Введение
Служба "Microsoft Defender для облака" постоянно сравнивает конфигурацию ресурсов на соответствие требованиям отраслевых стандартов, тестам производительности и нормативным требованиям.
Чтобы понять, как Управление состоянием безопасности оценивает среду, важно хорошо разбираться в политиках и инициативах безопасности.
Что собой представляют политики и инициативы безопасности
Microsoft Defender для облака применяет инициативы безопасности к вашим подпискам. Эти инициативы содержат одну политику безопасности или несколько. Каждая из этих политик формирует рекомендацию по безопасности для улучшения состояния безопасности.
Что такое политика безопасности?
Определение политики Azure, созданное в политике Azure, является правилом для конкретных условий безопасности, которые необходимо контролировать. Встроенные определения включают в себя такие аспекты, как управление типом ресурсов, которые можно развертывать, или применение тегов ко всем ресурсам. Вы также можете создать собственные настраиваемые определения политик.
Чтобы реализовать эти определения политик (встроенные или настраиваемые), их необходимо назначить. Любую из этих политик можно назначить с помощью портала Azure, PowerShell или Azure CLI. Политики можно отключать и включать в Политике Azure.
В Политике Azure существуют различные типы политик. Defender для облака в основном использует политики аудита, которые проверяют конкретные условия и конфигурации, а затем сообщают о соответствии. Кроме того, существуют политики принудительного применения, которые можно использовать для применения безопасных параметров.
Что такое инициатива безопасности?
Инициатива Политики Azure — это набор определений Политики Azure (правил), сгруппированных для определенной цели. Инициативы Azure упрощают управление политиками, логически объединяя набор политик в один элемент.
Инициатива безопасности определяет требуемую конфигурацию рабочих нагрузок и помогает обеспечить соответствие требованиям безопасности вашей организации или регулирующих органов.
Как и политики безопасности, инициативы Defender для облака создаются в Политике Azure. С помощью Политики Azure можно управлять политиками, создавать инициативы и назначать инициативы нескольким подпискам или целым группам управления.
Инициативой по умолчанию, которая автоматически назначается каждой подписке в Microsoft Defender для облака, является Azure Security Benchmark. Azure Security Benchmark представляет собой руководства с рекомендациями по обеспечению безопасности и соответствия требованиям для Azure, подготовленные корпорацией Майкрософт на основе распространенных платформ соответствия. Это широко принятое тестирование основано на стандартах Центра Интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.
Defender для облака предоставляет перечисленные ниже возможности для работы с инициативами и политиками безопасности.
Просмотр и изменение встроенной инициативы по умолчанию: при включении Defender для облака инициатива под названием Azure Security Benchmark автоматически назначается всем зарегистрированным подпискам Defender для облака. Чтобы настроить эту инициативу, можно включить или отключить отдельные политики в ней, изменив параметры политики. Ознакомьтесь со списком встроенных политик безопасности, чтобы понять, какие варианты доступны изначально.
Добавление собственных настраиваемых инициатив: если вы хотите настроить инициативы безопасности, применяемые к подписке, это можно сделать в Defender для облака. Вы получите рекомендации, если компьютеры не следуют создаваемым политикам. Инструкции по созданию и назначению пользовательских политик см. в разделе Использование настраиваемых инициатив и политик безопасности.
Добавление стандартов соответствия нормативным требованиям в качестве инициатив: панель мониторинга соответствия нормативным требованиям Defender для облака отражает состояние всех оценок в вашей среде в контексте определенного стандарта или норматива (например, Azure CIS, NIST SP 800-53 R4, SWIFT CSP CSCF-v2020).
Что такое рекомендация по безопасности?
Defender для облака использует политики, чтобы периодически анализировать состояние соответствия ресурсов для выявления потенциальных ошибок конфигурации и слабых мест. Затем он предоставляет рекомендации по устранению этих проблем. Рекомендации являются результатом оценки ресурсов по соответствующим политикам и идентификации ресурсов, которые не соответствует определенным требованиям.
Defender для облака дает свои рекомендации по безопасности на основе выбранных инициатив. Когда политика из вашей инициативы сопоставляется с ресурсами и находит один или несколько несоответствующих ресурсов, она предоставляется в качестве рекомендации в Defender для облака.
Рекомендации — это действия по обеспечению безопасности и защиты ресурсов. Каждая рекомендация предоставляет следующие сведения:
- краткое описание проблемы;
- действия по исправлению, которые необходимо выполнить для применения рекомендации;
- затрагиваемые ресурсы.
Azure Security Benchmark — это инициатива, которая содержит требования.
Например, учетные записи службы хранилища Azure должны ограничить сетевой доступ, чтобы уменьшить область атак.
Эта инициатива включает несколько политик, каждая из которых имеет требование к определенному типу ресурса. Эти политики обеспечивают соблюдение требований в инициативе.
Далее применяется требование к хранилищу с политикой "Учетные записи хранения должны ограничивать доступ к сети, используя правила виртуальной сети".
Microsoft Defender для облака постоянно оценивает подключенные подписки. При обнаружении ресурса, который не соответствует политике, отображается рекомендация по исправлению этой ситуации и усилению безопасности ресурсов, которые не соответствуют вашим требованиям к безопасности.
Например, если учетная запись службы хранилища Azure в какой-либо из ваших защищенных подписок не защищена правилами виртуальной сети, вы увидите рекомендацию защитить эти ресурсы.
Итак, (1) инициатива содержит (2) политики, которые формируют (3) рекомендации для определенной среды.
Вы являетесь аналитиком операционной безопасности в компании, в которой используется Microsoft Defender для облака. Вы сами несете ответственность за соответствие гибридных облачных ресурсов нормативным требованиям.
Вам необходимо улучшить количество элементов управления, которые передают данные Azure Security Benchmark, отображаемые в Microsoft Defender для облака.
Теперь, когда вы понимаете, Microsoft Defender для облака политики безопасности, инициативы и рекомендации видят его в действии.
Примечание.
Выберите эскиз, чтобы запустить имитацию лаборатории. Когда вы закончите, вернитесь на эту страницу, чтобы продолжить обучение.
