Udostępnij za pośrednictwem

Zabezpieczanie infrastruktury za pomocą rozwiązania Zero Trust

Infrastruktura reprezentuje wektor zagrożenia krytycznego. Infrastruktura IT, zarówno lokalna, jak i wielochmurowa, jest definiowana jako cały sprzęt (fizyczny, wirtualny, konteneryzowany), oprogramowanie (open source, first-and third-party, PaaS, SaaS), mikrousługi (funkcje, interfejsy API), infrastruktura sieciowa, obiekty itd., które jest wymagane do opracowywania, testowania, dostarczania, monitorowania, kontroli lub obsługi usług IT. Jest to obszar, w którym firma Microsoft zainwestowała ogromne zasoby, aby opracować kompleksowy zestaw możliwości w celu zabezpieczenia przyszłej infrastruktury chmurowej i lokalnej.

Nowoczesne zabezpieczenia z kompleksową strategią Zero Trust ułatwiają:

  • Oceń wersję.
  • Wykonaj zarządzanie konfiguracją.
  • Stosowanie uprawnień administracyjnych Just-In-Time i Just-Enough-Access (JIT/JEA) w celu wzmocnienia ochrony.
  • Używanie telemetrii do wykrywania ataków i anomalii.
  • Automatycznie blokuj i flaguj ryzykowne zachowanie i podejmij działania ochronne.

Tak samo ważne, usługa Microsoft Azure Blueprints i powiązane możliwości zapewniają, że zasoby są projektowane, implementowane i trwałe w sposób zgodny z zasadami, standardami i wymaganiami organizacji.

Usługi Azure Blueprints, Azure Policies, Microsoft Defender dla Chmury, Microsoft Sentinel i Azure Sphere mogą znacznie przyczynić się do poprawy bezpieczeństwa wdrożonej infrastruktury. Umożliwiają one różne podejście do definiowania, projektowania, aprowizacji, wdrażania i monitorowania infrastruktury.

Powtarzający się okrągły diagram pięciu elementów: Ocena zgodności, Obserwowanie luk, Tworzenie, Testowanie i Wdrażanie.

Cele wdrożenia infrastruktury Zero Trust

Wskazówka

Zanim większość organizacji rozpocznie podróż związana z koncepcją Zero Trust, ich podejście do zabezpieczeń infrastruktury charakteryzuje się następującymi cechami:

  • Uprawnienia są zarządzane ręcznie w różnych środowiskach.
  • Zarządzanie konfiguracją maszyn wirtualnych i serwerów, na których działają obciążenia.

Podczas implementowania kompleksowej platformy Zero Trust na potrzeby zarządzania infrastrukturą i monitorowania jej infrastruktury zalecamy skupienie się najpierw na tych początkowych celach wdrażania:

Ikona listy z jednym znacznikiem wyboru.

I.Obciążenia są monitorowane i powiadamiane o nietypowym zachowaniu.

II.Każde obciążenie jest przypisywane tożsamości aplikacji — i konfigurowane i wdrażane spójnie.

III.Dostęp do zasobów dla ludzi wymaga Just-In-Time.

Po zakończeniu początkowych celów skoncentruj się na następujących dodatkowych celach wdrażania:

Ikona listy z dwoma znacznikami wyboru.

IV.Nieautoryzowane wdrożenia są blokowane i wyzwalany jest alert.

V.Szczegółowa widoczność i kontrola dostępu są dostępne dla wszystkich obciążeń.

VI.Dostęp użytkowników i zasobów podzielony na segmenty dla każdego obciążenia roboczego.

Przewodnik wdrażania infrastruktury zerowej zaufania

Ten przewodnik przeprowadzi Cię przez kroki wymagane do zabezpieczenia infrastruktury zgodnie z zasadami platformy zabezpieczeń Zero Trust.

Przed rozpoczęciem upewnij się, że zostały spełnione te cele wdrażania infrastruktury bazowej.

Ustawianie podstawowych ustawień dzierżawy Microsoft

Należy ustawić priorytetową linię bazową dla sposobu zarządzania infrastrukturą. Stosując wskazówki branżowe, takie jak NIST 800-53, można uzyskać zestaw wymagań dotyczących zarządzania infrastrukturą. W firmie Microsoft ustawiliśmy minimalny poziom bazowy dla następującej listy wymagań:

  • Dostęp do danych, sieci, usług, narzędzi, narzędzi i aplikacji musi być kontrolowany przez mechanizmy uwierzytelniania i autoryzacji.

  • Dane muszą być szyfrowane w trakcie przesyłania i w stanie spoczynku.

  • Ogranicz przepływy ruchu sieciowego.

  • Widoczność zespołu ds. bezpieczeństwa do wszystkich zasobów.

  • Monitorowanie i inspekcja musi być włączone i poprawnie skonfigurowane zgodnie z określonymi wskazówkami organizacyjnymi.

  • Oprogramowanie chroniące przed złośliwym oprogramowaniem musi być aktualne i uruchomione.

  • Należy przeprowadzić skanowanie luk w zabezpieczeniach i skorygować luki w zabezpieczeniach zgodnie z określonymi wskazówkami organizacyjnymi.

Aby zmierzyć zgodność z tym minimalnym lub naszym rozszerzonym podstawowym poziomem, rozpoczynamy od uzyskania dostępu do widoczności na poziomie dzierżawy i w środowiskach lokalnych, stosując uprawnienia do przeglądania zabezpieczeń w dzierżawie Azure. Dzięki roli Czytelnik zabezpieczeń można uzyskać lepszy wgląd dzięki Microsoft Defender for Cloud i zasadom platformy Azure, które mogą być używane do wprowadzenia branżowych standardów (na przykład Azure CIS, PCI, ISO 27001) lub niestandardowego punktu odniesienia zdefiniowanego przez organizację.

Uprawnienia są zarządzane ręcznie w różnych środowiskach

Na poziomie najemcy, aż do poszczególnych zasobów w ramach każdej subskrypcji i grupy zasobów, należy zastosować odpowiednie kontrole dostępu oparte na rolach.

Wskazówka

Dowiedz się więcej o implementowaniu kompleksowej strategii Zero Trust dla tożsamości.

Zarządzanie konfiguracją maszyn wirtualnych i serwerów, na których działają obciążenia

Podobnie jak zarządzaliśmy środowiskiem lokalnego centrum danych, musimy również upewnić się, że skutecznie zarządzamy naszymi zasobami w chmurze. Zaletą korzystania z platformy Azure jest możliwość zarządzania wszystkimi maszynami wirtualnymi z jednej platformy przy użyciu usługi Azure Arc (wersja zapoznawcza). Za pomocą usługi Azure Arc można rozszerzyć bazowe ustawienia zabezpieczeń z zasad Azure Policy, polityk Microsoft Defender for Cloud oraz analizy ocen bezpieczeństwa, a także w jednym miejscu rejestrować i monitorować wszystkie zasoby. Poniżej przedstawiono kilka akcji na potrzeby rozpoczynania pracy.

Implementowanie usługi Azure Arc (wersja zapoznawcza)

Usługa Azure Arc umożliwia organizacjom rozszerzanie znanych mechanizmów kontroli zabezpieczeń platformy Azure na lokalną i brzegową infrastrukturę organizacji. Administratorzy mają kilka opcji łączenia zasobów lokalnych z Azure Arc. Należą do nich portal Azure, PowerShell i instalacja Windows z wykorzystaniem skryptów Service Principal.

Dowiedz się więcej o tych technikach.

Stosowanie bazowych zabezpieczeń przez Azure Policy, w tym stosowanie zasad dla systemów-gości.

Włączając Defender dla Chmury, będziesz mieć możliwość zastosowania zestawu kontrolek bazowych za pomocą wbudowanych definicji zasad Azure Policy dla Microsoft Defender dla Chmury. Zestaw podstawowych zasad zostanie odzwierciedlony w bezpiecznym wyniku usług Defender dla Chmury, gdzie można zmierzyć zgodność z tymi zasadami.

Możesz rozszerzyć zakres zasad poza zestaw Defender dla Chmury i utworzyć zasady niestandardowe, jeśli wbudowane nie są dostępne. Można również uwzględnić zasady konfiguracji gościa, które mierzą zgodność wewnątrz maszyn wirtualnych gościa w ramach subskrypcji.

Zastosowanie kontroli programu Defender dla Chmury w zakresie ochrony punktu końcowego i zarządzania lukami w zabezpieczeniach

Ochrona punktu końcowego jest niezbędna do zapewnienia bezpieczeństwa i dostępności infrastruktury. W ramach każdej strategii ochrony punktu końcowego i zarządzanie lukami w zabezpieczeniach będziesz mieć możliwość centralnego mierzenia zgodności w celu zapewnienia włączenia i skonfigurowania ochrony przed złośliwym oprogramowaniem za pomocą oceny i zaleceń programu Endpoint Protection w Microsoft Defender dla Chmury.

Scentralizowany wgląd w punkt odniesienia w wielu subskrypcjach

Stosując rolę czytelnika dzierżawy, można uzyskać wgląd w stan każdej zasady na dzierżawie, które są oceniane w ramach wskaźnika bezpieczeństwa Defender dla Chmury, polityk Azure i polityk konfiguracji gościa. Kierujesz to do panelu zgodności organizacyjnej w celu centralnego raportowania stanu Twojego właściciela dzierżawy.

Ponadto w ramach usługi Defender for Servers można użyć zasad Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez firmę Qualys), aby skanować maszyny wirtualne pod kątem luk w zabezpieczeniach i uwzględnić je bezpośrednio w Defender dla Chmury. Jeśli masz już rozwiązanie do skanowania luk w zabezpieczeniach wdrożone w przedsiębiorstwie, możesz użyć alternatywnego rozwiązania do oceny luk w zabezpieczeniach, które powinno zostać zainstalowane na maszynach wirtualnych na potrzeby wdrażania rozwiązania do skanowania luk w zabezpieczeniach partnera.

Wskazówka

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla punktów końcowych.




Ikona listy kontrolnej z jednym znacznikiem wyboru.

Początkowe cele wdrożenia

Po osiągnięciu celów infrastruktury bazowej możesz skoncentrować się na implementowaniu nowoczesnej infrastruktury za pomocą kompleksowej strategii zero trust.

I. Obciążenia są monitorowane i powiadamiane o nietypowym zachowaniu

Podczas tworzenia nowej infrastruktury należy również ustanowić reguły monitorowania i zgłaszania alertów. Jest to klucz do identyfikowania, gdy zasób wyświetla nieoczekiwane zachowanie.

Zalecamy włączenie Microsoft Defender dla Chmury i jego planów w celu ochrony obsługiwanych typów zasobów, w tym Defender for Servers, Defender for Storage, Defender for Containers, Defender for SQL.

Do monitorowania tożsamości zalecamy włączenie usługi Microsoft Defender for Identity i Advanced Threat Analytics, aby umożliwić zbieranie sygnałów do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, naruszonych tożsamości i złośliwych wewnętrznych zagrożeń skierowanych przeciwko organizacji.

Integrowanie tych sygnałów z usług Defender dla Chmury, Defender dla Tożsamości, Advanced Threat Analytics i innych systemów monitorowania i inspekcji za pomocą usługi Microsoft Sentinel, natywnego dla chmury rozwiązania do zarządzania zdarzeniami zabezpieczeń (SIEM) i automatycznego reagowania na zabezpieczenia (SOAR), umożliwi centrum operacyjne zabezpieczeń (SOC) działanie z jednego widoku w celu monitorowania zdarzeń związanych z zabezpieczeniami w całym przedsiębiorstwie.

Wskazówka

Dowiedz się więcej o wdrażaniu strategii końca do końca Zero Trust tożsamości.

II. Każde obciążenie ma przypisaną tożsamość aplikacji — i stale konfigurowane i wdrażane

Zalecamy użycie zasad przypisanych i wymuszanych podczas tworzenia zasobów/obciążeń. Zasady mogą wymagać zastosowania tagów do zasobu podczas tworzenia, przypisywania grupy zasobów i ograniczania/bezpośrednich właściwości technicznych, takich jak dozwolone regiony, specyfikacje maszyny wirtualnej (na przykład typ maszyny wirtualnej, dyski, zastosowane zasady sieciowe).

Wskazówka

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla aplikacji.

III. Dostęp człowieka do zasobów wymaga podejścia dokładnie na czas.

Personel powinien używać dostępu administracyjnego oszczędnie. Gdy funkcje administracyjne są wymagane, użytkownicy powinni otrzymać tymczasowy dostęp administracyjny.

Organizacje powinny ustanowić program Ochrona administratora . Cechy tych programów obejmują:

  • Docelowa redukcja liczby użytkowników z uprawnieniami administracyjnymi.
  • Inspekcja kont i ról z podwyższonym poziomem uprawnień.
  • Tworzenie specjalnych stref infrastruktury zasobów o wysokiej wartości (HVA) w celu zmniejszenia obszaru powierzchni.
  • Zapewnienie administratorom specjalnych bezpiecznych stacji roboczych (SAW) w celu zmniejszenia prawdopodobieństwa kradzieży poświadczeń.

Wszystkie te elementy pomagają organizacji lepiej znać sposób korzystania z uprawnień administracyjnych, w których te uprawnienia są nadal niezbędne, i zapewnić harmonogram działania w sposób bezpieczniejszy.




Ikona listy kontrolnej z dwoma znacznikami wyboru.

Dodatkowe cele wdrożenia

Po osiągnięciu pierwszych trzech celów możesz skoncentrować się na dodatkowych celach, takich jak blokowanie nieautoryzowanych wdrożeń.

IV. Nieautoryzowane wdrożenia są blokowane, a alert jest wyzwalany

Gdy organizacje przechodzą do chmury, możliwości są nieograniczone. To nie zawsze jest dobra rzecz. Z różnych powodów organizacje muszą mieć możliwość blokowania nieautoryzowanych wdrożeń i wyzwalania alertów w celu informowania liderów i menedżerów o problemach.

Platforma Microsoft Azure oferuje usługę Azure Blueprints , aby zarządzać sposobem wdrażania zasobów, dzięki czemu można wdrażać tylko zatwierdzone zasoby (na przykład szablony usługi ARM). Strategie mogą zagwarantować, że zasoby, które nie spełniają zasad strategii lub inne reguły, nie będą mogły zostać wdrożone. Rzeczywiste lub próby naruszenia Blueprintu mogą zgłaszać alerty w razie potrzeby i wysyłać powiadomienia, aktywować webhooki lub runbooki automatyzacji, a nawet tworzyć zgłoszenia w systemie zarządzania usługami.

V. Szczegółowa widoczność i kontrola dostępu są dostępne w różnych obciążeniach

Platforma Microsoft Azure oferuje różne metody umożliwiające uzyskanie widoczności zasobów. W witrynie Azure Portal właściciele zasobów mogą skonfigurować wiele możliwości zbierania i analizy metryk i dzienników. Ta widoczność może służyć nie tylko do wspierania operacji bezpieczeństwa, ale także do wspierania efektywności przetwarzania i celów organizacyjnych. Obejmują one funkcje, takie jak zestawy skalowania maszyn wirtualnych, które umożliwiają bezpieczne i wydajne skalowanie w poziomie i skalowanie zasobów na podstawie metryk.

Po stronie kontroli dostępu można stosować kontrolę dostępu opartą na rolach (RBAC) w celu przypisania uprawnień do zasobów. Dzięki temu można przypisywać i odwoływać uprawnienia jednolicie na poszczególnych poziomach i grup przy użyciu różnych ról wbudowanych lub niestandardowych.

VI. Dostęp użytkowników i zasobów podzielony na segmenty dla każdego zadania

Platforma Microsoft Azure oferuje wiele sposobów segmentowania obciążeń w celu zarządzania dostępem użytkowników i zasobów. Segmentacja sieci jest ogólnym podejściem, a w obrębie platformy Azure zasoby mogą być izolowane na poziomie subskrypcji za pomocą sieci wirtualnych, reguł komunikacji równorzędnej sieci wirtualnych, sieciowych grup zabezpieczeń (NSG), grup zabezpieczeń aplikacji (ASG) i Azure Firewalls. Istnieje kilka wzorców projektowych umożliwiających określenie najlepszego podejścia do segmentowania obciążeń.

Wskazówka

Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla sieci.

Produkty omówione w tym przewodniku

Microsoft Azure

Azure Blueprints

Azure Policy

Azure Arc

Microsoft Defender for Cloud

Microsoft Sentinel

Szablony usługi Azure Resource Manager (ARM)

Podsumowanie

Infrastruktura jest kluczowa dla pomyślnej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub zapoznaj się z innymi rozdziałami tego przewodnika, który obejmuje wszystkie filary Zero Trust.



Seria przewodników wdrażania zero trust

Ikona wprowadzenia

Ikona tożsamości

Ikona punktów końcowych

Ikona aplikacji

Ikona danych

Ikona infrastruktury

Ikona sieci

Ikona widoczności, automatyzacji, aranżacji

  • Last updated on