Nástroje a zásady zabezpečení
V příběhu společnosti Tailwind Traders zákazník zvolil přístup "start small" k cílovým zóně Azure. To znamená, že jejich aktuální implementace nezahrnuje všechny navrhované kontrolní mechanismy zabezpečení. V ideálním případě by zákazník začal s akcelerátorem cílových zón Azure, který by už nainstaloval mnoho z následujících nástrojů.
Tato lekce popisuje, které ovládací prvky se mají přidat do prostředí tohoto zákazníka, aby se blížily koncepční architektuře cílových zón Azure a připravily požadavky organizace na zabezpečení.
K dispozici je několik nástrojů a ovládacích prvků, které vám pomůžou rychle dosáhnout standardních hodnot zabezpečení:
- Microsoft Defender for Cloud: Poskytuje nástroje potřebné k posílení vašich prostředků, sledování stavu zabezpečení, ochranu před kybernetickými útoky a zjednodušení správy zabezpečení.
- Microsoft Entra ID: Výchozí služba pro správu identit a přístupu. Microsoft Entra ID poskytuje skóre zabezpečení identity, které vám pomůže vyhodnotit stav zabezpečení vaší identity vzhledem k doporučením Microsoftu.
- Microsoft Sentinel: Cloudově nativní SIEM, který poskytuje inteligentní analýzy zabezpečení pro celý podnik využívající AI.
- Plán standardní ochrany před útoky DDoS (DDoS) Azure Distributed Denial of Service (volitelné): Poskytuje vylepšené funkce zmírnění útoků DDoS pro ochranu před útoky DDoS.
- Azure Firewall: Cloudově nativní a inteligentní služba zabezpečení brány firewall sítě, která poskytuje ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure.
- Firewall webových aplikací: Nativní cloudová služba, která chrání webové aplikace před běžnými technikami hackingu webu, jako jsou injektáž SQL a ohrožení zabezpečení, jako je skriptování mezi weby.
- Privileged Identity Management (PIM): Služba v Microsoft Entra ID, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci.
- Microsoft Intune: Cloudová služba, která se zaměřuje na správu mobilních zařízení a správu mobilních aplikací.
Následující části ukazují, jak může firma Tailwind Traders v praxi dosáhnout standardních hodnot zabezpečení.
Implementace směrného plánu pro řízení přístupu
CISO chce dosáhnout následujících cílů z příběhu zákazníka:
- Umožnit uživatelům bezpečně pracovat odkudkoli
- Minimalizace obchodních škod z významného incidentu zabezpečení
Pokud jsou tyto cíle v souladu s vaší organizací nebo pokud máte další ovladače pro zvýšení řízení přístupu, zastavte do směrného plánu zabezpečení následující úlohy:
- Implementace ID Microsoft Entra pro povolení silných přihlašovacích údajů
- Přidání Intune pro zabezpečení zařízení
- Přidání PIM pro privilegované účty pro přechod blíž ke světu nulové důvěry
- Implementace segmentace zvukové sítě pomocí hvězdicového modelu s ovládacími prvky pro rozbité sklo a ovládacími prvky brány firewall mezi cílovými zónami aplikací
- Přidání Defenderu pro cloud a Azure Policy pro monitorování dodržování těchto požadavků
Implementace směrného plánu pro dodržování předpisů
CISO chce dosáhnout následujícího cíle z příběhu zákazníka:
- Proaktivní splnění zákonných požadavků a požadavků na dodržování předpisů
Pokud je tento cíl v souladu s vaší organizací nebo pokud máte další ovladače pro zvýšení řízení přístupu, zastavte do směrného plánu zabezpečení následující úlohu:
- Přidání PIM pro privilegované účty pro přechod blíž ke světu nulové důvěry
Základní implementace pro identifikaci a ochranu citlivých obchodních dat
CISO chce dosáhnout následujících cílů z příběhu zákazníka:
- Identifikace a ochrana citlivých obchodních dat
- Rychlá modernizace stávajícího programu zabezpečení
Pokud jsou tyto cíle v souladu s vaší organizací nebo pokud máte další ovladače pro zvýšení řízení přístupu, zastavte do směrného plánu zabezpečení následující úlohy:
- Přidání Defenderu pro cloud za účelem získání centralizované, integrované viditelnosti a kontroly nad rozrůstajícími se digitálními stopami a pochopením toho, co existuje
- Přidání služby Microsoft Sentinel pro automatizaci procesů, které se dají opakovat, aby se uvolnil čas pro bezpečnostní tým
Jakmile jsou správné nástroje, ujistěte se, že máte správné zásady pro vynucení správného používání těchto nástrojů. Několik zásad platí pro online a podnikové cílové zóny:
- Vynucujte zabezpečený přístup, například HTTPS, k účtům úložiště: Nakonfigurujte účet úložiště tak, aby přijímal požadavky ze zabezpečených připojení pouze nastavením požadované vlastnosti zabezpečeného přenosu pro účet úložiště. Pokud potřebujete zabezpečený přenos, všechny požadavky pocházející z nezabezpečeného připojení budou odmítnuty.
- Vynucování auditování služby Azure SQL Database: Sledování událostí databáze a jejich zápis do protokolu auditu v účtu úložiště Azure, pracovním prostoru služby Log Analytics nebo centrech událostí.
- Vynucení šifrování pro Azure SQL Database: Transparentní šifrování dat pomáhá chránit službu SQL Database, azure SQL Managed Instance a Azure Synapse Analytics před hrozbou škodlivých offline aktivit šifrováním neaktivních uložených dat.
- Zabránit předávání IP: Předávání IP umožňuje síťovému rozhraní připojenému k virtuálnímu počítači přijímat síťový provoz, který není určený pro žádnou z IP adres přiřazených ke konfiguraci IP adres síťového rozhraní. Můžete také odesílat síťový provoz s jinou zdrojovou IP adresou, než je ta, která je přiřazená k jedné z konfigurací IP adres síťového rozhraní. Nastavení musí být povolené pro každé síťové rozhraní připojené k virtuálnímu počítači, které přijímá provoz, který musí virtuální počítač předávat.
- Ujistěte se, že jsou podsítě přidružené ke skupinám zabezpečení sítě (NSG): Pomocí skupiny zabezpečení sítě Azure můžete filtrovat síťový provoz do a z prostředků Azure ve virtuální síti Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení, která povolují nebo zakazují příchozí síťový provoz do nebo odchozí síťový provoz z několika typů prostředků Azure. Pro každé pravidlo můžete zadat zdroj a cíl, port a protokol.