Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Инфраструктура представляет собой критический вектор угрозы. ИТ-инфраструктура, будь то локальная или многооблачная, определяется как все оборудование (физическое, виртуальное, контейнерное), программное обеспечение (открытый код, первый и сторонний, PaaS, SaaS), микрослужбы (функции, API), сетевая инфраструктура, объекты и т. д., необходимые для разработки, тестирования, доставки, контроля или поддержки ИТ-служб. Это область, в которой корпорация Майкрософт инвестировала огромные ресурсы для разработки комплексного набора возможностей для защиты будущего облака и локальной инфраструктуры.
Современная система безопасности с применением комплексной стратегии "Никому не доверяй" позволяет упростить:
- Оцените версию.
- Выполните управление конфигурацией.
- Применяйте административные привилегии Just-In-Time и Just-Enough-Access (JIT/JEA), чтобы укрепить защиту.
- использование данных телеметрии для обнаружения атак и аномалий;
- автоматическое блокирование и маркировка рискованного поведения, а также принятие мер по защите.
Что важно, служба Microsoft Azure Blueprints и связанные с ней возможности гарантируют разработку, реализацию и поддержку ресурсов способами, соответствующими политикам, стандартам и требованиям организации.
Azure Blueprints, Политики Azure, Microsoft Defender для облака, Microsoft Sentinel и Azure Sphere могут значительно способствовать повышению безопасности развернутой инфраструктуры. Вместе они обеспечивают другой подход к определению, проектированию, подготовке, развертыванию и мониторингу инфраструктуры.
Цели развертывания инфраструктуры на основе модели "Никому не доверяй"
Совет
До реализации принципа "Никому не доверяй" подход к безопасности инфраструктуры в большинстве организаций характеризуется следующим образом:
- ручное управление разрешениями в разных средах;
- управление конфигурацией виртуальных машин и серверов, на которых выполняются рабочие нагрузки.
|
При реализации комплексной платформы на основе принципа "Никому не доверяй" для управления инфраструктурой и ее мониторинга рекомендуется в первую очередь сосредоточиться на следующих начальных целях развертывания: |
|
|
|
I.Рабочие нагрузки отслеживаются и оповещаются о ненормальном поведении. |
|
После завершения начальных целей сосредоточьтесь на следующих дополнительных целях развертывания: |
|
|
|
IV.Неавторизованные развертывания блокируются и активируются оповещения. V.Детальная видимость и управление доступом доступны на всех рабочих нагрузках. VI.Доступ пользователей и ресурсов сегментирован для каждой рабочей нагрузки. |
Руководство по развертыванию инфраструктуры на основе модели "Никому не доверяй"
В этом руководстве описаны шаги, необходимые для защиты вашей инфраструктуры в соответствии с принципами концепции безопасности "Нулевое доверие".
Прежде чем приступить к работе, убедитесь, что выполнены приведенные базовые цели развертывания инфраструктуры.
Настройка базового арендатора Майкрософт
Для управления инфраструктурой необходимо задать приоритетные базовые показатели. Применяя отраслевые рекомендации, такие как NIST 800-53, вы можете вывести набор требований для управления вашей инфраструктурой. Корпорация Майкрософт установила минимальные базовые показатели в виде следующего списка требований:
-
управление доступом к данным, сетям, службам, служебным программам, инструментам и приложениям должно осуществляться с помощью механизмов проверки подлинности и авторизации;
-
данные должны шифроваться при передаче и в состоянии покоя.
-
необходимо ограничить потоки трафика;
-
команда по обеспечению безопасности должна иметь возможность наблюдения за всеми ресурсами;
-
необходимо включить и правильно настроить мониторинг и аудит в соответствии с предписанным руководством организации;
-
Антивирус должен быть обновлён и запущен.
-
необходимо выполнять поиск уязвимостей и устранять уязвимости в соответствии с предписанным руководством организации.
Чтобы измерить и обеспечить соответствие требованиям к этому минимальному или расширенному базовому плану, мы начинаем с получения прозрачности на уровне клиента и в локальных средах, применяя роль "Security Reader" в клиенте Azure. Роль обозревателя безопасности позволяет получить дополнительную видимость благодаря Microsoft Defender for Cloud и облачным политикам Azure, которые можно использовать для применения отраслевых базовых показателей (например, Azure CIS, PCI, ISO 27001) или пользовательской базовой конфигурации, определенной вашей организацией.
Ручное управление разрешениями в разных средах
Необходимо применить соответствующие элементы управления доступом на основе ролей, начиная с уровня арендатора и заканчивая отдельными ресурсами в каждой группе ресурсов и подписке.
Управление конфигурацией виртуальных машин и серверов, на которых выполняются рабочие нагрузки
Так же, как мы управляли нашей локальной средой центра обработки данных, мы также должны обеспечить эффективное управление облачными ресурсами. Преимуществом использования Azure является возможность управлять всеми виртуальными машинами посредством одной платформы — Azure Arc (предварительная версия). С помощью Azure Arc можно расширить базовые линии безопасности из Политики Azure, политик Microsoft Defender для облака и оценки безопасности, а также вести логирование и мониторинг всех ресурсов в одном месте. Ниже приведено несколько инструкций по началу работы.
Внедрение Azure Arc (предварительная версия)
Служба Azure Arc позволяет организациям расширить привычные элементы управления безопасностью Azure на локальную среду и границу инфраструктуры организации. Администраторы имеют несколько вариантов подключения локальных ресурсов к Azure Arc. К ним относятся портал Azure, PowerShell и Установка Windows с помощью скриптов представителя службы.
Узнайте больше об этих методиках.
Применение базовых показателей безопасности с помощью Политики Azure, включая применение политик гостевого доступа
Активировав Defender для облака, вы сможете использовать набор базовых элементов управления с помощью встроенных определений политик Azure Policy для Microsoft Defender для Облака. Набор базовых политик будет отражен в оценке безопасности Defender для облака, где можно оценить соответствие этим политикам.
Вы можете расширить охват политик за пределами набора Defender для облака и создать пользовательские политики, если встроенная политика недоступна. Вы также можете включить политики гостевой конфигурации, которые измеряют соответствие на гостевых виртуальных машинах в подписках.
Применение механизмов управления Defender для облачных сервисов в области защиты конечных точек и управления уязвимостями
Защита конечных точек важна для обеспечения безопасности и доступности инфраструктуры. В рамках любой стратегии защиты конечных точек и управление уязвимостями вы сможете централизованно измерять соответствие требованиям, чтобы гарантировать, что защита от вредоносных программ включена и настроена с помощью оценки и рекомендаций Endpoint Protection в Microsoft Defender для облака.
Централизованное наблюдение за базовыми показателями для нескольких подписок
Применяя роль читателя арендатора, вы можете получить видимость состояния вашего арендатора для каждой из политик, которые оцениваются в рамках оценки безопасности Defender для облака, политик Azure и конфигурационных политик гостевой системы. Эти данные передаются на панель мониторинга соответствия требованиям организации для обеспечения централизованных отчетов о состоянии вашего арендатора.
Кроме того, в составе Defender для серверов можно использовать политику включения встроенного решения оценки уязвимостей на виртуальных машинах (на базе Qualys) для проверки виртуальных машин на наличие уязвимостей и отображения непосредственно в Defender для облака. Если решение для сканирования уязвимостей уже развернуто на предприятии, вы можете использовать альтернативное решение для оценки уязвимостей, которое должно быть установлено на ваших виртуальных машинах для развертывания партнерского решения для сканирования уязвимостей.
|
|
Основные цели развертывания |
Выполнив базовые цели инфраструктуры, вы можете сосредоточиться на реализации современной инфраструктуры на основе комплексной стратегии "Никому не доверяй".
I. Отслеживание рабочих нагрузок и отправка уведомлений о ненормальном поведении
При создании инфраструктуры необходимо убедиться, что вы установили правила для мониторинга и создания оповещений. Это ключ к определению того, когда ресурс демонстрирует непредвиденное поведение.
Рекомендуется включить Microsoft Defender для облака и планы по защите поддерживаемых типов ресурсов, включая Defender для серверов, Defender для хранения, Defender для контейнеров, Defender для контейнеров, Defender для SQL и т. д.
Для мониторинга идентификаций мы рекомендуем активировать Microsoft Defender для идентификаций и Аналитика расширенных угроз, чтобы обеспечить сбор сигналов для идентификации, обнаружения и расследования сложных угроз, скомпрометированных идентификаций и действий злоумышленников, направленных против вашей организации.
Интеграция этих сигналов от Defender for Cloud, Defender for Identity, Advanced Threat Analytics и других систем мониторинга и аудита с Microsoft Sentinel, облачным решением для управления информационными событиями безопасности (SIEM) и оркестрации и автоматизации реагирования (SOAR), позволит вашему центру обеспечения безопасности (SOC) контролировать события безопасности во всей вашей организации из единого интерфейса.
II. Каждой рабочей нагрузке назначается удостоверение приложения, которое настраивается и развертывается согласованно.
Мы рекомендуем использовать политику, назначенную и применяемую при создании ресурсов или рабочих нагрузок. Политики могут требовать применения тегов к ресурсу при создании, назначении группы ресурсов и ограничении или прямых технических характеристик, таких как разрешенные регионы, спецификации виртуальных машин (например, тип виртуальной машины, диски, примененные сетевые политики).
III. Для пользовательского доступа к ресурсам необходимо применять метод Just-In-Time
Персоналу следует осмотрительно предоставлять административный доступ. Если пользователям требуются административные функции, им нужно предоставить временный административный доступ.
Организациям следует реализовать программу защиты администратора. Характеристики этих программ включают в себя:
- целенаправленное сокращение количества пользователей с правами администратора;
- аудит учетных записей и ролей с повышенными привилегиями;
- создание специальных зон инфраструктуры для особо ценных активов (HVA) с целью уменьшения площади атаки.
- предоставление администраторам специальных защищенных рабочих станций администрирования (SAW) для снижения вероятности кражи учетных данных.
Все эти элементы помогут организации лучше понять, как используются административные разрешения, где эти разрешения все еще необходимы и какая стратегия развития позволит повысить безопасность операций.
|
|
Дополнительные цели развертывания |
После достижения трех начальных целей вы сможете сосредоточиться на дополнительных целях, таких как блокирование неавторизованных развертываний.
IV. Неавторизованные развертывания должны блокироваться с отправкой оповещения
При переходе организаций в облако возможности безграничны. Это не всегда хорошо. По разным причинам организации должны иметь возможность блокировать несанкционированные развертывания и активировать оповещения, чтобы руководители и руководители знали о проблемах.
Microsoft Azure предлагает Azure Blueprints для управления развертыванием ресурсов, обеспечивая развертывание только утвержденных ресурсов (например, шаблонов ARM). Служба Blueprints может гарантировать блокирование развертывания ресурсов, которые не соответствуют политикам Blueprints или другим правилам. Фактическое нарушение или попытка нарушения политики Blueprint может создавать предупреждения и отправлять уведомления по мере необходимости, активировать веб-перехватчики или модули автоматизации Runbook, а также создавать запросы в систему управления услугами.
V. Детальное наблюдение и контроль доступа доступны для всех рабочих нагрузок.
Microsoft Azure предлагает ряд методов для наблюдения за ресурсами. На портале Azure владельцы ресурсов могут настроить множество возможностей сбора метрик и журналов и анализа. Эти возможности наблюдения можно использовать не только для информирования операций системы безопасности, но и для обеспечения эффективности вычислений и целей организации. К ним относятся такие возможности, как Масштабируемые наборы виртуальных машин, которые позволяют безопасно и эффективно масштабировать ресурсы на основе метрик.
На стороне управления доступом для назначения разрешений для ресурсов можно применять управление доступом на основе ролей (RBAC). Это позволяет согласованно назначать и отменять разрешения на уровне отдельных пользователей и групп, используя разнообразные встроенные или настраиваемые роли.
VI. Необходимо сегментировать доступ для пользователей и ресурсов для каждой рабочей нагрузки
Microsoft Azure предлагает множество способов сегментирования рабочих нагрузок для управления доступом пользователей и доступом к ресурсам. Сегментация сети — это общий подход, и в Azure ресурсы можно изолировать на уровне подписки с помощью виртуальных сетей, правил пиринга виртуальных сетей, групп сетевой безопасности (NSG), групп безопасности приложений (ASG) и брандмауэров Azure. Существует несколько конструктивных шаблонов, позволяющих определить лучший подход к сегментированию рабочих нагрузок.
Продукты, описанные в данном руководстве
Microsoft Azure
Шаблоны Azure Resource Manager (ARM)
Заключение
Инфраструктура является ключевой составляющей успешной реализации стратегии "Никому не доверяй". Для получения дополнительной информации или помощи в реализации свяжитесь с вашей командой по работе с клиентами или ознакомьтесь с другими главами этого руководства, которое охватывает фундаментальные компоненты стратегии "Никому не доверяй".
Серия руководств по развертыванию с использованием модели "Никому не доверяй"
