Metodtips för Azure Security

I den här artikeln beskrivs rekommenderade metodtips för säkerhet, som baseras på lärdomar från kunder och av erfarenheter i våra egna miljöer.

En videopresentation finns i metodtips för Azure-säkerhet.

1. Personer: Utbilda team om molnsäkerhetsresan

Teamet måste förstå vilken resa de är på.

Vad?

Utbilda dina säkerhets- och IT-team om molnsäkerhetsresan och de ändringar som de kommer att navigera i, inklusive:

  • Hot i molnet
  • Modellen med delat ansvar och hur den påverkar säkerheten
  • Ändringar i kultur och roller och ansvarsområden som vanligtvis följer med molnimplementering

Varför?

Molnsäkerhet kräver ett skifte i tankesätt och tillvägagångssätt. Även om de resultat som säkerheten ger organisationen inte ändras, kan det bästa sättet att uppnå dessa resultat i molnet ändras avsevärt.

Övergången till molnet liknar övergången från ett fristående hus till ett höghus. Du har fortfarande grundläggande infrastruktur, som VVS och el, och gör liknande aktiviteter, till exempel umgås, laga mat, TV och Internet och så vidare. Det finns dock ofta en ganska stor skillnad i vad som kommer med byggnaden, vem som tillhandahåller och underhåller den och din dagliga rutin.

Vem?

Alla i säkerhets- och IT-organisationen som har något säkerhetsansvar, från CIO eller CISO till tekniska utövare, måste känna till ändringarna.

Hur?

Ge teamen den kontext som krävs för att distribuera och arbeta under övergången till molnmiljön.

Microsoft har publicerat följande lärdomar som kunder och IT-organisationer har lärt sig under sina resor till molnet.

Mer information finns i Roller, ansvarsområden och ansvarsområden för Azure Security Benchmark.

2. Personer: Utbilda team om molnsäkerhetsteknik

Personer måste förstå vart de är på väg.

Vad?

Se till att dina team har tid för teknisk utbildning för att skydda molnresurser, inklusive:

  • Molnteknik och molnsäkerhetsteknik
  • Rekommenderade konfigurationer och metodtips
  • Var du kan lära dig mer teknisk information

Varför?

Tekniska team behöver tillgång till teknisk information för att fatta välgrundade säkerhetsbeslut. Tekniska team är bra på att lära sig ny teknik på jobbet, men mängden information i molnet överbelastar ofta deras förmåga att anpassa inlärningen till deras dagliga rutin.

Reservera dedikerad tid för teknisk inlärning. Utbildning hjälper till att säkerställa att människor har tid att bygga förtroende för sin förmåga att utvärdera molnsäkerhet. Det hjälper dem att tänka igenom hur de kan anpassa sina befintliga färdigheter och processer.

Vem?

Alla säkerhets- och IT-roller som interagerar direkt med molnteknik måste ägna tid åt teknisk utbildning på molnplattformar och hur de skyddas.

Säkerhet, IT-teknikchefer och projektledare kan bekanta sig med viss teknisk information för att skydda molnresurser. Den här kunskapen hjälper dem att mer effektivt leda och samordna molninitiativ.

Hur?

Se till att tekniska säkerhetspersonal har tid för utbildning i egen takt om hur du skyddar molntillgångar. Även om det inte alltid är möjligt ger du tillgång till formell utbildning med en erfaren instruktör och praktiska labbövningar.

Viktigt!

Identitetsprotokoll är viktiga för åtkomstkontroll i molnet, men prioriteras ofta inte i lokal säkerhet. Säkerhetsteamen måste fokusera på att utveckla kunskaper om dessa protokoll och loggar.

Microsoft tillhandahåller omfattande resurser för att hjälpa tekniska experter att öka sina funktioner. Dessa resurser omfattar:

3. Process: Tilldela ansvar för molnsäkerhetsbeslut

Säkerhetsbeslut kommer inte att fattas om ingen är ansvarig för att göra dem.

Vad?

Välj vem som ansvarar för att fatta varje typ av säkerhetsbeslut för företagsmiljön i Azure.

Varför?

Ett tydligt ägarskap för säkerhetsbeslut påskyndar molnimplementeringen och ökar säkerheten. Brist på ägarskap skapar vanligtvis friktion eftersom ingen känner sig bemyndigad att fatta beslut. Ingen vet vem som ska be om ett beslut och ingen är uppmuntrad att undersöka ett välinformerat beslut. Friktion hindrar ofta:

  • Verksamhetsmål
  • Tidslinjer för utvecklare
  • IT-mål
  • Säkerhetsgarantier

Friktionen kan resultera i:

  • Stoppade projekt som väntar på säkerhetsgodkännande
  • Osäkra distributioner som inte kunde vänta på säkerhetsgodkännande

Vem?

Säkerhetsledningen väljer vilka team eller individer som är ansvariga för att fatta säkerhetsbeslut om molnet.

Hur?

Välj grupper eller individer som ska ansvara för att fatta viktiga säkerhetsbeslut.

Dokumentera dessa ägare, deras kontaktuppgifter och socialisera informationen brett inom säkerhets-, IT- och molnteamen. Socialisering säkerställer att det är enkelt för alla roller att kontakta dem.

Dessa områden är vanligtvis där säkerhetsbeslut behövs. I följande tabell visas beslutskategori, kategoribeskrivning och vilka team som ofta fattar beslut.

Beslut Description Typiskt team
Nätverkssäkerhet Konfigurera och underhålla Azure Firewall, virtuella nätverksinstallationer och tillhörande routning, brandväggar för webbprogram (WAFs), NSG:er, ASG:er och så vidare. Infrastruktur- och slutpunktssäkerhetsteamet fokuserar på nätverkssäkerhet
Nätverkshantering Hantera allokering av virtuella nätverk och undernät i hela företaget. Befintligt nätverksdriftsteam i centrala IT-åtgärder
Säkerhet för serverslutpunkt Övervaka och åtgärda serversäkerhet, inklusive korrigering, konfiguration, slutpunktssäkerhet och så vidare. Centrala IT-drifts - och infrastruktur- och slutpunktssäkerhetsteam gemensamt
Incidentövervakning och incidenthantering Undersöka och åtgärda säkerhetsincidenter i SIEM eller källkonsolen, inklusive Microsoft Defender för molnet, Microsoft Entra ID Protection och så vidare. Säkerhetsåtgärdsteamet
Principhantering Ange riktning för användning av rollbaserad åtkomstkontroll i Azure (Azure RBAC), Defender för molnet, administratörsskyddsstrategi och Azure Policy för att styra Azure-resurser. Team för princip- och standard- och säkerhetsarkitektur tillsammans
Identitetssäkerhet och -standarder Ange riktning för Microsoft Entra-kataloger, PIM/pam-användning, multifaktorautentisering, konfiguration av lösenord/synkronisering, programidentitetsstandarder. Team för identitets- och nyckelhantering, principer och standarder samt säkerhetsarkitekturer gemensamt

Kommentar

  • Se till att beslutsfattarna har rätt utbildning inom sitt molnområde för att kunna följa med detta ansvar.
  • Se till att beslut dokumenteras i principer och standarder för att tillhandahålla en post och vägleda organisationen på lång sikt.

4. Process: Uppdatera incidenthanteringsprocesser för molnet

Planera. Du har inte tid att planera för en kris under en kris.

Vad?

Förbered dig för säkerhetsincidenter på din Azure-molnplattform. Den här förberedelsen innehåller alla interna verktyg för hotidentifiering som du har antagit. Uppdatera processer, förbereda ditt team och öva med simulerade attacker så att de kan arbeta som bäst under incidentundersökning, reparation och hotjakt.

Varför?

Aktiva angripare utgör en omedelbar risk för organisationen. Situationen kan snabbt bli svår att kontrollera. Svara snabbt och effektivt på attacker. Den här processen för incidenthantering (IR) måste vara effektiv för hela din egendom, inklusive alla molnplattformar som är värdar för företagsdata, system och konton.

Molnplattformar är på många sätt likartade, men de skiljer sig tekniskt från lokala system. Lokala system kan bryta befintliga processer, vanligtvis eftersom information är tillgänglig i ett annat format. Säkerhetsanalytiker kan ha problem med att snabbt svara på en obekant miljö som kan göra dem långsammare. Den här instruktionen gäller särskilt om de endast tränas på klassiska lokala arkitekturer och metoder för nätverks-/diskteknik.

Vem?

IR-processmodernisering leds vanligtvis av säkerhetsåtgärder. Arbetet kommer ofta med stöd från andra grupper för kunskap och expertis.

  • Sponsring: Säkerhetsåtgärdschefen eller motsvarande sponsorprocessmodernisering.

  • Körning: Att anpassa befintliga processer, eller skriva dem för första gången, är ett samarbete som omfattar:

    • Säkerhetsåtgärder: Incidenthanteringsteamet eller ledningen leder process- och integreringsuppdateringar till viktiga externa intressenter. Dessa team omfattar juridiska team och kommunikations- eller PR-team.
    • Säkerhetsåtgärder: Säkerhetsanalytiker tillhandahåller expertis om teknisk incidentundersökning och sortering.
    • Centrala IT-åtgärder: Det här teamet tillhandahåller expertis om molnplattform direkt, via cloud center of excellence eller via externa konsulter.

Hur?

Uppdatera processer och förbered ditt team så att de vet vad de ska göra när de hittar en aktiv angripare.

  • Processer och spelböcker: Anpassa befintliga undersökningar, reparations- och hotjaktsprocesser till skillnaderna i hur molnplattformar fungerar. Skillnaderna omfattar nya eller olika verktyg, datakällor, identitetsprotokoll och så vidare.
  • Utbildning: Utbilda analytiker om den övergripande molnomvandlingen, teknisk information om hur plattformen fungerar och nya eller uppdaterade processer. Den här informationen låter dem veta vad som kan ändras och vart de ska gå för vad de behöver.
  • Viktiga fokusområden: Även om det finns många detaljer som beskrivs i resurslänkarna kan du fokusera på dina utbildnings- och planeringsinsatser:
    • Modell för delat ansvar och molnarkitekturer: För en säkerhetsanalytiker är Azure ett programvarudefinierat datacenter som tillhandahåller många tjänster. Dessa tjänster omfattar virtuella datorer och andra som skiljer sig från lokala, till exempel Azure SQL Database Azure Functions. De bästa data finns i tjänstloggarna eller de specialiserade tjänsterna för hotidentifiering. Det finns inte i loggar för underliggande operativsystem/virtuella datorer, som drivs av Microsoft och betjänar flera kunder. Analytiker måste förstå och integrera den här kontexten i sina dagliga arbetsflöden. På så sätt vet de vilka data de kan förvänta sig, var de ska hämta dem och vilket format de finns i.
    • Slutpunktsdatakällor: Att få insikter och data för attacker och skadlig kod på molnbaserade servrar är ofta snabbare, enklare och mer exakt med inbyggda verktyg för molnidentifiering. Verktyg som Microsoft Defender för molnet- och identifiering och åtgärd på slutpunkt-lösningar (Identifiering och åtgärd på slutpunkt) ger mer exakta data än traditionella metoder för direkt diskåtkomst. Direktdisktekniker är tillgängliga för scenarier där det är möjligt och krävs för rättsliga förfaranden. Mer information finns i Datatekniska uppgifter i Azure. Men ofta är den här metoden det mest ineffektiva sättet att identifiera och undersöka attacker.
    • Nätverks- och identitetsdatakällor: Många funktioner på molnplattformar använder främst identitet för åtkomstkontroll. Den här åtkomstkontrollen omfattar åtkomst till Azure-portalen, men även nätverksåtkomstkontroller används i stor utsträckning. Den här åtkomstkontrollen kräver att analytiker utvecklar en förståelse för molnidentitetsprotokoll för att få en fullständig, omfattande bild av angriparens aktivitet och legitima användaraktivitet för att stödja incidentundersökning och reparation. Identitetskataloger och protokoll skiljer sig från lokala. De baseras vanligtvis på SAML-, OAuth- och OpenID-Anslut- och molnkataloger i stället för LDAP, Kerberos, NTLM och Active Directory.
    • Övningsövningar: Simulerad attack och svar kan hjälpa till att bygga upp organisationens muskelminne och tekniska beredskap. De förbereder dina säkerhetsanalytiker, hotjägare, incidenthanterare och andra intressenter i din organisation. Att lära sig om jobbet och anpassa sig är en naturlig del av incidenthanteringen, men du kan arbeta för att minimera hur mycket du måste lära dig i en kris.

Viktiga resurser

Mer information finns i Incidenthanteringsprocessen för Azure Security Benchmark för Azure.

5. Process: Upprätta hantering av säkerhetsstatus

Börja med att känna dig själv.

Vad?

Se till att du aktivt hanterar säkerhetsstatusen för din Azure-miljö genom att:

  • Tilldela ett tydligt ansvarstagande till:
    • Övervaka säkerhetsstatus
    • Minimera risker för tillgångar
  • Automatisera och förenkla dessa uppgifter

Varför?

Att snabbt identifiera och åtgärda vanliga säkerhetshygienrisker minskar avsevärt organisationens risk.

Molndatacentrets programvarudefinierade karaktär möjliggör kontinuerlig övervakning av säkerhetsrisker, till exempel sårbarheter i programvara eller felkonfigurationer av säkerhet, med omfattande tillgångsinstrumentation. Den hastighet med vilken utvecklare och IT-team kan distribuera virtuella datorer, databaser och andra resurser skapar ett behov av att se till att resurserna konfigureras på ett säkert och aktivt sätt.

Dessa nya funktioner erbjuder nya möjligheter, men för att kunna förverkliga värdet från dem måste du tilldela ansvar för att använda dem. Att köra konsekvent med snabbt föränderliga molnåtgärder kräver att mänskliga processer hålls så enkla och automatiserade som möjligt. Se säkerhetsprincipen "kör enkelhet".

Kommentar

Målet med förenkling och automatisering handlar inte om att bli av med jobb, utan om att ta bort bördan av repetitiva uppgifter från människor så att de kan fokusera på mänskliga aktiviteter med högre värde som att engagera sig i och utbilda IT- och DevOps-team.

Vem?

Den här metoden är vanligtvis uppdelad i två ansvarsuppsättningar:

  • Hantering av säkerhetsstatus: Den här funktionen är ofta en utveckling av befintliga hantering av säkerhetsrisker- eller styrningsfunktioner. Resultatet omfattar övervakning av övergripande säkerhetsstatus med hjälp av Microsoft Defender för molnet säkerhetspoäng och andra datakällor. Det omfattar att aktivt arbeta med resursägare för att minimera risker och rapportera risker till säkerhetsledarskapet.

  • Säkerhetsreparation: Tilldela ansvar för att hantera dessa risker till de team som ansvarar för att hantera dessa resurser. Den här ansvarsskyldigheten tillhör antingen DevOps-teamen som hanterar sina egna programresurser eller de teknikspecifika teamen i centrala IT-åtgärder:

    • Beräknings- och programresurser
      • Apptjänster: Programutvecklings- och säkerhetsteam
      • Containrar: Programutveckling eller infrastruktur/IT-åtgärder
      • Virtuella datorer, skalningsuppsättningar, beräkning: IT/infrastrukturåtgärder
    • Data- och lagringsresurser
      • SQL, Redis, Data Lake Analytics, data lake store: Databasteam
      • Lagringskonton: Lagrings- och infrastrukturteamet
    • Identitets- och åtkomstresurser
      • Prenumerationer: Identitetsteam
      • Nyckelvalv: Identitets- eller informations-/datasäkerhetsteam
    • Nätverksresurser: Nätverkssäkerhetsteam
    • IoT-säkerhet: IoT-driftsteam

Hur?

Säkerhet är allas jobb. Alla vet dock inte hur viktigt det är, vad de ska göra och hur de ska göra det.

  • Håll resursägare ansvariga för säkerhetsrisken precis som de hålls ansvariga för tillgänglighet, prestanda, kostnad och andra framgångsfaktorer.
  • Ge resursägare en tydlig förståelse för varför säkerhetsrisker är viktiga för deras tillgångar, vad de kan göra för att minska riskerna och hur de implementerar dem med minimal produktivitetsförlust.

Viktigt!

Förklaringarna till varför, vad och hur du skyddar resurser liknar ofta olika resurstyper och program, men det är viktigt att relatera dessa till vad varje team redan känner till och bryr sig om. Säkerhetsteam kan interagera med sina IT- och DevOps-motsvarigheter som betrodd rådgivare och partner med fokus på att göra det möjligt för dessa team att lyckas.

Verktyg: Säker poäng i Microsoft Defender för molnet ger en utvärdering av den viktigaste säkerhetsinformationen i Azure för en mängd olika tillgångar. Den här utvärderingen kan vara utgångspunkten för hållningshantering och kan kompletteras med anpassade Azure-principer och andra mekanismer efter behov.

Frekvens: Konfigurera en regelbunden takt, vanligtvis varje månad, för att granska Azures säkerhetspoäng och planera initiativ med specifika förbättringsmål. Frekvensen kan ökas efter behov.

Dricks

Gamify aktiviteten om möjligt för att öka engagemanget, till exempel att skapa roliga tävlingar och priser för DevOps-teamen som förbättrar sina poäng mest.

Mer information finns i Azure Security Benchmark-strategin för hantering av säkerhetsstatus.

6. Teknik: Kräv lösenordsfri eller multifaktorautentisering

Är du villig att satsa på säkerheten för ditt företag som professionella angripare inte kan gissa eller stjäla administratörens lösenord?

Vad?

Kräv att alla administratörer med kritisk påverkan använder lösenordslös eller multifaktorautentisering.

Varför?

Precis som antika skelettnycklar inte skyddar ett hus mot en modern inbrottstjuv, kan lösenord inte skydda konton mot vanliga attacker. Teknisk information finns i Din pa$$word spelar ingen roll.

Multifaktorautentisering var en gång ett betungande extra steg. Lösenordslösa metoder förbättrar idag hur användare loggar in med biometriska metoder som ansiktsigenkänning i Windows Hello och mobila enheter. Dessutom kommer inga förtroendemetoder ihåg betrodda enheter. Den här metoden minskar antalet frågor om irriterande åtgärder för multifaktorautentisering med out-of-band.This method reduces prompting for annoying out-of-band multifactor authentication actions. Mer information finns i användarinloggningsfrekvens.

Vem?

Initiativ för lösenord och multifaktorhantering leds vanligtvis av identitets- och nyckelhanterings - eller säkerhetsarkitektur.

Hur?

Implementera lösenordslös eller multifaktorautentisering. Utbilda administratörer om hur de använder det när de behöver det och kräva att administratörer följer med hjälp av en skriftlig princip. Använd en eller flera av dessa tekniker:

Kommentar

Textmeddelandebaserad multifaktorautentisering är nu relativt billig för angripare att kringgå, så fokusera på lösenordslös och starkare multifaktorautentisering.

Mer information finns i De starka autentiseringskontrollerna för Azure Security Benchmark för all Microsoft Entra ID-baserad åtkomst.

7. Teknik: Integrera inbyggd brandvägg och nätverkssäkerhet

Förenkla skyddet av system och data mot nätverksattacker.

Vad?

Förenkla din strategi och underhåll av nätverkssäkerhet genom att integrera Azure Firewall, Azure Web App Firewall (WAF) och DDoS-åtgärder (Distributed Denial of Service) i din nätverkssäkerhetsmetod.

Varför?

Enkelhet är viktigt för säkerheten eftersom det minskar risken för förvirring, felkonfigurationer och andra mänskliga fel. Se säkerhetsprincipen "kör enkelhet".

Brandväggar och WAF:er är viktiga grundläggande säkerhetskontroller för att skydda program från skadlig trafik, men deras konfiguration och underhåll kan vara komplexa och förbruka en betydande del av säkerhetsteamets tid och uppmärksamhet (ungefär som att lägga till anpassade eftermarknadsdelar i en bil). Azures inbyggda funktioner kan förenkla implementeringen och driften av brandväggar, brandväggar för webbprogram, DDoS-åtgärder (Distribuerad överbelastning) med mera.

Den här metoden kan frigöra teamets tid och uppmärksamhet för säkerhetsuppgifter med högre värde, till exempel:

  • Utvärdera säkerheten för Azure-tjänster
  • Automatisera säkerhetsåtgärder
  • Integrera säkerhet med program och IT-lösningar

Vem?

  • Sponsring: Säkerhetsledarskap eller IT-ledarskap sponsrar vanligtvis uppdateringen av nätverkssäkerhetsstrategin.
  • Körning: Integrering av strategier i din molnnätverkssäkerhetsstrategi är ett samarbete som omfattar:
    • Säkerhetsarkitektur: Upprätta molnnätverkssäkerhetsarkitektur med molnnätverks- och molnnätverkssäkerhetsleament.
    • Molnnätverk leder centrala IT-åtgärder och Cloud Network Security leder infrastruktursäkerhetsteamet
      • Upprätta en molnnätverkssäkerhetsarkitektur med säkerhetsarkitekter.
      • Konfigurera brandväggs-, NSG- och WAF-funktioner och arbeta med programarkitekter på WAF-regler.
    • Programarkitekter: Arbeta med nätverkssäkerhet för att skapa och förfina WAF-regeluppsättningar och DDoS-konfigurationer för att skydda programmet utan att störa tillgängligheten

Hur?

Organisationer som vill förenkla sina åtgärder har två alternativ:

  • Utöka befintliga funktioner och arkitekturer: Många organisationer väljer ofta att utöka användningen av befintliga brandväggsfunktioner så att de kan dra nytta av befintliga investeringar i kompetens- och processintegrering, särskilt när de först använder molnet.
  • Använd interna säkerhetskontroller: Fler organisationer börjar föredra att använda interna kontroller för att undvika komplexiteten i integreringen av funktioner från tredje part. Dessa organisationer försöker vanligtvis undvika risken för en felkonfiguration vid belastningsutjämning, användardefinierade vägar, själva brandväggen eller WAF och fördröjningar i överlämningar mellan olika tekniska team. Det här alternativet är övertygande för organisationer som använder infrastruktur som kodmetoder eftersom de kan automatisera och instrumentera de inbyggda funktionerna enklare än funktioner från tredje part.

Dokumentation om azure-inbyggda nätverkssäkerhetsfunktioner finns på:

Azure Marketplace innehåller många brandväggsleverantörer från tredje part.

Mer information finns i Azure Security Benchmark DDOS-skydd och brandväggsskydd för webbprogram.

8. Teknik: Integrera inbyggd hotidentifiering

Förenkla identifiering och svar av attacker mot Azure-system och -data.

Vad?

Förenkla hotidentifierings- och svarsstrategin genom att införliva inbyggda funktioner för hotidentifiering i dina säkerhetsåtgärder och SIEM.

Varför?

Syftet med säkerhetsåtgärder är att minska effekten av aktiva angripare som får åtkomst till miljön. Effekten mäts med genomsnittlig tid för att bekräfta (MTTA) och åtgärda (MTTR) incidenter. Den här metoden kräver både noggrannhet och hastighet i alla element i incidenthantering. Resultatet hjälper till att säkerställa kvaliteten på verktygen och effektiviteten i processkörningen är av största vikt.

Det är svårt att få identifiering av höga hot med hjälp av befintliga verktyg och metoder. Verktygen och metoderna är utformade för lokal hotidentifiering på grund av skillnader i molnteknik och dess snabba förändringstakt. Inbyggda integrerade identifieringar tillhandahåller lösningar i industriell skala som underhålls av molnleverantörer som kan hålla jämna steg med aktuella hot och ändringar i molnplattformen.

Med de här inbyggda lösningarna kan säkerhetsteam fokusera på incidentundersökning och reparation. Fokusera på dessa objekt i stället för att slösa tid genom att skapa aviseringar från okända loggdata, integrera verktyg och underhållsaktiviteter.

Vem?

Drivs vanligtvis av säkerhetsåtgärdsteamet.

  • Sponsring: Det här arbetet sponsras vanligtvis av säkerhetsåtgärdschefen eller motsvarande roll.
  • Körning: Integrering av intern hotidentifiering är ett samarbete mellan dessa lösningar med:
    • Säkerhetsåtgärder: Integrera aviseringar i SIEM- och incidentundersökningsprocesser. Säkerhetsåtgärder kan utbilda analytiker om molnaviseringar och vad de betyder och hur de ska använda de interna molnverktygen.
    • Incidentförberedelse: Integrera molnincidenter i övningsövningar och se till att övningsövningar utförs för att öka teamets beredskap.
    • Hotinformation: Undersöka och integrera information om molnattacker för att informera team med kontext och intelligens.
    • Säkerhetsarkitektur: Integrera inbyggda verktyg i dokumentationen för säkerhetsarkitektur.
    • Princip och standarder: Ange standarder och principer för att aktivera inbyggda verktyg i hela organisationen. Övervaka efterlevnad.
    • Infrastruktur och slutpunkt och centrala IT-åtgärder: Konfigurera och aktivera identifieringar, integrera i automatisering och infrastruktur som kodlösningar.

Hur?

Aktivera hotidentifiering i Microsoft Defender för molnet för alla resurser som du använder och låt varje team integrera dessa resurser i sina processer enligt beskrivningen ovan.

Mer information finns i Hotidentifiering av Azure Security Benchmark för Azure-resurser.

9. Arkitektur: Standardisera på en enda katalog och identitet

Ingen vill hantera flera identiteter och kataloger.

Vad?

Standardisera på en enda Microsoft Entra-katalog. Du kan standardisera en enskild identitet för varje program och användare i Azure.

Kommentar

Den här bästa metoden avser specifikt företagsresurser. För partnerkonton använder du Microsoft Entra B2B så att du inte behöver skapa och underhålla konton i din katalog. För kund- eller medborgarkonton använder du Azure AD B2C för att hantera dem.

Varför?

Flera konton och identitetskataloger skapar onödig friktion, vilket skapar förvirring i dagliga arbetsflöden för:

  • Produktivitetsanvändare
  • Utvecklare
  • IT- och identitetsadministratörer
  • Säkerhetsanalytiker
  • Andra roller

Att hantera flera konton och kataloger skapar ett incitament för dåliga säkerhetsrutiner. Dessa metoder omfattar saker som återanvändning av lösenord mellan konton. Det ökar sannolikheten för inaktuella eller övergivna konton som angripare kan rikta in sig på.

Även om det ibland verkar enklare att snabbt skapa en anpassad LDAP-katalog för ett visst program eller en viss arbetsbelastning, skapar den här åtgärden mycket mer arbete för att integrera och hantera. Det här arbetet liknar att välja att konfigurera ytterligare en Azure-klientorganisation eller lokal Active Directory skog i stället för att använda den befintliga företagsklientorganisationen. Mer information finns i säkerhetsprincipen för att köra enkelhet.

Vem?

Att standardisera på en enda Microsoft Entra-katalog är ofta en gruppöverskridande insats. Arbetet drivs av säkerhetsarkitektur , identitets- och nyckelhanteringsteam .

Hur?

Anta ett pragmatiskt tillvägagångssätt som börjar med nya greenfield-funktioner. Rensa sedan utmaningar med brownfield för befintliga program och tjänster som en uppföljningsövning:

  • Greenfield: Upprätta och implementera en tydlig princip för att alla företagsidentiteter kan använda en enda Microsoft Entra-katalog med ett enda konto för varje användare.

  • Brownfield: Många organisationer har ofta flera äldre kataloger och identitetssystem. Åtgärda dessa äldre objekt när kostnaden för löpande hanteringsfriktion överskrider investeringen för att rensa upp den. Lösningar för identitetshantering och synkronisering kan minska vissa av dessa problem, men de saknar djupgående integrering av säkerhets- och produktivitetsfunktioner. De här funktionerna ger en smidig upplevelse för användare, administratörer och utvecklare.

Den perfekta tiden för att kombinera din identitetsanvändning är under programutvecklingscyklerna som du:

  • Modernisera program för molnet.
  • Uppdatera molnprogram med DevOps-processer.

Det finns giltiga orsaker till en separat katalog för oberoende affärsenheter eller regelkrav, men undvik flera kataloger under alla andra omständigheter.

Mer information finns i Azure Security Benchmark Microsoft Entra central identitets- och autentiseringssystem.

Viktigt!

Det enda undantaget från regeln för enskilda konton är att privilegierade användare, inklusive IT-administratörer och säkerhetsanalytiker, kan ha separata konton för standardanvändaruppgifter jämfört med administrativa uppgifter.

Mer information finns i Privilegierad åtkomst i Azure Security Benchmark.

10. Arkitektur: Använd identitetsbaserad åtkomstkontroll i stället för nycklar

Vad?

Använd Microsoft Entra-identiteter i stället för nyckelbaserad autentisering där det är möjligt. Till exempel Azure-tjänster, program, API:er.

Varför?

Nyckelbaserad autentisering kan användas för att autentisera till molntjänster och API:er. Men det kräver att du hanterar nycklar på ett säkert sätt, vilket är svårt att göra bra, särskilt i stor skala. Säker nyckelhantering är svårt för icke-säkerhetspersonal som utvecklare och infrastrukturpersonal och de misslyckas ofta med att göra det på ett säkert sätt, vilket ofta skapar stora säkerhetsrisker för organisationen.

Identitetsbaserad autentisering övervinner många av dessa utmaningar med mogna funktioner. Funktionerna omfattar hemlig rotation, livscykelhantering, administrativ delegering med mera.

Vem?

Implementering av identitetsbaserad åtkomstkontroll är ofta en insats mellan team. Arbetet drivs av säkerhetsarkitektur , identitets- och nyckelhanteringsteam .

Hur?

Att ange en organisationspreferens och vana för att använda identitetsbaserad autentisering kräver att du följer en process och aktiverar teknik.

Processen

  1. Upprätta principer och standarder som tydligt beskriver standardidentitetsbaserad autentisering och godkända undantag.
  2. Utbilda utvecklare och infrastrukturteam om varför de ska använda den nya metoden, vad de behöver göra och hur de gör det.
  3. Implementera ändringar på ett pragmatiskt sätt genom att börja med nya greenfield-funktioner som antas nu och i framtiden, till exempel nya Azure-tjänster och nya program, och sedan följa upp med en rensning av befintliga brownfield-konfigurationer.
  4. Övervaka efterlevnad och följ upp med utvecklar- och infrastrukturteam för att åtgärda problemet.

Teknikerna

För icke-mänskliga konton, till exempel tjänster eller automatisering, använder du hanterade identiteter. Azure-hanterade identiteter kan autentiseras mot Azure-tjänster och resurser som stöder Microsoft Entra-autentisering. Autentisering aktiveras via fördefinierade regler för åtkomstbeviljande, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.

För tjänster som inte stöder hanterade identiteter använder du Microsoft Entra-ID för att skapa ett huvudnamn för tjänsten med begränsad behörighet på resursnivå i stället. Du bör konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återställning till klienthemligheter. I båda fallen kan Azure Key Vault användas med Hanterade Azure-identiteter, så att körningsmiljön, till exempel en Azure-funktion, kan hämta autentiseringsuppgifterna från nyckelvalvet.

Mer information finns i Azure Security Benchmark-programidentiteter.

11. Arkitektur: Upprätta en enda enhetlig säkerhetsstrategi

Alla måste ro i samma riktning för att båten ska gå framåt.

Vad?

Se till att alla team är anpassade till en enda strategi som både tillåter och skyddar företagssystem och data.

Varför?

När team arbetar isolerat utan att vara anpassade till en gemensam strategi kan deras enskilda åtgärder oavsiktligt försvaga varandras ansträngningar. Feljusteringen kan skapa onödig friktion som saktar ner utvecklingen mot allas mål.

Ett exempel på team som arbetar isolerat och som har spelat ut konsekvent i många organisationer är segmenteringen av tillgångar:

  • Nätverkssäkerhet: Utvecklar en strategi för segmentering av ett platt nätverk. Strategin ökar säkerheten, ofta baserat på fysiska platser, tilldelade IP-adressadresser/intervall eller liknande objekt.
  • Identitetsteam: Utvecklar en strategi för grupper och Active Directory-organisationsenheter baserat på deras förståelse och kunskap om organisationen.
  • Programteam: Det är svårt att arbeta med dessa system. Det är svårt eftersom de har utformats med begränsad input och förståelse för verksamhet, mål och risker.

I organisationer där den här begränsningen inträffar upplever team ofta konflikter om brandväggsfel. Konflikterna kan påverka säkerheten negativt eftersom team godkänner undantag. Produktiviteten påverkar säkerheten negativt eftersom distributionen minskar för de programfunktioner som verksamheten behöver.

Även om säkerhet kan skapa felfri friktion genom att tvinga fram kritiskt tänkande, skapar den här konflikten bara ohälsosam friktion som hindrar mål. Mer information finns i vägledning för säkerhetsstrategi.

Vem?

  • Sponsring: Den enhetliga strategin samordnas vanligtvis av CIO, CISO och CTO. Sponsringen kommer ofta med företagsledarstöd för vissa högnivåelement och förespråkas av representanter från varje team.
  • Körning: Säkerhetsstrategin måste implementeras av alla. Den integrerar data från olika team för att öka ägarskapet, inköpet och sannolikheten för framgång.
    • Säkerhetsarkitektur: Det här teamet leder arbetet med att skapa en säkerhetsstrategi och resulterande arkitektur. Säkerhetsarkitekturen samlar aktivt in feedback från team och dokumenterar den i presentationer, dokument och diagram för de olika målgrupperna.
    • Princip och standarder: Det här teamet samlar in lämpliga element i standarder och principer och övervakar sedan efterlevnaden.
    • Alla tekniska IT- och säkerhetsteam: Dessa team tillhandahåller indatakrav och anpassar sig sedan till och implementerar företagsstrategin.
    • Programägare och utvecklare: Dessa team läser och förstår strategidokumentationen som gäller för dem. Helst skräddarsyr de vägledning efter sin roll.

Hur?

Skapa och implementera en säkerhetsstrategi för molnet som innehåller indata och aktivt deltagande från alla team. Även om processdokumentationens format kan variera innehåller det alltid:

  • Aktiva indata från team: Strategier misslyckas vanligtvis om personer i organisationen inte köper in sig i dem. Vi rekommenderar att du får alla team i samma rum för att samarbeta för att bygga strategin. I de workshops vi genomför med kunder finner vi ofta att organisationer har varit verksamma i de facto silor och dessa möten resulterar ofta i att människor träffar varandra för första gången. Vi tycker att inkludering är ett krav. Om vissa team inte är inbjudna måste det här mötet vanligtvis upprepas tills alla deltagare ansluter sig till det. Om de inte ansluter går projektet inte framåt.
  • Dokumenterat och kommunicerat tydligt: Alla team måste vara medvetna om säkerhetsstrategin. Helst är säkerhetsstrategin en säkerhetskomponent i den övergripande teknikstrategin. Den här strategin omfattar varför du kan integrera säkerhet, vad som är viktigt i säkerheten och hur säkerhetsframgångar ser ut. Den här strategin innehåller specifik vägledning för program- och utvecklingsteam så att de kan få tydlig, organiserad vägledning utan att behöva läsa igenom icke-relevant information.
  • Stabil, men flexibel: Håll strategierna relativt konsekventa och stabila, men arkitekturerna och dokumentationen kan behöva öka tydligheten och anpassa molnets dynamiska karaktär. Till exempel skulle filtrering av skadlig extern trafik vara konsekvent som ett strategiskt imperativ även om du övergår från användning av en nästa generations brandvägg från tredje part till Azure Firewall och justerar diagram och vägledning om hur du gör det.
  • Börja med segmentering: Det finns strategiproblem både stora och små att åtgärda, men du måste börja någonstans. Starta säkerhetsstrategin med segmentering av företagstillgång. Den här segmenteringen är ett grundläggande beslut som skulle vara svårt att ändra senare och kräver både affärsinmatning och många tekniska team.

Microsoft har publicerat videovägledning för att tillämpa en segmenteringsstrategi på Azure. Det finns dokument publicerade om företagssegmentering och anpassning av nätverkssäkerhet till den.

Cloud Adoption Framework innehåller vägledning som hjälper dina team med:

Mer information finns i styrningsstrategin för Azure Security Benchmark.