Säker infrastruktur med Nolltillit

Infrastruktur representerar en kritisk hotvektor. IT-infrastruktur, oavsett om det är lokalt eller flera moln, definieras som all maskinvara (fysisk, virtuell, containerbaserad), programvara (öppen källkod, första och tredje part, PaaS, SaaS), mikrotjänster (funktioner, API:er), nätverksinfrastruktur, anläggningar och så vidare som krävs för att utveckla, testa, leverera, övervaka, kontrollera eller stödja IT-tjänster. Det är ett område där Microsoft har investerat enorma resurser för att utveckla en omfattande uppsättning funktioner för att skydda din framtida molninfrastruktur och lokala infrastruktur.

Modern säkerhet med en Nolltillit strategi från slutpunkt till slutpunkt gör det enklare för dig att:

  • Utvärdera för version.
  • Utför konfigurationshantering.
  • Använd administratörsbehörigheter för just-in-time och just-enough-access (JIT/JEA) för att förstärka skyddet.
  • Använd telemetri för att identifiera attacker och avvikelser.
  • Blockera och flagga automatiskt riskfyllt beteende och vidta skyddsåtgärder.

Lika viktigt är att Microsoft Azure Blueprints och relaterade funktioner säkerställer att resurser utformas, implementeras och upprätthålls på sätt som överensstämmer med en organisations principer, standarder och krav.

Azure Blueprints, Azure Policies, Microsoft Defender for Cloud, Microsoft Sentinel och Azure Sphere kan i hög grad bidra till att förbättra säkerheten för din distribuerade infrastruktur. Tillsammans möjliggör de en annan metod för att definiera, utforma, etablera, distribuera och övervaka din infrastruktur.

Ett upprepande cirkulärt diagram med fem element: Utvärdera efterlevnad, Observera luckor, Författare, Testa och Distribuera.

Distributionsmål för infrastruktur Nolltillit

Tips

Innan de flesta organisationer börjar Nolltillit resan kännetecknas deras inställning till infrastruktursäkerhet av följande:

  • Behörigheter hanteras manuellt i olika miljöer.
  • Konfigurationshantering av virtuella datorer och servrar där arbetsbelastningar körs.

När du implementerar ett Nolltillit ramverk från slutpunkt till slutpunkt för att hantera och övervaka din infrastruktur rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:

Listikon med en bock.

I.Workloads övervakas och aviseras om onormalt beteende.

II.Varje arbetsbelastning tilldelas en appidentitet – och konfigureras och distribueras konsekvent.

III.Personalåtkomst till resurser kräver just-in-time.

När de första målen har slutförts fokuserar du på dessa ytterligare distributionsmål:

Listikon med två bockmarkeringar.

IV.Obehöriga distributioner blockeras och aviseringar utlöses.

V.Granular synlighet och åtkomstkontroll är tillgängliga mellan arbetsbelastningar.

VI.Användar- och resursåtkomst segmenterad för varje arbetsbelastning.

Distributionsguide för infrastruktur Nolltillit

Den här guiden vägleder dig genom de steg som krävs för att skydda infrastrukturen enligt principerna i ett Nolltillit säkerhetsramverk.

Innan du börjar ska du se till att du har uppfyllt dessa distributionsmål för baslinjeinfrastrukturen.

Ange Microsofts klientbaslinje

En prioriterad baslinje ska anges för hur din infrastruktur hanteras. Genom att tillämpa branschvägledning som NIST 800-53 kan du härleda en uppsättning krav för att hantera din infrastruktur. På Microsoft har vi ställt in en minimal baslinje på följande lista över krav:

  • Åtkomst till data, nätverk, tjänster, verktyg, verktyg och program måste styras av autentiserings- och auktoriseringsmekanismer.

  • Data måste krypteras under överföring och i vila.

  • Begränsa nätverkstrafikflöden.

  • Säkerhetsteamets insyn i alla tillgångar.

  • Övervakning och granskning måste vara aktiverat och korrekt konfigurerat enligt föreskriven organisationsvägledning.

  • Skydd mot skadlig kod måste vara uppdaterat och igång.

  • Sårbarhetsgenomsökningar måste utföras och sårbarheter åtgärdas enligt föreskriven organisationsvägledning.

För att mäta och öka efterlevnaden till den här minimala eller utökade baslinjen börjar vi med att få synlighet på klientorganisationsnivå och i dina lokala miljöer genom att tillämpa en säkerhetsläsarroll i Azure-klientorganisationen. Med rollen Säkerhetsläsare på plats kan den få ytterligare synlighet genom Microsoft Defender för moln- och Azure-principer som kan användas för att tillämpa branschbaslinjer (till exempel Azure CIS, PCI, ISO 27001) eller en anpassad baslinje som din organisation har definierat.

Behörigheter hanteras manuellt i miljöer

Från klientorganisationsnivån ned till de enskilda resurserna i varje resursgrupps annonsprenumeration måste lämpliga rollbaserade åtkomstkontroller tillämpas.

Konfigurationshantering av VMS och servrar där arbetsbelastningar körs

Precis som vi har hanterat vår lokala datacentermiljö måste vi också se till att vi effektivt hanterar våra molnresurser. Fördelen med att använda Azure är möjligheten att hantera alla dina virtuella datorer från en plattform med hjälp av Azure Arc (förhandsversion). Med Azure Arc kan du utöka dina säkerhetsbaslinjer från Azure Policy, dina Microsoft Defender för molnprinciper och utvärderingar av säkerhetspoäng samt loggning och övervakning av alla resurser på ett och samma ställe. Nedan visas några åtgärder för att komma igång.

Implementera Azure Arc (förhandsversion)

Med Azure Arc kan organisationer utöka de välbekanta säkerhetskontrollerna i Azure till lokal plats och gränsen för organisationens infrastruktur. Administratörer har flera alternativ för att ansluta lokala resurser till Azure Arc. Dessa omfattar Azure Portal, PowerShell och Windows-installation med skript för tjänstens huvudnamn.

Läs mer om de här teknikerna.

Tillämpa säkerhetsbaslinjer via Azure Policy, inklusive tillämpning av gästprinciper

Genom att aktivera Defender för molnet kan du införliva en uppsättning baslinjekontroller via Azure Policy inbyggda principdefinitioner för Microsoft Defender för molnet. Uppsättningen med baslinjeprinciper återspeglas i säkerhetspoängen för Defender för molnet, där du kan mäta din efterlevnad av dessa principer.

Du kan utöka din täckning av principer utöver Defender for Cloud-uppsättningen och skapa anpassade principer om en inbyggd inte är tillgänglig. Du kan också inkludera gästkonfigurationsprinciper som mäter efterlevnad i dina virtuella gästdatorer i dina prenumerationer.

Tillämpa kontroller för Endpoint Protection och sårbarhetshantering i Defender för molnet

Slutpunktsskydd är viktigt för att säkerställa att infrastrukturen förblir säker och tillgänglig. Som en del av en strategi för slutpunktsskydd och sårbarhetshantering kan du mäta efterlevnad centralt för att säkerställa att skydd mot skadlig kod är aktiverat och konfigurerat via utvärdering och rekommendationer för Slutpunktsskydd i Microsoft Defender för molnet.

Centraliserad synlighet för din baslinje över flera prenumerationer

Genom att tillämpa klientläsarrollen kan du få insyn i klientorganisationens status för var och en av de principer som utvärderas som en del av säkerhetspoängen för Defender för molnet, Azure Policy och gästkonfigurationsprinciperna. Du skickar det till instrumentpanelen för organisationsefterlevnad för central rapportering av klientorganisationens tillstånd.

Som en del av Defender för servrar kan du dessutom använda principen Aktivera den inbyggda lösningen för sårbarhetsbedömning på virtuella datorer (drivs av Qualys) för att söka igenom dina virtuella datorer efter sårbarheter och få dem återspeglade direkt i Defender för molnet. Om du redan har en lösning för sårbarhetsskanning distribuerad i företaget kan du använda den alternativa lösningen för utvärdering av säkerhetsrisker, som ska installeras på dina virtuella datorer för distribution av en lösning för sårbarhetsskanning av partner.




Checklistikon med en bockmarkering.

Inledande distributionsmål

När du har uppfyllt de grundläggande infrastrukturmålen kan du fokusera på att implementera en modern infrastruktur med en Nolltillit strategi från slutpunkt till slutpunkt.

I. Arbetsbelastningar övervakas och varnas för onormalt beteende

När du skapar en ny infrastruktur måste du se till att du även upprättar regler för övervakning och aviseringar. Det här är nyckeln för att identifiera när en resurs visar oväntat beteende.

Vi rekommenderar att du aktiverar Microsoft Defender för molnet och dess planer för att skydda de resurstyper som stöds, inklusive Defender för servrar, Defender för lagring, Defender för containrar, Defender för SQL osv.

För övervakning av identiteter rekommenderar vi att du aktiverar Microsoft Defender for Identity och Advanced Threat Analytics för att aktivera signalinsamling för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder riktade mot din organisation.

Genom att integrera dessa signaler från Defender för molnet, Defender för identitet, Advanced Threat Analytics och andra övervaknings- och granskningssystem med Microsoft Sentinel, en molnbaserad SIEM-lösning (Security Information Event Management) och SOAR-lösning (Security Orchestration Automated Response) kan din SOC (Security Operations Center) arbeta från en enda fönsterruta för att övervaka säkerhetshändelser i företaget.

II. Varje arbetsbelastning tilldelas en appidentitet – och konfigureras och distribueras konsekvent

Vi rekommenderar att du använder en princip som tilldelas och framtvingas när du skapar resurser/arbetsbelastningar. Principer kan kräva att taggar tillämpas på en resurs vid skapande, tilldelning av mandat för resursgrupper och begränsning/direkt tekniska egenskaper, till exempel tillåtna regioner, VM-specifikationer (till exempel VM-typ, diskar, tillämpade nätverksprinciper).

III. Personalåtkomst till resurser kräver just-in-time

Personalen bör använda administrativ åtkomst sparsamt. När administrativa funktioner krävs bör användarna få tillfällig administrativ åtkomst.

Organisationer bör upprätta ett program för att skydda administratören . Egenskaperna för dessa program är:

  • Riktad minskning av antalet användare med administrativ behörighet.
  • Granska konton och roller för utökade behörigheter.
  • Skapa särskilda infrastrukturzoner för High-Value Asset (HVA) för att minska ytan.
  • Ge administratörer särskilda Secure Admin Workstations (SAWs) för att minska sannolikheten för stöld av autentiseringsuppgifter.

Alla dessa objekt hjälper en organisation att bli mer medveten om hur administrativa behörigheter används, var dessa behörigheter fortfarande är nödvändiga och ge en översikt över hur du kan arbeta säkrare.




Checklistikon med två bockmarkeringar.

Ytterligare distributionsmål

När du har uppnått dina tre första mål kan du fokusera på ytterligare mål, till exempel blockera obehöriga distributioner.

IV. Obehöriga distributioner blockeras och avisering utlöses

När organisationer flyttar till molnet är möjligheterna obegränsade. Det är inte alltid bra. Av olika skäl måste organisationer kunna blockera obehöriga distributioner och utlösa aviseringar för att göra ledare och chefer medvetna om problemen.

Microsoft Azure erbjuder Azure Blueprints för att styra hur resurser distribueras, vilket säkerställer att endast godkända resurser (till exempel ARM-mallar) kan distribueras. Skisser kan se till att resurser som inte uppfyller skissens principer eller andra regler blockeras från distribution. Faktiska eller försök till skissöverträdelse kan generera aviseringar efter behov och göra aviseringar, aktivera webhooks eller Automation-runbooks eller till och med skapa tjänsthanteringsbiljetter.

V. Detaljerad synlighet och åtkomstkontroll är tillgängliga för arbetsbelastningar

Microsoft Azure erbjuder en mängd olika metoder för att uppnå resurssynlighet. Från Azure-portalen kan resursägare konfigurera många mått- och logginsamlings- och analysfunktioner. Den här synligheten kan användas inte bara för att mata in säkerhetsåtgärder utan även för att stödja beräkningseffektivitet och organisatoriska mål. Dessa omfattar funktioner som Virtual Machine Scale Sets, som möjliggör säker och effektiv utskalning och skalning av resurser baserat på mått.

På åtkomstkontrollsidan kan rollbaserade Access Control (RBAC) användas för att tilldela behörigheter till resurser. På så sätt kan behörigheter tilldelas och återkallas enhetligt på individ- och gruppnivå med hjälp av en mängd olika inbyggda eller anpassade roller.

VI. Användar- och resursåtkomst segmenterad för varje arbetsbelastning

Microsoft Azure erbjuder många sätt att segmentera arbetsbelastningar för att hantera användar- och resursåtkomst. Nätverkssegmentering är den övergripande metoden och i Azure kan resurser isoleras på prenumerationsnivå med virtuella nätverk (VNet), VNet-peeringregler, nätverkssäkerhetsgrupper (NSG: er), programsäkerhetsgrupper (ASG:er) och Azure Firewalls. Det finns flera designmönster för att fastställa den bästa metoden för segmentering av arbetsbelastningar.

Produkter som beskrivs i den här guiden

Microsoft Azure

Azure Blueprint

Azure Policy

Azure Arc

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Resource Manager-mallar (ARM)

Slutsats

Infrastruktur är centralt för en framgångsrik Nolltillit strategi. Om du vill ha mer information eller hjälp med implementeringen kontaktar du kundframgångsteamet eller fortsätter att läsa igenom de andra kapitlen i den här guiden, som omfattar alla Nolltillit pelare.



Distributionsguideserien för Nolltillit

Ikon för introduktionen

Ikon för identitet

Ikon för slutpunkter

Ikon för program

Ikon för data

Ikon för infrastruktur

Ikon för nätverk

Ikon för synlighet, automatisering, orkestrering