Рекомендации по обеспечению защиты ресурсов
Применяется к этой рекомендации по безопасности Azure Well-Architected Framework:
| SE:08 | Ужесточение всех компонентов рабочей нагрузки путем уменьшения дополнительных областей поверхности и ужесточения конфигураций для повышения затрат злоумышленников. |
|---|
В этом руководстве описываются рекомендации по обеспечению защиты ресурсов путем разработки локализованных элементов управления в рабочей нагрузке и их поддержания для защиты от повторяющихся атак.
Защита безопасности — это преднамеренное упражнение самосохранения. Цель состоит в том, чтобы уменьшить область атаки и увеличить затраты злоумышленников в других областях, что ограничивает возможности злоумышленников для использования уязвимостей. Чтобы защитить рабочую нагрузку, реализуйте рекомендации по обеспечению безопасности и конфигурации.
Защита безопасности — это непрерывный процесс , требующий непрерывного мониторинга и адаптации к эволюционировающим угрозам и уязвимостям.
Определения
| Термин | Определение |
|---|---|
| Усиление защиты | Практика уменьшения области атаки путем удаления лишних ресурсов или настройки конфигураций. |
| Рабочая станция привилегированного доступа (PAW) | Выделенный и безопасный компьютер, используемый для выполнения конфиденциальных задач, что снижает риск компрометации. |
| Безопасная административная рабочая станция (SAW) | Специализированный PAW, используемый учетными записями критического влияния. |
| Область поверхности | Логический след рабочей нагрузки, содержащей уязвимости. |
Основные стратегии проектирования
Защита безопасности — это высоко локализованное упражнение, которое укрепляет элементы управления на уровне компонента, будь то ресурсы или процессы. При ужесточении безопасности каждого компонента она повышает совокупную безопасность рабочей нагрузки.
Защита безопасности не учитывает функциональные возможности рабочей нагрузки и не обнаруживает угрозы или не выполняет автоматическое сканирование. Защита безопасности сосредоточена на настройке конфигурации с предполагаемой нарушением и глубиной обороны. Цель заключается в том, чтобы злоумышленник затруднил контроль над системой. Усиление защиты не должно изменять предназначенную программу рабочей нагрузки или ее операций.
Создание инвентаризации ресурсов рабочей нагрузки
Первым шагом процесса защиты является сбор комплексной инвентаризации всех аппаратных, программных и данных. Обновляйте записи инвентаризации, добавляя новые ресурсы и удаляя устаревшие ресурсы. Для всех ресурсов в инвентаризации рассмотрите следующие рекомендации.
Уменьшите объем памяти. Удалите дополнительную область поверхности или уменьшите область действия. Устранение простых целей или дешевых и хорошо установленных векторов атак, таких как неисправные программные эксплойты и атаки подбора. Перед развертыванием в рабочей среде следует очистить удостоверения, компоненты сборки и другие неисключенные ресурсы из исходного дерева.
Настройка конфигураций. Оцените и ужесточите оставшуюся поверхность. Когда ресурсы ужесточаются, пробные и проверенные методы, которые используют злоумышленники, больше не являются успешными. Он заставляет злоумышленников получать и использовать расширенные или неотверенные методы атаки, что повышает их затраты.
Поддерживайте защиту. Поддерживайте защитные меры, выполняя непрерывное обнаружение угроз, чтобы обеспечить зависимость усилий по защите с течением времени.
Также учитывайте следующие факторы.
Надежный источник. Часть упражнения по обеспечению защиты включает в себя цепочку поставок программного обеспечения. В этом руководстве предполагается, что все компоненты получены из доверенных источников. Ваша организация должна утвердить программное обеспечение, приобретенное сторонними поставщиками. Это утверждение применяется к источникам операционной системы, образов и других сторонних средств. Без доверенных ресурсов защита может быть бесконечным сливом гарантий безопасности в ненадежных источниках.
Рекомендации по обеспечению безопасности цепочки поставок см . в рекомендациях по обеспечению безопасности жизненного цикла разработки.
Обучение. Защита является специализированным навыком. Это методично и требует высокого уровня компетенции. Необходимо понять функциональные возможности компонента и как изменения влияют на компонент. Член группы должен иметь возможность различать рекомендации, которые от отраслевых экспертов и платформы, чтобы отличить его от рекомендаций от неопределенных источников. Обучите участников группы созданию языка и региональных параметров безопасности. Убедитесь, что ваша команда имеет опыт работы с рекомендациями по обеспечению безопасности, имеет осведомленность о потенциальных угрозах и узнает о ретроспективах после инцидента.
Документация. Документируйте и публикуйте требования к обеспечению защиты, решения и определенные методы. Для прозрачности также документируйте исключения или отклонения от этих требований.
Защита может быть громоздкой, но это важное упражнение по обеспечению безопасности, которое необходимо документировать. Сначала закрепите основные компоненты, а затем развернитесь в другие области, такие как автоматизированные процессы и человеческие процессы, чтобы ужесточить потенциальные пробелы. Будьте тщательны в отношении изменений. Например, необходимо отключить параметры по умолчанию, так как изменения значений по умолчанию могут повлиять на стабильность системы. Даже если конфигурация замены совпадает с конфигурацией по умолчанию, она должна быть определена. В следующих разделах описываются распространенные целевые объекты для защиты. Оцените ключевые области разработки рабочей нагрузки и следуйте ключевым стратегиям защиты на уровне компонента.
Ужесточение сетевых компонентов
Разделите сеть на сегменты , чтобы изолировать критически важные ресурсы и конфиденциальные данные от менее безопасных ресурсов, что снижает боковое перемещение злоумышленников. В этих сегментах примените подход по умолчанию . Только добавьте доступ к списку разрешений, если это оправдано.
Отключите порты и протоколы, которые не используются активно. Например, в службе приложение Azure, если вам не нужно развертывать через FTP, ее можно отключить. Или если вы выполняете операции управления через внутреннюю сеть, вы можете отключить административный доступ из Интернета.
Удалите или отключите устаревшие протоколы. Злоумышленники используют системы, использующие старые версии. Используйте службу обнаружения Azure для просмотра журналов и определения использования протокола. Может быть трудно удалить протоколы, так как это может нарушить функциональные возможности системы. Проверьте все изменения перед реализацией, чтобы снизить риск прерывания работы.
Рассматривать общедоступные IP-адреса (PIP) как ресурсы с высоким риском, так как они легко получить доступ и имеют широкий доступ по всему миру. Чтобы уменьшить уязвимость, удалите ненужный доступ в Интернет к рабочей нагрузке. Используйте общие общедоступные IP-адреса, которые службы Майкрософт, например Azure Front Door, предоставляют. Эти службы предназначены для подключения к Интернету, и они блокируют доступ к запрещенным протоколам. Многие такие службы выполняют первоначальные проверки входящих запросов на пограничной сети. При использовании выделенного PIP вы отвечаете за управление своими аспектами безопасности, разрешением или блокировкой портов и сканированием входящих запросов, чтобы обеспечить их допустимость.
Для приложений, подключенных к Интернету, ограничьте доступ, добавив службу уровня 7 , которая может фильтровать недопустимый трафик. Изучите собственные службы, которые применяют защиту от атак типа "отказ в обслуживании" (DDoS), имеют брандмауэры веб-приложений и обеспечивают защиту на границе до достижения уровня приложения.
Защита системы доменных имен (DNS) является другой практикой безопасности сети. Чтобы обеспечить безопасность инфраструктуры DNS, рекомендуется использовать доверенные сопоставители DNS. Чтобы проверить информацию из сопоставителей DNS и обеспечить дополнительный уровень безопасности, если это возможно, используйте протокол безопасности DNS для высокочувствительных зон DNS. Чтобы предотвратить такие атаки, как отравление кэша DNS, атаки DDoS и атаки с расширением, изучите другие средства безопасности, связанные с DNS, такие как ограничение скорости запросов, ограничение скорости отклика и файлы cookie DNS.
Элементы управления доступом к удостоверениям
Удалите неиспользуемые учетные записи или учетные записи по умолчанию. Отключите неиспользуемые методы проверки подлинности и авторизации.
Отключите устаревшие методы проверки подлинности, так как они часто атакуют векторы. Старые протоколы часто не имеют мер счетчика атак, таких как блокировки учетных записей. Внедрите требования к проверке подлинности поставщику удостоверений (IdP), например идентификатору Microsoft Entra.
Предпочитайте федерацию для создания повторяющихся удостоверений. Если удостоверение скомпрометировано, его доступ проще отменить при централизованном управлении.
Общие сведения о возможностях платформы для расширенной проверки подлинности и авторизации. Средства управления доступом за счет использования многофакторной проверки подлинности, проверки подлинности без пароля, условного доступа и других функций, предоставляемых идентификатором Microsoft Entra ID для проверки удостоверения. Вы можете добавить дополнительную защиту вокруг событий входа и уменьшить область действия, в которой злоумышленник может запросить.
Используйте управляемые удостоверения и удостоверения рабочей нагрузки без учетных данных, где это возможно. Учетные данные могут быть утечкой. Дополнительные сведения см . в рекомендациях по защите секретов приложений.
Используйте подход с минимальными привилегиями для процессов управления. Удалите ненужные назначения ролей и выполните регулярные проверки доступа Microsoft Entra. Используйте описания назначения ролей, чтобы сохранить бумажный след оправданий, что имеет решающее значение для аудита.
Ужесточение конфигураций облачных ресурсов
Предыдущие рекомендации по защите сети и идентификации применяются к отдельным облачным службам. Для сетевых подключений обратите особое внимание на брандмауэры уровня обслуживания и оцените их правила входящего трафика.
Обнаружение и отключение неиспользуемых возможностей или функций, таких как неиспользуемый доступ к плоскости данных и функции продукта, которые могут охватывать другие компоненты. Например, Служба приложений поддерживает Kudu, который предоставляет развертывания FTP, удаленную отладку и другие функции. Если эти функции не нужны, отключите их.
Всегда следите за схемой развития Azure и схемой развития рабочей нагрузки. Применение обновлений исправлений и управления версиями, предлагаемых службами Azure. Разрешить обновления, предоставляемые платформой, и подписаться на автоматические каналы обновления.
Риск. Облачные ресурсы часто имеют требования к пособиям или должны выполняться в документированных конфигурациях, которые следует рассматривать как поддерживаемые. Некоторые методы защиты, такие как агрессивное блокирование исходящего трафика, могут привести к тому, что служба выходит за пределы поддерживаемой конфигурации, даже если служба работает нормально. Изучите требования среды выполнения каждого облачного ресурса от платформы, чтобы обеспечить поддержку этого ресурса.
Ресурсы кода жесткой защиты
Оцените области, в которых ваше приложение может непреднамеренно утечка информации. Например, предположим, что у вас есть API, который получает сведения о пользователе. Запрос может иметь допустимый идентификатор пользователя, и приложение возвращает ошибку 403. Но с недопустимым идентификатором клиента запрос возвращает ошибку 404. Затем вы фактически утечки информации о идентификаторах пользователей.
Могут быть более тонкие случаи. Например, задержка ответа с допустимым идентификатором пользователя выше недопустимого идентификатора клиента.
Рассмотрите возможность реализации защиты приложений в следующих областях:
Проверка и очистка входных данных: предотвращение атак внедрения, таких как внедрение SQL и межсайтовые скрипты (XSS), путем проверки и очистки всех входных данных пользователей. Автоматизация очистки входных данных с помощью библиотек и платформ проверки входных данных.
Управление сеансами: защита идентификаторов и маркеров сеанса от атак кражи или фиксации сеансов с помощью методов безопасного управления сеансами. Реализуйте тайм-ауты сеанса и применяйте повторную проверку подлинности для конфиденциальных действий.
Управление ошибками: реализуйте пользовательскую обработку ошибок, чтобы свести к минимуму предоставление конфиденциальной информации злоумышленникам. Безопасно регистрируют ошибки и отслеживают эти журналы для подозрительных действий.
Заголовки безопасности HTTP: устранение распространенных веб-уязвимостей путем использования заголовков безопасности в ответах HTTP, таких как политика безопасности содержимого (CSP), X-Content-Type-Options и X-Frame-Options.
Безопасность API: защита API с помощью надлежащих механизмов проверки подлинности и авторизации. Для дальнейшего повышения безопасности реализуйте ограничения скорости, проверку запросов и элементы управления доступом для конечных точек API.
Следуйте рекомендациям по безопасному программированию при разработке и обслуживании приложений. Регулярно проводите проверки кода и сканируйте приложения на наличие уязвимостей. Дополнительные сведения см . в рекомендациях по защите жизненного цикла разработки.
Операции жесткого управления
Также ужесточите другие ресурсы, отличные от среды выполнения. Например, уменьшите объем операций сборки, выполнив инвентаризацию всех ресурсов и удаляя неиспользуемые ресурсы из конвейера. Затем извлеките задачи, опубликованные доверенными источниками, и выполните только проверенные задачи.
Определите, требуются ли агенты сборки, размещенные корпорацией Майкрософт, или локальные агенты сборки. Для локальных агентов сборки требуется дополнительное управление и их необходимо ужесточить.
С точки зрения наблюдаемости реализуйте процесс проверки журналов для потенциальных нарушений. Регулярно просматривайте и обновляйте правила управления доступом на основе журналов доступа. Обратитесь к центральным командам для анализа журналов автоматического реагирования на события безопасности (SIEM) и оркестрации безопасности для обнаружения аномалий.
Рассмотрите возможность использования paW или SAW для привилегированных операций управления. PaWs и SAW являются защищенными физическими устройствами, которые предлагают значительные преимущества безопасности, но их реализация требует тщательного планирования и управления. Дополнительные сведения см. в статье "Защита устройств в рамках истории привилегированного доступа".
Упрощение функций Azure
Microsoft Defender для облака предлагает несколько возможностей защиты:
- Усиление защиты сервера
- Адаптивная защита сети
- Защита узлов Docker
Центр интернет-безопасности (CIS) предлагает защищенные образы в Azure Marketplace.
С помощью построителя образов виртуальных машин Azure можно создать повторяемый процесс для защищенных образов ОС. Common Base Linux-Mariner — это защищенный дистрибутив Linux, разработанный корпорацией Майкрософт, который соответствует стандартам безопасности и отраслевым сертификациям. Его можно использовать с продуктами инфраструктуры Azure для создания реализаций рабочих нагрузок.
Пример
Следующая процедура — это пример того, как заклинить операционную систему:
Уменьшите объем памяти. Удалите ненужные компоненты в изображении. Установите только то, что вам нужно.
Настройка конфигураций. Отключите неиспользуемые учетные записи. Конфигурация операционных систем по умолчанию содержит дополнительные учетные записи, связанные с группами безопасности. Если эти учетные записи не используются, отключите или удалите их из системы. Дополнительные удостоверения — это векторы угроз, которые можно использовать для получения доступа к серверу.
Отключите ненужный доступ к файловой системе. Шифруйте файловую систему и настраивайте элементы управления доступом для удостоверений и сетей.
Выполните только необходимые действия. Блокировать приложения и службы, которые выполняются по умолчанию. Утвердить только приложения и службы, необходимые для функциональных возможностей рабочей нагрузки.
Поддерживайте защиту. Регулярно обновляйте компоненты операционной системы с помощью последних обновлений системы безопасности и исправлений для устранения известных уязвимостей.
Дополнительные ссылки
- Адаптивная защита сети
- Рекомендации по защите секретов приложений
- Рекомендации по защите жизненного цикла разработки
- Защита устройств как часть истории привилегированного доступа
- Усиление защиты сервера
Ссылки на ресурсы сообщества
Контрольный список по безопасности
Ознакомьтесь с полным набором рекомендаций.