Поделиться через


Рекомендации по обеспечению операционной безопасности Azure

Эта статья содержит ряд рекомендаций по защите данных, приложений и других ресурсов в Azure.

Рекомендации основаны на общем мнении и подходят для работы с текущими возможностями и наборами функций платформы Azure. Со временем мнения и технологии меняются, поэтому эта статья постоянно обновляется, чтобы отражать эти изменения.

Определение и развертывание надежных методов обеспечения операционной безопасности

Под операционной безопасностью Azure подразумеваются службы, элементы управления и функции, которые пользователи могут использовать для защиты своих данных, приложений и других ресурсов в Azure. Операционная безопасность Azure основывается на знаниях, полученных в процессе эксплуатации уникальных систем корпорации Майкрософт, включая жизненный цикл разработки защищенных приложений (SDL) и программу Центр Microsoft Security Response Center, а также на глубокой осведомленности в области угроз кибербезопасности.

Принудительное применение многофакторной проверки для пользователей

Рекомендуется требовать двухфакторную проверку подлинности для всех пользователей. В их число входят администраторы и сотрудники в организации, которые могут значительно пострадать в случае взлома их учетных записей (например, финансовые директоры).

Существует несколько способов, с помощью которых можно требовать двухфакторную проверку подлинности. Лучший вариант зависит от целей, выпуска Microsoft Entra, который вы используете, и вашей программы лицензирования. Сведения по определению подходящего варианта см. в статье Включение двухфакторной проверки подлинности пользователя. Дополнительные сведения о лицензиях и ценах на лицензии и цены см. на страницах цен на многофакторную проверку подлинности Microsoft Entra и Microsoft Entra.

Ниже приводятся варианты и преимущества включения двухфакторной проверки подлинности.

Вариант 1. Включение MFA для всех пользователей и методов входа с помощью преимущества по умолчанию безопасности Microsoft Entra: этот параметр позволяет легко и быстро применять MFA для всех пользователей в вашей среде с строгой политикой:

  • запрос административных учетных записей и административных механизмов входа;
  • обязательный запрос многофакторной проверки подлинности через Microsoft Authenticator для всех пользователей;
  • ограничение использования устаревших протоколов проверки подлинности.

Этот метод доступен для всех уровней лицензирования, но его нельзя сочетать с существующими политиками условного доступа. Дополнительные сведения см. в параметрах безопасности Microsoft Entra Security Defaults

Вариант 2. Включение многофакторной проверки подлинности путем изменения состояния пользователя.
Преимущество. Это традиционный метод применения двухфакторной проверки подлинности. Он работает с многофакторной проверкой подлинности Microsoft Entra в облаке и сервере Многофакторной идентификации Azure. Использование этого метода требует, чтобы пользователи выполняли двухфакторную проверку подлинности при каждом входе в учетную запись, и переопределяет политики условного доступа.

Чтобы определить, где требуется включить многофакторную проверку подлинности, см. раздел "Какая версия многофакторной проверки подлинности Microsoft Entra подходит для моей организации?".

Вариант 3. Включение многофакторной проверки подлинности с помощью политики условного доступа. Преимущество. Этот параметр позволяет запрашивать двухфакторную проверку в определенных условиях с помощью условного доступа. Это может быть вход пользователей из разных расположений, с недоверенных устройств или приложений, которые считаются опасными. Определение конкретных условий, в которых следует требовать двухфакторную проверку подлинности, позволяет избежать постоянных обращений к пользователю.

Это наиболее гибкий способ включить двухфакторную проверку подлинности для пользователей. Включение политики условного доступа работает только для многофакторной проверки подлинности Microsoft Entra в облаке и является премиум-функцией идентификатора Microsoft Entra. Дополнительные сведения об этом методе см. в разделе "Развертывание облачной многофакторной проверки подлинности Microsoft Entra".

Вариант 4. Включение многофакторной проверки подлинности с помощью политик условного доступа путем оценки политик условного доступа на основе рисков.
Преимущество. Этот вариант позволяет:

  • Обнаружение потенциальных уязвимостей, влияющих на удостоверения вашей организации.
  • Настройте автоматические ответы для обнаружения подозрительных действий, связанных с удостоверениями вашей организации.
  • анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.

Этот метод использует оценку риска Защита идентификации Microsoft Entra для определения необходимости двухфакторной проверки подлинности на основе риска входа для всех облачных приложений. Для этого метода требуется лицензирование Microsoft Entra ID P2. Дополнительные сведения об этом методе можно найти в Защита идентификации Microsoft Entra.

Примечание.

Вариант 2, включение многофакторной проверки подлинности путем изменения пользовательского состояния, переопределяет политики условного доступа. Так как в вариантах 3 и 4 используются политики условного доступа, с ними нельзя применять вариант 2.

Организации, которые не добавляют дополнительные уровни защиты идентификации, например двухфакторную проверку подлинности, более подвержены атаке кражи учетных данных. Атаки такого типа могут привести к компрометации данных.

Управление паролями пользователей и их мониторинг

В следующей таблице перечислены некоторые рекомендации по управлению паролями пользователей.

Рекомендация. Убедитесь, что обеспечивается необходимый уровень защиты паролем в облаке.
Подробные сведения. Следуйте инструкциям в руководстве по паролям Майкрософт, которое распространяется на пользователей платформа удостоверений Майкрософт (идентификатор Microsoft Entra, Active Directory и учетную запись Майкрософт).

Рекомендация. Отслеживайте подозрительные действия, связанные с учетными записями пользователей.
Подробные сведения. Мониторинг пользователей с риском и рискованным входом с помощью отчетов безопасности Microsoft Entra.

Рекомендация. Включите автоматическое обнаружение и исправление паролей с высоким риском.
Подробные сведения: Защита идентификации Microsoft Entra — это функция выпуска Microsoft Entra ID P2, которая позволяет выполнять следующие действия.

  • обнаруживать потенциальные уязвимости, которые могут повлиять на удостоверения организации;
  • настраивать автоматические ответы при обнаружении подозрительных действий, связанных с учетными записями организации;
  • анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.

Получение уведомлений об инцидентах от корпорации Майкрософт

Убедитесь, что ваша команда по обеспечению безопасности получает уведомления об инцидентах Azure от корпорации Майкрософт. Уведомление об инциденте позволяет команде по обеспечению безопасности узнавать о компрометации ресурсов Azure, быстро реагировать на потенциальные угрозы безопасности и устранять их.

На портале регистрации Azure в контактных данных администратора можно указать сведения для уведомления команды по обеспечению безопасности. Контактные сведения включают адрес электронной почты и номер телефона.

Объединение подписок Azure в группы управления

Если в организации много подписок, для эффективного управления доступом к ним, их политиками и соответствием требуется особый подход. Группы управления Azure представляют собой более высокий уровень иерархии, чем подписки. Вы объединяете подписки в контейнеры, которые называются группами управления, и применяете к ним условия системы управления. Все подписки в группе управления автоматически наследуют условия, применяемые к группе управления.

Можно создать гибкую структуру групп управления и подписок в каталоге. Каждому каталогу присваивается одна группа управления верхнего уровня, которая называется корневой группой управления. Эта группа встроена в иерархию, чтобы в нее входили все группы управления и подписки. Эта корневая группа управления позволяет применять глобальные политики и назначения ролей Azure на уровне каталога.

Ниже приведены некоторые рекомендации по использованию групп управления.

Рекомендация. Убедитесь, что при добавлении новых подписок к ним применяются элементы управления, такие как политики и разрешения.
Сведения. Используйте корневую группу управления для назначения элементов безопасности корпоративного уровня, которые применяются ко всем ресурсам Azure. Примеры таких элементов — политики и разрешения.

Рекомендация. Выровняйте верхние уровни групп управления с помощью стратегии сегментации, чтобы обеспечить согласованность управления и политик в каждом сегменте.
Сведения. Создайте одну группу управления для каждого сегмента в корневой группе управления. Не создавайте другие группы управления в корневой группе.

Рекомендация. Ограничьте глубину иерархии групп управления во избежание путаницы, которая отрицательно влияет на операции и безопасность.
Сведения. Ограничьте иерархию до трех уровней, включая корневую группу.

Рекомендация. Тщательно выберите элементы, которые будут применены ко всей организации с корневой группой управления.
Сведения. Элементы корневой группы управления должны применяться к каждому ресурсу только при необходимости и не оказывать значительного влияния.

Предлагаемые варианты:

  • Нормативные требования с четким влиянием на бизнес (например, ограничения, связанные с независимостью данных)
  • Требования с почти нулевым негативным воздействием на операции, такие как политика с эффектом аудита или назначения разрешений Azure RBAC, которые были тщательно проверены

Рекомендация. Тщательно спланируйте и протестируйте все корпоративные изменения в корневой группе управления перед их применением (политика, модель Azure RBAC и т. д.).
Сведения. Изменения в корневой группе управления могут повлиять на каждый ресурс в Azure. Это эффективный способ обеспечения согласованности в масштабах организации, однако ошибки или неправильное использование могут негативно сказаться на производственных операциях. Протестируйте все изменения в корневой группе управления в тестовой или пилотной производственной среде.

Оптимизация создания сред с помощью схем

Служба Azure Blueprints позволяет облачным архитекторам и центральным ИТ-группам определять воспроизводимый набор ресурсов Azure, который реализует стандарты, шаблоны и требования организации и полностью соответствует им. Azure Blueprints позволяет группам разработчиков быстро создавать и подготавливать новые среды с помощью набора встроенных компонентов. Разработчики могут быть уверены в том, что созданные среды соответствуют нормативным требованиям организации.

Мониторинг служб хранилища для обнаружения непредвиденных изменений в поведении

Диагностика и устранение неисправностей в распределенном приложении, размещенном в облачной среде, может представлять большую сложность в сравнении с традиционными средами. Развертывание приложений можно выполнять в инфраструктуре PaaS или IaaS, на площадке заказчика, на мобильном устройстве или в среде, в которой имеется их произвольное сочетание. Трафик приложения может проходить через общедоступные и закрытые сети, а приложение может использовать несколько технологий хранения.

Необходимо постоянно отслеживать службы хранилища, которые использует приложение, на наличие непредвиденных изменений в поведении (например, увеличении времени отклика). Используйте ведение журнала для сбора дополнительных данных и подробного анализа проблемы. Диагностические сведения, которые вы получаете при наблюдении и ведении журналов, помогут установить первопричину неполадки, возникшей при использовании приложения. После этого вы можете выполнить поиск неисправности и определить шаги, необходимые для ее устранения.

Аналитика Службы хранилища Azure ведет журналы и предоставляет данные метрик для учетной записи хранения Azure. Рекомендуем использовать эти данные для трассировки запросов, анализа тенденций использования и диагностики проблем учетной записи хранения.

предотвращать, обнаруживать угрозы и отвечать на них

Microsoft Defender для облака помогает предотвращать, обнаруживать и реагировать на угрозы, повышая прозрачность и усиливая контроль над безопасностью ресурсов Azure. Он включает встроенные функции мониторинга безопасности и управления политиками для подписок Azure, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с различными решениями по обеспечению безопасности.

Уровень "Бесплатный" Defender для облака обеспечивает ограниченную безопасность ресурсов в Azure, а также ресурсы с поддержкой Arc за пределами Azure. Функции безопасности Enahanced расширяют эти возможности, включая контроль угроз и уязвимостей, а также отчеты о соответствии нормативным требованиям. Defender для облака Планы помогут вам найти и устранить уязвимости безопасности, применить элементы управления доступом и приложениями, чтобы блокировать вредоносные действия, обнаруживать угрозы с помощью аналитики и аналитики, а также быстро реагировать при атаке. Вы можете попробовать Defender для облака Standard без затрат в течение первых 30 дней. Рекомендуется включить расширенные функции безопасности в подписках Azure в Defender для облака.

Используйте Defender для облака, чтобы получить централизованное представление о состоянии безопасности всех ресурсов в собственных центрах обработки данных, Azure и других облаках. Вы можете быстро убедиться, что все необходимые настройки заданы правильно, быстро определяя ресурсы, которым требуется уделить особое внимание.

Defender для облака также интегрируется с Microsoft Defender для конечной точки, которая предоставляет комплексные возможности обнаружения конечных точек и реагирования (EDR). Интеграция Microsoft Defender для конечной точки позволяет обнаружить аномалии и обнаружить уязвимости. Кроме того, можно обнаруживать сложные атаки на конечные точки серверов, отслеживаемые Defender для облака, и реагировать на них.

Почти во всех крупных организациях используется управление информационной безопасностью и событиями безопасности (SIEM). Эта система позволяет выявлять новые угрозы путем объединения данных журналов с разнообразных устройств сбора сигналов. Эти журналы анализируются системой аналитики данных, чтобы отделить важные данные от незначительных, которые неизбежны во всех решениях по сбору и анализу журналов.

Microsoft Sentinel — это масштабируемое ориентированное на облако решение для управления информационной безопасностью и событиями безопасности (SIEM), а также для автоматического реагирования в рамках оркестрации событий безопасности (SOAR). Microsoft Sentinel обеспечивает интеллектуальную аналитику безопасности и угроз за счет обнаружения предупреждений, видимости угроз, упреждающего поиска и автоматического реагирования на угрозы.

Ниже приведены некоторые рекомендации по предотвращению, обнаружению и реагированию на угрозы.

Рекомендация. Увеличьте быстродействие и масштабируемость решения SIEM за счет развертывания в облаке.
Сведения. Изучите функции и возможности Microsoft Sentinel и сравните их с возможностями, которые сейчас используются в вашей локальной среде. Рассмотрите возможность внедрения Microsoft Sentinel, если это соответствует требованиям к SIEM в вашей организации.

Рекомендация. Определите, какие уязвимости в системе безопасности являются наиболее серьезными и приоритетными для анализа.
Сведения. Изучите оценку безопасности Azure и рекомендации, полученные в соответствии с политиками и инициативами Azure, встроенными в Microsoft Defender для облака. Эти рекомендации помогают устранять основные риски, такие как обновления системы безопасности, защита конечных точек, шифрование, конфигурации безопасности, отсутствие WAF, виртуальные машины, подключенные к Интернету, и многое другое.

Оценка безопасности, основанная на данных Центра Интернет-безопасности (CIS), позволяет проверить уровень защиты вашей корпоративной инфраструктуре Azure с помощью внешних источников. Внешняя проверка позволяет протестировать и расширить стратегию безопасности вашей команды.

Рекомендация. Ведите мониторинг состояния безопасности компьютеров, сетей, хранилищ, служб данных и приложений, чтобы обнаружить потенциальные проблемы безопасности и определить их приоритеты.
Сведения. Следуйте рекомендациям по обеспечению безопасности в Defender для облака, начиная с элементов с самым высоким приоритетом.

Рекомендации. Интегрируйте оповещения Defender для облака в свое решение для управления информационной безопасностью и событиями безопасности (SIEM).
Сведения. Большинство организаций с SIEM используют это решение в качестве координационного центра для оповещений системы безопасности, требующих анализа. Обработанные события, создаваемые Defender для облака, публикуются в журнале действий Azure — одном из журналов, доступных в Azure Monitor. Azure Monitor располагает объединенным конвейером для направления различных данных мониторинга в средство SIEM. См. инструкции в статье Потоковая передача оповещений в SIEM, SOAR или ITSM. Если вы используете Microsoft Sentinel, см. статью Подключение Microsoft Defender для облака.

Рекомендация. Интегрируйте журналы Azure с SIEM.
Сведения. Используйте Azure Monitor для сбора и экспорта данных. Это очень важное условие для поддержки исследования инцидентов безопасности, а возможности оперативного хранения журналов ограничены. Если вы используете Microsoft Sentinel, см. статью Подключение к источникам данных.

Рекомендация. Ускорьте процессы исследования и поиска угроз и сократите число ложноположительных результатов благодаря интеграции возможностей обнаружения конечных точек и реагирования (EDR) в процесс исследования атак.
Сведения. Включите интеграцию с Microsoft Defender для конечной точки с помощью политики безопасности Defender для облака. Рассмотрите возможность использования Microsoft Sentinel для обнаружения угроз и реагирования на инциденты.

Мониторинг сети на базе мониторинга комплексного сценария

Клиенты создают комплексную сеть в Azure, сочетая отдельные сетевые ресурсы, в том числе виртуальную сеть, ExpressRoute, Шлюз приложений и подсистемы балансировки нагрузки. Мониторинг доступен для всех сетевых ресурсов.

Наблюдатель за сетями Azure — это региональная служба. Используйте ее инструменты диагностики и визуализации для мониторинга и диагностики условий на уровне сетевого сценария на платформе Azure.

Ниже приведены рекомендации для мониторинга сети и перечислены доступные инструменты.

Рекомендация. Выполняйте автоматизированный удаленный мониторинг сети с записью пакетов.
Сведения. Отслеживайте и диагностируйте проблемы с сетью, не входя в виртуальные машины, с помощью Наблюдателя за сетями. Активируйте запись пакетов, устанавливая оповещения, и получите доступ к сведениям о производительности в реальном времени на уровне пакетов. Вы можете детально проанализировать проблему, чтобы получить более точные результаты диагностики.

Рекомендация. Анализируйте трафик с помощью журналов потоков.
Сведения. Журналы процедур группы безопасности сети помогут вам лучше понять модель трафика. Применяя сведения из этих журналов, можно собрать данные, чтобы обеспечить соответствие требованиям, провести аудит и выполнить мониторинг для профиля сетевой безопасности.

Рекомендация. Диагностируйте проблемы с VPN-подключением.
Сведения. Компонент "Наблюдатель за сетями" позволяет диагностировать самые распространенные проблемы с VPN-шлюзом и подключением. Вы можете не только идентифицировать проблему, но и использовать подробные журналы для дальнейшей диагностики.

Безопасное развертывание с применением проверенных инструментов DevOps

Используйте следующие рекомендации по DevOps для обеспечения эффективной работы вашей организации и команд.

Рекомендация. Автоматизируйте сборку и развертывание служб.
Сведения. Подход Инфраструктура как код представляет собой набор методов и рекомендаций, которые позволяют ИТ-специалистам сократить нагрузку, связанную с ежедневным созданием модульной инфраструктуры и управлением ею. Благодаря ему ИТ-специалисты могут создавать современные серверные среды и поддерживать их так же, как разработчики программного обеспечения создают код приложения и поддерживают его.

Для подготовки приложений с помощью декларативного шаблона можно использовать Azure Resource Manager. В одном шаблоне можно развернуть несколько служб наряду с компонентами, от которых зависит их работа. Один шаблон используется для развертывания приложения на каждом этапе его жизненного цикла.

Рекомендация. Автоматически создавайте и развертывайте ресурсы в веб-приложения или облачные службы Azure.
Сведения. Вы можете настроить Azure DevOps Projects для автоматического выполнения сборки и развертывания в облачных службах или веб-приложениях Azure. Azure DevOps автоматически развертывает двоичные файлы после сборки в Azure и каждого возврата кода. Процесс сборки пакета эквивалентен команде Package в Visual Studio. Этапы публикации эквивалентны команде Publish в Visual Studio.

Рекомендация. Автоматизируйте управление выпусками.
Дополнительные сведения.Azure Pipelines — это решение для автоматизации многоэтапного развертывания и управления процессом выпуска. Создайте управляемые конвейеры непрерывного развертывания, чтобы ускорить, упростить выпуски, а также делать их чаще. С помощью Azure Pipelines можно значительно автоматизировать процесс выпуска. Кроме того, можно создать предопределенные рабочие процессы утверждения. Выполняйте развертывание в локальной среде и в облаке, расширения и настройку при необходимости.

Рекомендация. Проверьте производительность своего приложения, прежде чем запустить его или развернуть обновления в рабочей среде.
Сведения. Выполняйте облачные нагрузочные тесты для:

  • поиска проблем с производительностью приложения;
  • улучшения качества развертывания;
  • проверки того, что приложение всегда доступно;
  • проверки того, что приложение сможет обработать трафик для следующего запуска или маркетинговой кампании.

Apache JMeter — это популярное бесплатное средство с открытым исходным кодом и надежным сообществом.

Рекомендация. Выполняйте мониторинг производительности приложений.
Сведения. Azure Application Insights — это расширяемая служба управления производительностью приложений (APM) для веб-разработчиков на нескольких платформах. Используйте Application Insights для мониторинга веб-приложения в реальном времени. Она автоматически обнаруживает аномалии производительности. Эта служба включает аналитические средства, которые помогут вам диагностировать проблемы и понять, что пользователи фактически делают в вашем приложении. Эта служба помогает постоянно улучшать производительность и удобство использования.

Уменьшение рисков и защита от атак DDoS

Отказ в обслуживании (DDoS) — это тип атаки, используемый в целях исчерпания ресурсов приложения. Цель: влияние на доступность и возможность обработки допустимых запросов приложения. Эти атаки становятся все более сложными и крупными по размеру и влиянию. Их можно направить на любую конечную точку, публично доступную через Интернет.

Для обеспечения устойчивости к распределенным атакам типа DDoS необходимо планирование и проектирование различных режимов сбоев. Ниже приведены рекомендации по созданию служб Azure, которые могут устоять против атак DDoS.

Рекомендация. Учитывайте аспекты безопасности на протяжении всего жизненного цикла приложения — от разработки и реализации до развертывания и эксплуатации. В приложениях могут быть ошибки, позволяющие относительно малому объему запросов использовать большое количество ресурсов, что вызывает сбой службы.
Сведения. Чтобы помочь защитить службу, запущенную в Microsoft Azure, изучите архитектуру своего приложения и сосредоточьтесь на пяти основных аспектах качества программного обеспечения. Необходимо знать типичные объемы трафика, модель подключения между приложениями, а также конечные точки службы, к которым предоставлен доступ через Интернет.

Убедитесь, что приложение достаточно устойчиво для обработки отказа в службе, предназначенной для самого приложения. Безопасность и конфиденциальность создаются на платформе Azure, начиная с жизненного цикла безопасности ПО (SDL). SDL обеспечивает защиту на каждом этапе разработки и гарантирует постоянное обновление платформы Azure, чтобы сделать ее более безопасной.

Рекомендация. Необходимо проектировать свои приложения таким образом, чтобы они могли выполнять горизонтальное масштабирование для удовлетворения запроса на усиленную нагрузку, особенно в случае атаки DDoS. Если приложение зависит от одного экземпляра службы, создается единая точка отказа. Подготовка нескольких экземпляров улучшает как отказоустойчивость, так и масштабируемость системы.
Сведения. Для Службы приложений Azure выберите план служб приложений, где есть несколько экземпляров.

Для облачных служб Azure настройте каждую роль для применения нескольких экземпляров.

Для виртуальных машин Azure убедитесь, что архитектура виртуальных машин содержит несколько виртуальных машин, а также что каждая виртуальная машина входит в группу доступности. Мы рекомендуем использовать Масштабируемые наборы виртуальных машин для возможностей автомасштабирования.

Рекомендация. Иерархическое распределение способов защиты в приложении уменьшает вероятность успешной атаки. Внедряйте безопасные проекты для своих приложений через встроенные возможности платформы Azure.
Сведения. Например, риск атаки увеличивается с размером (контактной зоной) приложения. Чтобы уменьшить контактную зону, закройте в списках разрешений диапазон IP-адресов и порты ожидания передачи данных, которые не используются подсистемами балансировки нагрузки (Azure Load Balancer и Шлюз приложений Azure).

Группы безопасности сети также позволяют снизить возможность атак. С помощью тегов служб и групп безопасности приложений можно упростить создание правил безопасности и настроить сетевую безопасность как гармоничное расширение структуры приложения.

По возможности вы должны развертывать службы Azure в виртуальной сети. Это позволит ресурсам службы взаимодействовать через частные IP-адреса. По умолчанию трафик служб Azure из виртуальной сети использует общедоступные IP-адреса в качестве исходных.

При помощи конечных точек служб трафик службы в качестве исходных IP-адресов использует частные адреса виртуальной сети при обращении к службе Azure из виртуальной сети.

Локальные ресурсы клиентов часто подвергаются атакам наряду с ресурсами в Azure. Если вы подключаете локальную среду к Azure, следует минимизировать предоставление доступа к локальным ресурсам через Интернет.

В Azure есть два предложения служб, предоставляющих защиту от сетевых атак DDoS:

  • Защита уровня "Базовый" интегрирована в Azure по умолчанию и предоставляется без каких-либо дополнительных затрат. Масштаб и емкость глобально развернутой сети Azure обеспечивают защиту от распространенных атак сетевого уровня за счет постоянно контролируемого мониторинга трафика и устранения атак в режиме реального времени. Уровень "Базовый" не требует пользовательской конфигурации или изменений приложения и помогает защитить все службы Azure, в том числе и службы PaaS, такие как Azure DNS.
  • Защита уровня "Стандартный" обеспечивает расширенные возможности предотвращения сетевых атак типа DDoS. Она автоматически настраивается для защиты конкретных ресурсов Azure. Защиту можно легко включить во время создания виртуальных сетей. Кроме того, это можно сделать после создания. При этом не требуются никакие изменения приложения или ресурса.

Включение службы "Политика Azure"

Политика Azure — это служба в Azure, которая используется для создания и присваивания политик, а также управления ими. Эти политики гарантируют соблюдение различных правил и действий с ресурсами, обеспечивая соответствие этих ресурсов корпоративным стандартам и соглашениям об уровне обслуживания. Политика Azure обеспечивает соответствие этому требованию, оценивая ресурсы на предмет несоответствия назначенным политикам.

Включите службу "Политика Azure", чтобы отслеживать и применять задокументированные стандарты вашей организации. Соответствие корпоративным стандартам и нормативным требованиям к безопасности обеспечивается за счет централизованного управления политиками безопасности для всех гибридных облачных нагрузок. Узнайте, как создавать политики для обеспечения соответствия требованиям и управлять ими. Общие сведения об элементах политики см. в разделе Структура определения службы "Политика Azure".

Ниже приведены некоторые рекомендации по обеспечению безопасности после внедрения службы "Политика Azure".

Рекомендация. Политика поддерживает несколько типов эффектов. Сведения о них содержатся в статье Структура определения службы "Политика Azure". Эффект запрета и исправления может негативно повлиять на деловые операции, поэтому начните с эффекта аудита , чтобы снизить риск отрицательного воздействия политики.
Сведения. Начните развертывание политик с режима аудита, а затем переходите к запрету или исправлению. Протестируйте и проанализируйте результаты аудита, прежде чем перейти к запрету или исправлению.

Дополнительные сведения см. в статье Создание политик и управление политиками для обеспечения соответствия нормативным требованиям.

Рекомендация. Определите роли, ответственные за мониторинг нарушений политик и быстрое выполнение действий по их устранению.
Сведения. Назначенная роль отслеживает соответствие нормативным требованиям с помощью портала Azure или командной строки.

Рекомендация. Служба "Политика Azure" — это техническое представление задокументированных политик организации. Сопоставьте все определения службы "Политика Azure" с политиками организации, чтобы уменьшить путаницу и повысить согласованность.
Сведения. Задокументируйте сопоставление в системе документооборота организации или в самом определении службы "Политика Azure", добавив ссылку на политику организации в определение политики или в описание определения инициативы.

Мониторинг отчетов о рисках Microsoft Entra

Подавляющее большинство нарушений безопасности — это случаи, когда злоумышленники получают доступ к среде за счет кражи удостоверения пользователя. Обнаружение скомпрометированных удостоверений — непростая задача. Идентификатор Microsoft Entra использует адаптивные алгоритмы машинного обучения и эвристики для обнаружения подозрительных действий, связанных с учетными записями пользователей. Каждое обнаруженное подозрительное действие сохраняется в виде записи, называемой событием риска. Обнаружения рисков записываются в отчеты о безопасности Microsoft Entra. Дополнительные сведения см. в разделах Отчет о пользователях под угрозой и Отчет о событиях входа, представляющих риск.

Следующие шаги

Дополнительные рекомендации по обеспечению безопасности, используемые при разработке, развертывании облачных решений и управлении ими с помощью Azure, см. в статье Рекомендации и шаблоны для обеспечения безопасности в Azure.

Ниже приведены ресурсы, с помощью которых можно получить общие сведения о службах безопасности Azure и связанных службах Майкрософт.

  • Блог команды безопасности Azure. Благодаря этому блогу вы будете в курсе последних новостей о безопасности Azure.
  • Microsoft Security Response Center. Это место, куда можно сообщать об уязвимостях, в том числе о проблемах Azure. Это также можно сделать по почте, отправив сообщение по адресу secure@microsoft.com.