Ochrona zasobów platformy Azure przed destrukcyjnymi atakami cybernetycznymi

Ten artykuł zawiera kroki stosowania zasad zero trust w celu ochrony zasobów platformy Microsoft Azure przed destrukcyjnymi atakami cybernetycznymi w następujący sposób:

Zasada zerowego zaufania	Definicja
Jawną weryfikację	Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych.
Używanie dostępu z jak najmniejszą liczbą uprawnień	Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.
Zakładanie naruszeń zabezpieczeń	Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. Ulepszanie ochrony za pomocą blokad zasobów, kopii zapasowych i odzyskiwania po awarii dla maszyn wirtualnych, ochrony danych i usług dostępności danych oraz ochrony infrastruktury odzyskiwania, usług opartych na konfiguracji oraz automatyzacji platformy i narzędzi DevOps. W przypadku wykrywania zagrożeń użyj usługi Microsoft Sentinel i zaawansowanego wykrywania wielu scenariuszy i przygotuj plany reagowania na zdarzenia dla zasobów platformy Azure.

Ten artykuł zawiera wskazówki dotyczące wykonywania następujących instrukcji:

• Ochrona zasobów platformy Microsoft Azure przed destrukcyjnymi atakami cybernetycznymi.
• Wykrywaj cyberataki, gdy wystąpią.
• Jak reagować na nie.

Ten artykuł jest przeznaczony dla implementacji technicznych w celu obsługi scenariusza biznesowego Implementowanie zapobiegania naruszeniom zabezpieczeń i odzyskiwania infrastruktury Zero Trust.

Architektura odwołań

Na poniższej ilustracji przedstawiono architekturę referencyjną dla tych wskazówek zero trust z grupami dla każdej kategorii ochrony.

To środowisko platformy Azure obejmuje następujące elementy:

Składnik	opis
A	Maszyny wirtualne i ich pliki
B	Usługi danych i ich dane
C	Infrastruktura odzyskiwania, w tym pliki i szablony oraz skrypty automatyzacji
D	Usługi oparte na konfiguracji
E	Automatyzacja platformy i narzędzia DevOps (nie są wyświetlane)

Zadania ochrony każdego typu zasobu zostały szczegółowo opisane w kroku 1 tego artykułu.

Co znajduje się w tym artykule?

W tym artykule przedstawiono procedurę stosowania zasad zero trust w architekturze referencyjnej.

Krok	Zadanie
1	Skonfiguruj ochronę przed cyberatakami.
2	Konfigurowanie wykrywania cyberataków.
3	Przygotuj plany reagowania na zdarzenia.

Krok 1. Konfigurowanie ochrony przed cyberatakami

Wiele organizacji implementuje rozwiązania do tworzenia kopii zapasowych i odzyskiwania po awarii dla maszyn wirtualnych platformy Azure w ramach procesu migracji. Możesz na przykład użyć rozwiązań natywnych platformy Azure lub zdecydować się na korzystanie z własnych rozwiązań innych firm dla ekosystemu chmury.

Ochrona maszyn wirtualnych i ich aplikacji i danych jest ważna, ale ważne jest również rozszerzenie zakresu ochrony poza maszyny wirtualne. Ta sekcja zawiera podział zagadnień i zaleceń dotyczących ochrony różnych typów zasobów na platformie Azure przed destrukcyjnym cyberatakiem.

Oprócz zagadnień specyficznych dla usługi należy rozważyć użycie blokad zasobów, aby zapobiec usunięciu usług przez ochronę płaszczyzny zarządzania. Blokady zasobów umożliwiają również renderowanie zasobów tylko do odczytu. Blokady zasobów współpracują z kontrolowanym dostępem, aby zmniejszyć prawdopodobieństwo zniszczenia zasobów platformy Azure w cyberataku, uniemożliwiając ich modyfikację lub zniszczenie.

Aby zapobiec tworzeniu nieoczekiwanych wyników przez blokady zasobów, należy przejrzeć zagadnienia przed zastosowaniem blokad, aby upewnić się, że stosujesz blokady do odpowiednich zasobów w sposób, który nadal pozwala im działać. Na przykład zablokowanie sieci wirtualnej zamiast całej grupy zasobów może uniemożliwić zbyt restrykcyjne blokowanie innych zasobów w grupie zasobów. Ze względu na te zagadnienia należy określić priorytety blokujące zasoby, które w przypadku zmiany lub usunięcia spowodują największe zakłócenia.

Blokady mogą również mieć pewne zagadnienia dotyczące celów czasu odzyskiwania dla obciążeń w trybie failover. Plan odzyskiwania po awarii powinien uwzględniać blokady i należy przeprowadzić przetestowaną procedurę usuwania blokad w kontrolowany sposób. Musisz wytrenować administratorów i pracowników SecOps, aby dowiedzieć się, jak zarządzać blokadami w ramach codziennych operacji i scenariuszy awaryjnych.

Administratorzy z dostępem do usuwania blokad powinny być ograniczone i powinny obejmować dostęp JIT, taki jak udostępniony w usłudze Microsoft Entra Privileged Identity Management. Dostęp do zmian blokad zasobów jest kontrolowany za pomocą zakresu Microsoft.Authorization/locks/* i nie powinien być udzielany w ramach stałego dostępu.

Odp. Ochrona maszyn wirtualnych

W przypadku obciążeń opartych na maszynach wirtualnych, w tym zestawów skalowania i klastrów Kubernetes, należy zaplanować dwie warstwy ochrony oprócz używania blokad zasobów na płaszczyźnie zarządzania.

Najpierw należy zaplanować tworzenie kopii zapasowych danych z maszyn wirtualnych, aby można było przywrócić utracone dane w przypadku wystąpienia ataku, w tym usługi Azure Kubernetes Service (AKS). Należy również chronić dane kopii zapasowej przed atakiem przy użyciu kontrolek usuwania nietrwałego. Aby uzyskać informacje na temat konfigurowania kopii zapasowych, zobacz:

• Tworzenie i konfigurowanie magazynu usługi Recovery Services
• Tworzenie kopii zapasowej maszyny wirtualnej na platformie Azure
• Konfigurowanie kopii zapasowej dla klastra usługi Azure Kubernetes Service
• Tworzenie kopii zapasowych i odzyskiwanie dla usługi AKS
• Plan tworzenia kopii zapasowych i przywracania w celu ochrony przed oprogramowaniem wymuszającym okup
• Usuwanie nietrwałe dla usługi Azure Backup

Po drugie, należy zaplanować możliwość przywrócenia serwera do nowej lokalizacji, gdy zostanie zaatakowana podstawowa infrastruktura w twoim regionie. Aby uzyskać informacje na temat konfigurowania replikacji na maszynach wirtualnych, zobacz Konfigurowanie odzyskiwania po awarii dla maszyn wirtualnych platformy Azure. Obejmuje to konfigurację aplikacji i ustawień zasobów używanych podczas pracy w trybie failover.

Ważne

W przypadku korzystania z usługi Azure Site Recovery dla maszyn wirtualnych będących częścią zestawu skalowania maszyn wirtualnych można replikować stan maszyny wirtualnej. Jednak replikowane urządzenia nie będą obsługiwać skalowania.

W przypadku niektórych obciążeń opartych na maszynach wirtualnych, takich jak klastry Kubernetes, rzeczywisty stan serwerów nie może być replikowany za pośrednictwem usługi Azure Site Recovery. Mogą być potrzebne inne rozwiązania, takie jak konfiguracja aktywna/pasywna.

B. Ochrona usług danych

Usługi danych to nieformalna kolekcja usług, które zawierają dane niezbędne dla operacji, ale sam zasób nie jest tak ważny. Na przykład istnieje niewielka różnica między dwoma kontami magazynu skonfigurowanymi w taki sam sposób i hostowanie tych samych danych.

Usługi danych różnią się od maszyn wirtualnych, które mogą mieć konfiguracje systemu operacyjnego niezależnie od uruchomionych aplikacji i niezależnie od konfiguracji płaszczyzny zarządzania. W związku z tym te usługi:

• Często zawierają własne narzędzia trybu failover, takie jak możliwość replikacji konta magazynu do innego regionu w ramach warstw magazynu geograficznie nadmiarowego (GRS).
• Należy wziąć pod uwagę, jak chronić dane przed atakami i udostępniać je ponownie w przypadku ataku.

Poniższa tabela zawiera informacje o ochronie danych i dostępności dla powszechnie używanych usług, ale należy zbadać dokumentację produktu poszczególnych usług, aby zrozumieć dostępne opcje.

Usługa	Ochrona danych	Dostępność danych
Azure Files	Tworzenie kopii zapasowych udziałów plików platformy Azure Zapobieganie przypadkowemu usunięciu udziałów plików platformy Azure	Włączanie usuwania nietrwałego w udziałach plików platformy Azure
Azure Blob Storage	Włączanie przywracania do punktu w czasie na danych obiektów blob Przechowywanie danych obiektów blob kluczowych dla działalności za pomocą magazynu niezmiennego	Omówienie ochrony danych dla obiektu blob platformy Azure Włączanie usunięcia nietrwałego dla kontenerów i zarządzanie nim Włączanie usuwania nietrwałego dla obiektów blob
Azure SQL database	Automatyczne kopie zapasowe w usłudze Azure SQL Database	Aktywna replikacja geograficzna Grupy trybu failover dla usługi Azure SQL Database
Wystąpienia zarządzane SQL	Automatyczne kopie zapasowe w usłudze Azure SQL Managed Instance	Grupy trybu failover dla usługi Azure SQL Managed Instance
SQL na maszynach wirtualnych platformy Azure	Tworzenie kopii zapasowych i przywracanie dla programu SQL Server na maszynach wirtualnych platformy Azure	Wystąpienia klastra trybu failover z programem SQL Server na maszynach wirtualnych platformy Azure
Magazyny kluczy	Tworzenie i przywracanie kopii zapasowej usługi Azure Key Vault	Włączanie ochrony przed usuwaniem nietrwałym i przeczyszczaniem dla magazynów kluczy Dostępność i nadmiarowość usługi Azure Key Vault

Ostrzeżenie

Niektóre scenariusze odzyskiwania konta magazynu nie są obsługiwane. Aby uzyskać więcej informacji, zobacz Odzyskiwanie magazynu nieobsługiwane.

C. Ochrona infrastruktury odzyskiwania

Oprócz ochrony zasobów na obciążeniach należy również chronić zasoby, których używasz do przywracania funkcji po przerwie, takich jak dokumentacja procedur odzyskiwania i skrypty konfiguracji i szablony. Jeśli osoby atakujące mogą atakować infrastrukturę odzyskiwania i zakłócać jej działanie, całe środowisko może zostać naruszone, co prowadzi do znacznych opóźnień w odzyskiwaniu po ataku i pozostawieniu organizacji podatnej na ataki wymuszające okup.

W przypadku danych chronionych przez usługę Azure Backup użycie usuwania nietrwałego na potrzeby usługi Azure Backup umożliwia odzyskanie danych kopii zapasowej nawet w przypadku usunięcia. Ponadto rozszerzone usuwanie nietrwałe wymusza przypisanie usuwania nietrwałego i umożliwia zdefiniowanie okresu przechowywania.

Aby dodatkowo zwiększyć bezpieczeństwo, zaimplementuj autoryzację wielu użytkowników (MUA) dla operacji krytycznych, co wymaga, aby co najmniej dwóch użytkowników zatwierdzało operacje krytyczne przed wykonaniem. Spowoduje to dodanie dodatkowej warstwy zabezpieczeń, zapewniając, że żaden pojedynczy użytkownik, a zatem osoba atakująca z tylko jednym kontem użytkownika, może naruszyć integralność kopii zapasowej. Włącz i skonfiguruj usługę MUA , aby chronić zasady tworzenia kopii zapasowych przed nieautoryzowanymi zmianami i usunięciami.

Usługę Azure Site Recovery można chronić za pomocą blokad zasobów i dostępu JEA/JIT, aby zapobiec nieautoryzowanemu dostępowi i wykrywaniu, gdy zasoby są zagrożone.

Podczas replikowania maszyn wirtualnych za pomocą usługi Azure Site Recovery, które zostały zaszyfrowane przy użyciu usługi Azure Disk Encryption (ADE) lub kluczy zarządzanych przez klienta (CMK), upewnij się, że klucze szyfrowania są przechowywane w usłudze Azure Key Vault dla regionu docelowego. Przechowywanie kluczy w regionie docelowym ułatwia bezproblemowy dostęp do kluczy po przejściu w tryb failover i zapewnia ciągłość zabezpieczeń danych. Aby chronić usługę Azure Key Vault przed destrukcyjnymi cyberatakami, włącz zaawansowane funkcje ochrony przed zagrożeniami, takie jak usuwanie nietrwałe i ochrona przed przeczyszczeniem.

Aby uzyskać szczegółowe wskazówki dotyczące replikacji zaszyfrowanych maszyn wirtualnych, zobacz następujące artykuły:

• Replikacja maszyn wirtualnych chronionych przez usługę ADE
• Replikacja maszyn wirtualnych z dyskami CMK

D. Ochrona usług opartych na konfiguracji

Usługi oparte na konfiguracji to usługi platformy Azure, które nie mają danych poza konfiguracją na płaszczyźnie zarządzania. Te zasoby są zazwyczaj oparte na infrastrukturze i są podstawowymi usługami obsługującymi obciążenia. Przykłady obejmują sieci wirtualne, moduły równoważenia obciążenia, bramy sieci i bramy aplikacji.

Ponieważ te usługi są bezstanowe, nie ma danych operacyjnych do ochrony. Najlepszą opcją ochrony tych usług jest posiadanie szablonów wdrażania infrastruktury jako kodu (IaC), takich jak Bicep, które mogą przywrócić stan tych usług po ataku destrukcyjnym. Można również używać skryptów dla wdrożeń, ale wdrożenia IaC działają lepiej, aby przywrócić funkcjonalność w istniejącym środowisku, w którym ma to wpływ tylko na kilka usług.

Tak długo, jak zasób skonfigurowany w taki sam sposób można wdrożyć, usługi mogą nadal działać. Zamiast próbować tworzyć kopie zapasowe i obsługiwać kopie tych zasobów, możesz użyć wdrożenia programowego, aby odzyskać kopię zapasową po ataku.

Aby uzyskać więcej informacji na temat korzystania z IaC, zobacz Zalecenia dotyczące używania infrastruktury jako kodu.

E. Ochrona automatyzacji platformy i narzędzi DevOps

Jeśli używasz wdrożeń programistycznych lub innych typów automatyzacji, należy również zabezpieczyć zasoby narzędzi automatyzacji platformy i metodyki DevOps. Aby zapoznać się z przykładami dotyczącymi ochrony infrastruktury wdrażania, zobacz Zabezpieczanie potoków ciągłej integracji/ciągłego wdrażania metodyki DevOps i zalecenia dotyczące zabezpieczania cyklu projektowania.

Należy jednak również zaplanować ochronę samego kodu, który różni się w zależności od używanych narzędzi kontroli źródła. Na przykład usługa GitHub zawiera instrukcje dotyczące tworzenia kopii zapasowej repozytorium dla repozytoriów kodu źródłowego.

Należy również przejrzeć określone usługi, aby określić, jak najlepiej chronić kod źródłowy i potoki przed atakiem i zniszczeniem.

W przypadku składników, takich jak agenci kompilacji hostowani na maszynach wirtualnych, można użyć odpowiedniego planu ochrony opartego na maszynach wirtualnych, aby upewnić się, że agenci są dostępni w razie potrzeby.

Krok 2. Konfigurowanie wykrywania cyberataków

Aby wykryć ataki na infrastrukturę platformy Azure, zacznij od Microsoft Defender dla Chmury, natywnej dla chmury platformy ochrony aplikacji (CNAPP), która składa się z środków zabezpieczeń i praktyk, które są przeznaczone do ochrony aplikacji opartych na chmurze przed różnymi zagrożeniami cybernetycznymi i lukami w zabezpieczeniach.

Defender dla Chmury, w połączeniu z dodatkowymi planami składników platformy Azure, zbiera sygnały ze składników platformy Azure i zapewnia określone zabezpieczenia serwerów, kontenerów, magazynu, baz danych i innych obciążeń.

Na poniższym diagramie przedstawiono przepływ informacji o zdarzeniach zabezpieczeń z usług platformy Azure za pośrednictwem Defender dla Chmury i usługi Microsoft Sentinel.

Na rysunku:

• Usługi platformy Azure wysyłają sygnały do Microsoft Defender dla Chmury.
• Microsoft Defender dla Chmury z dodatkowymi planami, takimi jak defender for Servers, analizuje sygnały pod kątem rozszerzonego wykrywania zagrożeń i wysyła dane zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) do usługi Microsoft Sentinel.
• Usługa Microsoft Sentinel używa danych SIEM do wykrywania, badania, reagowania i proaktywnego wyszukiwania zagrożeń cybernetycznych.

Po lepszej ochronie zasobów platformy Azure za pomocą zaleceń opisanych w kroku 1 tego artykułu musisz mieć plan wykrywania destrukcyjnych cyberataków przy użyciu usługi Microsoft Sentinel. Punktem wyjścia jest użycie zaawansowanego wieloestowego wykrywania ataków w usłudze Microsoft Sentinel. Dzięki temu można tworzyć wykrycia dla określonych scenariuszy, takich jak niszczenie danych, odmowa usługi, złośliwa aktywność administracyjna i wiele innych.

W ramach przygotowywania obciążeń na potrzeby odpowiedzi należy wykonać następujące działania:

• Zidentyfikuj sposób określania, czy zasób jest atakowany.
• Określ, jak można przechwycić i zgłosić zdarzenie w wyniku.

Krok 3. Przygotowanie planów reagowania na zdarzenia

Przed wystąpieniem incydentów musisz mieć dobrze zdefiniowane i gotowe do wdrożenia plany reagowania na zdarzenia dla destrukcyjnych ataków cybernetycznych. Podczas zdarzenia nie będziesz mieć czasu, aby określić, jak udaremnić ataki w toku lub przywrócić uszkodzone dane i usługi.

Wszystkie aplikacje i usługi udostępnione platformy Azure powinny mieć plany reagowania i odzyskiwania, które obejmują podręczniki do przywracania maszyn wirtualnych, usług danych, usług konfiguracji i automatyzacji/usług DevOps. Każda aplikacja lub obszar usługi powinien mieć swoje definicje i dobrze zdefiniowane zależności.

Podręczniki powinny:

• Uwzględnij procesy w następujących scenariuszach:

  • Przełączanie maszyn wirtualnych platformy Azure w tryb failover do regionu pomocniczego
  • Jak przywrócić dane maszyny wirtualnej platformy Azure w witrynie Azure Portal
  • Przywracanie plików na maszynę wirtualną na platformie Azure
  • Odzyskiwanie nietrwałych usuniętych danych i punktów odzyskiwania przy użyciu rozszerzonego usuwania nietrwałego w usłudze Azure Backup
  • Przywracanie stanu klastrów Kubernetes po awarii
  • Odzyskiwanie usuniętego konta magazynu.
  • Odzyskiwanie nietrwałego magazynu kluczy
  • Odzyskiwanie nietrwałych wpisów tajnych, kluczy i certyfikatów z magazynu kluczy
  • Wskazówki dotyczące odzyskiwania po awarii dla usługi Azure SQL Database

• Uwzględnij proces przywracania dla innych zasobów tworzących tę usługę.

• Okresowo testowane w ramach procesów konserwacji SecOps.

Zalecane szkolenie

• Implementowanie usługi Privileged Identity Management
• Projektowanie rozwiązania do tworzenia kopii zapasowych i odzyskiwania po awarii
• Zwiększanie poziomu zabezpieczeń chmury przy użyciu Microsoft Defender dla Chmury
• Tworzenie wykrywania i przeprowadzanie badań przy użyciu usługi Microsoft Sentinel

Następne kroki

Kontynuuj wdrażanie infrastruktury zapobiegania naruszeniom zabezpieczeń i odzyskiwania.

Informacje

Zapoznaj się z tymi linkami, aby dowiedzieć się więcej o różnych usługach i technologiach wymienionych w tym artykule.

• Blokady zasobów
• Microsoft Entra Privileged Identity Management
• Usuwanie nietrwałe dla kopii zapasowej platformy Azure
• Autoryzacja wielu użytkowników (MUA)
• Bicep
• Microsoft Defender dla Chmury
• Microsoft Sentinel