Dela via


Säker infrastruktur med Nolltillit

Infrastruktur representerar en kritisk hotvektor. IT-infrastruktur, oavsett om det är lokalt eller flera moln, definieras som all maskinvara (fysisk, virtuell, containerbaserad), programvara (öppen källkod, första och tredje part, PaaS, SaaS), mikrotjänster (funktioner, API:er), nätverksinfrastruktur, anläggningar och så vidare, som krävs för att utveckla, testa, leverera, övervaka, kontrollera eller stödja IT-tjänster. Det är ett område där Microsoft har investerat enorma resurser för att utveckla en omfattande uppsättning funktioner för att skydda ditt framtida moln och din lokala infrastruktur.

Modern säkerhet med en Nolltillit strategi från slutpunkt till slutpunkt gör det enklare för dig att:

  • Utvärdera för version.
  • Utför konfigurationshantering.
  • Använd administratörsbehörigheterna Just-In-Time och Just-Enough-Access (JIT/JEA) för att förstärka skyddet.
  • Använd telemetri för att identifiera attacker och avvikelser.
  • Blockera och flagga automatiskt riskfyllt beteende och vidta skyddsåtgärder.

Lika viktigt är att Microsoft Azure Blueprints och relaterade funktioner säkerställer att resurser utformas, implementeras och upprätthålls på sätt som överensstämmer med en organisations principer, standarder och krav.

Azure Blueprints, Azure Policies, Microsoft Defender för molnet, Microsoft Sentinel och Azure Sphere kan avsevärt bidra till att förbättra säkerheten för din distribuerade infrastruktur. Tillsammans möjliggör de en annan metod för att definiera, utforma, etablera, distribuera och övervaka infrastrukturen.

Ett upprepat cirkeldiagram med fem element: Utvärdera efterlevnad, Observera luckor, Författare, Test och Distribuera.

Distributionsmål för infrastruktur Nolltillit

Dricks

Innan de flesta organisationer börjar Nolltillit resa kännetecknas deras inställning till infrastruktursäkerhet av följande:

  • Behörigheter hanteras manuellt i olika miljöer.
  • Konfigurationshantering av virtuella datorer och servrar där arbetsbelastningar körs.

När du implementerar ett Nolltillit ramverk från slutpunkt till slutpunkt för att hantera och övervaka din infrastruktur rekommenderar vi att du först fokuserar på dessa inledande distributionsmål:

Listikon med en bockmarkering.

I. Arbetsbelastningar övervakas och varnas för onormalt beteende.

II. Varje arbetsbelastning tilldelas en appidentitet – och konfigureras och distribueras konsekvent.

III. Personalåtkomst till resurser kräver just-in-time.

När de första målen har slutförts fokuserar du på dessa ytterligare distributionsmål:

Listikon med två bockmarkeringar.

IV. Otillåtna distributioner blockeras och aviseringar utlöses.

V. Detaljerad synlighet och åtkomstkontroll är tillgängliga mellan arbetsbelastningar.

VI. Användar- och resursåtkomst segmenterad för varje arbetsbelastning.

Distributionsguide för infrastruktur Nolltillit

Den här guiden vägleder dig genom de steg som krävs för att skydda infrastrukturen enligt principerna i ett Nolltillit säkerhetsramverk.

Innan du kommer igång kontrollerar du att du har uppfyllt dessa distributionsmål för baslinjeinfrastrukturen.

Ange Microsofts klientbaslinje

En prioriterad baslinje bör anges för hur infrastrukturen hanteras. Om du tillämpar branschvägledning som NIST 800-53 kan du härleda en uppsättning krav för att hantera infrastrukturen. På Microsoft har vi angett en minimal baslinje till följande lista med krav:

  • Åtkomst till data, nätverk, tjänster, verktyg, verktyg och program måste styras av autentiserings- och auktoriseringsmekanismer.

  • Data måste krypteras under överföring och i vila.

  • Begränsa nätverkstrafikflöden.

  • Säkerhetsteamets insyn i alla tillgångar.

  • Övervakning och granskning måste vara aktiverat och korrekt konfigurerat enligt föreskriven organisationsvägledning.

  • Skydd mot skadlig kod måste vara uppdaterat och körs.

  • Sårbarhetsgenomsökningar måste utföras och sårbarheter åtgärdas enligt föreskriven organisationsvägledning.

För att mäta och öka efterlevnaden till den här minimala eller utökade baslinjen börjar vi med att få synlighet på klientorganisationsnivå och i dina lokala miljöer genom att tillämpa en roll för säkerhetsläsare i Azure-klientorganisationen. Med rollen Säkerhetsläsare på plats kan den få ytterligare insyn genom Microsoft Defender för molnet och Azure-principer som kan användas för att tillämpa branschbaslinjer (till exempel Azure CIS, PCI, ISO 27001) eller en anpassad baslinje som din organisation har definierat.

Behörigheter hanteras manuellt i miljöer

Från klientnivå ned till de enskilda resurserna i varje resursgrupps annonsprenumeration måste lämpliga rollbaserade åtkomstkontroller tillämpas.

Konfigurationshantering av VMS och servrar där arbetsbelastningar körs

Precis som vi har hanterat vår lokala datacentermiljö måste vi också se till att vi effektivt hanterar våra molnresurser. Fördelen med att utnyttja Azure är möjligheten att hantera alla dina virtuella datorer från en plattform med hjälp av Azure Arc (förhandsversion). Med Hjälp av Azure Arc kan du utöka dina säkerhetsbaslinjer från Azure Policy, dina Microsoft Defender för molnet principer och utvärderingar av säker poäng samt logga och övervaka alla dina resurser på ett och samma ställe. Nedan visas några åtgärder för att komma igång.

Implementera Azure Arc (förhandsversion)

Med Azure Arc kan organisationer utöka de välbekanta säkerhetskontrollerna i Azure till lokalt och i utkanten av organisationens infrastruktur. Administratörer har flera alternativ för att ansluta lokala resurser till Azure Arc. Dessa omfattar Azure Portal, PowerShell och Windows-installation med skript för tjänstens huvudnamn.

Läs mer om dessa tekniker.

Tillämpa säkerhetsbaslinjer via Azure Policy, inklusive tillämpning av gästprinciper

Genom att aktivera Defender för molnet kan du införliva en uppsättning baslinjekontroller via Azure Policys inbyggda principdefinitioner för Microsoft Defender för molnet. Uppsättningen med baslinjeprinciper återspeglas i Defender för molnet säkerhetspoäng, där du kan mäta din efterlevnad av dessa principer.

Du kan utöka din täckning av principer utöver Defender för molnet ange och skapa anpassade principer om en inbyggd inte är tillgänglig. Du kan också använda principer för gästkonfiguration som mäter efterlevnad i dina virtuella gästdatorer i dina prenumerationer.

Tillämpa kontroller för Defender för molnet Endpoint Protection och sårbarhetshantering

Slutpunktsskydd är viktigt för att säkerställa att infrastrukturen förblir säker och tillgänglig. Som en del av en strategi för slutpunktsskydd och hantering av säkerhetsrisker kan du mäta efterlevnad centralt för att säkerställa att skydd mot skadlig kod är aktiverat och konfigurerat via utvärdering och rekommendationer för slutpunktsskydd i Microsoft Defender för molnet.

Centraliserad synlighet för baslinjen i flera prenumerationer

Genom att använda klientläsarrollen kan du få insyn i klientorganisationens status för var och en av de principer som utvärderas som en del av Defender för molnet säkerhetspoäng, Azure Policy och gästkonfigurationsprinciper. Du skickar det till din instrumentpanel för organisationsefterlevnad för central rapportering av klientorganisationens tillstånd.

Som en del av Defender för servrar kan du dessutom använda principen Aktivera den inbyggda lösningen för sårbarhetsbedömning på virtuella datorer (drivs av Qualys) för att söka igenom dina virtuella datorer efter sårbarheter och få dem att återspeglas direkt i Defender för molnet. Om du redan har en lösning för sårbarhetsgenomsökning distribuerad i företaget kan du använda den alternativa lösningen för sårbarhetsbedömning, som ska installeras på dina virtuella datorer för distribution av en lösning för sårbarhetsgenomsökning av partner.




Checklistikon med en bockmarkering.

Initiala distributionsmål

När du har uppfyllt baslinjeinfrastrukturmålen kan du fokusera på att implementera en modern infrastruktur med en Nolltillit strategi från slutpunkt till slutpunkt.

I. Arbetsbelastningar övervakas och varnas för onormalt beteende

När du skapar ny infrastruktur måste du se till att du även upprättar regler för övervakning och höjning av aviseringar. Det här är nyckeln för att identifiera när en resurs visar oväntat beteende.

Vi rekommenderar att du aktiverar Microsoft Defender för molnet och dess planer för att skydda de resurstyper som stöds, inklusive Defender för servrar, Defender för lagring, Defender för containrar, Defender för SQL osv.

För övervakning av identiteter rekommenderar vi att du aktiverar Microsoft Defender för identitetsanalys och Advanced Threat Analytics för att möjliggöra signalinsamling för att identifiera, identifiera och undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder riktade mot din organisation.

Genom att integrera dessa signaler från Defender för molnet, Defender for Identity, Advanced Threat Analytics och andra övervaknings- och granskningssystem med Microsoft Sentinel, en molnbaserad siem-lösning (security information event management) och soar-lösning (security orchestration automated response), kan ditt Security Operations Center (SOC) fungera från en enda glasruta för att övervaka säkerhetshändelser i företaget.

II. Varje arbetsbelastning tilldelas en appidentitet – och konfigureras och distribueras konsekvent

Vi rekommenderar att du använder en princip som tilldelas och framtvingas när du skapar resurser/arbetsbelastningar. Principer kan kräva att taggar tillämpas på en resurs när den skapas, tilldelning av mandatresursgrupper och begränsa/direkt tekniska egenskaper, till exempel tillåtna regioner, VM-specifikationer (till exempel VM-typ, diskar, nätverksprinciper som tillämpas).

III. Mänsklig åtkomst till resurser kräver just-in-time

Personalen bör använda administrativ åtkomst sparsamt. När administrativa funktioner krävs bör användarna få tillfällig administrativ åtkomst.

Organisationer bör upprätta ett program för att skydda administratören . Här är några av de här programmens egenskaper:

  • Riktad minskning av antalet användare med administrativ behörighet.
  • Granska utökade behörighetskonton och roller.
  • Skapa särskilda infrastrukturzoner för högvärdestillgång (HVA) för att minska ytan.
  • Ge administratörer särskilda saws (Secure Admin Workstations) för att minska risken för stöld av autentiseringsuppgifter.

Alla dessa objekt hjälper en organisation att bli mer medveten om hur administrativa behörigheter används, var dessa behörigheter fortfarande är nödvändiga, och ge en översikt över hur du kan arbeta säkrare.




Checklistikon med två bockmarkeringar.

Ytterligare distributionsmål

När du har uppnått de tre första målen kan du fokusera på ytterligare mål, till exempel blockering av obehöriga distributioner.

IV. Obehöriga distributioner blockeras och aviseringar utlöses

När organisationer flyttar till molnet är möjligheterna obegränsade. Det är inte alltid bra. Av olika skäl måste organisationer kunna blockera obehöriga distributioner och utlösa aviseringar för att göra ledare och chefer medvetna om problemen.

Microsoft Azure erbjuder Azure Blueprints för att styra hur resurser distribueras, vilket säkerställer att endast godkända resurser (till exempel ARM-mallar) kan distribueras. Skisser kan se till att resurser som inte uppfyller skissens principer eller andra regler blockeras från distribution. Faktiska eller försök till skissöverträdelse kan generera aviseringar efter behov och göra aviseringar, aktivera webhooks eller automation-runbooks eller till och med skapa servicehanteringsbiljetter.

V. Detaljerad synlighet och åtkomstkontroll är tillgängliga för arbetsbelastningar

Microsoft Azure erbjuder en mängd olika metoder för att uppnå resurssynlighet. Från Azure-portalen kan resursägare konfigurera många funktioner för mått- och logginsamling och analys. Den här synligheten kan användas inte bara för att mata in säkerhetsåtgärder, utan kan även användas för att stödja beräkningseffektivitet och organisationens mål. Dessa omfattar funktioner som VM-skalningsuppsättningar, som möjliggör säker och effektiv utskalning och skalning av resurser baserat på mått.

På åtkomstkontrollsidan kan rollbaserad åtkomstkontroll (RBAC) användas för att tilldela behörigheter till resurser. På så sätt kan behörigheter tilldelas och återkallas enhetligt på individ- och gruppnivå med hjälp av en mängd olika inbyggda eller anpassade roller.

VI. Användar- och resursåtkomst segmenterad för varje arbetsbelastning

Microsoft Azure erbjuder många sätt att segmentera arbetsbelastningar för att hantera användar- och resursåtkomst. Nätverkssegmentering är den övergripande metoden, och i Azure kan resurser isoleras på prenumerationsnivå med virtuella nätverk (VNet), VNet-peeringregler, nätverkssäkerhetsgrupper (NSG: er), programsäkerhetsgrupper (ASG: er) och Azure Firewalls. Det finns flera designmönster för att fastställa den bästa metoden för segmentering av arbetsbelastningar.

Produkter som beskrivs i den här guiden

Microsoft Azure

Azure Blueprint

Azure Policy

Azure Arc

Microsoft Defender för molnet

Microsoft Sentinel

Arm-mallar (Azure Resource Manager)

Slutsats

Infrastrukturen är central för en framgångsrik Nolltillit strategi. Om du vill ha mer information eller hjälp med implementeringen kontaktar du kundframgångsteamet eller fortsätter att läsa igenom de andra kapitlen i den här guiden, som omfattar alla Nolltillit pelare.



Distributionsguideserien för Nolltillit

Ikon för introduktionen

Ikon för identitet

Ikon för slutpunkter

Ikon för program

Ikon för data

Ikon för infrastruktur

Ikon för nätverk

Ikon för synlighet, automatisering, orkestrering