Kontrola zabezpieczeń: bezpieczna konfiguracja

Uwaga / Notatka

Najbardziej aktualny Benchmark zabezpieczeń platformy Azure jest dostępny tutaj.

Ustanów, zaimplementuj i aktywnie zarządzaj (śledzenie, zgłaszanie, poprawianie) konfiguracji zabezpieczeń zasobów platformy Azure, aby zapobiec wykorzystywaniu przez osoby atakujące narażonych usług i ustawień.

7.1: Ustanawianie bezpiecznych konfiguracji dla wszystkich zasobów platformy Azure

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.1	5,1	Klient

Użyj aliasów usługi Azure Policy, aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji zasobów platformy Azure. Możesz również użyć wbudowanych definicji usługi Azure Policy.

Ponadto usługa Azure Resource Manager umożliwia eksportowanie szablonu w formacie JavaScript Object Notation (JSON), które należy przejrzeć, aby upewnić się, że konfiguracje spełniają /przekraczają wymagania dotyczące zabezpieczeń organizacji.

Możesz również użyć rekomendacji z usługi Azure Security Center jako punktu odniesienia bezpiecznej konfiguracji dla zasobów platformy Azure.

• Jak wyświetlić dostępne aliasy usługi Azure Policy

• Samouczek: tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

• Eksportowanie pojedynczego i wielozasobowego do szablonu w portalu Azure

• Zalecenia dotyczące zabezpieczeń — przewodnik referencyjny

7.2: Ustanawianie bezpiecznych konfiguracji systemu operacyjnego

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.2	5,1	Klient

Rekomendacje usługi Azure Security Center umożliwiają zachowanie konfiguracji zabezpieczeń we wszystkich zasobach obliczeniowych. Ponadto możesz użyć niestandardowych obrazów systemu operacyjnego lub konfiguracji stanu usługi Azure Automation w celu ustanowienia konfiguracji zabezpieczeń systemu operacyjnego wymaganego przez organizację.

• Jak monitorować zalecenia usługi Azure Security Center

• Zalecenia dotyczące zabezpieczeń — przewodnik referencyjny

• Omówienie usługi Azure Automation State Configuration

• Przesyłanie VHD i używanie go do tworzenia nowych maszyn wirtualnych z systemem Windows na platformie Azure

• Tworzenie maszyny wirtualnej z systemem Linux na podstawie dysku niestandardowego przy użyciu interfejsu wiersza polecenia platformy Azure

7.3: Obsługa bezpiecznych konfiguracji zasobów platformy Azure

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.3	5.2	Klient

Użyj usługi Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczne ustawienia w zasobach platformy Azure. Ponadto możesz użyć szablonów usługi Azure Resource Manager, aby zachować konfigurację zabezpieczeń zasobów platformy Azure wymaganych przez organizację.

• Omówienie efektów usługi Azure Policy

• Tworzenie zasad i zarządzanie nimi w celu wymuszania zgodności

• Omówienie szablonów usługi Azure Resource Manager

7.4: Obsługa bezpiecznych konfiguracji systemu operacyjnego

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7,4	5.2	Udostępniona

Postępuj zgodnie z zaleceniami usługi Azure Security Center dotyczącymi przeprowadzania ocen luk w zabezpieczeniach w zasobach obliczeniowych platformy Azure. Ponadto możesz użyć szablonów usługi Azure Resource Manager, niestandardowych obrazów systemu operacyjnego lub konfiguracji stanu usługi Azure Automation, aby zachować konfigurację zabezpieczeń systemu operacyjnego wymaganego przez organizację. Szablony maszyn wirtualnych firmy Microsoft połączone z usługą Azure Automation Desired State Configuration mogą pomóc w spełnieniu i zachowaniu wymagań dotyczących zabezpieczeń.

Należy również pamiętać, że obrazy maszyn wirtualnych witryny Azure Marketplace opublikowane przez firmę Microsoft są zarządzane i obsługiwane przez firmę Microsoft.

• Jak zaimplementować zalecenia dotyczące oceny luk w zabezpieczeniach usługi Azure Security Center

• Jak utworzyć maszynę wirtualną platformy Azure na podstawie szablonu usługi Azure Resource Manager

• Omówienie usługi Azure Automation State Configuration

• Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal

• Informacje na temat pobierania szablonu maszyny wirtualnej

• Przykładowy skrypt umożliwiający przekazanie wirtualnego dysku twardego na platformę Azure i utworzenie nowej maszyny wirtualnej

7.5: Bezpieczne przechowywanie konfiguracji zasobów platformy Azure

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.5	5.3	Klient

Użyj usługi Azure DevOps, aby bezpiecznie przechowywać kod, taki jak niestandardowe zasady platformy Azure, szablony usługi Azure Resource Manager i skrypty żądanego stanu. Aby uzyskać dostęp do zasobów zarządzanych w usłudze Azure DevOps, możesz udzielić lub odmówić uprawnień określonym użytkownikom, wbudowanym grupom zabezpieczeń lub grupom zdefiniowanym w usłudze Azure Active Directory (Azure AD), jeśli są zintegrowane z usługą Azure DevOps lub Active Directory, jeśli są zintegrowane z programem TFS.

• Jak przechowywać kod w usłudze Azure DevOps

• Informacje o uprawnieniach i grupach w usłudze Azure DevOps

7.6: Bezpieczne przechowywanie niestandardowych obrazów systemu operacyjnego

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.6	5.3	Klient

W przypadku używania obrazów niestandardowych użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby zapewnić, że tylko autoryzowani użytkownicy będą mogli uzyskiwać dostęp do obrazów. Korzystając z galerii obrazów udostępnionych, możesz udostępniać obrazy różnym użytkownikom, jednostkom usługi lub grupom usługi AD w organizacji. W przypadku obrazów kontenerów przechowuj je w usłudze Azure Container Registry i stosuj Azure RBAC (kontrolę dostępu opartą na rolach), aby zapewnić, że tylko autoryzowani użytkownicy mogą uzyskiwać dostęp do obrazów.

• Zrozumienie kontroli dostępu opartej na rolach platformy Azure

• Zrozumienie kontroli dostępu opartej na rolach Azure dla Azure Container Registry

• Jak skonfigurować kontrolę dostępu opartą na rolach Azure

• Omówienie galerii obrazów udostępnionych

7.7: Wdrażanie narzędzi do zarządzania konfiguracją dla zasobów platformy Azure

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.7	5.4	Klient

Definiowanie i implementowanie standardowych konfiguracji zabezpieczeń dla zasobów platformy Azure przy użyciu usługi Azure Policy. Użyj aliasów usługi Azure Policy, aby utworzyć zasady niestandardowe do inspekcji lub wymuszania konfiguracji sieci zasobów platformy Azure. Możesz również korzystać z wbudowanych definicji zasad związanych z określonymi zasobami. Ponadto możesz użyć usługi Azure Automation do wdrożenia zmian konfiguracji.

• Jak skonfigurować usługę Azure Policy i zarządzać nią

• Jak używać aliasów

7.8: Wdrażanie narzędzi do zarządzania konfiguracją dla systemów operacyjnych

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7,8	5.4	Klient

Usługa Azure Automation State Configuration to usługa zarządzania konfiguracją dla węzłów Desired State Configuration (DSC) w dowolnej chmurze lub lokalnym centrum danych. Można łatwo dołączać maszyny, przypisywać je konfiguracje deklaratywne i wyświetlać raporty pokazujące zgodność poszczególnych maszyn z określonym stanem.

• Dołączanie maszyn do zarządzania przez usługę Azure Automation State Configuration

7.9: Implementowanie zautomatyzowanego monitorowania konfiguracji dla zasobów platformy Azure

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7,9	5,5	Klient

Użyj usługi Azure Security Center, aby przeprowadzić skanowanie punktów odniesienia dla zasobów platformy Azure. Ponadto użyj usługi Azure Policy, aby otrzymywać alerty i przeprowadzać inspekcję konfiguracji zasobów platformy Azure.

• Jak skorygować zalecenia w usłudze Azure Security Center

7.10: Implementowanie zautomatyzowanego monitorowania konfiguracji dla systemów operacyjnych

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.10	5,5	Klient

Użyj usługi Azure Security Center do przeprowadzania skanowania linii bazowej dla systemu operacyjnego i ustawień platformy Docker dla kontenerów.

• Omówienie zaleceń dotyczących kontenerów usługi Azure Security Center

7.11: Bezpieczne zarządzanie sekretami platformy Azure

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.11	13.1	Klient

Użyj tożsamości usługi zarządzanej w połączeniu z usługą Azure Key Vault, aby uprościć i zabezpieczyć zarządzanie tajnymi danymi dla aplikacji w chmurze.

• Jak zintegrować z tożsamościami zarządzanymi platformy Azure

• Jak utworzyć usługę Key Vault

• Jak uwierzytelniać się w usłudze Key Vault

• Jak przypisać zasady dostępu do usługi Key Vault

7.12: Bezpieczne i automatyczne zarządzanie tożsamościami

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.12	4.1	Klient

Użyj tożsamości zarządzanych, aby zapewnić usługom platformy Azure automatyczną tożsamość zarządzaną w usłudze Azure AD. Zarządzane tożsamości umożliwiają uwierzytelnianie w dowolnej usłudze, która obsługuje uwierzytelnianie za pomocą Azure AD, w tym w usłudze Key Vault, bez użycia poświadczeń w kodzie.

• Jak skonfigurować tożsamości zarządzane

7.13: Eliminowanie niezamierzonego ujawnienia poświadczeń

Identyfikator Azure	Identyfikatory CIS	Odpowiedzialność
7.13	18.1, 18.7	Klient

Zaimplementuj skaner poświadczeń, aby zidentyfikować poświadczenia w kodzie. Skaner poświadczeń zachęca również do przenoszenia odnalezionych poświadczeń do bezpieczniejszych lokalizacji, takich jak usługa Azure Key Vault.

• Jak skonfigurować skaner poświadczeń

Dalsze kroki

• Zobacz następną kontrolę zabezpieczeń: ochrona przed złośliwym oprogramowaniem