Средства и политики обеспечения безопасности

  • 5 мин

В истории о компании Tailwind Traders клиент решил развернуть целевые зоны Azure "не в полном масштабе". То есть текущая реализация не включает в себя все имеющиеся средства управления безопасностью. В идеальном варианте клиенту следовало начать с использования акселератора целевой зоны Azure, в результате чего уже были бы установлены многие из следующих средств.

В этом разделе описывается, какие средства управления следует добавить в среду этого клиента, чтобы приблизиться к концептуальной архитектуре целевых зон Azure и сформулировать требования к безопасности организации.

Для быстрого достижения базового уровня безопасности доступны несколько инструментов и средств управления:

  • Microsoft Defender для облака: Предоставляет средства, необходимые для защиты ресурсов, контроля состояния безопасности, защиты от кибератак и для оптимизации управления безопасностью.
  • Идентификатор Microsoft Entra: служба управления удостоверениями и доступом по умолчанию. Идентификатор Microsoft Entra предоставляет оценку безопасности удостоверений для оценки состояния безопасности удостоверений относительно рекомендаций Майкрософт.
  • Microsoft Sentinel: Облачная служба управления информационной безопасностью и событиями безопасности, которая обеспечивает интеллектуальную аналитику безопасности в масштабах всего предприятия на основе ИИ.
  • Стандартный план защиты Azure от атак DDoS (опция): Предоставляет расширенные функции защиты от атак DDoS.
  • Брандмауэр Azure: Облачная интеллектуальная служба обеспечения безопасности сетевого брандмауэра, обеспечивающая защиту от угроз для облачных рабочих нагрузок на Azure.
  • Брандмауэр веб-приложений: Облачная служба, обеспечивающая защиту веб-приложений от распространенных методов веб-взлома, таких как внедрение SQL, и от уязвимостей системы безопасности, таких как межсайтовые сценарии.
  • управление привилегированными пользователями (PIM): служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации.
  • Microsoft Intune: Облачная служба, нацеленная на управление мобильными устройствами и управлению мобильными приложениями.

В следующих разделах рассказывается, как компания Tailwind Traders может достичь базовых показателей безопасности на практике.

Реализация базовой конфигурации контроля доступа

Руководитель по информационной безопасности хочет достичь следующих целей, исходя из описания клиента:

  • Разрешить людям безопасно выполнять свои рабочие места в любом месте
  • Минимизация бизнес-ущерба от крупного инцидента безопасности

Если эти цели соответствуют целям вашей организации или у вас есть другие стимулы усилить контроль доступа, включите следующие задачи в базовый уровень безопасности:

  • Реализация идентификатора Microsoft Entra для включения надежных учетных данных
  • Добавление Intune для безопасности устройств
  • Добавление PIM для привилегированных учетных записей для перехода ближе к миру "Нулевое доверие"
  • Реализация сегментации звуковой сети с помощью модели концентратора и периферийных элементов управления с элементами управления с разрывом и брандмауэром между целевыми зонами приложений
  • Добавление Defender для облака и Политика Azure для мониторинга соблюдения этих требований

Реализация базовой конфигурации для обеспечения соответствия требованиям

Руководитель по информационной безопасности хочет достичь следующей цели, исходя из описания клиента:

  • Упреждающее соответствие нормативным требованиям и требованиям к соответствию

Если эта цель соответствуют целям вашей организации или у вас есть другие стимулы усилить контроль доступа, включите следующие задачи в базовый уровень безопасности:

  • Добавление PIM для привилегированных учетных записей для перехода ближе к миру "Нулевое доверие"

Реализация базовой конфигурации для идентификации и защиты конфиденциальной коммерческой информации

Руководитель по информационной безопасности хочет достичь следующих целей, исходя из описания клиента:

  • Определение и защита конфиденциальных бизнес-данных
  • Быстрая модернизация существующей программы безопасности

Если эти цели соответствуют целям вашей организации или у вас есть другие стимулы усилить контроль доступа, включите следующие задачи в базовый уровень безопасности:

  • Добавьте Defender для облака, чтобы получить централизованную, интегрированную видимость и контроль над расползающимся цифровым следом и понять, какие воздействия существуют
  • Добавление Microsoft Sentinel для автоматизации процессов, которые можно повторять, чтобы освободить время для команды безопасности

После установки нужных инструментов разработайте эффективные политики для обеспечения надлежащего использования этих инструментов. Несколько политик применяются к сетевым и корпоративным целевым зонам:

  • Настройка безопасного доступа, например, HTTPS, для учетных записей хранилища: Настройте свою учетную запись хранилища на прием запросов только от безопасных соединений, установив для этой учетной записи хранилища свойство Требуется безопасная передача данных. Если настроена безопасная передача данных, то будут отклоняться все запросы, исходящие от небезопасного соединения.
  • Настройка аудита базы данных SQL Azure:Отслеживание событий базы данных и их регистрация в журнале аудита в учетной записи хранилища Azure, рабочей области Log Analytics или центрах событий.
  • Настройка шифрования для базы данных SQL Azure: Прозрачное шифрование данных помогает защитить Базу данных SQL Azure, Управляемый экземпляр Azure SQL и Azure Synapse Analytics от угрозы автономной вредоносной активности путем шифрования неактивных данных.
  • Предотвращение IP-пересылки: IP-пересылка позволяет сетевому интерфейсу, подключенному к виртуальной машине, получать сетевой трафик, не предназначенный для любого ИЗ IP-адресов, назначенных любой из IP-конфигураций сетевого интерфейса. Также можно отправлять сетевой трафик с исходным IP-адресом, который отличается от одного из назначенных IP-конфигурации сетевого интерфейса. Параметр следует активировать для каждого сетевого интерфейса, подключенного к виртуальной машине, получающей трафик, который требуется перенаправить.
  • Убедитесь, что подсети связаны с группами безопасности сети (NSG): Используйте NSG Azure для фильтрации сетевого трафика в ресурсы Azure и из них в виртуальной сети Azure. В NSG содержатся правила безопасности, которые разрешают или запрещают исходящий или входящий сетевой трафик для нескольких типов ресурсов Azure. Для каждого правила можно указать источник и назначение, порт и протокол.

Проверьте свои знания

1.

Что из перечисленного не является доступным инструментом для быстрого достижения базового уровня безопасности?