Сопоставление элементов управления для примера схемы SWIFT CSP-CSCF v2020

В статье подробно объясняется, как пример схемы Azure Blueprints SWIFT CSP-CSCF v2020 сопоставляется с элементами управления SWIFT CSP-CSCF v2020. Дополнительные сведения об элементах управления см. в описании SWIFT CSP-CSCF v2020.

Ниже описаны сопоставления, которые выполняются для элементов управления SWIFT CSP-CSCF v2020. Используйте панель навигации справа для перехода непосредственно к сопоставлению конкретных элементов управления. Многие сопоставленные элементы управления реализуются с помощью инициативы Политика Azure. Чтобы просмотреть полную инициативу, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Найдите и выберите функцию [Предварительная версия]: Audit SWIFT CSP-CSCF v2020 controls and deploy specific VM Extensions to support audit requirements (Аудит элементов управления SWIFT CSP-CSCF v2020 и развертывание определенных расширений виртуальной машины для обеспечения требований аудита) (встроенная инициатива политики).

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Соответствует в Политике Azure применимо только к самим политикам и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между элементами управления и определениями Политики Azure для этого примера схемы соответствия могут измениться в будущем. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

Управление учетными записями (1.2 и 5.1)

Эта схема поможет вам проверить учетные записи, которые могут не соответствовать требованиям к управлению учетными записями, которые действуют в вашей организации. Эта схема назначает определения Политики Azure, которые проводят аудит внешних учетных записей с разрешениями на чтение, запись и управление для подписок и устаревших учетных записей. Проверив учетные записи, обнаруженные этими политиками, вы сможете предпринять необходимые действия для выполнения требований к управлению учетными записями.

• Устаревшие учетные записи должны быть удалены из подписки
• Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки
• Внешние учетные записи с разрешениями владельца должны быть удалены из подписки
• Внешние учетные записи с разрешениями на чтение должны быть удалены из подписки
• Внешние учетные записи с разрешениями на запись должны быть удалены из подписки

Управление учетными записями (2.6, 5.1, 6.4 и 6.5A) | Схемы на основе ролей

Управление доступом на основе ролей Azure (Azure RBAC) упрощает управление доступом к ресурсам Azure. С помощью портала Azure вы можете просмотреть, у кого есть доступ к ресурсам Azure и какие им назначены разрешения. Эта схема также назначает определения Политики Azure для аудита использования проверки подлинности Azure Active Directory для серверов SQL Server и Service Fabric. Использование проверки подлинности Azure Active Directory упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями для пользователей баз данных и других служб Майкрософт. Кроме того, эта схема назначает определение Политики Azure для аудита использования настраиваемых правил Azure RBAC. Понимание того, в каких случаях применяются настраиваемые правила Azure RBAC, поможет вам убедиться в их необходимости и правильной реализации, так как настраиваемые правила Azure RBAC подвержены ошибкам.

• Для серверов SQL должен быть подготовлен администратор Azure Active Directory
• Аудит виртуальных машин, которые не используют управляемые диски
• Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента

Управление учетными записями (2.9A) | Мониторинг учетной записи и нетипичное использование

JIT-доступ к виртуальной машине блокирует входящий трафик к виртуальным машинам Azure, что снижает уязвимость к атакам и обеспечивает удобный доступ к виртуальным машинам, когда это необходимо. Все запросы JIT-доступа к виртуальным машинам регистрируются в журнале действий, что позволяет отслеживать нетипичное использование. Эта схема назначает определение Политики Azure, которое поможет вам отслеживать виртуальные машины с поддержкой JIT-доступа, для которых он еще не настроен.

• Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети

Разделение обязанностей (1.3, 5.1 и 6.4)

Наличие только одного владельца подписки Azure не позволит организовать административную избыточность. И наоборот, слишком большое число владельцев подписки Azure может увеличить вероятность бреши в системе безопасности через скомпрометированную учетную запись владельца. Эта схема помогает сохранить требуемое число владельцев подписки Azure, назначая определения Политики Azure для аудита числа владельцев для подписок Azure. Кроме того, эта схема назначает определения Политики Azure, с помощью которых вы сможете управлять членством в группе администраторов на виртуальных машинах Windows. Управление разрешениями владельца подписки и администратора виртуальной машины помогает реализовать правильное разделение обязанностей.

• Подписке должно быть назначено не более 3 владельцев
• Отображение результатов аудита виртуальных машин Windows, где группа "Администраторы" содержит не всех указанных участников
• Развертывание требуемых компонентов для аудита виртуальных машин Windows без всех указанных участников в группе "Администраторы"
• Подписке должно быть назначено несколько владельцев

Минимальные привилегии (1.3, 5.1 и 6.4) | Проверка привилегий пользователя

Управление доступом на основе ролей Azure (Azure RBAC) упрощает управление доступом к ресурсам в Azure. С помощью портала Azure вы можете просмотреть, у кого есть доступ к ресурсам Azure и какие им назначены разрешения. Эта схема назначает определения Политики Azure для аудита учетных записей, которые должны быть проверены в приоритетном порядке. Проверка этих показателей для учетных записей может помочь убедиться, что механизмы минимальных привилегий реализованы правильно.

• Подписке должно быть назначено не более 3 владельцев
• Отображение результатов аудита виртуальных машин Windows без присоединения к указанному домену
• Развертывание необходимых компонентов для аудита виртуальных машин Windows без присоединения к указанному домену
• Подписке должно быть назначено несколько владельцев

Атрибуты безопасности (2.2 и 2.7)

Возможность обнаружения и классификации данных расширенной защиты данных для Базы данных SQL Azure предоставляет расширенные возможности для обнаружения, классификации, добавления меток и защиты конфиденциальных данных в базах данных. Она может использоваться для просмотра состояния классификации базы данных, а также отслеживания доступа к конфиденциальным данным в базе данных и за ее пределами. Расширенная защита данных поможет обеспечить соответствие информации соответствующим атрибутам безопасности организации. Эта схема назначает определения Политики Azure для отслеживания и принудительного применения расширенной защиты данных на сервере SQL Server.

• На серверах SQL должна быть включена Расширенная защита данных
• Развертывание Расширенной защиты данных на серверах SQL Server

Удаленный доступ (2.2, 2.7, 4.1 и 6.1) | Автоматический мониторинг и управление

Эта схема помогает отслеживать и контролировать удаленный доступ, назначая определения Политики Azure для мониторинга отключения удаленной отладки для приложения Службы приложений Azure и определения политик для аудита виртуальных машин Linux, которые допускают удаленные подключения с учетными записями без паролей. Также эта схема назначает определение Политики Azure для мониторинга неограниченного доступа к учетным записям хранения. Отслеживание этих показателей поможет обеспечить соответствие методов удаленного доступа существующим политикам безопасности.

• Отображение результатов аудита виртуальных машин Linux с разрешенным удаленным подключением с использованием учетных записей без паролей
• Развертывание требуемых компонентов для аудита виртуальных машин Linux с разрешенным удаленным подключением учетных записей без паролей
• Учетные записи хранения должны ограничивать доступ к сети.
• Удаленная отладка должна быть отключена для приложений API
• Удаленная отладка должна быть отключена для приложения-функции
• Удаленная отладка в веб-приложении должна быть отключена

Содержимое записей аудита (1.3 и 6.4) | Централизованное управление содержимым записей планового аудита

Данные журнала, собранные Azure Monitor, хранятся в рабочей области Log Analytics, что позволяет централизованно выполнять настройку и управление. Эта схема помогает обеспечить ведение журнала событий, назначая определения Политики Azure для аудита развертывания агента Log Analytics на виртуальных машинах Azure.

• [Предварительная версия]: аудит развертывания агента Log Analytics — образ виртуальной машины (ОС) без списка
• Развертывание агента Log Analytics для ВМ Linux
• Развертывание агента Log Analytics для виртуальных машин Windows

Реагирование на сбои при обработке операций аудита (2.2, 2.7 и 6.4)

Эта схема назначает определения Политики Azure, которые отслеживают параметры аудита и ведения журналов событий. Мониторинг этих конфигураций поможет обнаружить сбои или неправильные настройки системы аудита, что позволит предпринять действия по исправлению.

• На серверах SQL должна быть включена Расширенная защита данных
• Аудит параметров диагностики
• Следует включить аудит на сервере SQL

Обзор аудита, анализ результатов и создание отчетов (1.3 и 6.4) | Централизованный обзор и анализ

Данные журналов, собранные Azure Monitor, сохраняются в рабочей области Log Analytics, что позволяет централизованно выполнять отчетность и анализ. Эта схема помогает обеспечить ведение журнала событий, назначая определения Политики Azure для аудита развертывания агента Log Analytics на виртуальных машинах Azure.

• [Предварительная версия]: аудит развертывания агента Log Analytics — образ виртуальной машины (ОС) без списка
• Развертывание агента Log Analytics для ВМ Linux
• Развертывание агента Log Analytics для виртуальных машин Windows

Создание записей аудита (1.3, 2.2, 2.7, 6.4 и 6.5A)

Эта схема помогает обеспечить ведение журнала событий системы, назначая определения Политики Azure для аудита параметров журналов для ресурсов Azure. Эти определения политики проверяют и принудительно применяют развертывание агента Log Analytics на виртуальных машинах Azure, а также параметры аудита для других типов ресурсов Azure. Эти определения политики также выполняют аудит журналов диагностики, что позволяет подробно анализировать операции, выполненные с ресурсами Azure. Кроме того, на серверах SQL Server настраивается функция аудита и Расширенная защита данных.

• Проверка развертывания агента Log Analytics — образ ВМ (ОС) отсутствует в списке
• Развертывание агента Log Analytics для масштабируемых наборов виртуальных машин Linux (VMSS)
• Развертывание агента Log Analytics для ВМ Linux
• Развертывание агента Log Analytics для масштабируемых наборов виртуальных машин Windows (VMSS)
• Развертывание агента Log Analytics для виртуальных машин Windows
• Аудит параметров диагностики
• Аудит параметров аудита на уровне сервера SQL
• На серверах SQL должна быть включена Расширенная защита данных
• Развертывание Расширенной защиты данных на серверах SQL Server
• Следует включить аудит на сервере SQL
• Развертывание параметров диагностики для групп безопасности сети

Минимальная функциональность (1.1) | Предотвращение выполнения программы

Адаптивное управление приложениями в Центре безопасности Azure — это интеллектуальное автоматизированное комплексное решение для фильтрации приложений, которое может блокировать или предотвращать выполнение определенных программ на виртуальных машинах. Управление приложениями можно запустить в режиме принудительного применения, который запрещает установку любых неутвержденных приложений. Эта схема назначает определение Политики Azure, которое помогает отслеживать виртуальные машины, для которых наличие списка разрешенных приложений рекомендуется, но где он еще не был настроен.

• На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений.

1.1 Минимальная функциональность | Авторизованное программное обеспечение / разрешение на перечисление

Адаптивное управление приложениями в Центре безопасности Azure — это интеллектуальное автоматизированное комплексное решение для фильтрации приложений, которое может блокировать или предотвращать выполнение определенных программ на виртуальных машинах. Управление приложениями помогает создавать списки разрешенных приложений для виртуальных машин. Эта схема назначает определение Политики Azure, которое помогает отслеживать виртуальные машины, для которых наличие списка разрешенных приложений рекомендуется, но где он еще не был настроен.

• На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений.

Программное обеспечение, установленное пользователем (1.1)

Адаптивное управление приложениями в Центре безопасности Azure — это интеллектуальное автоматизированное комплексное решение для фильтрации приложений, которое может блокировать или предотвращать выполнение определенных программ на виртуальных машинах. Управление приложениями помогает применять и отслеживать соответствие политикам ограничения для программного обеспечения. Эта схема назначает определение Политики Azure, которое помогает отслеживать виртуальные машины, для которых наличие списка разрешенных приложений рекомендуется, но где он еще не был настроен.

• На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений.
• Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager.

Идентификация и аутентификация, пользователи организации (4.2) | Сетевой доступ к привилегированным учетным записям

Эта схема помогает ограничивать и контролировать права привилегированного доступа, назначая определения Политики Azure для аудита учетных записей с правами владельца и (или) записи, которые не используют многофакторную проверку подлинности. Многофакторная проверка подлинности помогает защитить учетные записи даже в случае компрометации одной части сведений о проверке подлинности. Наблюдая за учетными записями без включенной многофакторной проверки подлинности, вы можете определить учетные записи, которые с большей вероятностью могли быть скомпрометированы.

• Для учетных записей с разрешениями владельца в вашей подписке должна быть включена многофакторная проверка подлинности
• Для учетных записей с разрешениями на запись в вашей подписке должна быть включена многофакторная проверка подлинности

Идентификация и аутентификация, пользователи организации (4.2) | Сетевой доступ к непривилегированным учетным записям

Эта схема помогает ограничивать и контролировать права доступа, назначая определение Политики Azure для аудита учетных записей с правами чтения, которые не используют многофакторную проверку подлинности. Многофакторная проверка подлинности помогает защитить учетные записи даже в случае компрометации одной части сведений о проверке подлинности. Наблюдая за учетными записями без включенной многофакторной проверки подлинности, вы можете определить учетные записи, которые с большей вероятностью могли быть скомпрометированы.

• Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинности

Управление структурой аутентификации (2.3 и 4.1)

Эта схема назначает определения Политики Azure для аудита виртуальных машин Linux, которые допускают удаленные подключения с учетными записями без использования паролей и (или) имеют неправильные разрешения для файла passwd. Кроме того, эта схема назначает определения политики, которые проверяют конфигурацию типа шифрования пароля для виртуальных машин Windows. Мониторинг этих показателей помогает гарантировать, что структура проверки подлинности в системе соответствует политикам идентификации и аутентификации, которые действуют в вашей организации.

• Отображение результатов аудита виртуальных машин с Linux без разрешений 0644 для файла passwd
• Развертывание требуемых компонентов для аудита виртуальных машин Linux без разрешений 0644 для файла passwd.
• Отображение результатов аудита виртуальных машин Linux с учетными записями без паролей
• Развертывание требуемых компонентов для аудита виртуальных машин Linux с учетными записями без паролей.
• Отображение результатов аудита виртуальных машин с Windows без хранения паролей с использованием обратимого шифрования
• Развертывание требуемых компонентов для аудита виртуальных машин Windows без хранения паролей с обратимым шифрованием.

Управление структурами аутентификации (2.3 и 4.1) | Аутентификация на основе пароля

Эта схема помогает установить обязательные требования к надежности пароля, назначая определения Политики Azure для аудита виртуальных машин Windows, в которых не предусмотрены обязательные требования к надежности пароля и другим его аспектам. Выявление виртуальных машин, которые нарушают политику надежности паролей, помогает выполнить корректирующие действия и обеспечить соблюдение требований политики паролей, действующей в вашей организации, всеми учетными записями пользователей на виртуальных машинах.

• Отображение результатов аудита виртуальных машин с Windows с возможностью повторного использования предыдущих 24 паролей
• Отображение результатов аудита виртуальных машин с Windows, максимальный срок действия пароля которых не составляет 70 дней
• Отображение результатов аудита виртуальных машин Windows, минимальный срок действия пароля которых не составляет один день
• Отображение результатов аудита виртуальных машин с Windows без включенного параметра сложности пароля
• Отображение результатов аудита виртуальных машин с Windows, минимальная длина пароля которых не ограничена 14 символами
• Отображение результатов аудита виртуальных машин с Windows без хранения паролей с использованием обратимого шифрования
• Развертывание требуемых компонентов для аудита виртуальных машин с Windows с возможностью повторного использования предыдущих 24 паролей
• Развертывание требуемых компонентов для аудита виртуальных машин Windows, максимальный срок действия пароля которых не составляет 70 дней
• Развертывание требуемых компонентов для аудита виртуальных машин с Windows, минимальный срок действия пароля которых не составляет один день
• Развертывание требуемых компонентов для аудита виртуальных машин с Windows без включенного параметра сложности пароля
• Развертывание требуемых компонентов для аудита виртуальных машин с Windows, минимальная длина пароля которых не ограничена 14 символами
• Развертывание требуемых компонентов для аудита виртуальных машин с Windows без хранения паролей с использованием обратимого шифрования

Сканирование уязвимостей (2.2 и 2.7)

Эта схема помогает управлять уязвимостями информационной системы, назначая определения Политики Azure для мониторинга в Центре безопасности Azure уязвимостей операционной системы, SQL и виртуальной машины. Центр безопасности Azure предоставляет возможности подготовки отчетов, которые позволяют получать полезные сведения в реальном времени о состоянии безопасности развернутых ресурсов Azure. Эта схема также назначает определения политики для аудита и принудительного применения Расширенной защиты данных на серверах SQL Server. Расширенная защита данных включает оценку уязвимостей и расширенную защиту от угроз, которые помогают выявлять уязвимости в развернутых ресурсах.

• На серверах SQL должна быть включена Расширенная защита данных
• Следует включить аудит на сервере SQL
• Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
• Уязвимости в базах данных SQL должны быть устранены.
• Уязвимости в настройках безопасности на ваших компьютерах должны быть устранены.

Защита от отказа в обслуживании (1.3)

Стандартный уровень защиты Azure от распределенного отказа в обслуживании (DDoS) обеспечивает ряд дополнительных функций и возможностей миграции по сравнению с уровнем "Базовый". К дополнительным возможностям относятся интеграция с Azure Monitor и возможность просматривать отчеты об устранении после атаки. Эта схема назначает определение Политики Azure для аудита включения защиты от атак DDoS Azure уровня "Стандартный". Понимание различий в возможностях между уровнями служб поможет вам выбрать оптимальное решение для защиты от отказа в обслуживании в среде Azure.

• Защита от атак DDoS Azure должна быть включена

Защита границ (1.1 и 6.1)

Эта схема упрощает управление системными границами и контроль над ними, назначая определение Политики Azure для отслеживания рекомендаций по укреплению защиты для групп безопасности сети в Центре безопасности Azure. Центр безопасности Azure анализирует трафик виртуальных машин с выходом в Интернет и предоставляет рекомендации по правилам для групп безопасности сети с целью уменьшить потенциальную поверхность атак. Эта схема также назначает определения Политики Azure для мониторинга незащищенных конечных точек, приложений и учетных записей хранения. Использование конечных точек и приложений, которые не защищены брандмауэром, а также учетных записей хранения с неограниченным доступом может привести к нежелательному доступу к данным, содержащимся в информационной системе.

• На виртуальных машинах с выходом в Интернет должны применяться рекомендации Адаптивной защиты сети.
• Доступ через конечную точку с выходом в Интернет должен быть ограничен
• Аудит неограниченного сетевого доступа к учетным записям хранения

Защита границ (2.9A) | Точки доступа

JIT-доступ к виртуальной машине блокирует входящий трафик к виртуальным машинам Azure, что снижает уязвимость к атакам и обеспечивает удобный доступ к виртуальным машинам, когда это необходимо. JIT-доступ к виртуальной машине позволяет ограничить количество внешних подключений к ресурсам в Azure. Эта схема назначает определение Политики Azure, которое поможет вам отслеживать виртуальные машины с поддержкой JIT-доступа, для которых он еще не настроен.

• Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети

Защита границ (2.9A) | Внешние телекоммуникационные службы

JIT-доступ к виртуальной машине блокирует входящий трафик к виртуальным машинам Azure, что снижает уязвимость к атакам и обеспечивает удобный доступ к виртуальным машинам, когда это необходимо. JIT-доступ к виртуальной машине позволяет управлять исключениями из политики контроля трафика, облегчая процессы запроса и утверждения доступа. Эта схема назначает определение Политики Azure, которое поможет вам отслеживать виртуальные машины с поддержкой JIT-доступа, для которых он еще не настроен.

• Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети

Конфиденциальность и целостность передаваемых данных (2.1, 2.4, 2.4A, 2.5A и 2.6) | Шифрование или дополнительная физическая защита

Эта схема помогает защитить конфиденциальность и целостность передаваемых данных путем назначения определений Политики Azure, с помощью которых можно отслеживать механизм шифрования, реализованный для протоколов связи. Надлежащее шифрование обмена данными обеспечивает соответствие требованиям организации или защиту информации от несанкционированного разглашения и изменения.

• Приложение API должно быть доступно только по HTTPS
• Отображение результатов аудита веб-серверов Windows без безопасных протоколов связи
• Развертывание требуемых компонентов для аудита веб-серверов Windows без безопасных протоколов связи
• Приложение-функция должно быть доступно только по HTTPS.
• Должны быть включены только защищенные подключения к кэшу Redis
• Должно выполняться безопасное перемещение в учетные записи хранения
• Веб-приложение должно быть доступно только по HTTPS.

Защита неактивных данных (2.2, 2.3, 2.5, 4.1 и 2.7) | Криптографическая защита

Эта схема помогает принудительно применить политику по использованию элементов управления шифрованием для защиты информации при хранении, назначая определения Политики Azure для принудительного применения определенных элементов управления шифрованием и аудита использования слабых параметров шифрования. Определение областей, в которых ресурсы Azure могут иметь неоптимальные криптографические конфигурации, поможет вам выполнить корректирующие действия, чтобы убедиться, что ресурсы настроены в соответствии с вашей информационной политикой безопасности. В частности, определения политик в этой схеме требуют шифрование для учетных записей хранения озера данных и прозрачное шифрование данных для баз данных SQL. Они предусматривают проверку отсутствия шифрования для баз данных SQL, дисков виртуальной машины и переменных учетной записи службы автоматизации.

• На серверах SQL должна быть включена Расширенная защита данных
• Развертывание Расширенной защиты данных на серверах SQL Server
• Развернуть прозрачное шифрование базы данных SQL
• Прозрачное шифрование данных должно быть включено в базах данных SQL.

Исправление ошибок (1.3, 2.2 и 2.7)

Эта схема помогает управлять ошибками в информационной системе, назначая определения Политики Azure для мониторинга в Центре безопасности Azure отсутствующих обновлений системы, уязвимостей операционной системы, SQL и виртуальной машины. Центр безопасности Azure предоставляет возможности подготовки отчетов, которые позволяют получать полезные сведения в реальном времени о состоянии безопасности развернутых ресурсов Azure. Кроме того, эта схема назначает определение политики, которое применяет исправления ОС для масштабируемых наборов виртуальных машин.

• Требовать автоматическое исправление образов ОС в масштабируемых наборах виртуальных машин
• В масштабируемых наборах виртуальных машин должны быть установлены обновления системы
• Обновления системы должны быть установлены на виртуальных машинах.
• Проверка развертывания Dependency Agent в масштабируемых наборах виртуальных машин — образ виртуальной машины (ОС) отсутствует в списке
• Необходимо включить шифрование для переменных учетной записи службы автоматизации
• Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены.
• Уязвимости в конфигурации безопасности на виртуальных машинах должны быть устранены.
• Уязвимости в базах данных SQL должны быть устранены.

Защита от вредоносного кода (6.1)

Эта схема помогает управлять защитой конечных точек, в том числе от вредоносного кода, назначая определения Политики Azure, которые контролируют отсутствие защиты конечных точек на виртуальных машинах в Центре безопасности Azure и принудительно применяют защиту от вредоносных программ на виртуальных машинах Windows.

• Развертывание расширения IaaSAntimalware (Майкрософт) по умолчанию для Windows Server
• В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection
• Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure
• Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager

Защита от вредоносного кода (6.1) | Централизованное управление

Эта схема помогает управлять защитой конечных точек, в том числе от вредоносного кода, назначая определения Политики Azure, которые контролируют отсутствие защиты конечных точек на виртуальных машинах в Центре безопасности Azure. Центр безопасности Azure предоставляет возможности централизованного управления и подготовки отчетов, которые позволяют получать полезные сведения в реальном времени о состоянии безопасности развернутых ресурсов Azure.

• В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection
• Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure

Мониторинг информационной системы (1.1, 1.3, 2.2, 2.7, 2.8 и 6.4)

Эта схема помогает наблюдать за системой, выполняя аудит и устанавливая обязательное требование к ведению журнала и защите данных для ресурсов Azure. В частности, назначенные политики контролируют и принудительно применяют развертывание агента Log Analytics и расширенные параметры безопасности для баз данных SQL, учетных записей хранения и сетевых ресурсов. Эти возможности помогают обнаруживать аномальное поведение и признаки атак, что позволяет предпринять соответствующие действия.

• Отображение результатов аудита для виртуальных машин Windows, на которых агент Log Analytics не подключен надлежащим образом.
• Развертывание агента Log Analytics для масштабируемых наборов виртуальных машин Linux (VMSS)
• Развертывание агента Log Analytics для ВМ Linux
• Развертывание агента Log Analytics для масштабируемых наборов виртуальных машин Windows (VMSS)
• Развертывание агента Log Analytics для виртуальных машин Windows
• На серверах SQL должна быть включена Расширенная защита данных
• Параметры Расширенной защиты данных для сервера SQL должны содержать адрес электронной почты для получения оповещений системы безопасности
• Должны быть включены журналы диагностики в Azure Stream Analytics.
• Развертывание Расширенной защиты данных на серверах SQL Server
• Развертывание аудита на серверах SQL Server
• Развертывание наблюдателя за сетями при создании виртуальных сетей
• Развертывание обнаружения угроз на серверах SQL Server

Мониторинг информационной системы (2.2 и 2.8) | Анализ трафика и скрытая утечка

Расширенная защита от угроз Azure для службы хранилища Azure обнаруживает необычные и потенциально опасные попытки доступа к вашим учетным записям хранения или их использования. Предупреждения защиты информируют об аномальных шаблонах доступа, аномальных извлечениях и передачах данных, подозрительных действиях с хранилищем. Эти показатели помогут вам обнаружить скрытые утечки информации.

• Развертывание обнаружения угроз на серверах SQL Server

Примечание.

Возможность использования отдельных определений Политики Azure может отличаться в Azure для государственных организаций и других национальных облаках.

Следующие шаги

Теперь, когда вы ознакомились с сопоставлением элементов управления схемы SWIFT CSP-CSCF v2020, прочтите о схеме и развертывании этого образца в следующих статьях:

Схема SWIFT CSP-CSCF v2020 — обзорСхема SWIFT CSP-CSCF v2020 — инструкции по развертыванию

Дополнительные статьи о схемах и способах их использования:

• Ознакомьтесь со сведениями о жизненном цикле схем.
• Узнайте, как использовать статические и динамические параметры.
• Научитесь настраивать последовательность схемы.
• Узнайте, как применять блокировку ресурсов схемы.
• Узнайте, как обновлять существующие назначения.