Zarządzanie zasobami

Zarządzanie zasobami umożliwia organizacjom utrzymanie kompleksowego wglądu i zarządzania infrastrukturą chmury poprzez ciągłe odkrywanie zasobów, egzekwowanie zatwierdzania usług i bezpieczne mechanizmy kontroli cyklu życia. W przeciwieństwie do tradycyjnych okresowych inspekcji zasobów nowoczesne środowiska w chmurze wymagają śledzenia zasobów w czasie rzeczywistym, zautomatyzowanego odnajdywania w infrastrukturze hybrydowej i ładu opartego na zasadach w celu rozwiązania szybkiego aprowizowania zasobów, proliferacji IT w tle i dynamicznych wdrożeń wielochmurowych, które osoby atakujące wykorzystują niemonitorowane zasoby i nieautoryzowane usługi. Organizacje wdrażające niezawodne funkcje zarządzania zasobami zachowują dokładną widoczność zabezpieczeń i wymuszają zatwierdzone konfiguracje, podczas gdy te zaniedbujące te mechanizmy kontroli napotykają nieznane narażenie na ataki, proliferację IT w tle i nieskuteczną reakcję na zdarzenia.

Poniżej przedstawiono trzy podstawowe filary domeny zabezpieczeń zarządzania zasobami.

Spis zasobów i widoczność: Zachowaj kompleksowy, stale aktualizowany spis wszystkich zasobów w chmurze w środowiskach hybrydowych i wielochmurowych przy użyciu narzędzi automatycznego odnajdywania. Wdrażaj systematyczne strategie tagowania i śledź zagrożenia zasobów, stan zabezpieczeń i zgodność z konfiguracją, zapewniając organizacjom zabezpieczeń wgląd w potencjalne narażenie na zagrożenia w chmurze, lokalnie i infrastrukturze brzegowej.

Powiązane kontrolki:

AM-1: Monitorowanie inwentarza zasobów i ich ryzyka

Zatwierdzanie usługi i kontrola aplikacji: Wymuszanie zatwierdzonych usług i aplikacji za pomocą kontrolek opartych na zasadach, adaptacyjnych mechanizmów kontroli aplikacji i śledzenia zmian. Zapobiegaj nieautoryzowanej aprowizacji usług i wykonywania oprogramowania przy zachowaniu elastyczności operacyjnej dla zatwierdzonych wymagań biznesowych.

Powiązane kontrolki:

AM-2: Używanie tylko zatwierdzonych usług
AM-5: Używaj tylko zatwierdzonych aplikacji na maszynie wirtualnej

Cykl życia zasobów i zarządzanie dostępem: Zaimplementuj bezpieczne zarządzanie cyklem życia zasobów od aprowizacji do likwidacji z odpowiednimi kontrolami dostępu i zarządzania, używając kontroli dostępu opartej na rolach, zasad dostępu warunkowego i mechanizmów ochrony zasobów, które ograniczają możliwości zarządzania zasobami i uniemożliwiają nieautoryzowane modyfikacje.

Powiązane kontrolki:

AM-3: Zapewnianie bezpieczeństwa zarządzania cyklem życia zasobów
AM-4: Ograniczanie dostępu do zarządzania zasobami

AM-1: Śledzenie spisu zasobów i ich ryzyka

Zasada zabezpieczeń

Zachowaj kompleksowy, stale aktualizowany spis wszystkich zasobów przy użyciu funkcji automatycznego odnajdywania i klasyfikacji. Upewnij się, że organizacje zabezpieczeń mają wgląd w konfiguracje zasobów w czasie rzeczywistym, stan ryzyka i krytyczność biznesową we wszystkich środowiskach w celu zapewnienia efektywnego wykrywania zagrożeń, reagowania na zdarzenia i weryfikacji zgodności.

Ryzyko w celu ograniczenia ryzyka

Organizacje działające bez kompleksowego spisu zasobów i ciągłe monitorowanie ryzyka napotykają krytyczne punkty zabezpieczeń, które uniemożliwiają skuteczne wykrywanie zagrożeń, reagowanie na zdarzenia i zarządzanie stanem zabezpieczeń. Bez systematycznego śledzenia zasobów:

Nieznana ekspozycja na powierzchnię ataku: Zespoły ds. zabezpieczeń nie mogą chronić zasobów, o których istnieniu nie wiedzą, co umożliwia atakującym wykorzystanie niemonitorowanych zasobów i ustanowienie trwałego dostępu za pośrednictwem infrastruktury cienistej IT.
Niepełne pokrycie zabezpieczeń: Nie można stosować zasad zabezpieczeń, monitorowania i zgodności do nieodkrytych zasobów, tworząc luki w możliwościach ochrony i wykrywania.
Nieskuteczna priorytetyzacja reagowania na zdarzenia: Brak klasyfikacji krytycznej zasobów i oceny wpływu na działalność biznesową zapobiega określaniu priorytetów zdarzeń, co prowadzi do nieprawidłowego przydzielenia zasobów i opóźnionego reagowania na krytyczne zagrożenia.
Błędy zgodności i inspekcji: Struktury regulacyjne wymagają kompleksowych spisów zasobów na potrzeby mechanizmów kontroli zabezpieczeń, zarządzania zmianami i braku dokładnego spisu w celu weryfikacji ochrony danych, co powoduje naruszenie zgodności i inspekcje zakończone niepowodzeniem.
Nieaktualna ocena ryzyka zabezpieczeń: Organizacje zabezpieczeń nie mogą oceniać narażenia na pojawiające się zagrożenia bez ciągłego aktualizowania spisu zasobów, w tym szczegółów konfiguracji, wersji oprogramowania i stanu luk w zabezpieczeniach.
Odpady zasobów i porzucone aktywa: Organizacje płacą za opuszczone zasoby, środowiska programistyczne i systemy testowe, które nie zapewniają żadnej wartości biznesowej, jednocześnie zwiększając powierzchnię ataku i koszty operacyjne.

Nieodpowiednia widoczność zasobów podważa każdą kontrolę zabezpieczeń, uniemożliwiając dokładne zrozumienie tego, co musi być chronione.

MITRE ATT&CK

Dostęp początkowy (TA0001): wykorzystanie aplikacji publicznej (T1190) przeznaczonej dla nieznanych lub niemonitorowanych zasobów dostępnych z Internetu, których zespoły ds. zabezpieczeń nie mogły odnaleźć podczas procesów spisu zasobów.
Trwałość (TA0003): utworzenie konta (T1136) ustanawiającego trwały dostęp do nieautoryzowanych zasobów IT i niemonitorowanych subskrypcji, poza scentralizowaną kontrolą i zarządzaniem zabezpieczeniami.
Omijanie zabezpieczeń (TA0005): nieużywane/nieobsługiwane regiony chmury (T1535) wdrażające złośliwą infrastrukturę w regionach chmury, które nie są uwzględnione w inwentarzu zasobów ani objęte monitorowaniem bezpieczeństwa.

AM-1.1: Implementowanie kompleksowego spisu zasobów i odnajdywania

Dokładne i kompleksowe spisy zasobów stanowią podstawę skutecznych operacji zabezpieczeń, umożliwiając wykrywanie zagrożeń, reagowanie na zdarzenia, raportowanie zgodności i zarządzanie ryzykiem w środowiskach chmury. Bez pełnej widoczności zespoły ds. zabezpieczeń nie mogą chronić zasobów, o których nie wiedzą, pozostawiając martwe miejsca, które przeciwnicy mogą wykorzystać. Funkcje automatycznego odnajdywania i klasyfikacji zapewniają aktualność spisu w miarę skalowania i rozwoju infrastruktury, eliminując ręczne śledzenie, które staje się nieaktualne w ciągu kilku dni.

Wdróż Azure Resource Graph oraz Microsoft Defender for Cloud jako spis zasobów, aby utrzymać kompleksowy, stale aktualizowany wykaz wszystkich zasobów platformy Azure z wykorzystaniem zautomatyzowanych funkcji odnajdywania i klasyfikacji.

Możliwości zapytań usługi Azure Resource Graph:

Odnajdywanie zasobów między subskrypcjami: Wykonywanie zapytań dotyczących wszystkich zasobów w wielu subskrypcjach i grupach zarządzania przy użyciu języka Kusto Query Language (KQL) agregując pełny spis zasobów na potrzeby operacji zabezpieczeń i reagowania na zdarzenia.
Zapytania o krytycznym znaczeniu zasobów: Wykonywanie zapytań dotyczących zasobów według tagów krytycznych dla działania firmy identyfikujących zasoby krytyczne i o wysokim priorytecie wymagające rozszerzonego monitorowania zabezpieczeń i szybszej priorytetyzacji reagowania na zdarzenia.
Zapytania wykrywania Shadow IT: Zidentyfikuj zasoby bez wymaganych oznaczeń własności, centrum kosztów lub zgodności, które wskazują niezatwierdzone aprowizowanie i omijają procesy przeglądu zabezpieczeń oraz zarządzania.
Identyfikacja osieroconych zasobów: Zapytaj o nieprzyłączone dyski, nieużywane publiczne adresy IP, nieaktywne maszyny wirtualne i porzucone konta magazynu, które zużywają budżet bez wartości biznesowej, do likwidacji.
Historia zmian i śledzenie audytu: Śledzenie tworzenia, modyfikacji i usuwania zasobów, utrzymując historyczną inwentaryzację zasobów w celu identyfikacji nieautoryzowanych zmian i dryfu konfiguracji na potrzeby raportowania zgodności.
Zapytania dotyczące stanu zgodności i zasad: Zapytanie o stan zgodności zasad w różnych subskrypcjach, identyfikujące niezgodne zasoby wymagające działań naprawczych, pogrupowane według struktury regulacyjnej lub bazowego poziomu zabezpieczeń.

Spis zasobów usługi Microsoft Defender for Cloud:

Widoczność stanu zabezpieczeń: Kompleksowy spis zasobów z zaleceniami dotyczącymi zabezpieczeń, ocenami luk w zabezpieczeniach i stanem zgodności zintegrowanym ze scentralizowanym pulpitem nawigacyjnym.
Monitorowanie kondycji zasobów: Monitorowanie stanu kondycji zasobu, alertów zabezpieczeń i wykrywania dryfu konfiguracji w czasie rzeczywistym za pomocą automatycznego odświeżania i aktualizacji.
Pokrycie planu usługi Defender: Śledzenie zasobów chronionych przez określone plany usługi Defender, w tym usługi Defender dla serwerów, magazynu, kontenerów i baz danych.
Mapowanie zgodności z przepisami: Spis zasobów jest automatycznie mapowany na struktury zgodności z przepisami, w tym PCI-DSS, HIPAA i ISO 27001 pokazujące pokrycie i luki.
Integracja z przepływami pracy zabezpieczeń: Eksportowanie danych spisu zasobów do usług Microsoft Sentinel, Logic Apps i zewnętrznych platform SIEM na potrzeby automatyzacji zabezpieczeń i korelacji.

AM-1.2: Rozszerzanie spisu na środowiska hybrydowe i wielochmurowe

Środowiska hybrydowe i wielochmurowe fragmentuje widoczność zasobów w konsolach zarządzania i narzędziach zabezpieczeń, tworząc martwe miejsca, w których niezarządzane zasoby zawierają luki w zabezpieczeniach i naruszenia zasad. Projektowanie rozproszonej infrastruktury w ujednoliconą płaszczyznę sterowania umożliwia spójne zarządzanie, monitorowanie zabezpieczeń i raportowanie zgodności niezależnie od lokalizacji hostingu. To ujednolicone podejście eliminuje złożoność operacyjną i luki w zabezpieczeniach związane z zarządzaniem oddzielnymi spisami dla każdego środowiska.

Ujednolicenie spisu zasobów hybrydowych i wielochmurowych za pomocą następujących funkcji:

Wdróż usługę Azure Arc, aby odwzorować zasoby lokalne, brzegowe i wielochmurowe w Azure Resource Manager, co umożliwia zintegrowane inwentaryzowanie zasobów, zarządzanie polityką i zabezpieczeniami w środowiskach hybrydowych.

Odkrywanie zasobów obsługiwanych przez Azure Arc:

Serwery z obsługą usługi Azure Arc: Dołączanie fizycznych serwerów i wirtualnych maszyn z systemami Windows i Linux hostowanych poza platformą Azure (lokalnie, na VMware, Hyper-V, AWS EC2, Google Compute Engine) do platformy Azure jako zasobów natywnych dla tej platformy (serwery z obsługą usługi Azure Arc).
Kubernetes obsługiwany przez Azure Arc: Łącz i zarządzaj klastrami Kubernetes działającymi wszędzie, w tym lokalnie, w usługach AWS EKS, Google GKE, i u innych dostawców chmur z ujednoliconym zarządzaniem i wdrażaniem GitOps (Kubernetes obsługiwany przez Azure Arc).
Wystąpienie SQL zarządzane z obsługą Azure Arc: Zarządzanie wdrożeniami wystąpienia SQL z obsługą Azure Arc działającymi lokalnie lub w innych chmurach przy użyciu ujednoliconego spisu, zarządzania cyklem życia i ładu zabezpieczeń (wystąpienie SQL zarządzane z obsługą Azure Arc).
PostgreSQL z obsługą Azure Arc: Zarządzaj wdrożeniami PostgreSQL z obsługą Azure Arc działającymi lokalnie lub w innych chmurach za pomocą ujednoliconego spisu, zarządzania cyklem życia i ładu zabezpieczeń (PostgreSQL z obsługą Azure Arc).
VMware vSphere z obsługą usługi Azure Arc: Odkrywanie i zarządzanie maszynami wirtualnymi VMware za pośrednictwem platformy Azure, umożliwianie samoobsługowych operacji maszyn wirtualnych przy użyciu zarządzania i zasadami platformy Azure (VMware vSphere z obsługą usługi Azure Arc).
Łącznik Multicloud: Połącz konta AWS i Google Cloud z usługą Azure Arc, aby odkrywać wystąpienia EC2, zasobniki S3 i inne zasoby chmurowe, co pozwala na uzyskanie ujednoliconego spisu wielochmurowego (Łącznik Multicloud).

Ujednolicone zarządzanie zasobami hybrydowymi:

Integracja usługi Azure Resource Graph: Wykonywanie zapytań dotyczących zasobów z obsługą usługi Azure Arc wraz z natywnymi zasobami platformy Azure przy użyciu usługi Azure Resource Graph, zapewniając spis z jednym okienkiem we wszystkich środowiskach.
Spójne tagowanie w chmurach: Stosowanie tagów zasobów platformy Azure do serwerów i zasobów z obsługą usługi Arc niezależnie od lokalizacji hostingu umożliwiającej spójną klasyfikację i taksonomię organizacji.
Grupowanie zasobów hybrydowych: Organizowanie zasobów hybrydowych przy użyciu grup zarządzania, grup zasobów i subskrypcji stosujących hierarchię ładu do infrastruktury spoza platformy Azure.
Mapowanie zależności między chmurami: Wizualizowanie zależności między platformą Azure, środowiskiem lokalnym, platformą AWS i zasobami usługi Google Cloud identyfikującymi wymagania dotyczące łączności i kandydatami do migracji.
Scentralizowane raportowanie zasobów: Wygeneruj ujednolicone raporty spisu zasobów agregujące serwery natywne dla platformy Azure, serwery z obsługą usługi Arc, klastry Kubernetes i zasoby wielochmurowe w jednym pulpicie nawigacyjnym.

Zabezpieczenia i nadzór w usłudze Azure Arc:

Integracja z usługą Microsoft Defender for Cloud: Rozszerz ocenę stanu zabezpieczeń usługi Defender for Cloud, skanowanie luk w zabezpieczeniach i ochronę przed zagrożeniami na serwery z obsługą usługi Arc i klastry Kubernetes.
Wymuszanie usługi Azure Policy: Zastosuj usługę Azure Policy do zasobów hybrydowych i wielochmurowych zapewniających spójne punkty odniesienia zabezpieczeń, wymagania dotyczące zgodności i standardy konfiguracji we wszystkich środowiskach.
Integracja z usługą Azure Monitor: Zbieranie dzienników, metryk i danych wydajności z zasobów z obsługą usługi Arc do usług Azure Monitor i Log Analytics w celu ujednoliconego monitorowania i zgłaszania alertów.
Azure Update Manager: Scentralizowane zarządzanie poprawkami dla serwerów z systemem Windows i Linux z obsługą usługi Arc przy użyciu usługi Azure Update Manager zapewniającej spójne stosowanie poprawek zabezpieczeń w całej infrastrukturze hybrydowej.
Korelacja usługi Microsoft Sentinel: Przesyłanie strumieniowe zdarzeń zabezpieczeń z serwerów z obsługą usługi Arc do usługi Microsoft Sentinel korelujących sygnały zabezpieczeń infrastruktury hybrydowej z telemetrią zabezpieczeń platformy Azure natywną dla chmury.

Integracja odnajdywania punktów końcowych i migracji:

Integracja spisu urządzeń w usłudze Microsoft Intune:

Odnajdywanie zasobów punktu końcowego: Rozszerzanie spisu zasobów do zarządzanych przez firmę punktów końcowych, w tym urządzeń z systemami Windows, macOS, iOS i Android przy użyciu usługi Microsoft Intune , zapewniając ujednolicony wgląd w infrastrukturę chmury i urządzenia punktu końcowego.
Stan zgodności urządzenia: Śledzenie stanu zgodności urządzeń wraz ze spisem zasobów w chmurze identyfikujących niezgodne punkty końcowe wymagające korygowania przed udzieleniem dostępu do poufnych zasobów.
Integracja dostępu warunkowego: Korelowanie zgodności urządzeń usługi Intune z zasadami dostępu do zasobów platformy Azure, dzięki czemu tylko zgodne urządzenia zarządzane mogą uzyskiwać dostęp do interfejsów zarządzania zasobami i poufnych danych.
Spis sprzętu i oprogramowania: Zbierz specyfikacje sprzętowe, zainstalowane aplikacje i konfiguracje zabezpieczeń z zarządzanych punktów końcowych, które uzupełniają spis zasobów w chmurze, aby uzyskać kompleksową widoczność zasobów.

Integracja odkrywania Azure Migrate:

Ocena przed chmurą: Usługa Azure Migrate umożliwia odnajdywanie bez agentów lokalnych serwerów VMware, Hyper-V, serwerów fizycznych i maszyn wirtualnych AWS/GCP identyfikujących kandydatów i zależności migracji przed dołączaniem platformy Azure.
Mapowanie zależności: Wizualizowanie zależności aplikacji i wzorców łączności sieciowej w infrastrukturze lokalnej z informacją o planowaniu migracji i strategiach aprowizacji zasobów platformy Azure.
Wydajność i ustalanie rozmiaru danych: Zbieranie metryk wydajności i danych użycia z obciążeń lokalnych, które umożliwiają odpowiednie zalecenia dotyczące rozmiarów i optymalizację kosztów migracji platformy Azure.
Ocena gotowości do migracji: Ocena gotowości migracji, w tym kontroli zgodności, oszacowań kosztów i zagadnień dotyczących zabezpieczeń związanych z ustanawianiem spisu punktów odniesienia przed wdrożeniem chmury.

Strategia tagowania:

Implementowanie systematycznej strategii tagowania zasobów przy użyciu tagów zasobów platformy Azure w celu logicznego organizowania zasobów według kontekstu biznesowego, krytycznego, własności i wymagań dotyczących zgodności.

Struktura tagowania strategicznego:

Tagi krytyczne dla działania firmy: Klasyfikacja zasobów według poziomów wpływu na działalność biznesową (krytyczne, wysokie, średnie, niskie) umożliwiające określanie priorytetów zabezpieczeń opartych na ryzyku i reagowanie na zdarzenia.
Tagi klasyfikacji danych: Tagowanie zasobów na podstawie poziomów poufności danych (publiczne, wewnętrzne, poufne, wysoce poufne) obsługujące zasady ochrony danych i wymagania dotyczące zgodności.
Tagi środowiska: Jasny podział środowisk produkcyjnych, etapowych, programistycznych i testowych, uniemożliwiający przypadkowe wpływanie na systemy produkcyjne podczas operacji związanych z bezpieczeństwem.
Tagi identyfikatorów centrum kosztów i własności: Przypisania jednostek biznesowych, centrów kosztów i właścicieli technicznych umożliwiające rozliczanie, refakturowanie oraz szybkie powiadamianie interesariuszy podczas incydentów bezpieczeństwa.
Tagi zakresu zgodności: Oznaczanie zasobów podlegających określonym wymaganiom prawnym (PCI-DSS, HIPAA, SOX, RODO) wyzwalających odpowiednie mechanizmy kontroli zabezpieczeń i procedury inspekcji.

Wymuszanie tagów i zarządzanie:

Wymuszanie tagów w usłudze Azure Policy: Automatyczne zasady dotyczące wymagań tagów uniemożliwiają tworzenie zasobów bez obowiązkowych tagów i zapewniają spójną taksonomię w całej organizacji.
Dziedziczenie tagów: Tagi na poziomie grupy zasobów i subskrypcji są automatycznie dziedziczone przez zasoby podrzędne, zapewniając spójną klasyfikację bez konieczności ręcznego nakładania tagów.
Walidacja wartości tagów: Walidacja wartości tagów w Azure Policy względem zatwierdzonych list, zapobiegająca błędom literowym i zapewniająca ujednoliconą klasyfikację w całej organizacji.
Inspekcja tagów i korygowanie: Regularna inspekcja zgodności tagów z zautomatyzowanymi przepływami pracy korygowania dodającymi brakujące tagi na podstawie cech zasobów i ocen zabezpieczeń.

AM-1.3: Udzielanie dostępu do inwentarza organizacji bezpieczeństwa

Zespoły ds. zabezpieczeń wymagają kompleksowego wglądu we wszystkie zasoby w celu wykrywania zagrożeń, badania zdarzeń i mierzenia stanu ryzyka bez względu na zespoły infrastruktury w celu uzyskania dostępu lub ręcznego zbierania danych. Odpowiednie uprawnienia tylko do odczytu umożliwiają operacje zabezpieczeń, uniemożliwiając eskalację uprawnień lub zakłócenia działania. Scentralizowane zarządzanie dostępem zapewnia organizacjom zabezpieczeń widoczność nawet w miarę rozwoju środowisk chmury i rozwoju struktur organizacyjnych.

Skonfiguruj widoczność zasobów zespołu ds. zabezpieczeń za pomocą następujących uprawnień:

Upewnij się, że organizacje zabezpieczeń mają odpowiednie uprawnienia do wyświetlania i monitorowania spisu zasobów przy użyciu roli Security Reader, Azure RBAC oraz grup zarządzania w celu uzyskania kompleksowej widoczności bez nadmiernych uprawnień.

Strategia uprawnień organizacji zabezpieczeń:

Przypisanie roli Czytelnik zabezpieczeń: Przyznaj rolę Czytelnik zabezpieczeń na poziomie grupy zarządzania lub subskrypcji, umożliwiając zespołom zabezpieczeń wyświetlanie zasobów, alertów zabezpieczeń i zaleceń bez możliwości modyfikacji.
Określanie zakresu grup zarządzania: Stosowanie uprawnień na poziomie głównej grupy zarządzania w celu zapewnienia widoczności lub zakresu zabezpieczeń dla całego przedsiębiorstwa do określonych jednostek biznesowych w oparciu o strukturę organizacyjną.
Dostęp do usługi Defender for Cloud: Upewnij się, że zespoły ds. zabezpieczeń mają dostęp do spisu zasobów usługi Defender for Cloud, zaleceń dotyczących zabezpieczeń i pulpitów nawigacyjnych zgodności w celu uzyskania scentralizowanej widoczności ryzyka.
Dostęp do zapytań usługi Azure Resource Graph: Zapewnij analitykom zabezpieczeń dostęp do Eksploratora usługi Azure Resource Graph na potrzeby niestandardowych zapytań odnajdywania zasobów i badań zabezpieczeń bez konieczności posiadania uprawnień na poziomie zasobów.
Dostęp czytelnika usługi Log Analytics: Udziel zespołom ds. zabezpieczeń uprawnień czytelnika usługi Log Analytics do analizy dzienników zabezpieczeń i poszukiwania zagrożeń bez dostępu do modyfikowania konfiguracji obszaru roboczego.

Integracja z zabezpieczeniami operacyjnymi:

Automatyczne udostępnianie spisu: Eksportowanie spisu zasobów do platform zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz narzędzi do orkiestracji zabezpieczeń na potrzeby korelacji i automatyzacji.
Ciągła integracja monitorowania: Integrowanie spisu zasobów z usługą Microsoft Sentinel w celu monitorowania zabezpieczeń w czasie rzeczywistym, wykrywania zagrożeń i automatycznego reagowania na zagrożenia związane z zasobami.
Metryki zabezpieczeń i raportowanie: Udostępnianie kierownictwu zabezpieczeń dashboardów i raportów przedstawiających przyrost zasobów, trendy w zabezpieczeniach oraz ryzyko ekspozycji w środowisku chmurowym.

AM-1.4: Monitorowanie ryzyka zasobów i stanu zabezpieczeń

Spis zasobów statycznych zapewnia niewystarczającą widoczność zabezpieczeń, gdy zagrożenia i konfiguracje zmieniają się stale w dynamicznych środowiskach chmury. Ciągłe monitorowanie ryzyka przekształca dane spisu w możliwą do działania analizę zabezpieczeń, identyfikując pojawiające się luki w zabezpieczeniach, dryf konfiguracji i naruszenia zgodności przed ich wykorzystaniem przez przeciwników. Automatyczna ocena umożliwia zespołom ds. zabezpieczeń ustalanie priorytetów korygowania na podstawie rzeczywistego ryzyka, a nie reagowania na zdarzenia po wykorzystaniu.

Zaleca się ustanowienie ciągłego monitorowania ryzyka aktywów za pomocą tych możliwości:

Zaimplementuj ciągłe monitorowanie ryzyka przy użyciu wskaźnika bezpieczeństwa usługi Microsoft Defender dla chmury, planu bazowego zabezpieczeń platformy Azure i oceny luk w zabezpieczeniach w celu śledzenia stanu zabezpieczeń zasobów i pojawiających się zagrożeń.

Ciągła ocena ryzyka:

Monitorowanie wskaźnika bezpieczeństwa: Śledzenie wskaźnika bezpieczeństwa usługi Microsoft Defender dla chmury w subskrypcjach i grupach zarządzania mierzących ogólny stan zabezpieczeń i skuteczność kontroli.
Śledzenie zaleceń dotyczących zabezpieczeń: Monitorowanie zaleceń dotyczących zabezpieczeń według poziomu ważności przy użyciu priorytetyzacji w oparciu o krytyczność zasobów, potencjalny wpływ i analizę zagrożeń.
Integracja oceny luk w zabezpieczeniach: Automatyczne skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych przy użyciu rozwiązania Qualys lub Microsoft Defender Vulnerability Management z priorytetyzacji korygowania opartego na ryzyku.
Monitorowanie pulpitu nawigacyjnego zgodności: Śledzenie stanu zgodności z przepisami dla zasobów objętych standardem PCI-DSS, HIPAA, ISO 27001 i innymi strukturami z analizą luk i śledzeniem korygowania.
Wykrywanie dryfu konfiguracji: Automatyczne wykrywanie zmian konfiguracji zabezpieczeń i naruszeń zasad z alertami dotyczącymi nieautoryzowanych modyfikacji lub niezgodnych konfiguracji.

Analiza zagrożeń i korelacja ryzyka:

Integracja analizy zagrożeń firmy Microsoft: Automatyczna korelacja spisu zasobów z analizą zagrożeń firmy Microsoft identyfikującą zasoby potencjalnie ukierunkowane przez znanych podmiotów zagrożeń lub kampanie.
Agregacja alertów zabezpieczeń: Scentralizowana agregacja alertów zabezpieczeń z usług Defender for Cloud, Microsoft Sentinel i Microsoft Defender XDR zamapowanych na określone zasoby w celu uzyskania kompleksowej widoczności ryzyka.
Analiza powierzchni ataków: Ciągła analiza zasobów internetowych, otwartych portów i ekspozycji na sieci przy użyciu oceniania ryzyka na podstawie stanu luk w zabezpieczeniach i krajobrazu zagrożeń.

Przykład implementacji

Organizacja z infrastrukturą chmury hybrydowej działającą na platformie Azure, w lokalnych centrach danych i na platformie AWS odkryła, że nie ma kompleksowego wglądu w pełny spis zasobów, tworząc ryzyko zgodności i nieznane ekspozycje na zabezpieczenia.

Wyzwanie: Organizacja zmagała się z rozdrobnioną widocznością zasobów w wielu środowiskach. Zasoby w chmurze wdrożone na platformie Azure, serwery lokalne w regionalnych centrach danych i obciążenia platformy AWS istniały w osobnych silosach zarządzania bez ujednoliconego spisu. Zespoły ds. zabezpieczeń nie mają kompleksowego wglądu w krytyczność zasobów, stan luk w zabezpieczeniach i stan zgodności. Inspekcje regulacyjne zidentyfikowały luki w śledzeniu zasobów wymagane do PCI-DSS i zgodności z przepisami HIPAA. Proliferacja cienia IT stworzyła niemonitorowane zasoby zużywające budżet, narażając organizację na zagrożenia bezpieczeństwa.

Podejście do rozwiązania:

Ujednolicona platforma spisu: Wdrożone zapytania usługi Azure Resource Graph odnajdujące wszystkie zasoby platformy Azure w wielu subskrypcjach z codziennymi automatycznymi aktualizacjami spisu. Wdrożono serwery z obsługą Azure Arc, umożliwiając dołączanie ponad 500 lokalnych serwerów z systemami Windows i Linux oraz ponad 200 instancji AWS EC2, co umożliwia ujednolicone zarządzanie spisem. Skonfigurowano łącznik wielochmurowy do integracji z platformą AWS, odnajdujący wystąpienia EC2, zasobniki S3 i relacyjne bazy danych RDS, odzwierciedlające je w Azure Resource Graph dla skonsolidowanej widoczności zasobów.
Klasyfikacja zasobów i nadzór: Wdrożono obowiązkową strategię tagowania przy użyciu Azure Policy, wymagającą określenia krytyczności biznesowej, klasyfikacji danych, centrum kosztów oraz tagów zakresu zgodności dla wszystkich zasobów, w tym serwerów obsługiwanych przez Arc, przed ich wdrożeniem. Ustanowiono klasyfikację krytycznego działania firmy z tagiem Krytyczny dla systemów krytycznych dla działania firmy, Wysoki dla magazynu poufnych danych, Średni dla aplikacji wewnętrznych i Niski dla środowisk deweloperskich.
Widoczność i monitorowanie zabezpieczeń: Skonfigurowano spis zasobów usługi Microsoft Defender for Cloud z rolą Czytelnik zabezpieczeń udzieloną zespołowi centrum operacji zabezpieczeń (SOC) na poziomie głównej grupy zarządzania w celu zapewnienia widoczności w całym przedsiębiorstwie w zasobach w Azure i obsługiwanych przez Arc. Wdrożona ocena luk w zabezpieczeniach przy użyciu rozwiązania Microsoft Defender Vulnerability Management na wszystkich maszynach wirtualnych z obsługą usługi Azure i Azure Arc z automatycznymi procesami naprawczymi. Rozszerzono wymuszanie zasad usługi Azure Policy na serwery obsługujące Arc, stosując podstawowe zasady zabezpieczeń, zasady rejestrowania diagnostycznego oraz wymagania dotyczące szyfrowania.
Raportowanie kadry kierowniczej: Utworzono pulpity nawigacyjne Azure Workbooks dla kierownictwa ds. zabezpieczeń, które przedstawiają spis zasobów, Secure Score, stan luk w zabezpieczeniach oraz zgodność z przepisami w środowiskach Azure, lokalnych i AWS, z automatycznymi codziennymi aktualizacjami i analizą trendów.

Wynik: Pełna widoczność zasobów osiągnięta na platformie Azure, lokalnie i na platformie AWS z kompleksowym skanowaniem luk w zabezpieczeniach wcześniej niemonitorowanych systemów. Czas przygotowania do audytu zgodności został znacznie skrócony dzięki identyfikacji i likwidacji osieroconych zasobów, co pozwoliło na odzyskanie znacznego kapitału w chmurze.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

NIST SP 800-53 Rev.5: CM-8, CM-8(1), CM-8(2), CM-8(3), PM-5, RA-2
PCI-DSS 4: 2.4.1, 2.4.2, 12.5.2
Kontrolki CIS w wersji 8.1: 1.1 , 1.2, 1.3, 1.4, 2.1
NIST CSF v2.0: ID.AM-1, ID.AM-2, ID.AM-4
ISO 27001:2022: A.5.9, A.8.1, A.8.2
SOC 2: CC6.1, CC7.2

AM-2: Używanie tylko zatwierdzonych usług

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: AM-2.

Zasada zabezpieczeń

Wymuszanie procesów zatwierdzania usług ograniczających możliwości użytkowników usług w chmurze co do aprowizacji za pomocą mechanizmów kontroli i monitorowania opartych na zasadach. Upewnij się, że wszystkie wdrożone usługi są poddawane przeglądowi zabezpieczeń, walidacji zgodności i prawidłowej funkcjonalności konfiguracji przed użyciem produkcyjnym, zapobiegając rozrastaniu zasobów it w tle i nieautoryzowanej usłudze.

Ryzyko w celu ograniczenia ryzyka

Niekontrolowana aprowizacja usług w chmurze tworzy znaczące zagrożenia bezpieczeństwa za pośrednictwem niezatwierdzonych zasobów IT, luk w zabezpieczeniach konfiguracji i naruszeń zgodności. Bez wymuszania zatwierdzenia usługi:

Luki w zabezpieczeniach Shadow IT: Niezatwierdzone usługi pomijają procesy przeglądu zabezpieczeń, działają bez monitorowania i brakuje im odpowiedniego utwardzenia konfiguracji, co stwarza podatności na wykorzystanie.
Naruszenia struktury zgodności: Usługi niezawetowane mogą nie spełniać wymagań prawnych dotyczących ochrony danych, rejestrowania inspekcji lub szyfrowania, co prowadzi do niepowodzeń zgodności i potencjalnych sankcji regulacyjnych.
Zwiększona powierzchnia ataku: Każdy nowy typ usługi rozszerza obszar ataków z unikatowymi konfiguracjami zabezpieczeń, interfejsami API i punktami integracji, których zespoły ds. zabezpieczeń nie mają wiedzy, aby prawidłowo zabezpieczyć.
Przekroczenia kosztów i strat budżetowych: Niekontrolowane aprowizowanie usług prowadzi do duplikowania możliwości, nieużywanych zasobów i nieoczekiwanych opłat podważających nadzór finansowy i przewidywalność budżetu.
Złożoność operacyjna: Rozprzestrzenianie typów usług zwiększa złożoność operacyjną, wymagania szkoleniowe i obciążenie związane z obsługą techniczną przy jednoczesnym fragmentowaniu możliwości monitorowania zabezpieczeń i reagowania na zdarzenia.
Błędy ładu danych: Niezatwierdzone usługi przechowywania i bazy danych pomijają zasady klasyfikacji danych, wymagania dotyczące przechowywania oraz standardy szyfrowania, tworząc luki w ochronie danych.

Brak wymuszania zatwierdzania usług umożliwia rozrastanie technologii, które podważają bezpieczeństwo, zgodność i wydajność operacyjną.

MITRE ATT&CK

Dostęp początkowy (TA0001): prawidłowe konta (T1078) korzystające z wiarygodnych poświadczeń użytkownika w celu aprowizowania niezatwierdzonych usług z błędami konfiguracji zabezpieczeń, które osoby atakujące wykorzystują w celu uzyskania dostępu początkowego.
Tworzenie zasobów (TA0042): uzyskiwanie infrastruktury (T1583) poprzez dostarczanie niezatwierdzonych usług w chmurze w celu ustanowienia infrastruktury ataku, możliwości dowodzenia i kontroli lub złośliwych obciążeń, z pominięciem procesów przeglądu zabezpieczeń.
Uchylanie się od obrony (TA0005): nieużywane/nieobsługiwane regiony chmury (T1535) wdrażające złośliwą infrastrukturę w niezatwierdzonych regionach chmury poza zasięgiem monitorowania zabezpieczeń.

AM-2.1: Implementowanie ograniczeń usługi Azure Policy

Nieograniczona aprowizacja usług umożliwia użytkownikom wdrażanie nieobsługiwanych, niezabezpieczonych lub niezgodnych usług w chmurze, które pomijają przegląd zabezpieczeń i wprowadzają luki w zabezpieczeniach w środowiskach produkcyjnych. Każda niezatwierdzona usługa rozszerza obszar ataków z potencjalnie błędnie skonfigurowanymi ustawieniami zabezpieczeń, nieskonfigurowanym oprogramowaniem lub niemonitorowanymi punktami dostępu, które wykorzystują przeciwnicy. Wymuszanie zatwierdzonych katalogów usług zapewnia, że tylko usługi zweryfikowane pod kątem bezpieczeństwa i wspierane operacyjnie są wdrażane w środowisku produkcyjnym, przy jednoczesnym zachowaniu kontrolowanej innowacyjności w środowiskach deweloperskich.

Kontrolowanie udostępniania usług za pomocą następujących mechanizmów egzekwowania:

Wdróż usługę Azure Policy z zasadami odmowy i zasadami inspekcji , aby ograniczyć aprowizację usług do zatwierdzonych typów usług platformy Azure z wyjątkami dla zatwierdzonych projektów innowacji i środowisk deweloperskich.

Struktura zasad ograniczeń usługi:

Dozwolone zasady typów zasobów: Zdefiniuj kompleksowe dozwolone zasady typów zasobów zawierające listę zatwierdzonych usług platformy Azure, w tym maszyn wirtualnych, kont magazynu, baz danych i usług platformy.
Zasady odmowy typów zasobów: Jawne zasady odmowy dla usług zabronionych ze względu na obawy dotyczące zabezpieczeń, ograniczenia zgodności lub ograniczenia operacyjne z wyraźną dokumentacją uzasadnienia.
Zasady ograniczeń regionalnych: Ogranicz aprowizowanie zasobów do zatwierdzonych regionów platformy Azure na podstawie wymagań dotyczących rezydencji danych, mandatów zgodności i możliwości obsługi operacyjnej.
Ograniczenia jednostki SKU i warstwy: Ogranicz jednostki SKU zasobów i warstwy usług do zatwierdzonych konfiguracji zapewniających kontrolę kosztów i dostępność funkcji zabezpieczeń.
Kontrolki usługi w wersji zapoznawczej: Ogranicz lub zablokuj usługi w wersji zapoznawczej i beta w środowiskach produkcyjnych, zezwalając na kontrolowane użycie w subskrypcjach rozwojowych w celach oceny.

Zakres zasad i wymuszanie:

Przypisanie zasad grupy zarządzania: Stosowanie zasad ograniczenia usług na poziomie grupy zarządzania w celu egzekwowania w całym przedsiębiorstwie z dziedziczeniem do wszystkich subskrypcji podrzędnych.
Wykluczenia oparte na środowisku: Przyznawanie wykluczeń zasad dla subskrypcji deweloperskich i testowych, które umożliwiają innowacje przy jednoczesnym utrzymaniu kontroli nad środowiskiem produkcyjnym.
Tryb egzekwowania zasad: Skonfiguruj efekt odmowy dla egzekwowania zasad w środowisku produkcyjnym, uniemożliwiając tworzenie niezgodnych zasobów, lub tryb audytu dla monitorowania i raportowania zgodności.
Przepływ pracy wniosku o wyjątek: Ustanów formalny proces wniosku o wyjątek dla uzasadnionych biznesowych potrzeb, wraz z przeglądem bezpieczeństwa, ograniczonymi czasowo zatwierdzeniami i mechanizmami niwelującymi zagrożenia.

Wymuszanie zasad hybrydowych usługi Azure Arc:

Rozszerzenie zasad do serwerów z obsługą usługi Arc: Zastosuj konfigurację gościa systemu usługi Azure Policy do serwerów z obsługą usługi Arc, wymuszających bazowe punkty odniesienia dotyczące zabezpieczeń, ograniczenia oprogramowania i wymagania dotyczące zgodności w infrastrukturze hybrydowej.
Wymuszanie zasad platformy Kubernetes: Wdrażanie usługi Azure Policy dla platformy Kubernetes w klastrach Kubernetes z obsługą usługi Arc kontrolujących zabezpieczenia zasobników, rejestry obrazów i konfiguracje zasobów w środowiskach wielochmurowych.
Zatwierdzenie usługi między chmurami: Użyj usług Azure Arc i Azure Policy, aby wymusić zatwierdzone wzorce usług w zasobach wielochmurowych uniemożliwiające niezatwierdzone usługi AWS lub konfiguracje usługi Google Cloud.
Raportowanie zgodności hybrydowej: Ujednolicona konsola zgodności z politykami pokazująca zgodność natywnych serwerów Azure, serwerów z funkcją Arc oraz zasobów wielochmurowych z zatwierdzonym katalogiem usług.

AM-2.2: Monitorowanie i powiadamianie o niezatwierdzonym użyciu usług

Wymuszanie zasad zapobiega niezatwierdzonej aprowizacji, ale wykrywanie istniejących niezgodnych zasobów i monitorowanie naruszeń zasad umożliwia zespołom zabezpieczeń identyfikowanie wyjątków, reagowanie na naruszenia i utrzymywanie ciągłej widoczności zgodności. Wykrywanie w czasie rzeczywistym przekształca reaktywne inspekcje zgodności w proaktywne operacje zabezpieczeń, umożliwiając szybką reakcję na potencjalne zagrożenia bezpieczeństwa wprowadzone za pośrednictwem niezatwierdzonych usług. Automatyczne alerty zapewniają zespołom ds. zabezpieczeń rozwiązywanie problemów z naruszeniami, zanim przeciwnicy odnajdują i wykorzystują błędnie skonfigurowane zasoby.

Wykrywanie i reagowanie na niezatwierdzone usługi za pomocą tych funkcji monitorowania:

Zaimplementuj reguły alertów usługi Azure Monitor i zalecenia usługi Microsoft Defender for Cloud, aby wykryć niezatwierdzone próby aprowizacji usług i istniejące niezgodne zasoby.

Wykrywanie niezatwierdzonych usług:

Monitorowanie dziennika aktywności platformy Azure: Monitoruj dziennik aktywności platformy Azure pod kątem zdarzeń tworzenia zasobów porównujących się z zatwierdzonym wykazem usług z alertami w czasie rzeczywistym dotyczącymi naruszeń zasad.
Panel kontrolny zgodności usługi Azure Policy: Śledzenie stanu zgodności zasad w subskrypcjach, identyfikując zasoby niezgodne, wymagające naprawy lub wycofania.
Zalecenia dotyczące usługi Defender for Cloud: Skorzystaj z zaleceń dotyczących zabezpieczeń usługi Defender for Cloud identyfikujących zasoby wymagające zmian konfiguracji lub usług działających poza punktami odniesienia zabezpieczeń.
Niestandardowe reguły alertów: Utwórz niestandardowe reguły alertów usługi Azure Monitor dla określonych typów usług lub wzorców konfiguracji wymagających powiadomienia i badania przez zespół ds. zabezpieczeń.

Przepływy pracy alertów i odpowiedzi:

Microsoft Teams i powiadomienia e-mail: Automatyczne powiadomienia przekazywane operacjom zabezpieczeń i właścicielom zasobów w przypadku provisioningu niezatwierdzonych usług lub wykrycia naruszeń zasad.
Integracja z usługą Azure Logic Apps: Zautomatyzowane przepływy pracy wyzwalające zgłoszenia przeglądowe zabezpieczeń, powiadomienia interesariuszy oraz procedury eskalacji dotyczące korygowania naruszeń zasad.
Integracja z usługą Microsoft Sentinel: Przesyłanie strumieniowe danych zgodności usługi Azure Policy i zdarzeń aprowizacji usług do usługi Microsoft Sentinel w celu korelacji zabezpieczeń i wykrywania zagrożeń.

Przykład implementacji

Organizacja opieki zdrowotnej działająca zgodnie z wymaganiami zgodności HIPAA napotkała wyzwania związane z nieautoryzowanymi usługami w chmurze wdrożonych bez odpowiedniej weryfikacji zabezpieczeń, tworząc ryzyko zgodności i wyniki inspekcji.

Wyzwanie: Deweloperzy wdrożyli usługi platformy Azure bez formalnej oceny zabezpieczeń, co spowodowało znalezienie wyników inspekcji HIPAA identyfikujących niezatwierdzone usługi przetwarzające chronione informacje o kondycji (PHI). Organizacja nie ma scentralizowanych procesów zatwierdzania usług i mechanizmów wymuszania technicznego uniemożliwiających nieautoryzowane wdrożenia. Zespoły ds. zgodności odkryły, że usługi Azure Cognitive Services i Azure OpenAI Service przetwarzały Dane Osobowe Dotyczące Zdrowia (PHI) bez przeprowadzenia wymaganych ocen ryzyka. Proliferacja cieni IT stworzyła luki w zgodności z ponad 40 typami usług, które zostały wdrożone bez odpowiedniej dokumentacji mechanizmów kontroli zabezpieczeń lub weryfikacji szyfrowania.

Podejście do rozwiązania:

Ramy zarządzania: Ustanowiona Rada Weryfikacji Usług składająca się z liderów ds. bezpieczeństwa, zgodności i inżynierii, przeglądająca nowe wnioski o usługi z obowiązkową oceną bezpieczeństwa, weryfikacją zgodności i analizą klasyfikacji danych. Utworzono wykaz usług dokumentujący zatwierdzone usługi z punktami odniesienia zabezpieczeń, wymaganiami dotyczącymi szyfrowania, mechanizmami kontroli zgodności i zatwierdzonymi przypadkami użycia.
Wymuszanie techniczne: Wdrożona zasada dozwolonych typów zasobów na poziomie grupy zarządzania, ograniczająca udostępnianie do zatwierdzonych usług obliczeniowych (Maszyny Wirtualne, Azure Kubernetes Service, Instancje Kontenerowe), przechowywania (Blob Storage, Azure Files, Queue Storage), baz danych (Azure SQL Database, Cosmos DB, Azure Database for PostgreSQL) i sieciowych (Sieć Wirtualna, Sieciowe Grupy Zabezpieczeń, Application Gateway, Azure Firewall). Zaimplementowano politykę ograniczeń regionalnych, która ogranicza wdrażanie do zatwierdzonych regionów Azure zgodnych z wymaganiami HIPAA dotyczącymi rezydencji danych. Skonfigurowane zasady ograniczania jednostek SKU, które uniemożliwiają stosowanie jednostek SKU klasy Premium i ultrawydajnej w subskrypcjach dotyczących rozwoju i testowania.
Ciągłe monitorowanie: Utworzono reguły alertów usługi Azure Monitor dla prób naruszenia zasad za pomocą przepływów pracy usługi Azure Logic Apps tworzących zdarzenia usługi ServiceNow i powiadamiając właścicieli zasobów i zespół operacyjny ds. zabezpieczeń. Przyznane zwolnienia z polityki dla subskrypcji środowiska testowego innowacji, umożliwiające ocenę nowych usług bez ograniczeń produkcyjnych.
Włączanie deweloperów: Opublikowane szablony „Infrastruktura jako kod”, w tym moduły Terraform i szablony Bicep dla zatwierdzonych usług z uprzednio zastosowanymi konfiguracjami zabezpieczeń przyspieszające wdrażanie zgodnych zasobów.

Wynik: Pełna zgodność w zakresie zatwierdzania usług została osiągnięta dzięki Azure Policy, które uniemożliwia nieautoryzowane wdrożenia i chroni przed narażeniem na ujawnienie chronionych informacji zdrowotnych (PHI). Wyniki inspekcji HIPAA wyeliminowane przy zachowaniu produktywności deweloperów dzięki przewidywalnym procesom zatwierdzania.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

NIST SP 800-53 Rev.5: CM-7, CM-7(1), CM-7(2), SA-3, SA-8
PCI-DSS 4: 1.2.6, 2.2.7, 6.3.2
Kontrolki CIS w wersji 8.1: 2.3, 2.7, 4.1
NIST CSF v2.0: ID.AM-3, PR.IP-1, PR.PT-3
ISO 27001:2022: A.5.23, A.8.9, A.8.19
SOC 2: CC6.1, CC6.6, CC7.2

AM-3: Zapewnianie bezpieczeństwa zarządzania cyklem życia zasobów

Azure Policy: Zobacz Wbudowane definicje zasad platformy Azure: AM-3.

Zasada zabezpieczeń

Zaimplementuj bezpieczne zarządzanie cyklem życia zasobów od aprowizacji do likwidacji, wykorzystując konfiguracje zabezpieczeń z ustawieniami domyślnymi, procesy kontroli zmian oraz systematyczne procedury usuwania. Upewnij się, że wszystkie fazy cyklu życia obejmują weryfikację zabezpieczeń, rejestrowanie audytów oraz procesy zatwierdzania dla modyfikacji o dużym wpływie, aby zapobiec pogorszeniu zabezpieczeń i zachować zgodność.

Ryzyko w celu ograniczenia ryzyka

Nieodpowiednie zarządzanie cyklem życia zasobów tworzy luki w zabezpieczeniach w procesach aprowizacji, modyfikowania i likwidowania zasobów. Bez odpowiednich kontroli cyklu życia:

Niezabezpieczona aprowizacja zasobów: Zasoby wdrożone bez wzmacniania zabezpieczeń, szyfrowania, monitorowania lub kontroli sieci działają w stanie podatnym na zagrożenia od momentu utworzenia obszaru natychmiastowego ataku.
Dryf konfiguracji i nieautoryzowane zmiany: Niekontrolowane modyfikacje zasobów pomijają procesy przeglądu zabezpieczeń prowadzące do błędów konfiguracji, naruszeń zgodności i obniżenia kontroli zabezpieczeń.
Akumulacja osieroconych zasobów: Zasoby utrzymują się po zakończeniu projektów lub rozwiązaniu zespołów, pochłaniając budżet i tworząc niemonitorowaną powierzchnię ataków z nieaktualnymi poświadczeniami i łatami bezpieczeństwa.
Niekompletne likwidowanie: Niewłaściwe usunięcie zasobów powoduje pozostawienie pozostałości danych, kont magazynu, konfiguracji sieci i przypisań tożsamości, co powoduje ryzyko ujawnienia danych i naruszenia zgodności.
Eskalacja uprawnień poprzez luki w cyklu życia: Osoby atakujące wykorzystują słabe punkty zarządzania cyklem życia, aby aprowizować złośliwe zasoby, modyfikować konfiguracje zabezpieczeń lub utrzymywać trwałość po próbach wykrycia.
Luki w ścieżce audytu: Nieodpowiednia dokumentacja cyklu życia utrudnia badanie śledcze, demonstrację zgodności oraz analizę przyczyn źródłowych incydentów bezpieczeństwa obejmujących zmiany zasobów.

Niewłaściwe zarządzanie cyklem życia pozwala na utrzymywanie się luk w zabezpieczeniach od momentu tworzenia zasobów przez cały ich okres użytkowania operacyjnego.

MITRE ATT&CK

Trwałość (TA0003): tworzenie lub modyfikowanie procesu systemowego (T1543) wykorzystujące słabe mechanizmy kontroli cyklu życia w celu wdrożenia trwałych backdoorów podczas aprowizacji zasobów bez przeglądu zabezpieczeń.
Eskalacja uprawnień (TA0004): nadużycie mechanizmu kontroli podniesienia uprawnień (T1548) modyfikujące uprawnienia zasobów i mechanizmy kontroli dostępu podczas zmian cyklu życia w celu uzyskania nieautoryzowanych podwyższonych uprawnień.
Uchylanie się od obrony (TA0005): osłabienie obrony (T1562) polega na wyłączaniu monitorowania i rejestrowania zabezpieczeń podczas procesów modyfikacji zasobów, omijając możliwości wykrywania.

AM-3.1: Zaimplementować bezpieczną aprowizację zasobów

Zasoby wdrożone bez wzmacniania zabezpieczeń od momentu powstania tworzą natychmiastowe luki w zabezpieczeniach, które utrzymują się przez cały okres ich działania, ponieważ modernizacja mechanizmów kontroli zabezpieczeń po wdrożeniu okazuje się technicznie złożona i zakłócająca działanie. Aprowizowanie zabezpieczeń domyślnie za pomocą infrastruktury jako kodu zapewnia automatyczne stosowanie spójnych konfiguracji ochronnych, zapobiegając lukom konfiguracji, które wykorzystują przeciwnicy. Automatyczna walidacja zabezpieczeń przed wdrożeniem blokuje niezabezpieczone konfiguracje zanim dotrą do środowiska produkcyjnego, przekształcając podejście do zabezpieczeń z reaktywnego korygowania na proaktywne zapobieganie.

Ustanów aprowizację bezpieczną domyślnie za pomocą następujących mechanizmów:

Wdróż usługi Azure Deployment Stacks, szablony usługi Azure Resource Manager i narzędzie Terraform z konfiguracjami ze wzmocnionymi zabezpieczeniami, zapewniając wdrażanie zasobów przy użyciu odpowiednich mechanizmów kontroli zabezpieczeń od samego początku.

Aprowizacja zabezpieczona domyślnie:

Azure Deployment Stacks do zarządzania:Azure Deployment Stacks umożliwiają łączenie przypisań Azure Policy, przypisań ról RBAC i szablonów zasobów w zarządzane pakiety. Stosy wdrażania tworzą przypisania odmowy (DenyDelete lub DenyWriteAndDelete), które chronią zarządzane zasoby i artefakty zarządzania przed nieautoryzowanymi modyfikacjami lub usunięciem, umożliwiając kontrolowane aktualizacje za pomocą infrastruktury jako kodu.
Zabezpieczenia infrastruktury jako kodu: Wzmocniono szablony ARM i moduły Terraform przez włączenie szyfrowania, skonfigurowanie rejestrowania diagnostycznego, zastosowanie sieciowych grup zabezpieczeń oraz domyślne wdrażanie prywatnych punktów końcowych.
Inicjowanie oparte na zasadach: Azure Policy automatycznie stosuje konfiguracje zabezpieczeń podczas tworzenia zasobów, w tym wymagania dotyczące szyfrowania, ustawienia diagnostyczne i wymogi dotyczące tagowania.
Domyślna sieć prywatna: Zasoby wdrożone z prywatnymi i serwisowymi punktami końcowymi domyślnie wyłączają dostęp do publicznego internetu, chyba że jest to wyraźnie wymagane i zatwierdzone.
Integracja skanowania zabezpieczeń: Automatyczne skanowanie zabezpieczeń szablonów infrastruktury jako kodu przy użyciu narzędzi takich jak Checkov, Terrascan lub Microsoft Defender for Cloud DevOps Security przed wdrożeniem.

Przepływy pracy zatwierdzania aprowizacji:

Bramy zatwierdzania usługi Azure DevOps: Wymagaj zatwierdzenia przez zespół ds. zabezpieczeń dla wdrożeń produkcyjnych obejmujących poufne dane, zasoby dostępne z Internetu lub konfiguracje z wysokimi uprawnieniami.
Przegląd Rady Doradczej ds. Zmian: Zapewnienie zasobów o dużym wpływie przechodzi przegląd Rady Doradczej ds. Zmian, w tym ocenę interesariuszy ds. zabezpieczeń, zgodności i operacji.
Wyzwalacze progu kosztów i zabezpieczeń: Wyzwalacze wymagań dotyczących automatycznego zatwierdzania dla zasobów przekraczających progi kosztów lub poziomy poufności zabezpieczeń wymagające autoryzacji przywództwa.

AM-3.2: Implementowanie kontroli zmian cyklu życia zasobów

Niekontrolowane modyfikacje zasobów pomijają procesy przeglądu zabezpieczeń, umożliwiając przeciwnikom wyłączanie mechanizmów kontroli ochronnych, eskalację uprawnień lub utrzymywanie trwałości dzięki zmianom konfiguracji, które unikają wykrywania. Kontrola zmian przekształca modyfikacje ad hoc w zarządzane przepływy pracy dzięki weryfikacji zabezpieczeń, dziennikom inspekcji i automatycznemu egzekwowaniu, które zapobiega nieautoryzowanym zmianom. Ciągłe monitorowanie konfiguracji wykrywa dryf od zatwierdzonych punktów odniesienia, zapewniając, że zasoby utrzymują stan zabezpieczeń w całym cyklu życia operacyjnego, a nie pogarszają się w czasie.

Zarządzanie modyfikacjami zasobów za pomocą tych mechanizmów kontroli zmian:

Ustanów procesy kontroli zmian przy użyciu usługi Azure Policy, blokad zasobów platformy Azure i monitorowania dziennika aktywności platformy Azure , aby zarządzać modyfikacjami zasobów i zapobiegać nieautoryzowanym zmianom konfiguracji zabezpieczeń.

Kontrola zmian i zarządzanie ładem:

Blokady zasobów platformy Azure: Wdróż blokady CanNotDelete lub ReadOnly w zasobach produkcyjnych uniemożliwiające przypadkowe usunięcie lub modyfikację bez jawnego zatwierdzenia usunięcia blokady wymagającego udokumentowanych żądań zmiany i przeglądu zabezpieczeń.
Efekty odmowy usługi Azure Policy: Zasady uniemożliwiające obniżenie poziomu konfiguracji zabezpieczeń, w tym wyłączanie szyfrowania, usuwanie ustawień diagnostycznych, udostępnianie zasobów publicznemu Internetowi lub modyfikowanie reguł sieciowej grupy zabezpieczeń bez zatwierdzania.
Śledzenie zmian i inspekcja: Integracja dziennika aktywności platformy Azure z usługą Microsoft Sentinel śledzi wszystkie modyfikacje zasobów za pomocą korelacji zabezpieczeń, wykrywania anomalii i automatycznego zgłaszania alertów pod kątem zmian konfiguracji wysokiego ryzyka.
Wykrywanie dryfu konfiguracji: Funkcja Guest Configuration w ramach Azure Policy wykrywa nieautoryzowane zmiany konfiguracji i uruchamia automatyczne przepływy pracy naprawczej lub powiadomienia dla zespołu ds. zabezpieczeń dotyczące systemów produkcyjnych.
Zarządzanie cyklem życia tożsamości: Użyj usługi Microsoft Entra ID Governance do zautomatyzowanych przepływów pracy związanych z cyklem życia tożsamości, które zarządzają aprowizowaniem głównych jednostek usług i tożsamości zarządzanych, przeglądami dostępu oraz wycofywaniem aprowizacji, dopasowanymi do etapów cyklu życia zasobów.

AM-3.3: Implementowanie systematycznego likwidowania zasobów

Niewłaściwe likwidowanie zasobów pozostawia resztki danych, oddzielone konfiguracje i nieaktualne poświadczenia, które tworzą długoterminowe naruszenia zabezpieczeń i zgodności nawet po zakończeniu projektów. Formalne procedury likwidowania zapewniają całkowite usunięcie zasobów z odpowiednią obsługą danych, odwoływaniem dostępu i zachowywaniem dziennika inspekcji uniemożliwiającym nieautoryzowany dostęp do porzuconych zasobów. Automatyczne wykrywanie osieroconych zasobów eliminuje akumulację zapomnianej infrastruktury, która zużywa budżet, zwiększając niemonitorowaną powierzchnię ataku.

Wykonaj bezpieczne likwidowanie zasobów za pomocą następujących procedur:

Ustanów formalne procedury likwidowania przy użyciu usług Azure Resource Manager, Azure Policy i zasad przechowywania danych zapewniających bezpieczne usuwanie zasobów przy użyciu odpowiedniej obsługi danych i zachowywania dziennika inspekcji.

Bezpieczne procedury likwidowania:

Tworzenie kopii zapasowych i przechowywanie danych: Przed usunięciem zasobów sprawdź zgodność z zasadami uzupełniania i przechowywania kopii zapasowych, zapewniając ciągłość działania i wymagania dotyczące zgodności z przepisami.
Odwołanie dostępu: Przed usunięciem usuń wszystkie przypisania ról, tożsamości zarządzane, zasady serwisowe i zasady dostępu do magazynu kluczy skojarzone z zasobami.
Walidacja zależności sieci: Sprawdź, czy nie ma aktywnych zależności sieciowych, relacji komunikacji równorzędnej ani rekordów DNS uniemożliwiających bezpieczne usuwanie zasobów.
Zgodność i kontrola archiwizacji ze względów prawnych: Przed usunięciem sprawdź, czy nie ma żadnych archiwizacji ze względów prawnych, wymagań dotyczących przechowywania przepisów prawnych ani aktywnych dochodzeń wymagających zachowania zasobów.
Włączanie miękkiego usuwania: Korzystaj z funkcji miękkiego usuwania dla magazynów kluczy, kont magazynu i baz danych, co zapewnia okno odzyskiwania w przypadku przypadkowego usunięcia.

Wykrywanie porzuconych zasobów:

Zalecenia dotyczące kosztów usługi Azure Advisor: Skorzystaj z usługi Azure Advisor identyfikując nieużywane zasoby, w tym niedołączone dyski, bezczynne maszyny wirtualne i nieużywane publiczne adresy IP.
Zapytania usługi Azure Resource Graph: Zapytania niestandardowe odnajdujące oddzielone zasoby na podstawie wzorców działań, ostatnich czasów dostępu i metryk wykorzystania zasobów.
Zautomatyzowane procesy likwidacji: Runbooki usługi Azure Automation identyfikujące i likwidujące osierocone zasoby programistyczne po skonfigurowanych okresach bezczynności, wraz z powiadomieniem właściciela.

Przykład implementacji

Organizacja z ponad 3000 zasobami w chmurze na platformie Azure i infrastrukturą lokalną napotkała wyzwania związane z zarządzaniem cyklem życia, co wpływało na powstawanie incydentów bezpieczeństwa z powodu nieprawidłowo skonfigurowanych zasobów oraz nadmiernych kosztów związanych z osieroconą infrastrukturą.

Wyzwanie: Zespoły programistyczne wdrażały zasoby bez ustandaryzowanych konfiguracji zabezpieczeń, co spowodowało, że 25% nowych wdrożeń nie ma wymagań dotyczących szyfrowania lub rejestrowania. Zasoby produkcyjne nie miały ochrony usuwania z trzema istotnymi zdarzeniami, w których krytyczne zasoby zostały przypadkowo usunięte, powodując zakłócenia w działalności biznesowej. Organizacja utrzymywała 400+ nieprzypisanych zasobów, w tym niedołączone dyski, publiczne, nieużywane adresy IP i bezczynne maszyny wirtualne, generujące koszty na poziomie 120 000 USD rocznie. Procesy zarządzania zmianami polegały na ręcznych przeglądach, które nie były w stanie wykryć zmian w konfiguracji zabezpieczeń. Proces likwidacji zasobów nie posiadał formalnych procedur, co prowadziło do niekompletnego usuwania danych i pozostających uprawnień dostępu.

Podejście do rozwiązania:

Standaryzacja aprowizacji: Wdrożono usługę Azure Deployment Stacks z szablonami zasobów ze wzmocnionymi zabezpieczeniami, zapewniając włączenie szyfrowania, skonfigurowane prywatne punkty końcowe i aktywowanie rejestrowania diagnostycznego dla wszystkich zasobów produkcyjnych skonfigurowanych przy użyciu przypisania odmowy DenyDelete. Opublikowane szablony i moduły infrastruktury jako kodu ze wstępnie zastosowanymi punktami odniesienia zabezpieczeń uniemożliwiają błędną konfigurację w czasie aprowizacji.
Zmiana ochrony: Zaimplementowano blokady zasobów platformy Azure we wszystkich grupach zasobów produkcyjnych uniemożliwiające przypadkowe usunięcie i nieautoryzowane modyfikacje infrastruktury krytycznej. Ustanowiono tablicę kontroli zmian przeglądającą modyfikacje o dużym wpływie, w tym zmiany dostawcy usług tożsamości, zmiany grup zabezpieczeń sieciowych i przypisywanie uprawnień administracyjnych. Wdrożone efekty odmowy usługi Azure Policy uniemożliwiają regresję konfiguracji zabezpieczeń, w tym zasady blokujące włączanie publicznego dostępu do Internetu, wyłączanie szyfrowania i usuwanie rejestrowania diagnostycznego.
Zarządzanie wycofywaniem z eksploatacji: Wdrożone listy kontrolne wycofywania z eksploatacji w usłudze Azure DevOps wymagające weryfikacji kopii zapasowej danych, potwierdzenia odwołania dostępu i zatwierdzenia przez zespół ds. zgodności przed usunięciem zasobów w środowisku produkcyjnym. Wdrożono polityki „miękkiego usuwania” dla magazynów kluczy, kont przechowywania i baz danych, zapewniając 90-dniowe okno odzyskiwania.
Osierocone zarządzanie zasobami: Utworzono runbooki usługi Azure Automation do cotygodniowego skanowania w poszukiwaniu osieroconych zasobów, identyfikujących i likwidujących porzucone zasoby, w tym niedołączone dyski, nieużywane publiczne adresy IP oraz bezczynne maszyny wirtualne po 30 dniach bezczynności, z powiadomieniem właściciela.

Wynik: Zgodność aprowizacyjna znacząco się poprawiła dzięki automatycznym konfiguracjom zabezpieczeń w stosach wdrożeniowych, a blokady zasobów zapobiegły przypadkowym usunięciom. Czyszczenie osieroconych zasobów zredukowało znaczne koszty infrastruktury, a zdarzenia dryfu konfiguracji zmniejszyły się dzięki efektom odmowy w ramach Azure Policy.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

NIST SP 800-53 Rev.5: CM-3, CM-3(1), CM-4, SA-3, SA-4(10)
PCI-DSS 4: 6.3.1, 6.4.1, 6.4.2, 12.3.3
Kontrole CIS w wersji 8.1: 4.1, 4.2, 15.1, 15.2
NIST CSF v2.0: PR.IP-1, PR.IP-3, PR.MA-1
ISO 27001:2022: A.5.31, A.8.1, A.8.32
SOC 2: CC6.1, CC6.6, CC8.1

AM-4: Ograniczanie dostępu do zarządzania zasobami

Zasada zabezpieczeń

Wymuszanie dostępu z najniższymi uprawnieniami do funkcji zarządzania zasobami za pomocą kontroli dostępu opartej na rolach, zasad dostępu warunkowego i mechanizmów ochrony zasobów. Ogranicz możliwość tworzenia, modyfikowania lub usuwania zasobów przez użytkowników na podstawie uzasadnienia biznesowego, wymagających silnego uwierzytelniania, bezpiecznych stacji roboczych i ograniczonego czasowo podwyższonego dostępu do operacji administracyjnych wpływających na infrastrukturę produkcyjną.

Ryzyko w celu ograniczenia ryzyka

Nadmierny dostęp do możliwości zarządzania zasobami stwarza ryzyko przypadkowego usunięcia zasobów, złośliwych modyfikacji infrastruktury i ataków eskalacji uprawnień. Bez odpowiednich kontroli dostępu:

Przypadkowy wpływ produkcji: Nadmiernie uprzywilejowani użytkownicy przypadkowo usuwają zasoby produkcyjne, modyfikują krytyczne konfiguracje sieci lub wyłączają monitorowanie zabezpieczeń, co powoduje zakłócenia w działaniu firmy.
Wzmacnianie zagrożeń wewnętrznych: Złośliwi testerzy z nadmiernymi uprawnieniami do zarządzania zasobami mogą usuwać dzienniki inspekcji, eksfiltrować dane, wdrażać złośliwą infrastrukturę lub systemy sabotażu.
Ścieżki eskalacji uprawnień: Atakujący uzyskują dostęp do kont z uprawnieniami do zarządzania zasobami i eskalują uprawnienia, modyfikując przypisania kontroli dostępu oparta na rolach, tworząc główne jednostki usługowe lub wdrażając zasoby z podwyższonym poziomem dostępu.
Błędy zgodności i inspekcji: Brak kontroli dostępu z najmniejszymi uprawnieniami narusza wymagania prawne dotyczące rozdzielenia obowiązków i tworzy wyniki inspekcji w ocenach SOX, PCI-DSS i HIPAA.
Wpływ kradzieży poświadczeń: Naruszone poświadczenia z szerokim dostępem do zarządzania zasobami umożliwiają atakującym spowodowanie maksymalnych szkód w środowisku chmury, zanim zostaną wykryci.
Obejście kontrolki zmiany: Nadmierne uprawnienia umożliwiają użytkownikom pomijanie procesów kontroli zmian, przepływów pracy zatwierdzania i procedur przeglądu zabezpieczeń w przypadku modyfikacji infrastruktury.

Nadmierny dostęp do zarządzania infrastrukturą wzmacnia wpływ zarówno przypadkowych błędów, jak i złośliwych działań.

MITRE ATT&CK

Eskalacja uprawnień (TA0004): ważne konta (T1078) przy użyciu kont z naruszonymi zabezpieczeniami z uprawnieniami do zarządzania zasobami w celu eskalacji uprawnień poprzez zmodyfikowanie przypisania roli lub utworzenie tożsamości o wysokich uprawnieniach.
Wpływ (TA0040): przejęcie zasobów (T1496) wykorzystując uprawnienia do zarządzania zasobami w celu wdrożenia zaplecza kopania kryptowalut lub innych zasobożernych złośliwych obciążeń.
Uchylanie się od obrony (TA0005): osłabianie zabezpieczeń (T1562) przy użyciu uprawnień infrastruktury do wyłączenia monitorowania zabezpieczeń, usuwania dzienników diagnostycznych lub usuwania agentów zabezpieczeń, aby uniemożliwiać wykrycie.

AM-4.1: Implementowanie kontroli dostępu opartej na rolach na potrzeby zarządzania zasobami

Szerokie uprawnienia infrastruktury umożliwiają zarówno przypadkowe błędy konfiguracji, jak i zamierzone nadużycie z wpływem wzmocnionym w wielu zasobach, dzięki czemu zarządzanie uprawnieniami ma kluczowe znaczenie dla ograniczenia promienia wybuchu zdarzeń zabezpieczeń. Dostęp o minimalnym poziomie uprawnień poprzez kontrolę opartą na rolach zapewnia personelowi dostęp tylko do zasobów niezbędnych do wykonywania uzasadnionych funkcji zawodowych, co zmniejsza ryzyko wynikające z naruszenia poświadczeń lub działania złośliwych wewnętrznych użytkowników. Aktywacja "just-in-time" przekształca stały dostęp administracyjny w tymczasowe, audytowane zdarzenia podniesienia uprawnień, które znacznie zmniejszają okno możliwości wykorzystania kradzieży poświadczeń.

Zaimplementuj zarządzanie zasobami o najniższych uprawnieniach za pomocą następujących mechanizmów kontroli dostępu:

Wdróż Azure RBAC z przypisaniami ról o najmniejszych uprawnieniach, rolami niestandardowymi oraz zakresem na poziomie zasobów, ograniczając możliwości zarządzania zasobami do autoryzowanego personelu z odpowiednim uzasadnieniem biznesowym.

Strategia roli najmniejszych uprawnień:

Rola Czytelnik jako domyślna: Przyznaj rolę Czytelnika użytkownikom ogólnym, zapewniając im wgląd w zasoby bez możliwości ich modyfikacji, co wspiera świadomość operacyjną.
Rola współautora specyficzne dla zasobów: Używaj ról współautora specyficznych dla usługi (Współautor maszyny wirtualnej, Współautor konta magazynu) zamiast szerokiej roli Współautor, aby ograniczyć zakres uprawnień.
Definicje ról niestandardowych: Utwórz niestandardowe role RBAC z minimalnymi wymaganymi uprawnieniami dla określonych funkcji, aby uniknąć nadmiernie rozbudowanych uprawnień wbudowanych ról.
Określanie zakresu grup zasobów i zasobów: Określanie zakresu przypisań ról do określonych grup zasobów lub poszczególnych zasobów zamiast przypisań dla całej subskrypcji, co zmniejsza promień wybuchu.
Przydziały ograniczone czasowo: Zaimplementuj tymczasowe przypisania ról z datami wygaśnięcia dla dostępu opartego na projekcie wymagającego okresowego ponownego aktualizowania.

Zarządzanie dostępem uprzywilejowanym:

Microsoft Entra Privileged Identity Management (PIM): Wymagaj aktywacji just in time dla ról właścicieli i współautorów z przepływami pracy zatwierdzania, wymaganiami uzasadnienia i maksymalnymi limitami czasu trwania (Microsoft Entra Privileged Identity Management).
Microsoft Entra ID Governance: Zaimplementuj Microsoft Entra ID Governance, aby prowadzić okresowe przeglądy dostępu do uprawnień zarządzania zasobami, zapewniając dostęp z najmniejszymi uprawnieniami poprzez automatyczne certyfikaty dostępu i zarządzanie uprawnieniami.
Konta dostępu awaryjnego: Obsługa kont typu break-glass z uprawnieniami właściciela zabezpieczonymi poświadczeniami w trybie offline, monitorowanymi dostępami i regularnymi procedurami weryfikacji.
Rozdzielenie obowiązków: Oddzielne uprawnienia do aprowizacji zasobów, konfiguracji zabezpieczeń i zarządzania siecią uniemożliwiające zmianom wysokiego ryzyka pojedynczego użytkownika.

AM-4.2: Implementowanie dostępu warunkowego na potrzeby zarządzania platformą Azure

Samo weryfikowanie tożsamości użytkownika zapewnia niewystarczającą ochronę zarządzania infrastrukturą, gdy przeciwnicy działają z naruszonych urządzeń, niezaufanych sieci lub nietypowych lokalizacji, które wskazują kradzież poświadczeń. Zasady dostępu warunkowego wymuszają zgodność urządzeń, ograniczenia sieci i mechanizmy kontroli oparte na ryzyku, dzięki czemu zarządzanie infrastrukturą odbywa się tylko z zaufanych kontekstów spełniających standardy zabezpieczeń. Uwierzytelnianie wieloskładnikowe w połączeniu z weryfikacją urządzenia i lokalizacji tworzy ochronę w głębi systemu, co uniemożliwia naruszenie infrastruktury nawet w przypadku kradzieży poświadczeń.

Wymuszanie dostępu do infrastruktury obsługującej kontekst za pomocą następujących zasad:

Wdróż zasady dostępu warunkowego firmy Microsoft Entra ograniczające dostęp do usługi Azure Resource Manager na podstawie zgodności urządzeń, lokalizacji sieciowej i poziomu ryzyka z wymaganiami uwierzytelniania wieloskładnikowego.

Wymagania dotyczące zasad dostępu warunkowego:

Wymuszanie uwierzytelniania wieloskładnikowego: Wymagaj uwierzytelniania wieloskładnikowego dla całego dostępu do aplikacji azure Management App (interfejs API usługi Azure Resource Manager) uniemożliwiającej ataki oparte na poświadczeniach na potrzeby zarządzania infrastrukturą.
Wymaganie zgodnego urządzenia: Ogranicz dostęp do zarządzania platformą Azure wyłącznie do urządzeń zgodnych z usługą Intune, uniemożliwiając zarządzanie zasobami z niezarządzanych urządzeń osobistych.
Stacja robocza z dostępem uprzywilejowanym (PAW): Wymagaj dostępu do ról właścicieli i współautorów z dedykowanych stacji roboczych z dostępem uprzywilejowanym z rozszerzonymi konfiguracjami zabezpieczeń.
Ograniczenia lokalizacji sieciowej: Ogranicz dostęp do zarządzania platformy Azure do firmowych lokalizacji sieciowych lub zatwierdzonych połączeń sieci VPN blokujących dostęp z niezaufanych sieci.
Kontrola dostępu oparta na ryzyku: Blokuj lub wymagaj dodatkowego uwierzytelniania dostępu do zarządzania platformy Azure z nieznanych lokalizacji, ryzykownych logów lub anonimowych adresów IP.

Scenariusze blokowania dostępu warunkowego:

Polityka blokowania dostępu: Zaimplementuj zasadę "Blokuj dostęp" dla aplikacji Microsoft Azure Management dla użytkowników, którzy nigdy nie powinni mieć dostępu do zarządzania infrastrukturą Azure.
Limity czasu trwania sesji: Skonfiguruj krótki okres istnienia sesji dla uprzywilejowanego dostępu wymagającego częstego ponownego uwierzytelniania na potrzeby długotrwałych działań zarządzania infrastrukturą.
Wymaganie dotyczące warunków użytkowania: Wymagaj akceptacji warunków użytkowania, przedstawiając akceptowalne zasady użytkowania i obowiązki w zakresie zabezpieczeń przed dostępem do zarządzania platformą Azure.

AM-4.3: Implementowanie blokad zasobów i niezmienności

Kontrola dostępu oparta na rolach ogranicza to, kto może modyfikować infrastrukturę, ale zapobieganie przypadkowemu lub złośliwemu niszczeniu krytycznych zasobów wykracza poza same uprawnienia, wymagając użycia mechanizmów zapewniających niezmienność. Blokady zasobów przekształcają zarządzanie z zarządzania uprawnieniami w egzekwowanie techniczne, które blokuje usuwanie lub modyfikowanie nawet kont z uprawnieniami właściciela, zapobiegając nieodwracalnej utracie danych z powodu błędu ludzkiego lub naruszonych poświadczeń. Stosy wdrażania rozszerzają ochronę artefaktów zarządzania, dzięki czemu zasady zabezpieczeń i przypisania ról nie mogą być usuwane przez same przywileje, które powinny kontrolować.

Wymuszanie niezmienności zasobów za pomocą tych mechanizmów ochrony:

Wdróż blokady zasobów platformy Azure i ustawienia odmowy usługi Azure Deployment Stacks uniemożliwiające usunięcie zasobów lub modyfikację nawet przez użytkowników z uprawnieniami właściciela wymagającymi jawnej zmiany zasad w ramach zarządzanego procesu.

Strategia blokowania zasobów:

Blokady CanNotDelete: Zastosuj blokady CanNotDelete do zasobów produkcyjnych uniemożliwiających przypadkowe usunięcie przy jednoczesnym umożliwieniu modyfikacji konfiguracji w celu zapewnienia elastyczności operacyjnej.
Blokady funkcji ReadOnly: Wdróż blokady ReadOnly w infrastrukturze poufnej, w tym sieciowych grup zabezpieczeń, sieci wirtualnych i zasobów tożsamości uniemożliwiających wszelkie modyfikacje bez usuwania blokady.
Dziedziczone blokady: Zastosuj blokady na poziomie grupy zasobów lub subskrypcji z dziedziczeniem do zasobów podrzędnych, co upraszcza zarządzanie i zapobiega obejściu blokady poprzez tworzenie nowych zasobów.
Przepływ pracy zatwierdzania usunięcia blokady: Wymagana jest aprobata zespołu ds. bezpieczeństwa oraz wdrożenie procesu zarządzania zmianami dla usunięcia blokady, z rejestrowaniem audytu i dokumentacją uzasadnienia.

Ustawienia odmowy usługi Azure Deployment Stacks:

Przypisania odmowy dla stosów wdrożeniowych: Stosy wdrożeniowe z ustawieniami odmowy, które uniemożliwiają modyfikację lub usunięcie zarządzanych zasobów, nawet przez właścicieli subskrypcji, zapewniając niezmienność infrastruktury.
Tryb DenyDelete: Stosy wdrożeń skonfigurowane za pomocą trybu DenyDelete chronią przypisania zasad, przypisania ról oraz wdrożone zasoby przed usunięciem, pozwalając na aktualizacje konfiguracji.
Tryb DenyWriteAndDelete: Stosy wdrożeń w trybie DenyWriteAndDelete uniemożliwiają wszelkie modyfikacje konfiguracji zarządzania, które wymagają aktualizacji stosu poprzez kontrolowany proces infrastruktury jako kodu.

Przykład implementacji

Organizacja usług finansowych przetwarzająca ponad 2 miliardy USD w codziennych transakcjach napotyka problemy z kontrolą dostępu do zarządzania zasobami, co stwarza zagrożenia dla zgodności z SOX oraz incydenty bezpieczeństwa związane z nieautoryzowanymi zmianami infrastruktury.

Wyzwanie: Zespoły aplikacji posiadały nadmierne uprawnienia z rolą Współautor przypisaną na poziomie subskrypcji, umożliwiając nieautoryzowany dostęp do systemów przetwarzania transakcji finansowych w wielu grupach zasobów. Wystąpiły trzy zdarzenia zabezpieczeń, w których deweloperzy przypadkowo zmodyfikowali produkcyjne sieciowe grupy zabezpieczeń powodujące zakłócenia przetwarzania płatności. Wyniki inspekcji SOX zidentyfikowały niewystarczające mechanizmy kontroli dostępu z więcej niż 40 użytkownikami posiadającymi stałe uprawnienia właściciela (Owner) bez jasnego uzasadnienia biznesowego. Zewnętrzni atakujący naruszyli poświadczenia dewelopera i uzyskiwali dostęp do portalu zarządzania platformy Azure z lokalizacji innych niż firmowe bez dodatkowej weryfikacji zabezpieczeń. Krytyczna infrastruktura nie ma ochrony usuwania z ryzykiem przypadkowego usunięcia zasobów przetwarzania płatności.

Podejście do rozwiązania:

Najmniej uprzywilejowany dostęp: Wdrożono niestandardowe role Azure RBAC, przyznając zespołom aplikacji uprawnienia Współtwórcy przypisane do ich grup zasobów bez dostępu do całej subskrypcji. Usunięto przypisania poziomu współautora na poziomie subskrypcji wpływające na ponad 40 użytkowników, co zmniejszyło nadmierne uprawnienia o 85%.
Dostęp just-in-time: Wdrożono usługę Privileged Identity Management, która wymaga aktywacji just-in-time dla ról Contributor i Owner, z przepływem pracy obejmującym zatwierdzenie przez menedżera oraz 8-godzinnym, ograniczonym czasem trwania dostępu. Wyeliminowano stały uprzywilejowany dostęp do rutynowych operacji.
Ochrona dostępu: Skonfigurowano zasady dostępu warunkowego firmy Microsoft Entra wymagające uwierzytelniania wieloskładnikowego, zgodnego urządzenia i firmowej lokalizacji sieciowej dla wszystkich dostępu do zarządzania platformy Azure uniemożliwiających próby dostępu zewnętrznego. Ustanowiono program stacji roboczej uprzywilejowanego dostępu z dedykowanymi maszynami wirtualnymi ze wzmocnionymi zabezpieczeniami na potrzeby działań zarządzania infrastrukturą izolowanych od standardowej sieci firmowej.
Ochrona zasobów: Zastosowano blokady CanNotDelete do wszystkich produkcyjnych grup zasobów chroniących systemy przetwarzania transakcji finansowych przed przypadkowym usunięciem. Wdrożone blokady ReadOnly w sieciowych grupach zabezpieczeń, sieciach wirtualnych i obwodach usługi ExpressRoute uniemożliwiają nieautoryzowane zmiany konfiguracji sieci. Skonfigurowane stosy wdrożeń z ustawieniem DenyWriteAndDelete dla zasobów zarządzania, w tym przypisania zasad, role RBAC i konfiguracje punktu odniesienia zabezpieczeń.

Wynik: Pełna zgodność SOX osiągnięta ze wszystkimi ustaleniami audytu skorygowanymi za pomocą kontroli dostępu opartej na rolach (RBAC) z zasadą najmniejszych uprawnień i egzekwowaniem blokady zasobów. Nieautoryzowane zmiany infrastruktury i próby dostępu zewnętrznego są eliminowane za pomocą zasad dostępu warunkowego, a wydajność operacyjna jest zachowana dzięki aktywacji dostępu uprzywilejowanego w trybie just-in-time.

Poziom krytyczny

To musisz mieć.

Mapowanie kontrolek

NIST SP 800-53 Rev.5: AC-2, AC-2(1), AC-5, AC-6, AC-6(1), AC-6(5)
PCI-DSS 4: 7.2.2, 7.2.4, 7.2.5, 8.2.2
Kontrolki CIS w wersji 8.1: 5.4, 6.1, 6.7, 6.8
NIST CSF v2.0: PR.AC-4, PR.AC-7, PR.PT-3
ISO 27001:2022: A.5.15, A.5.16, A.5.18, A.8.2
SOC 2: CC6.1, CC6.2, CC6.3

AM-5: Używaj tylko zatwierdzonych aplikacji na maszynie wirtualnej

Zasada zabezpieczeń

Wymuszanie kontroli aplikacji za pomocą zasad listy dozwolonych i monitorowania zachowań, dzięki czemu tylko autoryzowane oprogramowanie jest wykonywane na zasobach obliczeniowych. Zapobiegaj nieautoryzowanemu wykonywaniu oprogramowania, w tym złośliwemu oprogramowaniu, niezatwierdzonym narzędziom i przestarzałym aplikacjom przy zachowaniu elastyczności operacyjnej zatwierdzonych aplikacji biznesowych i zadań administracyjnych.

Ryzyko w celu ograniczenia ryzyka

Niekontrolowane wykonywanie oprogramowania na maszynach wirtualnych powoduje luki w zabezpieczeniach za pośrednictwem złośliwego oprogramowania, nieautoryzowanych narzędzi i nieaktualnego oprogramowania. Bez kontroli aplikacji:

Złośliwe oprogramowanie i wykonywanie oprogramowania wymuszającego okup: Brak listy dozwolonych aplikacji umożliwia wykonywanie złośliwego oprogramowania, oprogramowania wymuszającego okup i innego złośliwego oprogramowania, gdy osoby atakujące uzyskają dostęp do systemu.
Nieautoryzowane narzędzia administracyjne: Osoby atakujące instalują narzędzia dostępu zdalnego, skanery sieciowe, narzędzia dumpingu poświadczeń i inne narzędzia po eksploatacyjne obsługujące progresję ataku.
Niezatwierdzone oprogramowanie komercyjne: Użytkownicy instalują nielicencjonowane oprogramowanie, narzędzia osobiste i niezatwierdzone aplikacje tworzące odpowiedzialność prawną, luki w zabezpieczeniach i wyzwania związane z pomocą techniczną.
Nieaktualne oprogramowanie podatne na zagrożenia: Starsze aplikacje i nieaktualne wersje oprogramowania są utrwalane w systemach zawierających znane luki w zabezpieczeniach, które można wykorzystać przez osoby atakujące.
Użycie narzędzi zagrożenia wewnętrznego: Złośliwi pracownicy wewnętrzni instalują narzędzia do eksfiltracji danych, oprogramowanie szyfrujące oraz aplikacje do sabotażu systemu bez możliwości wykrycia.
Kopanie i nadużycie kryptowalut: Zainfekowane systemy uruchamiają kopaczy kryptowalut, klienty botnetu oraz inne złośliwe aplikacje intensywnie wykorzystujące zasoby, co obniża wydajność.

Niekontrolowane wykonywanie aplikacji umożliwia osobom atakującym wdrożenie pełnego zestawu narzędzi po eksploatacji po osiągnięciu początkowego dostępu.

MITRE ATT&CK

Wykonanie (TA0002): uruchamianie przez użytkownika (T1204) oszukiwanie użytkowników, aby uruchomili złośliwe oprogramowanie, które omija mechanizmy kontroli aplikacji lub wykorzystuje luki w zasadach.
Ominięcie obrony (TA0005): maskowanie (T1036) złośliwych plików wykonywalnych jako legalnych aplikacji w celu ominięcia kontroli listy dozwolonych aplikacji.
Dostęp poświadczeń (TA0006): dumping poświadczeń systemu operacyjnego (T1003) wykonując narzędzia kradzieży poświadczeń, takie jak Mimikatz zbieranie poświadczeń z pamięci na potrzeby eskalacji uprawnień.

AM-5.1: Implementowanie adaptacyjnych kontrolek aplikacji

Nieograniczone wykonywanie aplikacji umożliwia przeciwnikom natychmiastowe wdrażanie zestawów narzędzi poueksploatacyjnych po uzyskaniu początkowego dostępu, przekształcając drobne naruszenia w pełną kontrolę nad systemem przed wykryciem. Kontrola aplikacji zezwala na wyświetlanie listy odwraca tradycyjną obronę antywirusową, definiując zatwierdzone oprogramowanie i blokując wszystko inne, zapobiegając nieznanemu złośliwemu oprogramowaniu i technikom życia poza ziemią, które unikają wykrywania opartego na podpisach. Funkcje adaptacyjnego sterowania opartego na uczeniu maszynowym eliminują obciążenie operacyjne ręcznej konserwacji zasad przez automatyczne dostosowywanie list dozwolonych w miarę rozwoju legalnych aplikacji przy zachowaniu ochrony przed nieautoryzowanym oprogramowaniem.

Ustanów ograniczenie pliku wykonywalnego za pomocą tych kontrolek aplikacji:

Wdróż funkcje adaptacyjnego sterowania aplikacjami w usłudze Microsoft Defender for Cloud automatycznie generując listy dozwolonych aplikacji w oparciu o obserwowane zachowanie dzięki możliwościom ciągłego uczenia się i wymuszania.

Implementacja adaptacyjnej kontroli aplikacji:

Automatyczne generowanie listy dozwolonych: Analiza wzorców wykonywania aplikacji oparta na uczeniu maszynowym generująca zalecane listy dozwolonych dla grup maszyn wirtualnych.
Okres uczenia w trybie inspekcji: Początkowe wdrożenie w trybie inspekcji, podczas którego obserwuje się wzorce wykonywania aplikacji, bez wymuszania, w celu stworzenia kompleksowej linii bazowej aplikacji.
Aktywacja w trybie wymuszania: Przejście do trybu wymuszania blokującego nieautoryzowane wykonywanie aplikacji po ustanowieniu punktu odniesienia z ciągłym uczeniem i automatycznymi aktualizacjami reguł.
Monitorowanie integralności plików: Integracja z monitorowaniem integralności plików wykrywającym nieautoryzowane próby instalacji aplikacji i modyfikacje pliku konfiguracji.
Reguły oparte na wydawcy: Reguły listy dozwolonych aplikacji na podstawie certyfikatów wydawcy, skrótów plików i specyfikacji ścieżek równoważą zabezpieczenia z elastycznością operacyjną.

Konfiguracja zasad kontroli aplikacji:

Zasady oparte na grupach: Organizowanie maszyn wirtualnych w grupy na podstawie wymagań aplikacji stosowania dostosowanych zasad kontroli aplikacji na rolę serwera.
Zalecana akceptacja reguły: Przejrzyj i zaakceptuj zalecenia dotyczące adaptacyjnej kontroli aplikacji przy użyciu weryfikacji zespołu zabezpieczeń przed wymuszeniem aktywacji.
Dodawanie reguły niestandardowej: Dodaj niestandardowe reguły listy dozwolonych dla aplikacji, skryptów i narzędzi administracyjnych specyficznych dla firmy, które nie są automatycznie wykrywane podczas fazy uczenia.
Monitorowanie alertów i naruszeń: Monitorowanie naruszeń kontroli aplikacji w usłudze Defender for Cloud za pomocą automatycznych alertów w przypadku nieautoryzowanych prób wykonania wymagających badania.

AM-5.2: Implementowanie spisu oprogramowania i śledzenia zmian

Kontrola aplikacji uniemożliwia wykonywanie nieautoryzowanego oprogramowania, ale wykrywanie instalacji oprogramowania, zmian konfiguracji i modyfikacji systemu zapewnia widoczność wymaganą do identyfikowania obejść kontroli, naruszeń zasad i pojawiających się zagrożeń. Kompleksowy spis oprogramowania umożliwia zarządzanie lukami w zabezpieczeniach, identyfikując nieaktualne aplikacje wymagające poprawek, podczas gdy śledzenie zmian ujawnia nieautoryzowane modyfikacje wskazujące na naruszenie lub działanie niejawne. Ciągłe monitorowanie przekształca migawki inwentarza w określonym momencie w inteligencję bezpieczeństwa, która wykrywa nietypowe zmiany, zanim się one eskalują do incydentów.

Monitoruj zmiany oprogramowania i konfiguracji za pomocą następujących możliwości:

Wdróż śledzenie zmian i spis przy użyciu agenta usługi Azure Monitor , zapewniając kompleksowy wgląd w zainstalowane oprogramowanie, zmiany konfiguracji i nieautoryzowane instalacje aplikacji na maszynach wirtualnych.

Możliwości śledzenia zmian:

Zbieranie spisu oprogramowania: Zautomatyzowana kolekcja zainstalowanego oprogramowania, w tym nazw aplikacji, wersji, wydawców i dat instalacji na maszynach wirtualnych z systemem Windows i Linux przy użyciu agenta usługi Azure Monitor.
Monitorowanie zmian plików: Śledzenie zmian w plikach krytycznych i katalogach wykrywających nieautoryzowane instalowanie oprogramowania, modyfikowanie konfiguracji i wdrażanie złośliwego oprogramowania przy użyciu konfigurowalnego monitorowania ścieżki plików.
Monitorowanie usługi systemu Windows: Monitoruj zmiany usługi systemu Windows wykrywające nieautoryzowane instalacje usług i modyfikacje konfiguracji wskazujące złośliwe oprogramowanie lub mechanizmy trwałości z konfigurowalną częstotliwością zbierania.
Śledzenie zmian rejestru: Monitorowanie rejestru systemu Windows wykrywa mechanizmy utrwalania, zmiany konfiguracji i modyfikacje rejestru związane ze złośliwym oprogramowaniem, z obsługą gałęzi rejestru HKEY_LOCAL_MACHINE.
Monitorowanie demona systemu Linux: Śledzenie zmian demona systemu Linux i systemd service identyfikujących nieautoryzowane procesy w tle i mechanizmy trwałości w obsługiwanych dystrybucjach systemu Linux.

Analiza spisu i alerty:

Porównanie zatwierdzania oprogramowania: Porównaj odnalezione oprogramowanie z zatwierdzonym wykazem aplikacji identyfikującym niezatwierdzone aplikacje wymagające zbadania lub usunięcia za pomocą zapytań usługi Log Analytics.
Korelacja luk w zabezpieczeniach: Skorelowanie spisu oprogramowania z bazami danych luk w zabezpieczeniach identyfikującymi nieaktualne oprogramowanie wymagające stosowania poprawek lub zastąpienie zintegrowane z usługą Microsoft Defender Vulnerability Management.
Zmień reguły alertów: Skonfiguruj reguły alertów usługi Azure Monitor wyzwalające powiadomienia w przypadku zmiany krytycznych plików, instalacji nieautoryzowanego oprogramowania lub modyfikacji rejestru przy użyciu progów możliwych do dostosowania.
Integracja usługi Log Analytics: Dane śledzenia zmian są automatycznie przechowywane w obszarze roboczym Log Analytics, co umożliwia wykonywanie zaawansowanych zapytań KQL, korzystanie z pulpitów skoroszytów Azure i korelację z usługą Microsoft Sentinel.

AM-5.3: Kontrolowanie wykonywania skryptów i narzędzi administracyjnych

Programy PowerShell, Python i inne języki skryptów udostępniają przeciwnikom zaawansowane środowiska wykonawcze, które pomijają tradycyjne kontrolki wykonywalne, oferując jednocześnie rozbudowany dostęp do systemu i możliwości zaciemniania. Narzędzia administracyjne przeznaczone do prawidłowego zarządzania systemem stają się narzędziami eksploatacji w rękach osoby atakującej, umożliwiając kradzież poświadczeń, przemieszczanie się wzdłuż sieci i utrzymanie obecności. Ograniczenie wykonywania skryptu do podpisanego, autoryzowanego kodu i ograniczenie dostępu narzędzi administracyjnych do zatwierdzonego personelu uniemożliwia przeciwnikom korzystanie z wbudowanych funkcji w celach złośliwych przy zachowaniu elastyczności operacyjnej za pośrednictwem ograniczonych środowisk wykonywania.

Kontroluj wykonywanie skryptów i dostęp administracyjny za pomocą następujących ograniczeń:

Zaimplementuj zasady wykonywania skryptów programu PowerShell, funkcję AppLocker i kontrolę aplikacji usługi Windows Defender ograniczające wykonywanie skryptów i narzędzi administracyjnych autoryzowanym personelom i scenariuszom.

Kontrolki wykonywania skryptu:

Zasady wykonywania programu PowerShell: Skonfiguruj zasady wykonywania programu PowerShell wymagające podpisywania skryptów dla skryptów zdalnych przy zachowaniu elastyczności podpisanych skryptów administracyjnych.
Tryb języka ograniczonego programu PowerShell: Wdróż ograniczony tryb językowy programu PowerShell ograniczający możliwości programu PowerShell uniemożliwiające wykonywanie złośliwych skryptów przy jednoczesnym umożliwieniu zatwierdzonych zadań administracyjnych.
Rejestrowanie bloków skryptów: Włącz rejestrowanie bloków skryptów programu PowerShell przechwytujące cały wykonany kod programu PowerShell na potrzeby monitorowania zabezpieczeń i badania śledczego.
Just Enough Administration (JEA): Zaimplementuj punkty końcowe Just Enough Administration ograniczające możliwości administracyjne programu PowerShell do określonych zatwierdzonych poleceń cmdlet i parametrów.

Ograniczenia narzędzi administracyjnych:

Windows Defender Application Control (WDAC): Wdróż zasady kontroli aplikacji usługi Windows Defender umożliwiające wykonywanie tylko zatwierdzonych narzędzi administracyjnych, narzędzi systemowych i aplikacji biznesowych.
Konfiguracja reguł AppLocker: Skonfiguruj reguły wydawcy AppLocker, reguły ścieżki i reguły skrótu kontrolujące użycie narzędzi administracyjnych i aplikacji narzędziowych.
Kompilacje binarne typu living-off-the-land (LOLBin): Ogranicz wykonywanie systemowych plików binarnych często wykorzystywanych przez atakujących, w tym regsvr32, rundll32 i mshta.

Przykład implementacji

Organizacja opieki zdrowotnej przetwarzająca chronione informacje o zdrowiu (PHI) na ponad 500 serwerach z systemem Windows napotkała trudności z kontrolą aplikacji, które spowodowały podatność na ransomware oraz luki w zgodności z HIPAA.

Wyzwanie: Organizacja doświadczyła dwóch zdarzeń związanych z oprogramowaniem wymuszającym okup, w których atakujący wykonali nieautoryzowane narzędzia szyfrowania na serwerach plików, powodując zakłócenia w działalności biznesowej i wyzwalając wymagania dotyczące powiadomień o naruszeniach zabezpieczeń HIPAA. Zespoły ds. zabezpieczeń nie mają wglądu w zainstalowane aplikacje na ponad 500 serwerach z nieznanym rozprzestrzenianiem oprogramowania, co stwarza zagrożenie dla zgodności. Deweloperzy zainstalowali niezatwierdzone narzędzia administracyjne, w tym narzędzia dostępu zdalnego i oprogramowanie do debugowania, na serwerach produkcyjnych, co naraziło PHI na nieautoryzowany dostęp. Skrypty programu PowerShell wykonywane bez rejestrowania lub ograniczeń, dzięki czemu osoby atakujące mogą wykonywać rekonesans i ruch poprzeczny niezakryty. Wyniki inspekcji HIPAA zidentyfikowały niewystarczającą kontrolę nad wykonywaniem aplikacji i brakiem zarządzania spisem oprogramowania.

Podejście do rozwiązania:

Wdrażanie kontroli aplikacji: Wdrożono funkcje adaptacyjnego sterowania aplikacjami w usłudze Microsoft Defender for Cloud na wszystkich serwerach z systemem Windows z 30-dniowym okresem szkoleniowym w trybie inspekcji przed aktywacją wymuszania. Skonfigurowane zasady kontroli aplikacji uporządkowane według ról serwera, w tym serwerów sieci Web, serwerów baz danych, serwerów plików i kontrolerów domeny z dostosowanymi listami dozwolonych na typ obciążenia blokujące nieautoryzowane próby wykonania, w tym oprogramowanie wymuszające okup i narzędzia hakerskie.
Monitorowanie zmian: Zaimplementowano śledzenie zmian i spis przy użyciu Agenta usługi Azure Monitor do monitorowania instalacji oprogramowania, modyfikacji plików oraz zmian w rejestrze na maszynach wirtualnych, z integracją z usługą Microsoft Sentinel w celu korelacji zabezpieczeń. Utworzono reguły alertów usługi Azure Monitor dla naruszeń kontroli aplikacji identyfikujących próby wykonania złośliwego oprogramowania i nieautoryzowanego użycia narzędzia wymagającego badania zespołu ds. zabezpieczeń.
Kontrolki wykonywania skryptu: Włączony skrypt programu PowerShell blokuje rejestrowanie i tryb języka ograniczonego na wszystkich maszynach wirtualnych przechwytujących polecenia programu PowerShell na potrzeby analizy zabezpieczeń i blokowania prób wykonania złośliwego skryptu. Wdrożone zasady kontroli aplikacji usługi Windows Defender na kontrolerach domeny i serwerach urzędu certyfikacji uniemożliwiające nieautoryzowane wykonywanie narzędzi administracyjnych chroniących infrastrukturę usługi Active Directory.

Wynik: Incydenty ransomware wyeliminowane poprzez egzekwowanie kontroli aplikacji, co blokuje nieautoryzowane próby uruchomienia. Ustalenia z audytu HIPAA zostały rozwiązane, podczas gdy monitorowanie przy użyciu programu PowerShell umożliwiało wykrywanie ruchów bocznych i działań rekonesansu, co poprawiało szybkość analizowania incydentów.

Poziom krytyczny

Powinien mieć.

Mapowanie kontrolek

NIST SP 800-53 Rev.5: CM-7(2), CM-7(5), SC-18, SI-3, SI-4
PCI-DSS 4: 5.2.1, 5.2.2, 5.3.3, 11.5.1
Kontrole CIS w wersji 8.1: 2.3, 2.5, 2.6, 10.5
NIST CSF v2.0: PR.DS-6, PR.PT-2, DE.CM-4
ISO 27001:2022: A.8.7, A.8.12, A.8.19
SOC 2: CC6.1, CC6.6, CC7.2

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-11-12

Udostępnij przez

Zarządzanie zasobami

AM-1: Śledzenie spisu zasobów i ich ryzyka

Zasada zabezpieczeń

Ryzyko w celu ograniczenia ryzyka

MITRE ATT&CK

AM-1.1: Implementowanie kompleksowego spisu zasobów i odnajdywania

AM-1.2: Rozszerzanie spisu na środowiska hybrydowe i wielochmurowe

AM-1.3: Udzielanie dostępu do inwentarza organizacji bezpieczeństwa

AM-1.4: Monitorowanie ryzyka zasobów i stanu zabezpieczeń

Przykład implementacji

Poziom krytyczny

Mapowanie kontrolek

AM-2: Używanie tylko zatwierdzonych usług

Zasada zabezpieczeń

Ryzyko w celu ograniczenia ryzyka

MITRE ATT&CK

AM-2.1: Implementowanie ograniczeń usługi Azure Policy

AM-2.2: Monitorowanie i powiadamianie o niezatwierdzonym użyciu usług

Przykład implementacji

Poziom krytyczny

Mapowanie kontrolek

AM-3: Zapewnianie bezpieczeństwa zarządzania cyklem życia zasobów

Zasada zabezpieczeń

Ryzyko w celu ograniczenia ryzyka

MITRE ATT&CK

AM-3.1: Zaimplementować bezpieczną aprowizację zasobów

AM-3.2: Implementowanie kontroli zmian cyklu życia zasobów

AM-3.3: Implementowanie systematycznego likwidowania zasobów

Przykład implementacji

Poziom krytyczny

Mapowanie kontrolek

AM-4: Ograniczanie dostępu do zarządzania zasobami

Zasada zabezpieczeń

Ryzyko w celu ograniczenia ryzyka

MITRE ATT&CK

AM-4.1: Implementowanie kontroli dostępu opartej na rolach na potrzeby zarządzania zasobami

AM-4.2: Implementowanie dostępu warunkowego na potrzeby zarządzania platformą Azure

AM-4.3: Implementowanie blokad zasobów i niezmienności

Przykład implementacji

Poziom krytyczny

Mapowanie kontrolek

AM-5: Używaj tylko zatwierdzonych aplikacji na maszynie wirtualnej

Zasada zabezpieczeń

Ryzyko w celu ograniczenia ryzyka

MITRE ATT&CK

AM-5.1: Implementowanie adaptacyjnych kontrolek aplikacji

AM-5.2: Implementowanie spisu oprogramowania i śledzenia zmian

AM-5.3: Kontrolowanie wykonywania skryptów i narzędzi administracyjnych

Przykład implementacji

Poziom krytyczny

Mapowanie kontrolek

Sprzężenie zwrotne

Dodatkowe źródła