मार्गदर्शिका

एक पारंपरिक परिधि मॉडल से ज़ीरो ट्रस्ट परिवर्तन की शुरुआत करना।

→"स्पष्ट रूप से सत्यापित करें" के सिद्धांत को प्राथमिकता दें। सभी उपलब्ध डेटा बिंदुओं (पहचान, उपकरण, स्थान, सेवा, डेटा, असामान्यताएं) के आधार पर प्रत्येक एक्सेस अनुरोध को प्रमाणित और अधिकृत करें।

क्यों: स्पष्ट सत्यापन ज़ीरो ट्रस्ट का मूलभूत स्तंभ है। अन्य सभी नियंत्रण (न्यूनतम विशेषाधिकार, उल्लंघन मान लें) कभी विश्वास न करने और हमेशा सत्यापन करने के इस मूल सिद्धांत पर आधारित हैं।

संदर्भ↗

पूर्ण रैंसमवेयर हमले श्रृंखला के खिलाफ एक व्यापक सुरक्षा डिज़ाइन करना।

→क्रेडेंशियल चोरी और पार्श्व गति को रोकने के लिए विशेषाधिकार प्राप्त एक्सेस वर्कस्टेशन (PAW) को एक अपरिवर्तनीय बैकअप आर्किटेक्चर (Azure Backup immutable vaults, MUA) के साथ मिलाएं ताकि लचीली रिकवरी हो सके।

क्यों: यह रोकथाम (PAW हमले को बाधित करते हैं) और रिकवरी (अपरिवर्तनीय बैकअप यह सुनिश्चित करते हैं कि रोकथाम विफल होने पर व्यापार निरंतरता बनी रहे) दोनों को संबोधित करता है, जिससे वास्तविक लचीलापन मिलता है।

छोटी स्प्रिंट के साथ एक एजाइल डेवलपमेंट लाइफसाइकिल में थ्रेट मॉडलिंग को एकीकृत करना।

→STRIDE कार्यप्रणाली का उपयोग करके वृद्धिशील थ्रेट मॉडलिंग को लागू करें। इसे स्प्रिंट प्लानिंग में एकीकृत करें, आर्किटेक्चर विकसित होने पर मॉडल को अपडेट करें, और इसे सुरक्षा समीक्षाओं के लिए एक गेट के रूप में उपयोग करें।

क्यों: एजाइल वातावरण में प्रभावी होने के लिए थ्रेट मॉडलिंग एक बार की घटना नहीं, बल्कि निरंतर होनी चाहिए। वृद्धिशील अपडेट सुरक्षा को विकास की गति के साथ संरेखित रखते हैं।

त्वरित जीत के लिए चरणबद्ध दृष्टिकोण के साथ ज़ीरो ट्रस्ट को लागू करना।

→ज़ीरो ट्रस्ट रैपिड आधुनिकीकरण योजना (RaMP) प्राथमिकता का पालन करें: 1. पहचान और एक्सेस प्रबंधन, 2. एंडपॉइंट और डिवाइस, 3. अनुप्रयोग, 4. नेटवर्क और इंफ्रास्ट्रक्चर।

क्यों: पहचान को सुरक्षित करने से सबसे महत्वपूर्ण तत्काल जोखिम कम होता है और यह अन्य सभी ज़ीरो ट्रस्ट स्तंभों के लिए नियंत्रण तल का निर्माण करता है।

केवल CVSS स्कोर के बजाय व्यावसायिक प्रभाव के आधार पर भेद्यता उपचार को प्राथमिकता देना।

→पहचाने गए महत्वपूर्ण एसेट के खिलाफ अटैक पाथ विश्लेषण करने के लिए Microsoft Security Exposure Management का उपयोग करें। उन भेद्यताओं के उपचार को प्राथमिकता दें जो उच्च-मूल्य वाले लक्ष्यों तक व्यवहार्य अटैक पाथ प्रदान करते हैं।

क्यों: अटैक पाथ विश्लेषण भेद्यताओं को व्यावसायिक जोखिम के साथ संदर्भित करता है, यह सुनिश्चित करता है कि उपचार के प्रयास उन खतरों पर केंद्रित हों जो संगठन के लिए सबसे बड़ा खतरा पैदा करते हैं।

कई Azure सब्सक्रिप्शन वाले एक बड़े उद्यम में एक सुसंगत सुरक्षा बेसलाइन लागू करना।

→रूट प्रबंधन समूह में MCSB के साथ संरेखित Azure Policy पहल लागू करें। सभी इनहेरिटेड सब्सक्रिप्शन में निरंतर अनुपालन निगरानी के लिए Microsoft Defender for Cloud का उपयोग करें।

क्यों: प्रबंधन समूह-स्तरीय नीति असाइनमेंट सभी वर्तमान और भविष्य के सब्सक्रिप्शन के लिए स्केलेबल, इनहेरिटेड गार्डरेल प्रदान करता है, जिससे डिफ़ॉल्ट रूप से एक सुसंगत सुरक्षा बेसलाइन सुनिश्चित होती है।

क्षेत्रीय डेटा निवास आवश्यकताओं वाली एक वैश्विक कंपनी के लिए एक सुरक्षा संचालन केंद्र (SOC) डिज़ाइन करना।

→एक मल्टी-वर्कस्पेस Microsoft Sentinel आर्किटेक्चर को डिप्लॉय करें। निवास आवश्यकताओं को पूरा करने के लिए डेटा को क्षेत्रीय लॉग एनालिटिक्स वर्कस्पेस में रखें। केंद्रीकृत प्रबंधन और एकीकृत थ्रेट हंटिंग के लिए क्रॉस-वर्कस्पेस क्वेरी के लिए Azure Lighthouse का उपयोग करें।

क्यों: यह मॉडल केंद्रीकृत सुरक्षा संचालन और वैश्विक दृश्यता को स्थानीय डेटा निवास अनुपालन के साथ संतुलित करता है, डेटा हस्तांतरण उल्लंघनों से बचता है।

संदर्भ↗

Microsoft Defender XDR और Microsoft Sentinel दोनों का उपयोग करके SOC संचालन को अनुकूलित करना।

→द्वि-दिशात्मक घटना सिंक के लिए Sentinel में Microsoft Defender XDR कनेक्टर को सक्षम करें। M365/एंडपॉइंट घटनाओं की गहन, स्वचालित जांच के लिए Defender XDR का उपयोग करें। तृतीय-पक्ष स्रोतों के साथ क्रॉस-डोमेन सहसंबंध और उन्नत हंटिंग के लिए Sentinel का उपयोग करें।

क्यों: यह "बेहतर एक साथ" दृष्टिकोण दोनों प्लेटफार्मों की ताकत का लाभ उठाता है: Microsoft पारिस्थितिकी तंत्र के भीतर एकीकृत, स्वचालित प्रतिक्रिया के लिए XDR और व्यापक, क्रॉस-प्लेटफ़ॉर्म दृश्यता और सहसंबंध के लिए SIEM।

झूठे सकारात्मक से अत्यधिक जोखिम पैदा किए बिना घटना प्रतिक्रिया स्वचालन को लागू करना।

→Sentinel में एक टियरड ऑटोमेशन रणनीति डिज़ाइन करें। कम-जोखिम वाले कार्यों (संवर्धन, सूचनाएं) को पूरी तरह से स्वचालित करें। मध्यम-जोखिम वाले कार्यों (IPs को ब्लॉक करना) के लिए मानव-इन-द-लूप अनुमोदन वर्कफ़्लो का उपयोग करें। उच्च-प्रभाव वाले कार्यों (खातों को अक्षम करना) को मैनुअल निष्पादन के लिए आरक्षित करें।

क्यों: टियरड ऑटोमेशन प्रतिक्रिया की गति को उचित पर्यवेक्षण के साथ संतुलित करता है, सामान्य कार्यों के लिए SOC दक्षता को अधिकतम करता है जबकि स्वचालित कार्यों को प्रमुख परिचालन व्यवधान पैदा करने से रोकता है।

ऑन-प्रिमाइसेस, Azure, AWS और GCP में एक एकीकृत सुरक्षा निगरानी तल स्थापित करना।

→Microsoft Sentinel को केंद्रीय SIEM के रूप में उपयोग करें। Azure Arc के माध्यम से ऑन-प्रेम/मल्टीक्लाउड सर्वर को ऑनबोर्ड करें। AWS और GCP सेवाओं के लिए नेटिव Sentinel डेटा कनेक्टर का उपयोग करें। सभी वातावरणों में Microsoft Defender for Cloud को सक्षम करें।

क्यों: Azure Arc Azure नियंत्रण तल को किसी भी बुनियादी ढांचे तक फैलाता है, हाइब्रिड और मल्टीक्लाउड एस्टेट में सुरक्षा प्रबंधन (Defender for Cloud) और निगरानी (Sentinel) के लिए एक एकल फलक प्रदान करता है।

अनुपालन के लिए प्रशासनिक ऑडिट लॉग का दीर्घकालिक, छेड़छाड़-प्रूफ प्रतिधारण सुनिश्चित करना।

→एक समर्पित लॉग एनालिटिक्स वर्कस्पेस और एक अपरिवर्तनीय Azure Storage खाते में Azure Activity Logs निर्यात करने के लिए डायग्नोस्टिक सेटिंग्स को कॉन्फ़िगर करें। इन संसाधनों को एक अलग, लॉक-डाउन सुरक्षा/प्रबंधन सब्सक्रिप्शन में रखें।

क्यों: अपरिवर्तनीय स्टोरेज (WORM) लॉग छेड़छाड़ को रोकता है। एक अलग प्रबंधन सब्सक्रिप्शन लॉग को वर्कलोड प्रशासकों से अलग करता है, जिससे एक समझौता किए गए व्यवस्थापक को उनके निशान छिपाने से रोका जा सकता है।

संभावित हमला पैटर्न के आधार पर सुरक्षा नियंत्रण निवेशों को प्राथमिकता देना।

→मौजूदा सुरक्षा नियंत्रणों को MITRE ATT&CK फ्रेमवर्क में मैप करें। संभावित विरोधियों द्वारा उपयोग किए जाने वाले सामान्य TTPs की पहचान करने के लिए उद्योग से संबंधित थ्रेट इंटेलिजेंस का विश्लेषण करें। उन विशिष्ट TTPs के लिए डिटेक्शन/रोकथाम अंतराल को बंद करने को प्राथमिकता दें।

क्यों: यह थ्रेट-सूचित दृष्टिकोण यह सुनिश्चित करता है कि सुरक्षा निवेश सीधे सबसे संभावित और प्रभावशाली हमला वैक्टरों को संबोधित कर रहे हैं, जिससे जोखिम कम होता है।

Azure, AWS और GCP में पहचानों के लिए अत्यधिक अनुमतियों (अनुमति फैलाव) का प्रबंधन करना।

→Microsoft Entra Permissions Management (CIEM) डिप्लॉय करें। अनुमतियों की निरंतर खोज, जोखिम मूल्यांकन (अनुमति क्रीप इंडेक्स), और न्यूनतम विशेषाधिकार लागू करने के लिए अनुमतियों को सही आकार देने के लिए सिफारिशें उत्पन्न करने के लिए इसका उपयोग करें।

क्यों: CIEM मल्टीक्लाउड अनुमतियों की जटिलता को दूर करने के लिए एक विशेष समाधान है, जो दृश्यता और स्वचालित विश्लेषण प्रदान करता है जो अकेले नेटिव क्लाउड IAM टूल के साथ संभव नहीं है।

आंतरिक कर्मचारियों द्वारा डेटा एक्सफ़िल्ट्रेशन या तोड़फोड़ का पता लगाने के लिए एक कार्यक्रम डिज़ाइन करना।

→Microsoft Purview Insider Risk Management लागू करें। रोजगार की घटनाओं (जैसे, इस्तीफा) के आधार पर नीतियों को ट्रिगर करने के लिए HR सिस्टम के साथ एकीकृत करें। जोखिम संकेतकों के आधार पर नीतियों को कॉन्फ़िगर करें और प्रारंभिक विश्लेषण के दौरान गोपनीयता की रक्षा के लिए छद्मनामकरण का उपयोग करें।

क्यों: प्रभावी इनसाइडर जोखिम प्रबंधन के लिए तकनीकी संकेतों (जैसे, थोक डाउनलोड) को HR संदर्भ (जैसे, कर्मचारी समाप्ति तिथि) के साथ सहसंबंधित करने की आवश्यकता होती है, जिसके लिए Purview गोपनीयता का सम्मान करते हुए डिज़ाइन किया गया है।

एक मानक हब-एंड-स्पोक Azure टोपोलॉजी के लिए नेटवर्क सुरक्षा डिज़ाइन करना।

→केंद्रीकृत ट्रैफिक निरीक्षण (IDPS और TLS निरीक्षण सहित) के लिए हब VNet में Azure Firewall Premium डिप्लॉय करें। स्पोक्स से ट्रैफिक को फोर्स-टनल करने के लिए User-Defined Routes (UDRs) का उपयोग करें। स्पोक्स के भीतर माइक्रोसेगमेंटेशन के लिए NSG का उपयोग करें। हब पर Azure DDoS Protection सक्षम करें।

क्यों: यह स्तरित आर्किटेक्चर रक्षा-गहराई प्रदान करता है: हब में केंद्रीकृत खतरा सुरक्षा, स्पोक्स में माइक्रोसेगमेंटेशन, और किनारे पर वॉल्यूमेट्रिक हमला सुरक्षा।

संदर्भ↗

एक हमलावर को समझौता किए गए वर्कस्टेशन से महत्वपूर्ण सर्वर (टियर 0) में जाने से रोकने के लिए आर्किटेक्टिंग करना।

→टियरड प्रशासन मॉडल लागू करें। प्रशासन के विभिन्न स्तरों (टियर 0, 1, 2) के लिए अलग, समर्पित खातों और विशेषाधिकार प्राप्त एक्सेस वर्कस्टेशन (PAWs) का उपयोग करें। यह सुनिश्चित करें कि टियर 0 क्रेडेंशियल का उपयोग कभी भी निचले-स्तरीय सिस्टम पर न किया जाए।

क्यों: यह क्रेडेंशियल अलगाव सीमाएं बनाता है, जिससे निचले-स्तरीय संपत्ति (जैसे उपयोगकर्ता वर्कस्टेशन) पर क्रेडेंशियल चोरी से उच्च-स्तरीय संपत्ति (जैसे डोमेन नियंत्रक) का समझौता करना असंभव हो जाता है।

विरासत उपकरणों के साथ एक ऑपरेशनल टेक्नोलॉजी (OT) वातावरण को सुरक्षित करना जो सुरक्षा एजेंटों को नहीं चला सकते हैं।

→पैसिव, एजेंटलेस नेटवर्क सेंसर का उपयोग करके Microsoft Defender for IoT डिप्लॉय करें। IT और OT के बीच एक DMZ बनाने के लिए पर्ड्यू मॉडल के आधार पर नेटवर्क सेगमेंटेशन लागू करें। Defender for IoT अलर्ट को Microsoft Sentinel में एकीकृत करें।

क्यों: पैसिव नेटवर्क निगरानी संवेदनशील, विरासत औद्योगिक प्रणालियों को प्रभावित किए बिना OT-विशिष्ट प्रोटोकॉल और खतरों में दृश्यता प्रदान करती है। सेगमेंटेशन खतरों को नियंत्रित करता है और IT/OT डेटा प्रवाह को नियंत्रित करता है।

Azure Kubernetes Service (AKS) वर्कलोड के लिए रक्षा-गहराई सुरक्षा डिज़ाइन करना।

→Microsoft Defender for Containers (रजिस्ट्री स्कैनिंग, रनटाइम खतरा पहचान) को Azure Policy for AKS (कोई विशेषाधिकार प्राप्त कंटेनर जैसे सुरक्षा मानकों को लागू करने के लिए प्रवेश नियंत्रण) और नेटवर्क नीतियों (पॉड-टू-पॉड माइक्रोसेगमेंटेशन के लिए) के साथ मिलाएं।

क्यों: कंटेनर सुरक्षा के लिए एक बहु-स्तरीय दृष्टिकोण की आवश्यकता होती है: रजिस्ट्री में "शिफ्ट-लेफ्ट", डिप्लॉयमेंट पर निवारक गार्डरेल (प्रवेश नियंत्रण), रनटाइम पर नेटवर्क अलगाव, और रनटाइम खतरा पहचान।

संदर्भ↗

ऑन-प्रिमाइसेस डेटासेंटर और Azure के बीच अत्यधिक सुरक्षित और प्रदर्शनकारी कनेक्टिविटी डिज़ाइन करना।

→प्राइमरी कनेक्शन के रूप में निजी पीयरिंग के साथ ExpressRoute का उपयोग करें, जिसमें साइट-टू-साइट VPN एक फेलओवर बैकअप के रूप में हो। ExpressRoute पर MACsec या IPsec एन्क्रिप्शन सक्षम करें। Azure PaaS सेवाओं तक पहुंचने के लिए Private Endpoints का उपयोग करें।

क्यों: ExpressRoute एक निजी, समर्पित कनेक्शन प्रदान करता है, सार्वजनिक इंटरनेट को बायपास करता है। Private Endpoints यह सुनिश्चित करते हैं कि PaaS ट्रैफिक भी इंटरनेट से दूर रहे। ExpressRoute पर एन्क्रिप्शन रक्षा-गहराई प्रदान करता है।

संवेदनशील डेटा वाले Azure Storage खाते के लिए अधिकतम सुरक्षा डिज़ाइन करना।

→सार्वजनिक पहुंच और अनाम पहुंच को अक्षम करें। नेटवर्क पहुंच के लिए Private Endpoints का उपयोग करें। एप्लिकेशन प्रमाणीकरण के लिए प्रबंधित पहचान का उपयोग करें। ग्राहक-प्रबंधित कुंजी (CMK) के साथ एन्क्रिप्शन लागू करें। खतरा पहचान के लिए Microsoft Defender for Storage सक्षम करें।

क्यों: यह स्तरित दृष्टिकोण सभी प्रमुख सुरक्षा वैक्टरों को संबोधित करता है: नेटवर्क एक्सपोजर (Private Endpoints), क्रेडेंशियल प्रबंधन (प्रबंधित पहचान), एन्क्रिप्शन नियंत्रण (CMK), और रनटाइम खतरे (Defender for Storage)।

ऑन-प्रिमाइसेस और मल्टीक्लाउड सर्वर पर लगातार सुरक्षा प्रबंधन और शासन लागू करना।

→सर्वरों को Azure Arc में ऑनबोर्ड करें। यह Azure नियंत्रण तल को फैलाता है, जिससे Microsoft Defender for Cloud (CSPM/CWP) के माध्यम से प्रबंधन, Azure Policy (अतिथि कॉन्फ़िगरेशन सहित) का अनुप्रयोग, और Update Management जैसी सेवाओं का उपयोग करने की अनुमति मिलती है।

क्यों: Azure Arc एक हाइब्रिड और मल्टीक्लाउड सर्वर एस्टेट में एक एकल प्रबंधन और सुरक्षा तल बनाने के लिए मूलभूत तकनीक है।

संदर्भ↗

इंटरनेट/SaaS ऐप्स और निजी कॉर्पोरेट एप्लिकेशन दोनों के लिए दूरस्थ कर्मचारी पहुंच को सुरक्षित करना।

→Microsoft के ग्लोबल सिक्योर एक्सेस को लागू करें। SaaS/इंटरनेट ट्रैफिक के लिए सिक्योर वेब गेटवे (SWG) के रूप में Microsoft Entra Internet Access का उपयोग करें। पारंपरिक VPNs को बदलने के लिए ज़ीरो ट्रस्ट नेटवर्क एक्सेस (ZTNA) समाधान के रूप में Microsoft Entra Private Access का उपयोग करें।

क्यों: यह एक एकीकृत, पहचान-केंद्रित SSE समाधान प्रदान करता है जो उपयोगकर्ता के स्थान या संसाधन प्रकार की परवाह किए बिना लगातार सुरक्षा नीतियों को लागू करता है, जो आधुनिक ज़ीरो ट्रस्ट सिद्धांतों के साथ संरेखित होता है।

Azure वर्चुअल मशीनों के लिए व्यापक सुरक्षा डिज़ाइन करना।

→Microsoft Defender for Servers Plan 2 सक्षम करें, जिसमें Defender for Endpoint (EDR) शामिल है। डिफ़ॉल्ट रूप से प्रबंधन पोर्ट बंद करने के लिए जस्ट-इन-टाइम (JIT) VM एक्सेस का उपयोग करें। सार्वजनिक IP के बिना सुरक्षित, ब्रोकर-आधारित प्रशासनिक पहुंच के लिए Azure Bastion का उपयोग करें।

क्यों: यह स्तरित सुरक्षा प्रदान करता है: JIT और Bastion हमले की सतह को कम करते हैं, जबकि Defender for Servers वर्कलोड के लिए उन्नत खतरा पहचान और प्रतिक्रिया (EDR) प्रदान करता है।

अत्यधिक संवेदनशील डेटा को संसाधित करते समय (उपयोग में डेटा) विशेषाधिकार प्राप्त पहुंच से, जिसमें क्लाउड प्रशासक भी शामिल हैं, की रक्षा करना।

→Azure Confidential Computing VMs (जैसे, AMD SEV-SNP पर आधारित) या AKS पर गोपनीय कंटेनर का उपयोग करें। यह एक हार्डवेयर-आधारित विश्वसनीय निष्पादन वातावरण (TEE) बनाता है जहां निष्पादन के दौरान डेटा और कोड एन्क्रिप्टेड और अलग-थलग होते हैं।

क्यों: गोपनीय कंप्यूटिंग अंतिम डेटा स्थिति (उपयोग में) को संबोधित करता है जिसे आराम पर या पारगमन में एन्क्रिप्शन द्वारा कवर नहीं किया जाता है, यहां तक कि हाइपरविजर और होस्ट OS से भी सुरक्षा प्रदान करता है।

लक्षित हमलों के खिलाफ एक जटिल ऑन-प्रिमाइसेस Active Directory वातावरण को मजबूत करना।

→पार्श्व गति को रोकने के लिए टियरड प्रशासन मॉडल को लागू करने को प्राथमिकता दें। क्रेडेंशियल चोरी हमलों (जैसे, Pass-the-Hash) से विशेषाधिकार प्राप्त खातों को बचाने के लिए Protected Users सुरक्षा समूह और प्रमाणीकरण नीति साइलो डिप्लॉय करें।

क्यों: ये नियंत्रण सबसे सामान्य और प्रभावशाली AD हमला वैक्टरों को संबोधित करते हैं: पार्श्व गति और क्रेडेंशियल चोरी। वे LDAP साइनिंग जैसे सामान्य मजबूती उपायों से अधिक महत्वपूर्ण हैं।

Azure और Microsoft Entra ID के प्रशासकों के लिए ज़ीरो ट्रस्ट विशेषाधिकार प्राप्त एक्सेस लागू करना।

→Microsoft Entra Privileged Identity Management (PIM) डिप्लॉय करें। सभी स्थायी विशेषाधिकार प्राप्त असाइनमेंट को "पात्र" में परिवर्तित करें। महत्वपूर्ण भूमिकाओं के लिए समय-बद्ध सक्रियण, अनुमोदन वर्कफ़्लो और अनिवार्य एक्सेस समीक्षा कॉन्फ़िगर करें।

क्यों: PIM Azure/Entra भूमिकाओं के लिए जस्ट-इन-टाइम (JIT) और न्यूनतम विशेषाधिकार एक्सेस लागू करने के लिए कोर Microsoft सेवा है, जिससे स्थायी विशेषाधिकार प्राप्त एक्सेस का महत्वपूर्ण जोखिम समाप्त हो जाता है।

संदर्भ↗

एक स्केलेबल और प्रबंधनीय कंडीशनल एक्सेस नीति संरचना डिज़ाइन करना।

→सभी उपयोगकर्ताओं के लिए बेसलाइन नीतियों, संवेदनशील अनुप्रयोगों के लिए उन्नत नीतियों, और विशेषाधिकार प्राप्त पहुंच के लिए सख्त नीतियों के साथ एक टियरड फ्रेमवर्क लागू करें। विश्वसनीय परिदृश्यों के लिए घर्षण कम करने के लिए नामित स्थानों और डिवाइस अनुपालन जैसे संकेतों का उपयोग करें।

क्यों: एक एकल, अखंड नीति अप्रबंधनीय है। एक टियरड दृष्टिकोण नियंत्रण शक्ति को जोखिम स्तर से मेल खाता है, जहां आवश्यक हो वहां मजबूत सुरक्षा प्रदान करता है जबकि रोजमर्रा के कार्यों के लिए अनुचित घर्षण पैदा नहीं करता है।

पूर्ण पहचान जीवनचक्र (जुड़ने वाला, स्थानांतरित करने वाला, छोड़ने वाला) को स्वचालित और शासित करना।

→Microsoft Entra ID Governance का उपयोग करें। HR-संचालित प्रावधान, स्वचालन के लिए Entra ID Lifecycle Workflows, एक्सेस पैकेज (भूमिकाओं के लिए अनुमतियों का बंडलिंग) के लिए Entitlement Management, और प्रमाणीकरण के लिए नियमित एक्सेस समीक्षा लागू करें।

क्यों: यह एक एंड-टू-एंड, स्वचालित शासन समाधान प्रदान करता है जो सुनिश्चित करता है कि एक्सेस सही ढंग से प्रदान किया गया है, भूमिका परिवर्तनों के साथ संशोधित किया गया है, और समाप्ति पर तुरंत रद्द कर दिया गया है, जो बासी खातों और विशेषाधिकार क्रीप के जोखिम को संबोधित करता है।

विभिन्न प्रकार के बाहरी उपयोगकर्ताओं (भागीदार, ग्राहक) के लिए सुरक्षित पहुंच का प्रबंधन करना।

→साझेदारों और ठेकेदारों के लिए Microsoft Entra B2B सहयोग का उपयोग करें, जो क्रॉस-टेनेंट एक्सेस नीतियों द्वारा शासित है। ग्राहक-सामना करने वाले अनुप्रयोगों के लिए Microsoft Entra B2C का उपयोग करें, जो अनुकूलन योग्य उपयोगकर्ता यात्राओं के साथ एक अलग, स्केलेबल निर्देशिका प्रदान करता है।

क्यों: B2B और B2C विभिन्न बाहरी पहचान परिदृश्यों के लिए उद्देश्य-निर्मित हैं। सही उपकरण का उपयोग करने से सुरक्षा और स्केलेबिलिटी के मुद्दे बचते हैं जो सभी बाहरी उपयोगकर्ताओं को एक जैसा मानने से उत्पन्न होते हैं (जैसे, उनके लिए आंतरिक खाते बनाना)।

Microsoft 365 और Azure में संवेदनशील डेटा को लगातार सुरक्षित रखना।

→Microsoft Purview Information Protection डिप्लॉय करें। संवेदनशीलता लेबल लागू करने के लिए स्वचालित वर्गीकरण (संवेदनशील जानकारी प्रकार, प्रशिक्षण योग्य क्लासिफायर) का उपयोग करें। डेटा जहां भी रहता है, वहां सुरक्षा (एन्क्रिप्शन, एक्सेस प्रतिबंध) लागू करने के लिए लेबल कॉन्फ़िगर करें।

क्यों: डेटा-केंद्रित सुरक्षा स्वयं डेटा का अनुसरण करती है। बड़े डेटा एस्टेट में लगातार लेबलिंग और सुरक्षा सुनिश्चित करने का एकमात्र व्यवहार्य तरीका स्वचालित वर्गीकरण है।

सामान्य खतरों के खिलाफ आंतरिक और बाहरी APIs को सुरक्षित करना।

→एक एकीकृत गेटवे के रूप में Azure API Management डिप्लॉय करें। OAuth 2.0 के साथ मजबूत प्रमाणीकरण लागू करें। दर सीमा और अनुरोध सत्यापन के लिए नीतियां कॉन्फ़िगर करें। रनटाइम खतरा पहचान के लिए Microsoft Defender for APIs सक्षम करें।

क्यों: API सुरक्षा के लिए एक गेटवे की आवश्यकता होती है जो नीति प्रवर्तन बिंदु के रूप में कार्य करता है। निवारक नियंत्रणों (APIM नीतियां) को जासूसी नियंत्रणों (Defender for APIs) के साथ मिलाकर API-विशिष्ट हमलों के खिलाफ रक्षा-गहराई प्रदान करता है।

जल्दी कमजोरियों को खोजने के लिए CI/CD पाइपलाइन में सुरक्षा को एकीकृत करना ("शिफ्ट-लेफ्ट")।

→GitHub Advanced Security (या Defender for DevOps) लागू करें। स्वचालित SAST (कोड स्कैनिंग), निर्भरता स्कैनिंग (SCA), और गुप्त स्कैनिंग को सीधे CI पाइपलाइन और पुल रिक्वेस्ट प्रक्रिया में एकीकृत करें। महत्वपूर्ण कमजोरियों वाले बिल्ड को ब्लॉक करने के लिए सुरक्षा गेट का उपयोग करें।

क्यों: डेवलपर वर्कफ़्लो के भीतर स्वचालित स्कैनिंग त्वरित प्रतिक्रिया प्रदान करता है, जिससे कमजोरियों को जल्दी ठीक किया जा सकता है जब ऐसा करना सबसे सस्ता होता है, बिना प्री-प्रोडक्शन सुरक्षा समीक्षा में बाधा डाले।

एप्लिकेशन रहस्य, कुंजी और प्रमाणपत्रों के लिए एक सुरक्षित और प्रबंधनीय समाधान डिज़ाइन करना।

→Azure Key Vault का उपयोग करें। प्रति एप्लिकेशन या सुरक्षा सीमा में वॉल्ट को अलग करें। वॉल्ट तक पहुंचने के लिए Azure संसाधनों के लिए प्रबंधित पहचान का उपयोग करें (कोई संग्रहीत क्रेडेंशियल नहीं)। सॉफ्ट-डिलीट और पर्ज सुरक्षा सक्षम करें। Defender for Key Vault के साथ निगरानी करें।

क्यों: Key Vault एक केंद्रीकृत, हार्डवेयर-समर्थित, और ऑडिट योग्य गुप्त स्टोर प्रदान करता है। प्रबंधित पहचान का उपयोग करना महत्वपूर्ण घटक है जो वॉल्ट तक पहुंचने के लिए उपयोग किए जाने वाले क्रेडेंशियल को कैसे सुरक्षित किया जाए, इसकी "गुप्त शून्य" समस्या को समाप्त करता है।

एक संवेदनशील Azure SQL डेटाबेस के लिए स्तरित सुरक्षा लागू करना।

→ग्राहक-प्रबंधित कुंजी (CMK) के साथ Transparent Data Encryption (TDE), विशिष्ट संवेदनशील कॉलम के लिए Always Encrypted, गैर-विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए डायनेमिक डेटा मास्किंग, खतरा पहचान के लिए Microsoft Defender for SQL, और Azure AD-केवल प्रमाणीकरण को मिलाएं।

क्यों: कोई भी एकल नियंत्रण पर्याप्त नहीं है। यह स्तरित दृष्टिकोण आराम पर डेटा (TDE), उपयोग में (Always Encrypted), अनधिकृत देखने से (मास्किंग), खतरों से (Defender), और मजबूत प्रमाणीकरण (Azure AD) सुनिश्चित करता है।

ईमेल, टीम, SharePoint और एंडपॉइंट उपकरणों में डेटा हानि को रोकना।

→Microsoft Purview DLP डिप्लॉय करें। M365 सेवाओं और एंडपॉइंट में लागू होने वाली एकीकृत नीतियां बनाएं। DLP नियमों को संवेदनशीलता लेबल के साथ संरेखित करें। प्रबंधित उपकरणों पर कार्यों को नियंत्रित करने के लिए एंडपॉइंट DLP का उपयोग करें (जैसे, USB पर कॉपी करना ब्लॉक करें)।

क्यों: एक एकीकृत नीति इंजन सभी डेटा चैनलों में लगातार प्रवर्तन सुनिश्चित करता है। एंडपॉइंट DLP क्लाउड से परे उपयोगकर्ता डिवाइस तक सुरक्षा का विस्तार करने के लिए महत्वपूर्ण है।

Copilot for Microsoft 365 के सुरक्षित डिप्लॉयमेंट के लिए एक संगठन के डेटा वातावरण को तैयार करना।

→डिप्लॉयमेंट से पहले, सूचना शासन पर ध्यान केंद्रित करें। ओवरशेयर्ड साइटों और फ़ाइलों को खोजने और ठीक करने के लिए SharePoint Advanced Management जैसे टूल का उपयोग करें। सुनिश्चित करें कि एक मजबूत डेटा वर्गीकरण और संवेदनशीलता लेबलिंग रणनीति मौजूद है और लागू की गई है।

क्यों: Copilot मौजूदा अनुमतियों का सम्मान करता है। जानकारी को तेजी से सामने लाने की इसकी क्षमता मौजूदा ओवरशेयरिंग मुद्दों को एक महत्वपूर्ण जोखिम बनाती है। "अपने डेटा हाउस को व्यवस्थित करना" सुरक्षित AI डिप्लॉयमेंट के लिए एक शर्त है।

एक व्यवसाय-महत्वपूर्ण वेब एप्लिकेशन के लिए व्यापक सुरक्षा डिज़ाइन करना।

→रोकथाम मोड में वेब एप्लिकेशन फ़ायरवॉल (WAF) के साथ Azure Application Gateway का उपयोग करें। CI/CD पाइपलाइन में SAST/DAST स्कैनिंग को एकीकृत करें। रनटाइम निगरानी के लिए Microsoft Defender for App Service सक्षम करें। ऐप सर्विस को एक Private Endpoint पर रखें।

क्यों: यह कई स्तरों पर सुरक्षा प्रदान करता है: किनारे पर (WAF), कोड में (SAST/DAST), प्लेटफ़ॉर्म पर (Defender), और नेटवर्क पर (Private Endpoint), जो वेब एप्लिकेशन खतरों की एक विस्तृत श्रृंखला को संबोधित करता है।

AKS में माइक्रोसेर्विसेज के लिए एक दूसरे और Azure PaaS सेवाओं तक संग्रहीत क्रेडेंशियल के बिना पहुंचने के लिए प्रमाणीकरण डिज़ाइन करना।

→Kubernetes पॉड्स को Azure AD टोकन प्राप्त करने की अनुमति देने के लिए Azure AD Workload Identity लागू करें। क्लस्टर के भीतर सभी सेवा-से-सेवा संचार के लिए म्यूचुअल TLS (mTLS) लागू करने के लिए एक सेवा जाल (जैसे, Istio, Linkerd) का उपयोग करें।

क्यों: यह पैटर्न एप्लिकेशन वातावरण से लंबे समय तक चलने वाले रहस्यों (पासवर्ड, कुंजी) को पूरी तरह से समाप्त कर देता है, जिससे सुरक्षा स्थिति में काफी सुधार होता है। वर्कलोड आइडेंटिटी Azure के लिए उत्तर-दक्षिण प्रमाणीकरण को संभालता है, जबकि mTLS क्लस्टर के भीतर पूर्व-पश्चिम प्रमाणीकरण को संभालता है।

क्रिप्टोग्राफिक कुंजियों को संग्रहीत करने के लिए सख्त अनुपालन आवश्यकताओं (जैसे, FIPS 140-2 स्तर 3) को पूरा करना।

→Azure Key Vault Managed HSM का उपयोग करें। यह एक समर्पित, एकल-किरायेदार, FIPS 140-2 स्तर 3 मान्य HSM प्रदान करता है जो Microsoft द्वारा पूरी तरह से प्रबंधित है लेकिन ग्राहक को सुरक्षा डोमेन पर पूर्ण नियंत्रण देता है।

क्यों: उच्चतम स्तर के अनुपालन और कुंजी नियंत्रण के लिए, मानक/प्रीमियम Key Vault टियर पर Managed HSM की आवश्यकता होती है, जो साझा, बहु-किरायेदार HSM (FIPS 140-2 स्तर 2) का उपयोग करते हैं।

समझौता किए गए निर्भरता या दुर्भावनापूर्ण कोड इंजेक्शन जैसे खतरों से एप्लिकेशन विकास प्रक्रिया की रक्षा करना।

→निजी पैकेज रजिस्ट्रियों (जैसे, Azure Artifacts), निर्भरता स्कैनिंग (SCA), सॉफ्टवेयर बिल ऑफ मैटेरियल्स (SBOM) जनरेशन, आर्टिफैक्ट साइनिंग, और प्रोवेंस सत्यापन का उपयोग करके एक सुरक्षित पाइपलाइन डिज़ाइन करें।

क्यों: यह आपूर्ति श्रृंखला के कई चरणों को संबोधित करता है: इनपुट को नियंत्रित करना (निजी रजिस्ट्री), घटकों को मान्य करना (SCA, SBOM), और आउटपुट की अखंडता सुनिश्चित करना (साइनिंग, प्रोवेंस)।