Správa pozice zabezpečení pomocí Azure Security Benchmark

Správa pozice zabezpečení pomocí Azure Security Benchmark

14.06.2025

Tento technický a vzdělávací článek si klade za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při používání Azure Security Benchmark (ASB) ke správě a zlepšování stavu zabezpečení jejich prostředí Azure. V neustále se vyvíjejícím cloudovém prostředí je neustálou výzvou zajistit, aby zdroje byly nakonfigurovány bezpečně a v souladu s osvědčenými postupy. ASB ve spojení s Microsoft Defender for Cloud poskytuje komplexní rámec pro hodnocení, monitorování a zlepšování zabezpečení vašich cloudových úloh [1].

Úvod

Zabezpečení cloudu je sdílenou odpovědností poskytovatele cloudu (Microsoft) a zákazníka. Přestože společnost Microsoft chrání základní infrastrukturu, za zabezpečení dat, aplikací a síťových konfigurací ve vašem prostředí zodpovídáte vy. Složitost cloudových služeb a rychlost změn mohou ztížit udržení robustního a konzistentního stavu zabezpečení. Chybná konfigurace, neopravená zranitelnost a nedostatečná viditelnost jsou běžné útoky, které mohou vést k narušení bezpečnosti [2].

Azure Security Benchmark (ASB) je sada bezpečnostních pokynů specifických pro Azure, vyvinutá společností Microsoft, která zahrnuje osvědčené bezpečnostní postupy a doporučení pro dodržování předpisů od špičkových rámců, jako je CIS (Center for Internet Security) a NIST (Národní institut pro standardy a technologie). Poskytuje základ pro ochranu vašich cloudových zdrojů, pokrývající oblasti, jako je zabezpečení sítě, správa identit, ochrana dat, správa zranitelnosti a další. Microsoft Defender for Cloud (dříve Azure Security Center) je primárním nástrojem pro hodnocení a monitorování souladu s ASB [3].

Tato praktická příručka pokryje předpoklady, koncepty ASB, jak používat Microsoft Defender pro Cloud k posouzení souladu s ASB, interpretaci bezpečnostních doporučení, nápravě selhání, konfiguraci výjimek a monitorování Secure Score. Budou poskytnuty podrobné pokyny, praktické příklady a stručná vysvětlení, aby čtenář mohl tyto funkce implementovat, testovat a ověřovat. Kromě toho budou probrány bezpečnostní tipy, kontrola dodržování předpisů a osvědčené postupy, aby bylo zajištěno, že se vaše pozice zabezpečení v Azure bude neustále zlepšovat, autonomně, profesionálně a spolehlivě.

Proč je Azure Security Benchmark zásadní pro vaši pozici zabezpečení?

  • Komplexní pokyny: Poskytuje podrobnou sadu bezpečnostních doporučení pro služby Azure pokrývající všechny aspekty cloudového zabezpečení.
  • Soulad s průmyslovými standardy: Založeno na celosvětově uznávaných bezpečnostních rámcích, které zajišťují, že vaše bezpečnostní postupy jsou v souladu s osvědčenými postupy.
  • Nepřetržité hodnocení: Integrováno s Microsoft Defender pro Cloud, nabízí průběžné hodnocení souladu ASB a identifikuje odchylky.
  • Actionable Recommendations: Poskytuje jasná doporučení a nápravné kroky k vyřešení bezpečnostních problémů a zlepšení držení těla.
  • Secure Score Monitoring: Pomáhá vizualizovat a sledovat pokrok ve zlepšování zabezpečení prostřednictvím kvantifikovatelné metriky (Secure Score).
  • Shoda s předpisy: Usnadňuje shodu s různými požadavky na shodu mapováním kontrol ASB na regulační standardy.

Předpoklady

Ke správě pozice zabezpečení pomocí Azure Security Benchmark budete potřebovat následující položky:

  1. Aktivní předplatné Azure: Předplatné Azure s nasazenými prostředky.
  2. Administrativní přístup: Účet s rolí Vlastník, Přispěvatel nebo Správce zabezpečení v předplatném nebo skupině prostředků.
  3. Microsoft Defender for Cloud Enabled: Aby bylo možné poskytovat bezpečnostní hodnocení a doporučení, musí být ve vašem předplatném povolen Defender for Cloud. Bezplatný plán již nabízí ASB [4].

Krok za krokem: Správa pozice zabezpečení pomocí Azure Security Benchmark

Pojďme aktivovat Security Center, posoudit soulad s ASB a opravit doporučení.

1. Povolení Microsoft Defender pro Cloud a Azure Security BenchmarkASB je automaticky zahrnuto do Security Center. Pokud již máte povolený Defender for Cloud, ASB se již vyhodnocuje.

  1. Otevřete prohlížeč a přejděte na Azure Portal: https://portal.azure.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
  3. Do horního vyhledávacího pole zadejte „Microsoft Defender for Cloud“ a vyberte jej z výsledků.
  4. Na stránce Přehled Centra zabezpečení ověřte, že je vaše předplatné integrováno. Pokud ne, postupujte podle pokynů k integraci předplatného.
  5. V levém navigačním panelu vyberte Nastavení prostředí.
  6. Vyberte podpis, který chcete chránit.

  7. Na stránce plánů programu Defender se ujistěte, že je plán „Basic Cloud Security“ (který zahrnuje ASB) „Zapnuto“.

    • Vysvětlení: Základní plán Defender for Cloud poskytuje zdarma hodnocení stavu zabezpečení, včetně doporučení Azure Security Benchmark. Placené plány (jako je Defender pro servery, Defender pro úložiště) přidávají ochranu pracovní zátěže (CWPP).

2. Posouzení souladu s Azure Security Benchmark

Defender for Cloud zobrazuje shodu s ASB prostřednictvím řídicího panelu shody s předpisy.

  1. V levém navigačním podokně Defender for Cloud vyberte Regulatory Compliance.
  2. Na řídicím panelu uvidíte „Azure Security Benchmark“ uvedený jako jeden ze standardů shody.

  3. Kliknutím na „Azure Security Benchmark“ zobrazíte podrobnosti o souladu.

    • Vysvětlení: Tento řídicí panel zobrazuje přehled vaší shody s ASB, včetně toho, kolik kontrol prošlo, kolik selhalo a kolik vyžaduje ruční zásah. Konkrétní doporučení zobrazíte ponořením do ovládacích prvků.

3. Interpretace a náprava bezpečnostních doporučení

Doporučení jsou základem pro zlepšení vaší bezpečnostní pozice.

  1. V levém navigačním panelu Defender for Cloud vyberte Doporučení.
  2. Doporučení jsou seskupena podle „Kontrola zabezpečení“. Můžete filtrovat podle Standard = Azure Security Benchmark.
  3. Najděte doporučení s „Stav“ = „Nezdravé“ (např. „Porty správy by měly být omezeny na důvěryhodné rozsahy IP“).

  4. Kliknutím na doporučení zobrazíte podrobnosti:

    • Popis: Vysvětluje problém se zabezpečením.
    • Kroky nápravy: Poskytuje podrobné pokyny k nápravě problému. Mnoho doporučení nabízí možnost „Opravit“ jedním kliknutím nebo automatizační skript.
    • Dotčené zdroje: Uvádí všechny zdroje (virtuální počítače, účty úložiště, sítě atd.), které nejsou v souladu se zásadami.
    • Standardy shody: Ukazuje, na které kontroly ASB (a další normy) se toto doporučení vztahuje.

  5. Oprava doporučení (příklad: Omezení portů pro správu):

    • Chcete-li zobrazit doporučení „Porty správy by měly být omezeny na důvěryhodné rozsahy IP“, klikněte na dotčené zdroje.
    • U každé funkce můžete kliknout na „Opravit“ nebo podle pokynů v manuálu nakonfigurovat skupinu zabezpečení sítě (NSG), která omezuje přístup k portům RDP/SSH pouze na konkrétní, důvěryhodné adresy IP.

    • Příklad příkazu Azure CLI k aktualizaci NSG: bash aktualizace pravidla az network nsg\ --resource-group <název_skupiny_zdrojů> \ --nsg-name <nsg_name> \ --name <rdp_ssh_rule_name> \ --source-address-prefixes <vaše_trust_ips> \ --destination-port-ranges 3389 # nebo 22

    • Vysvětlení: Po nápravě Centrum zabezpečení znovu vyhodnotí zdroj. Pokud je oprava úspěšná, stav zdroje se změní na „Zdravý“ a bude aktualizováno jeho bezpečné skóre.

4. Konfigurace výjimek pro doporučení

V některých případech se doporučení nemusí vztahovat na konkrétní zdroj nebo může existovat obchodní zdůvodnění, proč nebylo okamžitě napraveno. Můžete vytvořit výjimku.

  1. Na stránce podrobností doporučení klikněte na ... (další možnosti) a vyberte Vytvořit výjimku.
  2. Vytvořit výjimku:
    • Rozsah: Vyberte, zda se výjimka vztahuje na celé předplatné, skupinu zdrojů nebo konkrétní zdroj.
    • Důvod: Vyberte důvod výjimky (např. „Přijaté riziko“, „Zmírněno kontrolou třetí strany“). ** Datum vypršení platnosti**: Nastavte datum vypršení platnosti výjimky.
    • Komentář: Uveďte podrobné odůvodnění výjimky.

  3. Klikněte na Vytvořit.

    • Vysvětlení: Výjimky by měly být používány opatrně a zdokumentovány. Odstraní doporučení z vašeho bezpečného skóre, ale základní riziko stále existuje. Pravidelně kontrolujte výjimky.

5. Monitorování bezpečného skóre

Bezpečné skóre je kvantifikovatelným měřítkem vaší bezpečnostní pozice.

  1. V levém navigačním panelu Defender for Cloud vyberte Přehled.
  2. Výrazně se zobrazí Secure Score, které ukazuje vaše aktuální skóre a potenciál pro zlepšení.

  3. Kliknutím na „Zabezpečené skóre“ zobrazíte podrobnosti včetně doporučení, která nejvíce přispívají ke zlepšení skóre.

    • Vysvětlení: Skóre zabezpečení se počítá na základě procenta bezpečnostních doporučení, která jste vyřešili. Upřednostňujte doporučení, která mají větší dopad na vaše skóre a která jsou pro vaše prostředí nejdůležitější.

Validace a testování

Je důležité ověřit, že nápravná opatření fungují a že se vaše bezpečnostní pozice zlepšuje.

1. Ověření doporučení nápravy

  1. Scénář: Po použití nápravy pro doporučení (např. omezení portů pro správu) počkejte několik minut, než Security Center znovu vyhodnotí zdroj.
  2. Očekávaná akce: Stav zdroje pro toto doporučení by se měl změnit z „Nezdravé“ na „Zdravé“.
  3. Ověření:
    • Přejděte na Microsoft Defender for Cloud > Doporučení.
    • Filtrujte podle doporučení, které jste napravili, a zkontrolujte stav dotčených zdrojů.

2. Monitorování vývoje bezpečného skóre

  1. Scénář: Po nápravě několika doporučení sledujte, jak se vaše bezpečné skóre v průběhu času vyvíjí.
  2. Očekávaná akce: Vaše bezpečné skóre by se mělo zvýšit, což odráží zlepšení vašeho bezpečnostního postavení.
  3. Ověření:
    • Přejděte na Microsoft Defender for Cloud > Přehled a podívejte se na graf trendů „Secure Score“.

Bezpečnostní tipy a doporučené postupy

  • Upřednostněte kritická doporučení: Nejprve se zaměřte na doporučení, která mají největší dopad na vaše skóre zabezpečení a která řeší nejkritičtější rizika pro vaše prostředí.
  • Automatizace nápravy: Pomocí možností „Opravit“ nebo automatizačních skriptů (Azure Policy, Azure Automation) jedním kliknutím opravte doporučení ve velkém.
  • Integrace s Azure Policy: Pomocí Azure Policy vynucujte soulad s ASB a zajistěte, že nové prostředky jsou již nasazeny v souladu se zásadami a že se stávající prostředky neodchylují od zásad.
  • Pravidelná kontrola: Pravidelně kontrolujte bezpečnostní doporučení, výjimky a bezpečné hodnocení, abyste zachovali proaktivní bezpečnostní pozici.
  • Povědomí týmu: Zajistěte, aby si vývojové a provozní týmy byly vědomy doporučení ASB a toho, jak jejich akce ovlivňují bezpečnostní pozici.
  • Obraňte cloud pomocí placených plánů: Ačkoli je ASB zdarma, zvažte aktivaci placených plánů Defender for Cloud (např. Defender pro servery, Defender pro úložiště, Defender pro SQL), abyste získali ochranu pracovní zátěže (CWPP) a pokročilou detekci hrozeb.

Běžné odstraňování problémů

  • Doporučení se po nápravě neaktualizují:
    • Centrum zabezpečení může nějakou dobu trvat, než znovu vyhodnotí zdroje a aktualizuje stav. Počkejte několik minut a obnovte stránku.
    • Ověřte, zda byla náprava provedena správně. Někdy mohou pokyny k nápravě obsahovat konkrétní podrobnosti, které je třeba přesně dodržovat.
    • Zkontrolujte protokoly aktivit Azure a ověřte, že změna byla aplikována na prostředek.
  • Bezpečné skóre se nezvyšuje:
    • Bezpečné skóre odráží procento vyřešených doporučení. Pokud jste napravili pouze několik doporučení s nízkým dopadem, může být nárůst minimální.
    • Ujistěte se, že neexistují žádná nová doporučení „Nezdravá“, která kompenzují vaše nápravy.
  • Zdroje se v doporučeních nezobrazují:
    • Ověřte, že je Centrum zabezpečení povoleno pro předplatné, kde jsou prostředky umístěny.
    • Ujistěte se, že funkce jsou podporovány Security Center a ASB.
    • Může dojít ke zpoždění při objevování nových zdrojůkurzy přes Defender for Cloud.
  • Dotazy ke konkrétnímu doporučení:
    • Další podrobnosti o jednotlivých ovládacích prvcích a doporučeních najdete v oficiální dokumentaci Azure Security Benchmark na webu Microsoft Learn.
    • Pomocí možnosti „Zpětná vazba“ na Azure Portal můžete odeslat dotazy nebo komentáře společnosti Microsoft.

Závěr

Azure Security Benchmark ve spojení s Microsoft Defender pro Cloud je nepostradatelným nástrojem pro každou organizaci, která chce v Azure udržovat robustní a vyhovující zabezpečení. Tím, že poskytuje jasný rámec osvědčených postupů a platformu pro průběžné hodnocení a nápravu, umožňuje bezpečnostním týmům proaktivně identifikovat a řešit narušení bezpečnosti. Přijetí a aktivní udržování ASB je zásadní pro ochranu vašich cloudových aktiv před kybernetickými hrozbami a zajištění integrity vašich operací. S tímto praktickým průvodcem budou odborníci na zabezpečení a správci IT dobře vybaveni k tomu, aby mohli konfigurovat, ověřovat a spravovat stav zabezpečení svých prostředí Azure autonomně, profesionálně a spolehlivě.

Reference:

[1] Microsoft Learn. Přehled Azure Security Benchmark v3. Dostupné na: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] Microsoft Learn. Kontrola zabezpečení v3: Správa pozice a zranitelnosti. Dostupné na: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] Microsoft Learn. Co je Microsoft Defender for Cloud?. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] Microsoft Learn. Zlepšete soulad s předpisy – Azure. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] Microsoft Learn. Skóre zabezpečení Defender for Cloud. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] Microsoft Learn. Doporučení k nápravě – Microsoft Defender pro Cloud. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] Microsoft Learn. Zkontrolujte bezpečnostní doporučení – Azure. Dostupné na: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations