Az Azure Operational Security ajánlott eljárásai
Ez a cikk az azure-beli adatok, alkalmazások és egyéb eszközök védelmének ajánlott eljárásait ismerteti.
Az ajánlott eljárások a véleményen alapuló konszenzuson alapulnak, és az Azure-platform jelenlegi képességeivel és funkciókészleteivel működnek együtt. A vélemények és a technológiák idővel változnak, és ez a cikk rendszeresen frissül, hogy tükrözze ezeket a változásokat.
Erős üzemeltetési biztonsági eljárások definiálása és üzembe helyezése
Az Azure működési biztonsága azokra a szolgáltatásokra, vezérlőkre és funkciókra vonatkozik, amelyek a felhasználók számára elérhetők az adataik, alkalmazásaik és egyéb azure-beli eszközeik védelméhez. Az Azure működési biztonsága egy olyan keretrendszerre épül, amely magában foglalja a Microsoft számára egyedi képességeken keresztül szerzett tudást, beleértve a biztonsági fejlesztési életciklust (SDL), a Microsoft Security Response Center programot, valamint a kiberbiztonsági veszélyforrások helyzetének mély ismeretét.
Többtényezős ellenőrzés kényszerítése a felhasználók számára
Javasoljuk, hogy kétlépéses ellenőrzést igényeljön az összes felhasználó számára. Ide tartoznak a rendszergazdák és a szervezet más tagjai, akik jelentős hatással lehetnek a fiókjuk (például pénzügyi tisztviselők) feltörése esetén.
Több lehetőség is van a kétlépéses ellenőrzésre. A legjobb megoldás a céloktól, a futtatott Microsoft Entra kiadástól és a licencelési programtól függ. Tekintse meg , hogyan igényelhet kétlépéses ellenőrzést egy felhasználó számára a legjobb megoldás meghatározásához. A licencekről és a díjszabásról további információt a Microsoft Entra ID és a Microsoft Entra többtényezős hitelesítés díjszabási oldalán talál.
A kétlépéses ellenőrzés engedélyezésének lehetőségei és előnyei a következők:
1. lehetőség: Az MFA engedélyezése az összes felhasználó és bejelentkezési módszer számára a Microsoft Entra Security Defaults Benefit használatával: Ezzel a beállítással egyszerűen és gyorsan kényszerítheti az MFA-t a környezet összes felhasználója számára, és szigorú szabályzattal rendelkezik a következőre:
- Rendszergazdai fiókok és felügyeleti bejelentkezési mechanizmusok megtámadása
- MFA-feladat megkövetelése a Microsoft Authenticatoron keresztül minden felhasználó számára
- Az örökölt hitelesítési protokollok korlátozása.
Ez a módszer az összes licencelési szint számára elérhető, de nem keverhető össze a meglévő feltételes hozzáférési szabályzatokkal. További információt a Microsoft Entra biztonsági alapértelmezett beállításai között talál
2. lehetőség: Többtényezős hitelesítés engedélyezése a felhasználói állapot módosításával.
Előny: Ez a kétlépéses ellenőrzés hagyományos módszere. A felhőbeli Microsoft Entra többtényezős hitelesítéssel és az Azure Multi-Factor Authentication Serverrel is működik. A módszer használatához a felhasználóknak minden bejelentkezéskor kétlépéses ellenőrzést kell végezniük, és felül kell bírálniuk a feltételes hozzáférési szabályzatokat.
Annak megállapításához, hogy hol kell engedélyezni a többtényezős hitelesítést, olvassa el a Microsoft Entra többtényezős hitelesítés melyik verziója megfelelő a szervezet számára?.
3. lehetőség: Többtényezős hitelesítés engedélyezése feltételes hozzáférési szabályzattal. Előny: Ez a beállítás lehetővé teszi, hogy kétlépéses ellenőrzést kérhessen meghatározott feltételek mellett a feltételes hozzáférés használatával. Bizonyos feltételek lehetnek a felhasználók bejelentkezése különböző helyekről, nem megbízható eszközökről vagy olyan alkalmazásokból, amelyeket kockázatosnak tart. Ha olyan konkrét feltételeket határoz meg, ahol kétlépéses ellenőrzésre van szükség, elkerülheti a felhasználók folyamatos kérését, ami kellemetlen felhasználói élmény lehet.
Ez a legrugalmasabb módszer a kétlépéses ellenőrzés engedélyezésére a felhasználók számára. A feltételes hozzáférési szabályzatok engedélyezése csak a Microsoft Entra többtényezős hitelesítéséhez működik a felhőben, és a Microsoft Entra ID prémium funkciója. Erről a módszerről további információt a felhőalapú Microsoft Entra többtényezős hitelesítés üzembe helyezésében talál.
4. lehetőség: Többtényezős hitelesítés engedélyezése feltételes hozzáférési szabályzatokkal kockázatalapú feltételes hozzáférési szabályzatok kiértékelésével.
Előny: Ez a beállítás lehetővé teszi a következőket:
- Észlelheti a szervezet identitásait érintő lehetséges biztonsági réseket.
- Automatikus válaszokat konfigurálhat a szervezet identitásaihoz kapcsolódó gyanús műveletek észleléséhez.
- Vizsgálja meg a gyanús incidenseket, és tegyen megfelelő lépéseket a megoldásuk érdekében.
Ez a módszer a Microsoft Entra ID-védelem kockázatelemzést használja annak megállapítására, hogy szükség van-e kétlépéses ellenőrzésre az összes felhőalkalmazás felhasználói és bejelentkezési kockázata alapján. Ehhez a módszerhez a Microsoft Entra ID P2 licencelése szükséges. Erről a módszerről a Microsoft Entra ID-védelem talál további információt.
Feljegyzés
A 2. lehetőség, amely engedélyezi a többtényezős hitelesítést a felhasználói állapot módosításával, felülbírálja a feltételes hozzáférési szabályzatokat. Mivel a 3. és a 4. lehetőség feltételes hozzáférési szabályzatokat használ, nem használhatja velük a 2. lehetőséget.
Azok a szervezetek, amelyek nem adnak hozzá további identitásvédelmi rétegeket, például kétlépéses ellenőrzést, érzékenyebbek a hitelesítő adatok ellopásával kapcsolatos támadásokra. A hitelesítő adatokkal kapcsolatos lopási támadások adatmegsértéshez vezethetnek.
Felhasználói jelszavak kezelése és figyelése
Az alábbi táblázat a felhasználói jelszavak kezelésével kapcsolatos ajánlott eljárásokat sorolja fel:
Ajánlott eljárás: Győződjön meg arról, hogy megfelelő szintű jelszóvédelemmel rendelkezik a felhőben.
Részletek: Kövesse a Microsoft jelszóval kapcsolatos útmutatójának útmutatását, amely a Microsoft Identitásplatform felhasználóira terjed ki (Microsoft Entra ID, Active Directory és Microsoft-fiók).
Ajánlott eljárás: A felhasználói fiókokkal kapcsolatos gyanús műveletek figyelése.
Részletek: Figyelheti a veszélyeztetett felhasználókat és a kockázatos bejelentkezéseket a Microsoft Entra biztonsági jelentéseivel.
Ajánlott eljárás: A magas kockázatú jelszavak automatikus észlelése és szervizelése.
Részletek: Microsoft Entra ID-védelem a Microsoft Entra ID P2 kiadás egyik funkciója, amely lehetővé teszi a következőket:
- A szervezet identitásait érintő lehetséges biztonsági rések észlelése
- Automatikus válaszok konfigurálása a szervezet identitásaihoz kapcsolódó gyanús műveletek észleléséhez
- Gyanús incidensek kivizsgálása és a megoldásukhoz szükséges intézkedések meghozása
Incidensértesítések fogadása a Microsofttól
Győződjön meg arról, hogy a biztonsági üzemeltetési csapat azure-incidensértesítéseket kap a Microsofttól. Az incidensértesítések segítségével a biztonsági csapat értesülhet arról, hogy feltörte az Azure-erőforrásokat, így gyorsan reagálhatnak és elháríthatják a lehetséges biztonsági kockázatokat.
Az Azure regisztrációs portálon biztosíthatja, hogy a rendszergazdai kapcsolattartási adatok tartalmazzák a biztonsági műveleteket értesítő adatokat. A kapcsolattartási adatok egy e-mail-cím és telefonszám.
Azure-előfizetések rendezése felügyeleti csoportokba
Ha a cég több előfizetéssel rendelkezik, szüksége lehet egy hatékony módszerre az előfizetések hozzáférésének, szabályzatainak és megfelelőségének kezelésére. Az Azure felügyeleti csoportjai olyan hatókörszintet biztosítanak, amely meghaladja az előfizetéseket. Az előfizetéseket felügyeleti csoportnak nevezett tárolókban rendezi, és ezekre a csoportokra alkalmazza a szabályozási feltételeket. A felügyeleti csoporton belüli összes előfizetés automatikusan örökli a felügyeleti csoportra alkalmazott feltételeket.
A felügyeleti csoportok és előfizetések rugalmas struktúráját létrehozhatja egy címtárban. Minden könyvtárhoz egyetlen legfelső szintű felügyeleti csoport, úgynevezett gyökérszintű felügyeleti csoport tartozik. Ez a gyökérszintű felügyeleti csoport úgy épül be a hierarchiába, hogy minden felügyeleti csoport és előfizetés fölött legyen. A gyökérszintű felügyeleti csoport lehetővé teszi a globális szabályzatok és az Azure-szerepkör-hozzárendelések címtárszinten történő alkalmazását.
Íme néhány ajánlott eljárás a felügyeleti csoportok használatához:
Ajánlott eljárás: Győződjön meg arról, hogy az új előfizetések szabályozási elemeket, például szabályzatokat és engedélyeket alkalmaznak a hozzáadásukkor.
Részletek: A gyökérszintű felügyeleti csoport használatával rendeljen hozzá nagyvállalati szintű biztonsági elemeket, amelyek az összes Azure-objektumra vonatkoznak. A szabályzatok és engedélyek példák az elemekre.
Ajánlott eljárás: A felügyeleti csoportok felső szintjeinek szegmentálási stratégiával való igazítása az egyes szegmensek szabályozási és szabályzatkonzisztenciájának biztosításához.
Részletek: Hozzon létre egyetlen felügyeleti csoportot a gyökérszintű felügyeleti csoport minden szegmenséhez. Ne hozzon létre más felügyeleti csoportokat a gyökér alatt.
Ajánlott eljárás: Korlátozza a felügyeleti csoportok mélységét, hogy elkerülje a működést és a biztonságot akadályozó félreértéseket.
Részletek: A hierarchiát három szintre korlátozhatja, beleértve a gyökérszintet is.
Ajánlott eljárás: Gondosan válassza ki, hogy mely elemek vonatkozzanak a teljes vállalatra a gyökérszintű felügyeleti csoporttal.
Részletek: Győződjön meg arról, hogy a gyökérszintű felügyeleti csoport elemeit egyértelműen alkalmazni kell minden erőforrásra, és hogy azok alacsony hatással vannak rájuk.
A jó jelöltek közé tartoznak a következők:
- Egyértelmű üzleti hatással rendelkező szabályozási követelmények (például az adatelkonvertséghez kapcsolódó korlátozások)
- Olyan követelmények, amelyek közel nulla potenciális negatív hatással vannak a műveletekre, mint például a naplózási hatással rendelkező szabályzat vagy az Azure RBAC-engedély-hozzárendelések, amelyeket gondosan áttekintett
Ajánlott eljárás: Alkalmazásuk előtt gondosan tervezze meg és tesztelje az összes nagyvállalati szintű módosítást a gyökérszintű felügyeleti csoportban (szabályzat, Azure RBAC-modell stb.).
Részletek: A gyökérszintű felügyeleti csoport változásai hatással lehetnek az Azure minden erőforrására. Bár hatékony módot biztosítanak a vállalat konzisztenciájának biztosítására, a hibák vagy helytelen használat negatív hatással lehet az éles műveletekre. Tesztelje a gyökérszintű felügyeleti csoport minden módosítását egy tesztkörnyezetben vagy éles próbaüzemben.
Környezetlétrehozás egyszerűsítése tervekkel
Az Azure Blueprints szolgáltatás lehetővé teszi a felhőmérnökök és a központi informatikai csoportok számára, hogy ismétlődő Azure-erőforrásokat definiáljanak, amelyek implementálják és betartják a szervezet szabványait, mintáit és követelményeit. Az Azure Blueprints lehetővé teszi, hogy a fejlesztői csapatok gyorsan új környezeteket építsenek ki és állítsanak fel beépített összetevők készletével, valamint abban, hogy a szervezeti megfelelőségen belül létrehozzák ezeket a környezeteket.
A tárolási szolgáltatások figyelése váratlan viselkedésváltozások esetén
A felhőkörnyezetben üzemeltetett elosztott alkalmazások problémáinak diagnosztizálása és hibaelhárítása összetettebb lehet, mint a hagyományos környezetekben. Az alkalmazások paaS- vagy IaaS-infrastruktúrában, helyszíni, mobileszközön vagy ezen környezetek valamilyen kombinációjában helyezhetők üzembe. Előfordulhat, hogy az alkalmazás hálózati forgalma áthalad a nyilvános és a magánhálózaton, és az alkalmazás több tárolási technológiát is használ.
Folyamatosan figyelnie kell azokat a tárolási szolgáltatásokat, amelyeket az alkalmazás a viselkedés váratlan változásaihoz (például a lassabb válaszidőkhez) használ. A naplózással részletesebb adatokat gyűjthet, és részletesen elemezheti a problémát. A figyelésből és a naplózásból beszerzett diagnosztikai információk segítenek meghatározni az alkalmazás által észlelt probléma kiváltó okát. Ezután elháríthatja a problémát, és meghatározhatja a javításhoz szükséges lépéseket.
Az Azure Storage Analytics naplózást végez, és metrikaadatokat biztosít egy Azure Storage-fiókhoz. Javasoljuk, hogy ezeket az adatokat használja a kérések nyomon követésére, a használati trendek elemzésére és a tárfiókkal kapcsolatos problémák diagnosztizálására.
Fenyegetések megelőzése, észlelése és megválaszolása
Felhőhöz készült Microsoft Defender segít megelőzni, észlelni és reagálni a fenyegetésekre azáltal, hogy nagyobb betekintést nyújt az Azure-erőforrások biztonságába (és szabályozhatja) azokat. Integrált biztonsági monitorozást és szabályzatkezelést biztosít az Azure-előfizetésekben, segít észlelni azokat a fenyegetéseket, amelyek egyébként észrevétlenek lehetnek, és együttműködik a különböző biztonsági megoldásokkal.
A Felhőhöz készült Defender ingyenes szintje korlátozott biztonságot nyújt az Azure-beli és az Arc-kompatibilis erőforrások számára az Azure-on kívül. Az Enahanced biztonsági funkciói kiterjesztik ezeket a képességeket a Veszélyforrás- és biztonságirés-kezelés, valamint a jogszabályi megfelelőség jelentésére. Felhőhöz készült Defender csomagok segítségével megtalálhatja és kijavíthatja a biztonsági réseket, hozzáférési és alkalmazásvezérlőket alkalmazhat a rosszindulatú tevékenységek blokkolásához, észlelheti a fenyegetéseket elemzések és intelligencia használatával, és gyorsan reagálhat támadás esetén. Az első 30 napban díjmentesen kipróbálhatja Felhőhöz készült Defender Standardot. Javasoljuk, hogy engedélyezze a továbbfejlesztett biztonsági funkciókat az Azure-előfizetéseiben a Felhőhöz készült Defender.
A Felhőhöz készült Defender használatával központi képet kaphat a saját adatközpontjaiban, az Azure-ban és más felhőkben található összes erőforrás biztonsági állapotáról. Egy pillantással ellenőrizze, hogy a megfelelő biztonsági vezérlők vannak-e érvényben, és megfelelően vannak-e konfigurálva, és gyorsan azonosítsa a figyelmet igénylő erőforrásokat.
Felhőhöz készült Defender a Végponthoz készült Microsoft Defender is integrálható, amely átfogó végpontészlelési és -válaszfunkciókat (EDR) biztosít. A Végponthoz készült Microsoft Defender integrációval észlelheti a rendellenességeket, és észlelheti a biztonsági réseket. A Felhőhöz készült Defender által figyelt kiszolgálóvégpontokra irányuló speciális támadásokat is észlelheti és reagálhat.
Szinte minden vállalati szervezet rendelkezik biztonsági információ- és eseménykezelő (SIEM) rendszerrel, amely segít azonosítani a felmerülő fenyegetéseket a különböző jelgyűjtő eszközök naplóadatainak összevonásával. A naplókat ezután egy adatelemzési rendszer elemzi, hogy azonosítani tudja, mi az "érdekes" a zajból, amely minden naplógyűjtő és elemzési megoldásban elkerülhetetlen.
A Microsoft Sentinel egy skálázható, natív felhőbeli, biztonsági információk és eseménykezelés (SIEM) és biztonsági vezénylési automatizált válaszmegoldás (SOAR). A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít riasztásészlelés, veszélyforrások láthatósága, proaktív vadászat és automatizált fenyegetéskezelés révén.
Íme néhány ajánlott eljárás a fenyegetések megelőzésére, észlelésére és elhárítására:
Ajánlott eljárás: A SIEM-megoldás sebességének és méretezhetőségének növelése felhőalapú SIEM használatával.
Részletek: Vizsgálja meg a Microsoft Sentinel funkcióit és képességeit, és hasonlítsa össze őket a jelenleg a helyszínen használt funkciókkal. Fontolja meg a Microsoft Sentinel bevezetését, ha az megfelel a szervezet SIEM-követelményeinek.
Ajánlott eljárás: Keresse meg a legsúlyosabb biztonsági réseket, hogy rangsorolhassa a vizsgálatot.
Részletek: Tekintse át az Azure biztonságos pontszámát a Felhőhöz készült Microsoft Defender beépített Azure-szabályzatokból és kezdeményezésekből származó javaslatok megtekintéséhez. Ezek a javaslatok segítenek kezelni a leggyakoribb kockázatokat, például a biztonsági frissítéseket, a végpontvédelmet, a titkosítást, a biztonsági konfigurációkat, a hiányzó WAF-eket, az internetkapcsolattal rendelkező virtuális gépeket és még sok mást.
A biztonsági pontszám, amely a Center for Internet Security (CIS) vezérlőkön alapul, lehetővé teszi a szervezet Azure-beli biztonságának külső forrásokhoz viszonyított összehasonlítását. A külső ellenőrzés segít a csapat biztonsági stratégiájának érvényesítésében és bővítésében.
Ajánlott eljárás: A gépek, hálózatok, tárolási és adatszolgáltatások és alkalmazások biztonsági helyzetének monitorozása a lehetséges biztonsági problémák felderítése és rangsorolása érdekében.
Részletek: Kövesse a Felhőhöz készült Defender biztonsági ajánlásait a legmagasabb prioritású elemekkel.
Ajánlott eljárás: Integrálja Felhőhöz készült Defender riasztásokat a biztonsági információk és az eseménykezelési (SIEM) megoldásba.
Részletek: A SIEM-sel rendelkező szervezetek többsége központi elszámolóházként használja az elemzői választ igénylő biztonsági riasztásokhoz. A Felhőhöz készült Defender által létrehozott feldolgozott események az Azure Monitoron keresztül elérhető naplók egyikeként jelennek meg az Azure Tevékenységnaplóban. Az Azure Monitor egy összevont folyamatot kínál a monitorozási adatok SIEM-eszközökbe való átirányításához. Útmutatásért tekintse meg a Stream-riasztásokat egy SIEM-, SOAR- vagy IT Service Management-megoldásba . Ha Microsoft Sentinelt használ, olvassa el a Connect Felhőhöz készült Microsoft Defender című témakört.
Ajánlott eljárás: Azure-naplók integrálása a SIEM-sel.
Részletek: Adatok gyűjtése és exportálása az Azure Monitor használatával. Ez a gyakorlat kritikus fontosságú a biztonsági incidensek vizsgálatának engedélyezéséhez, és az online naplók megőrzése korlátozott. Ha Microsoft Sentinelt használ, tekintse meg a Connect adatforrásokat.
Ajánlott eljárás: Felgyorsíthatja a vizsgálati és keresési folyamatokat, és csökkentheti a hamis pozitív értékeket azáltal, hogy integrálja az Endpoint Detection and Response (EDR) képességeit a támadási vizsgálatba.
Részletek: Engedélyezze a Végponthoz készült Microsoft Defender integrációt a Felhőhöz készült Defender biztonsági szabályzatán keresztül. Fontolja meg a Microsoft Sentinel használatát fenyegetéskereséshez és incidensmegoldáshoz.
Teljes körű forgatókönyvalapú hálózatfigyelés monitorozása
Az ügyfelek teljes körű hálózatot építenek ki az Azure-ban olyan hálózati erőforrások kombinálásával, mint a virtuális hálózat, az ExpressRoute, az Application Gateway és a terheléselosztók. A figyelés minden hálózati erőforráson elérhető.
Az Azure Network Watcher egy regionális szolgáltatás. Diagnosztikai és vizualizációs eszközeivel hálózati forgatókönyvek szintjén figyelheti és diagnosztizálhatja a feltételeket az Azure-ban, az Azure-ban és az Azure-ban.
Az alábbiakban a hálózatfigyelés és a rendelkezésre álló eszközök ajánlott eljárásait követjük.
Ajánlott eljárás: A távoli hálózat monitorozásának automatizálása csomagrögzítéssel.
Részletek: Hálózati problémák monitorozása és diagnosztizálása anélkül, hogy bejelentkezett a virtuális gépekre a Network Watcher használatával. Riasztások beállításával aktiválhatja a csomagrögzítést , és hozzáférhet a valós idejű teljesítményadatokhoz a csomag szintjén. Ha problémát észlel, a jobb diagnosztizálás érdekében részletes vizsgálatot végezhet.
Ajánlott eljárás: Folyamatnaplók használatával betekintést nyerhet a hálózati forgalomba.
Részletek: A hálózati forgalmi minták mélyebb megismerése a hálózati biztonsági csoportok folyamatnaplóinak használatával. A folyamatnaplókban található információk segítségével adatokat gyűjthet a hálózati biztonsági profil megfelelőségéről, naplózásáról és figyeléséről.
Ajánlott eljárás: VPN-kapcsolati problémák diagnosztizálása.
Részletek: A Network Watcher használatával diagnosztizálhatja a leggyakoribb VPN Gateway- és kapcsolati problémákat. A probléma nemcsak azonosítható, de részletes naplókkal is kivizsgálható.
Biztonságos üzembe helyezés a bevált DevOps-eszközökkel
Az alábbi DevOps-ajánlott eljárások segítségével biztosíthatja, hogy a vállalat és a csapatok hatékonyak és hatékonyak legyenek.
Ajánlott eljárás: A szolgáltatások összeállításának és üzembe helyezésének automatizálása.
Részlet: Az infrastruktúra mint kód olyan technikák és eljárások készlete, amelyek segítenek az informatikai szakembereknek a moduláris infrastruktúra napi kiépítésének és felügyeletének tehermentesítésében. Lehetővé teszi az informatikai szakemberek számára, hogy a modern kiszolgálókörnyezetüket úgy építsék ki és tarthassák fenn, ahogyan a szoftverfejlesztők alkalmazáskódokat építenek és kezelnek.
Az Azure Resource Manager használatával deklaratív sablonnal építheti ki az alkalmazásokat. Egyetlen sablonnal több szolgáltatást is üzembe helyezhet azok függőségeivel együtt. Ugyanezzel a sablonnal ismételten üzembe helyezheti az alkalmazást az alkalmazás életciklusának minden szakaszában.
Ajánlott eljárás: Azure-webalkalmazások vagy felhőszolgáltatások automatikus létrehozása és üzembe helyezése.
Részletek: Az Azure DevOps-projekteket úgy konfigurálhatja, hogy automatikusan létrehozhatók és üzembe helyezhetők az Azure-webalkalmazásokban vagy felhőszolgáltatásokban. Az Azure DevOps minden kódbeadás után automatikusan üzembe helyezi a bináris fájlokat, miután buildelést végzett az Azure-ban. A csomag összeállítási folyamata megegyezik a Visual Studio Csomag parancsával, a közzétételi lépések pedig egyenértékűek a Visual Studióban a Közzététel paranccsal.
Ajánlott eljárás: A kiadáskezelés automatizálása.
Részletek: Az Azure Pipelines egy megoldás a többfázisú üzembe helyezés automatizálására és a kiadási folyamat kezelésére. Felügyelt folyamatos üzembehelyezési folyamatokat hozhat létre, amelyek gyorsan, egyszerűen és gyakran bocsáthatók ki. Az Azure Pipelines segítségével automatizálhatja a kiadási folyamatot, és előre meghatározott jóváhagyási munkafolyamatokkal is rendelkezhet. Helyszíni és felhőbeli üzembe helyezés, igény szerint kibővítése és testreszabása.
Ajánlott eljárás: Az alkalmazás teljesítményének ellenőrzése, mielőtt elindítja, vagy frissítéseket helyez üzembe az éles környezetben.
Részletek: Felhőalapú terheléses tesztek futtatása a következőre:
- Teljesítményproblémák keresése az alkalmazásban.
- Az üzembe helyezés minőségének javítása.
- Győződjön meg arról, hogy az alkalmazás mindig elérhető.
- Győződjön meg arról, hogy az alkalmazás képes kezelni a következő indítási vagy marketingkampány forgalmát.
Az Apache JMeter egy ingyenes, népszerű nyílt forráskód eszköz, amely erős közösségi háttérrel rendelkezik.
Ajánlott eljárás: Az alkalmazás teljesítményének monitorozása.
Részletek: a Azure-alkalmazás Insights egy bővíthető alkalmazásteljesítmény-kezelési (APM) szolgáltatás webfejlesztők számára több platformon. Az Application Insights használatával figyelheti élő webalkalmazását. Automatikusan észleli a teljesítmény rendellenességeit. Elemzési eszközöket tartalmaz a problémák diagnosztizálásához és annak megértéséhez, hogy a felhasználók valójában mit csinálnak az alkalmazással. Úgy tervezték, hogy használatával folyamatosan javíthassa a teljesítményt és a használhatóságot.
A DDoS enyhítése és elleni védelem
Az elosztott szolgáltatásmegtagadás (DDoS) egy olyan támadástípus, amely megpróbálja kimeríteni az alkalmazás erőforrásait. A cél az, hogy befolyásolja az alkalmazás rendelkezésre állását és a jogos kérelmek kezelésére való képességét. Ezek a támadások egyre kifinomultabbak és nagyobb méretűek és hatással vannak. Bármely olyan végpontra célozhatók, amely nyilvánosan elérhető az interneten keresztül.
A DDoS-rugalmasság tervezéséhez és kialakításához tervezésre és tervezésre van szükség a különböző meghibásodási módokhoz. Az alábbiakban a DDoS-reziliens szolgáltatások Azure-beli kiépítésének ajánlott eljárásait követjük.
Ajánlott eljárás: Győződjön meg arról, hogy a biztonság prioritást élvez az alkalmazás teljes életciklusa során, a tervezéstől a megvalósításon át az üzembe helyezésig és a műveletekig. Az alkalmazások olyan hibákkal rendelkezhetnek, amelyek lehetővé teszik, hogy viszonylag kevés kérelem használjon sok erőforrást, ami szolgáltatáskimaradást eredményez.
Részletek: A Microsoft Azure-ban futó szolgáltatások védelméhez ismernie kell az alkalmazásarchitektúrát, és a szoftverminőség öt pillérére kell összpontosítania. Ismernie kell a tipikus forgalommennyiségeket, az alkalmazás és más alkalmazások közötti kapcsolati modellt, valamint a nyilvános interneten elérhető szolgáltatásvégpontokat.
Annak biztosítása, hogy az alkalmazás elég rugalmas legyen ahhoz, hogy kezelni tudja a szolgáltatásmegtagadást, amely az alkalmazásra irányul, a legfontosabb. A biztonság és az adatvédelem az Azure-platformba van beépítve, kezdve a Security Development Lifecycle (SDL) használatával. Az SDL minden fejlesztési fázisban kezeli a biztonságot, és biztosítja, hogy az Azure folyamatosan frissüljön, hogy még biztonságosabb legyen.
Ajánlott eljárás: Úgy tervezheti meg az alkalmazásokat, hogy horizontálisan skálázhatók, hogy megfeleljenek a felerősített terhelés igényeinek, különösen DDoS-támadás esetén. Ha az alkalmazás egy szolgáltatás egyetlen példányától függ, egyetlen hibapontot hoz létre. Több példány üzembe helyezése rugalmasabbá és skálázhatóbbá teszi a rendszert.
Részletek: A Azure-alkalmazás Szolgáltatás esetében válasszon ki egy App Service-csomagot, amely több példányt is kínál.
Az Azure Cloud Services esetében konfigurálja az egyes szerepköröket több példány használatára.
Az Azure-beli virtuális gépek esetében győződjön meg arról, hogy a virtuálisgép-architektúra több virtuális gépet is tartalmaz, és hogy minden virtuális gép szerepel-e egy rendelkezésre állási csoportban. Javasoljuk, hogy a virtuálisgép-méretezési csoportokat használja az automatikus skálázási képességekhez.
Ajánlott eljárás: Az alkalmazások biztonsági védelmének rétegezése csökkenti a sikeres támadás esélyét. Az Azure-platform beépített képességeivel biztonságos terveket hozhat létre az alkalmazásokhoz.
Részlet: A támadás kockázata az alkalmazás méretével (felületével) nő. A felület csökkentéséhez használjon jóváhagyási listát a közzétett IP-címtér bezárásához és a terheléselosztókon (Azure Load Balancer és Azure-alkalmazás Gateway) nem szükséges portok figyeléséhez.
A hálózati biztonsági csoportok egy másik módszer a támadási felület csökkentésére. Szolgáltatáscímkék és alkalmazásbiztonsági csoportok használatával minimalizálhatja a biztonsági szabályok létrehozásának és a hálózati biztonság konfigurálásának összetettségét az alkalmazásstruktúra természetes kiterjesztéseként.
Amikor csak lehetséges, azure-szolgáltatásokat kell üzembe helyeznie egy virtuális hálózaton . Ez a gyakorlat lehetővé teszi, hogy a szolgáltatás erőforrásai privát IP-címeken keresztül kommunikáljanak. A virtuális hálózatról érkező Azure-szolgáltatásforgalom alapértelmezés szerint nyilvános IP-címeket használ forrás IP-címként.
A szolgáltatásvégpontok használata a szolgáltatás forgalmát úgy váltja át, hogy a virtuális hálózati magáncímeket használja forrás IP-címként, amikor egy virtuális hálózatról éri el az Azure-szolgáltatást.
Gyakran tapasztaljuk, hogy az ügyfelek helyszíni erőforrásait is megtámadják az Azure-beli erőforrásaikkal együtt. Ha helyszíni környezetet csatlakoztat az Azure-hoz, minimalizálja a helyszíni erőforrások nyilvános internethez való kitettségét.
Az Azure két DDoS-szolgáltatásajánlattal rendelkezik , amelyek védelmet nyújtanak a hálózati támadások ellen:
- Az alapszintű védelem alapértelmezés szerint integrálva van az Azure-ba további költségek nélkül. A globálisan üzembe helyezett Azure-hálózat méretezése és kapacitása védelmet nyújt a hálózati rétegben végrehajtott támadások gyakori típusaival szemben, folyamatos forgalommonitorozáson és valós idejű beavatkozásokon keresztül. Az alapszintű szolgáltatás nem igényel felhasználói konfigurációt vagy alkalmazásmódosítást, és segít megvédeni az összes Azure-szolgáltatást, beleértve a PaaS-szolgáltatásokat, például az Azure DNS-t.
- A standard védelem fejlett DDoS-kockázatcsökkentési képességeket biztosít a hálózati támadások ellen. A rendszer automatikusan hangolja az adott Azure-erőforrások védelmére. A védelem egyszerűen engedélyezve van a virtuális hálózatok létrehozása során. A létrehozás után is elvégezhető, és nem igényel alkalmazás- vagy erőforrásmódosítást.
Az Azure Policy engedélyezése
Az Azure Policy egy azure-beli szolgáltatás, amellyel szabályzatokat hozhat létre, rendelhet hozzá és kezelhet. Ezek a szabályzatok szabályokat és hatásokat kényszerítenek ki az erőforrásokra, így ezek az erőforrások megfelelnek a vállalati szabványoknak és a szolgáltatásiszint-szerződéseknek. Az Azure Policy úgy tesz eleget ezeknek az elvárásoknak, hogy kiértékeli, megfelelnek-e az erőforrások a hozzájuk rendelt szabályzatoknak.
Engedélyezze az Azure Policy számára a szervezet írásos szabályzatának monitorozását és kikényszerítését. Ez biztosítja a vállalati vagy szabályozási biztonsági követelményeknek való megfelelést azáltal, hogy központilag kezeli a biztonsági szabályzatokat a hibrid felhőbeli számítási feladatokban. Megtudhatja, hogyan hozhat létre és kezelhet szabályzatokat a megfelelőség kikényszerítéséhez. A szabályzat elemeinek áttekintéséhez tekintse meg az Azure Policy definíciós struktúráját .
Íme néhány ajánlott biztonsági eljárás az Azure Policy bevezetése után:
Ajánlott eljárás: A szabályzat számos effektustípust támogat. Ezekről az Azure Policy definíciós struktúrájában olvashat. Az üzleti műveleteket negatívan befolyásolhatja a megtagadási és a szervizelési hatás, ezért kezdje a naplózási effektussal, hogy korlátozza a szabályzat negatív hatásának kockázatát.
Részletek: Indítsa el a házirendek üzembe helyezését naplózási módban, majd később folytassa a letiltás vagy a szervizelés folyamatát. Tesztelje és tekintse át a naplózási effektus eredményeit, mielőtt megtagadja vagy szervizeli.
További információ: Szabályzatok létrehozása és kezelése a megfelelőség kikényszerítéséhez.
Ajánlott eljárás: A szabályzatsértések monitorozásáért felelős szerepkörök azonosítása és a megfelelő szervizelési műveletek gyors végrehajtása.
Részletek: A hozzárendelt szerepkör monitorozása az Azure Portalon vagy a parancssoron keresztül történik.
Ajánlott eljárás: Az Azure Policy a szervezet írott szabályzatainak technikai reprezentációja. Az összes Azure Policy-definíciót szervezeti szabályzatok szerint rendeli össze, hogy csökkentse a keveredést és növelje a konzisztenciát.
Részletek: Dokumentumleképezés a szervezet dokumentációjában vagy magában az Azure Policy-definícióban úgy, hogy a szabályzatdefinícióban vagy a kezdeményezésdefiníció leírásában hivatkozik a szervezeti szabályzatra.
A Microsoft Entra kockázati jelentéseinek monitorozása
A biztonsági incidensek túlnyomó többsége akkor történik, amikor a támadók egy felhasználó identitásának ellopásával férnek hozzá egy környezethez. A sérült identitások felderítése nem egyszerű feladat. A Microsoft Entra ID adaptív gépi tanulási algoritmusokkal és heurisztikusokkal észleli a felhasználói fiókokhoz kapcsolódó gyanús műveleteket. Minden észlelt gyanús műveletet egy kockázatészlelésnek nevezett rekord tárol. A kockázatészleléseket a Microsoft Entra biztonsági jelentései rögzítik. További információkért olvassa el a kockázatos biztonsági jelentést és a kockázatos bejelentkezések biztonsági jelentését.
Következő lépések
Tekintse meg az Azure biztonsági ajánlott eljárásait és mintáit a felhőmegoldások Azure-beli tervezésekor, üzembe helyezésekor és kezelésekor használandó ajánlott biztonsági eljárásokért.
A következő erőforrások érhetők el az Azure biztonságával és a kapcsolódó Microsoft-szolgáltatások kapcsolatos általános információk biztosításához:
- Azure Security Team Blog – naprakész információk az Azure Security legújabb funkcióiról
- Microsoft Security Response Center – ahol a Microsoft biztonsági rései, beleértve az Azure-ral kapcsolatos problémákat is jelenthetik, vagy e-mailben a secure@microsoft.com