рекомендации по лучшим практикам операционной безопасности в Azure

В этой статье представлен набор операционных рекомендаций по защите данных, приложений и других ресурсов в Azure.

Рекомендации основаны на консенсусе мнений, и они работают с текущими возможностями платформы Azure и наборами функций. Со временем мнения и технологии меняются, поэтому эта статья постоянно обновляется, чтобы отражать эти изменения.

Эта статья соответствует модели безопасности корпорации Майкрософт Zero Trust, которая предполагает нарушение и требует непрерывной проверки. Инструкции по управлению безопасностью с применением Azure Policy см. в разделе Microsoft Cloud Security Benchmark версии 2 — реагирование на инциденты и MCSB версии 2 — управление уязвимостями.

Определение и развертывание надежных методов обеспечения операционной безопасности

Azure операционная безопасность относится к службам, элементам управления и функциям, доступным пользователям для защиты данных, приложений и других ресурсов в Azure. Azure операционная безопасность основана на платформе, которая включает знания, полученные с помощью возможностей, уникальных для Корпорации Майкрософт, включая жизненный цикл разработки безопасности (SDL), Центр реагирования на безопасностьMicrosoft и глубокое понимание ландшафта угроз кибербезопасности.

Принудительное применение многофакторной проверки для пользователей

Рекомендуется требовать двухфакторную проверку подлинности для всех пользователей. В их число входят администраторы и сотрудники в организации, которые могут значительно пострадать в случае взлома их учетных записей (например, финансовые директоры).

Существует несколько способов, с помощью которых можно требовать двухфакторную проверку подлинности. Лучший вариант зависит от целей, выпуска Microsoft Entra, который вы используете, и программы лицензирования. Узнайте , как требовать двухфакторную проверку подлинности для пользователя , чтобы определить оптимальный вариант. Дополнительные сведения о лицензиях и ценах см. на страницах цен Microsoft Entra ID и Microsoft Entra многофакторная аутентификация.

Ниже приводятся варианты и преимущества включения двухфакторной проверки подлинности.

Option 1: Включение MFA для всех пользователей и методов входа с помощью стандартных параметров безопасности Microsoft Entra Benefit: Этот параметр позволяет легко и быстро применять MFA для всех пользователей в вашей среде с строгой политикой:

• запрос административных учетных записей и административных механизмов входа;
• Требовать вызов многофакторной аутентификации (MFA) через Microsoft Authenticator для всех пользователей
• ограничение использования устаревших протоколов проверки подлинности.

Этот метод доступен для всех уровней лицензирования, но его нельзя сочетать с существующими политиками условного доступа. Дополнительную информацию можно найти в документе Параметры безопасности по умолчанию Microsoft Entra

Вариант 2.Включение многофакторной проверки подлинности путем изменения состояния пользователя.
Преимущество. Это традиционный метод применения двухфакторной проверки подлинности. Он работает как с Microsoft Entra многофакторной проверкой подлинности в облаке, так и с Azure сервером многофакторной идентификации. Использование этого метода требует, чтобы пользователи выполняли двухфакторную проверку подлинности при каждом входе в учетную запись, и переопределяет политики условного доступа.

Чтобы определить, где требуется включить многофакторную проверку подлинности, см. раздел Какая версия многофакторной аутентификации Microsoft Entra подходит для моей организации?

Вариант 3.Включение многофакторной проверки подлинности с помощью политики условного доступа. Преимущество. Этот параметр позволяет запрашивать двухфакторную проверку в определенных условиях с помощью условного доступа. Специфическими условиями могут быть вход пользователей из разных местоположений, с ненадежных устройств или приложений, которые вы считаете рискованными. Определение конкретных условий, в которых следует требовать двухэтапную проверку, позволяет избежать постоянных обращений к пользователю, что может быть неприятным опытом.

Это наиболее гибкий способ включить двухфакторную проверку подлинности для пользователей. Включение политики условного доступа работает только для Microsoft Entra многофакторной проверки подлинности в облаке и является премиум-функцией Microsoft Entra ID. Дополнительные сведения об этом методе можно найти в развертывании основанной на облаке многофакторной аутентификации Microsoft Entra.

Вариант 4. Включение многофакторной проверки подлинности с помощью политик условного доступа путем оценки политик условного доступа на основе рисков.
Преимущество. Этот параметр позволяет:

• Обнаружение потенциальных уязвимостей, которые влияют на идентификации вашей организации.
• Настройте автоматические ответы на обнаруженные подозрительные действия, связанные с учетными записями вашей организации.
• анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.

Этот метод использует оценку риска Microsoft Entra ID Protection для определения необходимости двухфакторной проверки подлинности на основе риска входа для всех облачных приложений. Для этого метода требуется лицензия Microsoft Entra ID P2. Дополнительные сведения об этом методе можно найти в Microsoft Entra ID Protection.

Организации, которые не добавляют дополнительные уровни защиты идентификации, например двухфакторную проверку подлинности, более подвержены атаке кражи учетных данных. Атаки такого типа могут привести к компрометации данных.

Управление паролями пользователей и их мониторинг

В следующей таблице перечислены некоторые рекомендации по управлению паролями пользователей.

• Убедитесь, что у вас есть надлежащий уровень защиты паролей в облаке. Следуйте инструкциям в Microsoft Password Guidance, которое распространяется на пользователей платформ идентификации Майкрософт (Microsoft Entra ID, Active Directory и учетной записи Майкрософт).

• Мониторинг подозрительных действий, связанных с учетными записями пользователей.: Мониторинг для пользователей, находящихся под угрозой и рискованных входов с помощью отчетов системы безопасности Microsoft Entra.

• Автоматическое обнаружение и исправление паролей с высоким уровнем риска.: Microsoft Entra ID Protection — это функция выпуска Microsoft Entra ID P2, которая позволяет:

• Обнаруживайте потенциальные уязвимости, которые могут повлиять на идентичности организации.

• Настройте автоматические ответы на обнаружение подозрительных действий, связанных с идентичностями вашей организации.

• анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.

Получение уведомлений об инцидентах от корпорации Майкрософт

Убедитесь, что ваша группа по операциям безопасности получает Azure уведомления об инцидентах от Корпорации Майкрософт. Уведомление об инциденте позволяет вашей группе безопасности знать, что вы скомпрометировали Azure ресурсы, чтобы они могли быстро реагировать на потенциальные риски безопасности и устранять их.

На портале регистрации Azure можно убедиться, что контактные данные администратора содержат сведения, уведомляющие операции безопасности. Контактные сведения включают адрес электронной почты и номер телефона.

Организация подписок Azure в группы управления

Если в организации много подписок, для эффективного управления доступом к ним, их политиками и соответствием требуется особый подход. группы управления Azure предоставляют уровень охвата, находящийся выше, чем подписки. Вы объединяете подписки в контейнеры, которые называются группами управления, и применяете к ним условия системы управления. Все подписки в группе управления автоматически наследуют условия, применяемые к группе управления.

Можно создать гибкую структуру групп управления и подписок в каталоге. Каждому каталогу присваивается одна группа управления верхнего уровня, которая называется корневой группой управления. Эта группа встроена в иерархию, чтобы в нее входили все группы управления и подписки. Корневая группа управления позволяет применять глобальные политики и назначения ролей Azure на уровне каталога.

Ниже приведены некоторые рекомендации по использованию групп управления.

• Убедитесь, что новые подписки применяют такие элементы управления, как политики и разрешения, по мере их добавления. Используйте корневую группу управления для назначения элементов безопасности на уровне всей организации, которые применяются ко всем ресурсам Azure. Примеры таких элементов — политики и разрешения.

• Выровняйте верхние уровни групп управления с стратегией сегментации, чтобы обеспечить точку для обеспечения согласованности элементов управления и политики в каждом сегменте. Создайте одну группу управления для каждого сегмента в корневой группе управления. Не создавайте другие группы управления в корневой группе.

• Ограничить глубину группы управления, чтобы избежать путаницы, которая препятствует операциям и безопасности.: ограничьте иерархию до трех уровней, включая корень.

• Тщательно выберите элементы, которые следует применять ко всему предприятиям с корневой группой управления. Убедитесь, что элементы корневой группы управления должны применяться к каждому ресурсу и что они оказывают низкое влияние.

Подходящие кандидаты включают:

• Нормативные требования с четким влиянием на бизнес (например, ограничения, связанные с независимостью данных)

• Требования с почти нулевым негативным воздействием на операции, такие как политика с проверкой или назначения разрешений Azure RBAC, которые были тщательно проверены.

• Внимательно планируйте и тестируйте все корпоративные изменения в корневой группе управления перед применением (политика, модель RBAC Azure и т. д.).: Изменения в корневой группе управления могут повлиять на каждый ресурс на Azure. Это эффективный способ обеспечения согласованности в масштабах организации, однако ошибки или неправильное использование могут негативно сказаться на производственных операциях. Протестируйте все изменения в корневой группе управления в тестовой или пилотной производственной среде.

Упрощение создания сред с помощью шаблонов

служба The Azure Blueprints позволяет архитекторам облака и центральным информационным группам определять повторяемый набор ресурсов Azure, которые реализуют и соответствуют стандартам, шаблонам и требованиям организации. Azure Blueprints позволяет командам разработчиков быстро создавать и развертывать новые среды с набором встроенных компонентов и быть уверенными в том, что они развертывают эти среды в соответствии с требованиями организации.

Мониторинг служб хранилища для обнаружения непредвиденных изменений в поведении

Диагностика и устранение неисправностей в распределенном приложении, размещенном в облачной среде, может представлять большую сложность в сравнении с традиционными средами. Развертывание приложений можно выполнять в инфраструктуре PaaS или IaaS, на площадке заказчика, на мобильном устройстве или в среде, в которой имеется их произвольное сочетание. Трафик приложения может проходить через общедоступные и закрытые сети, а приложение может использовать несколько технологий хранения.

Необходимо постоянно отслеживать службы хранилища, которые использует приложение, на наличие непредвиденных изменений в поведении (например, увеличении времени отклика). Используйте ведение журнала для сбора дополнительных данных и подробного анализа проблемы. Диагностические сведения, которые вы получаете при наблюдении и ведении журналов, помогут установить первопричину неполадки, возникшей при использовании приложения. После этого вы можете выполнить поиск неисправности и определить шаги, необходимые для ее устранения.

Azure Storage Analytics выполняет ведение журнала и предоставляет данные метрик для учетной записи хранения Azure. Рекомендуем использовать эти данные для трассировки запросов, анализа тенденций использования и диагностики проблем учетной записи хранения.

предотвращать, обнаруживать угрозы и отвечать на них

Microsoft Defender for Cloud помогает предотвращать, обнаруживать и реагировать на угрозы, обеспечивая повышенную видимость (и контроль над безопасностью) ресурсов Azure. Она обеспечивает интегрированное управление безопасностью и политиками в подписках Azure, помогает обнаруживать угрозы, которые в противном случае могут быть незамечены и работать с различными решениями безопасности.

Бесплатный уровень Defender для облака обеспечивает ограниченную безопасность ресурсов в Azure, а также ресурсы с поддержкой Arc за пределами Azure. Функции расширенной безопасности расширяют эти возможности, включая контроль угроз и уязвимостей, а также отчеты о соответствии нормативным требованиям. Планы Defender для облака помогут вам найти и устранить уязвимости безопасности, применить элементы управления доступом и приложениями, чтобы блокировать вредоносные действия, обнаруживать угрозы с помощью аналитики и интеллектуального анализа, а также быстро реагировать при атаке. Вы можете попробовать Defender для облака Standard без затрат в течение первых 30 дней. Мы рекомендуем включить функции расширенной безопасности в подписках Azure в Defender для облака.

Используйте Defender для облака, чтобы получить централизованное представление о состоянии безопасности всех ресурсов в собственных центрах обработки данных, Azure и других облаках. На первый взгляд убедитесь, что соответствующие средства безопасности внедрены и настроены правильно, и быстро определите ресурсы, которым требуется внимание.

Defender для облака также интегрируется с Microsoft Defender for Endpoint, которая предоставляет комплексные возможности обнаружения конечных точек и реагирования (EDR). Интеграция Microsoft Defender for Endpoint позволяет обнаружить аномалии и обнаружить уязвимости. Кроме того, можно обнаруживать сложные атаки на конечные точки серверов, отслеживаемые Defender для облака, и реагировать на них.

Почти во всех крупных организациях используется управление информационной безопасностью и событиями безопасности (SIEM). Эта система позволяет выявлять новые угрозы путем объединения данных журналов с разнообразных устройств сбора сигналов. Эти журналы анализируются системой аналитики данных, чтобы отделить важные данные от незначительных, которые неизбежны во всех решениях по сбору и анализу журналов.

Microsoft Sentinel — это масштабируемое облачное решение для управления сведениями о безопасности и событиями (SIEM) и автоматизированного реагирования на безопасность (SOAR). Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности и угроз с помощью обнаружения оповещений, видимости угроз, упреждающей охоты и автоматического реагирования на угрозы.

Ниже приведены некоторые рекомендации по предотвращению, обнаружению и реагированию на угрозы.

• Увеличьте скорость и масштабируемость вашего решения SIEM, используя облачное SIEM.: Изучите функции и возможности Microsoft Sentinel и сравните их с возможностями вашего текущего локального решения. Рассмотрите возможность внедрения Microsoft Sentinel, если она соответствует требованиям SIEM вашей организации.

• Найдите наиболее серьезные уязвимости безопасности, чтобы определить приоритеты расследования. Проверьте вашу оценку безопасности Azure, чтобы просмотреть рекомендации, полученные из политик и инициатив Azure, встроенных в Microsoft Defender for Cloud. Эти рекомендации помогают устранять основные риски, такие как обновления системы безопасности, защита конечных точек, шифрование, конфигурации безопасности, отсутствие WAF, виртуальные машины, подключенные к Интернету, и многое другое.

Оценка безопасности, основанная на элементах управления Центра интернет-безопасности (CIS), позволяет сопоставить безопасность вашей организации в Azure с внешними источниками. Внешняя проверка позволяет протестировать и расширить стратегию безопасности вашей команды.

• Отслеживайте состояние безопасности компьютеров, сетей, служб хранения и данных, а также приложений, чтобы обнаруживать и определять приоритеты потенциальных проблем безопасности. Следуйте рекомендациям по безопасности в Defender для облака, начиная с наиболее приоритетных элементов.

• Интеграция оповещений Defender for Cloud в решение для управления сведениями о безопасности и событиями (SIEM). Большинство организаций с SIEM используют его в качестве централизованного хранилища для оповещений о безопасности, требующих ответа аналитика. Обработанные события, созданные Defender for Cloud, публикуются в журнале действий Azure, одном из журналов, доступных через Azure Monitor. Azure Monitor предлагает консолидированный конвейер для маршрутизации любых данных мониторинга в средство SIEM. Инструкции см. в разделе “Передача оповещений в решения SIEM, SOAR или Управление ИТ-услугами”. Если вы используете Microsoft Sentinel, см. Connect Microsoft Defender for Cloud.

• Интегрируйте журналы Azure с вашей SIEM.: используйте Azure Monitor для сбора и экспорта данных. Это очень важное условие для поддержки исследования инцидентов безопасности, а возможности оперативного хранения журналов ограничены. Если вы используете Microsoft Sentinel, ознакомьтесь с подключением источников данных.

• Ускорьте ваши процессы расследования и охоты, а также уменьшите количество ложных срабатываний, интегрировав возможности обнаружения и реагирования на конечных точках (EDR) в ваше исследование атак. Активируйте интеграцию Microsoft Defender для конечной точки через вашу политику безопасности Defender для облака. Рекомендуется использовать Microsoft Sentinel для реагирования на угрозы и инциденты.

Сквозной сценарный мониторинг сети

Клиенты создают сквозную сеть в Azure путем объединения сетевых ресурсов, таких как виртуальная сеть, ExpressRoute, Шлюз приложений и подсистемы балансировки нагрузки. Мониторинг доступен для всех сетевых ресурсов.

Azure Network Watcher — это региональная служба. Используйте средства диагностики и визуализации для мониторинга и диагностики условий на уровне сетевого сценария в Azure.

Ниже приведены рекомендации для мониторинга сети и перечислены доступные инструменты.

• Автоматизируйте удалённый мониторинг сети с помощью захвата пакетов. Мониторинг и диагностика сетевых проблем с использованием Network Watcher, без необходимости входа на виртуальные машины. Активируйте сбор пакетов путем установки оповещений и получения доступа к сведениям о производительности в режиме реального времени на уровне пакета. Вы можете детально проанализировать проблему, чтобы получить более точные результаты диагностики.

• Получите представление о сетевом трафике с помощью журналов потоков. Создайте более глубокое понимание шаблонов сетевого трафика, используя журналы потоков сетевых групп безопасности. Применяя сведения из этих журналов, можно собрать данные, чтобы обеспечить соответствие требованиям, провести аудит и выполнить мониторинг для профиля сетевой безопасности.

• Диагностика проблем с подключением VPN. Используйте Network Watcher для диагностики наиболее распространенных проблем с шлюзом VPN и подключением. Вы можете не только идентифицировать проблему, но и использовать подробные журналы для дальнейшей диагностики.

Безопасное развертывание с применением проверенных инструментов DevOps

Используйте следующие рекомендации по DevOps для обеспечения эффективной работы вашей организации и команд.

• Автоматизация сборки и развертывания служб.: инфраструктура как код — это набор методов и методик, которые помогают ИТ-специалистам устранять бремя повседневной сборки и управления модульной инфраструктурой. Благодаря ему ИТ-специалисты могут создавать современные серверные среды и поддерживать их так же, как разработчики программного обеспечения создают код приложения и поддерживают его.

Вы можете использовать Azure Resource Manager для подготовки приложений с помощью декларативного шаблона. В одном шаблоне можно развернуть несколько служб наряду с компонентами, от которых зависит их работа. Один шаблон используется для развертывания приложения на каждом этапе его жизненного цикла.

• Автоматически создавать и развертывать в веб-приложениях или облачных службах Azure. Вы можете настроить проекты Azure DevOps, чтобы автоматически создавать и развертывать в Azure веб-приложениях или облачных службах. Azure DevOps автоматически развертывает двоичные файлы в Azure после каждой фиксации кода, выполняя сборку. Процесс сборки пакета эквивалентен команде Package в Visual Studio, а шаги публикации эквивалентны команде Publish в Visual Studio.

• Automate release management.: Azure Pipelines — это решение для автоматизации многоэтапного развертывания и управления процессом выпуска. Создайте управляемые конвейеры непрерывного развертывания, чтобы ускорить, упростить выпуски, а также делать их чаще. С помощью Azure Pipelines вы можете автоматизировать процесс выпуска и иметь предопределенные рабочие процессы утверждения. Выполняйте развертывание в локальной среде и в облаке, расширения и настройку при необходимости.

• Проверьте производительность приложения перед запуском или развертыванием обновлений в рабочей среде. Выполните облачные нагрузочные тесты :

• Найдите проблемы с производительностью в вашем приложении.

• Улучшите качество развертывания.

• Убедитесь, что ваше приложение всегда доступно.

• Убедитесь, что ваше приложение сможет обработать трафик во время следующего релиза или маркетинговой кампании.

Apache JMeter — это бесплатное, популярное средство open source с сильной поддержкой сообщества.

• Monitor application performance.: Azure Application Insights — это расширяемая служба управления производительностью приложений (APM) для веб-разработчиков на нескольких платформах. Используйте Application Insights для мониторинга веб-приложения в реальном времени. Она автоматически обнаруживает аномалии производительности. Эта служба включает аналитические средства, которые помогут вам диагностировать проблемы и понять, что пользователи фактически делают в вашем приложении. Он предназначен для того, чтобы помогать постоянно улучшать производительность и удобство использования.

Уменьшение рисков и защита от атак DDoS

Распределённый отказ в обслуживании (DDoS) — это тип атаки, который пытается исчерпать ресурсы приложения. Цель: влияние на доступность и возможность обработки допустимых запросов приложения. Эти атаки становятся все более сложными и крупными по размеру и влиянию. Их можно направить на любую конечную точку, публично доступную через Интернет.

Для обеспечения устойчивости к распределенным атакам типа DDoS необходимо планирование и проектирование различных режимов сбоев. Ниже приведены рекомендации по созданию устойчивых служб DDoS на Azure.

• Убедитесь, что безопасность является приоритетом на протяжении всего жизненного цикла приложения — от проектирования и реализации до развертывания и эксплуатации. В приложениях могут быть ошибки, позволяющие относительно малому объему запросов использовать большое количество ресурсов, что вызывает сбой службы.. Чтобы защитить службу, запущенную на Microsoft Azure, необходимо хорошо понять архитектуру приложения и сосредоточиться на five основных принципах качества программного обеспечения. Необходимо знать типичные объемы трафика, модель подключения между приложениями, а также конечные точки службы, к которым предоставлен доступ через Интернет.

Убедитесь, что приложение достаточно устойчиво, чтобы противостоять отказу в обслуживании, направленному непосредственно на приложение. Безопасность и конфиденциальность встроены на платформу Azure, начиная с жизненного цикла разработки Security Development Lifecycle (SDL). SDL обращается к безопасности на каждом этапе разработки и гарантирует, что Azure постоянно обновляется, чтобы сделать его еще более безопасным.

• Проектируйте свои приложения таким образом, чтобы они поддерживали горизонтальное масштабирование в случае усиления нагрузки, особенно в случае атаки DDoS. Если приложение зависит от одного экземпляра службы, создается единая точка отказа. Подготовка нескольких экземпляров улучшает как отказоустойчивость, так и масштабируемость системы.: для Azure App Service выберите план службы App Service plan, который предлагает несколько экземпляров.

Для Azure Cloud Services настройте каждую из ролей для использования нескольких экземпляров.

Для Azure Virtual Machines убедитесь, что архитектура виртуальной машины включает несколько виртуальных машин и что каждая виртуальная машина включена в набор availability. Мы рекомендуем использовать Virtual Machine Scale Sets для возможностей автомасштабирования.

• Уровень защиты безопасности в приложении снижает вероятность успешной атаки. Реализуйте безопасные проекты для приложений с помощью встроенных возможностей платформы Azure.: риск атаки увеличивается с размером (областью поверхности) приложения. Вы можете уменьшить площадь поверхности, используя список разрешённых элементов, чтобы закрыть доступное пространство IP-адресов и порты прослушивания, которые не нужны для подсистем балансировки нагрузки (Azure Load Balancer и Azure Application Gateway).

Группы безопасности сети — это еще один способ уменьшить область атаки. Теги служб и группы безопасности приложений можно использовать для минимизации сложности для создания правил безопасности и настройки сетевой безопасности в качестве естественного расширения структуры приложения.

По возможности следует развертывать службы Azure в виртуальной сети. Это позволит ресурсам службы взаимодействовать через частные IP-адреса. Azure трафик службы из виртуальной сети использует общедоступные IP-адреса в качестве исходных IP-адресов по умолчанию.

Использование конечных точек службы переключает трафик службы для использования частных адресов виртуальной сети в качестве исходных IP-адресов при доступе к службе Azure из виртуальной сети.

Часто мы видим, что локальные ресурсы клиентов атакуются вместе с их ресурсами в Azure. Если вы подключаете локальную среду к Azure, минимизируйте воздействие локальных ресурсов на общедоступный интернет.

Azure имеет два предложения DDoS-услуг, обеспечивающих защиту от сетевых атак:

• Базовая защита интегрирована в Azure по умолчанию без дополнительных затрат. Масштаб и емкость глобально развернутой Azure сети обеспечивает защиту от распространенных атак сетевого уровня с помощью мониторинга трафика и устранения рисков в режиме реального времени. Базовый не требует изменения конфигурации пользователя или приложения и помогает защитить все службы Azure, включая службы PaaS, такие как Azure DNS.
• Защита уровня "Стандартный" обеспечивает расширенные возможности предотвращения сетевых атак типа DDoS. Он автоматически настраивается для защиты определенных Azure ресурсов. Защиту можно легко включить во время создания виртуальных сетей. Кроме того, это можно сделать после создания. При этом не требуются никакие изменения приложения или ресурса.

Включение Azure Policy

Azure Policy — это служба, используемая Azure для создания, назначения и управления политиками. Эти политики гарантируют соблюдение различных правил и действий с ресурсами, обеспечивая соответствие этих ресурсов корпоративным стандартам и соглашениям об уровне обслуживания. Azure Policy соответствует этой потребности, оценивая ресурсы на соответствие назначенным политикам.

Включите Azure Policy для мониторинга и применения письменной политики вашей организации. Соответствие корпоративным стандартам и нормативным требованиям к безопасности обеспечивается за счет централизованного управления политиками безопасности для всех гибридных облачных нагрузок. Узнайте, как создавать политики и управлять ими для обеспечения соответствия требованиям. Дополнительную информацию о структуре определения политики см. в разделе структура определения Azure Policy.

• Использовать Azure Policy для применения рекомендаций Microsoft Cloud Security Benchmark версии 2 (предварительный просмотр) в вашей среде. Microsoft Cloud Security Benchmark версии 2 (предварительный просмотр) предоставляет комплексные рекомендации по обеспечению безопасности с расширенным охватом Azure Policy (420+ метрики на основе политик). Назначьте политики Microsoft Cloud Security Benchmark версии 2 (предварительная версия) подпискам и группам управления для непрерывного аудита и применения безопасных конфигураций. Этот тест включает в себя новые элементы управления безопасностью ИИ, конфиденциальными вычислениями и расширенным обнаружением угроз. Используйте панель мониторинга соответствия нормативным требованиям Defender для облака для отслеживания соответствия требованиям и выявления пробелов в безопасности, требующих исправления.

Ниже приведены некоторые рекомендации по обеспечению безопасности после внедрения Azure Policy.

• Политика поддерживает несколько типов эффектов. Подробнее о них можно прочитать в разделе структура определения Azure Policy. Бизнес-операции могут подвергаться негативному воздействию от эффекта запрета и эффекта исправления, поэтому начните с эффекта аудита, чтобы ограничить риск негативного влияния от политики. Начните развертывание политик в режиме аудита, а затем переходите к режиму запрета или исправления. Протестируйте и просмотрите результаты эффекта аудита, прежде чем переходить к запрету или исправлению.

  Дополнительные сведения см. в статье "Создание политик и управление ими для обеспечения соответствия требованиям".

• Выявите роли, ответственные за мониторинг нарушений политики и быстрое принятие корректирующих мер.: Роли должны следить за соблюдением через портал Azure или через командную строку .

• Azure Policy — это техническое представление письменных политик организации. Сопоставляйте все определения Azure Policy с политиками организации, чтобы уменьшить путаницу и повысить согласованность.: сопоставление документов в документации вашей организации или в самом определении Azure Policy путем добавления ссылки на политику организации в описании определения политики или инициативы.