Az Azure-erőforrások védelme a romboló kibertámadásokkal szemben

Ez a cikk a Teljes felügyelet alapelveinek alkalmazásához nyújt lépéseket a Microsoft Azure-erőforrások pusztító kibertámadásokkal szembeni védelméhez az alábbi módokon:

Teljes felügyelet elv	Definíció
Explicit ellenőrzés	Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján.
A legkevésbé kiemelt hozzáférés használata	Korlátozza a felhasználói hozzáférést a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatokkal és az adatvédelemmel.
A szabálysértés feltételezése	Minimalizálja a sugár- és szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához. A védelem javítása erőforrás-zárolásokkal, biztonsági mentésekkel és vészhelyreállítással a virtuális gépek, az adatvédelem és az adatok rendelkezésre állási szolgáltatásai, valamint a helyreállítási infrastruktúra, a konfigurációalapú szolgáltatások, valamint a platformautomatizálás és a DevOps-eszközök védelmével. Fenyegetésészleléshez használja a Microsoft Sentinelt és a speciális többlépcsős észlelést, és készítse elő az incidenskezelési terveket az Azure-erőforrásokhoz.

Ez a cikk útmutatást tartalmaz a következőkhöz:

• A Microsoft Azure-erőforrások védelme a romboló kibertámadásokkal szemben.
• Észleli a kibertámadásokat, amikor előfordulnak.
• Hogyan válaszoljon rájuk.

Ez a cikk a műszaki megvalósítók számára készült, hogy támogassák a biztonsági incidensek megelőzésének és helyreállításának infrastruktúrájának Teljes felügyelet üzleti forgatókönyvét.

Referenciaarchitektúra

Az alábbi ábra a Teljes felügyelet referenciaarchitektúráját mutatja be az egyes védelmi kategóriák csoportosításával.

Ez az Azure-környezet a következőket tartalmazza:

Összetevő	Leírás
A	Virtuális gépek és fájljaik
h	Adatszolgáltatások és adataik
C	Helyreállítási infrastruktúra, beleértve a fájlokat és a sablonokat és az automatizálási szkripteket
T	Konfigurációalapú szolgáltatások
E	Platformautomatizálás és DevOps-eszközök (nem látható)

Az egyes típusú objektumok védelmére vonatkozó feladatokat a cikk 1. lépése ismerteti részletesen.

Mi található ebben a cikkben?

Ez a cikk végigvezeti a referenciaarchitektúra Teljes felügyelet alapelveinek alkalmazásának lépésein.

Lépés	Task
0	Konfigurálja a kibertámadások elleni védelmet.
2	Konfigurálja a kibertámadások észlelését.
3	Készítse elő az incidenskezelési terveket.

1. lépés: A kibertámadások elleni védelem konfigurálása

Számos szervezet biztonsági mentési és vészhelyreállítási megoldásokat implementál azure-beli virtuális gépeihez a migrálási munka részeként. Használhat például natív Azure-megoldásokat, vagy dönthet úgy, hogy saját külső megoldásokat használ a felhő ökoszisztémájához.

Bár fontos a virtuális gépek, illetve azok alkalmazásai és adatainak védelme, a virtuális gépeken túl a védelem hatókörének kiterjesztése is kritikus fontosságú. Ez a szakasz a különböző típusú azure-beli erőforrások pusztító kibertámadásokkal szembeni védelmére vonatkozó szempontokat és javaslatokat ismerteti.

A szolgáltatásspecifikus szempontok mellett érdemes megfontolni az erőforrás-zárolások használatát a szolgáltatások törlésének megelőzésére a felügyeleti sík védelmével. Az erőforrások írásvédett megjelenítéséhez erőforrás-zárolásokat is használhat. Az erőforrás-zárolások ellenőrzött hozzáféréssel működnek annak érdekében, hogy megakadályozzák az Azure-erőforrások kibertámadásokban való megsemmisítését azáltal, hogy megakadályozzák azok módosítását vagy megsemmisítését.

Annak érdekében, hogy az erőforrás-zárolások ne eredményezhessenek váratlan eredményeket, érdemes áttekinteni a zárolások alkalmazása előtt megfontolandó szempontokat, hogy a zárolásokat a megfelelő erőforrásokra alkalmazza úgy, hogy azok továbbra is működjenek. Ha például egy virtuális hálózatot (VNetet) zárol egy teljes erőforráscsoport helyett, azzal megakadályozhatja, hogy a zárolás túlságosan korlátozó legyen az erőforráscsoport többi erőforrására vonatkozóan. Ezen szempontok miatt fontossági sorrendbe kell helyeznie azokat az erőforrásokat, amelyek módosítása vagy törlése esetén a legnagyobb fennakadást okozná.

A zárolások a feladatátvétel alatt álló számítási feladatok helyreállítási idejének célkitűzéseit is figyelembe vehetik. A vészhelyreállítási tervnek figyelembe kell vennie a zárolásokat, és ellenőrzött módon kell elvégeznie a zárolások eltávolítására vonatkozó tesztelési eljárást. Be kell tanítania a rendszergazdákat és a SecOps-munkatársakat, hogy miként kezelhetik a zárolásokat a napi műveletek és a vészhelyzeti forgatókönyvek részeként.

A zárolások eltávolításához hozzáféréssel rendelkező rendszergazdáknak korlátozottnak kell lenniük, és jiT-hozzáférést kell magukban foglalniuk, például a Microsoft Entra Privileged Identity Management szolgáltatásban. Az erőforrások zárolásainak módosításához való hozzáférés a Microsoft.Authorization/locks/* hatókörrel van szabályozva, és nem adható meg állandó hozzáférés részeként.

V. Virtuális gépek védelme

A virtuálisgép-alapú számítási feladatokhoz, beleértve a méretezési csoportokat és a Kubernetes-fürtöket, a felügyeleti síkban az erőforrás-zárolások használata mellett két védelmi réteget kell megterveznie.

Először is meg kell terveznie az adatok biztonsági mentését a virtuális gépekről, hogy támadás esetén visszaállíthassa az elveszett adatokat, beleértve az Azure Kubernetes Service-t (AKS). A helyreállítható törlési vezérlőkkel meg kell védenie magát a biztonsági mentési adatokat a támadásoktól. A biztonsági mentések konfigurálásával kapcsolatos információkért lásd:

• Recovery Services-tároló létrehozása és konfigurálása
• Virtuális gép biztonsági mentése az Azure-ban
• Azure Kubernetes Service-fürt biztonsági mentésének konfigurálása
• Biztonsági mentés és helyreállítás az AKS-hez
• Biztonsági mentési és visszaállítási terv a zsarolóprogramok elleni védelemhez
• Az Azure Backup helyreállítható törlése

Másodszor, meg kell terveznie, hogy a kiszolgálót új helyre tudja visszaállítani, amikor a régió mögöttes infrastruktúráját megtámadják. A virtuális gépek replikációjának konfigurálásáról további információt az Azure-beli virtuális gépek vészhelyreállításának beállítása című témakörben talál. Ez magában foglalja az alkalmazások konfigurálását és a feladatátvétel során használt erőforrások beállításait.

Fontos

Ha az Azure Site Recoveryt virtuálisgép-méretezési csoport részét képező virtuális gépekhez használja, replikálhatja a virtuális gép állapotát. A replikált eszközök azonban nem támogatják a skálázást.

Egyes virtuálisgép-alapú számítási feladatok, például a Kubernetes-fürtök esetében a kiszolgálók tényleges állapota nem replikálható az Azure Site Recovery használatával. Előfordulhat, hogy más megoldásokra, például aktív/passzív konfigurációra van szüksége.

B. Adatszolgáltatások védelme

Az adatszolgáltatások olyan szolgáltatások informális gyűjteményei, amelyek a műveletekhez nélkülözhetetlen adatokat tartalmazzák, de maga az erőforrás nem olyan fontos. Nem sok különbség van például az azonos módon konfigurált és ugyanazon adatok tárolására konfigurált két tárfiók között.

Az adatszolgáltatások eltérnek a virtuális gépektől, amelyek operációsrendszer-konfigurációi a futó alkalmazásoktól és a felügyeleti sík konfigurációjától eltérőek lehetnek. Ennek eredményeként a következő szolgáltatások:

• Gyakran tartalmazzák saját feladatátvételi eszközeiket, például azt, hogy a tárfiókok georedundáns tárolási (GRS) szintek részeként replikálhatnak egy másik régióba .
• Saját megfontolandó szempontokat kell figyelembe vennie az adatok támadásoktól való védelmére és az adatok ismételt rendelkezésre bocsátására támadás esetén.

Az alábbi táblázat adatvédelmi és rendelkezésre állási hivatkozásokat tartalmaz a gyakran használt szolgáltatásokhoz, de az elérhető lehetőségek megismeréséhez érdemes megvizsgálnia az egyes szolgáltatások termékdokumentációját.

Szolgáltatás	Adatvédelem	Adatok rendelkezésre állása
Azure Files	Azure-fájlmegosztások biztonsági mentése Az Azure-fájlmegosztások véletlen törlésének megakadályozása	Helyreállítható törlés engedélyezése Azure-fájlmegosztásokon
Azure Blob Storage	Időponthoz kötött visszaállítás engedélyezése blobadatokon Az üzlet szempontjából létfontosságú blobadatok tárolása nem módosítható tárolással	Az Azure-blobok adatvédelemének áttekintése Tárolók helyreállítható törlésének engedélyezése és kezelése Blobok helyreállítható törlésének engedélyezése
Azure SQL Database	Automatikus biztonsági mentések az Azure SQL Database-ben	Aktív georeplikáció Feladatátvételi csoportok az Azure SQL Database-hez
Felügyelt SQL-példányok	Automatizált biztonsági mentések felügyelt Azure SQL-példányban	Felügyelt Azure SQL-példány feladatátvételi csoportjai
SQL Azure-beli virtuális gépeken	Sql Server biztonsági mentése és visszaállítása Azure-beli virtuális gépeken	Feladatátvevő fürtpéldányok SQL Serverrel az Azure-beli virtuális gépeken
Kulcstartók	Azure Key Vault biztonsági mentése és visszaállítása	A kulcstartók helyreállítható törlési és törlési védelmének engedélyezése Az Azure Key Vault rendelkezésre állása és redundancia

Figyelmeztetés

Egyes tárfiók-helyreállítási forgatókönyvek nem támogatottak. További információ: Nem támogatott tárolóhelyreállítás.

C. Helyreállítási infrastruktúra védelme

A számítási feladatok erőforrásainak védelme mellett meg kell védenie azokat az erőforrásokat is, amelyeket a funkciók megszakítás utáni visszaállításához használ, például helyreállítási eljárások dokumentációját, konfigurációs szkripteket és sablonokat. Ha a támadók megcélzhatják és megzavarhatják a helyreállítási infrastruktúrát, a teljes környezet veszélybe kerülhet, ami jelentős késésekhez vezethet a támadásból való helyreállítás során, és a szervezet sebezhetővé válik a ransomware-forgatókönyvekkel szemben.

Az Azure Backup által védett adatok esetében az Azure Backup helyreállítható törlése lehetővé teszi a biztonsági mentési adatok helyreállítását még akkor is, ha törölték őket. Emellett a továbbfejlesztett helyreállítható törlés kikényszeríti a helyreállítható törlés hozzárendelését, és lehetővé teszi egy megőrzési időszak meghatározását.

A biztonság további növelése érdekében implementáljon többfelhasználós engedélyezést (MUA) a kritikus műveletekhez, amelyhez két vagy több felhasználónak jóvá kell hagynia a kritikus műveleteket a végrehajtás előtt. Ez további biztonsági réteget biztosít azáltal, hogy egyetlen felhasználó, és így egy csak egy felhasználói fiókkal rendelkező támadó sem veszélyeztetheti a biztonsági mentés integritását. Engedélyezze és konfigurálja a MUA-t a biztonsági mentési szabályzatok jogosulatlan módosításokkal és törlésekkel szembeni védelméhez.

Az Azure Site Recoveryt erőforrás-zárolásokkal és JEA/JIT-hozzáféréssel védheti, hogy megakadályozza a jogosulatlan hozzáférést és észlelést, ha az erőforrások veszélyben vannak.

Az Azure Disk Encryption (ADE) vagy ügyfél által felügyelt kulcsokkal (CMK) titkosított Azure Site Recovery virtuális gépek replikálásakor győződjön meg arról, hogy a titkosítási kulcsok a célrégióHoz tartozó Azure Key Vaultban vannak tárolva. A kulcsok célrégióban való tárolása megkönnyíti a kulcsok zökkenőmentes elérését a feladatátvétel után, és fenntartja az adatbiztonság folytonosságát. Az Azure Key Vault romboló kibertámadásokkal szembeni védelméhez engedélyezze az olyan speciális veszélyforrások elleni védelmet, mint a helyreállítható törlés és a törlés elleni védelem.

A titkosított virtuális gépek részletes replikációs útmutatója a következő:

• ADE által védett virtuális gépek replikálása
• Virtuális gépek replikálása CMK-lemezekkel

D. Konfigurációalapú szolgáltatások védelme

A konfigurációalapú szolgáltatások olyan Azure-szolgáltatások, amelyek nem rendelkeznek adatokkal a felügyeleti síkon belüli konfigurációjukon kívül. Ezek az erőforrások általában infrastruktúra-alapúak, és alapvető szolgáltatások, amelyek támogatják a számítási feladatokat. Ilyenek például a virtuális hálózatok, a terheléselosztók, a hálózati átjárók és az alkalmazásátjárók.

Mivel ezek a szolgáltatások állapot nélküliek, nincsenek védendő üzemeltetési adatok. Ezeknek a szolgáltatásoknak a védelmére a legjobb megoldás az infrastruktúra kódként (IaC) való üzembe helyezési sablonjai, például a Bicep, amelyek helyreállíthatják ezeknek a szolgáltatásoknak az állapotát egy romboló támadás után. Az üzembe helyezésekhez szkripteket is használhat, de az IaC-üzemelő példányok jobban működnek a funkciók visszaállításához egy meglévő környezetben, ahol csak néhány szolgáltatásra van hatással.

Mindaddig, amíg egy azonos módon konfigurált erőforrás üzembe helyezhető, a szolgáltatások továbbra is működhetnek. Ahelyett, hogy megpróbálná biztonsági másolatot készíteni ezekről az erőforrásokról, a programozott üzembe helyezéssel helyreállíthatja a támadásokat.

Az IaC használatával kapcsolatos további információkért tekintse meg az infrastruktúra kódként való használatára vonatkozó javaslatokat.

E. Platformautomatizálás és DevOps-eszközök védelme

Ha programozott üzemelő példányokat vagy más típusú automatizálást használ, a platformautomatizálást és a DevOps eszközerőforrásait is védeni kell. Az üzembehelyezési infrastruktúra védelmére vonatkozó példákért tekintse meg a DevOps CI/CD-folyamatok biztonságossá tételét és a fejlesztési életciklus biztonságossá tételére vonatkozó javaslatokat.

A kód védelmét azonban érdemes megtervezni, amely a használt forrásvezérlő eszközöktől függően változik. A GitHub például útmutatást tartalmaz egy adattár biztonsági mentéséhez a forráskódtárakhoz.

Érdemes áttekinteni az adott szolgáltatásokat is, hogy megállapíthassa, hogyan védheti meg a legjobban a forráskódot és a folyamatokat a támadásoktól és a megsemmisítéstől.

A virtuális gépeken üzemeltetett összetevők, például a buildügynökök esetében a megfelelő virtuálisgép-alapú védelmi tervvel gondoskodhat arról, hogy az ügynökök szükség esetén elérhetők legyenek.

2. lépés: A kibertámadások észlelésének konfigurálása

Az Azure-infrastruktúrára irányuló támadások észleléséhez kezdje a Felhőhöz készült Microsoft Defender, egy natív felhőalkalmazás-védelmi platformmal (CNAPP), amely olyan biztonsági intézkedésekből és gyakorlatokból áll, amelyek célja a felhőalapú alkalmazások különböző kiberfenyegetések és biztonsági rések elleni védelme.

Felhőhöz készült Defender az Azure-összetevőkre vonatkozó további csomagokkal együtt összegyűjti az Azure-összetevőktől érkező jeleket, és speciális védelmet nyújt a kiszolgálók, tárolók, tárolók, adatbázisok és egyéb számítási feladatok számára.

Az alábbi ábra az Azure-szolgáltatások biztonsági eseményadatainak Felhőhöz készült Defender és a Microsoft Sentinelen keresztüli áramlását mutatja be.

Az ábrán:

• Az Azure-szolgáltatások jeleket küldenek Felhőhöz készült Microsoft Defender.
• Felhőhöz készült Microsoft Defender további csomagokkal, például a Defender for Serversrel elemzi a fokozott fenyegetésészlelés jeleit, és biztonsági információkat és eseménykezelési (SIEM) adatokat küld a Microsoft Sentinelnek.
• A Microsoft Sentinel a SIEM-adatokat használja kibertámadások észleléséhez, kivizsgálásához, válaszához és proaktív vadászathoz.

Miután a jelen cikk 1. lépésében szereplő javaslatokkal jobban védte azure-erőforrásait, rendelkeznie kell egy tervvel, amely a Microsoft Sentinel használatával észleli a pusztító kibertámadásokat. A kiindulópont a speciális többlépéses támadásészlelés használata a Microsoft Sentinelben. Ez lehetővé teszi, hogy észleléseket hozzon létre bizonyos helyzetekhez, például adatmegsemmisítéshez, szolgáltatásmegtagadáshoz, rosszindulatú rendszergazdai tevékenységhez és még sok máshoz.

A számítási feladatok válaszra való előkészítésének részeként a következőkre van szükség:

• Határozza meg, hogyan állapíthatja meg, hogy egy erőforrás támadás alatt áll-e.
• Határozza meg, hogyan rögzíthet és emelhet incidenseket ennek eredményeként.

3. lépés: Incidenskezelési tervek előkészítése

Az incidensek bekövetkezése előtt jól meghatározott és használatra kész incidenskezelési tervekkel kell rendelkeznie a romboló kibertámadásokhoz. Az incidensek során nincs ideje meghatározni, hogyan akadályozhatja meg a folyamatban lévő támadásokat, vagy visszaállíthatja a sérült adatokat és szolgáltatásokat.

Az Azure-alkalmazásoknak és a megosztott szolgáltatásoknak olyan válasz- és helyreállítási tervekkel kell rendelkezniük, amelyek magukban foglalják a virtuális gépek, az adatszolgáltatások, a konfigurációs szolgáltatások és az automatizálási/DevOps-szolgáltatások visszaállítására szolgáló forgatókönyveket. Minden alkalmazásnak vagy szolgáltatásterületnek rendelkeznie kell definíciókkal és jól definiált függőségekkel.

A forgatókönyveknek a következőnek kell lennie:

• Adja meg a folyamatokat a következő forgatókönyvekhez:

  • Azure-beli virtuális gépek feladatátvétele egy másodlagos régióba
  • Azure-beli virtuálisgép-adatok visszaállítása az Azure Portalon
  • Fájlok visszaállítása Azure-beli virtuális gépekre
  • Helyreállíthatóan törölt adatok és helyreállítási pontok helyreállítása az Azure Backup továbbfejlesztett helyreállítható törlésével
  • Kubernetes-fürtök állapotának visszaállítása katasztrófa után
  • Törölt tárfiók helyreállítása
  • Helyreállíthatóan törölt kulcstartó helyreállítása
  • Helyreállíthatóan törölt titkos kulcsok, kulcsok és tanúsítványok helyreállítása kulcstartóból
  • Vészhelyreállítási útmutató az Azure SQL Database-hez

• Adja meg a visszaállítási folyamatot a szolgáltatást alkotó egyéb erőforrásokhoz.

• Rendszeres időközönként tesztelje a SecOps karbantartási folyamatainak részeként.

Ajánlott betanítás

• Privileged Identity Management implementálása
• Megoldás tervezése biztonsági mentéshez és vészhelyreállításhoz
• A felhő biztonsági helyzetének javítása a Felhőhöz készült Microsoft Defender
• Észlelések létrehozása és vizsgálatok végrehajtása a Microsoft Sentinel használatával

Következő lépések

Folytassa a biztonsági incidensek megelőzésére és helyreállítására szolgáló infrastruktúra implementálását.

Hivatkozások

Ezekre a hivatkozásokra kattintva megismerheti a cikkben említett különböző szolgáltatásokat és technológiákat.

• Erőforrás-zárolások
• Microsoft Entra Privileged Identity Management
• Helyreállítható törlés az Azure biztonsági mentéséhez
• Többfelhasználós engedélyezés (MUA)
• Bicep
• Felhőhöz készült Microsoft Defender
• Microsoft Sentinel