Javaslatok az erőforrások megerősítéséhez

Az Azure Well-Architected Framework biztonsági ellenőrzőlistájára vonatkozó javaslatra vonatkozik:

SE:08 Az összes számításifeladat-összetevőt megerősítheti a felesleges felület csökkentésével és a konfigurációk szigorításával a támadók költségeinek növelése érdekében.

Ez az útmutató az erőforrások megerősítésére vonatkozó javaslatokat ismerteti azáltal, hogy honosított vezérlőket fejleszt ki egy számítási feladaton belül, és fenntartja őket, hogy ellenálljanak az ismétlődő támadásoknak.

A biztonsági megkeményedés szándékos önmegőrzési gyakorlat. A cél a támadási felület csökkentése és a támadók költségeinek növelése más területeken, ami korlátozza a rosszindulatú szereplők lehetőségeit a biztonsági rések kihasználására. A számítási feladatok védelme érdekében alkalmazzon biztonsági ajánlott eljárásokat és konfigurációkat.

A biztonság megkeményedése egy folyamatos folyamat , amely folyamatos monitorozást és alkalmazkodást igényel a változó fenyegetésekhez és biztonsági résekhez.

Definíciók

Időszak Definíció
Szolgáltatáskorlátozás A támadási felület csökkentésének gyakorlata a felesleges erőforrások eltávolításával vagy a konfigurációk módosításával.
Emelt szintű hozzáférésű munkaállomás (PAW) Egy dedikált és biztonságos gép, amelyet bizalmas feladatok végrehajtására használ, ami csökkenti a sérülés kockázatát.
Biztonságos felügyeleti munkaállomás (SAW) Egy speciális emelt hozzáférési szintű munkaállomás, amelyet a kritikus hatású fiókok használnak.
Felületi terület Biztonsági réseket tartalmazó számítási feladatok logikai lábnyoma.

Kulcsfontosságú tervezési stratégiák

A biztonság megerősítése egy nagymértékben honosított gyakorlat, amely erősíti az összetevők szintjén lévő vezérlőket, függetlenül attól, hogy erőforrásokról vagy folyamatokról van-e szó. Az egyes összetevők biztonságának szigorítása növeli a számítási feladatok összesített biztonsági garanciáit.

A biztonsági ellenőrzés nem veszi figyelembe a számítási feladat funkcióit, és nem észleli a fenyegetéseket, és nem végez automatikus vizsgálatot. A biztonság megerősítésének középpontjában a konfiguráció finomhangolása áll, amely feltételezi, hogy megsérti és mélységi védelemmel látja el a rendszert. A cél az, hogy megnehezítse a támadók számára a rendszer irányítását. A megkeményedés nem módosíthatja a számítási feladat vagy annak műveletei kívánt segédprogramját.

A megkeményítési folyamat első lépése az összes hardver, szoftver és adategység átfogó leltárának összegyűjtése. A leltárrekordok naprakészen tartásához adjon hozzá új eszközöket, és távolítsa el a leszerelt eszközöket. A leltárban lévő összes eszköz esetében vegye figyelembe az alábbi ajánlott eljárásokat:

  • Csökkentse a lábnyomot. Távolítsa el a felesleges felületi területet, vagy csökkentse a hatókört. Kiküszöbölheti az egyszerű célokat, vagy az olcsó és jól bevált támadási vektorokat, például a nem kicsomagolt szoftveres támadásokat és a találgatásos támadásokat. Az éles üzembe helyezés előtt a forrásfáról tisztítsa meg az identitásokat, az összetevőket és az egyéb nem szükséges eszközöket.

  • Konfigurációk finomhangolása. Értékelje ki és húzza meg a fennmaradó felületet. Ha az erőforrások meg vannak erősítve, a támadók által használt kipróbált és tesztelt módszerek már nem lesznek sikeresek. Arra kényszeríti a támadókat, hogy speciális vagy nem tesztelt támadási módszereket szerezzenek be és használjanak, ami növeli a költségeiket.

  • Őrizze meg a védelmet. A folyamatos fenyegetésészlelés végrehajtásával védintézkedéseket tarthat fenn, így biztosítva, hogy a megerősítési erőfeszítések az idő múlásával megbízhatók legyenek.

Vegye figyelembe az alábbi tényezőket is.

Megbízható forrás. A megkeményítési gyakorlat része a szoftverellátási lánc. Ez az útmutató feltételezi, hogy minden összetevő megbízható forrásból származik. A szervezetnek jóvá kell hagynia a külső gyártóktól beszerzett szoftvereket. Ez a jóváhagyás az operációs rendszer, a lemezképek és más külső eszközök forrásaira vonatkozik. Megbízható erőforrások nélkül a megerősítés a nem megbízható források biztonsági garanciáinak végtelen kimerítését jelentheti.

Az ellátási lánc biztonságával kapcsolatos javaslatokért lásd: Javaslatok a fejlesztési életciklus biztonságossá tételéhez.

Képzés. A megkeményedés speciális képesség. Ez módszeres, és magas szintű kompetenciát igényel. Ismernie kell egy összetevő működését, és hogy a módosítások hogyan befolyásolják az összetevőt. A csapattagnak képesnek kell lennie felismerni az iparági szakértőktől és a platformtól kapott útmutatást, hogy meg tudja különböztetni az útmutatást a bizonytalan forrásoktól. A csapattagok felkészítése a biztonságtudatos kultúra létrehozására. Győződjön meg arról, hogy csapata jártas a biztonsági ajánlott eljárásokban, tisztában van a lehetséges fenyegetésekkel, és tanul az incidens utáni visszatekintésekből.

Dokumentáció. Dokumentálja és közzéteszi a korlátozási követelményeket, a döntéseket és a definiált módszereket. Az átláthatóság érdekében dokumentálja a kivételeket vagy a követelményektől való eltéréseket is.

A megkeményedés nehézkes lehet, de fontos biztonsági gyakorlat, amelyet dokumentálnia kell. Először feszítse meg az alapvető összetevőket, majd bontsa ki azokat más területekre, például az automatizált folyamatokra és az emberi folyamatokra a lehetséges hiányosságok szigorítása érdekében. Legyen aprólékos a változásokról. Egy szükséges lépés például az alapértelmezett beállítások letiltása, mivel az alapértelmezett értékek módosítása nem befolyásolhatja a rendszer stabilitását. Még ha a cserekonfiguráció is megegyezik az alapértelmezett konfigurációval, meg kell határozni. Az alábbi szakaszok a megkeményedés gyakori céljait ismertetik. Értékelje ki a számítási feladat legfontosabb tervezési területeit, és kövesse a fő stratégiákat az összetevők szintjén történő megerősítéséhez.

Hálózatkezelés

Ossza fel a hálózatot szegmensekre, hogy elkülönítse a kritikus fontosságú eszközöket és a bizalmas adatokat a kevésbé biztonságos eszközöktől, ami csökkenti a támadók oldalirányú mozgását. Ezekben a szegmensekben alkalmazzon alapértelmezett megtagadási megközelítést. Csak akkor adjon hozzá hozzáférést az engedélyezési listához, ha az indokolt.

Tiltsa le az aktívan nem használt portokat és protokollokat. Például Azure App Service, ha nem kell FTP-n keresztül üzembe helyeznie, letilthatja. Vagy ha belső hálózaton keresztül hajt végre felügyeleti műveleteket, letilthatja a rendszergazdai hozzáférést az internetről.

Távolítsa el vagy tiltsa le az örökölt protokollokat. A támadók kihasználják a régi verziókat használó rendszereket. Egy Azure-észlelési szolgáltatással áttekintheti a naplókat, és meghatározhatja a protokollhasználatot. A protokollok eltávolítása nehéz lehet, mert megzavarhatja a rendszer működését. Tesztelje az összes módosítást a megvalósítás előtt, hogy mérsékelje az üzemeltetés megszakadásának kockázatát.

A nyilvános IP- (PIP-) címeket magas kockázatú adategységekként kell kezelni , mert könnyen elérhetők, és világszerte széles körben elérhetők. Az expozíció csökkentése érdekében távolítsa el a számítási feladathoz való szükségtelen internet-hozzáférést. Olyan megosztott nyilvános IP-címeket használjon, amelyeket a Microsoft szolgáltatásai, például az Azure Front Door biztosítanak. Ezek a szolgáltatások úgy vannak kialakítva, hogy internetkapcsolattal rendelkeznek, és letiltják a nem engedélyezett protokollokhoz való hozzáférést. Számos ilyen szolgáltatás kezdeti ellenőrzéseket végez a bejövő kérelmeken a hálózati peremhálózaton. A dedikált PIP-lel Ön felelős a biztonsági szempontok kezeléséért, a portok engedélyezéséért vagy blokkolásáért, valamint a bejövő kérések vizsgálatáért azok érvényességének biztosítása érdekében.

Internetes alkalmazások esetén korlátozza a hozzáférést egy 7. rétegbeli szolgáltatás hozzáadásával , amely képes szűrni az érvénytelen forgalmat. Megismerheti azokat a natív szolgáltatásokat, amelyek az elosztott szolgáltatásmegtagadási (DDoS) védelmet kényszerítik ki, webalkalmazási tűzfallal rendelkeznek, és védelmet biztosítanak a peremhálózaton, mielőtt a forgalom eléri az alkalmazásszintet.

A tartománynévrendszer (DNS) megkeményedése egy másik hálózati biztonsági gyakorlat. A DNS-infrastruktúra biztonságossá tételéhez javasoljuk, hogy megbízható DNS-feloldókat használjon. A DNS-feloldóktól származó információk ellenőrzéséhez és egy további biztonsági réteg biztosításához, ha lehetséges, használjon DNS-biztonsági protokollt a rendkívül bizalmas DNS-zónákhoz. Az olyan támadások megelőzése érdekében, mint a DNS-gyorsítótár-mérgezés, a DDoS-támadások és az erősítő támadások, fedezze fel a DNS-sel kapcsolatos egyéb biztonsági vezérlőket, például a lekérdezési sebesség korlátozását, a válaszsebesség korlátozását és a DNS-cookie-kat.

Identitás

Távolítsa el a nem használt vagy alapértelmezett fiókokat. Tiltsa le a nem használt hitelesítési és engedélyezési módszereket.

Tiltsa le az örökölt hitelesítési módszereket , mert gyakran támadási vektorok. A régi protokollok gyakran nem használnak támadáselhárító intézkedéseket, például fiókzárolásokat. Külsősítse a hitelesítési követelményeket az identitásszolgáltatóhoz (IDP), például Microsoft Entra azonosítóhoz.

Az összevonást részesítse előnyben az ismétlődő identitások létrehozása helyett. Ha egy identitás biztonsága sérül, egyszerűbb visszavonni a hozzáférését, amikor központilag kezelik.

A továbbfejlesztett hitelesítés és engedélyezés platformképességeinek megismerése. A hozzáférés-vezérlés megerősítéséhez használja ki a többtényezős hitelesítés, a jelszó nélküli hitelesítés, a feltételes hozzáférés és az identitás ellenőrzésére Microsoft Entra által kínált egyéb funkciókat. További védelmet adhat a bejelentkezési eseményekhez, és csökkentheti a hatókört, amelyben a támadók kérést kezdeményezhetnek.

Ha lehetséges, használjon felügyelt identitásokat és számításifeladat-identitásokat hitelesítő adatok nélkül. A hitelesítő adatok kiszivároghatnak. További információ: Javaslatok az alkalmazás titkos kulcsainak védelmére.

Használja a minimális jogosultsági szintű megközelítést a felügyeleti folyamatokhoz. Távolítsa el a szükségtelen szerepkör-hozzárendeléseket, és végezzen rendszeres Microsoft Entra hozzáférési felülvizsgálatokat. A szerepkör-hozzárendelési leírások segítségével megőrizhet egy papíralapú indoklási naplót, amely elengedhetetlen az auditokhoz.

Felhőbeli erőforrások

Az előző, hálózatkezelésre és identitásra vonatkozó javaslatokat az egyes felhőszolgáltatásokra kell alkalmazni. A hálózatkezeléshez különös figyelmet kell fordítani a szolgáltatásszintű tűzfalakra, és kiértékelni a bejövő szabályokat.

Felderítheti és letilthatja a nem használt képességeket vagy funkciókat, például a nem használt adatsík-hozzáférést és a termékfunkciókat, amelyeket más összetevők is lefedhetnek. A App Service például támogatja a Kudu-t, amely FTP-telepítéseket, távoli hibakeresést és egyéb funkciókat biztosít. Ha nincs szüksége ezekre a funkciókra, kapcsolja ki őket.

Mindig tartsa a lépést az Azure ütemtervével és a számítási feladatok ütemtervével. Az Azure-szolgáltatások által kínált javítási és verziószámozási frissítések alkalmazása. Engedélyezze a platform által biztosított frissítéseket, és iratkozzon fel az automatikus frissítési csatornákra.

Kockázat: A felhőbeli erőforrások gyakran rendelkeznek kibocsátási egységekre vonatkozó követelményekkel, vagy dokumentált konfigurációkban kell futniuk, hogy támogatottnak minősüljenek. Bizonyos megerősítési technikák, például a kimenő forgalom agresszív blokkolása, a szolgáltatás a támogatott konfiguráción kívül eshet, még akkor is, ha a szolgáltatás normál módon működik. Ismerje meg az egyes felhőerőforrás-futtatókörnyezeti követelményeket a platformról, hogy biztosítsa az adott erőforrás támogatását.

Alkalmazások

Értékelje ki azokat a területeket, ahol az alkalmazás véletlenül információkat szivárogtathat ki. Tegyük fel például, hogy rendelkezik egy API-val, amely lekéri a felhasználói adatokat. Előfordulhat, hogy egy kérelem érvényes felhasználói azonosítóval rendelkezik, és az alkalmazás 403-at ad vissza. Érvénytelen ügyfél-azonosítóval azonban a kérés 404-et ad vissza. Ezután gyakorlatilag kiszivárogtat információkat a felhasználói azonosítókról.

Lehet, hogy finomabb esetek is vannak. Az érvényes felhasználói azonosítóval rendelkező válaszkésés például nagyobb, mint egy érvénytelen ügyfél-azonosító.

Fontolja meg az alkalmazások megerősítését a következő területeken:

  • Bemenet ellenőrzése és tisztítása: Az összes felhasználói bemenet ellenőrzésével és megtisztításával megelőzheti az olyan injektálási támadásokat, mint az SQL-injektálás és a helyek közötti szkriptelés (XSS). A bemeneti tisztítás automatizálása bemeneti érvényesítési kódtárak és keretrendszerek használatával.

  • Munkamenet-kezelés: Biztonságos munkamenet-kezelési technikákkal megvédheti a munkamenet-azonosítókat és -jogkivonatokat a lopási vagy munkamenet-rögzítési támadásoktól. Munkamenet-időtúllépések implementálása és a bizalmas műveletek újbóli hitelesítésének kényszerítése.

  • Hibakezelés: Egyéni hibakezelés implementálása a bizalmas információk támadók számára történő közzétételének minimalizálása érdekében. Biztonságosan naplózza a hibákat, és figyelje ezeket a naplókat gyanús tevékenységek esetén.

  • HTTP-biztonsági fejlécek: A gyakori webes biztonsági rések elhárításához használja a biztonsági fejléceket a HTTP-válaszokban, például a tartalombiztonsági házirendet (CSP), az X-Content-Type-Optionst és az X-Frame-Optionst.

  • API-biztonság: Biztonságossá teheti AZ API-kat a megfelelő hitelesítési és engedélyezési mechanizmusokkal. A biztonság további növelése érdekében implementáljon sebességkorlátozást, kérjen ellenőrzést és hozzáférés-vezérlést az API-végpontokhoz.

Alkalmazások fejlesztésekor és karbantartásakor kövesse a biztonságos kódolási eljárásokat. Rendszeresen végezzen kódvizsgálatokat, és keressen biztonsági réseket az alkalmazásokban. További információ: Javaslatok a fejlesztési életciklus biztonságossá tételéhez.

Felügyeleti műveletek

A többi nem futásidejű erőforrást is meg kell edzeni. Csökkentheti például a buildműveletek erőforrásigényét azáltal, hogy leltárt készít az összes eszközről, és eltávolítja a nem használt eszközöket a folyamatból. Ezután lekérheti a megbízható források által közzétett feladatokat, és csak ellenőrzött feladatokat futtathat.

Állapítsa meg, hogy szüksége van-e a Microsoft által üzemeltetett vagy saját üzemeltetésű fordítóügynökökre. A saját üzemeltetésű buildügynököknek további felügyeletre van szükségük, és meg kell keményíteni.

Megfigyelhetőség szempontjából implementáljon egy folyamatot a naplók esetleges megsértésének ellenőrzésére . A hozzáférési naplók alapján rendszeresen tekintse át és frissítse a hozzáférés-vezérlési szabályokat. A központi csapatokkal együttműködve elemezheti a biztonsági információk eseménykezelésének (SIEM) és a biztonsági vezénylés automatikus válasznaplóinak (SOAR) naplóit az anomáliák észleléséhez.

Fontolja meg emelt hozzáférési szintű munkaállomások vagy SAW-k megkövetelt használatát a kiemelt felügyeleti műveletekhez. Az emelt hozzáférési szintű munkaállomások és SAW-k olyan edzett fizikai eszközök, amelyek jelentős biztonsági előnyökkel járnak, de implementálásuk gondos tervezést és felügyeletet igényel. További információ: Eszközök biztonságossá tétele a kiemelt hozzáférési történet részeként.

Azure-beli segítségnyújtás

Microsoft Defender a Felhőhöz számos korlátozási lehetőséget kínál:

A Center for Internet Security (CIS) rögzített képeket kínál Azure Marketplace.

Az Azure VM Image Builder használatával megismételhető folyamatot hozhat létre a megkeményített operációsrendszer-rendszerképekhez. A Common Base Linux-Mariner a Microsoft által fejlesztett, biztonsági szabványokat és iparági tanúsítványokat követő, edzett Linux-disztribúció. Az Azure-infrastruktúra-termékekkel együtt használhatja számítási feladatok implementációinak létrehozásához.

Példa

Az alábbi eljárás egy példa az operációs rendszer megerősítésére:

  1. Csökkentse a lábnyomot. Távolítsa el a felesleges összetevőket a lemezképből. Csak azt telepítse, amire szüksége van.

  2. Konfigurációk finomhangolása. Tiltsa le a nem használt fiókokat. Az operációs rendszerek alapértelmezett konfigurációja további fiókokkal rendelkezik, amelyek biztonsági csoportokhoz vannak csatolva. Ha nem használja ezeket a fiókokat, tiltsa le vagy távolítsa el őket a rendszerből. Az extra identitások fenyegetésvektorok, amelyek a kiszolgálóhoz való hozzáféréshez használhatók.

    Tiltsa le a fájlrendszerhez való szükségtelen hozzáférést. Titkosítja a fájlrendszert, és finomhangolja az identitás- és hálózatkezelési hozzáférés-vezérlést.

    Csak a szükséges elemeket futtassa. Alapértelmezés szerint futó alkalmazások és szolgáltatások letiltása. Csak a számítási feladatok működéséhez szükséges alkalmazásokat és szolgáltatásokat hagyja jóvá.

  3. Őrizze meg a védelmet. Rendszeresen frissítse az operációs rendszer összetevőit a legújabb biztonsági frissítésekkel és javításokkal az ismert biztonsági rések csökkentése érdekében.

Szervezeti igazítás

felhőadaptálási keretrendszer az Azure-hoz útmutatást nyújt a központosított identitás- és hozzáférés-kezelési funkciók létrehozásához. További információ: Azure-identitás- és hozzáférés-kezelés tervezési területe.

CIS-teljesítménytesztek

Biztonsági ellenőrzőlista

Tekintse meg a javaslatok teljes készletét.