מדריך

יישם מודל אבטחה המניח פריצה ודורש אימות עבור כל בקשה.

→אמץ את מודל האבטחה Zero Trust.

למה: פועל על שלושה עקרונות ליבה: אימות מפורש, שימוש בגישת הרשאה מינימלית, והנחת פריצה. זוהי גישה אסטרטגית, לא מוצר בודד.

מקור↗

הגדר גבולות בעלות אבטחה עבור שירותי ענן.

→יישם את מודל האחריות המשותפת. הלקוח תמיד אחראי על: מידע ונתונים, התקנים (נקודות קצה), חשבונות וזהויות.

למה: אחריות ספק הענן עולה מ-IaaS ל-PaaS ל-SaaS, אך הלקוח תמיד שומר על אחריות לנתוניו וניהול הגישה.

הגן מפני כשל של שכבת אבטחה בודדת.

→יישם אסטרטגיית אבטחה רב-שכבתית (Defense in Depth) על פני שכבות פיזיות, זהות, היקפיות, רשת, מחשוב, יישומים ונתונים.

למה: פריצה בשכבה אחת מואטת או מוכלת על ידי שכבות עוקבות, ובכך מצמצמת את הסיכון הכולל וההשפעה של התקפה.

הבחן בין אימות זהות משתמש לבין הענקת הרשאות.

→השתמש באימות (AuthN) כדי לאמת זהות (להוכיח שאתה מי שאתה טוען שאתה). השתמש בהרשאה (AuthZ) כדי לקבוע את זכויות הגישה של זהות מאומתת (מה מותר לך לעשות).

למה: אימות חייב תמיד להתרחש לפני הרשאה. משתמש יכול להיות מאומת אך לא מורשה לגשת למשאב ספציפי.

הגן על סודיות הנתונים כשהם מאוחסנים וכשהם מועברים.

→השתמש בהצפנה במנוחה (Encryption at Rest) עבור נתונים מאוחסנים (לדוגמה, בדיסקים, במסדי נתונים). השתמש בהצפנה במעבר (Encryption in Transit) עבור נתונים העוברים ברשת (לדוגמה, TLS/SSL).

למה: מגן מפני וקטורי איום שונים. הצפנה במנוחה ממתנת גניבה פיזית של מדיה אחסון, בעוד שהצפנה במעבר מונעת האזנות.

נהל זהויות משתמשים וגישה למשאבי ענן ולמשאבים מקומיים ממישור בקרה יחיד.

→השתמש ב-Microsoft Entra ID כספק הזהויות המרכזי.

למה: מספק מקור אמת יחיד עבור זהות, המאפשר Single Sign-On (SSO), אימות רב-גורמי (MFA), ומדיניות גישה עקבית בסביבה ההיברידית.

אכוף בקרות גישה דינמיות מבוססות סיכון עבור יישומים ונתונים.

→הגדר מדיניות Conditional Access של Microsoft Entra.

למה: זהו מנוע מדיניות ה-Zero Trust. הוא מעריך אותות (משתמש, מיקום, תקינות התקן, סיכון) כדי לאכוף החלטות כמו דרישת MFA, הגבלת גישת הפעלה, או חסימת גישה.

מקור↗

מזער סיכוני אבטחה הקשורים להרשאות ניהול קבועות.

→יישם את Microsoft Entra Privileged Identity Management (PIM) עבור תפקידי Azure ו-Microsoft 365.

למה: מספק גישת Just-In-Time (JIT), הדורשת ממשתמשים להפעיל תפקידים בעת הצורך. הפעלה יכולה לדרוש MFA, הצדקה ו/או אישור, מה שמפחית באופן דרסטי את שטח התקפה. דורש Entra ID P2.

בטל וקטורי התקפה מבוססי סיסמה כמו פישינג והתקפת ספריי סיסמאות.

→יישם שיטות אימות ללא סיסמה כגון Windows Hello for Business, מפתחות אבטחה FIDO2, או אפליקציית Microsoft Authenticator.

למה: מציע חלופה בטוחה וידידותית יותר למשתמש לסיסמאות על ידי הסתמכות על ביומטריה או מפתחות קריפטוגרפיים הקשורים להתקן פיזי.

ספק למשתמשים זהות יחידה עבור משאבים מקומיים ומשאבי ענן כאחד.

→סנכרן את Active Directory המקומי עם Microsoft Entra ID באמצעות Microsoft Entra Connect.

למה: יוצר זהות משתמש משותפת, המאפשרת Single Sign-On (SSO) חלקה וניהול גישה עקבי בסביבה ההיברידית.

אפשר לשותפים חיצוניים לגשת למשאבי החברה מבלי ליצור ולנהל עבורם חשבונות.

→השתמש בשיתוף פעולה Microsoft Entra B2B (Business-to-Business).

למה: מזמינה משתמשים חיצוניים כאורחים המשתמשים בזהויות הארגוניות או החברתיות שלהם כדי להתאמת, ובכך מפחיתה עומס אדמיניסטרטיבי וסיכוני אבטחה.

זיהוי יזום ותגובה אוטומטית לאיומים מבוססי זהות.

→הפעל את Microsoft Entra ID Protection.

למה: משתמש בלמידת מכונה כדי לזהות סיכוני זהות (לדוגמה, אישורי גישה שדלפו, כניסות מכתובות IP אנונימיות). אותות סיכון יכולים לשמש ב-Conditional Access כדי להפעיל תגובות אוטומטיות כמו אילוץ איפוס סיסמה או MFA.

אפשר ליישומים המתארחים ב-Azure לגשת למשאבי Azure אחרים מבלי לנהל אישורים בקוד.

→הקצה זהות מנוהלת (Managed Identity) למשאב Azure (לדוגמה, VM, App Service).

למה: מבטל את הצורך של מפתחים לטפל בסודות, מחרוזות חיבור או אישורים. Azure מנהל באופן אוטומטי את מחזור החיים של הזהות.

הפחת את עומס העבודה על ה-Helpdesk והעצם משתמשים לפתור חסימות חשבון או סיסמאות נשכחות משלהם.

→הגדר איפוס סיסמה בשירות עצמי (SSPR) ב-Microsoft Entra ID.

למה: מאפשר למשתמשים לאפס את סיסמאותיהם באופן מאובטח לאחר אימות זהותם באמצעות שיטות רשומות מראש (לדוגמה, טלפון, אפליקציית מאמת, שאלות אבטחה).

אמת מעת לעת שגישת משתמש ליישומים ולתפקידים מיוחסים עדיין נחוצה.

→תזמן סקירות גישה (Access Reviews) חוזרות של Microsoft Entra.

למה: מבצע אוטומציה לתהליך סקירת הגישה, ומבטיח שעיקרון הגישה המינימלית נשמר לאורך זמן על ידי הסרת זכויות גישה מיותרות.

אסוף נתוני אבטחה מכל רחבי הארגון לצורך זיהוי איומים ובצע אוטומציה לתגובה לאירועים.

→פרוס את Microsoft Sentinel.

למה: משמש כ-Security Information and Event Management (SIEM) מבוסס ענן לאיסוף וניתוח נתונים, ופלטפורמת Security Orchestration, Automation, and Response (SOAR) באמצעות Playbooks לפעולות אוטומטיות.

מקור↗

הערך וחזק באופן רציף את תצורת האבטחה של משאבי ענן.

→השתמש ב-Microsoft Defender for Cloud עבור יכולות ה-Cloud Security Posture Management (CSPM) שלו.

למה: מספק ציון אבטחה (Secure Score), המלצות אבטחה מעשיות, ועוקב אחר תאימות לתקנים רגולטוריים כדי לשפר את מצב האבטחה הכולל.

הגן על עומסי עבודה בענן ובהיברידי כמו מכונות וירטואליות, מכולות ומסדי נתונים מפני איומים מתקדמים.

→הפעל את תוכניות Defender הספציפיות (Cloud Workload Protection - CWP) בתוך Microsoft Defender for Cloud.

למה: מספק יכולות מתקדמות של זיהוי והגנה מפני איומים ספציפיים לעומס עבודה, כגון זיהוי נקודות קצה לשרתים וסריקת פגיעויות עבור רשיוני מכולות.

חקור והגב להתקפות מורכבות המשתרעות על פני נקודות קצה, דוא"ל, זהויות ויישומי ענן.

→השתמש ב-Microsoft 365 Defender.

למה: מספק פתרון Extended Detection and Response (XDR) המתאם התראות ממוצרי Microsoft Defender מרובים לאירוע בודד, ומציע חווית חקירה ותגובה מאוחדת.

הגן על התקני משתמשים (נקודות קצה) מפני תוכנות זדוניות, תוכנות כופר והתקפות מתוחכמות אחרות.

→פרוס את Microsoft Defender for Endpoint.

למה: מספק הגנה מונעת, זיהוי לאחר פריצה (EDR), חקירה אוטומטית ויכולות תגובה לאבטחת נקודות קצה.

הגן מפני פישינג, פריצת חשבון דוא"ל עסקי (business email compromise), וקבצים מצורפים זדוניים בדוא"ל ובכלי שיתוף פעולה.

→יישם את Microsoft Defender for Office 365.

למה: מציע תכונות הגנה מתקדמות מפני איומים כמו Safe Attachments (תא פיצוץ) ו-Safe Links (שכתוב וסריקת URL) עבור שירותי Microsoft 365.

זהה התקפות המכוונות לתשתית Active Directory מקומית.

→פרוס את Microsoft Defender for Identity.

למה: מנטר אותות AD מקומיים כדי לזהות איומים מתקדמים, זהויות שנפרצו ופעולות זדוניות של גורמים פנימיים שלעיתים קרובות מבשרות לפריצות גדולות.

גלה יישומי ענן לא מורשים ("Shadow IT") המשמשים עובדים ושלוט בזרימת הנתונים ליישומים מאושרים.

→השתמש ב-Microsoft Defender for Cloud Apps.

למה: מתפקד כמתווך אבטחת גישה לענן (CASB) כדי לספק נראות לשימוש ביישומי ענן, להעריך סיכונים, לאכוף מדיניות ולהגן מפני איומים בענן.

שלוט בתעבורת הרשת בין משאבי Azure בתוך רשת וירטואלית.

→החל קבוצות אבטחת רשת (NSGs) על תת-רשתות ו/או ממשקי רשת.

למה: משמש כחומת אש בסיסית ורבת מצבים לסינון מנות כדי לאפשר או לדחות תעבורה בהתבסס על כתובת IP, פורט ופרוטוקול. זוהי בקרת אבטחת רשת בסיסית.

הגן באופן מרכזי על כל משאבי הרשת הווירטואלית באמצעות שירות חומת אש חכם ומנוהל.

→פרוס את Azure Firewall ב-VNet מרכזי.

למה: חומת אש כשירות מנוהלת באופן מלא ו-cloud-native המספקת סינון מבוסס מודיעין איומים, זמינות גבוהה ומדרגיות בלתי מוגבלת.

הגן על יישומים הפונים לציבור ב-Azure מפני הצפה על ידי התקפות Distributed Denial of Service.

→הפעל את Azure DDoS Protection Standard ברשת הווירטואלית.

למה: מספק יכולות הפחתה משופרות, כולל כוונון אדפטיבי, ניתוח התקפות והגנה מפני עלויות, מעבר להגנת ברירת המחדל ברמת התשתית.

ספק גישת RDP ו-SSH מאובטחת למכונות וירטואליות של Azure מבלי לחשוף פורטי ניהול לאינטרנט הציבורי.

→פרוס את Azure Bastion ברשת הווירטואלית.

למה: מספק חיבור מאובטח מבוסס דפדפן למכונות וירטואליות דרך פורטל Azure באמצעות TLS, ובכך מבטל את הצורך בכתובות IP ציבוריות במכונות הווירטואליות ומפחית את שטח התקפה.

סווג והגן על מסמכים ודוא"ל רגישים בהתבסס על תוכנם, ללא קשר למקום אחסונם או שליחתם.

→השתמש ב-Microsoft Purview Information Protection עם תוויות רגישות (Sensitivity Labels).

למה: התוויות מיישמות הגנה מתמשכת (הצפנה, סימון תוכן, הגבלות גישה) שנודדת עם הנתונים, ומבטיחה שהם יישארו מוגנים לאורך כל מחזור החיים שלהם.

מקור↗

מנע ממשתמשים לשתף בטעות או בכוונה מידע רגיש (לדוגמה, מספרי כרטיסי אשראי, PII) מחוץ לארגון.

→הגדר מדיניות למניעת אובדן נתונים (DLP) של Microsoft Purview.

למה: מדיניות DLP מזהה, מנטרת ומיישמת באופן אוטומטי פעולות הגנה על תוכן רגיש על פני שירותי Microsoft 365, נקודות קצה ויישומי ענן.

הערך, נהל ועקוב אחר תאימות לתקנות ולתקנים בתעשייה כמו GDPR, HIPAA ו-ISO 27001.

→השתמש ב-Microsoft Purview Compliance Manager.

למה: מספק לוח מחוונים מרכזי עם ציון תאימות, תבניות הערכה מובנות מראש, ופעולות שיפור מומלצות כדי לפשט את ניהול התאימות.

שמור תוכן באופן אוטומטי לתקופה נדרשת ומחק אותו כאשר אין בו יותר צורך מסיבות עסקיות או רגולטוריות.

→יישם את Microsoft Purview Data Lifecycle Management באמצעות מדיניות שמירה ותוויות שמירה.

למה: אוכפת מדיניות ממשל נתונים על פני Microsoft 365 כדי לנהל את מחזור חיי התוכן, להפחית סיכונים ולציית לתקנות.

עניין משפטי דורש זיהוי, שמירה ואיסוף נתונים אלקטרוניים מ-Microsoft 365.

→השתמש ב-Microsoft Purview eDiscovery (Standard או Premium).

למה: מספק את הכלים לחיפוש תוכן רלוונטי, להעמיד אותו בהקפאה משפטית (legal hold) כדי למנוע שינוי או מחיקה, ולייצא אותו לבדיקה משפטית.

זהה וחקור גניבת נתונים פוטנציאלית או הפרות מדיניות אבטחה על ידי עובדים.

→הגדר את Microsoft Purview Insider Risk Management.

למה: מתאם אותות שונים מ-Microsoft 365 כדי לזהות פעילויות פנימיות מסוכנות פוטנציאלית ומספק תהליכי עבודה לחקירה וטיפול בהן.

חברה מפוקחת צריכה למנוע תקשורת בין מחלקות ספציפיות (לדוגמה, סוחרים ואנליסטים) כדי למנוע ניגודי עניינים.

→יישם את Microsoft Purview Information Barriers.

למה: אוכפת מדיניות המגבילה תקשורת ושיתוף פעולה בין קבוצות משתמשים מוגדרות ב-Microsoft Teams, SharePoint ו-OneDrive.

צור מפה מקיפה ועדכנית של כל נכסי הנתונים על פני סביבות מקומיות, מרובות עננים ו-SaaS.

→השתמש במפת הנתונים (Data Map) ובקטלוג הנתונים (Data Catalog) של Microsoft Purview.

למה: מבצע אוטומציה לגילוי נתונים, סיווג נתונים רגישים ומעקב אחר מוצא (lineage tracking) כדי לספק תצוגה הוליסטית של נכסי הנתונים לצורך ממשל יעיל.

זהה, ללכוד ופעל על הודעות בלתי הולמות (לדוגמה, הטרדה, שיתוף סודות) בתקשורת החברה.

→פרוס את Microsoft Purview Communication Compliance.

למה: מסייע למזער סיכוני תקשורת באמצעות למידת מכונה לזיהוי הפרות מדיניות בדוא"ל, Teams וערוצים אחרים לצורך בדיקה.

וודא שמהנדסי התמיכה של מיקרוסופט לא יוכלו לגשת לנתוני הארגון שלך ללא אישור מפורש ובר-ביקורת שלך.

→הפעל את Customer Lockbox עבור Microsoft 365 או Azure.

למה: מספק ממשק ללקוחות לאישור או דחייה של בקשות גישה לנתונים ממהנדסי מיקרוסופט, ובכך נותן לך שליטה סופית בתרחישי תמיכה נדירים.

חקור אירוע אבטחה או בעיית תאימות על ידי סקירת פעילויות משתמשים ומנהלים על פני Microsoft 365.

→חפש ביומן הביקורת (Audit log) של Microsoft Purview (Standard או Premium).

למה: מספק שביל ביקורת מאוחד של פעילויות על פני שירותים כמו Exchange Online, SharePoint Online, OneDrive ו-Entra ID לצורך חקירה פורנזית.