Metodtips för Azure Security

Den här artikeln beskriver rekommenderade rekommenderade säkerhetsmetoder, som baseras på lärdomar från kunder och från erfarenheter i våra egna miljöer.

En videopresentation finns i Metodtips för Azure-säkerhet.

1. Personer: Utbilda team om molnsäkerhetsresan

Teamet måste förstå vilken resa de är på.

Vad?

Utbilda dina säkerhets- och IT-team om molnsäkerhetsresan och de ändringar de kommer att navigera i, inklusive:

  • Hot i molnet
  • Modellen med delat ansvar och hur den påverkar säkerheten
  • Ändringar av kultur och roller och ansvarsområden som vanligtvis följer med molnimplementering

Varför?

Molnsäkerhet kräver ett skifte i tankesättet och tillvägagångssättet. Även om de resultat som säkerhet ger organisationen inte ändras, kan det bästa sättet att uppnå dessa resultat i molnet ändras avsevärt.

Övergången till molnet liknar övergången från ett fristående hus till ett höghus. Du har fortfarande grundläggande infrastruktur, till exempel rörmokeri och el, och utför liknande aktiviteter, till exempel umgänge, matlagning, TV och internet och så vidare. Det finns dock ofta en ganska stor skillnad i vad som kommer med byggnaden, vem som tillhandahåller och underhåller den och din dagliga rutin.

Vem?

Alla i säkerhets- och IT-organisationen som har något säkerhetsansvar, från CIO eller CISO till tekniska utövare, måste känna till ändringarna.

Hur gör jag?

Ge teamen den kontext som krävs för att distribuera och arbeta under övergången till molnmiljön.

Microsoft har publicerat följande lärdomar som kunder och IT-organisationer har lärt sig på sina resor till molnet.

Mer information finns i Roller , ansvarsområden och ansvarsområden för Azure Security Benchmark.

2. Personer: Utbilda team om molnsäkerhetsteknik

Personer måste förstå vart de är på väg.

Vad?

Se till att dina team har tid åt sidan för teknisk utbildning för att skydda molnresurser, inklusive:

  • Molnteknik och molnsäkerhetsteknik
  • Rekommenderade konfigurationer och metodtips
  • Var du kan lära dig mer teknisk information

Varför?

Tekniska team behöver åtkomst till teknisk information för att fatta välgrundade säkerhetsbeslut. Tekniska team är bra på att lära sig ny teknik på jobbet, men mängden information i molnet överbelastar ofta deras förmåga att anpassa inlärningen till deras dagliga rutin.

Reservera dedikerad tid för teknisk inlärning. Inlärning hjälper till att säkerställa att människor har tid att bygga förtroende för sin förmåga att utvärdera molnsäkerhet. Det hjälper dem att tänka igenom hur de kan anpassa sina befintliga färdigheter och processer.

Vem?

Alla säkerhets- och IT-roller som interagerar direkt med molnteknik måste ägna tid åt teknisk utbildning på molnplattformar och hur de ska skyddas.

Säkerhet, IT-teknikchefer och projektledare kan bekanta sig med viss teknisk information för att skydda molnresurser. Den här kunskapen hjälper dem att effektivt leda och samordna molninitiativ.

Hur gör jag?

Se till att teknisk säkerhetspersonal har tid åt sidan för utbildning i egen takt om hur du skyddar molntillgångar. Även om det inte alltid är möjligt, ge tillgång till formell utbildning med en erfaren instruktör och praktiska labbövningar.

Viktigt

Identitetsprotokoll är viktiga för åtkomstkontroll i molnet, men prioriteras ofta inte i lokal säkerhet. Säkerhetsteamen måste fokusera på att utveckla kunskaper om dessa protokoll och loggar.

Microsoft tillhandahåller omfattande resurser för att hjälpa tekniska experter att öka sina funktioner. Dessa resurser omfattar:

3. Process: Tilldela ansvar för molnsäkerhetsbeslut

Säkerhetsbeslut kommer inte att fattas om ingen är ansvarig för att göra dem.

Vad?

Välj vem som ansvarar för att fatta varje typ av säkerhetsbeslut för företagets Azure-miljö.

Varför?

Ett tydligt ägarskap för säkerhetsbeslut påskyndar molnimplementeringen och ökar säkerheten. Brist på ägarskap skapar vanligtvis friktion eftersom ingen känner sig bemyndigad att fatta beslut. Ingen vet vem som ska be om ett beslut och ingen uppmuntras att forska i ett välinformerat beslut. Friktionen hindrar ofta:

  • Verksamhetsmål
  • Tidslinjer för utvecklare
  • IT-mål
  • Säkerhetsgarantier

Friktionen kan resultera i:

  • Stoppade projekt som väntar på säkerhetsgodkännande
  • Osäkra distributioner som inte kunde vänta på säkerhetsgodkännande

Vem?

Säkerhetsledningen väljer vilka team eller individer som är ansvariga för att fatta säkerhetsbeslut om molnet.

Hur gör jag?

Välj grupper eller individer som ska ansvara för att fatta viktiga säkerhetsbeslut.

Dokumentera dessa ägare, deras kontaktinformation och socialisera informationen i stor utsträckning inom säkerhets-, IT- och molnteamen. Socialisering säkerställer att det är enkelt för alla roller att kontakta dem.

Dessa områden är vanligtvis där säkerhetsbeslut behövs. I följande tabell visas beslutskategori, kategoribeskrivning och vilka team som ofta fattar beslut.

Beslut Description Typiskt team
Nätverkssäkerhet Konfigurera och underhålla Azure Firewall, virtuella nätverksinstallationer och tillhörande routning, brandväggar för webbaserade program (WAFs), NSG:er, ASG:er och så vidare. Infrastruktur- och slutpunktssäkerhetsteamet fokuserar på nätverkssäkerhet
Nätverkshantering Hantera allokering av virtuella nätverk och undernät för hela företaget. Befintligt nätverksdriftsteam i centrala IT-åtgärder
Säkerhet för serverslutpunkt Övervaka och åtgärda serversäkerhet, inklusive korrigering, konfiguration, slutpunktssäkerhet och så vidare. Centrala IT-drifts- och infrastruktur- och slutpunktssäkerhetsteam gemensamt
Incidentövervakning och incidenthantering Undersöka och åtgärda säkerhetsincidenter i SIEM eller källkonsolen, inklusive Microsoft Defender för molnet, Azure AD identitetsskydd och så vidare. Säkerhetsåtgärdsteamet
Principhantering Ange riktning för användning av rollbaserad åtkomstkontroll i Azure (Azure RBAC), Defender för molnet, administratörsskyddsstrategi och Azure Policy för att styra Azure-resurser. Policy- och standardiserings - och säkerhetsarkitekturteam gemensamt
Identitetssäkerhet och standarder Ange riktning för Azure AD kataloger, PIM/pam-användning, multifaktorautentisering, konfiguration av lösenord/synkronisering, programidentitetsstandarder. Identitets- och nyckelhantering, principer och standarder samt säkerhetsarkitekturteam gemensamt

Anteckning

  • Se till att beslutsfattarna har rätt utbildning i sitt molnområde för att följa detta ansvar.
  • Se till att beslut dokumenteras i principer och standarder för att tillhandahålla en post och vägleda organisationen på lång sikt.

4. Process: Uppdatera incidenthanteringsprocesser för molnet

Planera. Du har inte tid att planera för en kris under en kris.

Vad?

Förbereda för säkerhetsincidenter på din Azure-molnplattform. Den här förberedelsen innehåller alla interna verktyg för hotidentifiering som du har antagit. Uppdatera processer, förbereda ditt team och öva med simulerade attacker så att de kan arbeta som bäst under incidentundersökning, reparation och hotjakt.

Varför?

Aktiva angripare utgör en omedelbar risk för organisationen. Situationen kan snabbt bli svår att kontrollera. Svara snabbt och effektivt på attacker. Den här incidenthanteringsprocessen (IR) måste vara effektiv för hela din egendom, inklusive alla molnplattformar som är värdar för företagsdata, system och konton.

Molnplattformar är på många sätt likartade, men de skiljer sig tekniskt från lokala system. Lokala system kan bryta befintliga processer, vanligtvis eftersom information är tillgänglig i ett annat format. Säkerhetsanalytiker kan ha problem med att snabbt reagera på en okänd miljö som kan göra dem långsammare. Den här instruktionen gäller särskilt om de endast tränas på klassiska lokala arkitekturer och metoder för nätverks-/diskteknik.

Vem?

IR-processmodernisering leds vanligtvis av säkerhetsåtgärder. Arbetet kommer ofta med stöd från andra grupper för kunskap och expertis.

  • Sponsring: Säkerhetsåtgärdschefen eller motsvarande sponsorprocessmodernisering.

  • Körning: Att anpassa befintliga processer, eller skriva dem för första gången, är ett samarbete som omfattar:

    • Säkerhetsåtgärder: Incidenthanteringsteamet eller ledningen leder process- och integrationsuppdateringar till viktiga externa intressenter. Dessa team omfattar juridiska team och kommunikationsteam eller PR-team.
    • Säkerhetsåtgärder: Säkerhetsanalytiker tillhandahåller expertkunskaper om teknisk incidentundersökning och prioritering.
    • Centrala IT-åtgärder: Det här teamet tillhandahåller expertis på molnplattformen direkt, via ett utmärkt molncenter eller via externa konsulter.

Hur gör jag?

Uppdatera processer och förbered ditt team så att de vet vad de ska göra när de hittar en aktiv angripare.

  • Processer och spelböcker: Anpassa befintliga undersökningar, reparations- och hotjaktsprocesser till skillnaderna i hur molnplattformar fungerar. Skillnaderna omfattar nya eller olika verktyg, datakällor, identitetsprotokoll och så vidare.
  • Utbildning: Utbilda analytiker om den övergripande molnomvandlingen, teknisk information om hur plattformen fungerar och nya eller uppdaterade processer. Den här informationen låter dem veta vad som kan ändras och vart de ska gå för vad de behöver.
  • Viktiga fokusområden: Även om det finns många detaljer som beskrivs i resurslänkarna är det här som du kan fokusera på dina utbildnings- och planeringsinsatser:
    • Modell för delat ansvar och molnarkitekturer: För en säkerhetsanalytiker är Azure ett programvarudefinierat datacenter som tillhandahåller många tjänster. Dessa tjänster omfattar virtuella datorer och andra som skiljer sig från lokala, till exempel Azure SQL Database Azure Functions. De bästa data finns i tjänstloggarna eller de specialiserade hotidentifieringstjänsterna. Det finns inte i loggar för underliggande operativsystem/virtuella datorer, som drivs av Microsoft och betjänar flera kunder. Analytiker måste förstå och integrera den här kontexten i sina dagliga arbetsflöden. På så sätt vet de vilka data de kan förvänta sig, var de ska hämta dem och vilket format de har.
    • Slutpunktsdatakällor: Att få insikter och data för attacker och skadlig kod på molnbaserade servrar är ofta snabbare, enklare och mer exakt med inbyggda verktyg för molnidentifiering. Verktyg som Microsoft Defender för lösningar för moln- och slutpunktsidentifiering och -svar (EDR) ger mer exakta data än traditionella metoder för direkt diskåtkomst. Direktdiskteknik är tillgängliga för scenarier där det är möjligt och krävs för rättsliga förfaranden. Mer information finns i Datateknik i Azure. Men ofta är den här metoden det mest ineffektiva sättet att identifiera och undersöka attacker.
    • Nätverks- och identitetsdatakällor: Många funktioner på molnplattformar använder främst identitet för åtkomstkontroll. Den här åtkomstkontrollen omfattar åtkomst till Azure Portal, även om nätverksåtkomstkontroller också används i stor utsträckning. Den här åtkomstkontrollen kräver att analytiker utvecklar en förståelse för molnidentitetsprotokoll för att få en fullständig och omfattande bild av angriparens aktivitet och legitima användaraktivitet för att stödja incidentundersökning och reparation. Identitetskataloger och protokoll skiljer sig från lokala. De baseras vanligtvis på KATALOGer för SAML, OAuth och OpenID Connect och moln i stället för LDAP, Kerberos, NTLM och Active Directory.
    • Övningsövningar: Simulerad attack och svar kan hjälpa till att bygga upp organisationens muskelminne och tekniska beredskap. De förbereder dina säkerhetsanalytiker, hotjägare, incidenthanterare och andra intressenter i din organisation. Att lära sig om jobbet och anpassningen är en naturlig del av incidenthanteringen, men du kan arbeta för att minimera hur mycket du måste lära dig i en kris.

Viktiga resurser

Mer information finns i incidenthanteringsprocessen för Azure Security Benchmark för Azure.

5. Process: Upprätta hantering av säkerhetsstatus

Börja med att känna dig själv.

Vad?

Se till att du aktivt hanterar säkerhetsstatusen för din Azure-miljö genom att:

  • Tilldela tydlig ägarskap för ansvarsområden till:
    • Övervaka säkerhetsstatus
    • Minimera risker för tillgångar
  • Automatisera och förenkla dessa uppgifter

Varför?

Att snabbt identifiera och åtgärda vanliga säkerhetshygienrisker minskar avsevärt organisationens risk.

Molndatacentrets programvarudefinierade karaktär möjliggör kontinuerlig övervakning av säkerhetsrisker, till exempel sårbarheter i programvara eller felkonfigurationer av säkerhet, med omfattande tillgångsinstrumentation. Den hastighet med vilken utvecklare och IT-team kan distribuera virtuella datorer, databaser och andra resurser skapar ett behov av att se till att resurserna konfigureras på ett säkert och aktivt sätt.

De här nya funktionerna ger nya möjligheter, men för att kunna inse värdet från dem måste du tilldela ansvar för att använda dem. Att köra konsekvent med snabbt växande molnåtgärder kräver att mänskliga processer är så enkla och automatiserade som möjligt. Se säkerhetsprincipen "kör enkelhet".

Anteckning

Målet med förenkling och automatisering handlar inte om att bli av med jobb, utan om att ta bort bördan av repetitiva uppgifter från människor så att de kan fokusera på mänskliga aktiviteter med högre värde som att engagera sig i och utbilda IT- och DevOps-team.

Vem?

Den här metoden är vanligtvis uppdelad i två ansvarsuppsättningar:

  • Hantering av säkerhetsstatus: Den här funktionen är ofta en utveckling av befintliga funktioner för sårbarhetshantering eller styrning. Resultatet inkluderar övervakning av övergripande säkerhetsstatus med hjälp av Microsoft Defender för molnsäkerhetspoäng och andra datakällor. Det omfattar att aktivt arbeta med resursägare för att minimera risker och rapportera risker till säkerhetsledarskapet.

  • Säkerhetsreparation: Tilldela ansvar för att hantera dessa risker till de team som ansvarar för att hantera dessa resurser. Ansvarstagandet tillhör antingen DevOps-teamen som hanterar sina egna programresurser eller de teknikspecifika teamen i centrala IT-åtgärder:

    • Beräknings- och programresurser
      • Apptjänster: Programutvecklings- och säkerhetsteam
      • Containrar: Programutveckling eller infrastruktur/IT-åtgärder
      • Virtuella datorer, skalningsuppsättningar, beräkning: IT-/infrastrukturåtgärder
    • Data- och lagringsresurser
      • SQL, Redis, Data Lake Analytics, data lake store: Databasteam
      • Lagringskonton: Lagrings- och infrastrukturteam
    • Identitets- och åtkomstresurser
      • Prenumerationer: Identitetsteam
      • Nyckelvalv: Identitets- eller informations-/datasäkerhetsteam
    • Nätverksresurser: Nätverkssäkerhetsteam
    • IoT-säkerhet: IoT-åtgärdsteam

Hur gör jag?

Säkerhet är allas ansvar. Alla vet dock inte hur viktigt det är, vad de ska göra och hur de ska göra det.

  • Håll resursägare ansvariga för säkerhetsrisken på samma sätt som de hålls ansvariga för tillgänglighet, prestanda, kostnad och andra framgångsfaktorer.
  • Ge resursägare en tydlig förståelse för varför säkerhetsrisker är viktiga för deras tillgångar, vad de kan göra för att minska riskerna och hur de implementerar dem med minimal produktivitetsförlust.

Viktigt

Förklaringarna till varför, vad och hur du skyddar resurser liknar ofta olika resurstyper och program, men det är viktigt att relatera dessa till vad varje team redan vet och bryr sig om. Säkerhetsteam kan samarbeta med sina IT- och DevOps-motsvarigheter som en betrodd rådgivare och partner som fokuserar på att göra det möjligt för dessa team att lyckas.

Verktyg: Säkerhetspoäng i Microsoft Defender för molnet ger en utvärdering av den viktigaste säkerhetsinformationen i Azure för en mängd olika tillgångar. Den här utvärderingen kan vara utgångspunkten för hållningshantering och kan kompletteras med anpassade Azure-principer och andra mekanismer efter behov.

Frekvens: Konfigurera en regelbunden takt, vanligtvis varje månad, för att granska Azures säkerhetspoäng och planera initiativ med specifika förbättringsmål. Frekvensen kan ökas efter behov.

Tips

Gamify aktiviteten om möjligt för att öka engagemanget, till exempel att skapa roliga tävlingar och priser för DevOps-teamen som förbättrar sina poäng mest.

Mer information finns i Azure Security Benchmark-strategin för hantering av säkerhetsstatus.

6. Teknik: Kräv lösenordsfri eller multifaktorautentisering

Är du villig att satsa på säkerheten för ditt företag som professionella angripare inte kan gissa eller stjäla administratörens lösenord?

Vad?

Kräv att alla administratörer med kritisk påverkan använder lösenordsfri eller multifaktorautentisering.

Varför?

Precis som antika skelettnycklar inte skyddar ett hus mot en modern inbrottstjuv, kan lösenord inte skydda konton mot vanliga attacker. Teknisk information finns i Din pa$$word spelar ingen roll.

Multifaktorautentisering var en gång ett betungande extra steg. Lösenordslösa metoder förbättrar idag hur användare loggar in med biometriska metoder som ansiktsigenkänning i Windows Hello och mobila enheter. Dessutom kommer noll förtroendemetoder ihåg betrodda enheter. Den här metoden minskar antalet frågor om irriterande multifaktorautentiseringsåtgärder i out-of-band. Mer information finns i Användarinloggningsfrekvens.

Vem?

Initiativ för lösenord och multifaktorhantering leds vanligtvis av identitets- och nyckelhantering eller säkerhetsarkitektur.

Hur gör jag?

Implementera lösenordsfri eller multifaktorautentisering. Utbilda administratörer om hur de använder det när de behöver det och kräva att administratörer följer med hjälp av en skriftlig princip. Använd en eller flera av dessa tekniker:

Anteckning

Sms-baserad multifaktorautentisering är nu relativt billigt för angripare att kringgå, så fokusera på lösenordsfri och starkare multifaktorautentisering.

Mer information finns i Starka autentiseringskontroller för Azure Security Benchmark för all Azure AD-baserad åtkomst.

7. Teknik: Integrera inbyggd brandvägg och nätverkssäkerhet

Förenkla skyddet av system och data mot nätverksattacker.

Vad?

Förenkla din strategi och underhåll för nätverkssäkerhet genom att integrera Azure Firewall, Azure Web App Firewall (WAF) och DDoS-åtgärder (Distributed Denial of Service) i din metod för nätverkssäkerhet.

Varför?

Enkelhet är viktigt för säkerheten eftersom det minskar risken för förvirring, felkonfigurationer och andra mänskliga fel. Se säkerhetsprincipen "enhets enkelhet".

Brandväggar och WAF:er är viktiga grundläggande säkerhetskontroller för att skydda program från skadlig trafik, men deras installation och underhåll kan vara komplext och förbruka en betydande del av säkerhetsteamets tid och uppmärksamhet (ungefär som att lägga till anpassade eftermarknadsdelar i en bil). Azures inbyggda funktioner kan förenkla implementeringen och driften av brandväggar, brandväggar för webbaserade program, DDoS-åtgärder med mera.

Den här metoden kan frigöra teamets tid och uppmärksamhet för säkerhetsuppgifter med högre värde, till exempel:

  • Utvärdera säkerheten för Azure-tjänster
  • Automatisera säkerhetsåtgärder
  • Integrera säkerhet med program och IT-lösningar

Vem?

  • Sponsring: Säkerhetsledarskap eller IT-ledarskap sponsrar vanligtvis uppdateringen av nätverkssäkerhetsstrategin.
  • Körning: Integrering av strategier i din molnnätverkssäkerhetsstrategi är ett samarbetsprojekt som omfattar:
    • Säkerhetsarkitektur: Upprätta en molnnätverkssäkerhetsarkitektur med leads för molnnätverk och molnnätverkssäkerhet.
    • Molnnätverk leder centrala IT-åtgärder och Cloud Network Security leder infrastruktursäkerhetsteamet
      • Upprätta en molnnätverkssäkerhetsarkitektur med säkerhetsarkitekter.
      • Konfigurera brandväggs-, NSG- och WAF-funktioner och arbeta med programarkitekter på WAF-regler.
    • Programarkitekter: Arbeta med nätverkssäkerhet för att skapa och förfina WAF-regeluppsättningar och DDoS-konfigurationer för att skydda programmet utan att störa tillgängligheten

Hur gör jag?

Organisationer som vill förenkla sin verksamhet har två alternativ:

  • Utöka befintliga funktioner och arkitekturer: Många organisationer väljer ofta att utöka användningen av befintliga brandväggsfunktioner så att de kan dra nytta av befintliga investeringar i kompetens- och processintegrering, särskilt när de först implementerar molnet.
  • Använd interna säkerhetskontroller: Fler organisationer börjar föredra att använda interna kontroller för att undvika komplexiteten med att integrera funktioner från tredje part. Dessa organisationer försöker vanligtvis undvika risken för en felaktig konfiguration av belastningsutjämning, användardefinierade vägar, själva brandväggen eller WAF och fördröjningar i överlämningar mellan olika tekniska team. Det här alternativet är övertygande för organisationer som använder infrastruktur som kodmetoder eftersom de kan automatisera och instrumentera de inbyggda funktionerna enklare än funktioner från tredje part.

Dokumentation om inbyggda nätverkssäkerhetsfunktioner i Azure finns på:

Azure Marketplace innehåller många brandväggsproviders från tredje part.

Mer information finns i Azure Security Benchmark-skydd mot externa nätverksattacker.

8. Teknik: Integrera inbyggd hotidentifiering

Förenkla identifiering och svar av attacker mot Azure-system och -data.

Vad?

Förenkla hotidentifierings- och svarsstrategin genom att införliva inbyggda funktioner för hotidentifiering i dina säkerhetsåtgärder och SIEM.

Varför?

Syftet med säkerhetsåtgärder är att minska effekten av aktiva angripare som får åtkomst till miljön. Effekten mäts med genomsnittlig tid för att bekräfta (MTTA) och åtgärda (MTTR)-incidenter. Den här metoden kräver både noggrannhet och hastighet i alla element i incidenthantering. Resultatet hjälper till att säkerställa kvaliteten på verktygen och effektiviteten i processkörningen är av största vikt.

Det är svårt att få hög hotidentifiering med hjälp av befintliga verktyg och metoder. Verktygen och metoderna är utformade för lokal hotidentifiering på grund av skillnader i molnteknik och dess snabba förändringstakt. Inbyggda integrerade identifieringar tillhandahåller lösningar i industriell skala som underhålls av molnleverantörer som kan hålla jämna steg med aktuella hot och ändringar i molnplattformen.

Dessa interna lösningar gör det möjligt för säkerhetsåtgärdsteam att fokusera på incidentundersökning och reparation. Fokusera på dessa objekt i stället för att slösa tid genom att skapa aviseringar från okända loggdata, integrera verktyg och underhållsaktiviteter.

Vem?

Drivs vanligtvis av säkerhetsåtgärdsteamet .

  • Sponsring: Det här arbetet sponsras vanligtvis av säkerhetsåtgärdschefen eller motsvarande roll.
  • Körning: Integrering av inbyggd hotidentifiering är ett samarbetsprojekt som involverar dessa lösningar med:
    • Säkerhetsåtgärder: Integrera aviseringar i SIEM- och incidentundersökningsprocesser. Säkerhetsåtgärder kan utbilda analytiker om molnaviseringar och vad de innebär samt hur de interna molnverktygen används.
    • Incidentförberedelse: Integrera molnincidenter i övningsövningar och se till att övningsövningar utförs för att öka teamets beredskap.
    • Hotinformation: Undersöka och integrera information om molnattacker för att informera team med kontext och intelligens.
    • Säkerhetsarkitektur: Integrera interna verktyg i dokumentationen om säkerhetsarkitektur.
    • Princip och standarder: Ange standarder och principer för att aktivera interna verktyg i hela organisationen. Övervaka efterlevnad.
    • Infrastruktur och slutpunkt och centrala IT-åtgärder: Konfigurera och aktivera identifieringar, integrera i automatisering och infrastruktur som kodlösningar.

Hur gör jag?

Aktivera hotidentifiering i Microsoft Defender för molnet för alla resurser som du använder och låt varje team integrera dessa resurser i sina processer enligt beskrivningen ovan.

Mer information finns i Hotidentifiering i Azure Security Benchmark för Azure-resurser.

9. Arkitektur: Standardisera på en enda katalog och identitet

Ingen vill hantera flera identiteter och kataloger.

Vad?

Standardisera på en enda Azure AD katalog. Du kan standardisera en enda identitet för varje program och användare i Azure.

Anteckning

Den här bästa metoden avser specifikt företagsresurser. För partnerkonton använder du Azure AD B2B så att du inte behöver skapa och underhålla konton i din katalog. För kund- eller medborgarkonton använder du Azure AD B2C för att hantera dem.

Varför?

Flera konton och identitetskataloger skapar onödig friktion, vilket skapar förvirring i dagliga arbetsflöden för:

  • Produktivitetsanvändare
  • Utvecklare
  • IT- och identitetsadministratörer
  • Säkerhetsanalytiker
  • Andra roller

Att hantera flera konton och kataloger skapar ett incitament för dåliga säkerhetsmetoder. Dessa metoder omfattar bland annat återanvändning av lösenord mellan konton. Det ökar sannolikheten för inaktuella eller övergivna konton som angripare kan rikta in sig på.

Även om det ibland verkar enklare att snabbt skapa en anpassad LDAP-katalog för ett visst program eller en viss arbetsbelastning, skapar den här åtgärden mycket mer arbete för att integrera och hantera. Det här arbetet liknar att välja att konfigurera ytterligare en Azure-klientorganisation eller lokal Active Directory skog i stället för att använda den befintliga företagsklientorganisationen. Mer information finns i säkerhetsprincipen för enkelhetens skull.

Vem?

Standardisering på en enda Azure AD katalog är ofta ett arbete mellan olika team. Arbetet drivs av säkerhetsarkitektur , identitets- och nyckelhanteringsteam .

Hur gör jag?

Anta en pragmatisk metod som börjar med nya greenfield-funktioner. Rensa sedan utmaningar med brownfield för befintliga program och tjänster som en uppföljningsövning:

  • Greenfield: Upprätta och implementera en tydlig princip för att alla företagsidentiteter kan använda en enda Azure AD katalog med ett enda konto för varje användare.

  • Brownfield: Många organisationer har ofta flera äldre kataloger och identitetssystem. Åtgärda dessa äldre objekt när kostnaden för löpande hanteringsfriktion överskrider investeringen för att rensa upp den. Lösningar för identitetshantering och synkronisering kan minska vissa av dessa problem, men de saknar djupgående integrering av säkerhets- och produktivitetsfunktioner. De här funktionerna ger en sömlös upplevelse för användare, administratörer och utvecklare.

Den perfekta tiden att kombinera din identitetsanvändning är under programutvecklingscyklerna när du:

  • Modernisera program för molnet.
  • Uppdatera molnprogram med DevOps-processer.

Det finns giltiga skäl till en separat katalog för oberoende affärsenheter eller regelkrav, men undvik flera kataloger under alla andra omständigheter.

Mer information finns i Azure Security Benchmark Azure AD centralt identitets- och autentiseringssystem.

Viktigt

Det enda undantaget till regeln för enskilda konton är att privilegierade användare, inklusive IT-administratörer och säkerhetsanalytiker, kan ha separata konton för standardanvändaruppgifter jämfört med administrativa uppgifter.

Mer information finns i Azure Security Benchmark-privilegierad åtkomst.

10. Arkitektur: Använd identitetsbaserad åtkomstkontroll i stället för nycklar

Vad?

Använd Azure AD identiteter i stället för nyckelbaserad autentisering där det är möjligt. Till exempel Azure-tjänster, program, API:er.

Varför?

Nyckelbaserad autentisering kan användas för att autentisera till molntjänster och API:er. Men det krävs säker hantering av nycklar, vilket är svårt att göra bra, särskilt i stor skala. Säker nyckelhantering är svårt för icke-säkerhetsexperter som utvecklare och infrastrukturproffs och de misslyckas ofta med att göra det på ett säkert sätt, vilket ofta skapar stora säkerhetsrisker för organisationen.

Identitetsbaserad autentisering övervinner många av dessa utmaningar med mogna funktioner. Funktionerna omfattar hemlig rotation, livscykelhantering, administrativ delegering med mera.

Vem?

Implementering av identitetsbaserad åtkomstkontroll är ofta ett arbete mellan olika team. Arbetet drivs av säkerhetsarkitektur , identitets- och nyckelhanteringsteam .

Hur gör jag?

Att ange en organisationspreferens och vana för att använda identitetsbaserad autentisering kräver att du följer en process och aktiverar teknik.

Processen

  1. Upprätta en princip och standarder som tydligt beskriver standardidentitetsbaserad autentisering och godkända undantag.
  2. Utbilda utvecklare och infrastrukturteam om varför de ska använda den nya metoden, vad de behöver göra och hur de ska göra det.
  3. Implementera ändringar på ett pragmatiskt sätt genom att börja med nya greenfield-funktioner som implementeras nu och i framtiden, till exempel nya Azure-tjänster och nya program, och sedan följa upp med en rensning av befintliga brownfield-konfigurationer.
  4. Övervaka efterlevnad och följ upp med utvecklar- och infrastrukturteam för att åtgärda detta.

Teknikerna

För icke-mänskliga konton, till exempel tjänster eller automatisering, använder du hanterade identiteter. Hanterade Azure-identiteter kan autentisera mot Azure-tjänster och resurser som stöder Azure AD autentisering. Autentisering aktiveras via fördefinierade regler för åtkomstbeviljande, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.

För tjänster som inte stöder hanterade identiteter använder du Azure AD för att skapa ett huvudnamn för tjänsten med begränsade behörigheter på resursnivå i stället. Du bör konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återställning till klienthemligheter. I båda fallen kan Azure Key Vault användas med hanterade Azure-identiteter, så att körningsmiljön, till exempel en Azure-funktion, kan hämta autentiseringsuppgifterna från nyckelvalvet.

Mer information finns i Programidentiteter för Azure Security Benchmark.

11. Arkitektur: Upprätta en enda enhetlig säkerhetsstrategi

Alla måste ro i samma riktning för att båten ska gå framåt.

Vad?

Se till att alla team är anpassade till en enda strategi som både tillåter och skyddar företagssystem och data.

Varför?

När team arbetar isolerat utan att vara anpassade till en gemensam strategi kan deras enskilda åtgärder oavsiktligt försvaga varandras arbete. Feljusteringen kan skapa onödig friktion som saktar ner framstegen mot allas mål.

Ett exempel på team som arbetar isolerat och som har fungerat konsekvent i många organisationer är segmenteringen av tillgångar:

  • Nätverkssäkerhet: Utvecklar en strategi för segmentering av ett platt nätverk. Strategin ökar säkerheten, ofta baserat på fysiska platser, tilldelade IP-adressadresser/intervall eller liknande objekt.
  • Identitetsteam: Utvecklar en strategi för grupper och Active Directory-organisationsenheter baserat på deras förståelse och kunskap om organisationen.
  • Programteam: Det är svårt att arbeta med dessa system. Det är svårt eftersom de har utformats med begränsad input och förståelse för verksamhet, mål och risker.

I organisationer där den här begränsningen inträffar upplever team ofta konflikter om brandväggsfel. Konflikterna kan påverka säkerheten negativt eftersom teamen godkänner undantag. Produktiviteten påverkar säkerheten negativt eftersom distributionen blir långsammare för de programfunktioner som verksamheten behöver.

Även om säkerhet kan skapa sund friktion genom att tvinga kritiskt tänkande, skapar den här konflikten bara ohälsosam friktion som hindrar mål. Mer information finns i Vägledning om säkerhetsstrategi.

Vem?

  • Sponsring: Den enhetliga strategin samordnas vanligtvis av CIO, CISO och CTO. Sponsringen kommer ofta med företagsledarstöd för vissa högnivåelement och förespråkas av representanter från varje team.
  • Körning: Säkerhetsstrategin måste implementeras av alla. Den integrerar data från olika team för att öka ägarskapet, inköpet och sannolikheten för framgång.
    • Säkerhetsarkitektur: Det här teamet leder arbetet med att skapa en säkerhetsstrategi och resulterande arkitektur. Säkerhetsarkitekturen samlar aktivt in feedback från team och dokumenterar den i presentationer, dokument och diagram för de olika målgrupperna.
    • Princip och standarder: Det här teamet samlar in lämpliga element i standarder och principer och övervakar sedan efterlevnaden.
    • Alla tekniska IT- och säkerhetsteam: Dessa team tillhandahåller indatakrav och anpassar sig sedan till och implementerar företagsstrategin.
    • Programägare och utvecklare: Dessa team läser och förstår strategidokumentationen som gäller för dem. Vi rekommenderar att de anpassar vägledningen efter sin roll.

Hur gör jag?

Skapa och implementera en säkerhetsstrategi för molnet som innehåller indata och aktivt deltagande från alla team. Även om processdokumentationens format kan variera, innehåller det alltid:

  • Aktiva indata från team: Strategier misslyckas vanligtvis om personer i organisationen inte köper in sig i dem. Vi rekommenderar att du får alla team i samma rum för att samarbeta för att bygga strategin. I de workshops vi genomför med kunder finner vi ofta att organisationer har varit verksamma i de facto silor och dessa möten resulterar ofta i att människor träffar varandra för första gången. Vi tycker att inkludering är ett krav. Om vissa team inte är inbjudna måste det här mötet vanligtvis upprepas tills alla deltagare ansluter till det. Om de inte ansluter går projektet inte framåt.
  • Dokumenterat och kommunicerat tydligt: Alla team måste vara medvetna om säkerhetsstrategin. Helst är säkerhetsstrategin en säkerhetskomponent i den övergripande teknikstrategin. Den här strategin omfattar varför du ska integrera säkerhet, vad som är viktigt i säkerheten och hur säkerhetsframgångar ser ut. Den här strategin innehåller specifik vägledning för program- och utvecklingsteam så att de kan få tydlig och organiserad vägledning utan att behöva läsa igenom icke-relevant information.
  • Stabil, men flexibel: Håll strategierna relativt konsekventa och stabila, men arkitekturerna och dokumentationen kan behöva göra molnet tydligare och mer dynamiskt. Till exempel skulle filtrering av skadlig extern trafik vara konsekvent som ett strategiskt imperativ även om du övergår från att använda en nästa generations brandvägg från tredje part till att Azure Firewall och justera diagram och vägledning om hur du gör det.
  • Börja med segmentering: Det finns strategiproblem som är både stora och små att åtgärda, men du måste börja någonstans. Starta säkerhetsstrategin med segmentering av företagstillgångar. Den här segmenteringen är ett grundläggande beslut som skulle vara svårt att ändra senare och kräver både affärsinmatning och många tekniska team.

Microsoft har publicerat videovägledning för att tillämpa en segmenteringsstrategi i Azure. Det finns dokument publicerade om företagssegmentering och hur nätverkssäkerheten anpassas till den.

Cloud Adoption Framework innehåller vägledning som hjälper dina team med:

Mer information finns i styrningsstrategin för Azure Security Benchmark.