Úvod do referenční architektury kyberbezpečnosti Microsoftu a srovnávacího testu zabezpečení cloudu
Tento modul se zabývá osvědčenými postupy pro možnosti a kontroly kybernetické bezpečnosti, které jsou nezbytné ke snížení rizika úspěšného útočníka.
Cíle výuky
V tomto modulu se naučíte:
- K návrhu bezpečnějších řešení použijte referenční architekturu kyberbezpečnosti Microsoftu (MCRA).
- K návrhu bezpečnějších řešení použijte srovnávací test zabezpečení cloudu Microsoftu (MCSB).
Obsah v modulu vám pomůže připravit se na certifikační zkoušku SC-100: Microsoft Cybersecurity Architect.
Požadavky
- Koncepční znalost zásad zabezpečení, požadavků, architektury nulové důvěryhodnosti a správy hybridních prostředí
- Pracovní zkušenosti se strategiemi nulové důvěryhodnosti, používáním zásad zabezpečení a vývojem požadavků na zabezpečení na základě obchodních cílů
Přehled MCRA
Referenční architektury kyberbezpečnosti Microsoftu (MCRA) jsou sada technických diagramů, které popisují možnosti kybernetické bezpečnosti Microsoftu. Diagramy popisují, jak se možnosti zabezpečení Microsoftu integrují s následujícími funkcemi:
- Platformy Microsoftu, jako je Microsoft 365 a Microsoft Azure
- Aplikace třetích stran, jako je ServiceNow a Salesforce
- Platformy třetích stran, jako jsou Amazon Web Services (AWS) a Google Cloud Platform (GCP)
MCRA obsahuje diagramy v následujících tématech:
- Možnosti kybernetické bezpečnosti Microsoftu
- nulová důvěra (Zero Trust) a plán rychlé modernizace nulová důvěra (Zero Trust) (RaMP)
- Přístup uživatelů nulové důvěryhodnosti
- Operace zabezpečení
- Provozní technologie (OT)
- Multicloudové a multiplatformní funkce
- Pokrytí řetězu útoků
- Nativní kontrolní mechanismy zabezpečení Azure
- Organizační funkce zabezpečení
Přehled MCSB
Nové služby a funkce se vydávají každý den v Azure a dalších cloudových platformách. Vývojáři rychle publikují nové cloudové aplikace založené na těchto službách a útočníci neustále hledají nové způsoby zneužití chybně nakonfigurovaných prostředků. Cloud se rychle přesune, vývojáři se rychle přesunou a útočníci se také rychle přesunou. Jak udržujete krok a ujistěte se, že jsou vaše cloudová nasazení zabezpečená? Jak se postupy zabezpečení pro cloudové systémy liší od místních systémů a liší se mezi poskytovateli cloudových služeb? Jak monitorovat konzistenci úloh napříč několika cloudovými platformami?
Microsoft zjistil, že použití srovnávacích testů zabezpečení vám může pomoct rychle zabezpečit cloudová nasazení. Komplexní architektura osvědčených postupů zabezpečení od poskytovatelů cloudových služeb vám může poskytnout výchozí bod pro výběr konkrétních nastavení konfigurace zabezpečení ve vašem cloudovém prostředí napříč několika poskytovateli služeb a umožňuje monitorovat tyto konfigurace pomocí jediného podokna skla.
Ovládací prvky zabezpečení
Ovládací prvek je obecný popis doporučené funkce nebo aktivity, které je potřeba řešit. Ovládací prvky nejsou specifické pro technologii nebo implementaci. Doporučení k řízení zabezpečení se vztahují na několik cloudových úloh. Každá kontrola se očísluje a doporučení kontroly identifikují seznam zúčastněných stran, které jsou obvykle zapojeny do plánování, schvalování nebo implementace srovnávacího testu.
McSB – řídicí domény / rodiny ovládacích prvků
V ovládacích prvcích MCSB jsou seskupené do "rodin" nebo "domén". Následující tabulka shrnuje domény řízení zabezpečení v MCSB:
| Domény ovládacích prvků | Popis |
|---|---|
| Zabezpečení sítě (NS) | Zabezpečení sítě zahrnuje kontroly zabezpečení a ochrany sítí, včetně zabezpečení virtuálních sítí, vytváření privátních připojení, prevence a zmírnění externích útoků a zabezpečení DNS. |
| Správa identit (IM) | Správa identit se zabývá ovládacími prvky pro vytvoření zabezpečeného řízení identit a přístupu pomocí systémů pro správu identit a přístupu, včetně použití jednotného přihlašování, silného ověřování, spravovaných identit (a instančních objektů) pro aplikace, podmíněného přístupu a monitorování anomálií účtů. |
| Privilegovaný přístup (PA) | Privileged Access zahrnuje ovládací prvky, které chrání privilegovaný přístup k vašemu tenantovi a prostředkům, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem. |
| Ochrana dat (DP) | Ochrana dat zahrnuje kontrolu neaktivních uložených dat, přenášených dat a prostřednictvím autorizovaných přístupových mechanismů, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování, správy klíčů a správy certifikátů. |
| Správa prostředků (AM) | Správa prostředků se zabývá ovládacími prvky, které zajišťují viditelnost zabezpečení a zásady správného řízení nad vašimi prostředky. To zahrnuje doporučení týkající se oprávnění pro pracovníky zabezpečení, přístup zabezpečení k inventáři prostředků a správu schválení pro služby a prostředky (inventář, sledování a správnost). |
| Protokolování a detekce hrozeb (LT) | Protokolování a detekce hrozeb zahrnují kontroly pro detekci hrozeb v cloudu a povolení, shromažďování a ukládání protokolů auditu pro cloudové služby, včetně povolení detekce, vyšetřování a nápravných procesů s ovládacími prvky pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb v cloudových službách; Zahrnuje také shromažďování protokolů s cloudovou monitorovací službou, centralizaci analýzy zabezpečení pomocí SIEM, synchronizace času a uchovávání protokolů. |
| Reakce na incidenty (IR) | Reakce na incidenty se zabývá kontrolami v životním cyklu reakce na incidenty – příprava, detekce a analýza, omezování a aktivity po incidentu, včetně použití služeb Azure (jako je Microsoft Defender for Cloud a Sentinel) a/nebo jiných cloudových služeb k automatizaci procesu reakce na incidenty. |
| Stav a správa ohrožení zabezpečení (PV) | Stav a správa ohrožení zabezpečení se zaměřuje na kontroly pro posouzení a zlepšení stavu zabezpečení v cloudu, včetně kontroly ohrožení zabezpečení, testování průniku a nápravy, jakož i sledování konfigurace zabezpečení, generování sestav a oprav v cloudových prostředcích. |
| Zabezpečení koncových bodů (ES) | Endpoint Security zahrnuje kontroly v detekce a reakce u koncových bodů, včetně použití detekce a reakce u koncových bodů (EDR) a antimalwarové služby pro koncové body v cloudových prostředích. |
| Zálohování a obnovení (BR) | Ovládací prvky zálohování a obnovení pokrývají, aby se zajistilo, že se provádějí, ověřují a chrání zálohy dat a konfigurace na různých úrovních služby. |
| DevOps Security (DS) | DevOps Security zahrnuje ovládací prvky související s technikou zabezpečení a operacemi v procesech DevOps, včetně nasazení důležitých kontrol zabezpečení (jako je testování zabezpečení statických aplikací, správa ohrožení zabezpečení) před fází nasazení, aby se zajistilo zabezpečení v průběhu procesu DevOps. Zahrnuje také běžná témata, jako je modelování hrozeb a zabezpečení dodávek softwaru. |
| Zásady správného řízení a strategie (GS) | Zásady správného řízení a strategie poskytují pokyny k zajištění koherentní strategie zabezpečení a zdokumentovaného přístupu k řízení a udržení záruk zabezpečení, včetně stanovení rolí a odpovědností za různé funkce zabezpečení cloudu, sjednocené technické strategie a podpory zásad a standardů. |
Standardní hodnoty služeb
Standardní hodnoty zabezpečení jsou standardizované dokumenty pro nabídky produktů Azure, popisující dostupné možnosti zabezpečení a optimální konfigurace zabezpečení, které vám pomůžou posílit zabezpečení prostřednictvím vylepšených nástrojů, sledování a funkcí zabezpečení. V současné době máme k dispozici pouze standardní hodnoty služeb pro Azure.
Standardní hodnoty zabezpečení pro Azure se zaměřují na oblasti řízení zaměřené na cloud v prostředích Azure. Tyto kontroly jsou konzistentní s dobře známými oborovými standardy, jako jsou: Center for Internet Security (CIS) nebo National Institute for Standards in Technology (NIST). Naše směrné plány poskytují pokyny pro oblasti řízení uvedené v srovnávacím testu zabezpečení cloudu Microsoftu v1.
Každý směrný plán se skládá z následujících součástí:
- Jak se služba chová?
- Které funkce zabezpečení jsou k dispozici?
- Jaké konfigurace se doporučuje zabezpečit službu?
Implementace srovnávacího testu zabezpečení cloudu Microsoftu
- Naplánujte implementaci MCSB kontrolou dokumentace pro podnikové ovládací prvky a směrné plány specifické pro služby, abyste mohli naplánovat architekturu řízení a způsob, jakým se mapuje na pokyny, jako je Center for Internet Security (CIS), Národní institut standardů a technologie (NIST) a architektura PCI-DSS (Payment Card Industry Data Security Standard).
- Monitorujte dodržování předpisů se stavem MCSB (a dalšími sadami ovládacích prvků) pomocí řídicího panelu Microsoft Defenderu pro cloud – dodržování právních předpisů pro vaše prostředí s více cloudy.
- Vytvořte ochranné mantinely pro automatizaci zabezpečených konfigurací a vynucování dodržování předpisů s MCSB (a dalšími požadavky ve vaší organizaci) pomocí funkcí, jako jsou Azure Blueprints, Azure Policy nebo ekvivalentní technologie z jiných cloudových platforem.
Běžné případy použití
Srovnávací test zabezpečení cloudu Microsoftu se často dá použít k řešení běžných problémů pro zákazníky nebo partnery služeb, kteří jsou:
- Novinka v Azure (a dalších hlavních cloudových platformách, jako je AWS) a hledání osvědčených postupů zabezpečení pro zajištění zabezpečeného nasazení cloudových služeb a vlastních aplikačních úloh.
- Chcete zlepšit stav zabezpečení stávajících cloudových nasazení a určit prioritu hlavních rizik a zmírnění rizik.
- Používání prostředí s více cloudy (jako jsou Azure a AWS) a problémy související s sladěním monitorování a hodnocení bezpečnostních prvků pomocí jediného podokna skla.
- Vyhodnocení funkcí zabezpečení a možností Azure (a dalších hlavních cloudových platforem, jako je AWS) před onboardingem nebo schvalováním služeb do katalogu cloudových služeb.
- Musí splňovat požadavky na dodržování předpisů v vysoce regulovaných odvětvích, jako jsou státní správa, finance a zdravotnictví. Tito zákazníci musí zajistit konfiguraci služeb Azure a dalších cloudů, aby splňovali specifikaci zabezpečení definovanou v rámci, jako je CIS, NIST nebo PCI. MCSB poskytuje efektivní přístup s ovládacími prvky, které už jsou na tyto oborové srovnávací testy předem namapované.
Terminologie
Termíny "řízení" a "směrný plán" se často používají v dokumentaci ke srovnávacím testům zabezpečení cloudu Microsoftu. Je důležité pochopit, jak MCSB tyto termíny používá.
| Období | Popis | Příklad |
|---|---|---|
| Ovládací prvek | Ovládací prvek je popis funkce nebo aktivity vysoké úrovně, které je potřeba řešit a které nejsou specifické pro technologii nebo implementaci. | Ochrana dat je jednou z rodin kontrolních mechanismů zabezpečení. Ochrana dat obsahuje konkrétní akce, které musí být adresovány, aby bylo možné zajistit ochranu dat. |
| Standardní hodnoty | Směrný plán je implementace kontroly jednotlivých služeb Azure. Každá organizace určuje doporučení srovnávacího testu a v Azure jsou potřeba odpovídající konfigurace. Poznámka: Dnes máme standardní hodnoty služeb dostupné jenom pro Azure. | Společnost Contoso hledá povolení funkcí zabezpečení Azure SQL podle konfigurace doporučené v standardních hodnotách zabezpečení Azure SQL. |