Javaslatok az erőforrások megerősítéséhez
Az Azure Well-Architected Framework biztonsági ellenőrzőlistára vonatkozó javaslatra vonatkozik:
| SE:08 | Az összes számítási feladat összetevőjét megkeményítheti a felesleges felület csökkentésével és a konfigurációk meghúzásával a támadók költségeinek növelése érdekében. |
|---|
Ez az útmutató az erőforrások megkeményítésére vonatkozó javaslatokat ismerteti a számítási feladaton belüli honosított vezérlők fejlesztésével és az ismétlődő támadások ellen való fenntartásával.
A biztonsági megkeményedés szándékos önmegőrző gyakorlat. A cél a támadási felület csökkentése és a támadók költségeinek növelése más területeken, ami korlátozza a rosszindulatú szereplők lehetőségeit a biztonsági rések kihasználására. A számítási feladatok védelme érdekében alkalmazzon biztonsági ajánlott eljárásokat és konfigurációkat.
A biztonsági megkeményedés egy folyamatos folyamat , amely folyamatos monitorozást és alkalmazkodást igényel a folyamatosan változó fenyegetésekhez és biztonsági résekhez.
Meghatározások
| Időszak | Definíció |
|---|---|
| Szolgáltatáskorlátozás | A támadási felület csökkentésének gyakorlata a felesleges erőforrások eltávolításával vagy a konfigurációk módosításával. |
| Emelt szintű hozzáférési munkaállomás (PAW) | Egy dedikált és biztonságos gép, amelyet bizalmas feladatok végrehajtására használ, ami csökkenti a kompromisszum kockázatát. |
| Biztonságos felügyeleti munkaállomás (SAW) | Speciális emelt hozzáférési szintű munkaállomás, amelyet a kritikus hatású fiókok használnak. |
| Felületi terület | A biztonsági réseket tartalmazó számítási feladatok logikai lábnyoma. |
Főbb tervezési stratégiák
A biztonsági szigorítás egy nagymértékben honosított gyakorlat, amely erősíti az összetevők szintjén lévő vezérlőket, legyen szó erőforrásokról vagy folyamatokról. Az egyes összetevők biztonságának szigorítása javítja a számítási feladatok összesített biztonsági garanciáit.
A biztonsági korlátozások nem veszik figyelembe a számítási feladat funkcióit, és nem észleli a fenyegetéseket, és nem végez automatikus vizsgálatot. A biztonsági megkeményedés a konfiguráció finomhangolására összpontosít, feltételezve, hogy a biztonsági rések és a mélységi védelem mentalitása. A cél az, hogy megnehezítse a támadók számára a rendszer irányítását. A megkeményedés nem módosíthatja a számítási feladatok vagy a műveletek tervezett segédprogramját.
Számítási feladatok eszközeinek leltárának összeállítása
A keményítési folyamat első lépése az összes hardver, szoftver és adategység átfogó leltárának összegyűjtése. Új eszközök hozzáadásával és a leszerelt eszközök eltávolításával naprakészen tarthatja a leltárrekordokat. A leltárban lévő összes eszköz esetében vegye figyelembe az alábbi ajánlott eljárásokat:
Csökkentse a lábnyomot. Távolítsa el a felesleges felületet, vagy csökkentse a hatókört. Kiküszöbölheti az egyszerű célokat, vagy az olcsó és jól bevált támadási vektorokat, például a nem támogatott szoftveres kihasználásokat és a találgatásos támadásokat. Az éles üzembe helyezés előtt a forrásfáról törölnie kell az identitásokat, az összetevőket és az egyéb nem hozzárendelt objektumokat.
Konfigurációk finomhangolása. Értékelje ki és húzza meg a fennmaradó felületet. Az erőforrások megerősítésekor a támadók által használt kipróbált és tesztelt módszerek már nem lesznek sikeresek. Arra kényszeríti a támadókat, hogy speciális vagy nem tesztelt támadási módszereket szerezzenek be és használjanak, ami növeli a költségeiket.
Őrizze meg a védelmet. A folyamatos fenyegetésészlelés végrehajtásával védintézkedéseket tarthat fenn, így biztosítva, hogy a megerősítési erőfeszítések idővel megbízhatóak legyenek.
Vegye figyelembe az alábbi tényezőket is.
Megbízható forrás. A megkeményítési gyakorlat része a szoftverellátási lánc. Ez az útmutató feltételezi, hogy az összes összetevő megbízható forrásokból származik. A szervezetnek jóvá kell hagynia a külső gyártóktól beszerzett szoftvereket. Ez a jóváhagyás az operációs rendszer, a rendszerképek és más külső eszközök forrásaira vonatkozik. Megbízható erőforrások nélkül a megkeményedés a nem megbízható források biztonsági garanciáinak végtelen leeresztője lehet.
Az ellátási lánc biztonságával kapcsolatos javaslatokért tekintse meg a fejlesztési életciklus biztonságossá tételére vonatkozó javaslatokat.
Betanítás. A megkeményedés speciális képesség. Ez módszeres, és magas szintű kompetenciát igényel. Meg kell ismernie az összetevők funkcióit és azt, hogy a változások hogyan befolyásolják az összetevőt. A csapattagnak képesnek kell lennie arra, hogy felismerje az iparági szakértőktől és a platformtól kapott útmutatást, hogy megkülönböztesse azt a bizonytalan forrásoktól. A csapattagok felkészítése a biztonságtudatos kultúra létrehozására. Győződjön meg arról, hogy csapata jártas a biztonsági ajánlott eljárásokban, tisztában van a lehetséges fenyegetésekkel, és tanul az incidens utáni visszatekintésekből.
Dokumentáció. Dokumentálja és közzéteszi a korlátozási követelményeket, a döntéseket és a definiált módszereket. Az átláthatóság érdekében dokumentálja a fenti követelményektől való kivételeket vagy eltéréseket is.
A megkeményedés nehézkes lehet, de ez egy fontos biztonsági gyakorlat, amelyet dokumentálnia kell. Először feszítse meg az alapvető összetevőket, majd bontsa ki azokat más területekre, például az automatizált folyamatokra és az emberi folyamatokra, hogy megszűkítse a lehetséges réseket. Legyen aprólékos a változások. Egy szükséges lépés például az alapértelmezett beállítások letiltása, mert az alapértelmezett értékek módosítása nem befolyásolhatja a rendszer stabilitását. Még akkor is definiálni kell, ha a cserekonfiguráció megegyezik az alapértelmezett konfigurációval. A következő szakaszok a keményítés gyakori céljait ismertetik. Értékelje ki a számítási feladat legfontosabb tervezési területeit, és kövesse a kulcsfontosságú stratégiákat az összetevők szintjén történő keményítéshez.
Hálózati összetevők megkeményítése
Ossza fel a hálózatot szegmensekre, hogy elkülönítse a kritikus fontosságú eszközöket és a bizalmas adatokat a kevésbé biztonságos eszközöktől, ami csökkenti a támadók oldalirányú mozgását. Ezekben a szegmensekben alkalmazzon alapértelmezett megtagadási megközelítést. Csak indokolt esetben adjon hozzá hozzáférést az engedélyezési listához.
Tiltsa le az aktívan nem használt portokat és protokollokat. Ha például Azure-alkalmazás szolgáltatásban nem kell FTP-n keresztül üzembe helyeznie, letilthatja azt. Vagy ha belső hálózaton keresztül hajt végre felügyeleti műveleteket, letilthatja a felügyeleti hozzáférést az internetről.
Távolítsa el vagy tiltsa le az örökölt protokollokat. A támadók kihasználják a régi verziókat használó rendszereket. Egy Azure-észlelési szolgáltatással áttekintheti a naplókat, és meghatározhatja a protokollhasználatot. A protokollok eltávolítása nehéz lehet, mert megzavarhatja a rendszer működését. A végrehajtás előtt tesztelje az összes módosítást, hogy mérsékelje a működési zavar kockázatát.
Kezelje a nyilvános IP-címeket magas kockázatú objektumokként , mert könnyen elérhetők, és széles körű globális hozzáféréssel rendelkeznek. Az expozíció csökkentése érdekében távolítsa el a számítási feladathoz való szükségtelen internetkapcsolatot. Olyan megosztott nyilvános IP-címeket használjon, amelyeket Microsoft-szolgáltatások, például az Azure Front Doort. Ezek a szolgáltatások úgy vannak kialakítva, hogy internetes elérésűek legyenek, és letiltják a nem engedélyezett protokollokhoz való hozzáférést. Sok ilyen szolgáltatás kezdeti ellenőrzéseket végez a bejövő kérelmeken a hálózati peremhálózaton. Egy dedikált PIP-sel ön felügyelheti annak biztonsági szempontjait, engedélyezheti vagy letilthatja a portokat, és beolvashatja a bejövő kéréseket azok érvényességének biztosítása érdekében.
Internetkapcsolattal rendelkező alkalmazások esetén korlátozza a hozzáférést egy 7 . rétegbeli szolgáltatás hozzáadásával, amely képes szűrni az érvénytelen forgalmat. Megismerheti azokat a natív szolgáltatásokat, amelyek az elosztott szolgáltatásmegtagadási (DDoS) védelmet kényszerítik ki, webalkalmazási tűzfalakat használnak, és védelmet nyújtanak a peremhálózaton, mielőtt a forgalom eléri az alkalmazásszintet.
A tartománynévrendszer (DNS) megkeményítése egy másik hálózati biztonsági gyakorlat. A DNS-infrastruktúra biztonságossá tételéhez javasoljuk, hogy megbízható DNS-feloldókat használjon. A DNS-feloldóktól származó információk ellenőrzéséhez és egy további biztonsági réteg biztosításához lehetőség szerint használjon DNS-biztonsági protokollt a rendkívül érzékeny DNS-zónákhoz. Az olyan támadások megelőzése érdekében, mint a DNS-gyorsítótár mérgezése, a DDoS-támadások és az erősítő támadások, vizsgálja meg a DNS-sel kapcsolatos egyéb biztonsági vezérlőket, például a lekérdezési sebesség korlátozását, a válaszsebesség korlátozását és a DNS-cookie-kat.
Identitáshozzáférés-vezérlők megerősítése
Távolítsa el a nem használt vagy alapértelmezett fiókokat. Tiltsa le a nem használt hitelesítési és engedélyezési módszereket.
Tiltsa le az örökölt hitelesítési módszereket , mert gyakran támadják meg a vektorokat. A régi protokollok gyakran nem rendelkeznek támadás elleni intézkedésekkel, például fiókzárolásokkal. A hitelesítési követelményeket az identitásszolgáltató (IdP) felé, például a Microsoft Entra ID-t kell külsőleg kivennie.
Az összevonás előnyben részesítése ismétlődő identitások létrehozása helyett. Ha egy identitás biztonsága sérül, egyszerűbb visszavonni a hozzáférését a központi felügyelet során.
Ismerje meg a továbbfejlesztett hitelesítés és engedélyezés platformképességeit . A hozzáférés-vezérlés megerősítéséhez használja ki a többtényezős hitelesítést, a jelszó nélküli hitelesítést, a feltételes hozzáférést és a Microsoft Entra ID által az identitás ellenőrzésére kínált egyéb funkciókat. További védelmet adhat a bejelentkezési eseményekhez, és csökkentheti a támadók kérésének hatókörét.
Ha lehetséges, használjon felügyelt identitásokat és számítási feladatok identitásait hitelesítő adatok nélkül. A hitelesítő adatok kiszivároghatnak. További információ: Javaslatok az alkalmazás titkos kulcsainak védelmére.
Használja a legkevésbé jogosultsági megközelítést a felügyeleti folyamatokhoz. Távolítsa el a szükségtelen szerepkör-hozzárendeléseket, és végezzen rendszeres Microsoft Entra-hozzáférési felülvizsgálatokat. A szerepkör-hozzárendelési leírások használatával megőrizhető az indoklások papíron való nyomon követése, ami az auditok szempontjából kulcsfontosságú.
Felhőalapú erőforrás-konfigurációk megkonfigurálása
A hálózatkezelésre és az identitásra vonatkozó korábbi megkeményedési javaslatok az egyes felhőszolgáltatásokra vonatkoznak. A hálózatkezelés során különös figyelmet kell fordítani a szolgáltatásszintű tűzfalakra, és értékelni kell a bejövő szabályokat.
Felderítheti és letilthatja a nem használt képességeket vagy funkciókat, például a nem használt adatsík-hozzáférést és a termékfunkciókat, amelyeket más összetevők is lefedhetnek. Az App Service például támogatja a Kudu szolgáltatást, amely FTP-telepítéseket, távoli hibakeresést és egyéb funkciókat biztosít. Ha nincs szüksége ezekre a funkciókra, kapcsolja ki őket.
Mindig tartsa a lépést az Azure ütemtervével és a számítási feladatok ütemtervével. Alkalmazza az Azure-szolgáltatások által kínált javítási és verziószámozási frissítéseket. Engedélyezze a platform által biztosított frissítéseket, és iratkozzon fel az automatizált frissítési csatornákra.
Kockázat: A felhőbeli erőforrások gyakran rendelkeznek a kibocsátási egységekre vonatkozó követelményekkel, vagy dokumentált konfigurációkban kell futniuk, hogy támogatottnak minősüljenek. Bizonyos megerősítési technikák, például a kimenő forgalom agresszív blokkolása, a szolgáltatás akkor is a támogatott konfiguráción kívül eshet, ha a szolgáltatás normál módon működik. Ismerje meg az egyes felhőerőforrások futtatókörnyezeti követelményeit a platformról, hogy biztosítsa az adott erőforrás támogatását.
Kódegységek megkeményítése
Értékelje ki azokat a területeket, ahol az alkalmazás véletlenül kiszivároghat az adatokból. Tegyük fel például, hogy rendelkezik egy API-val, amely lekéri a felhasználói adatokat. Előfordulhat, hogy egy kérelem érvényes felhasználói azonosítóval rendelkezik, és az alkalmazás 403-at ad vissza. Érvénytelen ügyfél-azonosítóval azonban a kérés 404-et ad vissza. Ezután gyakorlatilag kiszivárogtat információkat a felhasználói azonosítókról.
Lehetnek finomabb esetek is. Az érvényes felhasználói azonosítóval rendelkező válaszkésés például nagyobb, mint egy érvénytelen ügyfél-azonosító.
Fontolja meg az alkalmazásmegerősítés implementálását a következő területeken:
Bemeneti ellenőrzés és fertőtlenítés: Az összes felhasználói bemenet hitelesítésével és megtisztításával megelőzheti az olyan injektálási támadásokat, mint az SQL-injektálás és a helyek közötti szkriptelés (XSS). A bemeneti fertőtlenítés automatizálása bemeneti érvényesítési kódtárak és keretrendszerek használatával.
Munkamenet-kezelés: Biztonságos munkamenet-kezelési technikákkal megvédheti a munkamenet-azonosítókat és -jogkivonatokat a lopási vagy munkamenet-rögzítési támadásoktól. Munkamenet-időtúllépések implementálása és a bizalmas műveletek újbóli hitelesítésének kikényszerítése.
Hibakezelés: Egyéni hibakezelés implementálása a támadók bizalmas adatainak lehető legkisebbre csökkentése érdekében. Biztonságosan naplózza a hibákat, és figyelje ezeket a naplókat gyanús tevékenységek esetén.
HTTP biztonsági fejlécek: A gyakori webes biztonsági rések elhárítása a HTTP-válaszokban található biztonsági fejlécek, például a Tartalombiztonsági szabályzat (CSP), az X-Content-Type-Options és az X-Frame-Options használatával.
API-biztonság: Az API-k biztonságossá tétele megfelelő hitelesítési és engedélyezési mechanizmusokkal. A biztonság további javítása érdekében alkalmazza a sebességkorlátozást, az ellenőrzés kérését és a hozzáférés-vezérlést az API-végpontokhoz.
Alkalmazások fejlesztésekor és karbantartásakor kövesse a biztonságos kódolási eljárásokat. Rendszeresen végezzen kódellenőrzéseket, és vizsgálja meg az alkalmazásokat a biztonsági rések keresése érdekében. További információ: Javaslatok a fejlesztési életciklus biztonságossá tételéhez.
A felügyeleti műveletek megkeményítése
Emellett megkeményíthet más nem futtatókörnyezeti erőforrásokat is. Csökkentheti például a buildelési műveletek lábnyomát azáltal, hogy leltárt készít az összes eszközről, és eltávolítja a nem használt eszközöket a folyamatból. Ezután lekérheti a megbízható források által közzétett tevékenységeket, és csak ellenőrzött tevékenységeket futtathat.
Állapítsa meg, hogy szüksége van-e a Microsoft által üzemeltetett vagy saját üzemeltetésű buildügynökökre. A saját üzemeltetésű buildügynököknek további felügyeletre van szükségük, és meg kell keményíteni.
Megfigyelhetőség szempontjából implementáljon egy folyamatot a naplók lehetséges megsértéseinek áttekintésére. Hozzáférés-vezérlési szabályok rendszeres áttekintése és frissítése a hozzáférési naplók alapján. A központi csapatokkal együttműködve elemezheti a biztonsági információk eseménykezelésének (SIEM) és a biztonsági vezénylés automatizált válasznaplóinak (SOAR) naplóit az anomáliák észleléséhez.
Fontolja meg, hogy emelt hozzáférési szintű munkaállomásokat vagy SAW-ket igényel a kiemelt felügyeleti műveletekhez. A PAW-k és SAW-k olyan edzett fizikai eszközök, amelyek jelentős biztonsági előnyökkel járnak, de implementálásuk gondos tervezést és felügyeletet igényel. További információ: Eszközök biztonságossá tétele a kiemelt hozzáférési történet részeként.
Az Azure megkönnyítése
Felhőhöz készült Microsoft Defender számos keményítési lehetőséget kínál:
- Kiszolgálómegerősítés
- Adaptív hálózatmegerősítés
- A Docker-gazdagépek megkeményedése
A Center for Internet Security (CIS) rögzített rendszerképeket kínál az Azure Marketplace-en.
Az Azure VM Image Builder használatával megismételhető folyamatot hozhat létre a megkeményített operációsrendszer-rendszerképekhez. A Common Base Linux-Mariner egy, a Microsoft által kifejlesztett, a biztonsági szabványokat és iparági tanúsítványokat követő, edzett Linux-disztribúció. Azure-infrastruktúra-termékekkel számítási feladatok implementációinak létrehozásához használhatja.
Példa
Az alábbi eljárás egy példa az operációs rendszer megerősítésére:
Csökkentse a lábnyomot. Távolítsa el a szükségtelen összetevőket egy képből. Csak azt telepítse, amire szüksége van.
Konfigurációk finomhangolása. Tiltsa le a nem használt fiókokat. Az operációs rendszerek alapértelmezett konfigurációja további fiókokkal rendelkezik, amelyek biztonsági csoportokhoz vannak csatolva. Ha nem használja ezeket a fiókokat, tiltsa le vagy távolítsa el őket a rendszerből. Az extra identitások fenyegetésvektorok, amelyek a kiszolgálóhoz való hozzáféréshez használhatók.
Tiltsa le a fájlrendszerhez való szükségtelen hozzáférést. Titkosítja a fájlrendszert, és finomhangolja az identitás- és hálózatkezelési hozzáférés-vezérlőket.
Csak azt futtassa, amire szüksége van. Alapértelmezés szerint futó alkalmazások és szolgáltatások letiltása. Csak a számítási feladatok működéséhez szükséges alkalmazásokat és szolgáltatásokat hagyja jóvá.
Őrizze meg a védelmet. Rendszeresen frissítse az operációs rendszer összetevőit a legújabb biztonsági frissítésekkel és javításokkal az ismert biztonsági rések csökkentése érdekében.
Kapcsolódó hivatkozások
- Adaptív hálózatmegerősítés
- Javaslatok az alkalmazás titkos kulcsainak védelmére
- Javaslatok a fejlesztési életciklus biztonságossá tételéhez
- Eszközök védelme a kiemelt hozzáférési történet részeként
- Kiszolgálómegerősítés
Közösségi hivatkozások
Biztonsági ellenőrzőlista
Tekintse meg a javaslatok teljes készletét.