Megosztás a következőn keresztül:

Biztonságos infrastruktúra Teljes felügyelet

  • Cikk

Az infrastruktúra egy kritikus fenyegetésvektort jelöl. A helyszíni vagy többfelhős informatikai infrastruktúra az összes hardver (fizikai, virtuális, tárolóalapú), szoftver (nyílt forráskód, első és harmadik fél, PaaS, SaaS), mikroszolgáltatások (függvények, API-k), hálózati infrastruktúra, létesítmények stb., amelyek az informatikai szolgáltatások fejlesztéséhez, teszteléséhez, kézbesítéséhez, monitorozásához, vezérléséhez vagy támogatásához szükségesek. Ez egy olyan terület, ahol a Microsoft hatalmas erőforrásokat fektetett be, hogy átfogó képességeket fejlesszen ki a jövőbeli felhő- és helyszíni infrastruktúra védelme érdekében.

A modern biztonság és a végpontok közötti Teljes felügyelet stratégia megkönnyíti az alábbiakat:

  • Verzió értékelése.
  • Konfigurációkezelés végrehajtása.
  • Just-In-Time és Just-Enough-Access (JIT/JEA) rendszergazdai jogosultságokat alkalmazhat a védelem megerősítéséhez.
  • Telemetria használatával észlelhet támadásokat és rendellenességeket.
  • A kockázatos viselkedés automatikus letiltása és megjelölése, valamint védelmi műveletek végrehajtása.

A Microsoft Azure-tervekkel és a kapcsolódó képességekkel ugyanúgy gondoskodhat arról, hogy az erőforrások a szervezeti szabályzatoknak, szabványoknak és követelményeknek megfelelő módon legyenek megtervezve, implementálva és fenntartva.

Az Azure Blueprints, az Azure Policies, a Felhőhöz készült Microsoft Defender, a Microsoft Sentinel és az Azure Sphere nagyban hozzájárulhat az üzembe helyezett infrastruktúra biztonságának javításához. Ezek együttesen lehetővé teszik az infrastruktúra meghatározásának, tervezésének, kiépítésének, üzembe helyezésének és monitorozásának más megközelítését.

Ismétlődő kördiagram öt elemből: Megfelelőség felmérése, Hiányosságok megfigyelése, Szerző, Tesztelés és Üzembe helyezés.

Az infrastruktúra Teljes felügyelet üzembehelyezési célkitűzései

Tipp.

Mielőtt a legtöbb szervezet megkezdené a Teljes felügyelet utat, az infrastruktúra biztonságának megközelítését a következők jellemzik:

  • Az engedélyeket a rendszer manuálisan kezeli a különböző környezetekben.
  • Azon virtuális gépek és kiszolgálók konfigurációkezelése, amelyeken a számítási feladatok futnak.

Az infrastruktúra felügyeletére és monitorozására szolgáló, végpontok közötti Teljes felügyelet keretrendszer implementálásakor javasoljuk, hogy először az alábbi kezdeti üzembehelyezési célkitűzésekre összpontosítson:

Lista ikon egyetlen pipával.

A rendszer figyeli az I.Számítási feladatokat, és riasztást kap a rendellenes viselkedésről.

II.Minden számítási feladathoz hozzárendelünk egy alkalmazásidentitást, és konfiguráljuk és következetesen üzembe helyezünk.

III.Az erőforrásokhoz való emberi hozzáféréshez igény szerint kell hozzáférni.

A kezdeti célkitűzések végrehajtása után a következő további üzembehelyezési célokra összpontosítson:

Lista ikon két pipával.

IV.A jogosulatlan üzemelő példányok le vannak tiltva, és a riasztás aktiválódik.

A V.Részletes láthatóság és hozzáférés-vezérlés a számítási feladatok között érhető el.

VI.Az egyes számítási feladatokhoz szegmentált felhasználói és erőforrás-hozzáférés.

Infrastruktúra Teljes felügyelet üzembe helyezési útmutatója

Ez az útmutató végigvezeti az infrastruktúra biztonságossá tételéhez szükséges lépéseken egy Teljes felügyelet biztonsági keretrendszer alapelveit követve.

Mielőtt hozzákezd, győződjön meg arról, hogy teljesítette ezeket az alapkonfigurációs infrastruktúra-telepítési célkitűzéseket.

A Microsoft-bérlő alapkonfigurációjának beállítása

Az infrastruktúra kezelésének prioritási alapkonfigurációját kell beállítani. Az olyan iparági útmutatók alkalmazásával, mint a NIST 800-53, az infrastruktúra felügyeletére vonatkozó követelmények egy készletét is levezetheti. A Microsoftnál minimális alapkonfigurációt állítottunk be a következő követelmények listájára:

  • Az adatokhoz, hálózatokhoz, szolgáltatásokhoz, segédprogramokhoz, eszközökhöz és alkalmazásokhoz való hozzáférést hitelesítési és engedélyezési mechanizmusokkal kell szabályozni.

  • Az adatokat átvitel közben és inaktív állapotban kell titkosítani.

  • A hálózati forgalom korlátozása.

  • A biztonsági csapat minden eszközre rálátást biztosít.

  • A monitorozást és a naplózást az előírt szervezeti útmutatásnak megfelelően engedélyezni és megfelelően konfigurálni kell.

  • A kártevőirtónak naprakésznek és futtathatónak kell lennie.

  • A biztonsági rések vizsgálatát és a biztonsági rések javítását az előírt szervezeti útmutatásnak megfelelően kell elvégezni.

Annak érdekében, hogy a minimális – vagy kibővített – alapkonfigurációnak megfelelően mérhessük és ösztönözhessük a megfelelőséget, először a bérlői szinten és a helyszíni környezetekben is láthatóvá teszünk egy Biztonsági olvasó szerepkört az Azure-bérlőben. A Biztonsági olvasó szerepkörrel további betekintést nyerhet Felhőhöz készült Microsoft Defender és Azure-szabályzatok segítségével, amelyek felhasználhatók iparági alapkonfigurációk (például Azure CIS, PCI, ISO 27001) vagy a szervezet által meghatározott egyéni alapkonfigurációk alkalmazására.

Az engedélyek kezelése manuálisan, különböző környezetekben

A bérlői szinttől kezdve az egyes erőforráscsoport-hirdetés-előfizetések egyes erőforrásaiig megfelelő szerepköralapú hozzáférés-vezérlőket kell alkalmazni.

Tipp.

Ismerje meg a végpontok közötti identitáskezelési Teljes felügyelet stratégia implementálását.

Azon virtuális gépek és kiszolgálók konfigurációkezelése, amelyeken számítási feladatok futnak

Ahogyan a helyszíni adatközponti környezetet is felügyeltük, azt is biztosítani kell, hogy hatékonyan kezeljük a felhőbeli erőforrásokat. Az Azure használatának előnye, hogy egyetlen platformon kezelheti az összes virtuális gépet az Azure Arc (előzetes verzió) használatával. Az Azure Arc használatával kibővítheti a biztonsági alapkonfigurációkat az Azure Policyból, a Felhőhöz készült Microsoft Defender szabályzatokból és a biztonsági pontszámok kiértékeléséből, valamint az összes erőforrás naplózását és monitorozását egy helyen. Az alábbiakban néhány műveletet talál az első lépésekhez.

Az Azure Arc implementálása (előzetes verzió)

Az Azure Arc lehetővé teszi a szervezetek számára, hogy kiterjesszék az Azure ismert biztonsági vezérlőit a helyszíni és a szervezet infrastruktúrájának peremhálózatára. Rendszergazda istratorok számos lehetőséget kínálnak a helyszíni erőforrások Azure Archoz való csatlakoztatására. Ezek közé tartozik az Azure Portal, a PowerShell és a Szolgáltatásnév parancsfájlokkal rendelkező Windows-telepítés.

További információ ezekről a technikákról.

Biztonsági alapkonfigurációk alkalmazása az Azure Policy használatával, beleértve a vendégszabályzatok alkalmazását is

A Felhőhöz készült Defender engedélyezésével az Azure Policy beépített szabályzatdefiníciói révén alapkonfiguráció-vezérlőket is beépíthet Felhőhöz készült Microsoft Defender. Az alapkonfigurációs szabályzatok halmaza megjelenik a Felhőhöz készült Defender biztonsági pontszámban, ahol mérheti a szabályzatoknak való megfelelést.

A szabályzatok hatókörét kibővítheti a Felhőhöz készült Defender beállításon túl, és egyéni szabályzatokat hozhat létre, ha egy beépített nem érhető el. Vendégkonfigurációs szabályzatokat is beépíthet, amelyek mérik a megfelelőséget a vendég virtuális gépeken belül az előfizetéseken belül.

Felhőhöz készült Defender Endpoint Protection- és sebezhetőségi felügyeleti vezérlők alkalmazása

A végpontvédelem elengedhetetlen ahhoz, hogy az infrastruktúra biztonságos és elérhető maradjon. A végpontvédelemre és a biztonságirés-kezelés vonatkozó stratégia részeként központilag meg tudja mérni a megfelelőséget annak biztosítása érdekében, hogy a kártevő-védelem engedélyezve legyen és konfigurálva legyen az Endpoint Protection felmérésével és a Felhőhöz készült Microsoft Defender ajánlásaival.

Az alapterv központosított láthatósága több előfizetésben

A bérlőolvasó-roll alkalmazásával áttekintheti a bérlőn az egyes kiértékelt szabályzatok állapotát a Felhőhöz készült Defender biztonsági pontszám, az Azure Policy és a Vendégkonfigurációs szabályzatok részeként. Ezt a szervezeti megfelelőségi irányítópulton használhatja a bérlő állapotának központi jelentéséhez.

Emellett a Defender for Servers részeként a szabályzat segítségével engedélyezheti a virtuális gépek (a Qualys által működtetett) beépített sebezhetőségi felmérési megoldását a virtuális gépek biztonsági réseinek vizsgálatához, és közvetlenül a Felhőhöz készült Defender tükrözheti őket. Ha már üzembe helyezett egy biztonságirés-ellenőrzési megoldást a vállalatnál, használhatja a másodlagos szabályzat sebezhetőségi felmérési megoldását, amelyet telepítenie kell a virtuális gépekre a partner sebezhetőségi vizsgálatára szolgáló megoldás üzembe helyezéséhez.

Tipp.

Megtudhatja, hogyan valósíthat meg végpontok végpontjaihoz Teljes felügyelet végpontokra vonatkozó, végpontok közötti Teljes felügyelet stratégiát.




Ellenőrzőlista ikon egy pipával.

Kezdeti üzembehelyezési célkitűzések

Miután teljesítette az alapinfrastruktúra célkitűzéseit, a modern infrastruktúra teljes körű Teljes felügyelet stratégiával való megvalósítására összpontosíthat.

I. A számítási feladatok monitorozása és riasztása rendellenes viselkedésre

Új infrastruktúra létrehozásakor gondoskodnia kell arról, hogy a riasztások figyelésére és emelésére vonatkozó szabályokat is megállapítson. Ez kulcsfontosságú annak azonosításához, hogy egy erőforrás mikor jelenít meg váratlan viselkedést.

Javasoljuk, hogy engedélyezze Felhőhöz készült Microsoft Defender és terveit a támogatott erőforrástípusok védelméhez, beleértve a Defender for Serverst, a Defender for Storage-t, a Tárolókhoz készült Defendert, az SQL-hez készült Defendert stb.

Az identitások monitorozásához javasoljuk, hogy engedélyezze a Microsoft Defender for Identity és az Advanced Threat Analytics használatát annak érdekében, hogy lehetővé tegye a jelgyűjtést a szervezetre irányított speciális fenyegetések, feltört identitások és rosszindulatú belső műveletek azonosítására, észlelésére és kivizsgálására.

A Felhőhöz készült Defender, a Defender for Identity, az Advanced Threat Analytics és más monitorozási és naplózási rendszerek jeleinek integrálása a Microsoft Sentinellel, amely egy natív felhőbeli, biztonsági információs eseménykezelés (SIEM) és biztonsági vezénylési automatikus válaszmegoldás, lehetővé teszi, hogy a Security Operations Center (SOC) egyetlen üvegablakból működjön a biztonsági események monitorozásához az egész ön számára Vállalati.

Tipp.

Ismerje meg a végpontok közötti identitáskezelési Teljes felügyelet stratégia implementálását.

II. Minden számítási feladathoz hozzárendel egy alkalmazás-identitást, és konfigurálva és konzisztensen üzembe helyezve

Azt javasoljuk, hogy erőforrások/számítási feladatok létrehozásakor hozzárendelt és kikényszerített szabályzatot használjon. A szabályzatok megkövetelik, hogy címkéket alkalmazzanak egy erőforrásra a létrehozáskor, erőforráscsoport-hozzárendelést írjanak elő, és korlátozzák/közvetlen műszaki jellemzőket, például az engedélyezett régiókat, a virtuálisgép-specifikációkat (például virtuálisgép-típust, lemezeket, alkalmazott hálózati házirendeket).

Tipp.

Ismerje meg, hogyan implementálhat egy végpontok közötti Teljes felügyelet stratégiát az alkalmazásokhoz.

III. Az erőforrásokhoz való emberi hozzáférés igény szerint szükséges

A személyzetnek takarékosan kell használnia a rendszergazdai hozzáférést. Ha rendszergazdai funkciókra van szükség, a felhasználóknak ideiglenes rendszergazdai hozzáférést kell kapniuk.

A szervezeteknek létre kell hozniuk a Rendszergazda istrator program védelmét. A programok jellemzői a következők:

  • A rendszergazdai engedélyekkel rendelkező felhasználók számának célzott csökkentése.
  • Emelt szintű engedélyfiókok és szerepkörök naplózása.
  • Speciális nagy értékű objektum (HVA) infrastruktúra-zónák létrehozása a felület csökkentése érdekében.
  • Speciális biztonságos Rendszergazda munkaállomások (SAW-k) biztosítása a rendszergazdák számára a hitelesítő adatok ellopásának valószínűségének csökkentése érdekében.

Ezek az elemek segítenek a szervezetnek jobban megismerni a rendszergazdai engedélyek használatát, ahol ezekre az engedélyekre továbbra is szükség van, és ütemtervet biztosít a biztonságosabb működéshez.




Ellenőrzőlista ikon két pipával.

További üzembehelyezési célkitűzések

Miután elvégezte a kezdeti három célkitűzést, további célokra összpontosíthat, például letilthatja a jogosulatlan üzembe helyezéseket.

IV. A jogosulatlan üzemelő példányok le vannak tiltva, és a riasztás aktiválódik

Amikor a szervezetek a felhőbe költöznek, a lehetőségek korlátlanok. Ez nem mindig jó dolog. Különböző okokból a szervezeteknek képesnek kell lenniük arra, hogy blokkolják a jogosulatlan üzembe helyezéseket, és riasztásokat aktiváljanak, hogy a vezetők és a vezetők értesüljenek a problémákról.

A Microsoft Azure azure-terveket kínál az erőforrások üzembe helyezésének szabályozásához, biztosítva, hogy csak jóváhagyott erőforrások (például ARM-sablonok) legyenek üzembe helyezve. A tervek biztosíthatják, hogy a terv szabályzatainak vagy egyéb szabályainak nem megfelelő erőforrások ne legyenek üzembe helyezve. A terv tényleges vagy megkísérelt megsértése szükség szerint riasztásokat hozhat létre, értesítéseket készíthet, webhookokat vagy automatizálási runbookokat aktiválhat, vagy akár szolgáltatásfelügyeleti jegyeket is létrehozhat.

V. Részletes láthatóság és hozzáférés-vezérlés érhető el a számítási feladatok között

A Microsoft Azure számos módszert kínál az erőforrások láthatóságának eléréséhez. Az Azure Portalon az erőforrás-tulajdonosok számos metrika- és naplógyűjtési és elemzési képességet állíthatnak be. Ez a láthatóság nemcsak a biztonsági műveletek betáplálására használható, hanem a számítási hatékonyság és a szervezeti célkitűzések támogatására is. Ilyenek például a virtuálisgép-méretezési csoportok, amelyek lehetővé teszik az erőforrások metrikaalapú biztonságos és hatékony horizontális felskálázását és skálázását.

A hozzáférés-vezérlési oldalon a szerepköralapú hozzáférés-vezérlés (RBAC) használható engedélyek erőforrásokhoz való hozzárendeléséhez. Ez lehetővé teszi az engedélyek egységes hozzárendelését és visszavonását az egyes és csoportszintű szinteken különböző beépített vagy egyéni szerepkörök használatával.

VI. Az egyes számítási feladatokhoz szegmentált felhasználói és erőforrás-hozzáférés

A Microsoft Azure számos módszert kínál a számítási feladatok szegmentálására a felhasználói és erőforrás-hozzáférés kezeléséhez. A hálózatszegmentálás az általános megközelítés, és az Azure-ban az erőforrások az előfizetés szintjén elkülöníthetők virtuális hálózatok (VNetek), virtuális hálózatok közötti társviszony-létesítési szabályok, hálózati biztonsági csoportok (NSG-k), alkalmazásbiztonsági csoportok (ASG-k) és Azure-tűzfalak használatával. A számítási feladatok szegmentálásának legjobb megközelítését több tervezési minta is meghatározza.

Tipp.

Megtudhatja, hogyan valósíthat meg teljes körű Teljes felügyelet stratégiát a hálózatához.

Az útmutatóban szereplő termékek

Microsoft Azure

Azure Blueprints

Azure Policy

Azure Arc

Felhőhöz készült Microsoft Defender

Microsoft Sentinel

Azure Resource Manager- (ARM-) sablonok

Összegzés

Az infrastruktúra egy sikeres Teljes felügyelet stratégia központi eleme. További információkért vagy a megvalósítással kapcsolatos segítségért forduljon az ügyfél-siker csapatához, vagy olvassa el az útmutató többi fejezetét, amely az összes Teljes felügyelet pillérre kiterjed.



A Teljes felügyelet üzembehelyezési útmutató sorozata

A bevezetés ikonja

Identitás ikonja

Végpontok ikonja

Alkalmazások ikonja

Az adatok ikonja

Infrastruktúra ikonja

Hálózatok ikonja

Láthatóság, automatizálás, vezénylés ikonja