Контрольный список для обеспечения операционной безопасности Azure

Развертывание облачного приложения в Azure является быстрым, простым и экономичным. Перед развертыванием приложения полезно иметь контрольный список. Контрольный список поможет вам оценить приложение по списку важных и рекомендуемых действий безопасности.

Введение

Azure предоставляет набор служб инфраструктуры, которые можно использовать для развертывания приложений. Под операционной безопасностью Azure понимаются службы, элементы управления и функции, которые пользователи могут использовать для защиты своих данных, приложений и других ресурсов в Microsoft Azure.

Чтобы получить максимальное преимущество от облачной платформы, рекомендуется использовать службы Azure и следовать контрольным списку. Организации, которые инвестируют время и ресурсы, оценивая операционную готовность своих приложений перед запуском, имеют более высокий уровень удовлетворенности, чем те, которые этого не делают. При выполнении этой работы контрольные списки могут оказаться неоценимыми для согласованной и целостной оценки приложений.

Контрольный список

Данный контрольный список должен помочь предприятиям тщательно проанализировать различные вопросы операционной безопасности при развертывании сложных корпоративных приложений в Azure. Он также может использоваться для создания стратегии безопасного переноса в облако и эксплуатации в нем для вашей организации.

Категория контрольного списка	Description
Роли безопасности и контроль доступа	Используйте управление доступом на основе ролей Azure (Azure RBAC) для назначения пользователям, группам и приложениям разрешений в определенной области.
Защита данных и хранилище	Используйте безопасность плоскости управления, чтобы защитить учетную запись хранения с помощью управления доступом на основе ролей Azure (Azure RBAC). Используйте безопасность уровня данных для защиты доступа к данным с помощью подписанного URL-адреса (SAS) и хранимых политик доступа. Шифрование на транспортном уровне с помощью протокола HTTPS и шифрования SMB 3.0 (протоколы блоков сообщений сервера) для файловых ресурсов Azure. Используйте шифрование на стороне клиента для защиты данных, отправляемых в учетные записи хранения, когда требуется исключительный контроль на ключами шифрования. Используйте шифрование службы хранилища (SSE) для автоматического шифрования данных в службе хранилища Azure, а шифрование дисков Azure для виртуальных машин на Linux и Windows — для шифрования файлов дисков ОС и дисков данных виртуальных машин. Используйте аналитику службы хранилища Azure для отслеживания типа авторизации. Как и для хранилища BLOB-объектов, можно определить, что применили пользователи: подписанный URL-адрес или ключи учетной записи хранения. Используйте общий доступ к ресурсам независимо от источника (CORS) для доступа к ресурсам хранилища из разных доменов.
Политики безопасности и рекомендации	Используйте Microsoft Defender для облака для развертывания решений конечных точек. Добавьте брандмауэр веб-приложения (WAF) для обеспечения безопасности веб-приложений. Используйте Брандмауэр Azure для повышения защиты безопасности. Примените контактные данные для вашей подписки Azure. Центр реагирования майкрософт (MSRC) обращается к вам, если обнаруживает, что данные клиента были доступны незаконной или несанкционированной стороне.
Управление удостоверениями и доступом	Синхронизируйте локальный каталог с облачным каталогом с помощью идентификатора Microsoft Entra. Обеспечьте пользователям доступ к приложениям SaaS через их корпоративные учетные записи в Azure AD с помощью единого входа. Используйте отчет о действии регистрации сброса пароля, чтобы вести мониторинг пользователей, которые выполняют регистрацию. Включите Многофакторную Идентификацию для пользователей. Разработчикам следует использовать возможности безопасных удостоверений для приложений, поддерживающих жизненный цикл разработки защищенных приложений (Майкрософт) (SDL). Активно отслеживайте подозрительные действия с помощью отчетов о аномалиях Microsoft Entra ID P1 или P2 и Защита идентификации Microsoft Entra.
Текущий мониторинг безопасности	Используйте журналы Azure Monitor в решении Оценки защиты от вредоносных программ, чтобы получать информацию о состоянии защиты вашей инфраструктуры от вредоносных программ. Используйте управление обновлениями , чтобы определить общую уязвимость к потенциальным проблемам безопасности и определить, являются ли критически важные обновления для вашей среды. Центр администрирования Microsoft Entra обеспечивает видимость целостности и безопасности каталога организации.
Возможности обнаружения Microsoft Defender для облака	Используйте службу управления posture Cloud Security (CSPM) для обеспечения эффективного и эффективного повышения безопасности. Используйте оповещения, чтобы получать уведомления при обнаружении угроз в облачной, гибридной или локальной среде. Используйте политики безопасности, инициативы и рекомендации для улучшения состояния безопасности.

Заключение

Во многих организациях успешно развернуты и используются собственные облачные приложения в Azure. Среди предлагаемых контрольных списков выделены несколько наиболее важных. С их помощью вы сможете повысить вероятность успешного развертывания и беспроблемной эксплуатации. Мы настоятельно рекомендуем применять эти рекомендации по эксплуатации и стратегии к существующим и новым развертываниям приложений в Azure.

Следующие шаги

Дополнительные сведения о безопасности в Azure см. в следующих статьях:

• Общая ответственность в облаке.
• Сквозная безопасность в Azure.
• Защита от программ-шантажистов в Azure