Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья содержит ряд рекомендаций по защите данных, приложений и других ресурсов в Azure.
Рекомендации основаны на общем мнении и подходят для работы с текущими возможностями и наборами функций платформы Azure. Со временем мнения и технологии меняются, поэтому эта статья постоянно обновляется, чтобы отражать эти изменения.
Определение и развертывание надежных методов обеспечения операционной безопасности
Под операционной безопасностью Azure подразумеваются службы, элементы управления и функции, которые пользователи могут использовать для защиты своих данных, приложений и других ресурсов в Azure. Операционная безопасность Azure основана на платформе, которая включает знания, полученные с помощью возможностей, уникальных для Майкрософт, включая жизненный цикл разработки безопасности (SDL), программу Центра реагирования майкрософт и глубокое понимание ландшафта угроз кибербезопасности.
Принудительное применение многофакторной проверки для пользователей
Рекомендуется требовать двухфакторную проверку подлинности для всех пользователей. В их число входят администраторы и сотрудники в организации, которые могут значительно пострадать в случае взлома их учетных записей (например, финансовые директоры).
Существует несколько способов, с помощью которых можно требовать двухфакторную проверку подлинности. Лучший вариант зависит от целей, выпуска Microsoft Entra, который вы используете, и вашей программы лицензирования. Узнайте , как требовать двухфакторную проверку подлинности для пользователя , чтобы определить оптимальный вариант. Для получения дополнительной информации о лицензиях и ценах смотрите страницы цен на Microsoft Entra ID и многофакторную проверку подлинности Microsoft Entra.
Ниже приводятся варианты и преимущества включения двухфакторной проверки подлинности.
Вариант 1: Включите MFA для всех пользователей и методов входа с помощью параметров безопасности по умолчанию Microsoft Entra. Преимущество: этот вариант позволяет вам легко и быстро применять MFA для всех пользователей в вашей среде с строгой политикой:
- запрос административных учетных записей и административных механизмов входа;
- обязательный запрос многофакторной проверки подлинности через Microsoft Authenticator для всех пользователей;
- ограничение использования устаревших протоколов проверки подлинности.
Этот метод доступен для всех уровней лицензирования, но его нельзя сочетать с существующими политиками условного доступа. Дополнительные сведения см. в Microsoft Entra Security Defaults
Вариант 2.Включение многофакторной проверки подлинности путем изменения состояния пользователя.
Преимущество. Это традиционный метод для двухфакторной проверки подлинности. Он работает с многофакторной проверкой подлинности Microsoft Entra в облаке и сервере Многофакторной идентификации Azure. Использование этого метода требует, чтобы пользователи выполняли двухфакторную проверку подлинности при каждом входе в учетную запись, и переопределяет политики условного доступа.
Чтобы определить, где требуется включить многофакторную проверку подлинности, см. раздел "Какая версия многофакторной проверки подлинности Microsoft Entra подходит для моей организации?".
Вариант 3.Включение многофакторной проверки подлинности с помощью политики условного доступа. Преимущество. Этот параметр позволяет запрашивать двухфакторную проверку в определенных условиях с помощью условного доступа. Специфическими условиями могут быть вход пользователей из разных местоположений, с ненадежных устройств или приложений, которые вы считаете рискованными. Определение конкретных условий, в которых следует требовать двухэтапную проверку, позволяет избежать постоянных обращений к пользователю, что может быть неприятным опытом.
Это наиболее гибкий способ включить двухфакторную проверку подлинности для пользователей. Включение политики условного доступа работает только для многофакторной проверки подлинности Microsoft Entra в облаке и является премиум-функцией идентификатора Microsoft Entra. Дополнительные сведения об этом методе см. в разделе "Развертывание облачной многофакторной проверки подлинности Microsoft Entra".
Вариант 4. Включение многофакторной проверки подлинности с помощью политик условного доступа путем оценки политик условного доступа на основе рисков.
Преимущество. Этот параметр позволяет:
- Обнаружение потенциальных уязвимостей, которые влияют на идентификации вашей организации.
- Настройте автоматические ответы на обнаруженные подозрительные действия, связанные с учетными записями вашей организации.
- анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.
Этот метод использует оценку риска Защита идентификации Microsoft Entra для определения необходимости двухфакторной проверки подлинности на основе риска входа для всех облачных приложений. Для этого метода требуется лицензирование Microsoft Entra ID P2. Дополнительные сведения об этом методе можно найти в службе защиты идентификаторов Microsoft Entra.
Примечание.
Вариант 2, включение многофакторной проверки подлинности путем изменения пользовательского состояния, переопределяет политики условного доступа. Так как в вариантах 3 и 4 используются политики условного доступа, с ними нельзя применять вариант 2.
Организации, которые не добавляют дополнительные уровни защиты идентификации, например двухфакторную проверку подлинности, более подвержены атаке кражи учетных данных. Атаки такого типа могут привести к компрометации данных.
Управление паролями пользователей и их мониторинг
В следующей таблице перечислены некоторые рекомендации по управлению паролями пользователей.
Рекомендация. Убедитесь, что в облаке есть надлежащий уровень защиты паролей.
Подробные сведения. Следуйте инструкциям в руководстве по паролям Майкрософт, которое распространяется на пользователей платформ удостоверений Майкрософт (идентификатор Microsoft Entra, Active Directory и учетную запись Майкрософт).
Рекомендуется отслеживать подозрительные действия, связанные с учетными записями пользователей.
Подробные сведения: мониторинг пользователей с риском и входов с риском с помощью отчетов безопасности Microsoft Entra.
Рекомендация. Автоматическое обнаружение и исправление паролей с высоким риском.
Сведения. Защита идентификаторов Microsoft Entra — это функция выпуска Microsoft Entra ID P2, которая позволяет выполнять следующие действия.
- Обнаруживайте потенциальные уязвимости, которые могут повлиять на идентичности организации.
- Настройте автоматические ответы на обнаружение подозрительных действий, связанных с идентичностями вашей организации.
- анализировать подозрительные инциденты и выполнять соответствующие действия для их устранения.
Получение уведомлений об инцидентах от корпорации Майкрософт
Убедитесь, что ваша команда по обеспечению безопасности получает уведомления об инцидентах Azure от корпорации Майкрософт. Уведомление об инциденте позволяет команде по обеспечению безопасности узнавать о компрометации ресурсов Azure, быстро реагировать на потенциальные угрозы безопасности и устранять их.
На портале регистрации Azure в контактных данных администратора можно указать сведения для уведомления команды по обеспечению безопасности. Контактные сведения включают адрес электронной почты и номер телефона.
Организация подписок Azure в группы управления
Если в организации много подписок, для эффективного управления доступом к ним, их политиками и соответствием требуется особый подход. Группы управления Azure предоставляют уровень охвата, который выше, чем подписки. Вы объединяете подписки в контейнеры, которые называются группами управления, и применяете к ним условия системы управления. Все подписки в группе управления автоматически наследуют условия, применяемые к группе управления.
Можно создать гибкую структуру групп управления и подписок в каталоге. Каждому каталогу присваивается одна группа управления верхнего уровня, которая называется корневой группой управления. Эта группа встроена в иерархию, чтобы в нее входили все группы управления и подписки. Эта корневая группа управления позволяет применять глобальные политики и назначения ролей Azure на уровне каталога.
Ниже приведены некоторые рекомендации по использованию групп управления.
Рекомендация: убедитесь, что при добавлении новые подписки применяют управляющие элементы, такие как политики и разрешения.
Подробные сведения. Используйте корневую группу управления для назначения корпоративных элементов безопасности, которые применяются ко всем ресурсам Azure. Примеры таких элементов — политики и разрешения.
Рекомендация. Выравнивание верхних уровней групп управления с стратегией сегментации для обеспечения точки контроля и согласованности политик в каждом сегменте.
Сведения. Создание одной группы управления для каждого сегмента в корневой группе управления. Не создавайте другие группы управления в корневой группе.
Рекомендуется ограничить глубину группы управления, чтобы избежать путаницы, которая препятствует работе и безопасности.
Подробные сведения. Ограничение иерархии до трех уровней, включая корень.
Рекомендуется тщательно выбрать элементы, которые следует применить ко всему предприятиям с корневой группой управления.
Подробные сведения. Убедитесь, что элементы корневой группы управления должны применяться к каждому ресурсу и что они оказывают низкое влияние.
Подходящие кандидаты включают:
- Нормативные требования с четким влиянием на бизнес (например, ограничения, связанные с независимостью данных)
- Требования с минимально возможным негативным воздействием на операции, такие как политика, влияющая на аудит, или назначения разрешений Azure RBAC, которые были тщательно проверены.
Рекомендуется тщательно спланировать и проверить все корпоративные изменения в корневой группе управления, прежде чем применять их (модель Azure RBAC и т. д.).
Сведения. Изменения в корневой группе управления могут повлиять на каждый ресурс в Azure. Это эффективный способ обеспечения согласованности в масштабах организации, однако ошибки или неправильное использование могут негативно сказаться на производственных операциях. Протестируйте все изменения в корневой группе управления в тестовой или пилотной производственной среде.
Упрощение создания сред с помощью шаблонов
Служба Azure Blueprints позволяет архитекторам облачных служб и центральным информационным группам определять повторяемый набор ресурсов Azure, реализующих и соблюдающих стандарты, шаблоны и требования организации. Azure Blueprints позволяет группам разработчиков быстро создавать и подготавливать новые среды с помощью набора встроенных компонентов. Разработчики могут быть уверены в том, что созданные среды соответствуют нормативным требованиям организации.
Мониторинг служб хранилища для обнаружения непредвиденных изменений в поведении
Диагностика и устранение неисправностей в распределенном приложении, размещенном в облачной среде, может представлять большую сложность в сравнении с традиционными средами. Развертывание приложений можно выполнять в инфраструктуре PaaS или IaaS, на площадке заказчика, на мобильном устройстве или в среде, в которой имеется их произвольное сочетание. Трафик приложения может проходить через общедоступные и закрытые сети, а приложение может использовать несколько технологий хранения.
Необходимо постоянно отслеживать службы хранилища, которые использует приложение, на наличие непредвиденных изменений в поведении (например, увеличении времени отклика). Используйте ведение журнала для сбора дополнительных данных и подробного анализа проблемы. Диагностические сведения, которые вы получаете при наблюдении и ведении журналов, помогут установить первопричину неполадки, возникшей при использовании приложения. После этого вы можете выполнить поиск неисправности и определить шаги, необходимые для ее устранения.
Аналитика службы хранилища Azure выполняет ведение журнала и предоставляет данные метрик для учетной записи хранения Azure. Рекомендуем использовать эти данные для трассировки запросов, анализа тенденций использования и диагностики проблем учетной записи хранения.
предотвращать, обнаруживать угрозы и отвечать на них
Microsoft Defender для Облака помогает предотвращать, обнаруживать и реагировать на угрозы, обеспечивая повышенную видимость (и контроль над безопасностью) ресурсов Azure. Он включает встроенные функции мониторинга безопасности и управления политиками для подписок Azure, помогает выявлять угрозы, которые в противном случае могли бы оказаться незамеченными, и взаимодействует с различными решениями по обеспечению безопасности.
Уровень "Бесплатный" в Defender для облака обеспечивает ограниченную безопасность ваших ресурсов в Azure, а также ресурсов, поддерживаемых Arc, за пределами Azure. Функции расширенной безопасности расширяют эти возможности, включая контроль угроз и уязвимостей, а также отчеты о соответствии нормативным требованиям. Планы Defender для облака помогут вам найти и устранить уязвимости безопасности, применить элементы управления доступом и приложениями, чтобы блокировать вредоносные действия, обнаруживать угрозы с помощью аналитики и интеллектуального анализа, а также быстро реагировать при атаке. Вы можете попробовать Defender для облака Standard без затрат в течение первых 30 дней. Рекомендуется включить расширенные функции безопасности в подписках Azure в Defender для облака.
Используйте Defender для облака, чтобы получить централизованное представление о состоянии безопасности всех ресурсов в собственных центрах обработки данных, Azure и других облаках. На первый взгляд убедитесь, что соответствующие средства безопасности внедрены и настроены правильно, и быстро определите ресурсы, которым требуется внимание.
Defender для облака также интегрируется с Microsoft Defender для конечной точки, которая предоставляет комплексные возможности обнаружения конечных точек и реагирования (EDR). Интеграция Microsoft Defender для конечной точки позволяет обнаружить аномалии и обнаружить уязвимости. Кроме того, можно обнаруживать сложные атаки на конечные точки серверов, отслеживаемые Defender для облака, и реагировать на них.
Почти во всех крупных организациях используется управление информационной безопасностью и событиями безопасности (SIEM). Эта система позволяет выявлять новые угрозы путем объединения данных журналов с разнообразных устройств сбора сигналов. Эти журналы анализируются системой аналитики данных, чтобы отделить важные данные от незначительных, которые неизбежны во всех решениях по сбору и анализу журналов.
Microsoft Sentinel — это масштабируемое, облачное решение для управления информацией и событиями безопасности (SIEM) и автоматизации оркестрации и реагирования на угрозы (SOAR). Microsoft Sentinel обеспечивает интеллектуальную аналитику безопасности и угроз за счет обнаружения предупреждений, видимости угроз, упреждающего поиска и автоматического реагирования на угрозы.
Ниже приведены некоторые рекомендации по предотвращению, обнаружению и реагированию на угрозы.
Рекомендация. Повышение скорости и масштабируемости решения SIEM с помощью облачного SIEM.
Подробные сведения. Изучите функции и возможности Microsoft Sentinel и сравните их с возможностями локальной среды. Рассмотрите возможность внедрения Microsoft Sentinel, если это соответствует требованиям к SIEM в вашей организации.
Рекомендация. Поиск наиболее серьезных уязвимостей безопасности, чтобы можно было определить приоритеты для исследования.
Подробные сведения. Просмотрите оценку безопасности Azure , чтобы просмотреть рекомендации, полученные из политик и инициатив Azure, встроенных в Microsoft Defender для облака. Эти рекомендации помогают устранять основные риски, такие как обновления системы безопасности, защита конечных точек, шифрование, конфигурации безопасности, отсутствие WAF, виртуальные машины, подключенные к Интернету, и многое другое.
Оценка безопасности, основанная на данных Центра Интернет-безопасности (CIS), позволяет проверить уровень защиты вашей корпоративной инфраструктуре Azure с помощью внешних источников. Внешняя проверка позволяет протестировать и расширить стратегию безопасности вашей команды.
Рекомендация. Мониторинг состояния безопасности компьютеров, сетей, служб хранения и данных, а также приложений для обнаружения и определения потенциальных проблем безопасности.
Подробные сведения. Следуйте рекомендациям по безопасности в Defender для облака, начиная с элементов с наивысшим приоритетом.
Рекомендация. Интеграция оповещений Defender для облака в решение для управления безопасностью и событиями (SIEM).
Подробные сведения: Большинство организаций с SIEM используют его в качестве центрального узла для обработки событий безопасности, требующих ответа аналитика. Обработанные события, создаваемые Defender for Cloud, публикуются в журнал активности Azure — одном из журналов, доступных в Azure Monitor. Azure Monitor располагает объединенным конвейером для направления различных данных мониторинга в средство SIEM. Инструкции см. в разделе “Передача оповещений в решения SIEM, SOAR или Управление ИТ-услугами”. Если вы используете Microsoft Sentinel, см. статью Connect Microsoft Defender for Cloud.
Рекомендация. Интеграция журналов Azure с SIEM.
Сведения. Использование Azure Monitor для сбора и экспорта данных. Это очень важное условие для поддержки исследования инцидентов безопасности, а возможности оперативного хранения журналов ограничены. Если вы используете Microsoft Sentinel, ознакомьтесь с источниками данных Connect.
Лучшие практики: Ускорьте процессы анализа и обнаружения, а также сократите количество ложных срабатываний, интегрировав возможности Endpoint Detection and Response (EDR) в исследование атак.
Детали: Включите интеграцию Microsoft Defender для конечной точки через политику безопасности Defender для облака. Рассмотрите возможность использования Microsoft Sentinel для обнаружения угроз и реагирования на инциденты.
Сквозной сценарный мониторинг сети
Клиенты создают комплексную сеть в Azure, сочетая отдельные сетевые ресурсы, в том числе виртуальную сеть, ExpressRoute, Шлюз приложений и подсистемы балансировки нагрузки. Мониторинг доступен для всех сетевых ресурсов.
Наблюдатель за сетями Azure — это региональная служба. Используйте ее инструменты диагностики и визуализации для мониторинга и диагностики условий на уровне сетевых сценариев в, к и с платформы Azure.
Ниже приведены рекомендации для мониторинга сети и перечислены доступные инструменты.
Рекомендуется автоматизировать удаленный мониторинг сети с помощью записи пакетов.
Сведения. Мониторинг и диагностика сетевых проблем без входа на виртуальные машины с помощью наблюдателя за сетями. Активируйте сбор пакетов путем установки оповещений и получения доступа к сведениям о производительности в режиме реального времени на уровне пакета. Вы можете детально проанализировать проблему, чтобы получить более точные результаты диагностики.
Рекомендация. Получите представление о сетевом трафике с помощью журналов потоков.
Сведения. Создание более глубокого понимания шаблонов сетевого трафика с помощью журналов потоков групп безопасности сети. Применяя сведения из этих журналов, можно собрать данные, чтобы обеспечить соответствие требованиям, провести аудит и выполнить мониторинг для профиля сетевой безопасности.
Рекомендуется диагностировать проблемы с VPN-подключением.
Подробные сведения. Используйте наблюдатель за сетями для диагностики наиболее распространенных проблем с VPN-шлюзом и подключением. Вы можете не только идентифицировать проблему, но и использовать подробные журналы для дальнейшей диагностики.
Безопасное развертывание с применением проверенных инструментов DevOps
Используйте следующие рекомендации по DevOps для обеспечения эффективной работы вашей организации и команд.
Рекомендуется автоматизировать сборку и развертывание служб.
Подробные сведения. Инфраструктура как код — это набор методов и методик, которые помогают ИТ-специалистам устранять бремя повседневной сборки и управления модульной инфраструктурой. Благодаря ему ИТ-специалисты могут создавать современные серверные среды и поддерживать их так же, как разработчики программного обеспечения создают код приложения и поддерживают его.
Azure Resource Manager можно использовать для подготовки приложений с помощью декларативного шаблона. В одном шаблоне можно развернуть несколько служб наряду с компонентами, от которых зависит их работа. Один шаблон используется для развертывания приложения на каждом этапе его жизненного цикла.
Рекомендация. Автоматическое создание и развертывание в веб-приложениях Azure или облачных службах.
Подробные сведения. Вы можете настроить проекты Azure DevOps для автоматического создания и развертывания в веб-приложениях Azure или облачных службах. Azure DevOps автоматически развертывает двоичные файлы после сборки в Azure и каждого возврата кода. Процесс сборки пакета эквивалентен команде Package в Visual Studio. Этапы публикации эквивалентны команде Publish в Visual Studio.
Рекомендуется автоматизировать управление выпусками.
Сведения. Azure Pipelines — это решение для автоматизации нескольких этапов развертывания и управления процессом выпуска. Создайте управляемые конвейеры непрерывного развертывания, чтобы ускорить, упростить выпуски, а также делать их чаще. С помощью Azure Pipelines можно значительно автоматизировать процесс выпуска. Кроме того, можно создать предопределенные рабочие процессы утверждения. Выполняйте развертывание в локальной среде и в облаке, расширения и настройку при необходимости.
Рекомендуется проверить производительность приложения перед запуском или развертыванием обновлений в рабочей среде.
Подробные сведения. Выполните облачные нагрузочные тесты для:
- Найдите проблемы с производительностью в вашем приложении.
- Улучшите качество развертывания.
- Убедитесь, что ваше приложение всегда доступно.
- Убедитесь, что ваше приложение сможет обработать трафик во время следующего релиза или маркетинговой кампании.
Apache JMeter — это бесплатное, популярное средство с открытым исходным кодом с поддержкой строгого сообщества.
Рекомендация. Мониторинг производительности приложения.
Сведения. Azure Application Insights — это расширяемая служба управления производительностью приложений (APM) для веб-разработчиков на нескольких платформах. Используйте Application Insights для мониторинга веб-приложения в реальном времени. Она автоматически обнаруживает аномалии производительности. Эта служба включает аналитические средства, которые помогут вам диагностировать проблемы и понять, что пользователи фактически делают в вашем приложении. Он предназначен для того, чтобы помогать постоянно улучшать производительность и удобство использования.
Уменьшение рисков и защита от атак DDoS
Распределённый отказ в обслуживании (DDoS) — это тип атаки, который пытается исчерпать ресурсы приложения. Цель: влияние на доступность и возможность обработки допустимых запросов приложения. Эти атаки становятся все более сложными и крупными по размеру и влиянию. Их можно направить на любую конечную точку, публично доступную через Интернет.
Для обеспечения устойчивости к распределенным атакам типа DDoS необходимо планирование и проектирование различных режимов сбоев. Ниже приведены рекомендации по созданию служб Azure, которые могут устоять против атак DDoS.
Рекомендация. Убедитесь, что безопасность является приоритетом на протяжении всего жизненного цикла приложения, от проектирования и реализации до развертывания и операций. В приложениях могут быть ошибки, позволяющие относительно малому объему запросов использовать большое количество ресурсов, что вызывает сбой службы.
Подробные сведения. Чтобы защитить службу, запущенную в Microsoft Azure, вы должны иметь хорошее представление об архитектуре приложения и сосредоточиться на пяти основных аспектах качества программного обеспечения. Необходимо знать типичные объемы трафика, модель подключения между приложениями, а также конечные точки службы, к которым предоставлен доступ через Интернет.
Убедитесь, что приложение достаточно устойчиво, чтобы противостоять отказу в обслуживании, направленному непосредственно на приложение. Безопасность и конфиденциальность встроены на платформу Azure, начиная с жизненного цикла разработки безопасности (SDL). SDL обеспечивает защиту на каждом этапе разработки и гарантирует постоянное обновление платформы Azure, чтобы сделать ее более безопасной.
Рекомендация. Разработка приложений для горизонтального масштабирования для удовлетворения спроса на увеличение нагрузки, в частности в случае атаки DDoS. Если приложение зависит от одного экземпляра службы, создается единая точка отказа. Подготовка нескольких экземпляров улучшает как отказоустойчивость, так и масштабируемость системы.
Сведения: Для службы приложений Azure выберите план службы приложений, который предлагает несколько экземпляров.
Для облачных служб Azure настройте каждую из ролей для использования нескольких экземпляров.
Для виртуальных машин Azure убедитесь, что архитектура виртуальной машины включает несколько виртуальных машин и что каждая виртуальная машина включена в группу доступности. Мы рекомендуем использовать наборы виртуальных машин из-за возможностей автомасштабирования.
Лучшие практики: Многоуровневая защита в приложении снижает вероятность успешной атаки. Внедряйте безопасные проекты для своих приложений через встроенные возможности платформы Azure.
Подробные сведения. Риск атаки увеличивается с размером (областью поверхности) приложения. Для уменьшения площади атаки, можно использовать список разрешений, чтобы закрыть пространство доступных IP-адресов и отключить ненужные порты прослушивания на балансировщиках нагрузки (Azure Load Balancer и Azure Application Gateway).
Группы безопасности сети — это еще один способ уменьшить область атаки. Теги служб и группы безопасности приложений можно использовать для минимизации сложности для создания правил безопасности и настройки сетевой безопасности в качестве естественного расширения структуры приложения.
По возможности следует развертывать службы Azure в виртуальной сети . Это позволит ресурсам службы взаимодействовать через частные IP-адреса. По умолчанию трафик служб Azure из виртуальной сети использует общедоступные IP-адреса в качестве исходных.
Использование конечных точек службы переключает трафик службы для использования частных адресов виртуальной сети в качестве исходных IP-адресов при доступе к службе Azure из виртуальной сети.
Локальные ресурсы клиентов часто подвергаются атакам наряду с ресурсами в Azure. Если вы подключаете локальную среду к Azure, следует минимизировать предоставление доступа к локальным ресурсам через Интернет.
В Azure есть два предложения служб DDoS, которые обеспечивают защиту от сетевых атак:
- Защита уровня "Базовый" интегрирована в Azure по умолчанию и предоставляется без каких-либо дополнительных затрат. Масштаб и емкость глобально развернутой сети Azure обеспечивают защиту от распространенных атак сетевого уровня за счет постоянно контролируемого мониторинга трафика и устранения атак в режиме реального времени. Уровень "Базовый" не требует пользовательской конфигурации или изменений приложения и помогает защитить все службы Azure, в том числе и службы PaaS, такие как Azure DNS.
- Защита уровня "Стандартный" обеспечивает расширенные возможности предотвращения сетевых атак типа DDoS. Она автоматически настраивается для защиты конкретных ресурсов Azure. Защиту можно легко включить во время создания виртуальных сетей. Кроме того, это можно сделать после создания. При этом не требуются никакие изменения приложения или ресурса.
Активировать Azure Policy
Политика Azure — это служба в Azure, используемая для создания, назначения и управления политиками. Эти политики гарантируют соблюдение различных правил и действий с ресурсами, обеспечивая соответствие этих ресурсов корпоративным стандартам и соглашениям об уровне обслуживания. Политика Azure обеспечивает соответствие этому требованию, оценивая ресурсы на предмет несоответствия назначенным политикам.
Включите политику Azure для мониторинга и применения письменной политики вашей организации. Соответствие корпоративным стандартам и нормативным требованиям к безопасности обеспечивается за счет централизованного управления политиками безопасности для всех гибридных облачных нагрузок. Узнайте, как создавать политики и управлять ими для обеспечения соответствия требованиям. Сведения о элементах политики см. в структуре определения политики Azure .
Рекомендуется использовать политику Azure для применения рекомендаций Microsoft Cloud Security Benchmark версии 2 (предварительная версия) в вашей среде.
Сведения. Microsoft Cloud Security Benchmark версии 2 (предварительная версия) предоставляет комплексные рекомендации по обеспечению безопасности с расширенным охватом политики Azure (420+ измерения на основе политик). Назначьте политики Microsoft Cloud Security Benchmark версии 2 (предварительная версия) подпискам и группам управления для непрерывного аудита и применения безопасных конфигураций. Этот тест включает в себя новые элементы управления безопасностью ИИ, конфиденциальными вычислениями и расширенным обнаружением угроз. Используйте панель мониторинга соответствия нормативным требованиям Defender для облака для отслеживания соответствия требованиям и выявления пробелов в безопасности, требующих исправления.
Ниже приведены некоторые рекомендации по обеспечению безопасности после внедрения службы "Политика Azure".
Рекомендация. Политика поддерживает несколько типов эффектов. Их можно прочитать в структуре определения политики Azure. Бизнес-операции могут негативно повлиять на эффект запрета и эффект исправления , поэтому начните с эффекта аудита , чтобы ограничить риск негативного воздействия политики.
Сведения: Начните развертывание политик в режиме аудита, а затем переходите к запрету или исправлению. Протестируйте и просмотрите результаты эффекта аудита, прежде чем переходить к запрету или исправлению.
Дополнительные сведения см. в статье "Создание политик и управление ими для обеспечения соответствия требованиям".
Рекомендация. Определение ролей, ответственных за мониторинг нарушений политики, и обеспечение быстрого принятия правильных действий по исправлению.
Подробная информация: Назначенной роли следует контролировать соблюдение требований через портал Azure или с помощью командной строки.
Рекомендация. Политика Azure — это техническое представление письменных политик организации. Сопоставьте все определения службы "Политика Azure" с политиками организации, чтобы уменьшить путаницу и повысить согласованность.
Сведения. Сопоставление документов в документации вашей организации или в самом определении политики Azure путем добавления ссылки на политику организации в определении политики или описании определения инициативы .
Мониторинг отчетов о рисках Microsoft Entra
Подавляющее большинство нарушений безопасности — это случаи, когда злоумышленники получают доступ к среде за счет кражи удостоверения пользователя. Обнаружение скомпрометированных удостоверений — непростая задача. Идентификатор Microsoft Entra использует адаптивные алгоритмы машинного обучения и эвристики для обнаружения подозрительных действий, связанных с учетными записями пользователей. Каждое обнаруженное подозрительное действие хранится в записи, называемой обнаружением рисков. Обнаружения рисков записываются в отчеты о безопасности Microsoft Entra. Дополнительные сведения см. в отчете о безопасности пользователей, подверженных риску , и о отчете безопасности о рискованных входах.
Следующие шаги
Ознакомьтесь с рекомендациями и шаблонами безопасности Azure для получения дополнительных рекомендаций по обеспечению безопасности при разработке, развертывании и управлении облачными решениями с помощью Azure.
Ниже приведены ресурсы, с помощью которых можно получить общие сведения о службах безопасности Azure и связанных службах Майкрософт.
- Блог группы безопасности Azure - актуальные сведения о последних новинках в сфере безопасности Azure
- Центр реагирования майкрософт — где уязвимости безопасности Майкрософт, включая проблемы с Azure, можно сообщать или по электронной почте. [email protected]