Базовый план безопасности Azure для Service Fabric

  • Статья

Этот базовый план безопасности позволяет применять рекомендации Azure Security Benchmark версии 1.0 к Service Fabric. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark, и связанному руководству, применимому к Service Fabric.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, которые не применяются к Service Fabric или за которые несет ответственность Майкрософт, исключены. Сведения о том, как Service Fabric полностью сопоставляется с Azure Security Benchmark, см. в файле полного сопоставления базовых показателей безопасности Service Fabric .

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

1.1. Защита ресурсов Azure в виртуальных сетях

Рекомендации. Убедитесь, что все развернутые подсети виртуальной сети используют группу безопасности сети, у которой есть элементы управления доступом к сети, относящиеся к доверенным портам и источникам приложения.

Ответственность: Customer

1.2. Мониторинг и регистрация конфигурации и трафика виртуальных сетей, подсетей и сетевых адаптеров

Рекомендации. Используйте Microsoft Defender для облака и примените рекомендации по защите сети для виртуальной сети, подсети и группы безопасности сети, применяемые для обеспечения безопасности кластера Azure Service Fabric. Включите журналы потоков групп безопасности сети и отправьте их в учетную запись службы хранилища Azure для аудита трафика. Также можно отправить журналы потоков в рабочую область Log Analytics и использовать Аналитику трафика Azure для получения ценных сведений о потоке трафика в облаке Azure. Аналитика трафика Azure обладает такими преимуществами, как возможность визуализировать сетевую активность и определять горячие участки, выявлять угрозы безопасности, анализировать шаблоны потоков трафика и выявлять некорректные сетевые настройки.

Ответственность: Customer

1.3. Защита критических веб-приложений

Рекомендации. Обеспечьте интерфейсный шлюз, который предоставляет единую точку входящего трафика пользователей, устройств или других приложений. Управление API Azure интегрируется непосредственно с Service Fabric, что позволяет защищать доступ к серверным службам, предотвращать атаки типа "отказ в обслуживании" с помощью регулирования, а также проверять ключи API, маркеры JWT, сертификаты и другие учетные данные.

Рассмотрите возможность развертывания Брандмауэра веб-приложений Azure (WAF) перед критически важными веб-приложениями для дополнительной проверки входящего трафика. Включите параметр диагностики для WAF и журналы приема в учетной записи хранения, концентраторе событий или рабочей области Log Analytics.

Ответственность: Customer

1.4. Запрет взаимодействия с известными опасными IP-адресами

Рекомендации. Для защиты от атак DDoS включите стандартную защиту Azure от атак DDoS в виртуальной сети, в которой развернут кластер Azure Service Fabric. Используйте интегрированную аналитику угроз в Microsoft Defender для облака, чтобы заблокировать обмен данными с известными вредоносными или неиспользуемыми IP-адресами в Интернете.

Ответственность: Customer

1.5. Запись сетевых пакетов

Рекомендации. Включите журналы потоков групп безопасности сети для групп безопасности сети, подключенных к подсети, используемой для защиты кластера Service Fabric. Вы можете записывать журналы потоков NSG в учетную запись службы хранилища Azure, чтобы создавать записи потоков. Включите сбор пакетов Наблюдателя за сетями Azure, если это требуется для изучения аномальных действий.

Ответственность: Customer

1.6. Развертывание сетевых систем обнаружения и предотвращения вторжений (IDS/IPS)

Рекомендации. Выберите в Azure Marketplace предложение, которое поддерживает функции IDS/IPS с возможностью проверки полезной нагрузки. Если система обнаружения или предотвращения вторжений на основе проверки атакующего кода не является обязательной, можно использовать Брандмауэр Azure с аналитикой угроз. Фильтрация Брандмауэра Azure на основе аналитики угроз может создавать оповещения и запрещать трафик, поступающий с известных вредоносных IP-адресов и доменов, а также передающий на них. IP-адреса и домены также передаются из канала Microsoft Threat Intelligence.

Разверните выбранное решение брандмауэра на всех границах корпоративной сети, чтобы обнаруживать и (или) запрещать вредоносный трафик.

Ответственность: Customer

1.7. Управление трафиком к веб-приложениям

Рекомендации. Разверните Шлюз приложений Azure для веб-приложений с включенным протоколом HTTPS/SSL для доверенных сертификатов.

Ответственность: Customer

1.8. Уменьшение сложности и дополнительных затрат на администрирование в правилах безопасности сети

Рекомендации. Используйте теги службы виртуальной сети, чтобы определить элементы управления доступом к сети для групп безопасности сети, подключенных к подсети, в которой развернут кластер Azure Service Fabric. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, ApiManagement) в соответствующем исходном поле или поле назначения правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

Ответственность: Customer

1.9. Поддержание стандартных конфигураций безопасности для сетевых устройств

Рекомендации. Определите и реализуйте стандартные конфигурации безопасности для сетевых ресурсов, связанных с кластером Azure Service Fabric. Используйте псевдонимы Политики Azure в пространствах имен Microsoft.ServiceFabric и Microsoft.Network, чтобы создать настраиваемые политики для аудита или принудительного применения сетевой конфигурации кластера Azure Service Fabric.

Вы также можете использовать Azure Blueprints для упрощения крупномасштабных развертываний Azure посредством упаковки ключевых артефактов среды, таких как шаблоны Azure Resource Manager, элементы управления Azure RBAC и политики, в единое определение схемы. Простое применение схемы к новым подпискам и средам, а также управление точной настройкой и управление с помощью версионирования.

Ответственность: Customer

1.10. Документация по правилам конфигурации трафика

Рекомендации. Используйте теги для связанных с кластером Service Fabric групп безопасности сети и других ресурсов, имеющих отношение к сетевой безопасности и потоку трафика. Для правил отдельных групп безопасности сети используйте поле "Описание", чтобы указать бизнес-потребности, длительность и пр. для любых правил, которые разрешают трафик в сеть и из нее.

Используйте любые встроенные определения Политики Azure, связанные с расстановкой тегов, например "Требовать тег и его значение", чтобы все ресурсы создавались с тегами, а вам отправлялись уведомления о существующих ресурсах без тегов.

Вы можете использовать Azure PowerShell или интерфейс командной строки (CLI) Azure для поиска или выполнения действий с ресурсами в зависимости от их тегов.

Ответственность: Customer

1.11. Использование автоматизированных средств для мониторинга конфигураций сетевых ресурсов и обнаружения изменений

Рекомендации. Используйте журнал действий Azure для слежения за конфигурациями сетевых ресурсов и обнаружения изменений в сетевых ресурсах, связанных с развернутыми службами Azure Service Fabric. Создавайте оповещения в Azure Monitor, которые будут запускаться при изменении критических сетевых ресурсов.

Ответственность: Customer

Ведение журналов и мониторинг

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и мониторинг.

2.2. Настройка централизованного управления журналами безопасности

Рекомендации. Вы можете подключить кластер Azure Service Fabric к Azure Monitor, чтобы агрегировать данные безопасности, создаваемые кластером. См. примеры проблем диагностики и их решений с помощью Service Fabric.

Ответственность: Customer

2.3. Включение журналов аудита для ресурсов Azure

Рекомендации. Включите Azure Monitor для кластера Service Fabric и направьте его в рабочую область Log Analytics. При этом будут регистрироваться соответствующие сведения о кластере и метрики ОС для всех узлов кластера Azure Service Fabric.

Ответственность: Customer

2.4. Сбор журналов безопасности из операционных систем

Рекомендации. Подключите кластер Azure Service Fabric к Azure Monitor. Убедитесь, что для используемой рабочей области Log Analytics задан срок хранения журнала в соответствии с нормативными требованиями вашей организации.

Ответственность: Customer

2.5. Настройка хранения журнала безопасности

Рекомендации. Подключите кластер Service Fabric к Azure Monitor. Убедитесь, что для используемой рабочей области Log Analytics задан срок хранения журнала в соответствии с нормативными требованиями вашей организации.

Ответственность: Customer

2.6. Мониторинг и просмотр журналов

Рекомендации. Используйте запросы к рабочей области Azure Log Analytics для запроса журналов Azure Service Fabric.

Ответственность: Customer

2.7. Включение оповещений об аномальных действиях

Рекомендации. Используйте рабочую область Azure Log Analytics, чтобы отслеживать и предупреждать об аномальных действиях в журналах безопасности и событиях, связанных с кластером Azure Service Fabric.

Ответственность: Customer

2.8. Централизованное ведение журнала защиты от вредоносных программ

Рекомендации. По умолчанию Защитник Windows устанавливается на Windows Server 2016. Если вы не используете Защитник Windows, обратитесь к документации по работе с антивредоносным ПО, чтобы ознакомиться с правилами настройки. Защитник Windows не поддерживается в Linux.

Ответственность: Customer

2.9. Включение ведения журнала запросов DNS

Рекомендации. Реализуйте стороннее решение для ведения журнала DNS.

Ответственность: Customer

2.10. Включение ведения журнала аудита для командной строки

Рекомендации. Настройте вручную ведение журнала консоли для каждого узла.

Ответственность: Customer

Идентификатор и управление доступом

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями и доступом.

3.1. Инвентаризация учетных записей администраторов

Рекомендации. Сохраните запись локальной административной учетной записи, созданной при подготовке кластера Azure Service Fabric, а также любых других создаваемых учетных записей. Кроме того, если используется интеграция Azure Active Directory (Azure AD), в Azure AD есть встроенные роли, которые должны быть явно назначены и, следовательно, доступны для запросов. Используйте модуль Azure AD PowerShell, чтобы выполнять нерегламентированные запросы для обнаружения учетных записей, входящих в группы администраторов.

Кроме того, вы можете использовать рекомендации по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.2. Изменение паролей по умолчанию, где применимо

Рекомендации. При подготовке кластера Azure требует создать новые пароли для веб-портала. Пароли по умолчанию, которые можно было бы изменить, отсутствуют, однако можно указать разные пароли для доступа к веб-порталу.

Ответственность: Customer

3.3. Применение выделенных административных учетных записей

Рекомендации. Интегрируйте проверку подлинности для Service Fabric с Azure Active Directory (Azure AD). Создайте политики и процедуры для использования выделенных административных учетных записей.

Кроме того, вы можете использовать рекомендации по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.4. Использование единого входа с Azure Active Directory

Указание: всегда, когда это возможно, используйте единый вход в систему (SSO) для Microsoft Azure Active Directory (Azure AD) вместо настройки отдельных автономных учетных данных для каждой службы. Используйте рекомендации по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Рекомендации. Включите многофакторную проверку подлинности Azure Active Directory (Azure AD) и следуйте рекомендациям по управлению идентификацией и доступом в Microsoft Defender для облака.

Ответственность: Customer

3.6. Использование выделенных компьютеров (рабочих станций с привилегированным доступом) для всех административных задач

Рекомендации. Используйте рабочие станции с привилегированным доступом (PAW) и настроенной многофакторной проверкой подлинности для входа в кластеры Service Fabric и связанные с ними ресурсы, а также для их настройки.

Ответственность: Customer

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Руководство. Используйте Privileged Identity Management (PIM) в Azure Active Directory (AAD) для генерации журналов и оповещений о подозрительных или небезопасных действиях в среде. Кроме того, используйте обнаружение рисков Azure AD для просмотра оповещений и отчетов об опасном поведении пользователя.

Ответственность: Customer

3.8. Управление ресурсами Azure только из утвержденных расположений

Руководство. Используйте именованные расположения с условным доступом, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов или стран и регионов.

Ответственность: Customer

3.9. Использование Azure Active Directory

Рекомендации. Используйте Azure Active Directory (Azure AD) в качестве централизованной системы проверки подлинности и авторизации, чтобы защитить доступ к конечным точкам управления для кластеров Service Fabric. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.ServiceFabric:

Имя
(портал Azure)		 Описание Действие Версия
(GitHub)
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0

3.10. Регулярная проверка и согласование доступа пользователей

Рекомендации. Используйте проверку подлинности Azure Active Directory (Azure AD) в кластере Service Fabric. Azure AD предоставляет журналы для облегчения поиска устаревших учетных записей. Кроме того, используйте проверки доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям и назначения ролей. Доступ пользователей можно регулярно проверять, чтобы постоянный доступ был только у авторизованных пользователей.

Ответственность: Customer

3.11. Предупреждение при подозрительном входе в учетную запись

Рекомендации. Используйте журналы входа и аудита Azure Active Directory (Azure AD) для отслеживания попыток доступа к отключенным учетным записям; эти журналы можно интегрировать в любое стороннее средство SIEM или мониторинга.

Этот процесс можно упростить, создав параметры диагностики для учетных записей пользователей Microsoft Azure Active Directory и отправив журналы аудита и журналы входа в рабочую область Azure Log Analytics. Настройте необходимые оповещения в рабочей области Log Analytics в Azure.

Ответственность: Customer

3.12. Предупреждения при подозрительном входе в учетную запись

Руководство. Используйте функции защиты идентификации и обнаружения рисков Azure Active Directory, чтобы настроить автоматическое реагирование на обнаруженные подозрительные действия, связанные с удостоверениями пользователей. Вы также можете принимать данные в Microsoft Sentinel для дополнительного анализа.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

4.1. Инвентаризация конфиденциальных данных

Рекомендации. Используйте теги для ресурсов, связанных с развернутыми кластерами Service Fabric, чтобы упростить отслеживание ресурсов Azure, в которых хранится или обрабатывается конфиденциальная информация.

Ответственность: Customer

4.2. Изолирование систем, хранящих или обрабатывающих конфиденциальные данные

Руководство. Реализуйте отдельные подписки и группы управления для разработки, тестирования и производства. Ресурсы должны быть разделены по виртуальным сетям или подсетям, соответствующим образом помечены и защищены с помощью групп безопасности сети или Брандмауэра Azure. Ресурсы, которые хранят или обрабатывают конфиденциальные данные, должны быть в достаточной степени изолированы. Для виртуальных машин, где хранятся или обрабатываются конфиденциальные данные, необходимо реализовать политики и процедуры отключения, когда они не используются.

Ответственность: Customer

4.3. Мониторинг и блокирование несанкционированной передачи конфиденциальной информации

Рекомендации. Разверните по периметру сети автоматизированное средство, которое будет отслеживать и блокировать несанкционированную передачу конфиденциальной информации, оповещая специалистов по информационной безопасности.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

4.4: Шифрование любой конфиденциальной информации при передаче

Инструкции. Шифруйте всю конфиденциальную информацию при передаче. Убедитесь, что все клиенты, которые подключаются к ресурсам Azure, могут согласовывать подключение по протоколу TLS 1.2 или более поздней версии.

Для взаимной проверки подлинности между клиентом и узлом Service Fabric используйте сертификат X.509 для удостоверения сервера и шифрование TLS для связи по протоколу HTTP. В кластере можно установить любое количество дополнительных сертификатов в целях безопасности приложений, включая шифрование и дешифрование значений конфигурации приложения и данных между узлами во время репликации. Следуйте рекомендациям Microsoft Defender для облака в отношении шифрования при хранении и передаче данных, насколько это применимо.

Ответственность: Совмещаемая блокировка

4.5. Использование средства активного обнаружения для распознавания конфиденциальных данных

Рекомендации. Функции идентификации, классификации и предотвращения потери данных пока недоступны для службы хранилища Azure или вычислительных ресурсов. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

4.7. Использование защиты от потери данных на основе узла для обеспечения контроля доступа

Рекомендации. Пометьте кластеры Service Fabric, в которых хранится или обрабатывается конфиденциальная информация, и связанные с ними ресурсы как конфиденциальные с помощью тегов. Функции идентификации, классификации и предотвращения потери данных пока недоступны для службы хранилища Azure или вычислительных ресурсов. Установите сторонние решения, если это необходимо для обеспечения соответствия требованиям.

Для базовой платформы, управляемой корпорацией Майкрософт, корпорация Майкрософт считает все содержимое клиента конфиденциальным и предпринимает все возможные усилия для защиты клиентов от потери данных и раскрытия информации. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт реализовала и поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

4.8. Шифрование конфиденциальной информации при хранении

Рекомендации. Используйте шифрование неактивных данных для всех ресурсов Azure. Корпорация Майкрософт рекомендует разрешить Azure управлять ключами шифрования, однако в некоторых экземплярах вы можете сами управлять своими ключами.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.ServiceFabric:

Имя
(портал Azure)		 Описание Действие Версия
(GitHub)
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Audit, Deny, Disabled 1.1.0

4.9. Включение в журнал и создание оповещений по изменениям критических ресурсов Azure

Рекомендации. Используйте Azure Monitor и журнал действий Azure, чтобы создать оповещения об изменениях в критических ресурсах Azure.

Ответственность: Customer

Управление уязвимостями

Дополнительные сведения см. в статье Azure Security Benchmark: управление уязвимостями.

5.1. Выполнение автоматизированных средств анализа уязвимостей

Рекомендации. Регулярно запускайте службу анализа сбоев Service Fabric и службу Chaos, чтобы моделировать сбои в кластере для оценки надежности служб.

Следуйте рекомендациям Microsoft Defender для облака по выполнению оценки уязвимостей в ваших виртуальных машинах Azure и образах контейнеров.

Используйте стороннее решение для оценки уязвимостей на сетевых устройствах и в веб-приложениях. При удаленной проверке не используйте одну бессрочную учетную запись администратора. Рассмотрите возможность реализации методологии JIT-подготовки для учетной записи проверки. Учетные данные для учетной записи проверки должны защищаться, отслеживаться и использоваться только для поиска уязвимостей.

Ответственность: Customer

5.2. Развертывание автоматизированного решения для управления исправлениями операционной системы

Рекомендации. Включите автоматические обновления образов ОС в масштабируемых наборах виртуальных машин кластера Service Fabric.

Либо используйте ручной триггер для обновления образа операционной системы в масштабируемом наборе при тестировании исправлений ОС перед переходом в рабочую среду. Обратите внимание, что параметр ручного триггера не предоставляет встроенную функцию отката. Отслеживайте исправления ОС с помощью Управления обновлениями из службы автоматизации Azure.

Ответственность: Customer

5.3. Развертывание автоматизированного решения для управления исправлениями для программных продуктов сторонних производителей

Рекомендации. Включите автоматические обновления образов ОС в масштабируемых наборах виртуальных машин кластера Azure Service Fabric. Приложение для оркестрации исправлений (POA) — это альтернативное решение, предназначенное для кластеров Service Fabric, размещенных за пределами Azure. POA можно использовать с кластерами Azure, но это связано с дополнительными накладными расходами на размещение.

Ответственность: Customer

5.4. Сравнение проверок смежных уязвимостей

Руководство. Экспортируйте результаты сканирования через одинаковые интервалы и сравните результаты, чтобы убедиться в том, что уязвимости устранены. При использовании рекомендаций по управлению уязвимостями, которые предлагает Microsoft Defender для облака, вы можете перейти на портал выбранного решения и просмотреть данные сканирования за прошлые периоды.

Ответственность: Customer

5.5. Использование процесса оценки рисков для определения приоритета в устранении обнаруженных уязвимостей

Руководство. Используйте общую программу оценки рисков (например, Common Vulnerability Scoring System) или оценки рисков по умолчанию, предоставляемые сторонним средством сканирования.

Ответственность: Customer

Инвентаризация и управление ресурсами

Дополнительные сведения см. в статье Azure Security Benchmark: управление инвентаризацией и ресурсами.

6.1. Использование автоматизированного решения для обнаружения ресурсов

Руководство. Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (например, вычислений, хранилища, сети, портов и протоколов и т. д.) в ваших подписках. Убедитесь в том, что в вашем клиенте есть соответствующие разрешения (на чтение) и вы можете перечислить все подписки Azure, а также ресурсы в ваших подписках.

Хотя классические ресурсы Azure можно обнаружить через Resource Graph, настоятельно рекомендуется в дальнейшем создавать и использовать ресурсы Azure Resource Manager.

Ответственность: Customer

6.2. Ведение метаданных активов

Руководство. Применяйте к ресурсам Azure теги, чтобы логически классифицировать их на основе метаданных.

Ответственность: Customer

6.3. Удаление неавторизованных ресурсов Azure

Рекомендации. При необходимости используйте теги, группы управления и отдельные подписки, чтобы упорядочивать и отслеживать ресурсы. Регулярно сверяйте ресурсы, чтобы своевременно удалять неавторизованные ресурсы из подписки.

Ответственность: Customer

6.4. Определение и проведение инвентаризации для утвержденных ресурсов Azure

Руководство. Определите утвержденные ресурсы Azure и программное обеспечение для вычислительных ресурсов.

Ответственность: Customer

6.5. Отслеживание неутвержденных ресурсов Azure

Рекомендации. Используйте политику Azure, чтобы ограничить тип ресурсов, которые могут быть созданы в подписках клиентов, используя следующие встроенные определения политик:

  • Недопустимые типы ресурсов

  • Допустимые типы ресурсов

Используйте Azure Resource Graph для запроса или обнаружения ресурсов в подписках. Убедитесь в том, что все ресурсы Azure, представленные в среде, утверждены.

Ответственность: Customer

6.6. Отслеживание неутвержденных программных приложений в рамках ресурсов вычислений

Рекомендации. Реализуйте стороннее решение, чтобы отслеживать узлы кластера для неутвержденных программных приложений.

Ответственность: Customer

6.7. Удаление неутвержденных ресурсов Azure и программных приложений

Рекомендации. Используйте Azure Resource Graph для запроса и обнаружения всех ресурсов (например, вычислений, хранилища, сети, портов, протоколов и т. д.), включая кластер Service Fabric, в ваших подписках. Удалите все неутвержденные ресурсы Azure, которые вы обнаружите. Для узлов кластера Service Fabric реализуйте стороннее решение, чтобы удалить неутвержденное программное обеспечение или сообщить о нем.

Ответственность: Customer

6.8. Использование только утвержденных приложений

Рекомендации. Для узлов кластера Service Fabric реализуйте стороннее решение, чтобы предотвратить запуск несанкционированного программного обеспечения.

Ответственность: Customer

6.9. Использование только утвержденных служб Azure

Рекомендация. Используйте Политику Azure, чтобы ограничить перечень служб, которые вы можете подготавливать в своем окружении.

Ответственность: Customer

6.10. Проведение инвентаризации для утвержденных программных продуктов

Рекомендации. Для узлов кластера Azure Service Fabric реализуйте стороннее решение, чтобы предотвратить запуск несанкционированных типов файлов.

Ответственность: Customer

6.11. Ограничение возможности пользователей взаимодействовать с Azure Resource Manager

Руководство. Используйте условный доступ Azure, чтобы ограничить возможность пользователей взаимодействовать с Azure Resource Manager путем настройки параметра "Блокировать доступ" для приложения "Управление Microsoft Azure".

Ответственность: Customer

6.12. Ограничение возможности пользователей выполнять сценарии в ресурсах вычислений

Руководство. Используйте определенные конфигурации операционной системы или сторонние ресурсы, чтобы ограничить возможность пользователей запускать скрипты в вычислительных ресурсах Azure.

Ответственность: Customer

6.13. Физическое или логическое разделение приложений с высоким риском

Рекомендации. Программное обеспечение, необходимое для бизнес-операций, но несущее риск для организации, следует изолировать в рамках отдельной виртуальной машины и (или) виртуальной сети и хорошо защитить с помощью Брандмауэра Azure или группы безопасности сети.

Ответственность: Customer

Настройка безопасности

Дополнительные сведения см. в статье Azure Security Benchmark: настройка безопасности.

7.1. Установка безопасных конфигураций для всех ресурсов Azure

Рекомендации. Используйте псевдонимы Политики Azure в пространстве имен Microsoft.ServiceFabric, чтобы создать настраиваемые политики для аудита или принудительного применения сетевой конфигурации кластера Service Fabric.

Ответственность: Customer

7.2. Сохранение безопасных конфигураций для операционных систем

Рекомендации. Управлением образами операционных систем Service Fabric и их обслуживанием занимается корпорация Майкрософт. Клиент отвечает за реализацию безопасных конфигураций для операционной системы узлов кластера.

Ответственность: Customer

7.3. Сохранение безопасных конфигураций для ресурсов Azure

Рекомендации. Используйте параметры [запретить] и [развернуть, если не существует] Политики Azure, чтобы обеспечить безопасность параметров в кластерах Azure Service Fabric и связанных с ними ресурсах.

Ответственность: Customer

7.4. Сохранение безопасных конфигураций для операционных систем

Рекомендации. Управлением образами операционных систем кластера Service Fabric и их обслуживанием занимается корпорация Майкрософт. Клиент отвечает за реализацию настройки состояния на уровне ОС.

Ответственность: Совмещаемая блокировка

7.5. Безопасное хранение конфигурации ресурсов Azure

Руководство. Если вы применяете настраиваемые определения Политики Azure, используйте Azure DevOps или Azure Repos для безопасного хранения кода и управления им.

Ответственность: Customer

7.6. Безопасное хранение пользовательских образов операционной системы

Рекомендации. Если вы работаете с настраиваемыми образами, используйте управление доступом на основе ролей Azure (Azure RBAC), чтобы доступ к образам был только у полномочных пользователей. Образы контейнеров следует хранить в Реестре контейнеров Azure. Используйте Azure RBAC, чтобы доступ к образам могли получить только полномочные пользователи.

Ответственность: Customer

7.7. Развертывание средств управления конфигурацией для ресурсов Azure

Рекомендации. Используйте псевдонимы политик Azure в пространстве имен Microsoft.ServiceFabric, чтобы создать настраиваемые политики для оповещения, аудита и принудительного применения конфигураций системы. Кроме того, разрабатывайте процесс и конвейер для управления исключениями политик.

Ответственность: Customer

7.9. Реализация автоматизированного мониторинга конфигурации для ресурсов Azure

Рекомендации. Используйте псевдонимы Политики Azure в пространстве имен Microsoft.ServiceFabric, чтобы создать настраиваемые политики для аудита или принудительного применения конфигурации кластера Service Fabric.

Ответственность: Customer

7.10. Реализация автоматизированного мониторинга конфигурации для операционных систем

Рекомендации. Используйте Microsoft Defender для облака, чтоб выполнять проверки базовых показателей для ОС и параметров Docker для контейнеров.

Ответственность: Customer

7.11. Безопасное управление секретами Azure

Рекомендации. Используйте Управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление секретами в облачных приложениях.

Ответственность: Customer

7.12. Безопасное и автоматическое управление удостоверениями

Рекомендации. Управляемые удостоверения можно использовать в кластерах Service Fabric, развернутых в Azure, а также для приложений, развернутых в качестве ресурсов Azure. Управляемые удостоверения позволяют выполнять проверку подлинности в любой службе, которая поддерживает проверку подлинности Azure AD, включая Key Vault, при этом не сохраняя каких-либо учетных данных в коде.

Ответственность: Customer

7.13. Устранение непреднамеренного раскрытия учетных данных

Рекомендации. При использовании любого кода, связанного с развертыванием Azure Service Fabric, можно реализовать сканер учетных данных, чтобы указать учетные данные в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Используйте Azure Key Vault для автоматической смены сертификатов у кластеров Service Fabric.

Ответственность: Customer

Защита от вредоносных программ

Дополнительные сведения см. в статье Azure Security Benchmark: защита от вредоносных программ.

8.1. Использование централизованно управляемого программного обеспечения для защиты от вредоносных программ

Рекомендации. По умолчанию антивирусная программа “Защитник Windows” устанавливается на Windows Server 2016. Пользовательский интерфейс установлен по умолчанию на некоторых номерах SKU, но не является обязательным.

Если вы не используете Защитник Windows, обратитесь к документации по работе с антивредоносным ПО, чтобы ознакомиться с правилами настройки. Защитник Windows не поддерживается в Linux.

Ответственность: Customer

Восстановление данных

Дополнительные сведения см. в статье Azure Security Benchmark: восстановление данных.

9.1. Обеспечение регулярного автоматического резервного копирования

Рекомендации. Служба резервного копирования и восстановления в Service Fabric обеспечивает простое автоматическое резервное копирование данных, хранящихся в службах с отслеживанием состояния. Периодическое резервное копирование данных приложения является основой для защиты от потери данных и недоступности службы. Service Fabric предоставляет дополнительную службу резервного копирования и восстановления, которая позволяет настраивать периодическое резервное копирование надежных служб с отслеживанием состояния (включая службы субъекта) без необходимости написания дополнительного кода. Она также упрощает восстановление ранее сделанных резервных копий.

Ответственность: Customer

9.2. Выполнение полного резервного копирования системы и любых ключей, управляемых клиентом

Рекомендации. Включите службу восстановления резервных копий в кластере Service Fabric и создайте политики резервного копирования, чтобы периодически и по запросу создавать резервные копии служб с отслеживанием состояния. Выполняйте резервное копирование ключей, управляемых клиентом, в Azure Key Vault.

Ответственность: Customer

9.3. Проверка всех резервных копий, включая управляемые клиентом ключи

Рекомендации. Обеспечьте выполнение восстановления из службы восстановления резервных копий за счет периодической проверки сведений о конфигурации резервного копирования и доступных резервных копий. Проверьте, как восстанавливаются резервные копии ключей, управляемых клиентом.

Ответственность: Customer

9.4. Обеспечение защиты резервных копий и управляемых клиентом ключей

Рекомендации. Резервные копии из службы восстановления резервных копий Service Fabric используют учетную запись службы хранилища Azure в подписке. Служба хранилища Azure шифрует все данные в неактивных учетных записях хранения. По умолчанию данные шифруются с помощью ключей, управляемых корпорацией Майкрософт. Для дополнительного управления ключами шифрования можно предоставить ключи, управляемые клиентом, чтобы зашифровать данные в хранилище.

Если вы используете управляемые клиентом ключи, убедитесь, что в Key Vault включена функция обратимого удаления для защиты ключей от случайного или злонамеренного удаления.

Ответственность: Customer

реагирование на инциденты.

Дополнительные сведения см. в статье Azure Security Benchmark: реагирование на инциденты.

10.1. Создание руководства по реагированию на инциденты

Рекомендация. Разработайте для своей организации руководство по реагированию на инциденты. Составьте письменные планы реагирования на инциденты, в которых будут определены все роли персонала, а также этапы урегулирования инцидентов и управления ими (от обнаружения до проверки после инцидента).

Ответственность: Customer

10.2. Создание процедуры оценки инцидента и определения приоритетов

Рекомендации. Microsoft Defender для облака присваивает каждому оповещению уровень серьезности, что помогает назначить приоритет расследования оповещений. Серьезность основывается на том, насколько Microsoft Defender для облака уверен в результате или аналитике, используемой для оповещения, и в злонамеренности события, приведшего к этому оповещению.

Кроме того, пометьте подписки с помощью тегов и создайте систему именования, чтобы определить и классифицировать ресурсы Azure, особенно те, что используются при обработке конфиденциальных данных. Вы несете ответственность за назначение приоритета оповещениям, требующим действий по исправлению, в зависимости от важности ресурсов Azure и среды, где произошел инцидент.

Ответственность: Customer

10.3. Проверка процедур реагирования на угрозы

Рекомендации. Выполните упражнения, чтобы периодически протестировать возможности ваших систем реагировать на угрозы. Выявите слабые точки и пробелы и пересмотрите план по мере необходимости.

Ответственность: Customer

10.4. Предоставление контактных сведений и настройка уведомлений по инцидентам безопасности

Руководство. Корпорация Майкрософт будет использовать информацию об инциденте безопасности для связи с вами, если центр Microsoft Security Response Center (MSRC) обнаружит, что к вашим данным был получен незаконный или несанкционированный доступ. Проверьте инциденты после факта обращения, чтобы убедиться в том, что проблемы устранены.

Ответственность: Customer

10.5. Включение оповещений системы безопасности в систему реагирования на инциденты

Рекомендации. Используйте функцию непрерывного экспорта для своих оповещений и рекомендаций Microsoft Defender для облака. Непрерывный экспорт позволяет экспортировать предупреждения и рекомендации как вручную, так и в постоянном, непрерывном режиме. Для потоковой передачи оповещений в Sentinel можно использовать соединитель данных Microsoft Defender для облака.

Ответственность: Customer

10.6. Автоматизация реагирования на оповещения системы безопасности

Рекомендации. Используйте возможности автоматизации рабочих процессов в Microsoft Defender для облака, чтобы автоматически реагировать на оповещения и рекомендации по безопасности через Logic Apps.

Ответственность: Customer

Тесты на проникновение и попытки нарушения безопасности "красной командой"

Дополнительные сведения см. в статье Azure Security Benchmark: тесты на проникновение и попытки нарушения безопасности "красной командой".

11.1. Регулярное тестирование на проникновение в ресурсы Azure и отслеживание исправлений для всех критических точек безопасности

Инструкции. Следуйте правилам взаимодействия при тестировании на проникновение в Microsoft Cloud, чтобы тесты на проникновение соответствовали политикам Майкрософт. Используйте стратегию Майкрософт и рекомендации "красных команд", а затем выполните тест на проникновение в режиме реального времени для управляемых корпорацией Майкрософт облачной инфраструктуры, служб и приложений.

Ответственность: Совмещаемая блокировка

Дальнейшие действия