Zabezpieczanie infrastruktury za pomocą rozwiązania Zero Trust
Infrastruktura reprezentuje wektor zagrożenia krytycznego. Infrastruktura IT, zarówno lokalna, jak i wielochmurowa, jest definiowana jako cały sprzęt (fizyczny, wirtualny, konteneryzowany), oprogramowanie (open source, first-and third-party, PaaS, SaaS), mikrousługi (funkcje, interfejsy API), infrastruktura sieciowa, obiekty itd., które jest wymagane do opracowywania, testowania, dostarczania, monitorowania, kontroli lub obsługi usług IT. Jest to obszar, w którym firma Microsoft zainwestowała ogromne zasoby, aby opracować kompleksowy zestaw możliwości w celu zabezpieczenia przyszłej infrastruktury chmurowej i lokalnej.
Nowoczesne zabezpieczenia z kompleksową strategią zero trust ułatwia:
- Ocena wersji.
- Wykonaj zarządzanie konfiguracją.
- Stosowanie uprawnień administracyjnych Just-In-Time i Just-Enough-Access (JIT/JEA) w celu zabezpieczenia ochrony przed zabezpieczeniami.
- Używanie telemetrii do wykrywania ataków i anomalii.
- Automatycznie blokuj i flaguj ryzykowne zachowanie i podejmij działania ochronne.
Tak samo ważne, usługa Microsoft Azure Blueprints i powiązane możliwości zapewniają, że zasoby są projektowane, implementowane i trwałe w sposób zgodny z zasadami, standardami i wymaganiami organizacji.
Usługi Azure Blueprints, Azure Policies, Microsoft Defender dla Chmury, Microsoft Sentinel i Azure Sphere mogą znacznie przyczynić się do poprawy bezpieczeństwa wdrożonej infrastruktury. Umożliwiają one różne podejście do definiowania, projektowania, aprowizacji, wdrażania i monitorowania infrastruktury.
Cele wdrożenia infrastruktury Zero Trust
Napiwek
Przed rozpoczęciem podróży przez większość organizacji zero trust ich podejście do zabezpieczeń infrastruktury charakteryzuje się następującymi cechami:
- Uprawnienia są zarządzane ręcznie w różnych środowiskach.
- Zarządzanie konfiguracją maszyn wirtualnych i serwerów, na których działają obciążenia.
|
Podczas implementowania kompleksowej platformy Zero Trust na potrzeby zarządzania infrastrukturą i monitorowania jej infrastruktury zalecamy skupienie się najpierw na tych początkowych celach wdrażania: |
|
|
|
I. Obciążenia są monitorowane i powiadamiane o nietypowym zachowaniu. II. Każde obciążenie jest przypisywane tożsamości aplikacji — i konfigurowane i wdrażane spójnie. |
|
Po zakończeniu początkowych celów skoncentruj się na następujących dodatkowych celach wdrażania: |
|
|
|
IV. Nieautoryzowane wdrożenia są blokowane i wyzwalany jest alert. V. Szczegółowa widoczność i kontrola dostępu są dostępne w różnych obciążeniach. VI. Dostęp użytkowników i zasobów podzielone na segmenty dla każdego obciążenia. |
Przewodnik wdrażania infrastruktury zerowej zaufania
Ten przewodnik przeprowadzi Cię przez kroki wymagane do zabezpieczenia infrastruktury zgodnie z zasadami platformy zabezpieczeń Zero Trust.
Przed rozpoczęciem upewnij się, że zostały spełnione te cele wdrażania infrastruktury bazowej.
Ustawianie planu bazowego dzierżawy firmy Microsoft
Należy ustawić priorytetową linię bazową dla sposobu zarządzania infrastrukturą. Stosując wskazówki branżowe, takie jak NIST 800-53, można uzyskać zestaw wymagań dotyczących zarządzania infrastrukturą. W firmie Microsoft ustawiliśmy minimalny plan bazowy na następującą listę wymagań:
-
Dostęp do danych, sieci, usług, narzędzi, narzędzi i aplikacji musi być kontrolowany przez mechanizmy uwierzytelniania i autoryzacji.
-
Dane muszą być szyfrowane podczas przesyłania i przechowywania.
-
Ogranicz przepływy ruchu sieciowego.
-
Wgląd zespołu ds. zabezpieczeń we wszystkich zasobach.
-
Monitorowanie i inspekcja musi być włączone i poprawnie skonfigurowane zgodnie z określonymi wskazówkami organizacyjnymi.
-
Oprogramowanie chroniące przed złośliwym oprogramowaniem musi być aktualne i uruchomione.
-
Należy przeprowadzić skanowanie luk w zabezpieczeniach i skorygować luki w zabezpieczeniach zgodnie z określonymi wskazówkami organizacyjnymi.
Aby zmierzyć zgodność z tą minimalną lub rozszerzoną bazą danych, zaczynamy od uzyskania widoczności na poziomie dzierżawy i w środowiskach lokalnych, stosując rolę Czytelnik zabezpieczeń w dzierżawie platformy Azure. Dzięki roli Czytelnik zabezpieczeń można uzyskać lepszy wgląd w Microsoft Defender dla Chmury i zasady platformy Azure, które mogą służyć do stosowania branżowych punktów odniesienia (na przykład azure CIS, PCI, ISO 27001) lub niestandardowej linii bazowej zdefiniowanej przez organizację.
Uprawnienia są zarządzane ręcznie w różnych środowiskach
Na poziomie dzierżawy do poszczególnych zasobów w ramach każdej subskrypcji usługi ad grupy zasobów należy zastosować odpowiednie mechanizmy kontroli dostępu opartej na rolach.
Napiwek
Dowiedz się więcej o implementowaniu kompleksowej strategii zero trust tożsamości.
Zarządzanie konfiguracją maszyn wirtualnych i serwerów, na których działają obciążenia
Podobnie jak zarządzaliśmy środowiskiem lokalnego centrum danych, musimy również upewnić się, że skutecznie zarządzamy naszymi zasobami w chmurze. Zaletą korzystania z platformy Azure jest możliwość zarządzania wszystkimi maszynami wirtualnymi z jednej platformy przy użyciu usługi Azure Arc (wersja zapoznawcza). Za pomocą usługi Azure Arc można rozszerzyć punkty odniesienia zabezpieczeń z poziomu usługi Azure Policy, zasad Microsoft Defender dla Chmury i oceny wskaźnika bezpieczeństwa, a także rejestrować i monitorować wszystkie zasoby w jednym miejscu. Poniżej przedstawiono kilka akcji na potrzeby rozpoczynania pracy.
Implementowanie usługi Azure Arc (wersja zapoznawcza)
Usługa Azure Arc umożliwia organizacjom rozszerzanie znanych mechanizmów kontroli zabezpieczeń platformy Azure na lokalną i brzegową infrastrukturę organizacji. Administratorzy mają kilka opcji łączenia zasobów lokalnych z usługą Azure Arc. Należą do nich skrypty witryny Azure Portal, programu PowerShell i systemu Windows z obsługą skryptów jednostki usługi.
Dowiedz się więcej o tych technikach.
Stosowanie punktów odniesienia zabezpieczeń za pośrednictwem usługi Azure Policy, w tym stosowania zasad gościa
Włączając Defender dla Chmury, będziesz mieć możliwość uwzględnienia zestawu kontrolek punktu odniesienia za pomocą wbudowanych definicji zasad usługi Azure Policy dla Microsoft Defender dla Chmury. Zestaw zasad punktu odniesienia zostanie odzwierciedlony w Defender dla Chmury wskaźnik bezpieczeństwa, w którym można zmierzyć zgodność z tymi zasadami.
Możesz rozszerzyć zakres zasad poza zestaw Defender dla Chmury i utworzyć zasady niestandardowe, jeśli wbudowane nie są dostępne. Można również uwzględnić zasady konfiguracji gościa, które mierzą zgodność wewnątrz maszyn wirtualnych gościa w ramach subskrypcji.
Stosowanie Defender dla Chmury mechanizmów kontroli programu Endpoint Protection i zarządzania lukami w zabezpieczeniach
Ochrona punktu końcowego jest niezbędna do zapewnienia bezpieczeństwa i dostępności infrastruktury. W ramach każdej strategii ochrony punktu końcowego i zarządzanie lukami w zabezpieczeniach będziesz mieć możliwość centralnego mierzenia zgodności w celu zapewnienia włączenia i skonfigurowania ochrony przed złośliwym oprogramowaniem za pomocą oceny i zaleceń programu Endpoint Protection w Microsoft Defender dla Chmury.
Scentralizowany wgląd w punkt odniesienia w wielu subskrypcjach
Stosując pakiet zbiorczy czytelnika dzierżawy, można uzyskać wgląd w dzierżawę stanu każdej z zasad, które są oceniane w ramach Defender dla Chmury wskaźnika bezpieczeństwa, usługi Azure Policy i zasad konfiguracji gościa. Możesz to zrobić na pulpicie nawigacyjnym zgodności organizacji w celu centralnego raportowania stanu dzierżawy.
Ponadto w ramach usługi Defender for Servers można użyć zasad Włącz wbudowane rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwane przez firmę Qualys), aby skanować maszyny wirtualne pod kątem luk w zabezpieczeniach i uwzględnić je bezpośrednio w Defender dla Chmury. Jeśli masz już rozwiązanie do skanowania luk w zabezpieczeniach wdrożone w przedsiębiorstwie, możesz użyć alternatywnego rozwiązania do oceny luk w zabezpieczeniach, które powinno zostać zainstalowane na maszynach wirtualnych na potrzeby wdrażania rozwiązania do skanowania luk w zabezpieczeniach partnera.
Napiwek
Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla punktów końcowych.
|
|
Początkowe cele wdrożenia |
Po osiągnięciu celów infrastruktury bazowej możesz skoncentrować się na implementowaniu nowoczesnej infrastruktury za pomocą kompleksowej strategii zero trust.
I. Obciążenia są monitorowane i powiadamiane o nietypowym zachowaniu
Podczas tworzenia nowej infrastruktury należy również ustanowić reguły monitorowania i zgłaszania alertów. Jest to klucz do identyfikowania, gdy zasób wyświetla nieoczekiwane zachowanie.
Zalecamy włączenie Microsoft Defender dla Chmury i planów ochrony obsługiwanych typów zasobów, w tym usług Defender for Servers, Defender for Storage, Defender for Containers, Defender for SQL itp.
W przypadku tożsamości monitorowania zalecamy włączenie usługi Microsoft Defender for Identity i Advanced Threat Analytics w celu umożliwienia zbierania sygnałów w celu identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości naruszonych zabezpieczeń i złośliwych akcji wewnętrznych skierowanych do organizacji.
Integrowanie tych sygnałów z usług Defender dla Chmury, defender for Identity, Advanced Threat Analytics i innych systemów monitorowania i inspekcji za pomocą usługi Microsoft Sentinel, natywnej dla chmury, rozwiązania do zarządzania zdarzeniami zabezpieczeń (SIEM) i automatycznego reagowania na zabezpieczenia (SOAR) umożliwi działanie centrum operacji zabezpieczeń (SOC) z jednego okienka szkła w celu monitorowania zdarzeń zabezpieczeń w całym przedsiębiorstwie.
Napiwek
Dowiedz się więcej o implementowaniu kompleksowej strategii zero trust tożsamości.
II. Każde obciążenie ma przypisaną tożsamość aplikacji — i stale konfigurowane i wdrażane
Zalecamy użycie zasad przypisanych i wymuszanych podczas tworzenia zasobów/obciążeń. Zasady mogą wymagać zastosowania tagów do zasobu podczas tworzenia, przypisywania grupy zasobów i ograniczania/bezpośrednich właściwości technicznych, takich jak dozwolone regiony, specyfikacje maszyny wirtualnej (na przykład typ maszyny wirtualnej, dyski, zastosowane zasady sieciowe).
Napiwek
Dowiedz się więcej na temat implementowania kompleksowej strategii zero trust dla aplikacji.
III. Dostęp człowieka do zasobów wymaga just-in-time
Personel powinien używać dostępu administracyjnego oszczędnie. Gdy funkcje administracyjne są wymagane, użytkownicy powinni otrzymać tymczasowy dostęp administracyjny.
Organizacje powinny ustanowić program Ochrona administratora . Cechy tych programów obejmują:
- Docelowa redukcja liczby użytkowników z uprawnieniami administracyjnymi.
- Inspekcja kont i ról z podwyższonym poziomem uprawnień.
- Tworzenie specjalnych stref infrastruktury zasobów o wysokiej wartości (HVA) w celu zmniejszenia obszaru powierzchni.
- Zapewnienie administratorom specjalnych bezpiecznych stacji roboczych (SAW) w celu zmniejszenia prawdopodobieństwa kradzieży poświadczeń.
Wszystkie te elementy pomagają organizacji lepiej znać sposób korzystania z uprawnień administracyjnych, w których te uprawnienia są nadal niezbędne, i zapewnić harmonogram działania w sposób bezpieczniejszy.
|
|
Dodatkowe cele wdrożenia |
Po osiągnięciu pierwszych trzech celów możesz skoncentrować się na dodatkowych celach, takich jak blokowanie nieautoryzowanych wdrożeń.
IV. Nieautoryzowane wdrożenia są blokowane, a alert jest wyzwalany
Gdy organizacje przechodzą do chmury, możliwości są nieograniczone. To nie zawsze jest dobra rzecz. Z różnych powodów organizacje muszą mieć możliwość blokowania nieautoryzowanych wdrożeń i wyzwalania alertów w celu informowania liderów i menedżerów o problemach.
Platforma Microsoft Azure oferuje usługę Azure Blueprints , aby zarządzać sposobem wdrażania zasobów, dzięki czemu można wdrażać tylko zatwierdzone zasoby (na przykład szablony usługi ARM). Strategie mogą zagwarantować, że zasoby, które nie spełniają zasad strategii lub inne reguły, nie będą mogły zostać wdrożone. Rzeczywiste lub próby naruszenia strategii mogą zgłaszać alerty w razie potrzeby i wysyłać powiadomienia, aktywować elementy webhook lub elementy Runbook automatyzacji, a nawet tworzyć bilety zarządzania usługami.
V. Szczegółowa widoczność i kontrola dostępu są dostępne w różnych obciążeniach
Platforma Microsoft Azure oferuje różne metody umożliwiające uzyskanie widoczności zasobów. W witrynie Azure Portal właściciele zasobów mogą skonfigurować wiele możliwości zbierania i analizy metryk i dzienników. Ta widoczność może służyć nie tylko do podawania operacji zabezpieczeń, ale także do obsługi wydajności obliczeniowej i celów organizacyjnych. Obejmują one funkcje, takie jak zestawy skalowania maszyn wirtualnych, które umożliwiają bezpieczne i wydajne skalowanie w poziomie i skalowanie zasobów na podstawie metryk.
Po stronie kontroli dostępu można stosować kontrolę dostępu opartą na rolach (RBAC) w celu przypisania uprawnień do zasobów. Dzięki temu można przypisywać i odwoływać uprawnienia jednolicie na poszczególnych poziomach i grup przy użyciu różnych ról wbudowanych lub niestandardowych.
VI. Dostęp użytkowników i zasobów podzielone na segmenty dla każdego obciążenia
Platforma Microsoft Azure oferuje wiele sposobów segmentowania obciążeń w celu zarządzania dostępem użytkowników i zasobów. Segmentacja sieci jest ogólnym podejściem, a w obrębie platformy Azure zasoby mogą być izolowane na poziomie subskrypcji za pomocą sieci wirtualnych ,reguł komunikacji równorzędnej sieci wirtualnych, sieciowych grup zabezpieczeń (NSG), grup zabezpieczeń aplikacji (ASG) i usługi Azure Firewalls. Istnieje kilka wzorców projektowych umożliwiających określenie najlepszego podejścia do segmentowania obciążeń.
Produkty omówione w tym przewodniku
Microsoft Azure
Szablony usługi Azure Resource Manager (ARM)
Podsumowanie
Infrastruktura jest kluczowa dla pomyślnej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub zapoznaj się z innymi rozdziałami tego przewodnika, który obejmuje wszystkie filary Zero Trust.
Seria przewodników wdrażania zero trust
