Skydda dina Azure-resurser mot destruktiva cyberattacker

Den här artikeln innehåller steg för att tillämpa principerna för Nolltillit för att skydda dina Microsoft Azure-resurser från destruktiva cyberattacker på följande sätt:

Nolltillit princip	Definition
Verifiera explicit	Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter.
Använd minst privilegierad åtkomst	Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd.
Anta intrång	Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet. Förbättra skyddet med resurslås, säkerhetskopior och haveriberedskap för virtuella datorer, dataskydds- och datatillgänglighetstjänster samt skydd av din återställningsinfrastruktur, konfigurationsbaserade tjänster samt plattformsautomatisering och DevOps-verktyg. För hotidentifiering använder du Microsoft Sentinel och avancerad identifiering av flera enheter och förbereder dina incidenthanteringsplaner för Azure-resurser.

Den här artikeln innehåller vägledning för hur du:

• Skydda dina Microsoft Azure-resurser mot destruktiva cyberattacker.
• Identifiera cyberattacker när de inträffar.
• Hur man svarar på dem.

Den här artikeln är avsedd för tekniska implementerare för att stödja infrastruktur för förebyggande av säkerhetsöverträdelser och återställning Nolltillit affärsscenario.

Referensarkitektur

Följande bild visar referensarkitekturen för den här Nolltillit vägledning med grupperingar för varje skyddskategori.

Den här Azure-miljön innehåller:

Komponent	beskrivning
A	Virtuella datorer och deras filer
F	Datatjänster och deras data
C	Återställningsinfrastruktur, inklusive filer och mallar och automatiseringsskript
D	Konfigurationsbaserade tjänster
E	Plattformsautomatisering och DevOps-verktyg (visas inte)

Uppgifter för att skydda varje typ av tillgång beskrivs i detalj i steg 1 i den här artikeln.

Vad finns i den här artikeln?

Den här artikeln går igenom stegen för att tillämpa principerna för Nolltillit i referensarkitekturen.

Steg	Aktivitet
1	Konfigurera skydd mot cyberattacker.
2	Konfigurera identifiering av cyberattacker.
3	Förbered dina planer för incidenthantering.

Steg 1: Konfigurera skydd mot cyberattacker

Många organisationer implementerar lösningar för säkerhetskopiering och haveriberedskap för sina virtuella Azure-datorer som en del av en migrering. Du kan till exempel använda inbyggda Azure-lösningar eller välja att använda dina egna tredjepartslösningar för ditt molnekosystem.

Det är viktigt att skydda virtuella datorer och deras appar och data, men det är också viktigt att utöka skyddsomfånget bortom virtuella datorer. Det här avsnittet innehåller en översikt över överväganden och rekommendationer för hur du skyddar olika typer av resurser i Azure från en destruktiv cyberattack.

Utöver de tjänstspecifika övervägandena bör du överväga att använda resurslås för att förhindra borttagning av tjänster genom att skydda deras hanteringsplan. Du kan också använda resurslås för att återge resurser skrivskyddade. Resurslås fungerar med kontrollerad åtkomst för att minska risken för att Azure-resurser förstörs i en cyberattack genom att förhindra att de ändras eller förstörs.

Om du vill förhindra att resurslås ger oväntade resultat bör du granska övervägandena innan du tillämpar låsen för att se till att du tillämpar låsen på lämpliga resurser på ett sätt som fortfarande gör att de kan användas. Om du till exempel låser ett virtuellt nätverk (VNet) i stället för en hel resursgrupp kan du förhindra att låset är för restriktivt för andra resurser i resursgruppen. På grund av dessa överväganden bör du prioritera låsning av resurser som, om de ändras eller tas bort, skulle orsaka flest avbrott.

Lås kan också ha vissa överväganden för återställningstidsmålen för arbetsbelastningar som redväxlar. Din haveriberedskapsplan bör ta hänsyn till låsen och du bör ha en testad procedur för borttagning av lås på ett kontrollerat sätt. Du måste utbilda dina administratörer och SecOps-personal om hur du hanterar lås som en del av både dagliga åtgärder och nödsituationsscenarier.

Administratörer med åtkomst till att ta bort låsen bör vara begränsade och bör omfatta JIT-åtkomst, till exempel den som tillhandahålls med Microsoft Entra Privileged Identity Management. Åtkomst till ändringslås på resurser styrs med omfånget Microsoft.Authorization/locks/* och bör inte beviljas som en del av den stående åtkomsten.

A. Skydda virtuella datorer

För virtuella datorbaserade arbetsbelastningar, inklusive skalningsuppsättningar och Kubernetes-kluster, måste du planera för två skyddslager utöver användningen av resurslås i hanteringsplanet.

Först måste du planera för att säkerhetskopiera data från de virtuella datorerna så att du kan återställa förlorade data om ett angrepp inträffar, vilket inkluderar Azure Kubernetes Service (AKS). Du måste också skydda säkerhetskopierade data från angrepp med hjälp av kontroller för mjuk borttagning. Information om hur du konfigurerar säkerhetskopior finns i:

• Skapa och konfigurera ett Recovery Services-valv
• Säkerhetskopiera en virtuell dator i Azure
• Konfigurera säkerhetskopiering för ett Azure Kubernetes Service-kluster
• Säkerhetskopiering och återställning för AKS
• Säkerhetskopierings- och återställningsplan för att skydda mot utpressningstrojaner
• Mjuk borttagning för Azure Backup

För det andra måste du planera för att kunna återställa en server till en ny plats när den underliggande infrastrukturen i din region attackeras. Information om hur du konfigurerar replikering på virtuella datorer finns i Konfigurera haveriberedskap för virtuella Azure-datorer. Detta omfattar konfiguration av program och inställningar för de resurser som används under redundansväxlingen.

Viktigt!

När du använder Azure Site Recovery för virtuella datorer som ingår i en VM-skalningsuppsättning kan du replikera tillståndet för den virtuella datorn. De replikerade enheterna stöder dock inte skalning.

För vissa virtuella datorbaserade arbetsbelastningar, till exempel Kubernetes-kluster, kan servrarnas faktiska tillstånd inte replikeras via Azure Site Recovery. Du kan behöva andra lösningar, till exempel aktiv/passiv konfiguration.

B. Skydda datatjänster

Datatjänster är en informell samling tjänster som innehåller data som är viktiga för åtgärder, men själva resursen är inte lika viktig. Det finns till exempel liten skillnad mellan två lagringskonton som konfigurerats på samma sätt och som är värdar för samma data.

Datatjänster skiljer sig från virtuella datorer, som kan ha operativsystemkonfigurationer som är separata från de program som körs och som är åtskilda från konfigurationen av hanteringsplanet. Det innebär att dessa tjänster:

• Innehåller ofta egna redundansverktyg, till exempel ett lagringskontos möjlighet att replikera till en annan region som en del av grs-nivåerna (geo-redundant lagring).
• Ha egna överväganden för hur du skyddar data från attacker och att göra data tillgängliga igen i händelse av en attack.

Följande tabell innehåller dataskydds- och tillgänglighetsreferenser för vanliga tjänster, men du bör undersöka varje tjänsts produktdokumentation för att förstå vilka alternativ som är tillgängliga.

Tjänst	Dataskydd	Datatillgänglighet
Azure Files	Säkerhetskopiera Azure-filresurser Förhindra oavsiktlig borttagning av Azure-filresurser	Aktivera mjuk borttagning på Azure-filresurser
Azure Blob Storage	Aktivera återställning till tidpunkt för blobdata Lagra affärskritiska blobdata med oföränderlig lagring	Översikt över dataskydd för Azure Blob Aktivera och hantera mjuk borttagning av containrar Aktivera mjuk borttagning för blobbar
Azure SQL-databas	Automatiserade säkerhetskopieringar i Azure SQL Database	Aktiv geo-replikering Redundansgrupper för Azure SQL Database
SQL-hanterade instanser	Automatiserade säkerhetskopieringar i Azure SQL Managed Instance	Redundansgrupper för Azure SQL Managed Instance
SQL på virtuella Azure-datorer	Säkerhetskopiering och återställning för SQL-server på virtuella Azure-datorer	Redundansklusterinstanser med SQL-server på virtuella Azure-datorer
Nyckelvalv	Säkerhetskopiering och återställning av Azure Key Vault	Aktivera skydd mot mjuk borttagning och rensning för nyckelvalv Tillgänglighet och redundans för Azure Key Vault

Varning

Vissa återställningsscenarier för lagringskonton stöds inte. Mer information finns i Lagringsåterställning som inte stöds.

C. Skydda återställningsinfrastruktur

Förutom att skydda resurserna på dina arbetsbelastningar måste du också skydda de resurser som du använder för att återställa funktioner efter ett avbrott, till exempel dokumentation om återställningsprocedurer och konfigurationsskript och mallar. Om angripare kan rikta in sig på och störa din återställningsinfrastruktur kan hela miljön komprometteras, vilket leder till betydande fördröjningar i återställningen efter attacken och gör din organisation sårbar för utpressningstrojanscenarier.

För data som skyddas av Azure Backup kan du med mjuk borttagning för Azure Backup återställa säkerhetskopierade data även om de tas bort. Dessutom framtvingar förbättrad mjuk borttagning tilldelningen av mjuk borttagning och du kan definiera en kvarhållningsperiod.

För att ytterligare förbättra säkerheten implementerar du mua-auktorisering (MUA) för kritiska åtgärder, vilket kräver att två eller flera användare godkänner kritiska åtgärder innan de körs. Detta lägger till ett extra säkerhetslager genom att se till att ingen enskild användare, och därför en angripare med endast ett användarkonto, kan äventyra säkerhetskopians integritet. Aktivera och konfigurera MUA för att skydda dina säkerhetskopieringsprinciper mot obehöriga ändringar och borttagningar.

Du kan skydda Azure Site Recovery med resurslås och JEA/JIT-åtkomst för att förhindra obehörig åtkomst och identifiering när resurser är i riskzonen.

När du replikerar virtuella datorer med Azure Site Recovery som har krypterats med Azure Disk Encryption (ADE) eller kundhanterade nycklar (CMK) kontrollerar du att krypteringsnycklarna lagras i Azure Key Vault för målregionen. Lagring av nycklar i målregionen underlättar sömlös åtkomst till nycklarna efter redundansväxling och upprätthåller datasäkerhetskontinuitet. För att skydda Azure Key Vault från destruktiva cyberattacker aktiverar du avancerade hotskyddsfunktioner som mjuk borttagning och rensningsskydd.

Stegvisa replikeringsvägledning för krypterade virtuella datorer finns i följande:

• Replikering av ADE-skyddade virtuella datorer
• Replikering av virtuella datorer med CMK-diskar

D. Skydda konfigurationsbaserade tjänster

Konfigurationsbaserade tjänster är Azure-tjänster som inte har data förutom konfigurationen i hanteringsplanet. Dessa resurser är vanligtvis infrastrukturbaserade och är grundläggande tjänster som stöder arbetsbelastningar. Exempel är virtuella nätverk, lastbalanserare, nätverksgatewayer och programgatewayer.

Eftersom dessa tjänster är tillståndslösa finns det inga driftdata att skydda. Det bästa alternativet för att skydda dessa tjänster är att ha distributionsmallar för infrastruktur som kod (IaC), till exempel Bicep, som kan återställa tillståndet för dessa tjänster efter en destruktiv attack. Du kan också använda skript för distributioner, men IaC-distributioner fungerar bättre för att återställa funktioner i en befintlig miljö där endast ett fåtal tjänster påverkas.

Så länge en resurs som har konfigurerats på samma sätt kan distribueras kan tjänsterna fortsätta att fungera. I stället för att försöka säkerhetskopiera och underhålla kopior av dessa resurser kan du använda den programmatiska distributionen för att återställa från en attack.

Mer information om hur du använder IaC finns i Rekommendationer för att använda infrastruktur som kod.

E. Skydda plattformsautomatisering och DevOps-verktyg

Om du använder programmatiska distributioner eller andra typer av automatisering måste även plattformsautomatiserings- och DevOps-verktygsresurser skyddas. Exempel för att skydda distributionsinfrastrukturen finns i Skydda DevOps CI/CD-pipelines och rekommendationer för att skydda en utvecklingslivscykel.

Men du bör också planera att skydda själva koden, vilket varierar beroende på vilka källkontrollverktyg du använder. GitHub har till exempel instruktioner för att säkerhetskopiera en lagringsplats för dina källkodslagringsplatser.

Du bör också granska dina specifika tjänster för att avgöra hur du bäst skyddar källkoden och pipelines från angrepp och förstörelse.

För komponenter som byggagenter som finns på virtuella datorer kan du använda lämplig virtuell datorbaserad skyddsplan för att se till att dina agenter är tillgängliga när det behövs.

Steg 2: Konfigurera identifiering av cyberattacker

För identifiering av attacker på din Azure-infrastruktur börjar du med Microsoft Defender för molnet, en molnbaserad programskyddsplattform (CNAPP) som består av säkerhetsåtgärder och metoder som är utformade för att skydda molnbaserade program från olika cyberhot och sårbarheter.

Defender för molnet samlar tillsammans med ytterligare planer för Azure-komponenter in signaler från Azure-komponenter och ger specifika skydd för servrar, containrar, lagring, databaser och andra arbetsbelastningar.

Följande diagram visar flödet av säkerhetshändelseinformation från Azure-tjänster via Defender för molnet och Microsoft Sentinel.

I bilden:

• Azure-tjänster skickar signaler till Microsoft Defender för molnet.
• Microsoft Defender för molnet, med ytterligare planer som Defender för servrar, analyserar signalerna för förbättrad hotidentifiering och skickar siem-data (säkerhetsinformation och händelsehantering) till Microsoft Sentinel.
• Microsoft Sentinel använder SIEM-data för identifiering av cyberattacker, undersökning, svar och proaktiv jakt.

När du har skyddat dina Azure-resurser bättre med rekommendationerna i steg 1 i den här artikeln måste du ha en plan för att identifiera destruktiva cyberattacker med hjälp av Microsoft Sentinel. En utgångspunkt är att använda avancerad identifiering av flerstegsattacker i Microsoft Sentinel. På så sätt kan du skapa identifieringar för specifika scenarier som dataförstörelse, överbelastning, skadlig administrativ aktivitet och många fler.

Som en del av att förbereda dina arbetsbelastningar för svar måste du:

• Identifiera hur du ska avgöra om en resurs är under attack.
• Ta reda på hur du kan samla in och skapa en incident som ett resultat.

Steg 3: Förbereda dina incidenthanteringsplaner

Du måste ha väldefinierade och redo att implementera incidenthanteringsplaner för destruktiva cyberattacker innan incidenter inträffar. Under en incident har du inte tid att avgöra hur du ska förhindra pågående attacker eller återställa skadade data och tjänster.

Azure-program och delade tjänster bör alla ha svars- och återställningsplaner som innehåller spelböcker för återställning av virtuella datorer, datatjänster, konfigurationstjänster och automatisering/DevOps-tjänster. Varje program- eller tjänstområde bör ha sina definitioner och väldefinierade beroenden.

Dina spelböcker bör:

• Inkludera dina processer för följande scenarier:

  • Redundansvämna virtuella Azure-datorer till en sekundär region
  • Så här återställer du data för virtuella Azure-datorer i Azure Portal
  • Återställa filer till en virtuell dator i Azure
  • Återställa mjukt borttagna data och återställningspunkter med förbättrad mjuk borttagning i Azure Backup
  • Återställa tillståndet för Kubernetes-kluster efter en katastrof
  • Återställ ett borttaget lagringskonto
  • Återställa ett mjukt borttaget nyckelvalv
  • Återställa mjuk borttagna hemligheter, nycklar och certifikat från ett nyckelvalv
  • Vägledning för haveriberedskap för Azure SQL Database

• Inkludera återställningsprocessen för alla andra resurser som utgör den här tjänsten.

• Testas regelbundet som en del av dina SecOps-underhållsprocesser.

Rekommenderad utbildning

• Implementera privileged Identity Management
• Utforma en lösning för säkerhetskopiering och haveriberedskap
• Förbättra din molnsäkerhetsstatus med Microsoft Defender för molnet
• Skapa identifieringar och utföra undersökningar med hjälp av Microsoft Sentinel

Nästa steg

Fortsätt att implementera infrastrukturen för skydd mot säkerhetsöverträdelser och återställning.

Referenser

Se de här länkarna om du vill veta mer om de olika tjänster och tekniker som nämns i den här artikeln.

• Resurslås
• Microsoft Entra Privileged Identity Management
• Mjuk borttagning för Azure-säkerhetskopiering
• Auktorisering för flera användare (MUA)
• Bicep
• Microsoft Defender för molnet
• Microsoft Sentinel