Doporučení pro posílení zabezpečení prostředků
Platí pro toto doporučení kontrolního seznamu zabezpečení architektury Azure Well-Architected Framework:
| SE:08 | Zpevnit všechny součásti úloh snížením nadbytečné plochy a zpřísněním konfigurací za účelem zvýšení nákladů na útočníka. |
|---|
Tato příručka popisuje doporučení pro posílení zabezpečení prostředků tím, že vyvíjí lokalizované kontroly v rámci úlohy a udržuje je, aby odolal opakovaným útokům.
Posílení zabezpečení je záměrné cvičení pro zachování sebe sama. Cílem je snížit prostor pro útoky a zvýšit náklady útočníků v jiných oblastech, což omezuje příležitosti pro škodlivé aktéry k zneužití ohrožení zabezpečení. K ochraně úloh implementujte osvědčené postupy a konfigurace zabezpečení.
Posílení zabezpečení je průběžný proces , který vyžaduje nepřetržité monitorování a přizpůsobení se vyvíjejícím hrozbám a ohrožením zabezpečení.
Definice
| Pojem | definice |
|---|---|
| Posílení | Postup omezení prostoru pro útok odebráním nadbytečných prostředků nebo úpravou konfigurací. |
| Pracovní stanice s privilegovaným přístupem (PAW) | Vyhrazený a zabezpečený počítač, který používáte k provádění citlivých úloh, což snižuje riziko ohrožení zabezpečení. |
| Zabezpečená pracovní stanice pro správu (SAW) | Specializovaná pracovní stanice s privilegovaným přístupem, kterou používají účty kritického dopadu. |
| Plochu | Logická stopa úlohy, která obsahuje ohrožení zabezpečení. |
Klíčové strategie návrhu
Posílení zabezpečení je vysoce lokalizované cvičení, které posiluje kontrolní mechanismy na úrovni komponent bez ohledu na to, jestli se jedná o prostředky nebo procesy. Když zpřísníte zabezpečení jednotlivých komponent, zlepší se agregace zabezpečení vaší úlohy.
Posílení zabezpečení nebere v úvahu funkčnost úlohy a nedetekuje hrozby ani neprovádí automatizované prohledávání. Posílení zabezpečení se zaměřuje na ladění konfigurace s předpokládaným porušením zabezpečení a hloubkovou obranou. Cílem je znesnadnit útočníkovi získat kontrolu nad systémem. Posílení zabezpečení by nemělo měnit zamýšlený nástroj úlohy nebo jeho operací.
Sestavení inventáře prostředků úloh
Prvním krokem procesu posílení zabezpečení je shromáždění komplexního inventáře veškerého hardwaru, softwaru a datových prostředků. Udržujte záznamy inventáře aktuální přidáním nových prostředků a odebráním vyřazených prostředků. U všech prostředků v inventáři zvažte následující osvědčené postupy:
Snižte nároky. Odeberte nadbytečnou povrchovou plochu nebo zmenšete rozsah. Eliminujte jednoduché cíle nebo levné a dobře zavedené vektory útoku, jako jsou nepatchované softwarové zneužití a útoky hrubou silou. Před produkčním nasazením byste měli vyčistit identity, komponenty sestavení a další prostředky, které nejsou potřeba, ze zdrojového stromu.
Dolaďte konfigurace. Vyhodnoťte a utáhněte zbývající plochu povrchu. Když jsou prostředky posílené, vyzkoušené a otestované metody, které útočníci používají, už nebudou úspěšné. Vynutí útočníky, aby získali a používali pokročilé nebo neotestované metody útoku, což zvyšuje náklady.
Udržujte obranu. Udržujte ochranná opatření tím, že provádíte nepřetržitou detekci hrozeb, abyste zajistili spolehlivost úsilí o posílení zabezpečení v průběhu času.
Zvažte také následující faktory.
Důvěryhodný zdroj. Součástí cvičení posílení zabezpečení je softwarový dodavatelský řetězec. V těchto doprovodných materiálech se předpokládá, že všechny komponenty jsou získány z důvěryhodných zdrojů. Vaše organizace musí schválit software, který si poří dodavatelé třetích stran. Toto schválení platí pro zdroje operačního systému, imagí a dalších nástrojů třetích stran. Bez důvěryhodných prostředků může být posílení zabezpečení nekonečným vyprázdněním záruk zabezpečení u nedůvěryhodných zdrojů.
Doporučení týkající se zabezpečení dodavatelského řetězce najdete v tématu Doporučení pro zabezpečení životního cyklu vývoje.
Trénování: Posílení je specializovaná dovednost. Je to metodické a vyžaduje vysokou úroveň kompetencí. Potřebujete porozumět funkcím komponenty a tomu, jak změny ovlivňují danou komponentu. Člen týmu musí být schopen rozpoznat pokyny od odborníků z odvětví a platformy, aby ho odlišil od pokynů od nejistých zdrojů. Informujte členy týmu o vytváření kultury pracující se zabezpečením. Ujistěte se, že váš tým má zkušenosti s osvědčenými postupy zabezpečení, má povědomí o potenciálních hrozbách a učí se z retrospektivních po incidentů.
Dokumentace: Zdokumentujte a publikujte požadavky na posílení zabezpečení, rozhodnutí a definované metody. Z důvodu transparentnosti také zdokumentují výjimky nebo odchylky od těchto požadavků.
Posílení zabezpečení může být těžkopádné, ale je to zásadní bezpečnostní cvičení, které musíte zdokumentovat. Nejprve zpevnit základní komponenty a pak rozšířit do dalších oblastí, jako jsou automatizované procesy a lidské procesy, aby se zpřísnily potenciální mezery. Buďte věrní o změnách. Nezbytným krokem je například zakázání výchozího nastavení, protože změny výchozích hodnot můžou ovlivnit stabilitu systému. I když je náhradní konfigurace stejná jako výchozí, musí být definována. Následující části popisují běžné cíle pro posílení zabezpečení. Vyhodnoťte klíčové oblasti návrhu vaší úlohy a postupujte podle klíčových strategií pro posílení zabezpečení na úrovni komponent.
Posílení zabezpečení síťových komponent
Rozdělte síť na segmenty , abyste izolovali kritické prostředky a citlivá data od méně zabezpečených prostředků, což snižuje laterální pohyby útočníků. Vtěchtoch Přístup k seznamu povolených přidejte pouze v případě, že je oprávněný.
Zakažte porty a protokoly, které se aktivně nepoužívají. Pokud například službu Aplikace Azure Nepotřebujete nasazovat přes FTP, můžete ji zakázat. Nebo pokud provádíte operace správy prostřednictvím interní sítě, můžete zakázat přístup pro správu z internetu.
Odeberte nebo zakažte starší protokoly. Útočníci zneužívají systémy, které používají staré verze. Pomocí služby azure detection můžete kontrolovat protokoly a určit využití protokolu. Může být obtížné odebrat protokoly, protože může narušit funkčnost systému. Otestujte všechny změny před implementací, abyste snížili riziko přerušení provozu.
Zacházejte s veřejnými IP adresami jako s vysoce rizikovými prostředky, protože jsou snadno dostupné a mají široký dosah po celém světě. Abyste snížili vystavení, odeberte nepotřebný přístup k internetu k úloze. Použijte sdílené veřejné IP adresy, které služby Microsoft, jako je Azure Front Door, poskytují. Tyto služby jsou navržené tak, aby byly přístupné z internetu a blokují přístup k nepovoleným protokolům. Mnoho takových služeb provádí počáteční kontroly příchozích požadavků na hraničních zařízeních sítě. S vyhrazeným pipem zodpovídáte za správu jeho aspektů zabezpečení, povolení nebo blokování portů a kontrolu příchozích požadavků, abyste zajistili jejich platnost.
U internetových aplikací omezte přístup přidáním služby vrstvy 7 , která může filtrovat neplatný provoz. Prozkoumejte nativní služby, které vynucují ochranu před útoky DDoS (Distributed Denial-of-Service), mají brány firewall webových aplikací a poskytují ochranu na hraničních zařízeních před tím, než provoz dosáhne aplikační vrstvy.
Posílení zabezpečení dns (Domain Name System) je dalším postupem zabezpečení sítě. Pokud chcete zajistit, aby byla infrastruktura DNS zabezpečená, doporučujeme používat důvěryhodné překladače DNS. Pokud je to možné, ověřte informace z překladačů DNS a poskytněte další vrstvu zabezpečení, pokud je to možné, použijte pro vysoce citlivé zóny DNS protokol zabezpečení DNS. Pokud chcete zabránit útokům, jako je otrava mezipamětí DNS, útoky DDoS a útoky na zesílení, prozkoumejte další kontrolní mechanismy zabezpečení související s DNS, jako je omezování rychlosti dotazů, omezování rychlosti odezvy a soubory cookie DNS.
Posílení řízení přístupu k identitám
Odeberte nepoužívané nebo výchozí účty. Zakažte nepoužívané metody ověřování a autorizace.
Zakažte starší metody ověřování, protože jsou často útočné vektory. Staré protokoly často nemají opatření proti útokům, jako jsou uzamčení účtu. Externalizace požadavků na ověřování pro zprostředkovatele identity (IDP), jako je Microsoft Entra ID.
Upřednostněte federaci před vytvářením duplicitních identit. Pokud je identita ohrožená, je jednodušší odvolat přístup, když je centrálně spravovaná.
Seznamte se s možnostmi platformy pro rozšířené ověřování a autorizaci. Posílení řízení přístupu tím, že využívá vícefaktorové ověřování, ověřování bez hesla, podmíněný přístup a další funkce, které Microsoft Entra ID nabízí k ověření identity. Můžete přidat další ochranu před událostmi přihlášení a omezit rozsah, ve kterém může útočník vytvořit žádost.
Pokud je to možné, používejte spravované identity a identity úloh bez přihlašovacích údajů. Přihlašovací údaje můžou být uniklé. Další informace najdete v tématu Doporučení pro ochranu tajných kódů aplikací.
Pro procesy správy použijte přístup s nejnižšími oprávněními. Odeberte nepotřebná přiřazení rolí a proveďte pravidelné kontroly přístupu Microsoft Entra. Popisy přiřazení rolí slouží k zachování papírové stopy odůvodnění, což je pro audity zásadní.
Posílení konfigurace cloudových prostředků
Předchozí doporučení k posílení zabezpečení sítí a identit se vztahují na jednotlivé cloudové služby. U sítí věnujte zvláštní pozornost branám firewall na úrovni služeb a vyhodnoťte jejich příchozí pravidla.
Objevte a zakažte nepoužívané funkce nebo funkce, jako je například nepoužitý přístup k rovině dat a funkce produktu, které by mohly pokrýt jiné komponenty. App Service například podporuje Kudu, která poskytuje nasazení FTP, vzdálené ladění a další funkce. Pokud tyto funkce nepotřebujete, vypněte je.
Vždy udržujte přehled o plánech Azure a plánech úloh. Použijte aktualizace oprav a správy verzí, které nabízejí služby Azure. Povolte aktualizace poskytované platformou a přihlaste se k odběru automatizovaných aktualizačních kanálů.
Riziko: Cloudové prostředky často mají požadavky na povolenky nebo musí běžet v zdokumentovaných konfiguracích, které se mají považovat za podporované. Některé techniky posílení zabezpečení, jako je například agresivní blokování odchozího provozu, můžou způsobit, že služba klesne mimo podporovanou konfiguraci, i když služba funguje normálně. Seznamte se s požadavky na modul runtime jednotlivých cloudových prostředků z vaší platformy, abyste měli jistotu, že pro tento prostředek udržujete podporu.
Posílení prostředků kódu
Vyhodnoťte oblasti, ve kterých může aplikace neúmyslně uniknout informacím. Předpokládejme například, že máte rozhraní API, které načítá informace o uživateli. Požadavek může mít platné ID uživatele a vaše aplikace vrátí chybu 403. Při neplatném ID zákazníka ale požadavek vrátí chybu 404. Pak efektivně unikáte informace o ID vašich uživatelů.
Můžou se vyskytovat i drobné případy. Například latence odpovědi s platným ID uživatele je vyšší než neplatné ID zákazníka.
Zvažte implementaci posílení zabezpečení aplikací v následujících oblastech:
Ověřování vstupu a sanitizace: Zabraňte útokům prostřednictvím injektáže, jako je injektáž SQL a skriptování mezi weby (XSS), tím, že ověříte a upravíte všechny vstupy uživatelů. Automatizujte sanitizaci vstupu pomocí knihoven a architektur ověřování vstupu.
Správa relací: Chraňte identifikátory a tokeny relací před útoky na krádež nebo opravu relací pomocí zabezpečených technik správy relací. Implementujte časové limity relací a vynucujte opakované ověřování pro citlivé akce.
Správa chyb: Implementujte vlastní zpracování chyb, abyste minimalizovali zveřejnění citlivých informací útočníkům. Bezpečně protokolujte chyby a monitorujte tyto protokoly pro podezřelou aktivitu.
Hlavičky zabezpečení HTTP: Zmírnění běžných webových ohrožení zabezpečení pomocí hlaviček zabezpečení v odpovědích HTTP, jako jsou zásady zabezpečení obsahu (CSP), možnosti X-Content-Type-Options a X-Frame-Options.
Zabezpečení rozhraní API: Zabezpečení rozhraní API pomocí správných mechanismů ověřování a autorizace Pro další vylepšení zabezpečení implementujte omezení rychlosti, ověřování požadavků a řízení přístupu pro koncové body rozhraní API.
Při vývoji a údržbě aplikací dodržujte postupy zabezpečeného kódování. Pravidelně provádí kontroly kódu a kontroluje ohrožení zabezpečení aplikací. Další informace najdete v tématu Doporučení pro zabezpečení životního cyklu vývoje.
Operace posílení správy
Posílit také další prostředky mimo modul runtime. Například snižte nároky na operace sestavení tím, že z kanálu vezmete inventář všech prostředků a odeberete nepoužívané prostředky. Potom načítejte úkoly publikované důvěryhodnými zdroji a spouštějte pouze úlohy, které jsou ověřeny.
Zjistěte, jestli potřebujete agenty sestavení hostované microsoftem nebo agenty sestavení v místním prostředí. Agenti sestavení v místním prostředí potřebují dodatečnou správu a musí být posíleni.
Z hlediska pozorovatelnosti implementujte proces kontroly protokolů pro případná porušení zabezpečení. Pravidelně kontrolujte a aktualizujte pravidla řízení přístupu na základě protokolů přístupu. Spolupracujte s centrálními týmy za účelem analýzy správy událostí zabezpečení (SIEM) a protokolů automatizované reakce zabezpečení (SOAR) za účelem detekce anomálií.
Zvažte vyžadování pracovních stanic s privilegovaným přístupem nebo sad SAWs pro operace privilegované správy. Pracovní stanice s privilegovaným přístupem a SAWs jsou posílená fyzická zařízení, která nabízejí významné výhody zabezpečení, ale jejich implementace vyžaduje pečlivé plánování a správu. Další informace najdete v tématu Zabezpečení zařízení v rámci scénáře privilegovaného přístupu.
Usnadnění azure
Microsoft Defender for Cloud nabízí několik možností posílení zabezpečení:
- Posílení zabezpečení serveru
- Adaptivní posílení zabezpečení sítě
- Posílení zabezpečení hostitele Dockeru
Centrum pro internetové zabezpečení (CIS) nabízí posílené image na Azure Marketplace.
Pomocí Azure VM Image Builderu můžete vytvořit opakovatelný proces pro posílené image operačního systému. Common Base Linux-Mariner je posílená distribuce Linuxu vyvinutá Microsoftem, která dodržuje standardy zabezpečení a oborové certifikace. Můžete ho použít s produkty infrastruktury Azure k vytváření implementací úloh.
Příklad
Následující postup představuje příklad posílení operačního systému:
Snižte nároky. Odeberte nepotřebné součásti na obrázku. Nainstalujte jenom to, co potřebujete.
Dolaďte konfigurace. Zakažte nepoužívané účty. Výchozí konfigurace operačních systémů má další účty, které jsou propojené se skupinami zabezpečení. Pokud tyto účty nepoužíváte, zakažte je nebo odeberte ze systému. Další identity jsou vektory hrozeb, které lze použít k získání přístupu k serveru.
Zakažte nepotřebný přístup k systému souborů. Zašifrujte systém souborů a vylaďte řízení přístupu pro identitu a sítě.
Spusťte jenom to, co je potřeba. Blokovat aplikace a služby, které běží ve výchozím nastavení Schvalte jenom aplikace a služby, které jsou potřeba pro funkčnost úloh.
Udržujte obranu. Pravidelně aktualizujte komponenty operačního systému nejnovějšími aktualizacemi zabezpečení a opravami pro zmírnění známých ohrožení zabezpečení.
Související odkazy
- Adaptivní posílení zabezpečení sítě
- Doporučení pro ochranu tajných kódů aplikací
- Doporučení pro zabezpečení životního cyklu vývoje
- Zabezpečení zařízení v rámci privilegovaného přístupu
- Posílení zabezpečení serveru
Komunitní odkazy
Kontrolní seznam zabezpečení
Projděte si kompletní sadu doporučení.