfrissítéseket vezet a legfontosabb külső érdekelt felek számára. Ezek a csapatok közé tartoznak a jogi és kommunikációs vagy public relations csapatok.
- Biztonsági műveletek: A biztonsági elemzők szakértelmet nyújtanak a technikai incidensek kivizsgálása és osztályozása terén.
- Központi informatikai műveletek: Ez a csapat közvetlenül a felhőplatformon, a felhőbeli kiválósági központon vagy külső tanácsadókon keresztül nyújt szakértelmet.
Hogyan?
Frissítse a folyamatokat, és készítse elő a csapatot, hogy tudják, mit tegyenek, ha aktív támadót találnak.
- Folyamatok és forgatókönyvek: Meglévő vizsgálatok, szervizelési és fenyegetéskeresési folyamatok adaptálása a felhőplatformok működésének különbségeihez. A különbségek közé tartoznak az új vagy különböző eszközök, adatforrások, identitásprotokollok stb.
- Oktatás: Az elemzők oktatása a teljes felhőátalakításról, a platform működésének technikai részleteiről, valamint az új vagy frissített folyamatokról. Ez az információ tájékoztatja őket arról, hogy mi változhat, és hová kell menniük, amire szükségük van.
- Fő fókuszterületek: Bár az erőforrás-hivatkozások számos részletet ismertetnek, ezek a területek az oktatási és tervezési erőfeszítések fókuszba helyezésének helyei:
- Megosztott felelősségi modell és felhőarchitektúra: Egy biztonsági elemző számára az Azure egy szoftveralapú adatközpont, amely számos szolgáltatást biztosít. Ezek a szolgáltatások közé tartoznak a helyszínitől eltérő virtuális gépek és egyéb szolgáltatások, például az Azure SQL Database Azure Functions. A legjobb adatok a szolgáltatásnaplókban vagy a speciális fenyegetésészlelési szolgáltatásokban találhatóak. Nem szerepel a naplókban a mögöttes operációs rendszerek/virtuális gépek esetében, amelyeket a Microsoft üzemeltet, és több ügyfelet is kiszolgál. Az elemzőknek meg kell érteniük és integrálniuk kell ezt a környezetet a napi munkafolyamatokba. Így tudják, hogy milyen adatokat várnak el, hol szerezzék be őket, és milyen formátumban legyenek.
- Végpont adatforrások: A felhőben üzemeltetett kiszolgálókon végrehajtott támadások és kártevők elemzési és adatbeolvasása gyakran gyorsabb, egyszerűbb és pontosabb a natív felhőészlelési eszközökkel. Az olyan eszközök, mint a Felhőhöz készült Microsoft Defender és végponti észlelés és reagálás (Végponti észlelés és reagálás) megoldások, pontosabb adatokat biztosítanak, mint a közvetlen lemezhozzáférés hagyományos megközelítései. A közvetlen lemezes kriminalisztika olyan helyzetekben érhető el, ahol ez lehetséges és szükséges a jogi eljárásokhoz. További információkért tekintse meg az Azure-beli számítógépes kriminalisztikai adatokat. Gyakran azonban ez a módszer a leghatékonyabb módszer a támadások észlelésére és kivizsgálására.
- Hálózati és identitás adatforrások: A felhőplatformok számos funkciója elsősorban az identitást használja a hozzáférés-vezérléshez. Ez a hozzáférés-vezérlés magában foglalja az Azure Portalhoz való hozzáférést, bár a hálózati hozzáférés-vezérlést is széles körben használják. A hozzáférés-vezérléshez az elemzőknek ki kell dolgozniuk a felhőbeli identitásprotokollok ismeretét, hogy teljes képet kapjanak a támadói tevékenységről és a jogos felhasználói tevékenységről az incidensek kivizsgálásának és szervizelésének támogatásához. Az identitáskönyvtárak és protokollok eltérnek a helyszínitől. Ezek általában SAML, OAuth és OpenID Csatlakozás és felhőkönyvtárakon alapulnak az LDAP, a Kerberos, az NTLM és az Active Directory helyett.
- Gyakorló gyakorlatok: A szimulált támadás és válasz segíthet a szervezeti izommemória és a műszaki felkészültség kiépítésében. Felkészítik a biztonsági elemzőket, a fenyegetésvadászokat, az incidenskezelőket és a szervezet más érdekelt feleit. Tanulás a feladat és az alkalmazkodás természetes része az incidensekre adott válasznak, de a lehető legkisebbre csökkentheti, hogy mennyit kell tanulnia egy válsághelyzetben.
Elsődleges források
- Incidensmegoldás – gyorsútmutató
- Útmutató saját biztonsági incidensek elhárításának folyamatához
- Azure-naplózás és -riasztás
- Ajánlott microsoftos biztonsági eljárások
- Microsoft-tanulás a Cyber Defense Operations Centerből (CDOC)
További információkért tekintse meg az Azure Security Benchmark incidenskezelési folyamatát.
5. Folyamat: Biztonsági helyzetkezelés létrehozása
Először is, ismerd meg magad.
Mi?
Győződjön meg arról, hogy aktívan felügyeli az Azure-környezet biztonsági állapotát:
- A felelősségek egyértelmű tulajdonjogának hozzárendelése a következőhöz:
- Biztonsági helyzet figyelése
- Az eszközök kockázatának csökkentése
- A feladatok automatizálása és egyszerűsítése
Why?
A gyakori biztonsági higiéniai kockázatok gyors azonosítása és elhárítása jelentősen csökkenti a szervezeti kockázatokat.
A felhőalapú adatközpontok szoftveralapú jellege lehetővé teszi a biztonsági kockázatok, például a szoftveres biztonsági rések vagy a biztonsági helytelen konfigurációk folyamatos monitorozását, kiterjedt eszközállapottal. A fejlesztők és az informatikai csapat által a virtuális gépek, adatbázisok és egyéb erőforrások üzembe helyezésének sebessége szükségessé teszi az erőforrások biztonságos és aktívan történő konfigurálását.
Ezek az új képességek új lehetőségeket kínálnak, de az értékük felismerése megköveteli a használatukkal kapcsolatos felelősség hozzárendelését. A gyorsan fejlődő felhőműveletek következetes végrehajtásához az emberi folyamatok lehető legegyszerűbb és legautomatizálása szükséges. Tekintse meg a "meghajtó egyszerűsége" biztonsági alapelvet.
Megjegyzés:
Az egyszerűsítés és az automatizálás célja nem a munkahelyek megszabadulása, hanem az ismétlődő feladatok terheinek eltávolítása az emberektől, hogy nagyobb értékű emberi tevékenységekre összpontosíthassanak, például az informatikai és a DevOps-csapatok bevonására és oktatására.
Ki?
Ez a gyakorlat általában két felelősségi csoportra oszlik:
Biztonsági helyzet kezelése: Ez a függvény gyakran a meglévő biztonságirés-kezelés vagy szabályozási függvények fejlődése. Az eredmény magában foglalja az általános biztonsági helyzet figyelését Felhőhöz készült Microsoft Defender biztonsági pontszám és más adatforrások használatával. Ez magában foglalja az erőforrás-tulajdonosokkal való aktív munkát a kockázatok mérséklése és a biztonsági vezetésnek jelentett kockázatok bejelentése érdekében.
Biztonsági szervizelés: Elszámoltathatóság hozzárendelése a kockázatok kezeléséhez az erőforrások kezeléséért felelős csapatokhoz. Ez az elszámoltathatóság vagy a saját alkalmazáserőforrásokat kezelő DevOps-csapatokhoz vagy a központi informatikai műveletek technológiaspecifikus csapataihoz tartozik:
- Számítási és alkalmazáserőforrások
- Alkalmazásszolgáltatások: Alkalmazásfejlesztési és biztonsági csapatok
- Tárolók: Alkalmazásfejlesztés vagy infrastruktúra/IT-műveletek
- Virtuális gépek, méretezési csoportok, számítás: INFORMATIKAI/infrastruktúra-műveletek
- Adat- és tárolási erőforrások
- SQL, Redis, Data Lake Analytics, data lake store: Adatbázis-csapat
- Tárfiókok: Tárolási és infrastruktúra-csapat
- Identitás és erőforrások elérése
- Előfizetések: Identitáscsapatok
- Key Vault: Identitás- vagy információ-/adatbiztonsági csapat
- Hálózati erőforrások: Hálózati biztonsági csapat
- IoT-biztonság: IoT-üzemeltetési csapat
- Számítási és alkalmazáserőforrások
Hogyan?
A biztonság mindenki feladata. Nem mindenki tudja azonban, hogy milyen fontos, mit kell tennie, és hogyan kell csinálni.
- A biztonsági kockázatért felelős erőforrás-tulajdonosokat ugyanúgy tartsa számon, mint a rendelkezésre állásért, a teljesítményért, a költségekért és más sikertényezőkért.
- Az erőforrás-tulajdonosok támogatásával tisztában lehet azzal, hogy miért fontos a biztonsági kockázat az eszközeiken, mit tehetnek a kockázatok mérséklése érdekében, és hogyan valósíthatják meg minimális termelékenységcsökkenéssel.
Fontos
Az erőforrások védelmének okai, mije és biztonságossá tételének magyarázata gyakran hasonló a különböző erőforrástípusokhoz és alkalmazásokhoz, de kritikus fontosságú, hogy ezeket az egyes csapatok már tudják és érdeklik. A biztonsági csapatok megbízható tanácsadóként és partnerként együttműködhetnek az informatikai és DevOps-partnerekkel, és a csapatok sikeressé tételére összpontosíthatnak.
Eszközhasználat: A Felhőhöz készült Microsoft Defender biztonsági pontszáma az Azure legfontosabb biztonsági információinak felmérését nyújtja az eszközök széles köréhez. Ez az értékelés lehet a testtartás-kezelés kiindulópontja, és szükség szerint kiegészíthető egyéni Azure-szabályzatokkal és egyéb mechanizmusokkal.
Gyakoriság: Állítson be egy rendszeres, jellemzően havi ütemezést az Azure biztonságos pontszámának áttekintéséhez, és tervezze meg a kezdeményezéseket konkrét fejlesztési célokkal. A gyakoriság igény szerint növelhető.
Tipp.
Ha lehetséges, növelje az aktivitást, például szórakoztató versenyeket és díjakat hozzon létre a DevOps-csapatok számára, amelyek a legjobban javítják a pontszámukat.
További információkért tekintse meg az Azure Security Benchmark biztonsági helyzetkezelési stratégiáját.
6. Technológia: Jelszó nélküli vagy többtényezős hitelesítés megkövetelése
Hajlandó arra, hogy fogadjon a vállalata biztonságára, hogy a profi támadók nem tudják kitalálni vagy ellopni a rendszergazda jelszavát?
Mi?
Az összes kritikus fontosságú rendszergazdának jelszó nélküli vagy többtényezős hitelesítést kell használnia.
Why?
Ahogy az antik csontvázkulcsok nem védik a házat a modern betörők ellen, a jelszavak nem tudják megvédeni a fiókokat a gyakori támadások ellen. A technikai részletekért tekintse meg a pa$$word nem számít.
A többtényezős hitelesítés egykor megterhelő extra lépés volt. A jelszó nélküli megközelítések ma javítják, hogy a felhasználók biometrikus módszerekkel jelentkezzenek be, például az arcfelismerést a Windows Hello-ban és a mobileszközökön. Emellett a zéró megbízhatósági megközelítések megjegyzik a megbízható eszközöket. Ez a módszer csökkenti a sávon kívüli, bosszantó többtényezős hitelesítési műveletekre való kérést. További információ: felhasználói bejelentkezés gyakorisága.
Ki?
A jelszó- és többtényezős kezdeményezést általában identitás- és kulcskezelési vagy biztonsági architektúra vezérli.
- Szponzorálás: A CISO, a CIO vagy az identitás igazgatója általában szponzorálja ezt a munkát.
- Végrehajtás: A végrehajtás olyan együttműködési tevékenység, amely a következőt foglalja magában:
- Szabályzat- és szabványügyi csapat: Egyértelmű követelmények meghatározása.
- Identitás- és kulcskezelés vagy központi informatikai műveletek: A szabályzat implementálása.
- Biztonsági megfelelőség kezelése: Figyelés a megfelelőség biztosításához.
Hogyan?
Jelszó nélküli vagy többtényezős hitelesítés implementálása. Betanítsa a rendszergazdákat arra, hogy szükség szerint használják, és írott szabályzattal követelje meg a rendszergazdáktól, hogy kövessék azokat. Használjon legalább egy ilyen technológiát:
- Jelszó nélküli Windows Hello
- Jelszó nélküli hitelesítő alkalmazás
- Microsoft Entra többtényezős hitelesítés
- Külső féltől származó többtényezős hitelesítési megoldás
Megjegyzés:
A szöveges üzenetalapú többtényezős hitelesítés mostantól viszonylag olcsó a támadók számára, ezért a jelszó nélküli és erősebb többtényezős hitelesítésre összpontosítsanak.
További információ: Az Azure Security Benchmark erős hitelesítési vezérlői az összes Microsoft Entra ID-alapú hozzáféréshez.
7. Technológia: Natív tűzfal és hálózati biztonság integrálása
Egyszerűbbé teheti a rendszerek és adatok védelmét a hálózati támadásokkal szemben.
Mi?
Egyszerűsítse a hálózati biztonsági stratégiát és karbantartást az Azure Firewall, az Azure Web App Firewall (WAF) és az elosztott szolgáltatásmegtagadási (DDoS) megoldások hálózati biztonsági megközelítésbe való integrálásával.
Why?
Az egyszerűség kritikus fontosságú a biztonság szempontjából, mivel csökkenti a keveredés, a helytelen konfigurációk és más emberi hibák kockázatának valószínűségét. Tekintse meg a "meghajtó egyszerűsége" biztonsági alapelvet.
A tűzfalak és WAF-ok fontos alapvető biztonsági vezérlők az alkalmazások rosszindulatú forgalom elleni védelméhez, de a beállításuk és karbantartásuk összetett lehet, és jelentős mennyiségű időt és figyelmet igényelhet a biztonsági csapat számára (hasonlóan az egyéni utángyártott alkatrészek autóhoz való hozzáadásához). Az Azure natív képességei leegyszerűsíthetik a tűzfalak, a webalkalmazási tűzfalak, az elosztott szolgáltatásmegtagadási (DDoS) megoldások implementálását és működését.
Ez a gyakorlat felszabadíthatja a csapat idejét és figyelmét a magasabb értékű biztonsági feladatokra, például:
- Az Azure-szolgáltatások biztonságának értékelése
- Biztonsági műveletek automatizálása
- Biztonság integrálása alkalmazásokkal és informatikai megoldásokkal
Ki?
- Szponzorálás: A biztonsági vezetés vagy az informatikai vezetés általában a hálózati biztonsági stratégia frissítését szponzorálja.
- Végrehajtás: A stratégiák felhőhálózati biztonsági stratégiába való integrálása az alábbiakat magában foglaló együttműködési munka:
- Biztonsági architektúra: Felhőalapú hálózati biztonsági architektúra létrehozása felhőhálózati és felhőhálózati biztonsági érdeklődőkkel.
- A felhőhálózat a központi informatikai műveleteket és a felhőhálózat biztonsági vezető infrastruktúrájának biztonsági csapatát vezeti
- Felhőalapú hálózati biztonsági architektúra létrehozása biztonsági tervezőkkel.
- Konfigurálja a tűzfal, az NSG és a WAF képességeit, és együttműködjön az alkalmazástervezőkkel a WAF-szabályokon.
- Alkalmazástervezők: A hálózati biztonsággal együttműködve WAF-szabálykészleteket és DDoS-konfigurációkat hozhat létre és finomíthat az alkalmazás védelme érdekében a rendelkezésre állás zavarása nélkül
Hogyan?
Azok a szervezetek, amelyek egyszerűsíteni szeretnék a működésüket, két lehetőség közül választhatnak:
- Meglévő képességek és architektúrák kiterjesztése: Számos szervezet gyakran úgy dönt, hogy kibővíti a meglévő tűzfalfunkciók használatát, hogy kihasználhassa a meglévő beruházásokat a készségek és a folyamatintegráció terén, különösen a felhő bevezetésekor.
- Natív biztonsági vezérlők használata: Egyre több szervezet kezd natív vezérlőket használni, hogy elkerülje a külső képességek integrálásának összetettségét. Ezek a szervezetek általában arra törekszenek, hogy elkerüljék a terheléselosztás, a felhasználó által megadott útvonalak, a tűzfal vagy a WAF helytelen konfigurálásának kockázatát, valamint a különböző technikai csapatok közötti átadások késleltetését. Ez a lehetőség vonzó az infrastruktúrát kódként alkalmazó szervezetek számára, mivel egyszerűbben automatizálhatják és rendszerezhetik a beépített képességeket, mint a harmadik féltől származó képességeket.
Az Azure natív hálózati biztonsági képességeinek dokumentációja a következő helyen található:
Az Azure Marketplace számos külső tűzfalszolgáltatót tartalmaz.
További információ: Azure Security Benchmark DDOS-védelem és webalkalmazási tűzfalvédelem.
8. Technológia: Natív fenyegetésészlelés integrálása
Egyszerűsítheti az Azure-rendszerek és -adatok elleni támadások észlelését és reagálását.
Mi?
Egyszerűsítse a fenyegetésészlelési és válaszstratégiát azáltal, hogy natív fenyegetésészlelési képességeket épít be a biztonsági műveletekbe és a SIEM-be.
Why?
A biztonsági műveletek célja a környezethez hozzáférő aktív támadók hatásának csökkentése. A hatást az MTTA(MTTA) és a szervizelési (MTTR) incidensek középideje alapján mérik. Ez a gyakorlat megköveteli a pontosságot és a sebességet az incidenskezelés minden elemében. Az eredmény segít biztosítani az eszközök minőségét és a folyamatvégrehajtás hatékonyságát.
A meglévő eszközök és megközelítések használatával nehéz magas szintű fenyegetésészlelést elérni. Az eszközöket és megközelítéseket a helyszíni fenyegetésészleléshez tervezték a felhőtechnológiában és a gyors változási ütemben tapasztalható különbségek miatt. A natívan integrált észlelések olyan ipari szintű megoldásokat biztosítanak, amelyeket a felhőszolgáltatók tartanak fenn, és képesek lépést tartani a jelenlegi fenyegetésekkel és a felhőplatform változásaival.
Ezek a natív megoldások lehetővé teszik, hogy a biztonsági műveleti csapatok az incidensek kivizsgálására és szervizelésére összpontosítsanak. Összpontosítson ezekre az elemekre ahelyett, hogy időt fordítanának az ismeretlen naplóadatokból származó riasztások létrehozásával, az eszközök integrálásával és a karbantartási feladatokkal.
Ki?
Általában a biztonsági műveleti csapat hajtja.
- Szponzorálás: Ezt a munkát általában a biztonsági üzemeltetési igazgató vagy azzal egyenértékű szerepkör támogatja.
- Végrehajtás: A natív fenyegetésészlelés integrálása együttműködésen alapuló munka, amely a következő megoldásokat foglalja magában:
- Biztonsági műveletek: Riasztások integrálása SIEM- és incidensvizsgálati folyamatokba. A biztonsági műveletek megtaníthatják az elemzőket a felhőbeli riasztásokra és azok jelentéseire, valamint a natív felhőeszközök használatára.
- Incidensek előkészítése: A felhőbeli incidensek integrálása a gyakorlati gyakorlatokba, és annak biztosítása, hogy a gyakorlatok a csapat felkészültségének hajtómányai legyenek.
- Fenyegetésfelderítés: A felhőalapú támadásokkal kapcsolatos információk kutatása és integrálása a csapatok környezettel és intelligenciával való tájékoztatásához.
- Biztonsági architektúra: Natív eszközök integrálása a biztonsági architektúra dokumentációjába.
- Szabályzatok és szabványok: Szabványok és szabályzatok beállítása a natív eszközök engedélyezéséhez az egész szervezetben. Monitorozza a megfelelőséget.
- Infrastruktúra, végpont és központi informatikai műveletek: Észlelések konfigurálása és engedélyezése, integráció az automatizálásba és az infrastruktúrába kódmegoldásként.
Hogyan?
Engedélyezze a fenyegetésészlelést a Felhőhöz készült Microsoft Defender az összes használt erőforráshoz, és minden csapat integrálja ezeket az erőforrásokat a fent leírt folyamatokba.
További információ: Azure Security Benchmark fenyegetésészlelés az Azure-erőforrásokhoz.
9. Architektúra: Egységesítés egyetlen könyvtáron és identitáson
Senki sem akar több identitással és könyvtárral foglalkozni.
Mi?
Egységesíthet egyetlen Microsoft Entra-címtárban. Az Azure-ban minden alkalmazáshoz és felhasználóhoz egységesíthet egyetlen identitást.
Megjegyzés:
Ez az ajánlott eljárás kifejezetten vállalati erőforrásokra vonatkozik. Partnerfiókok esetén használja a Microsoft Entra B2B-t , hogy ne kelljen fiókokat létrehoznia és fenntartania a címtárban. Ügyfél- vagy állampolgári fiókok esetén az Azure AD B2C használatával kezelheti őket.
Why?
Több fiók és identitáskönyvtár szükségtelen súrlódást okoz, ami zavart okoz a napi munkafolyamatokban a következőkkel:
- Hatékonyságnövelő felhasználók
- Fejlesztők
- Informatikai és identitásgazdák
- Biztonsági elemzők
- Egyéb szerepkörök
A több fiók és címtár kezelése ösztönzi a gyenge biztonsági gyakorlatokat. Ezek a gyakorlatok többek között a jelszavak fiókok közötti újrafelhasználását is magukban foglalják. Növeli annak a valószínűségét, hogy a támadók elavult vagy elhagyatott fiókokat célozhatnak meg.
Bár néha egyszerűbbnek tűnik az egyéni LDAP-címtárak gyors felállása egy adott alkalmazáshoz vagy számítási feladathoz, ez a művelet sokkal több munkát hoz létre az integrációhoz és a kezeléshez. Ez a munka hasonló ahhoz, hogy a meglévő vállalati bérlő helyett egy további Azure-bérlőt vagy helyi Active Directory erdőt állítson be. További információkért tekintse meg az egyszerűség biztosításának biztonsági elvét.
Ki?
A Microsoft Entra-címtárak szabványosítása gyakran csapatközi munka. Az erőfeszítést biztonsági architektúra, identitás- és kulcskezelési csapatok hajtják.
- Szponzorálás: Az identitás- és kulcskezelési és biztonsági architektúra általában szponzorálja ezt a munkát, bár egyes szervezetekhez szükség lehet a CISO vagy a CIO szponzorálására.
- Végrehajtás: A végrehajtás olyan együttműködési tevékenység, amely a következőt foglalja magában:
- Biztonsági architektúra: Ez a csapat beépíti a folyamatot a biztonsági és informatikai architektúra dokumentumaiba és diagramjaiba.
- Szabályzat és szabványok: Ez a csapat a szabályzatot dokumentálja, és figyeli a megfelelőséget.
- Identitás- és kulcskezelés vagy központi informatikai műveletek: Ezek a csapatok úgy implementálják a szabályzatot, hogy engedélyezik a funkciókat, és támogatják a fejlesztőket fiókokkal, oktatással stb.
- Alkalmazásfejlesztők vagy központi informatikai műveletek: Ezek a csapatok identitást használnak az alkalmazásokban és az Azure-szolgáltatáskonfigurációkban. A felelősségek a DevOps bevezetésének szintjétől függően változnak.
Hogyan?
Pragmatikus megközelítés alkalmazása, amely új zöldmezős képességekkel kezdődik. Ezt követően a meglévő alkalmazások és szolgáltatások barnamezőjével kapcsolatos kihívásokat a következő feladatként takaríthatja meg:
Zöldmező: Hozzon létre és implementáljon egy egyértelmű szabályzatot, amely szerint minden vállalati identitás egyetlen Microsoft Entra-címtárat használhat egyetlen fiókkal minden felhasználóhoz.
Brownfield: Sok szervezet gyakran több örökölt címtárat és identitásrendszert is használ. Kezelje ezeket az örökölt elemeket, ha a folyamatos felügyeleti súrlódás költsége meghaladja a tisztításhoz szükséges befektetést. Bár az identitáskezelési és szinkronizálási megoldások enyhíthetik a problémák némelyikét, nem integrálása a biztonsági és hatékonyságnövelő funkcióknak. Ezek a funkciók zökkenőmentes felhasználói élményt tesznek lehetővé a felhasználók, rendszergazdák és fejlesztők számára.
Az identitáshasználat kombinálásának ideális ideje az alkalmazásfejlesztési ciklusok során, mint Ön:
- Alkalmazások modernizálása a felhőben.
- Felhőalkalmazások frissítése DevOps-folyamatokkal.
Bár a független üzleti egységekre vagy a szabályozási követelményekre vonatkozó külön címtárnak vannak érvényes okai, minden más körülmények között kerülje a címtárak használatát.
További információkért tekintse meg az Azure Security Benchmark Microsoft Entra központi identitás- és hitelesítési rendszerét.
Fontos
Az egyetlen kivétel az egyetlen fiókszabály alól, hogy a kiemelt felhasználók, beleértve az informatikai rendszergazdákat és a biztonsági elemzőket, külön fiókokkal rendelkezhetnek a standard felhasználói feladatokhoz a felügyeleti feladatokhoz képest.
További információ: Azure Security Benchmark privileged access.
10. Architektúra: Kulcsok helyett identitásalapú hozzáférés-vezérlés használata
Mi?
Amikor csak lehetséges, használja a Microsoft Entra-identitásokat kulcsalapú hitelesítés helyett. Például Azure-szolgáltatások, alkalmazások, API-k.
Why?
A kulcsalapú hitelesítés a felhőszolgáltatások és API-k hitelesítésére használható. Azonban a kulcsok biztonságos kezelését igényli, ami nehéz feladat, különösen nagy méretekben. A biztonságos kulcskezelés a nem biztonsági szakemberek, például a fejlesztők és az infrastruktúra-szakemberek számára nehéz, és gyakran nem teszik biztonságossá, gyakran jelentős biztonsági kockázatokat okozva a szervezet számára.
Az identitásalapú hitelesítés számos, érett képességekkel rendelkező kihíváson felülkerekedik. A funkciók közé tartozik a titkos kulcsok rotálása, az életciklus-kezelés, a felügyeleti delegálás stb.
Ki?
Az identitásalapú hozzáférés-vezérlés megvalósítása gyakran csapatközi munka. Az erőfeszítést biztonsági architektúra, identitás- és kulcskezelési csapatok hajtják.
- Szponzorálás: Ezt az erőfeszítést általában a biztonsági architektúra vagy az identitáskezelés és a kulcskezelés támogatja, bár egyes szervezetek esetében a CISO vagy a CIO szponzorálására lehet szükség.
- Végrehajtás: Együttműködésen alapuló munka, amely a következőt foglalja magában:
- Biztonsági architektúra: Ez a csapat ajánlott eljárásokat tartalmaz a biztonsági és informatikai architektúra diagramjaiba és dokumentumaiba.
- Szabályzat és szabványok: Ez a csapat a szabályzatot dokumentálja, és figyeli a megfelelőséget.
- Identitás- és kulcskezelés vagy központi informatikai műveletek: Ezek a csapatok úgy implementálják a szabályzatot, hogy engedélyezik a funkciókat, és támogatják a fejlesztőket fiókokkal, oktatással stb.
- Alkalmazásfejlesztők vagy központi informatikai műveletek: Identitás használata alkalmazásokban és Azure-szolgáltatáskonfigurációkban. A felelősségek a DevOps bevezetésének szintjétől függően változnak.
Hogyan?
Az identitásalapú hitelesítés szervezeti beállításának és szokásának beállításához egy folyamat követésére és a technológia engedélyezésére van szükség.
A folyamat
- Olyan szabályzatokat és szabványokat hozhat létre, amelyek egyértelműen felvázolják az alapértelmezett identitásalapú hitelesítést és az elfogadható kivételeket.
- Tájékoztassa a fejlesztőket és az infrastruktúra-csapatokat, hogy miért érdemes használni az új megközelítést, mit kell tenniük, és hogyan kell megtenniük.
- A változásokat pragmatikus módon valósítja meg, kezdve azzal, hogy új zöldmezős képességeket fogad el most és a jövőben, például új Azure-szolgáltatásokat és új alkalmazásokat, majd nyomon követi a meglévő barnamezős konfigurációk megtisztítását.
- Figyelheti a megfelelőséget, és nyomon követheti a fejlesztői és infrastruktúra-csapatokat a szervizeléshez.
A technológiák
Nem emberi fiókok, például szolgáltatások vagy automatizálás esetén használjon felügyelt identitásokat. Az Azure által felügyelt identitások hitelesíthetők a Microsoft Entra-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A hitelesítés előre definiált hozzáférés-engedélyezési szabályokkal van engedélyezve, elkerülve a forráskódban vagy konfigurációs fájlokban lévő, nem kódolt hitelesítő adatokat.
A felügyelt identitásokat nem támogató szolgáltatások esetében a Microsoft Entra ID használatával hozzon létre egy korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. A szolgáltatásneveknek tanúsítvány-hitelesítő adatokkal kell konfigurálnia, és vissza kell állítania az ügyfél titkos kulcsait. Az Azure Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal, így a futtatókörnyezet, például egy Azure-függvény lekérheti a hitelesítő adatokat a kulcstartóból.
További információkért tekintse meg az Azure Security Benchmark-alkalmazás identitását.
11. Architektúra: Egységes biztonsági stratégia létrehozása
Mindenkinek ugyanabban az irányban kell eveznie ahhoz, hogy a hajó továbbhaladjon.
Mi?
Győződjön meg arról, hogy minden csapat egyetlen olyan stratégiához van igazítva, amely lehetővé teszi és védi a vállalati rendszereket és adatokat.
Why?
Ha a csapatok elszigetelten dolgoznak anélkül, hogy egy közös stratégiához igazodnak, az egyes műveletek véletlenül gyengíthetik egymás erőfeszítéseit. A félreértelmezés szükségtelen súrlódást okozhat, amely lelassítja a haladást mindenki céljaival szemben.
Az elkülönítésben dolgozó csapatok egyik példája, amely számos szervezetben következetesen működött, az eszközök szegmentálása:
- Hálózatbiztonság: Stratégiát fejleszt egy lapos hálózat szegmentálására. A stratégia növeli a biztonságot, gyakran fizikai helyek, hozzárendelt IP-címek/tartományok vagy hasonló elemek alapján.
- Identitáscsoport: Stratégiát fejleszt a csoportok és az Active Directory szervezeti egységek (OU-k) számára a szervezet ismerete és ismerete alapján.
- Alkalmazáscsapatok: Nehezen működik ezekkel a rendszerekkel. Ez nehéz, mert az üzleti műveletek, célok és kockázatok korlátozott bevitelével és megértésével lettek kialakítva.
Azokban a szervezetekben, ahol ez a korlátozás történik, a csapatok gyakran tapasztalnak ütközéseket a tűzfalak kivételei miatt. Az ütközések negatív hatással lehetnek a biztonságra, mert a csapatok jóváhagyják a kivételeket. A termelékenység negatívan befolyásolja a biztonságot, mivel az üzembe helyezés lassul az üzleti igényeknek megfelelő alkalmazásfunkciók esetében.
Bár a biztonság a kritikus gondolkodás kényszerítésével egészséges súrlódást hozhat létre, ez a konfliktus csak olyan egészségtelen súrlódást okoz, amely akadályozza a célokat. További információkért tekintse meg a biztonsági stratégia útmutatását.
Ki?
- Szponzorálás: Az egységes stratégiát általában a CIO, a CISO és a CTO támogatja. A szponzorálás gyakran jár üzleti vezetői támogatás néhány magas szintű elemek és a bajnokok képviselői minden csapat.
- Végrehajtás: A biztonsági stratégiát mindenkinek végre kell hajtania. A különböző csapatok adatait integrálja a tulajdonjog növelése, a bevásárlás és a siker valószínűsége érdekében.
- Biztonsági architektúra: Ez a csapat a biztonsági stratégia és az eredményül kapott architektúra kialakítására törekszik. A biztonsági architektúra aktívan gyűjti a csapatok visszajelzéseit és dokumentumait bemutatókban, dokumentumokban és diagramokban a különböző célközönségek számára.
- Szabályzat és szabványok: Ez a csapat rögzíti a megfelelő elemeket a szabványokban és a szabályzatokban, majd figyeli a megfelelőséget.
- Minden technikai informatikai és biztonsági csapat: Ezek a csapatok bemeneti követelményeket biztosítanak, majd igazodnak a vállalati stratégiához és implementálják azt.
- Alkalmazástulajdonosok és fejlesztők: Ezek a csapatok elolvassák és megértik a rájuk vonatkozó stratégiai dokumentációt. Ideális esetben a szerepkörükhöz igazítják az útmutatást.
Hogyan?
Hozzon létre és implementáljon egy felhőre vonatkozó biztonsági stratégiát, amely magában foglalja az összes csapat bemenetét és aktív részvételét. Bár a folyamatdokumentáció formátuma eltérő lehet, mindig a következőket tartalmazza:
- Aktív bemenet a csapatoktól: A stratégiák általában meghiúsulnak, ha a szervezet tagjai nem vásárolnak bele. Ideális esetben minden csapat ugyanabban a szobában van a stratégia közös kialakításához. Az ügyfelekkel tartott workshopokon gyakran tapasztaljuk, hogy a szervezetek de facto silókban működnek, és ezek az értekezletek gyakran azt eredményezik, hogy az emberek először találkoznak egymással. Úgy látjuk, hogy a befogadás követelmény. Ha egyes csapatok meghívása nem történik meg, ezt az értekezletet általában meg kell ismételni, amíg az összes résztvevő be nem csatlakozik. Ha nem csatlakoznak, akkor a projekt nem halad előre.
- Dokumentálva és egyértelműen közölve: Minden csapatnak tisztában kell lennie a biztonsági stratégiával. Ideális esetben a biztonsági stratégia az általános technológiai stratégia biztonsági összetevője. Ez a stratégia magában foglalja a biztonság integrálásának okát, a biztonságban fontos szempontokat és a biztonsági sikerek megjelenését. Ez a stratégia konkrét útmutatást tartalmaz az alkalmazás- és fejlesztési csapatok számára, hogy világos, szervezett útmutatást kapjanak anélkül, hogy nem releváns információkat kellene elolvasniuk.
- Stabil, de rugalmas: A stratégiák viszonylag konzisztensek és stabilak maradnak, de az architektúráknak és a dokumentációnak egyértelműbbé kell tenni a felhő dinamikus jellegét. A rosszindulatú külső forgalom kiszűrése például stratégiai fontosságú marad, még akkor is, ha egy harmadik féltől származó következő generációs tűzfalról az Azure Firewallra vált, és módosítja a diagramokat és útmutatást ennek módjáról.
- Kezdje a szegmentálással: Vannak olyan stratégiai problémák, amelyek nagyok és kicsik is, de valahol el kell kezdenie. Indítsa el a biztonsági stratégiát a vállalati eszközök szegmentálásával. Ez a szegmentálás egy alapvető döntés, amely később nehéz lenne megváltoztatni, és üzleti bemenetet és számos technikai csapatot igényel.
A Microsoft közzétett egy videós útmutatót a szegmentálási stratégia Azure-ra való alkalmazásához. A vállalati szegmentálásról és a hálózati biztonság hozzáigazításáról közzétett dokumentumok.
A felhőadaptálási keretrendszer útmutatást tartalmaz a csapatoknak a következőkhöz:
- Felhőstratégiáért felelős csapat létrehozása: Ideális esetben a biztonságot egy meglévő felhőstratégiába integrálhatja.
- Biztonsági stratégia létrehozása vagy modernizálása: Az üzleti és biztonsági célok elérése a felhőszolgáltatások és a modern fenyegetések jelenlegi korában.
További információkért tekintse meg az Azure Security Benchmark szabályozási stratégiáját.