Řízení zabezpečení: Zabezpečená konfigurace

Poznámka

Nejnovější srovnávací test zabezpečení Azure je k dispozici tady.

Vytvořte, implementujte a aktivně spravujte (sledování, hlášení, opravte) konfiguraci zabezpečení prostředků Azure, abyste zabránili útočníkům v zneužití ohrožených služeb a nastavení.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Azure ID	ID CIS	Odpovědnost
7.1	5,1	Zákazník

Pomocí aliasů Azure Policy můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace prostředků Azure. Můžete také použít integrované definice Azure Policy.

Azure Resource Manager má také možnost exportovat šablonu do formátu JSON (JavaScript Object Notation), který by se měl zkontrolovat, aby se zajistilo, že konfigurace splňují nebo překračují požadavky na zabezpečení pro vaši organizaci.

Můžete také použít doporučení z Azure Security Center jako zabezpečený směrný plán konfigurace pro prostředky Azure.

• Jak zobrazit dostupné aliasy Azure Policy

• Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů

• Jeden a více prostředků export do šablony v Azure Portal

• Doporučení k zabezpečení – Referenční příručka

7.2: Vytvoření konfigurace zabezpečeného operačního systému

Azure ID	ID CIS	Odpovědnost
7.2	5,1	Zákazník

Používejte doporučení Azure Security Center k údržbě konfigurací zabezpečení u všech výpočetních prostředků. Kromě toho můžete použít vlastní image operačního systému nebo konfiguraci stavu Azure Automation stavu k vytvoření konfigurace zabezpečení operačního systému požadovaného vaší organizací.

• Monitorování doporučení Azure Security Center

• Doporučení k zabezpečení – Referenční příručka

• přehled Azure Automation State Configuration

• Nahrání virtuálního pevného disku a jeho použití k vytvoření nových virtuálních počítačů s Windows v Azure

• Vytvoření virtuálního počítače s Linuxem z vlastního disku pomocí Azure CLI

7.3: Údržba zabezpečených konfigurací prostředků Azure

Azure ID	ID CIS	Odpovědnost
7.3	5.2	Zákazník

Pomocí Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečená nastavení napříč prostředky Azure. Kromě toho můžete pomocí šablon Azure Resource Manager udržovat konfiguraci zabezpečení prostředků Azure vyžadovaných vaší organizací.

• Vysvětlení účinků zásad Azure Policy

• Vytváření a správa zásad pro vynucování dodržování předpisů

• Přehled šablon Azure Resource Manager

7.4: Údržba zabezpečených konfigurací operačního systému

Azure ID	ID CIS	Odpovědnost
7,4	5.2	Shared

Postupujte podle doporučení z Azure Security Center k provádění posouzení ohrožení zabezpečení u výpočetních prostředků Azure. Kromě toho můžete použít šablony Azure Resource Manager, vlastní image operačního systému nebo konfiguraci stavu Azure Automation stavu k údržbě konfigurace zabezpečení operačního systému požadovaného vaší organizací. Šablony virtuálních počítačů Microsoftu v kombinaci s Azure Automation Desired State Configuration můžou pomoct při plnění a údržbě požadavků na zabezpečení.

Všimněte si také, že Azure Marketplace image virtuálních počítačů publikované společností Microsoft jsou spravovány a spravovány Společností Microsoft.

• Implementace doporučení posouzení ohrožení zabezpečení Azure Security Center

• Vytvoření virtuálního počítače Azure ze šablony Azure Resource Manager

• přehled Azure Automation State Configuration

• Vytvoření virtuálního počítače s Windows v Azure Portal

• Informace o tom, jak stáhnout šablonu virtuálního počítače

• Ukázkový skript pro nahrání virtuálního pevného disku do Azure a vytvoření nového virtuálního počítače

7.5: Bezpečně ukládat konfiguraci prostředků Azure

Azure ID	ID CIS	Odpovědnost
7,5	5.3	Zákazník

Pomocí Azure DevOps můžete bezpečně ukládat a spravovat kód, jako jsou vlastní zásady Azure, šablony Azure Resource Manager a skripty Desired State Configuration. Pokud chcete získat přístup k prostředkům, které spravujete v Azure DevOps, můžete udělit nebo odepřít oprávnění konkrétním uživatelům, integrovaným skupinám zabezpečení nebo skupinám definovaným v Azure Active Directory (Azure AD), pokud jsou integrované s Azure DevOps nebo Active Directory, pokud jsou integrované se sadou TFS.

• Ukládání kódu v Azure DevOps

• Informace o oprávněních a skupinách v Azure DevOps

7.6: Bezpečné ukládání vlastních imagí operačního systému

Azure ID	ID CIS	Odpovědnost
7.6	5.3	Zákazník

Pokud používáte vlastní image, použijte řízení přístupu na základě role Azure (Azure RBAC), abyste zajistili, že k imagím budou mít přístup jenom autorizovaní uživatelé. Pomocí Shared Image Gallery můžete obrázky sdílet s různými uživateli, instančními objekty nebo skupinami AD ve vaší organizaci. U imagí kontejnerů je uložte do Azure Container Registry a využijte Azure RBAC, abyste zajistili, že k imagím budou mít přístup jenom autorizovaní uživatelé.

• Principy Azure RBAC

• Principy Azure RBAC pro Container Registry

• Konfigurace Azure RBAC

• přehled Shared Image Gallery

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Azure ID	ID CIS	Odpovědnost
7.7	5.4	Zákazník

Definujte a implementujte standardní konfigurace zabezpečení pro prostředky Azure pomocí Azure Policy. Pomocí aliasů Azure Policy můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě prostředků Azure. Můžete také využít předdefinované definice zásad související s vašimi konkrétními prostředky. Kromě toho můžete použít Azure Automation k nasazení změn konfigurace.

• Jak nakonfigurovat a spravovat Azure Policy

• Jak používat aliasy

7.8: Nasazení nástrojů pro správu konfigurace pro operační systémy

Azure ID	ID CIS	Odpovědnost
7,8	5.4	Zákazník

Azure Automation State Configuration je služba správy konfigurace pro uzly Desired State Configuration (DSC) v libovolném cloudovém nebo místním datacentru. Počítače můžete snadno připojit, přiřadit je deklarativní konfigurace a zobrazit sestavy zobrazující dodržování předpisů jednotlivých počítačů do požadovaného stavu, který jste zadali.

• Onboarding machines for management by Azure Automation State Configuration

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Azure ID	ID CIS	Odpovědnost
7.9	5.5	Zákazník

Pomocí Azure Security Center můžete provádět základní kontroly prostředků Azure. Kromě toho použijte Azure Policy k upozorňování a auditování konfigurací prostředků Azure.

• Náprava doporučení v Azure Security Center

7.10: Implementace automatizovaného monitorování konfigurace pro operační systémy

Azure ID	ID CIS	Odpovědnost
7.10	5.5	Zákazník

Použijte Azure Security Center k provádění standardních kontrol operačního systému a Nastavení Dockeru pro kontejnery.

• Porozumění doporučení týkajících se kontejnerů Azure Security Center

7.11: Zabezpečená správa tajných kódů Azure

Azure ID	ID CIS	Odpovědnost
7.11	13.1	Zákazník

Použití identity spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení správy tajných kódů pro cloudové aplikace

• Integrace se spravovanými identitami Azure

• Vytvoření Key Vault

• Ověření Key Vault

• Přiřazení zásad přístupu Key Vault

7.12: Zabezpečená a automatická správa identit

Azure ID	ID CIS	Odpovědnost
7.12	4.1	Zákazník

Spravované identity můžete použít k poskytování služeb Azure automaticky spravovanou identitu v Azure AD. Spravované identity umožňují ověřit se ve všech službách, které podporují ověřování Azure AD, včetně Key Vault, bez jakýchkoli přihlašovacích údajů ve vašem kódu.

• Konfigurace spravovaných identit

7.13: Eliminace nezamýšlené expozice přihlašovacích údajů

Azure ID	ID CIS	Odpovědnost
7.13	18.1, 18.7	Zákazník

Implementujte skener přihlašovacích údajů pro identifikaci přihlašovacích údajů v kódu. Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

• Nastavení skeneru přihlašovacích údajů

Další kroky

• Podívejte se na další bezpečnostní kontrolu: Ochrana před malwarem