Управление состоянием безопасности с помощью Azure Security Benchmark

Управление состоянием безопасности с помощью Azure Security Benchmark

14.06.2025

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам использовать Azure Security Benchmark (ASB) для управления и улучшения состояния безопасности своих сред Azure. В постоянно развивающейся облачной среде обеспечение безопасной настройки ресурсов и их соответствия передовым практикам является постоянной проблемой. ASB в сочетании с Microsoft Defender для облака предоставляет комплексную платформу для оценки, мониторинга и повышения безопасности ваших облачных рабочих нагрузок [1].

Введение

Безопасность облака — это общая ответственность поставщика облачных услуг (Microsoft) и клиента. Хотя Microsoft защищает базовую инфраструктуру, вы несете ответственность за безопасность данных, приложений и сетевых конфигураций в вашей среде. Сложность облачных сервисов и скорость изменений могут затруднить поддержание надежного и последовательного уровня безопасности. Неправильные конфигурации, неисправленные уязвимости и отсутствие видимости — распространенные векторы атак, которые могут привести к нарушениям безопасности [2].

Тест безопасности Azure (ASB) — это набор рекомендаций по безопасности, специфичных для Azure, разработанный Microsoft и включающий в себя передовые методы обеспечения безопасности и рекомендации по обеспечению соответствия от ведущих отраслевых структур, таких как CIS (Центр интернет-безопасности) и NIST (Национальный институт стандартов и технологий). Он обеспечивает основу для защиты ваших облачных ресурсов, охватывая такие области, как сетевая безопасность, управление идентификацией, защита данных, управление уязвимостями и многое другое. Защитник Microsoft для облака (ранее Центр безопасности Azure) — это основной инструмент для оценки и мониторинга соответствия ASB [3].

В этом практическом руководстве будут рассмотрены предварительные требования, концепции ASB, использование Microsoft Defender для облака для оценки соответствия ASB, интерпретации рекомендаций по безопасности, устранения сбоев, настройки исключений и мониторинга оценки безопасности. Будут предоставлены пошаговые инструкции, практические примеры и краткие объяснения, чтобы читатель мог реализовать, протестировать и проверить эти функции. Кроме того, будут обсуждаться советы по безопасности, проверка соответствия и лучшие практики, чтобы обеспечить постоянное улучшение вашего состояния безопасности в Azure, автономно, профессионально и надежно.

Почему тест безопасности Azure имеет решающее значение для вашей безопасности?

  • Комплексные рекомендации: содержит подробный набор рекомендаций по безопасности для служб Azure, охватывающий все аспекты облачной безопасности.
  • Соответствие отраслевым стандартам: на основе всемирно признанных систем безопасности, обеспечивающих соответствие ваших методов обеспечения безопасности лучшим практикам.
  • Непрерывная оценка. Интеграция с Microsoft Defender для облака обеспечивает непрерывную оценку соответствия ASB и выявление отклонений.
  • Практические рекомендации: содержит четкие рекомендации и действия по устранению проблем безопасности и улучшению состояния.
  • Мониторинг показателей безопасности: помогает визуализировать и отслеживать прогресс в повышении безопасности с помощью количественного показателя (Secure Score).
  • Соответствие нормативным требованиям: облегчает соблюдение различных требований путем сопоставления элементов управления ASB с нормативными стандартами.

Предварительные условия

Чтобы управлять состоянием безопасности с помощью Azure Security Benchmark, вам потребуются следующие элементы:

  1. Активная подписка Azure: подписка Azure с развернутыми ресурсами.
  2. Административный доступ: учетная запись с ролью «Владелец», «Участник» или «Администратор безопасности» в подписке или группе ресурсов.
  3. Защитник Microsoft для облака включен: Защитник для облака должен быть включен в вашей подписке, чтобы предоставлять оценки безопасности и рекомендации. Бесплатный план уже предлагает ASB [4].

Шаг за шагом: управление состоянием безопасности с помощью Azure Security Benchmark

Давайте включим Центр безопасности, оценим соответствие ASB и исправим рекомендации.

1. Включение Microsoft Defender для облака и теста безопасности AzureASB автоматически включается в Центр безопасности. Если у вас уже включен Defender for Cloud, ASB уже оценивается.

  1. Откройте браузер и перейдите на портал Azure: https://portal.azure.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.
  3. В верхнем поле поиска введите «Microsoft Defender for Cloud» и выберите его из результатов.
  4. На странице обзора Центра безопасности убедитесь, что ваша подписка интегрирована. Если нет, следуйте инструкциям по интеграции вашей подписки.
  5. На левой панели навигации выберите Настройки среды.
  6. Выберите подпись, которую хотите защитить.

  7. На странице планов Defender убедитесь, что план «Базовая облачная безопасность» (который включает ASB) включен.

    • Объяснение: базовый план Defender for Cloud предоставляет бесплатную оценку состояния безопасности, включая рекомендации по тестированию безопасности Azure. Платные планы (например, Защитник для серверов, Защитник для хранилища) добавляют защиту рабочей нагрузки (CWPP).

2. Оценка соответствия тесту безопасности Azure

Defender for Cloud отображает соответствие ASB через панель управления соответствием нормативным требованиям.

  1. На левой панели навигации Защитника для облака выберите Соответствие нормативным требованиям.
  2. На информационной панели вы увидите «Azure Security Benchmark», указанный как один из стандартов соответствия.

  3. Нажмите «Azure Security Benchmark», чтобы просмотреть сведения о соответствии требованиям.

    • Пояснение. На этой информационной панели показан обзор соответствия требованиям ASB, включая количество пройденных проверок, количество неудачных проверок и количество случаев, требующих ручного вмешательства. Вы можете перейти к элементам управления, чтобы увидеть конкретные рекомендации.

3. Интерпретация и исправление рекомендаций по безопасности

Рекомендации — это основа для улучшения вашей безопасности.

  1. На левой панели навигации Защитника для облака выберите Рекомендации.
  2. Рекомендации сгруппированы по принципу «Контроль безопасности». Вы можете фильтровать по Standard = Azure Security Benchmark.
  3. Найдите рекомендацию с параметром «Статус» = «Неработоспособно» (например, «Порты управления должны быть ограничены доверенными диапазонами IP-адресов»).

  4. Нажмите на рекомендацию, чтобы увидеть подробности:

    • Описание: поясняет проблему безопасности.
    • Шаги по устранению: содержит пошаговые инструкции по устранению проблемы. Многие рекомендации предлагают опцию «Исправить» одним щелчком мыши или сценарий автоматизации.
    • Затронутые ресурсы: список всех ресурсов (виртуальных машин, учетных записей хранения, сетей и т. д.), которые не соответствуют требованиям.
    • Стандарты соответствия: показывает, какие стандарты ASB (и другие стандарты) регулируются этой рекомендацией.

  5. Исправление рекомендации (пример: Ограничить порты управления):

    • Чтобы получить рекомендацию «Порты управления должны быть ограничены доверенными диапазонами IP-адресов», щелкните затронутые ресурсы.
    • Для каждой функции вы можете нажать «Исправить» или следовать инструкциям руководства, чтобы настроить группу сетевой безопасности (NSG), которая ограничивает доступ к портам RDP/SSH только определенными доверенными IP-адресами.

    • Пример команды Azure CLI для обновления NSG: баш обновление правила az сети nsg\ --resource-group <имя_группы_ресурсов> \ --nsg-name <имя_nsg> \ --name <имя_правила_rdp_ssh> \ --source-address-prefixes <your_trust_ips> \ --destination-port-ranges 3389 # или 22

    • Объяснение: После исправления Центр безопасности повторно оценит ресурс. Если исправление пройдет успешно, статус ресурса изменится на «Исправен», а его безопасный рейтинг будет обновлен.

4. Настройка исключений для рекомендаций

В некоторых случаях рекомендация может быть неприменима к конкретному ресурсу или может существовать деловое обоснование не немедленного ее исправления. Вы можете создать исключение.

  1. На странице сведений о рекомендации нажмите «...» (дополнительные параметры) и выберите «Создать исключение».
  2. Создать исключение:
    • Область: выберите, будет ли исключение применяться ко всей подписке, к группе ресурсов или к конкретному ресурсу.
    • Причина: выберите причину исключения (например, «Принятый риск», «Снижен контролем третьей стороны»).
    • Дата окончания срока: Установите дату истечения срока действия исключения.
    • Комментарий: дайте подробное обоснование исключения.

  3. Нажмите Создать.

    • Объяснение: Исключения следует использовать с осторожностью и документировать. Они удаляют рекомендацию из вашего безопасного рейтинга, но основной риск все еще существует. Регулярно проверяйте исключения.

5. Мониторинг оценки безопасности

Оценка безопасности — это количественная мера вашей безопасности.

  1. На левой панели навигации Defender for Cloud выберите Обзор.
  2. На видном месте отображается Secure Score, показывающий ваш текущий балл и потенциал для его улучшения.

  3. Нажмите «Безопасная оценка», чтобы просмотреть подробную информацию, включая рекомендации, которые больше всего способствуют улучшению оценки.

    • Пояснение: Оценка безопасности рассчитывается на основе процента рекомендаций по безопасности, которые вы выполнили. Расставьте приоритеты для рекомендаций, которые оказывают большее влияние на вашу оценку и наиболее важны для вашей среды.

Проверка и тестирование

Крайне важно убедиться, что действия по исправлению работают и что состояние вашей безопасности улучшается.

1. Проверка исправления рекомендаций

  1. Сценарий: после применения исправления для рекомендации (например, ограничения портов управления) подождите несколько минут, пока Центр безопасности повторно оценит ресурс.
  2. Ожидаемое действие. Статус ресурса для этой рекомендации должен измениться с «Неработоспособно» на «Исправно».
  3. Проверка:
    • Перейдите в раздел Защитник Microsoft для облака > Рекомендации.
    • Отфильтруйте рекомендации, которые вы исправили, и проверьте состояние затронутых ресурсов.

2. Мониторинг развития оценки безопасности

  1. Сценарий. После исправления нескольких рекомендаций понаблюдайте, как с течением времени меняется ваш безопасный показатель.
  2. Ожидаемое действие. Ваш рейтинг безопасности должен увеличиться, что отражает улучшение состояния вашей безопасности.
  3. Проверка:
    • Перейдите в раздел Microsoft Defender for Cloud > Обзор и посмотрите на график тенденций «Secure Score».

Советы и рекомендации по безопасности

  • Определите приоритет критически важных рекомендаций. В первую очередь сосредоточьтесь на рекомендациях, которые оказывают наибольшее влияние на ваш показатель безопасности и устраняют наиболее критические риски для вашей среды.
  • Автоматическое исправление. Используйте параметры «Исправление» или сценарии автоматизации (Политика Azure, Автоматизация Azure) одним щелчком мыши, чтобы исправить рекомендации в большом масштабе.
  • Интеграция с Политикой Azure. Используйте Политику Azure для обеспечения соблюдения требований ASB, гарантируя, что новые ресурсы уже развертываются в соответствии с требованиями и что существующие ресурсы не отклоняются от политик.
  • Регулярная проверка. Регулярно проверяйте рекомендации по безопасности, исключения и оценку безопасности, чтобы поддерживать превентивный уровень безопасности.
  • Информированность команды: убедитесь, что команды разработки и эксплуатации осведомлены о рекомендациях ASB и о том, как их действия влияют на состояние безопасности.
  • Защитите облако с помощью платных планов. Хотя ASB бесплатен, рассмотрите возможность включения платных планов Защитника для облака (например, Защитник для серверов, Защитник для хранилища, Защитник для SQL), чтобы получить защиту рабочей нагрузки (CWPP) и расширенное обнаружение угроз.

Распространенное устранение неполадок

  • Рекомендации не обновляются после исправления:
    • Центру безопасности может потребоваться некоторое время для повторной оценки ресурсов и обновления статуса. Подождите несколько минут и обновите страницу.
    • Убедитесь, что исправление было применено правильно. Иногда инструкции по исправлению могут содержать конкретные детали, которые необходимо точно соблюдать.
    • Проверьте журналы активности Azure, чтобы убедиться, что изменение было применено к ресурсу.
  • Счет безопасности не увеличивается:
    • Оценка безопасности отражает процент выполненных рекомендаций. Если вы исправили только несколько малоэффективных рекомендаций, увеличение может быть минимальным.
    • Убедитесь, что нет новых «нездоровых» рекомендаций, которые сводят на нет ваши исправления.
  • Ресурсы не отображаются в рекомендациях:
    • Убедитесь, что Центр безопасности включен для подписки, в которой расположены ресурсы.
    • Убедитесь, что эти функции поддерживаются Центром безопасности и ASB.
    • Возможна задержка в открытии новых ресурсов.курсы через Defender for Cloud.
  • Вопросы по конкретной рекомендации:
    • Дополнительные сведения о каждом элементе управления и рекомендациях см. в официальной документации по тестированию безопасности Azure на сайте Microsoft Learn.
    • Используйте опцию «Обратная связь» на портале Azure, чтобы отправлять вопросы или комментарии в Microsoft.

Заключение

Тест безопасности Azure в сочетании с Microsoft Defender для облака — незаменимый инструмент для любой организации, стремящейся поддерживать надежный и соответствующий требованиям уровень безопасности в Azure. Предоставляя четкую структуру лучших практик и платформу для непрерывной оценки и исправления, он позволяет командам безопасности активно выявлять и устранять нарушения безопасности. Внедрение и активная поддержка ASB имеет решающее значение для защиты ваших облачных ресурсов от киберугроз и обеспечения целостности ваших операций. Благодаря этому практическому руководству специалисты по безопасности и ИТ-администраторы будут хорошо подготовлены к настройке, проверке и управлению состоянием безопасности своих сред Azure автономно, профессионально и надежно.

Ссылки:

[1] Microsoft Learn. Обзор теста безопасности Azure v3. Доступно по адресу: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3. [2] Microsoft Learn. Контроль безопасности v3: управление состоянием и уязвимостями. Доступно по адресу: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] Microsoft Learn. Что такое Microsoft Defender для облака?. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction. [4] Microsoft Learn. Улучшите соблюдение нормативных требований — Azure. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard. [5] Microsoft Learn. Защитник облачной безопасности. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] Microsoft Learn. Рекомендации по устранению — Microsoft Defender для облака. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations. [7] Microsoft Learn. Ознакомьтесь с рекомендациями по безопасности — Azure. Доступно по адресу: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations.