Az Azure biztonsági alapkonfigurációja az Azure Active Directoryhoz

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza az Azure Active Directoryra. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és az Azure Active Directoryra vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ha egy funkció releváns Azure Policy definíciókat sorol fel ebben az alapkonfigurációban, az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak megfelelőségének méréséhez. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Active Directoryra nem alkalmazható vezérlők, valamint azok, amelyekhez a globális útmutatást kimondottan ajánlották, ki lettek zárva. Annak megtekintéséhez, hogy az Azure Active Directory hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Azure Active Directory biztonsági alapkonfiguráció-leképezési fájlt.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Virtual Network szolgáltatáscímkék használatával hálózati hozzáférés-vezérlést határozhat meg a hálózati biztonsági csoportokon vagy az Azure Active Directory-erőforrásokhoz konfigurált Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. A szolgáltatáscímke nevének (például az "AzureActiveDirectory" névnek) a szabály megfelelő forrás- vagy célmezőjében való megadásával engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és a címek változásával automatikusan frissíti a szolgáltatáscímkét.

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Az Azure Active Directory nem teszi közzé a mögöttes DNS-konfigurációkat; ezeket a beállításokat a Microsoft kezeli.

Felelősség: Microsoft

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Az Azure Active Directory (Azure AD) használata alapértelmezett identitás- és hozzáférés-kezelési szolgáltatásként. A szervezet identitás- és hozzáférés-kezelésének szabályozásához szabványosítania kell Azure AD:

  • Microsoft Cloud-erőforrások, például a Azure Portal, az Azure Storage, az Azure Virtual Machine (Linux és Windows), az Azure Key Vault, a PaaS és az SaaS-alkalmazások.
  • a szervezet erőforrásaiban, például az Azure-on vagy a vállalati hálózat erőforrásain lévő alkalmazásokban.

Az Azure AD biztonságának kiemelten fontosnak kell lennie a vállalat felhőbiztonsági gyakorlatában. Az Azure AD egy identitásbiztonsági pontszámmal segít felmérni az identitásbiztonsági helyzetet a Microsoft ajánlott eljárásaihoz viszonyítva. A pontszám alapján felmérheti, mennyire felel meg a konfiguráció az ajánlott eljárásoknak, és javíthatja a biztonság állapotát.

Megjegyzés: Azure AD támogatja a külső identitást, amely lehetővé teszi, hogy a Microsoft-fiókkal nem rendelkező felhasználók a külső identitásukkal jelentkezzenek be az alkalmazásaikba és erőforrásaikba.

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Az Azure-erőforrások felügyelt identitásának használata nem emberi fiókokhoz, például szolgáltatásokhoz vagy automatizáláshoz. Javasoljuk, hogy az erőforrások eléréséhez vagy végrehajtásához hatékonyabb emberi fiók létrehozása helyett az Azure által felügyelt identitásszolgáltatást használja. Az Azure Active Directory-hitelesítést (Azure AD) támogató Azure-szolgáltatásokban/-erőforrásokban natív módon végezhet hitelesítést előre meghatározott hozzáférés-engedélyezési szabályon keresztül anélkül, hogy a forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat használ. Az Azure-beli felügyelt identitások nem rendelhetők hozzá Azure AD erőforrásokhoz, de Azure AD a más szolgáltatások erőforrásaihoz rendelt felügyelt identitásokkal való hitelesítés mechanizmusa.

Felelősség: Ügyfél

IM-3: Az Azure AD-beli egyszeri bejelentkezés használata alkalmazások eléréséhez

Útmutató: Az Azure Active Directoryval identitás- és hozzáférés-kezelést biztosíthat az Azure-erőforrásokhoz, a felhőalkalmazásokhoz és a helyszíni alkalmazásokhoz. Ez vonatkozik az olyan nagyvállalati identitásokra, mint az alkalmazottak, valamint az olyan külső identitásokra is, mint a partnerek, szállítók és ellátók. Ez lehetővé teszi a vállalati adatok és erőforrások egyszeri bejelentkezéssel (SSO) megvalósított kezelését és védelmét a helyszínen és a felhőben. Az összes felhasználót, alkalmazást és eszközt beléptetheti az Azure AD-be a zökkenőmentes, biztonságos hozzáférés, valamint a jobb átláthatóság és vezérlés érdekében.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: A legfontosabb beépített szerepkörök Azure AD a globális rendszergazda és a kiemelt szerepkörű rendszergazda, mivel a két szerepkörhöz rendelt felhasználók rendszergazdai szerepköröket delegálhatnak:

  • Globális rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek a Azure AD összes felügyeleti funkciójához, valamint az Azure AD identitásokat használó szolgáltatásokhoz.

  • Emelt szintű szerepkör-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók kezelhetik a szerepkör-hozzárendeléseket Azure AD, valamint a Azure AD Privileged Identity Management (PIM) szolgáltatásban. Emellett ez a szerepkör lehetővé teszi a PIM és a felügyeleti egységek minden aspektusának kezelését.

Megjegyzés: Előfordulhat, hogy más kritikus szerepkörökkel is rendelkezik, amelyeket szabályozni kell, ha bizonyos emelt szintű engedélyekkel rendelkező egyéni szerepköröket használ. Emellett érdemes lehet hasonló vezérlőket alkalmazni a kritikus fontosságú üzleti eszközök rendszergazdai fiókjára is.

Azure AD kiemelt jogosultságú fiókokkal rendelkezik: a globális rendszergazdai vagy emelt szintű szerepkör-rendszergazdai szerepkörökhöz közvetlenül vagy közvetetten hozzárendelt vagy jogosult felhasználók és szolgáltatásnevek, valamint a Azure AD és az Azure egyéb kiemelt jogosultságú szerepkörei.

Korlátozza a magas jogosultsági szintű fiókok számát, és emelt szintű védelmet biztosítson ezeknek a fiókoknak, mivel az ezzel a jogosultsággal rendelkező felhasználók közvetlenül vagy közvetve olvashatják és módosíthatják az Azure-környezet összes erőforrását.

Az Azure AD Privileged Identity Management (PIM) használatával engedélyezheti az Azure-erőforrások és az Azure AD igény szerinti (just-in-time, JIT) jogosultságú hozzáférését. A JIT ideiglenes engedélyeket biztosít az érintett feladatok végrehajtásához, csak annyi időre, ameddig a felhasználóknak erre szükségük van. A PIM biztonsági riasztásokat is képes kiadni, amikor gyanús vagy nem biztonságos tevékenységeket észlel az Azure AD-szervezetben.

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Rendszeresen tekintse át a felhasználói fiókok hozzáférési hozzárendeléseit, hogy a fiókok és hozzáférésük érvényes legyen, különösen a kiemelt jogosultságú szerepkörökre összpontosítva, beleértve a globális rendszergazda és a kiemelt szerepkörű rendszergazda szerepköröket. Az Azure Active Directory (Azure AD) hozzáférési felülvizsgálatainak használatával áttekintheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket, Azure AD szerepkörök és Azure-szerepkörök esetében egyaránt. Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A Azure AD Privileged Identity Management használatával hozzáférési felülvizsgálati jelentés munkafolyamatot is létrehozhat a felülvizsgálati folyamat megkönnyítése érdekében.

Emellett az Azure Privileged Identity Management konfigurálható úgy is, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre, és azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Felelősség: Ügyfél

PA-6: Emelt szintű hozzáférésű munkaállomások használata

Útmutató: A biztonságos, elkülönített munkaállomások kritikus fontosságúak az olyan bizalmas szerepkörök biztonsága szempontjából, mint a rendszergazdák, a fejlesztők vagy a kritikus fontosságú szolgáltatások üzemeltetői. Rendszergazdai feladatokhoz magas biztonságú felhasználói munkaállomásokat és/vagy Azure Bastiont használhat. Az Azure Active Directory, a Microsoft Defender Advanced Threat Protection (ATP) és/vagy a Microsoft Intune használatával biztonságos és felügyelt felhasználói munkaállomásokat helyezhet üzembe a rendszergazdai tevékenységekhez. A védett munkaállomások központi kezelésével kikényszeríthető a biztonságos konfiguráció, beleértve az erős hitelesítést, a szoftveres és hardveres alapkonfigurációikat, valamint a korlátozott logikai és hálózati hozzáférést.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Az ügyfelek úgy konfigurálhatják az Azure Active Directory (Azure AD) üzemelő példányát, hogy a felhasználókat a rendszergazdai feladatok elvégzéséhez szükséges minimális engedélyekkel rendelkező szerepkörökhöz rendelik.

Felelősség: Ügyfél

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft-támogatáshoz

Útmutató: Az Azure Active Directory nem támogatja az ügyfélszéfet. A Microsoft nem zárolt módszerekkel működhet együtt az ügyfelekkel az ügyféladatokhoz való hozzáférés jóváhagyásához.

Felelősség: Megosztott

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-2: A bizalmas adatok védelme

Útmutató: Fontolja meg az alábbi útmutatást a bizalmas adatok védelmének megvalósításához:

  • Elkülönítési: A címtár az az adathatár, amellyel az Azure Active Directory -szolgáltatások (Azure AD) tárolják és feldolgozzák az ügyfelek adatait. Az ügyfeleknek meg kell határozniuk, hogy hol szeretnék a Azure AD ügyféladatok nagy részét a címtáruk Country tulajdonságának beállításával meghatározni.

  • Szegmentáció: A globális rendszergazda szerepköre teljes körűen felügyeli az összes címtáradatot, valamint a hozzáférési és feldolgozási utasításokat szabályozó szabályokat. A címtárak felügyeleti egységekre szegmentálhatók, és az adott egységek rendszergazdái által felügyelendő felhasználókkal és csoportokkal együtt építhetők ki. A globális rendszergazdák a szervezet más alapelveire ruházhatják a felelősséget, ha előre meghatározott szerepkörökhöz vagy egyéni szerepkörökhöz rendelik őket.

  • Hozzáférés: Az engedélyek felhasználóra, csoportra, szerepkörre, alkalmazásra vagy eszközre alkalmazhatók. A hozzárendelés lehet állandó vagy időbeli Privileged Identity Management konfigurációnként.

  • Titkosítás: Azure AD titkosítja az összes inaktív vagy átvitel alatt lévő adatot. Az ajánlat nem teszi lehetővé az ügyfelek számára a címtáradatok saját titkosítási kulccsal történő titkosítását.

Annak megállapításához, hogy a kiválasztott ország hogyan képezi le a címtára fizikai helyét, olvassa el a "Where is your data located article" (Hol található az adatok helye) című cikket.

Mivel az ügyfél különböző Azure AD eszközöket, funkciókat és alkalmazásokat használ, amelyek a címtárukat használják, használja az Azure Active Directory – Hol találhatók az adatok?

Felelősség: Ügyfél

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként az átvitt adatokat védeni kell a "sávon kívüli" támadásokkal (pl. forgalomrögzítéssel) szemben, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Azure AD támogatja az adattitkosítást a TLS 1.2-s vagy újabb verziójával való átvitel során.

Bár ez nem kötelező a privát hálózatok forgalmához, ez kritikus fontosságú a külső és a nyilvános hálózatokon. HTTP-forgalom esetén győződjön meg arról, hogy az Azure-erőforrásokhoz csatlakozó ügyfelek képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére. Távfelügyelethez használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén) titkosítatlan protokoll helyett. Le kell tiltani az elavult SSL-, TLS- és SSH-verziókat és -protokollokat, valamint a gyenge titkosításokat.

Alapértelmezés szerint az Azure titkosítást biztosít az Azure-adatközpontok közötti adatátvitelhez.

Felelősség: Ügyfél

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként Azure AD titkosítással titkosítja az inaktív adatokat a sávon kívüli támadások (például a mögöttes tároló elérése) elleni védelem érdekében. Ez segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Felelősség: Microsoft

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-1: Az összetevőket érintő kockázatok biztonsági csapat általi átláthatóságának biztosítása

Útmutató: Győződjön meg arról, hogy a biztonsági csapatok biztonsági olvasói engedélyeket kapnak az Azure-bérlőben és az előfizetésekben, hogy a Microsoft Defender for Cloud használatával monitorozni tudják a biztonsági kockázatokat.

A biztonsági csapat felelősségi körének struktúrájától függően a biztonsági kockázatok monitorozása egy központi biztonsági csapat vagy egy helyi csapat felelőssége lehet. A biztonsági megállapításokat és kockázatokat azonban mindig központilag kell összesíteni egy szervezeten belül.

A biztonsági olvasó engedélyek széles körben alkalmazhatók egy teljes bérlőre (gyökérszintű felügyeleti csoport), vagy a hatókör alkalmazható adott felügyeleti csoportokra vagy előfizetésekre.

Megjegyzés: A számítási feladatok és a szolgáltatások átláthatóvá tételéhez további engedélyek lehetnek szükségesek.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure Active Directory (Azure AD) Identity Protection beépített fenyegetésészlelési funkciójának használata az Azure AD-erőforrásokhoz.

Azure AD olyan tevékenységnaplókat hoz létre, amelyeket gyakran használnak fenyegetésészleléshez és veszélyforrás-kereséshez. Azure AD bejelentkezési naplók rögzítik a felhasználók, szolgáltatások és alkalmazások hitelesítési és engedélyezési tevékenységeit. Azure AD auditnaplók nyomon követik a Azure AD bérlőn végrehajtott módosításokat, beleértve a biztonsági helyzet javítását vagy csökkenését.

Felelősség: Ügyfél

LT-2: Fenyegetések észlelésének engedélyezése az Azure-beli identitás- és hozzáférés-kezeléshez

Útmutató: Az Azure Active Directory (Azure AD) a következő felhasználói naplókat biztosítja, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, az Azure Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.
  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.
  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatos felhasználók – A kockázatos felhasználók olyan felhasználói fiókokra utalnak, amelyek biztonsága sérült.

Az Identity Protection kockázatészlelése alapértelmezés szerint engedélyezve van, és nem igényel előkészítési folyamatot. A részletességi vagy kockázati adatokat a licenc termékváltozata határozza meg.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az Azure Active Directory (Azure AD) tevékenységnaplókat hoz létre. Egyes Azure-szolgáltatásoktól eltérően Azure AD nem tesz különbséget a tevékenység- és erőforrásnaplók között. A tevékenységnaplók automatikusan elérhetők a Azure Portal Azure AD szakaszában, és exportálhatók az Azure Monitorba, Azure Event Hubs, Azure Storage-ba, SIEM-ekbe és más helyekre.

  • Bejelentkezések – a bejelentkezési jelentés a felügyelt alkalmazások használatával és a felhasználók bejelentkezési tevékenységeivel kapcsolatos információkat biztosít.

  • Auditnaplók – az Azure AD-n belül különböző szolgáltatások által végrehajtott összes módosításra vonatkozó nyomkövetési naplókat biztosít. A naplók rögzítik például az erőforrások módosításait az Azure AD-n belül, például a felhasználók, alkalmazások, csoportok, szerepkörök és szabályzatok hozzáadását vagy eltávolítását.

Azure AD biztonsági naplókat is biztosít, amelyek megtekinthetők Azure AD jelentésekben, vagy integrálhatók az Azure Monitorral, az Azure Sentinellel vagy más SIEM/monitorozási eszközökkel a kifinomultabb monitorozási és elemzési használati esetekhez:

  • Kockázatos bejelentkezések – A kockázatos bejelentkezés egy olyan bejelentkezési kísérletet jelöl, amelyet elképzelhető, hogy olyan személy hajtott végre, aki nem a felhasználói fiók jogos tulajdonosa.
  • Kockázatos felhasználók – A kockázatos felhasználók olyan felhasználói fiókokra utalnak, amelyek biztonsága sérült.

Az Identity Protection kockázatészlelése alapértelmezés szerint engedélyezve van, és nem igényel előkészítési folyamatot. A részletességi vagy kockázati adatokat a licenc termékváltozata határozza meg.

Felelősség: Ügyfél

LT-5: Biztonsági naplók kezelésének és elemzésének központosítása

Útmutatás: A következő irányelveket javasoljuk, ha az ügyfelek központosítani szeretnék a biztonsági naplóikat a fenyegetések könnyebb kereséséhez és a biztonsági helyzet elemzéséhez:

  • Központosítsa a naplózási tárolást és az elemzést a korreláció érdekében. Győződjön meg arról, hogy minden Azure AD belüli naplóforráshoz hozzárendelt egy adattulajdonost, a hozzáférési útmutatót, a tárolási helyet, az adatok feldolgozásához és eléréséhez használt eszközöket, valamint az adatmegőrzési követelményeket.

  • Győződjön meg arról, hogy az Azure-tevékenységnaplókat a központi naplózásba integrálja. Naplók betöltése az Azure Monitoron keresztül a végponteszközök, hálózati erőforrások és egyéb biztonsági rendszerek által létrehozott biztonsági adatok összesítéséhez. Az Azure Monitorban Log Analytics-munkaterületek használatával kérdezhet le és végezhet elemzéseket, és Azure Storage-fiókokat használhat hosszú távú és archivált tároláshoz.

  • Emellett engedélyezheti és előkészítheti az adatokat az Azure Sentinelben vagy egy külső SIEM-ben.

Számos szervezet úgy dönt, hogy az Azure Sentinelt használja a gyakran használt "gyakori elérésű" adatokhoz, az Azure Storage-ot pedig a ritkábban használt adatokhoz.

Felelősség: Ügyfél

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Győződjön meg arról, hogy az Azure Active Directory bejelentkezési naplóinak, auditnaplóinak és kockázatiadat-naplóinak tárolásához használt tárfiókok vagy Log Analytics-munkaterületek esetében a naplómegőrzési időszak a szervezet megfelelőségi előírásainak megfelelően van beállítva.

Az Azure Monitorban beállíthatja a Log Analytics-munkaterület megőrzési időtartamát a szervezet megfelelőségi előírásainak megfelelően. Azure Storage-, Data Lake- vagy Log Analytics-munkaterületfiókok használata hosszú távú és archivált tároláshoz.

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: Az Azure Active Directory (Azure AD) nem támogatja a saját időszinkronizálási források konfigurálását. A Azure AD szolgáltatás a Microsoft időszinkronizálási forrásaira támaszkodik, és nem érhető el az ügyfelek számára konfiguráció céljából.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: A Microsoft identitás- és hozzáférés-kezelési megoldásai segítenek az informatikai csapatnak az alkalmazásokhoz és erőforrásokhoz való hozzáférés védelmében a helyszínen és a felhőben. Fontos, hogy a szervezetek betartsák a biztonsági ajánlott eljárásokat annak biztosítása érdekében, hogy identitás- és hozzáférés-kezelési implementációjuk biztonságos és rugalmasabb legyen a támadásokkal szemben.

Az identitás- és hozzáférés-kezelési megvalósítási stratégia alapján a szervezetnek követnie kell a Microsoft ajánlott eljárásokkal kapcsolatos útmutatóját az identitásinfrastruktúra védelméhez.

A külső partnerekkel együttműködő szervezeteknek emellett fel kell mérniük és végre kell hajtaniuk a megfelelő irányítási, biztonsági és megfelelőségi konfigurációkat a biztonsági kockázatok csökkentése és a bizalmas erőforrások védelme érdekében.

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Útmutató: A Microsoft biztonsági pontszáma lehetővé teszi a szervezetek számára biztonsági helyzetük mérését, és javaslatokat tesz, amelyek segítenek megvédeni a szervezeteket a fenyegetésektől. Javasoljuk, hogy a szervezetek rendszeresen felülvizsgálják a biztonsági pontszámukat az identitásbiztonsági helyzet javítása érdekében javasolt javító műveletek érdekében.

Felelősség: Ügyfél

PV-8: Rendszeres támadásszimulációk végrehajtása

Útmutató: Szükség esetén végezzen behatolási teszteket vagy riasztási gyakorlatokat az Azure-erőforrásokon, hogy biztosítva legyen az összes kritikus biztonsági találat megoldása. A Microsoft-felhő behatolástesztelési beavatkozási szabályai szerint eljárva biztosíthatja, hogy a behatolási tesztek nem sértik a Microsoft szabályzatait. A Microsoft által felügyelt felhőalapú infrastruktúrán, szolgáltatásokon és alkalmazásokon végzett riasztási és élő behatolási tesztek végrehajtásához használja a Microsoft stratégiáját és végrehajtási tervét.

Felelősség: Megosztott

Következő lépések