Общие сведения о базовом плане безопасности платформы Azure
Группа кибербезопасности корпорации Майкрософт в сотрудничестве с организацией Center for Internet Security (CIS) разработала рекомендации по обеспечению базовых планов безопасности для платформы Azure.
Корпорация Майкрософт начала сотрудничать с CIS для разработки готовой защищенной виртуальной машины Azure. Затем инициатива начала создавать тесты CIS — документ, который подробно описывает рекомендации CIS для служб безопасности Azure и средств для упрощения безопасности и соответствия клиентским приложениям, работающим в службах Azure.
Совет
Cis Microsoft Azure Foundations Security Benchmark версии 3.0.0.0 предоставляет предварительное руководство по созданию конфигурации безопасной базовой конфигурации для Azure. Это руководство было проверено в отношении перечисленных служб Azure по состоянию на сентябрь 2024 года. Целью этого эталона является определение базового уровня безопасности для всех, кто использует Azure.
Создание базовых планов безопасности платформы
Различные стандарты безопасности помогают клиентам облачной службы обеспечить безопасность рабочей нагрузки при использовании облачных служб. Ниже приведены рекомендуемые группирования технологий, помогающие создавать защищенные облачные рабочие нагрузки. Эти рекомендации не являются исчерпывающим списком всех возможных конфигураций и архитектур безопасности. Эти базовые рекомендации по безопасности являются отправной точкой.
У CIS есть два уровня реализации и несколько категорий рекомендаций.
Уровень 1. Рекомендуемые минимальные параметры безопасности
- Эти параметры должны быть настроены на всех системах.
- Эти настройки практически не должны приводить к прерыванию работы служб или снижению функциональности.
Уровень 2. Рекомендации по высокобезопасным средам
- Эти параметры могут привести к сокращению функциональности.
В следующей таблице приведены категории и количество рекомендаций, сделанных для каждой категории в CIS Microsoft Azure Foundations Security Benchmark версии 3.0.0.
| Группа технологий | Description | № рекомендации |
|---|---|---|
| Система управления идентификацией и доступом (IAM) | Рекомендации, связанные с политиками IAM | 30 |
| Microsoft Defender для облака | Рекомендации, связанные с конфигурацией и использованием Microsoft Defender для облака | 35 |
| Учетные записи хранения | Рекомендации по настройке политик учетных записей хранения | 17 |
| База данных SQL Azure | Рекомендации по защите баз данных SQL | 22 |
| Ведение журналов и мониторинг | Рекомендации по настройке политик ведения журналов и мониторинга для подписок Azure | 21 |
| Сеть | Рекомендации по безопасной настройке параметров и политик сети Azure | 7 |
| Виртуальные машины | Рекомендации по настройке политик безопасности для вычислительных служб Azure и, в частности, для виртуальных машин. | 11 |
| Другое | Рекомендации по общим вопросам безопасности и операционным элементам управления, включая рекомендации, связанные с Azure Key Vault и блокировками ресурсов | 13 |
| Общие рекомендации | 156 |
Рассмотрим каждую категорию более подробно.