Biztonságos infrastruktúra Zero Trusttal

Az infrastruktúra egy kritikus fenyegetésvektort jelöl. A helyszíni vagy többfelhős informatikai infrastruktúra az összes hardver (fizikai, virtuális, tárolóalapú), szoftver (nyílt forráskód, első és harmadik fél, PaaS, SaaS), mikroszolgáltatások (függvények, API-k), hálózati infrastruktúra, létesítmények stb., amelyek az informatikai szolgáltatások fejlesztéséhez, teszteléséhez, kézbesítéséhez, monitorozásához, vezérléséhez vagy támogatásához szükségesek. Ez egy olyan terület, ahol a Microsoft hatalmas erőforrásokat fektetett be, hogy átfogó képességeket fejlesszen ki a jövőbeli felhő- és helyszíni infrastruktúra védelme érdekében.

A modern biztonság a végponttól végpontig tartó Zéró Bizalom stratégia segítségével megkönnyíti az ön számára:

  • Verzió ellenőrzése.
  • Konfigurációkezelés végrehajtása.
  • Just-In-Time és Just-Enough-Access (JIT/JEA) rendszergazdai jogosultságokat alkalmazhat a védelem megerősítéséhez.
  • Telemetria használatával észlelhet támadásokat és rendellenességeket.
  • A kockázatos viselkedés automatikus letiltása és megjelölése, valamint védelmi műveletek végrehajtása.

A Microsoft Azure-tervekkel és a kapcsolódó képességekkel ugyanúgy gondoskodhat arról, hogy az erőforrások a szervezeti szabályzatoknak, szabványoknak és követelményeknek megfelelő módon legyenek megtervezve, implementálva és fenntartva.

Az Azure Blueprints, az Azure Policies, a Felhőhöz készült Microsoft Defender, a Microsoft Sentinel és az Azure Sphere nagyban hozzájárulhat az üzembe helyezett infrastruktúra biztonságának javításához. Ezek együttesen lehetővé teszik az infrastruktúra meghatározásának, tervezésének, kiépítésének, üzembe helyezésének és monitorozásának más megközelítését.

Ismétlődő kördiagram öt elemből: Megfelelőség felmérése, Hiányosságok megfigyelése, Szerző, Tesztelés és Üzembe helyezés.

Az infrastruktúra Zero Trust üzembehelyezési célkitűzései

Tipp

Mielőtt a legtöbb szervezet megkezdi a Zero Trust stratégiát, az infrastruktúra biztonságának megközelítését a következők jellemzik:

  • Az engedélyeket a rendszer manuálisan kezeli a különböző környezetekben.
  • Azon virtuális gépek és kiszolgálók konfigurációkezelése, amelyeken a számítási feladatok futnak.

Az infrastruktúra felügyeletére és monitorozására szolgáló, végponttól végpontig terjedő Zero Trust keretrendszer implementálásakor javasoljuk, hogy először az alábbi kezdeti telepítési célokra összpontosítson:

Lista ikon egyetlen pipával.

I.A számítási feladatokat a rendszer figyeli, és riasztást kap a rendellenes viselkedésről.

II.Minden számítási feladathoz hozzárendelünk egy alkalmazásidentitást, és konfiguráljuk és következetesen üzembe helyezünk.

III.Az emberi hozzáférés az erőforrásokhoz Just-In-Time alapon történik.

A kezdeti célkitűzések végrehajtása után a következő további üzembehelyezési célokra összpontosítson:

A listaikon két pipa jelöléssel.

IV.A jogosulatlan telepítések blokkolva vannak, és a riasztás kiváltódik.

V.Fokozott láthatóság és hozzáférés-vezérlés érhető el a munkaterhelések között.

VI.Az egyes számítási feladatokhoz szegmentált felhasználói és erőforrás-hozzáférés.

Infrastruktúra Zero Trust üzembe helyezési útmutató

Ez az útmutató végigvezeti az infrastruktúra biztonságossá tételéhez szükséges lépéseken a Zero Trust biztonsági keretrendszer alapelveinek követésével.

Mielőtt hozzákezd, győződjön meg arról, hogy teljesítette ezeket az alapkonfigurációs infrastruktúra-telepítési célkitűzéseket.

A Microsoft-bérlő alapkonfigurációjának beállítása

Az infrastruktúra kezelésének prioritási alapkonfigurációját kell beállítani. Az olyan iparági útmutatók alkalmazásával, mint a NIST 800-53, az infrastruktúra felügyeletére vonatkozó követelmények egy készletét is levezetheti. A Microsoftnál minimális alapkonfigurációt állítottunk be a következő követelmények listájára:

  • Az adatokhoz, hálózatokhoz, szolgáltatásokhoz, segédprogramokhoz, eszközökhöz és alkalmazásokhoz való hozzáférést hitelesítési és engedélyezési mechanizmusokkal kell szabályozni.

  • Az adatokat átvitel közben és inaktív állapotban kell titkosítani.

  • A hálózati forgalom korlátozása.

  • A biztonsági csapat minden eszközre rálátást biztosít.

  • A monitorozást és a naplózást az előírt szervezeti útmutatásnak megfelelően engedélyezni és megfelelően konfigurálni kell.

  • A kártevőirtónak naprakésznek és futtathatónak kell lennie.

  • A biztonsági rések vizsgálatát és a biztonsági rések javítását az előírt szervezeti útmutatásnak megfelelően kell elvégezni.

Annak érdekében, hogy a minimális – vagy kibővített – alapkonfigurációnak megfelelően mérhessük és ösztönözhessük a megfelelőséget, először a bérlői szinten és a helyszíni környezetekben is láthatóvá teszünk egy Biztonsági olvasó szerepkört az Azure-bérlőben. A Biztonsági olvasó szerepkörrel további betekintést nyerhet Felhőhöz készült Microsoft Defender és Azure-szabályzatok segítségével, amelyek felhasználhatók iparági alapkonfigurációk (például Azure CIS, PCI, ISO 27001) vagy a szervezet által meghatározott egyéni alapkonfigurációk alkalmazására.

Az engedélyek kezelése manuálisan, különböző környezetekben

A bérlői szinttől kezdve az egyes erőforráscsoport-hirdetés-előfizetések egyes erőforrásaiig megfelelő szerepköralapú hozzáférés-vezérlőket kell alkalmazni.

Tipp

Ismerje meg a végponttól végpontig tartó identitás Zero Trust stratégia implementálását.

Azon virtuális gépek és kiszolgálók konfigurációkezelése, amelyeken számítási feladatok futnak

Ahogyan a helyszíni adatközponti környezetet is felügyeltük, azt is biztosítani kell, hogy hatékonyan kezeljük a felhőbeli erőforrásokat. Az Azure használatának előnye, hogy egyetlen platformon kezelheti az összes virtuális gépet az Azure Arc (előzetes verzió) használatával. Az Azure Arc használatával kibővítheti a biztonsági alapkonfigurációkat az Azure Policyból, a Felhőhöz készült Microsoft Defender szabályzatokból és a biztonsági pontszámok kiértékeléséből, valamint az összes erőforrás naplózását és monitorozását egy helyen. Az alábbiakban néhány műveletet talál az első lépésekhez.

Az Azure Arc implementálása (előzetes verzió)

Az Azure Arc lehetővé teszi a szervezetek számára, hogy kiterjesszék az Azure ismert biztonsági vezérlőit a helyszíni és a szervezet infrastruktúrájának peremhálózatára. A rendszergazdák többféleképpen is csatlakoztathatják a helyszíni erőforrásokat az Azure Archoz. Ezek közé tartozik az Azure portál, a PowerShell, és a Windows telepítés Service Principal parancsfájlokkal.

További információ ezekről a technikákról.

Biztonsági alapkonfigurációk alkalmazása az Azure Policy használatával, beleértve a vendégszabályzatok alkalmazását is

A Felhőhöz készült Defender engedélyezésével az Azure Policy beépített szabályzatdefiníciói révén alapkonfiguráció-vezérlőket is beépíthet Felhőhöz készült Microsoft Defender. Az alapkonfigurációs szabályzatok halmaza megjelenik a Felhőhöz készült Defender biztonsági pontszámban, ahol mérheti a szabályzatoknak való megfelelést.

A szabályzatok hatókörét kibővítheti a Felhőhöz készült Defender beállításon túl, és egyéni szabályzatokat hozhat létre, ha egy beépített nem érhető el. Vendégkonfigurációs szabályzatokat is beépíthet, amelyek a megfelelőség mérését végzik az előfizetéseihez tartozó vendég VM-ek belsejében.

Cloud Defender végpontvédelmi és sebezhetőségkezelési vezérlők alkalmazása

A végpontvédelem elengedhetetlen ahhoz, hogy az infrastruktúra biztonságos és elérhető maradjon. A végpontvédelem és a biztonságirés-kezelés bármely stratégiájának részeként központilag meg tudja mérni a megfelelőséget annak biztosítása érdekében, hogy a kártevő-védelem engedélyezve legyen és konfigurálva legyen az Endpoint Protection felmérésével és a Microsoft Defender for Cloud ajánlásaival.

A referencia állapot központosított láthatósága több előfizetés között

A bérlő-olvasó szerepkör alkalmazásával áttekintést nyerhet a bérlőn belül az egyes kiértékelt szabályzatok állapotáról, amelyek részei a Felhőhöz készült Defender biztonsági pontszámnak, az Azure Policy-nak és a Vendégkonfigurációs szabályzatoknak. Ön ezt a szervezeti megfelelőségi kontrollpultra irányítja a bérlő állapotának központi jelentéstételéhez.

Emellett a Defender for Servers részeként a Beépített sebezhetőségi felmérési megoldás engedélyezése virtuális gépeken (a Qualys által működtetett) szabályzatot használhatja a virtuális gépek sebezhetőségeinek vizsgálatára, és azok közvetlenül megjelennek majd a Defender for Cloud-ban. Ha már üzembe helyezett egy biztonságirés-ellenőrzési megoldást a vállalatnál, használhatja a másodlagos szabályzat sebezhetőségi felmérési megoldását, amelyet telepítenie kell a virtuális gépekre a partner sebezhetőségi vizsgálatára szolgáló megoldás üzembe helyezéséhez.

Tipp

Megtudhatja, hogyan valósíthat meg végponttól végpontig terjedő Zero Trust stratégiát végpontokra.




Ellenőrzőlista ikon egy pipával.

Kezdeti üzembehelyezési célkitűzések

Miután teljesítette az alapinfrastruktúra célkitűzéseit, a modern infrastruktúra Nulla bizalom stratégiával való megvalósítására összpontosíthat.

I. A számítási feladatokat monitorozzák, és riasztanak a rendellenes viselkedés észlelésekor.

Új infrastruktúra létrehozásakor gondoskodnia kell arról, hogy a riasztások figyelésére és emelésére vonatkozó szabályokat is megállapítson. Ez kulcsfontosságú annak azonosításához, hogy egy erőforrás mikor jelenít meg váratlan viselkedést.

Javasoljuk, hogy engedélyezze Felhőhöz készült Microsoft Defender és terveit a támogatott erőforrástípusok védelméhez, beleértve a Defender for Serverst, a Defender for Storage-t, a Tárolókhoz készült Defendert, az SQL-hez készült Defendert stb.

Az identitások monitorozásához javasoljuk, hogy engedélyezze a Microsoft Defender for Identity és az Advanced Threat Analytics használatát annak érdekében, hogy lehetővé tegye a jelgyűjtést a szervezetre irányított speciális fenyegetések, feltört identitások és rosszindulatú belső műveletek azonosítására, észlelésére és kivizsgálására.

A Defender for Cloud, a Defender for Identity, az Advanced Threat Analytics és más monitorozási és naplózási rendszerek jeleinek integrálása a Microsoft Sentinel-lel, amely egy natív felhőbeli, biztonsági információ- és eseménykezelő (SIEM), valamint biztonsági vezénylés és automatikus válaszadás megoldás, lehetővé teszi, hogy a Security Operations Center (SOC) egységes nézetből működjön a biztonsági események figyelésére az egész vállalaton belül.

Tipp

Ismerje meg a végponttól végpontig tartó identitás Zero Trust stratégia implementálását.

II. Minden számítási feladathoz egy alkalmazás-identitás van rendelve, és az következetesen van konfigurálva és üzembe helyezve.

Azt javasoljuk, hogy erőforrások/számítási feladatok létrehozásakor hozzárendelt és kikényszerített szabályzatot használjon. A szabályzatok megkövetelik, hogy címkéket alkalmazzanak egy erőforrásra a létrehozáskor, erőforráscsoport-hozzárendelést írjanak elő, és korlátozzák/közvetlen műszaki jellemzőket, például az engedélyezett régiókat, a virtuálisgép-specifikációkat (például virtuálisgép-típust, lemezeket, alkalmazott hálózati házirendeket).

Tipp

Ismerje meg, hogyan valósíthat meg egy végponttól végpontig Zero Trust stratégiát az alkalmazásokhoz.

III. Az erőforrásokhoz való emberi hozzáférés Just-In-Time módszert igényel

A személyzetnek takarékosan kell használnia a rendszergazdai hozzáférést. Ha rendszergazdai funkciókra van szükség, a felhasználóknak ideiglenes rendszergazdai hozzáférést kell kapniuk.

A szervezeteknek létre kell hozniuk a Rendszergazdai védelem programot. A programok jellemzői a következők:

  • A rendszergazdai engedélyekkel rendelkező felhasználók számának célzott csökkentése.
  • Emelt szintű engedélyfiókok és szerepkörök auditálása.
  • Speciális nagy értékű objektum (HVA) infrastruktúra-zónák létrehozása a felület csökkentése érdekében.
  • Speciális biztonságos rendszergazdai munkaállomások (SAW-k) biztosítása a rendszergazdák számára a hitelesítő adatok ellopásának valószínűségének csökkentése érdekében.

Ezek az elemek segítenek a szervezetnek jobban megismerni a rendszergazdai engedélyek használatát, ahol ezekre az engedélyekre továbbra is szükség van, és ütemtervet biztosít a biztonságosabb működéshez.




Ellenőrzőlista ikon két pipával.

További üzembehelyezési célkitűzések

Miután elvégezte a kezdeti három célkitűzést, további célokra összpontosíthat, például letilthatja a jogosulatlan üzembe helyezéseket.

IV. A jogosulatlan telepítések blokkolva vannak, és a riasztás kioldódik.

Amikor a szervezetek a felhőbe költöznek, a lehetőségek korlátlanok. Ez nem mindig jó dolog. Különböző okokból a szervezeteknek képesnek kell lenniük arra, hogy blokkolják a jogosulatlan üzembe helyezéseket, és riasztásokat aktiváljanak, hogy a vezetők és a vezetők értesüljenek a problémákról.

A Microsoft Azure azure-terveket kínál az erőforrások üzembe helyezésének szabályozásához, biztosítva, hogy csak jóváhagyott erőforrások (például ARM-sablonok) legyenek üzembe helyezve. A tervek biztosíthatják, hogy a terv szabályzatainak vagy egyéb szabályainak nem megfelelő erőforrások ne legyenek üzembe helyezve. A terv tényleges vagy megkísérelt megsértése szükség szerint riasztásokat hozhat létre, értesítéseket készíthet, webhookokat vagy automatizálási runbookokat aktiválhat, vagy akár szolgáltatásfelügyeleti jegyeket is létrehozhat.

V. Részletes láthatóság és hozzáférés-szabályozás érhető el a munkaterhelések között.

A Microsoft Azure számos módszert kínál az erőforrások láthatóságának eléréséhez. Az Azure Portalon az erőforrás-tulajdonosok számos metrika- és naplógyűjtési és elemzési képességet állíthatnak be. Ez a láthatóság nemcsak a biztonsági műveletek betáplálására használható, hanem a számítási hatékonyság és a szervezeti célkitűzések támogatására is. Ilyenek például a virtuális gép skálázási csoportok, amelyek lehetővé teszik az erőforrások metrikaalapú biztonságos és hatékony kiépítését és leépítését.

A hozzáférés-vezérlési oldalon a szerepköralapú hozzáférés-vezérlés (RBAC) használható engedélyek erőforrásokhoz való hozzárendeléséhez. Ez lehetővé teszi az engedélyek egységes hozzárendelését és visszavonását az egyes és csoportszintű szinteken különböző beépített vagy egyéni szerepkörök használatával.

VI. Az egyes számítási feladatokhoz szegmentált felhasználói és erőforrás-hozzáférés

A Microsoft Azure számos módszert kínál a számítási feladatok szegmentálására a felhasználói és erőforrás-hozzáférés kezeléséhez. A hálózatszegmentálás az általános megközelítés, és az Azure-ban az erőforrások az előfizetés szintjén elkülöníthetők virtuális hálózatok (VNetek), virtuális hálózatok közötti társviszony-létesítési szabályok, hálózati biztonsági csoportok (NSG-k), alkalmazásbiztonsági csoportok (ASG-k) és Azure-tűzfalak használatával. A számítási feladatok szegmentálásának legjobb megközelítését több tervezési minta is meghatározza.

Tipp

Ismerje meg, hogyan valósíthat meg egy végponttól végpontig terjedő Zero Trust stratégiát a hálózatán.

Az útmutatóban szereplő termékek

Microsoft Azure

Azure Blueprints

Azure Policy

Azure Arc

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Resource Manager- (ARM-) sablonok

Összegzés

Az infrastruktúra központi eleme egy sikeres Zero Trust stratégiának. Amennyiben további információra vagy segítségre van szüksége a megvalósítással kapcsolatban, forduljon az Ügyfélsiker csapatához, vagy olvassa el az útmutató további fejezeteit, amelyek az összes Zero Trust pillért átfogják.



A Zero Trust üzembehelyezési útmutató sorozat

A bevezetés ikonja

Identitás ikonja

Végpontok ikonja

Alkalmazások ikonja

Az adatok ikonja

Infrastruktúra ikonja

Hálózatok ikonja

Láthatóság, automatizálás, vezénylés ikonja

  • Last updated on