Podsumowanie

  • 4 min

W tym module omówiliśmy wiele kwestii, aby utworzyć podstawową listę kontrolną zabezpieczeń dla często używanych usług platformy Azure. Podsumujmy szybko, co przeszliśmy:

  • Włącz Microsoft Defender dla Chmury — jest to bezpłatne. Uaktualnij subskrypcję platformy Azure, aby włączyć Microsoft Defender dla Chmury. Ulepszone funkcje zabezpieczeń Defender dla Chmury ułatwiają:

    • Znajdowanie i naprawianie luk w zabezpieczeniach.
    • Stosowanie kontroli dostępu i aplikacji w celu blokowania złośliwych działań.
    • Wykrywanie zagrożeń przy użyciu analizy i analizy.
    • Szybko reagować, gdy jest atakowany.

  • Adopt Center for Internet Security (CIS) Benchmarks (Adopt Center for Internet Security) Benchmarks (CiS). Zastosuj testy porównawcze do istniejących dzierżaw.

  • Użyj maszyn wirtualnych CIS dla nowych obciążeń. Uzyskiwanie obrazów maszyn wirtualnych ze wzmocnionymi zabezpieczeniami ciS w witrynie Azure Marketplace.

  • Przechowuj klucze i wpisy tajne w usłudze Azure Key Vault (nie w kodzie źródłowym). Usługa Key Vault jest przeznaczona do obsługi dowolnego typu wpisu tajnego, w tym haseł, poświadczeń bazy danych, kluczy interfejsu API i certyfikatów.

  • Zainstaluj zaporę aplikacji internetowej. Zapora aplikacji internetowej (WAF) to funkcja bramy aplikacja systemu Azure, która zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach. Inne firmy oferują również obsługiwane przez platformę Azure funkcje WAFs.

  • Wymuszanie weryfikacji wieloskładnikowej dla użytkowników, zwłaszcza w przypadku kont administratorów. Uwierzytelnianie wieloskładnikowe dla użytkowników firmy Microsoft Entra pomaga administratorom chronić swoje organizacje i użytkowników, wymagając więcej niż jednej metody uwierzytelniania.

  • Szyfruj pliki wirtualnego dysku twardego. Szyfrowanie pomaga chronić wolumin rozruchowy i woluminy danych magazynowanych w magazynie wraz z kluczami szyfrowania i wpisami tajnymi.

  • Połączenie maszyn wirtualnych i urządzeń platformy Azure do innych urządzeń sieciowych, umieszczając je w sieciach wirtualnych platformy Azure. Maszyny wirtualne połączone z siecią wirtualną platformy Azure mogą łączyć się z urządzeniami, które znajdują się w tej samej sieci wirtualnej, w różnych sieciach wirtualnych, w Internecie lub we własnych sieciach lokalnych.

Silne praktyki zabezpieczeń operacyjnych do zaimplementowania

Każdego dnia zaimplementuj te silne praktyki zabezpieczeń operacyjnych:

  • Zarządzanie aktualizacjami maszyny wirtualnej. Maszyny wirtualne platformy Azure, takie jak wszystkie lokalne maszyny wirtualne, mają być zarządzane przez użytkownika. Platforma Azure nie wypycha aktualizacji systemu Windows do tych maszyn wirtualnych. Upewnij się, że masz solidne procesy na potrzeby ważnych operacji, takich jak zarządzanie poprawkami i tworzenie kopii zapasowych.

  • Włącz zarządzanie hasłami. Użyj odpowiednich zasad zabezpieczeń, aby zapobiec nadużyciom.

  • Regularnie przeglądaj pulpit nawigacyjny ochrony obciążenia. Uzyskaj centralny widok stanu zabezpieczeń wszystkich zasobów platformy Azure i regularnie podejmij działania na temat zaleceń.

Dalsze informacje

Aby zapoznać się z tematami przedstawionymi w tym module bardziej szczegółowo, zobacz CIS Microsoft Azure Foundations Security Benchmark (CiS Microsoft Azure Foundations Security Benchmark).