إدارة الوضع الأمني باستخدام Azure Security Benchmark

إدارة الوضع الأمني باستخدام Azure Security Benchmark

14/06/2025

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة حول استخدام Azure Security Benchmark (ASB) لإدارة الوضع الأمني لبيئات Azure الخاصة بهم وتحسينه. في بيئة سحابية دائمة التطور، يعد ضمان تكوين الموارد بشكل آمن وبما يتوافق مع أفضل الممارسات تحديًا مستمرًا. يوفر ASB، بالاشتراك مع Microsoft Defender for Cloud، إطار عمل شامل لتقييم ومراقبة وتحسين أمان أعباء العمل السحابية لديك [1].

مقدمة

يعد أمان السحابة مسؤولية مشتركة بين موفر السحابة (Microsoft) والعميل. على الرغم من أن Microsoft تحمي البنية الأساسية الأساسية، إلا أن أمان البيانات والتطبيقات وتكوينات الشبكة داخل بيئتك يقع على عاتقك. إن تعقيد الخدمات السحابية وسرعة التغيير يمكن أن يجعل من الصعب الحفاظ على وضع أمني قوي ومتسق. تعد التكوينات الخاطئة ونقاط الضعف غير المصححة ونقص الرؤية من نواقل الهجوم الشائعة التي يمكن أن تؤدي إلى خروقات أمنية [2].

يعد Azure Security Benchmark (ASB) مجموعة من إرشادات الأمان الخاصة بـ Azure، والتي طورتها Microsoft، والتي تتضمن أفضل ممارسات الأمان وتوصيات الامتثال من أطر العمل الرائدة في الصناعة مثل CIS (مركز أمان الإنترنت) وNIST (المعهد الوطني للمعايير والتكنولوجيا). فهو يوفر أساسًا لحماية مواردك السحابية، ويغطي مجالات مثل أمان الشبكة وإدارة الهوية وحماية البيانات وإدارة الثغرات الأمنية والمزيد. يعد Microsoft Defender for Cloud (المعروف سابقًا باسم Azure Security Center) الأداة الأساسية لتقييم ومراقبة امتثال ASB [3].

سيغطي هذا الدليل العملي المتطلبات الأساسية ومفاهيم ASB وكيفية استخدام Microsoft Defender for Cloud لتقييم امتثال ASB وتفسير توصيات الأمان ومعالجة حالات الفشل وتكوين الاستثناءات ومراقبة النقاط الآمنة. سيتم توفير تعليمات خطوة بخطوة وأمثلة عملية وشروحات موجزة حتى يتمكن القارئ من تنفيذ هذه الميزات واختبارها والتحقق من صحتها. بالإضافة إلى ذلك، ستتم مناقشة تلميحات الأمان والتحقق من الامتثال وأفضل الممارسات لضمان التحسين المستمر لوضع الأمان لديك في Azure بشكل مستقل ومهني وموثوق.

ما سبب أهمية معيار Azure Security لموقفك الأمني؟

  • إرشادات شاملة: توفر مجموعة مفصلة من توصيات الأمان لخدمات Azure، والتي تغطي جميع جوانب أمان السحابة.
  • التوافق مع معايير الصناعة: استنادًا إلى أطر الأمان المعترف بها عالميًا، مما يضمن توافق ممارسات الأمان لديك مع أفضل الممارسات.
  • التقييم المستمر: متكامل مع Microsoft Defender للسحابة، ويقدم تقييمًا مستمرًا لامتثال ASB ويحدد الانحرافات.
  • توصيات قابلة للتنفيذ: تقدم توصيات واضحة وخطوات علاجية لحل مشكلات الأمان وتحسين الوضع.
  • مراقبة النتائج الآمنة: تساعد على تصور وتتبع التقدم المحرز في تحسين الأمان من خلال مقياس قابل للقياس الكمي (النقاط الآمنة).
  • الامتثال التنظيمي: يُسهّل الامتثال لمتطلبات الامتثال المختلفة من خلال تعيين ضوابط ASB للمعايير التنظيمية.

المتطلبات الأساسية

لإدارة الموقف الأمني الخاص بك باستخدام Azure Security Benchmark، ستحتاج إلى العناصر التالية:

  1. اشتراك Azure النشط: اشتراك Azure بموارد منتشرة.
  2. الوصول الإداري: حساب بدور "المالك" أو "المساهم" أو "مسؤول الأمان" في الاشتراك أو مجموعة الموارد.
  3. تم تمكين Microsoft Defender for Cloud: يجب تمكين Defender for Cloud في اشتراكك لتقديم تقييمات وتوصيات الأمان. الخطة المجانية تقدم بالفعل ASB [4].

خطوة بخطوة: إدارة الوضع الأمني باستخدام Azure Security Benchmark

فلنقم بتمكين مركز الأمان وتقييم امتثال ASB ومعالجة التوصيات.

1. تمكين Microsoft Defender لـ Cloud وAzure Security Benchmarkيتم تضمين ASB تلقائيًا في مركز الأمان. إذا قمت بالفعل بتمكين Defender for Cloud، فسيتم تقييم ASB بالفعل.

  1. افتح المتصفح الخاص بك وانتقل إلى بوابة Azure: https://portal.azure.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.
  3. في حقل البحث العلوي، اكتب "Microsoft Defender for Cloud" وحدده من النتائج.
  4. في صفحة نظرة عامة على مركز الأمان، تأكد من دمج اشتراكك. إذا لم يكن الأمر كذلك، فاتبع التعليمات لدمج اشتراكك.
  5. في جزء التنقل الأيسر، حدد إعدادات البيئة.
  6. حدد التوقيع الذي تريد حمايته.

  7. في صفحة خطط Defender، تأكد من تشغيل خطة "Basic Cloud Security" (التي تتضمن ASB).

    • الشرح: توفر خطة Defender for Cloud الأساسية تقييمًا للوضع الأمني، بما في ذلك توصيات Azure Security Benchmark مجانًا. تضيف الخطط المدفوعة (مثل Defender for Servers وDefender for Storage) حماية لأعباء العمل (CWPP).

2. تقييم الامتثال لمعيار أمان Azure

يعرض Defender for Cloud امتثال ASB من خلال لوحة معلومات الامتثال التنظيمي.

  1. في جزء التنقل الأيمن لـ Defender for Cloud، حدد الامتثال التنظيمي.
  2. في لوحة المعلومات، سترى "Azure Security Benchmark" مدرجًا كأحد معايير الامتثال.

  3. انقر فوق "Azure Security Benchmark" لعرض تفاصيل الامتثال الخاصة بك.

    • الشرح: تعرض لوحة المعلومات هذه نظرة عامة على امتثال ASB لديك، بما في ذلك عدد عناصر التحكم التي تم اجتيازها، وعدد العناصر الفاشلة، وعدد العناصر التي تتطلب تدخلاً يدويًا. يمكنك التعمق في عناصر التحكم لرؤية توصيات محددة.

3. تفسير ومعالجة التوصيات الأمنية

التوصيات هي الأساس لتحسين وضعك الأمني.

  1. في جزء التنقل الأيمن لـ Defender for Cloud، حدد التوصيات.
  2. يتم تجميع التوصيات حسب "التحكم الأمني". يمكنك التصفية حسب قياسي = مقياس أمان Azure.
  3. ابحث عن توصية تحتوي على الحالة = غير صحية (على سبيل المثال، يجب أن تقتصر منافذ الإدارة على نطاقات IP الموثوق بها).

  4. انقر على التوصية لرؤية التفاصيل:

    • الوصف: يشرح المشكلة الأمنية.
    • خطوات العلاج: توفر إرشادات خطوة بخطوة لتصحيح المشكلة. تقدم العديد من التوصيات خيار "إصلاح" بنقرة واحدة أو برنامج نصي للتشغيل الآلي.
    • الموارد المتأثرة: تسرد جميع الموارد (الأجهزة الافتراضية، وحسابات التخزين، والشبكات، وما إلى ذلك) التي لا تتوافق.
    • معايير الامتثال: تعرض عناصر التحكم ASB (والمعايير الأخرى) التي تتناولها هذه التوصية.

  5. معالجة التوصية (على سبيل المثال: تقييد منافذ الإدارة):

    • للحصول على التوصية "يجب أن تقتصر منافذ الإدارة على نطاقات IP الموثوق بها"، انقر على الموارد المتأثرة.
    • بالنسبة لكل ميزة، يمكنك النقر فوق "إصلاح" أو اتباع الإرشادات اليدوية لتكوين مجموعة أمان الشبكة (NSG) التي تقيد الوصول إلى منافذ RDP/SSH إلى عناوين IP محددة وموثوقة فقط.

    • مثال لأمر Azure CLI لتحديث NSG: باش تحديث قاعدة NSG للشبكة من الألف إلى الياء\ --مجموعة الموارد <resource_group_name> \ --nsg-name <nsg_name> \ --الاسم <rdp_ssh_rule_name> \ --بادئات عنوان المصدر <your_trust_ips> \ --نطاقات منفذ الوجهة 3389 # أو 22

    • الشرح: بعد المعالجة، سيقوم مركز الأمان بإعادة تقييم المورد. إذا نجح الإصلاح، فستتغير حالة المورد إلى "صحي" وسيتم تحديث درجة الأمان الخاصة به.

4. تكوين الاستثناءات للتوصيات

في بعض الحالات، قد لا تنطبق التوصية على مورد معين، أو قد يكون هناك مبرر تجاري لعدم معالجتها على الفور. يمكنك إنشاء استثناء.

  1. في صفحة تفاصيل التوصية، انقر فوق ... (مزيد من الخيارات) وحدد إنشاء استثناء.
  2. إنشاء استثناء:
    • النطاق: حدد ما إذا كان الاستثناء ينطبق على الاشتراك بأكمله أم على مجموعة من الموارد أم على مورد محدد.
    • السبب: حدد سبب الاستثناء (على سبيل المثال، المخاطر المقبولة، التخفيف من خلال سيطرة طرف ثالث).
    • تاريخ انتهاء الصلاحية: تعيين تاريخ انتهاء الصلاحية للاستثناء.
    • تعليق: قدم مبررًا تفصيليًا للاستثناء.

  3. انقر إنشاء.

    • الشرح: يجب استخدام الاستثناءات بحذر وتوثيقها. يقومون بإزالة التوصية من درجتك الآمنة، لكن الخطر الأساسي لا يزال موجودًا. قم بمراجعة الاستثناءات بانتظام.

5. مراقبة النتيجة الآمنة

النتيجة الآمنة هي مقياس كمي لوضعك الأمني.

  1. في جزء التنقل الأيمن لـ Defender for Cloud، حدد نظرة عامة.
  2. يتم عرض "النتيجة الآمنة" بشكل بارز، مما يوضح درجاتك الحالية وإمكانية التحسين.

  3. انقر فوق "النتيجة الآمنة" لعرض التفاصيل، بما في ذلك التوصيات التي تساهم بشكل كبير في تحسين النتيجة.

    • الشرح: يتم حساب النتيجة الآمنة بناءً على النسبة المئوية لتوصيات الأمان التي قمت بحلها. قم بإعطاء الأولوية للتوصيات التي لها تأثير أكبر على درجاتك والتي تعتبر الأكثر أهمية لبيئتك.

التحقق والاختبار

من الضروري التحقق من نجاح إجراءات المعالجة وأن الوضع الأمني لديك يتحسن.

1. التحقق من معالجة التوصية

  1. السيناريو: بعد تطبيق علاج للتوصية (على سبيل المثال، تقييد منافذ الإدارة)، انتظر بضع دقائق حتى يقوم مركز الأمان بإعادة تقييم المورد.
  2. الإجراء المتوقع: يجب أن تتغير حالة المورد لهذه التوصية من غير صحي إلى صحي.
  3. التحقق:
    • انتقل إلى Microsoft Defender for Cloud > التوصيات.
    • قم بالتصفية حسب التوصية التي قمت بمعالجتها وتحقق من حالة الموارد المتأثرة.

2. مراقبة تطور النتيجة الآمنة

  1. السيناريو: بعد معالجة العديد من التوصيات، لاحظ كيف تتطور درجاتك الآمنة بمرور الوقت.
  2. الإجراء المتوقع: من المفترض أن تزيد درجات الأمان الخاصة بك، مما يعكس التحسن في وضعك الأمني.
  3. التحقق:
    • انتقل إلى Microsoft Defender for Cloud > نظرة عامة وانظر إلى الرسم البياني للاتجاهات Secure Score.

نصائح أمنية وأفضل الممارسات

  • إعطاء الأولوية للتوصيات المهمة: ركز أولاً على التوصيات التي لها التأثير الأكبر على نتيجتك الآمنة والتي تعالج المخاطر الأكثر أهمية لبيئتك.
  • المعالجة التلقائية: استخدم خيارات المعالجة أو البرامج النصية للأتمتة بنقرة واحدة (سياسة Azure، وAzure Automation) لمعالجة التوصيات على نطاق واسع.
  • التكامل مع سياسة Azure: استخدم سياسة Azure لفرض امتثال ASB، مما يضمن نشر الموارد الجديدة بالفعل وفقًا للامتثال وعدم انحراف الموارد الحالية عن السياسات.
  • المراجعة المنتظمة: قم بمراجعة توصيات الأمان والاستثناءات والتسجيل الآمن بشكل منتظم للحفاظ على وضع أمني استباقي.
  • توعية الفريق: تأكد من أن فرق التطوير والعمليات على دراية بتوصيات ASB وكيف تؤثر أفعالهم على الوضع الأمني.
  • الدفاع عن السحابة باستخدام الخطط المدفوعة: على الرغم من أن ASB مجاني، فكر في تمكين خطط Defender for Cloud المدفوعة (مثل Defender for Servers وDefender for Storage وDefender for SQL) للحصول على حماية عبء العمل (CWPP) والكشف المتقدم عن التهديدات.

استكشاف الأخطاء وإصلاحها الشائعة

  • لا يتم تحديث التوصيات بعد المعالجة:
    • قد يستغرق الأمر بعض الوقت حتى يقوم مركز الأمان بإعادة تقييم الموارد وتحديث الحالة. انتظر بضع دقائق وقم بتحديث الصفحة.
    • التحقق من تطبيق المعالجة بشكل صحيح. في بعض الأحيان، قد تحتوي تعليمات العلاج على تفاصيل محددة يجب اتباعها بدقة.
    • تحقق من سجلات نشاط Azure للتأكد من تطبيق التغيير على المورد.
  • النتيجة الآمنة لا تزيد:
    • تعكس النتيجة الآمنة النسبة المئوية للتوصيات التي تم حلها. إذا قمت بمعالجة بعض التوصيات ذات التأثير المنخفض فقط، فقد تكون الزيادة ضئيلة.
    • تأكد من عدم وجود توصيات جديدة "غير صحية" تعوض عن علاجاتك.
  • لا تظهر الموارد في التوصيات:
    • تأكد من تمكين مركز الأمان للاشتراك حيث توجد الموارد.
    • تأكد من أن الميزات مدعومة بواسطة Security Center وASB.
    • قد يكون هناك تأخير في اكتشاف موارد جديدةالدورات التدريبية من خلال Defender for Cloud.
  • أسئلة حول توصية محددة:
    • راجع وثائق Azure Security Benchmark الرسمية على Microsoft Learn للحصول على تفاصيل إضافية حول كل عنصر تحكم وتوصية.
    • استخدم خيار "التعليقات" في بوابة Azure لإرسال أسئلة أو تعليقات إلى Microsoft.

الخلاصة

يعد Azure Security Benchmark، بالاشتراك مع Microsoft Defender for Cloud، أداة لا غنى عنها لأي مؤسسة تتطلع إلى الحفاظ على وضع أمني قوي ومتوافق في Azure. ومن خلال توفير إطار واضح لأفضل الممارسات ومنصة للتقييم والمعالجة المستمرين، فإنه يمكّن فرق الأمان من تحديد الخروقات الأمنية وحلها بشكل استباقي. يعد اعتماد ASB وصيانته بشكل فعال أمرًا بالغ الأهمية لحماية أصولك السحابية من التهديدات السيبرانية وضمان سلامة عملياتك. باستخدام هذا الدليل العملي، سيكون متخصصو الأمن ومسؤولو تكنولوجيا المعلومات مجهزين جيدًا لتكوين الوضع الأمني ​​لبيئات Azure الخاصة بهم والتحقق من صحته وإدارته بشكل مستقل ومهني وموثوق.

المراجع:

[1] مايكروسوفت تعلم. نظرة عامة على Azure Security Benchmark v3. متوفر على: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] مايكروسوفت تعلم. التحكم في الأمان الإصدار 3: إدارة الوضع والضعف. متوفر على: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] مايكروسوفت تعلم. ما هو Microsoft Defender للسحابة؟. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] مايكروسوفت تعلم. تحسين الامتثال التنظيمي - Azure. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] مايكروسوفت تعلم. المدافع عن نقاط الأمان السحابية. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] مايكروسوفت تعلم. توصيات المعالجة - Microsoft Defender للسحابة. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] مايكروسوفت تعلم. مراجعة توصيات الأمان - Azure. متوفر على: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations