Narzędzia i zasady zabezpieczeń

  • 5 min

W scenariuszu firmy Tailwind Traders klient wybrał "rozpocznij małe" podejście do stref docelowych platformy Azure. Oznacza to, że ich bieżąca implementacja nie obejmuje wszystkich sugerowanych mechanizmów kontroli zabezpieczeń. W idealnym przypadku klient rozpocząłby pracę z akceleratorem strefy docelowej platformy Azure, który już zainstalowałby wiele z następujących narzędzi.

W tej lekcji opisano mechanizmy kontroli, które należy dodać do środowiska tego klienta, aby zbliżyć się do architektury koncepcyjnej stref docelowych platformy Azure i przygotować wymagania dotyczące zabezpieczeń organizacji.

Dostępnych jest kilka narzędzi i mechanizmów kontroli, które ułatwiają szybkie osiągnięcie punktu odniesienia zabezpieczeń:

  • Microsoft Defender dla Chmury: udostępnia narzędzia potrzebne do wzmacniania zabezpieczeń zasobów, śledzenia stanu zabezpieczeń, ochrony przed cyberatakami i usprawnienia zarządzania zabezpieczeniami.
  • Microsoft Entra ID: domyślna usługa zarządzania tożsamościami i dostępem. Identyfikator entra firmy Microsoft udostępnia wskaźnik zabezpieczeń tożsamości, który ułatwia ocenę stanu zabezpieczeń tożsamości względem zaleceń firmy Microsoft.
  • Microsoft Sentinel: natywna dla chmury usługa SIEM, która zapewnia inteligentną analizę zabezpieczeń dla całego przedsiębiorstwa, obsługiwaną przez sztuczną inteligencję.
  • Standardowy plan ochrony przed atakami DDoS (Azure Distributed Denial of Service) (opcjonalnie): zapewnia ulepszone funkcje ograniczania ryzyka ataków DDoS w celu obrony przed atakami DDoS.
  • Azure Firewall: natywna dla chmury i inteligentna usługa zabezpieczeń zapory sieciowej, która zapewnia ochronę przed zagrożeniami dla obciążeń w chmurze działających na platformie Azure.
  • Zapora aplikacji internetowej: usługa natywna dla chmury, która chroni aplikacje internetowe przed typowymi technikami hakerskimi sieci Web, takimi jak wstrzyknięcie kodu SQL i luki w zabezpieczeniach, takie jak wykonywanie skryptów między witrynami.
  • Privileged Identity Management (PIM): usługa w usłudze Microsoft Entra ID, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji.
  • Microsoft Intune: oparta na chmurze usługa, która koncentruje się na zarządzaniu urządzeniami przenośnymi i zarządzaniu aplikacjami mobilnymi.

W poniższych sekcjach pokazano, jak firma Tailwind Traders może osiągnąć punkt odniesienia zabezpieczeń w praktyce.

Implementacja linii bazowej na potrzeby kontroli dostępu

CiSO chce osiągnąć następujące cele z narracji klienta:

  • Zezwalaj ludziom na bezpieczne wykonywanie swoich zadań z dowolnego miejsca
  • Minimalizuj szkody biznesowe przed poważnym zdarzeniem bezpieczeństwa

Jeśli te cele są zgodne z organizacją lub jeśli masz inne czynniki zwiększające kontrolę dostępu, należy uwzględnić następujące zadania w punkcie odniesienia zabezpieczeń:

  • Implementowanie identyfikatora Entra firmy Microsoft w celu włączenia silnych poświadczeń
  • Dodawanie usługi Intune na potrzeby zabezpieczeń urządzeń
  • Dodawanie usługi PIM dla uprzywilejowanych kont, aby zbliżyć się do świata zero-trust
  • Implementowanie segmentacji sieci dźwiękowej przy użyciu modelu piasty i szprych z kontrolkami szklenia i kontrolkami zapory między strefami docelowymi aplikacji
  • Dodawanie Defender dla Chmury i usługi Azure Policy w celu monitorowania zgodności z tymi wymaganiami

Implementacja linii bazowej pod kątem zgodności

CiSO chce osiągnąć następujący cel z narracji klienta:

  • Proaktywne spełnianie wymagań prawnych i zgodności

Jeśli ten cel jest zgodny z organizacją lub jeśli masz inne czynniki mające na celu zwiększenie kontroli dostępu, należy uwzględnić następujące zadanie w punkcie odniesienia zabezpieczeń:

  • Dodawanie usługi PIM dla uprzywilejowanych kont, aby zbliżyć się do świata zero-trust

Implementacja linii bazowej do identyfikowania i ochrony poufnych danych biznesowych

CiSO chce osiągnąć następujące cele z narracji klienta:

  • Identyfikowanie i ochrona poufnych danych biznesowych
  • Szybka modernizacja istniejącego programu zabezpieczeń

Jeśli te cele są zgodne z organizacją lub jeśli masz inne czynniki zwiększające kontrolę dostępu, należy uwzględnić następujące zadania w punkcie odniesienia zabezpieczeń:

  • Dodawanie Defender dla Chmury w celu uzyskania scentralizowanej, zintegrowanej widoczności i kontroli nad rozległym śladem cyfrowym i zrozumienie, jakie zagrożenia istnieją
  • Dodawanie usługi Microsoft Sentinel do automatyzowania procesów powtarzalnych w celu zwolnienia czasu dla zespołu ds. zabezpieczeń

Po wprowadzeniu odpowiednich narzędzi upewnij się, że masz odpowiednie zasady, aby wymusić odpowiednie użycie tych narzędzi. Kilka zasad ma zastosowanie do stref docelowych połączonych z internetem i firmowo:

  • Wymuszanie bezpiecznego dostępu, takiego jak HTTPS, do kont magazynu: skonfiguruj konto magazynu tak, aby akceptowały żądania z bezpiecznych połączeń tylko przez ustawienie właściwości Wymagany bezpieczny transfer dla konta magazynu. W przypadku wymagania bezpiecznego transferu wszystkie żądania pochodzące z niezabezpieczonego połączenia zostaną odrzucone.
  • Wymuszanie inspekcji dla usługi Azure SQL Database: śledzenie zdarzeń bazy danych i zapisywanie ich w dzienniku inspekcji na koncie usługi Azure Storage, w obszarze roboczym usługi Log Analytics lub w centrach zdarzeń.
  • Wymuszanie szyfrowania dla usługi Azure SQL Database: funkcja Transparent Data Encryption pomaga chronić usługi SQL Database, Azure SQL Managed Instance i Azure Synapse Analytics przed zagrożeniem złośliwym działaniem offline przez szyfrowanie danych magazynowanych.
  • Zapobieganie przekierowywaniu adresów IP: przekazywanie adresów IP umożliwia interfejsowi sieciowemu dołączonemu do maszyny wirtualnej odbieranie ruchu sieciowego, który nie jest przeznaczony dla żadnego z adresów IP przypisanych do żadnej z konfiguracji adresów IP interfejsu sieciowego. Możesz również wysyłać ruch sieciowy z innym źródłowym adresem IP niż przypisany do jednej z konfiguracji adresów IP interfejsu sieciowego. Ustawienie musi być włączone dla każdego interfejsu sieciowego dołączonego do maszyny wirtualnej, który odbiera ruch, który maszyna wirtualna musi przekazywać dalej.
  • Upewnij się, że podsieci są skojarzone z sieciowymi grupami zabezpieczeń: użyj sieciowej grupy zabezpieczeń platformy Azure do filtrowania ruchu sieciowego do i z zasobów platformy Azure w sieci wirtualnej platformy Azure. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na ruch sieciowy przychodzący do ruchu przychodzącego lub wychodzącego z kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i miejsce docelowe, port i protokół.

Sprawdź swoją wiedzę

1.

Które z poniższych elementów nie jest dostępne narzędzie ułatwiające szybkie osiągnięcie punktu odniesienia zabezpieczeń?