Bevezetés a Microsoft kiberbiztonsági referenciaarchitektúrájába és a felhőbiztonsági teljesítménytesztbe
Ez a modul a kiberbiztonsági képességek és -vezérlések ajánlott eljárásait ismerteti, amelyek elengedhetetlenek a támadók sikeres támadásainak kockázatának csökkentéséhez.
Tanulási célkitűzések
Ebben a modulban megtanulhatja, hogyan:
- A microsoftos kiberbiztonsági referenciaarchitektúra (MCRA) használatával biztonságosabb megoldásokat tervezhet.
- A Microsoft felhőbiztonsági benchmark (MCSB) használatával biztonságosabb megoldásokat tervezhet.
A modul tartalma segít felkészülni az SC-100: Microsoft Cybersecurity Architect minősítési vizsgára.
Előfeltételek
- A biztonsági szabályzatok, követelmények, a zéró megbízhatósági architektúra és a hibrid környezetek felügyeletének elméleti ismerete
- Munkatapasztalat a zéró megbízhatósági stratégiákkal, a biztonsági szabályzatok alkalmazásával és az üzleti célokon alapuló biztonsági követelmények kidolgozásával
Az MCRA áttekintése
A Microsoft kiberbiztonsági referenciaarchitektúrái (MCRA) a Microsoft kiberbiztonsági képességeit leíró műszaki diagramok. A diagramok azt mutatják be, hogyan integrálhatók a Microsoft biztonsági képességei az alábbiakkal:
- Microsoft-platformok, például a Microsoft 365 és a Microsoft Azure
- Külső alkalmazások, például a ServiceNow és a salesforce
- Külső platformok, például az Amazon Web Services (AWS) és a Google Cloud Platform (GCP)
Az MCRA a következő témakörök diagramjait tartalmazza:
- A Microsoft kiberbiztonsági képességei
- Teljes felügyelet és Teljes felügyelet gyors modernizációs terv (RaMP)
- Nulla megbízhatósági felhasználói hozzáférés
- Biztonsági műveletek
- Működési technológia (OT)
- Többfelhős és platformfüggetlen funkciók
- Támadási lánc lefedettsége
- Natív Azure-biztonsági vezérlők
- Biztonsági szervezeti funkciók
Az MCSB áttekintése
Az új szolgáltatások és funkciók naponta jelennek meg az Azure-ban és más felhőplatformokon. A fejlesztők gyorsan közzétenek új, ezekre a szolgáltatásokra épülő felhőalapú alkalmazásokat, és a támadók folyamatosan új módszereket keresnek a helytelenül konfigurált erőforrások kihasználására. A felhő gyorsan mozog, a fejlesztők gyorsan mozognak, és a támadók is gyorsan mozognak. Hogyan tarthatja fenn a lépést, és hogyan győződhet meg arról, hogy a felhőbeli üzemelő példányok biztonságosak? Miben különböznek a felhőrendszerek biztonsági eljárásai a helyszíni rendszerektől és a felhőszolgáltatóktól? Hogyan figyelheti a számítási feladatokat a több felhőplatform konzisztenciájára vonatkozóan?
A Microsoft úgy találta, hogy a biztonsági teljesítménytesztek használatával gyorsan biztonságossá teheti a felhőbeli üzemelő példányokat. A felhőszolgáltatók átfogó biztonsági ajánlott eljárásának keretrendszere kiindulópontként szolgál a felhőkörnyezet adott biztonsági konfigurációs beállításainak kiválasztásához több szolgáltató között, és lehetővé teszi a konfigurációk monitorozását egyetlen üvegpanel használatával.
Biztonsági vezérlők
A vezérlőelem egy javasolt funkció vagy tevékenység magas szintű leírása, amelyet meg kell oldani. A vezérlők nem egy technológiára vagy megvalósításra vonatkoznak. A biztonsági ellenőrzési javaslatok több felhőbeli számítási feladatra is alkalmazhatók. Az egyes vezérlők számozottak, és az ellenőrzés javaslatai azonosítják azoknak az érdekelt feleknek a listáját, akik általában részt vesznek a referenciamutató tervezésében, jóváhagyásában vagy megvalósításában.
MCSB-vezérlési tartományok/vezérlőcsaládok
Az MCSB-vezérlők "családokba" vagy "tartományokba" vannak csoportosítva. Az alábbi táblázat az MCSB biztonsági vezérlő tartományait foglalja össze:
| Tartományok vezérlése | Leírás |
|---|---|
| Hálózati biztonság (NS) | A hálózatbiztonság magában foglalja a hálózatok védelmét és védelmét szolgáló vezérlőket, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létrehozását, a külső támadások megelőzését és enyhítését, valamint a DNS védelmét. |
| Identitáskezelés (IM) | Az Identity Management magában foglalja a biztonságos identitás- és hozzáférés-vezérlés identitás- és hozzáférés-kezelési rendszerek használatával történő létrehozását, beleértve az egyszeri bejelentkezés, az erős hitelesítések, a felügyelt identitások (és szolgáltatásnevek) alkalmazását, a feltételes hozzáférést és a fiók anomáliáinak monitorozását. |
| Privileged Access (PA) | A Privileged Access a bérlőhöz és az erőforrásokhoz való emelt szintű hozzáférés védelmét szolgáló vezérlőket foglalja magában, beleértve a felügyeleti modell, a rendszergazdai fiókok és a kiemelt hozzáférési munkaállomások szándékos és véletlen kockázattal szembeni védelmét szolgáló vezérlőket. |
| Adatvédelem (DP) | Az Adatvédelem magában foglalja az inaktív, a tranzit és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelem ellenőrzését, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással, kulcskezeléssel és tanúsítványkezeléssel. |
| Eszközkezelés (AM) | Az Eszközkezelés olyan vezérlőket tartalmaz, amelyek biztosítják az erőforrások biztonsági láthatóságát és szabályozását. Ez magában foglalja a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltározás, nyomon követés és javítás). |
| Naplózás és fenyegetésészlelés (LT) | A naplózás és a fenyegetésészlelés a felhőbeli fenyegetések észlelésére szolgáló vezérlőket, valamint a felhőszolgáltatások naplózási naplóinak engedélyezését, gyűjtését és tárolását foglalja magában, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését olyan vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel a felhőszolgáltatásokban; Ez magában foglalja a naplók felhőmonitorozási szolgáltatással való gyűjtését, a biztonsági elemzés SIEM-sel való központosítását, az időszinkronizálást és a naplómegőrzést. |
| Incidenskezelés (IR) | Az incidenskezelés kiterjed az incidenskezelés életciklusának vezérlőire – előkészítésre, észlelésre és elemzésre, elszigetelésre és incidens utáni tevékenységekre, beleértve az Azure-szolgáltatások (például Felhőhöz készült Microsoft Defender és Sentinel) és/vagy más felhőszolgáltatások használatát az incidenskezelési folyamat automatizálására. |
| Testtartás- és biztonságirés-kezelés (PV) | A Testure and Vulnerability Management a felhőbeli biztonsági helyzet felmérésére és javítására szolgáló vezérlőkre összpontosít, beleértve a sebezhetőségi vizsgálatokat, a behatolástesztelést és a szervizelést, valamint a felhőbeli erőforrások biztonsági konfigurációjának nyomon követését, jelentéskészítését és javítását. |
| Végpontbiztonság (ES) | Az Endpoint Security a végponti észlelés és reagálás vezérlőit tartalmazza, beleértve a végponti észlelés és reagálás (Végponti észlelés és reagálás) és a kártevőirtó szolgáltatást a felhőkörnyezetek végpontjaihoz. |
| Biztonsági mentés és helyreállítás (BR) | A biztonsági mentési és helyreállítási fedelek vezérlői biztosítják, hogy a különböző szolgáltatási szinteken lévő adatok és konfigurációs biztonsági mentések végrehajtása, érvényesítése és védelme biztosított legyen. |
| DevOps Security (DS) | A DevOps Security a DevOps-folyamatok biztonsági tervezéséhez és műveleteihez kapcsolódó vezérlőket foglalja magában, beleértve a kritikus biztonsági ellenőrzések (például a statikus alkalmazások biztonsági tesztelése, biztonságirés-kezelés) üzembe helyezését az üzembe helyezési fázis előtt a DevOps-folyamat biztonságának biztosítása érdekében; olyan gyakori témaköröket is tartalmaz, mint a fenyegetésmodellezés és a szoftverellátás biztonsága. |
| Irányítás és stratégia (GS) | Az irányítás és a stratégia útmutatást nyújt egy koherens biztonsági stratégia és dokumentált szabályozási megközelítés biztosításához a biztonság biztosításához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségeinek megállapítását, az egységes műszaki stratégiát, valamint a támogató szabályzatokat és szabványokat. |
Szolgáltatási alapkonfigurációk
A biztonsági alapkonfigurációk az Azure-termékajánlatok szabványosított dokumentumai, amelyek ismertetik a rendelkezésre álló biztonsági képességeket és az optimális biztonsági konfigurációkat, amelyek továbbfejlesztett eszközkezelési, nyomkövetési és biztonsági funkciókkal segítik a biztonságot. Jelenleg csak az Azure szolgáltatáskonfigurációi érhetők el.
Az Azure biztonsági alapkonfigurációi az Azure-környezetek felhőalapú vezérlési területeire összpontosítanak. Ezek a vezérlők összhangban vannak a jól ismert iparági szabványokkal, például: Center for Internet Security (CIS) vagy National Institute for Standards in Technology (NIST). Alapkonfigurációink útmutatást nyújtanak a Microsoft felhőbiztonsági benchmark 1-ben felsorolt szabályozási területeihez.
Minden alapterv a következő összetevőkből áll:
- Hogyan viselkedik egy szolgáltatás?
- Mely biztonsági funkciók érhetők el?
- Milyen konfigurációk ajánlottak a szolgáltatás biztonságossá tételéhez?
A Microsoft felhőbiztonsági benchmarkjének implementálása
- Tervezze meg az MCSB-implementációt a vállalati vezérlők és szolgáltatásspecifikus alapkonfigurációk dokumentációjának áttekintésével, hogy megtervezze a szabályozási keretrendszert, és hogyan képezze le azokat olyan útmutatásokhoz, mint a Center for Internet Security (CIS) Controls, a National Institute of Standards and Technology (NIST) és a Payment Card Industry Data Security Standard (PCI-DSS) keretrendszer.
- Monitorozza az MCSB-állapotnak (és egyéb vezérlőkészleteknek) való megfelelést a Felhőhöz készült Microsoft Defender – Szabályozási megfelelőségi irányítópult használatával a többfelhős környezethez.
- Védőkorlátokat hozhat létre a biztonságos konfigurációk automatizálásához és az MCSB-nek (és a szervezet egyéb követelményeinek) való megfelelés kényszerítéséhez olyan funkciók használatával, mint az Azure Blueprints, az Azure Policy vagy más felhőplatformok egyenértékű technológiái.
Gyakori alkalmazási helyzetek
A Microsoft felhőbiztonsági teljesítménytesztje gyakran használható a következő ügyfelek vagy szolgáltatáspartnerek gyakori kihívásainak megoldására:
- Az Azure újdonságai (és más nagyobb felhőplatformok, például az AWS), és biztonsági ajánlott eljárásokat keresnek a felhőszolgáltatások biztonságos üzembe helyezésének és saját alkalmazásterhelésének biztosításához.
- A meglévő felhőbeli üzemelő példányok biztonsági helyzetének javítása a legfontosabb kockázatok és kockázatcsökkentések rangsorolása érdekében.
- Többfelhős környezetek (például az Azure és az AWS) használata, valamint a biztonsági vezérlés monitorozásának és kiértékelésének egyetlen üvegablak használatával történő igazítása során jelentkező kihívások.
- Az Azure (és más nagyobb felhőplatformok, például az AWS) biztonsági funkcióinak/képességeinek kiértékelése a szolgáltatás(ok) felhőszolgáltatás-katalógusba való bevezetése/jóváhagyása előtt.
- Meg kell felelniük a szigorúan szabályozott iparágak, például a kormányzati, a pénzügyi és az egészségügyi ágazat megfelelőségi követelményeinek. Ezeknek az ügyfeleknek biztosítaniuk kell az Azure és más felhők szolgáltatáskonfigurációit, hogy megfeleljenek a keretrendszerben meghatározott biztonsági specifikációnak, például a CIS-nek, a NIST-nek vagy a PCI-nek. Az MCSB hatékony megközelítést biztosít az ezen iparági referenciamutatókhoz már előre leképezett vezérlőkkel.
Terminológia
A Microsoft felhőbiztonsági referenciadokumentációjában gyakran használják a "control" és az "alapkonfiguráció" kifejezéseket. Fontos megérteni, hogy az MCSB hogyan használja ezeket a kifejezéseket.
| Időszak | Leírás | Példa |
|---|---|---|
| Vezérlő | A vezérlők egy olyan funkció vagy tevékenység magas szintű leírása, amelyet kezelni kell, és nem egy technológiára vagy megvalósításra jellemző. | Az Adatvédelem az egyik biztonsági vezérlőcsalád. Az Adatvédelem konkrét műveleteket tartalmaz, amelyeket meg kell oldani az adatok védelmének biztosításához. |
| Alapkonfiguráció | Az alapkonfiguráció az egyes Azure-szolgáltatások vezérlőjének implementálása. Minden szervezet egy teljesítményteszt-javaslatot diktál, és megfelelő konfigurációkra van szükség az Azure-ban. Megjegyzés: Jelenleg csak az Azure szolgáltatáskonfigurációi érhetők el. | A Contoso vállalat úgy tűnik, hogy az Azure SQL biztonsági funkcióinak engedélyezéséhez kövesse az Azure SQL biztonsági alapkonfigurációjában javasolt konfigurációt. |