安全工具和策略
在 Tailwind Traders 叙述中,客户为 Azure 登陆区域选择了“从小做起”方法。 这意味着其当前实现不包括所有建议的安全控制。 理想情况下,客户将开始使用 Azure 登陆区域加速器,该加速器已经安装了以下许多工具。
本单元介绍要将哪些控制添加到此客户环境以更接近 Azure 登陆区域概念体系结构并准备组织的安全要求。
有多种工具和控制可帮助你快速实现安全基线:
- Microsoft Defender for Cloud:提供了强化资源、跟踪安全态势、防范网络攻击和简化安全管理所需的工具。
- Microsoft Entra ID:默认的云标识和访问管理服务。 Microsoft Entra ID 提供标识安全分数,以帮助你根据 Microsoft 的建议来评估标识安全状况。
- Microsoft Sentinel:一种云原生 SIEM,它为你的整个企业提供由 AI 提供支持的智能安全性分析。
- Azure 分布式拒绝服务 (DDoS) 标准防护计划(可选):提供增强的 DDoS 缓解功能来抵御 DDoS 攻击。
- Azure 防火墙:一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供威胁防护。
- Web 应用程序防火墙:一种云原生的服务,可保护 Web 应用免受常见网络黑客技术(例如 SQL 注入)和安全漏洞(例如跨站脚本)的攻击。
- 特权标识管理 (PIM):Microsoft Entra ID 中的一项服务,可以通过它来管理、控制和监视对组织中重要资源的访问。
- Microsoft Intune:一项基于云的服务,关注移动设备管理和移动应用程序管理。
以下部分说明了 Tailwind Traders 如何在实践中实现安全基线。
访问控制的基线实现
CISO 希望从客户叙述中实现以下目标:
- 支持用户从任何位置安全地完成自己的工作
- 最大程度地减少重大安全事件造成的业务损失
如果这些目标与组织保持一致,或者如果你有其他驱动程序来增加访问控制,请将以下任务纳入安全基线:
- 实现 Microsoft Entra ID 以启用强凭据
- 添加 Intune 以实现设备安全
- 为特权帐户添加 PIM,以使其更接近零信任环境
- 通过将中心辐射型模型与应用程序登陆区域之间的击碎玻璃应急控制和防火墙控制结合使用,以实现声音网络分段
- 添加 Defender for Cloud 和 Azure Policy,以监视是否遵循这些要求
符合性的基线实现
CISO 希望从客户叙述中实现以下目标:
- 主动满足法规和符合性需求
如果此目标与组织保持一致,或者如果你有其他驱动程序来增加访问控制,请将以下任务纳入安全基线:
- 为特权帐户添加 PIM,以使其更接近零信任环境
用于识别和保护敏感业务数据的基线实现
CISO 希望从客户叙述中实现以下目标:
- 识别和保护敏感业务数据
- 快速现代化现有安全计划
如果这些目标与组织保持一致,或者如果你有其他驱动程序来增加访问控制,请将以下任务纳入安全基线:
- 添加 Defender for Cloud 以获得对不断蔓延的数字足迹的集中、集成的可见性和控制,并了解存在哪些风险
- 添加 Microsoft Sentinel 以自动执行可重复过程,从而节省安全团队的时间
正确的工具就绪后,请确保已制定良好的策略,以强制正确使用这些工具。 多个策略适用于联机和公司连接的登陆区域:
- 强制执行对存储帐户的安全访问(如 HTTPS):通过为存储帐户设置“需要安全传输”属性,将存储帐户配置为仅接受来自安全连接的请求。 要求安全传输时,来自不安全连接的任何请求都会被拒绝。
- 强制执行 Azure SQL 数据库审核:跟踪数据库事件,并将这些事件写入 Azure 存储帐户、Log Analytics 工作区或事件中心内的审核日志。
- 强制执行 Azure SQL 数据库加密:透明数据加密通过加密静态数据,帮助保护 SQL 数据库、Azure SQL 托管实例和 Azure Synapse Analytics 免受恶意脱机活动的威胁。
- 阻止 IP 转发:IP 转发使附加到 VM 的网络接口能够接收网络流量,这些流量不是发往分配给任何网络接口 IP 配置的任何 IP 地址的网络流量。 还可以使用与分配给某一网络接口 IP 配置的源 IP 地址不同的地址发送网络流量。 必须为附加到 VM 的、接收 VM 需要转发的流量的每个网络接口启用该设置。
- 确保子网与网络安全组 (NSG) 关联:使用 Azure NSG 筛选 Azure 虚拟网络中出入 Azure 资源的网络流量。 NSG 包含安全规则,这些规则可允许或拒绝多种 Azure 资源的入站和出站网络流量。 对于每个规则,可以指定源和目标、端口及协议。