Справочник

Начало трансформации Zero Trust от традиционной периметровой модели.

→Приоритизируйте принцип "Явной проверки". Аутентифицируйте и авторизуйте каждый запрос доступа на основе всех доступных данных (идентификация, устройство, местоположение, сервис, данные, аномалии).

Почему: Явная проверка — это фундаментальный столп Zero Trust. Все остальные меры контроля (наименьшие привилегии, предположение о взломе) строятся на этом основном принципе — никогда не доверять и всегда проверять.

Источник↗

Разработка комплексной защиты от полной цепочки атак программ-вымогателей.

→Сочетайте привилегированные рабочие станции (PAWs) для предотвращения кражи учетных данных и горизонтального перемещения с неизменяемой архитектурой резервного копирования (неизменяемые хранилища Azure Backup, MUA) для надежного восстановления.

Почему: Это затрагивает как предотвращение (PAWs срывают атаку), так и восстановление (неизменяемые резервные копии обеспечивают непрерывность бизнеса в случае отказа предотвращения), обеспечивая истинную устойчивость.

Интеграция моделирования угроз в гибкий цикл разработки с короткими спринтами.

→Внедрите инкрементальное моделирование угроз с использованием методологии STRIDE. Интегрируйте его в планирование спринтов, обновляя модель по мере развития архитектуры и используя ее как шлюз для проверок безопасности.

Почему: Моделирование угроз должно быть непрерывным, а не одноразовым событием, чтобы быть эффективным в гибких средах. Инкрементальные обновления поддерживают согласованность безопасности со скоростью разработки.

Внедрение Zero Trust с поэтапным подходом для быстрых результатов.

→Следуйте приоритетам Плана быстрой модернизации Zero Trust (RaMP): 1. Управление идентификацией и доступом, 2. Конечные точки и устройства, 3. Приложения, 4. Сеть и инфраструктура.

Почему: Обеспечение безопасности идентификации обеспечивает наиболее значительное немедленное снижение рисков и формирует плоскость управления для всех других столпов Zero Trust.

Приоритизация устранения уязвимостей на основе влияния на бизнес, а не только оценок CVSS.

→Используйте Microsoft Security Exposure Management для анализа путей атаки на выявленные критические активы. Приоритизируйте устранение уязвимостей, которые предоставляют жизнеспособные пути атаки к ценным целям.

Почему: Анализ путей атаки контекстуализирует уязвимости с бизнес-риском, обеспечивая сосредоточение усилий по устранению на угрозах, которые представляют наибольшую опасность для организации.

Обеспечение единообразной базовой безопасности в крупном предприятии с множеством подписок Azure.

→Реализуйте инициативы Azure Policy, соответствующие MCSB, на уровне корневой группы управления. Используйте Microsoft Defender for Cloud для непрерывного мониторинга соответствия во всех унаследованных подписках.

Почему: Назначение политик на уровне группы управления обеспечивает масштабируемые, наследуемые меры безопасности для всех текущих и будущих подписок, гарантируя единообразную базовую безопасность по умолчанию.

Проектирование Центра операций безопасности (SOC) для глобальной компании с региональными требованиями к резидентности данных.

→Разверните архитектуру Microsoft Sentinel с несколькими рабочими областями. Храните данные в региональных рабочих областях Log Analytics для соблюдения требований к резидентности. Используйте Azure Lighthouse для централизованного управления и межрабочих запросов для унифицированного поиска угроз.

Почему: Эта модель балансирует централизованные операции безопасности и глобальную видимость с соблюдением требований к резидентности локальных данных, избегая нарушений при передаче данных.

Источник↗

Оптимизация операций SOC с использованием Microsoft Defender XDR и Microsoft Sentinel.

→Включите соединитель Microsoft Defender XDR в Sentinel для двунаправленной синхронизации инцидентов. Используйте Defender XDR для глубокого автоматизированного расследования инцидентов M365/конечных точек. Используйте Sentinel для междоменной корреляции со сторонними источниками и расширенного поиска.

Почему: Этот подход "вместе лучше" использует сильные стороны обеих платформ: XDR для интегрированного, автоматизированного реагирования в экосистеме Microsoft и SIEM для широкой, кросс-платформенной видимости и корреляции.

Внедрение автоматизации реагирования на инциденты без чрезмерного риска ложных срабатываний.

→Разработайте многоуровневую стратегию автоматизации в Sentinel. Полностью автоматизируйте действия с низким риском (обогащение, уведомления). Используйте рабочие процессы утверждения с участием человека для действий со средним риском (блокировка IP-адресов). Зарезервируйте высокоэффективные действия (отключение учетных записей) для ручного выполнения.

Почему: Многоуровневая автоматизация балансирует скорость реагирования с соответствующим надзором, максимизируя эффективность SOC для общих задач, предотвращая при этом автоматизированные действия, которые могут вызвать серьезные операционные сбои.

Создание унифицированной плоскости мониторинга безопасности для локальных сред, Azure, AWS и GCP.

→Используйте Microsoft Sentinel в качестве центрального SIEM. Подключайте локальные/мультиоблачные серверы через Azure Arc. Используйте нативные соединители данных Sentinel для сервисов AWS и GCP. Включите Microsoft Defender for Cloud во всех средах.

Почему: Azure Arc расширяет плоскость управления Azure на любую инфраструктуру, предоставляя единую консоль для управления безопасностью (Defender for Cloud) и мониторинга (Sentinel) в гибридных и мультиоблачных средах.

Обеспечение долгосрочного, защищенного от изменений хранения административных журналов аудита для соответствия требованиям.

→Настройте параметры диагностики для экспорта журналов активности Azure в выделенную рабочую область Log Analytics и неизменяемую учетную запись Azure Storage. Разместите эти ресурсы в отдельной, защищенной подписке для безопасности/управления.

Почему: Неизменяемое хранилище (WORM) предотвращает подделку журналов. Отдельная подписка управления изолирует журналы от администраторов рабочей нагрузки, предотвращая сокрытие следов скомпрометированным администратором.

Приоритизация инвестиций в меры безопасности на основе вероятных моделей атак.

→Сопоставьте существующие меры безопасности с фреймворком MITRE ATT&CK. Проанализируйте информацию об угрозах, актуальную для отрасли, чтобы выявить общие TTP, используемые вероятными противниками. Приоритизируйте устранение пробелов в обнаружении/предотвращении для этих конкретных TTP.

Почему: Этот подход, основанный на информации об угрозах, гарантирует, что инвестиции в безопасность напрямую нацелены на наиболее вероятные и эффективные векторы атак, максимизируя снижение рисков.

Управление избыточными разрешениями (разрастание разрешений) для идентификаторов в Azure, AWS и GCP.

→Разверните Microsoft Entra Permissions Management (CIEM). Используйте его для непрерывного обнаружения разрешений, оценки рисков (Permission Creep Index) и генерации рекомендаций по оптимизации разрешений для обеспечения принципа наименьших привилегий.

Почему: CIEM — это специализированное решение для решения сложности мультиоблачных разрешений, обеспечивающее видимость и автоматизированный анализ, что невозможно только с помощью нативных инструментов IAM облака.

Разработка программы для обнаружения эксфильтрации данных или саботажа со стороны внутренних сотрудников.

→Внедрите Microsoft Purview Insider Risk Management. Интегрируйтесь с HR-системами для запуска политик на основе событий занятости (например, увольнение). Настройте политики на основе индикаторов риска и используйте псевдонимизацию для защиты конфиденциальности во время первоначального анализа.

Почему: Эффективное управление внутренними рисками требует корреляции технических сигналов (например, массовая загрузка) с HR-контекстом (например, дата увольнения сотрудника), что Purview разработан делать, соблюдая при этом конфиденциальность.

Проектирование сетевой безопасности для стандартной топологии Azure "звезда".

→Разверните Azure Firewall Premium в виртуальной сети концентратора (VNet) для централизованной проверки трафика (включая IDPS и инспекцию TLS). Используйте определяемые пользователем маршруты (UDR) для принудительного туннелирования трафика из периферийных сетей. Используйте группы безопасности сети (NSG) для микросегментации внутри периферийных сетей. Включите Azure DDoS Protection на концентраторе.

Почему: Эта многоуровневая архитектура обеспечивает глубокую защиту: централизованную защиту от угроз в концентраторе, микросегментацию в периферийных сетях и защиту от объемных атак на границе.

Источник↗

Разработка архитектуры для предотвращения перемещения злоумышленника из скомпрометированной рабочей станции на критически важные серверы (Уровень 0).

→Реализуйте многоуровневую модель администрирования. Используйте отдельные, выделенные учетные записи и Привилегированные рабочие станции (PAWs) для разных уровней администрирования (Уровень 0, 1, 2). Обеспечьте, чтобы учетные данные Уровня 0 никогда не использовались в системах более низкого уровня.

Почему: Это создает границы изоляции учетных данных, делая невозможным кражу учетных данных на активе более низкого уровня (например, пользовательской рабочей станции) для компрометации актива более высокого уровня (например, контроллера домена).

Обеспечение безопасности среды операционных технологий (OT) с устаревшими устройствами, которые не могут запускать агенты безопасности.

→Разверните Microsoft Defender for IoT с использованием пассивных, безагентных сетевых датчиков. Реализуйте сетевую сегментацию на основе модели Purdue для создания DMZ между IT и OT. Интегрируйте оповещения Defender for IoT в Microsoft Sentinel.

Почему: Пассивный сетевой мониторинг обеспечивает видимость специфичных для OT протоколов и угроз без воздействия на чувствительные, устаревшие промышленные системы. Сегментация сдерживает угрозы и контролирует потоки данных IT/OT.

Разработка глубокой защиты для рабочих нагрузок Azure Kubernetes Service (AKS).

→Сочетайте Microsoft Defender for Containers (сканирование реестра, обнаружение угроз во время выполнения) с Azure Policy для AKS (контроль доступа для обеспечения стандартов безопасности, таких как отсутствие привилегированных контейнеров) и сетевыми политиками (для микросегментации "pod-to-pod").

Почему: Безопасность контейнеров требует многоуровневого подхода: "shift-left" в реестре, превентивные меры безопасности при развертывании (контроль доступа), сетевая изоляция во время выполнения и обнаружение угроз во время выполнения.

Источник↗

Разработка высокобезопасного и производительного подключения между локальными центрами обработки данных и Azure.

→Используйте ExpressRoute с частным пирингом в качестве основного подключения, с VPN "сайт-к-сайту" в качестве резервного канала. Включите шифрование MACsec или IPsec поверх ExpressRoute. Используйте Приватные конечные точки (Private Endpoints) для доступа к службам Azure PaaS.

Почему: ExpressRoute предоставляет частное, выделенное соединение, минуя публичный интернет. Приватные конечные точки гарантируют, что трафик PaaS также остается вне интернета. Шифрование поверх ExpressRoute обеспечивает глубокую защиту.

Разработка максимальной безопасности для учетной записи Azure Storage, содержащей конфиденциальные данные.

→Отключите публичный доступ и анонимный доступ. Используйте Приватные конечные точки для сетевого доступа. Используйте управляемые удостоверения для аутентификации приложений. Примените шифрование с ключами, управляемыми клиентом (CMK). Включите Microsoft Defender for Storage для обнаружения угроз.

Почему: Этот многоуровневый подход охватывает все ключевые векторы безопасности: сетевую доступность (Приватные конечные точки), управление учетными данными (управляемые удостоверения), контроль шифрования (CMK) и угрозы во время выполнения (Defender for Storage).

Применение единообразного управления безопасностью и управления к локальным и мультиоблачным серверам.

→Подключите серверы к Azure Arc. Это расширяет плоскость управления Azure, позволяя управлять через Microsoft Defender for Cloud (CSPM/CWP), применять Azure Policy (включая конфигурацию гостевой ОС) и использовать такие сервисы, как Update Management.

Почему: Azure Arc является основной технологией для создания единой плоскости управления и безопасности в гибридной и мультиоблачной серверной инфраструктуре.

Источник↗

Обеспечение безопасного доступа удаленных сотрудников как к интернет-/SaaS-приложениям, так и к частным корпоративным приложениям.

→Реализуйте Global Secure Access от Microsoft. Используйте Microsoft Entra Internet Access в качестве Secure Web Gateway (SWG) для SaaS/интернет-трафика. Используйте Microsoft Entra Private Access в качестве решения Zero Trust Network Access (ZTNA) для замены традиционных VPN.

Почему: Это обеспечивает унифицированное, ориентированное на идентификацию решение SSE, которое применяет согласованные политики безопасности независимо от местоположения пользователя или типа ресурса, согласуясь с современными принципами Zero Trust.

Проектирование комплексной защиты для виртуальных машин Azure.

→Включите Microsoft Defender for Servers Plan 2, который включает Defender for Endpoint (EDR). Используйте Just-in-Time (JIT) доступ к ВМ для закрытия портов управления по умолчанию. Используйте Azure Bastion для безопасного, брокер-основанного административного доступа без публичных IP-адресов.

Почему: Это обеспечивает многоуровневую защиту: JIT и Bastion уменьшают поверхность атаки, в то время как Defender for Servers обеспечивает расширенное обнаружение угроз и реагирование (EDR) для самой рабочей нагрузки.

Защита высокочувствительных данных во время их обработки (данные в использовании) от привилегированного доступа, включая облачных администраторов.

→Используйте конфиденциальные вычислительные ВМ Azure (например, на основе AMD SEV-SNP) или конфиденциальные контейнеры на AKS. Это создает аппаратную Доверенную среду выполнения (TEE), где данные и код шифруются и изолируются во время выполнения.

Почему: Конфиденциальные вычисления учитывают конечное состояние данных (в использовании), не охваченное шифрованием в состоянии покоя или при передаче, обеспечивая защиту даже от гипервизора и гостевой ОС.

Усиление сложной локальной среды Active Directory против целевых атак.

→Приоритизируйте внедрение многоуровневой модели администрирования для предотвращения горизонтального перемещения. Разверните группу безопасности Protected Users и силосы политики аутентификации для защиты привилегированных учетных записей от атак кражи учетных данных (например, Pass-the-Hash).

Почему: Эти меры контроля направлены на наиболее распространенные и эффективные векторы атак AD: горизонтальное перемещение и кража учетных данных. Они более критичны, чем общие меры усиления, такие как подписание LDAP.

Внедрение привилегированного доступа Zero Trust для администраторов Azure и Microsoft Entra ID.

→Разверните Microsoft Entra Privileged Identity Management (PIM). Преобразуйте все постоянные привилегированные назначения в "доступные". Настройте активацию с ограничением по времени, рабочие процессы утверждения для критических ролей и обязательные проверки доступа.

Почему: PIM является основным сервисом Microsoft для реализации Just-in-Time (JIT) и доступа с наименьшими привилегиями для ролей Azure/Entra, устраняя значительный риск постоянного привилегированного доступа.

Источник↗

Разработка масштабируемой и управляемой структуры политики условного доступа.

→Внедрите многоуровневую структуру с базовыми политиками для всех пользователей, расширенными политиками для конфиденциальных приложений и строгими политиками для привилегированного доступа. Используйте сигналы, такие как именованные местоположения и соответствие устройств, чтобы уменьшить трение для доверенных сценариев.

Почему: Единая, монолитная политика неуправляема. Многоуровневый подход соотносит силу контроля с уровнем риска, обеспечивая надежную безопасность там, где это необходимо, без создания излишнего трения для повседневных задач.

Автоматизация и управление полным жизненным циклом идентификации (прием, перевод, увольнение).

→Используйте Microsoft Entra ID Governance. Внедрите HR-управляемое выделение ресурсов, рабочие процессы жизненного цикла Entra ID для автоматизации, Entitlement Management для пакетов доступа (объединение разрешений для ролей) и регулярные проверки доступа для аттестации.

Почему: Это обеспечивает сквозное, автоматизированное решение для управления, которое гарантирует правильное предоставление доступа, его изменение при изменении ролей и своевременный отзыв при увольнении, устраняя риск устаревших учетных записей и разрастания привилегий.

Управление безопасным доступом для различных типов внешних пользователей (партнеры, клиенты).

→Используйте Microsoft Entra B2B collaboration для партнеров и подрядчиков, управляемое политиками кросс-арендного доступа. Используйте Microsoft Entra B2C для клиентских приложений, предоставляя отдельный, масштабируемый каталог с настраиваемыми пользовательскими сценариями.

Почему: B2B и B2C специально разработаны для различных сценариев внешних идентификаторов. Использование правильного инструмента позволяет избежать проблем с безопасностью и масштабируемостью, которые возникают при одинаковом отношении ко всем внешним пользователям (например, создание для них внутренних учетных записей).

Постоянная защита конфиденциальных данных в Microsoft 365 и Azure.

→Разверните Microsoft Purview Information Protection. Используйте автоматическую классификацию (типы конфиденциальной информации, обучаемые классификаторы) для применения меток конфиденциальности. Настройте метки для обеспечения защиты (шифрование, ограничения доступа) данных независимо от их местонахождения.

Почему: Защита, ориентированная на данные, следует за самими данными. Автоматическая классификация в масштабе — единственный возможный способ обеспечить последовательное маркирование и защиту большого объема данных.

Защита внутренних и внешних API от распространенных угроз.

→Разверните Azure API Management в качестве унифицированного шлюза. Обеспечьте строгую аутентификацию с OAuth 2.0. Настройте политики ограничения скорости и валидации запросов. Включите Microsoft Defender for APIs для обнаружения угроз во время выполнения.

Почему: Безопасность API требует шлюза для выполнения функций точки применения политики. Сочетание превентивных мер контроля (политики APIM) с детективными мерами контроля (Defender for APIs) обеспечивает глубокую защиту от специфичных для API атак.

Интеграция безопасности в конвейер CI/CD для раннего обнаружения уязвимостей ("shift-left").

→Внедрите GitHub Advanced Security (или Defender for DevOps). Интегрируйте автоматическое SAST (сканирование кода), сканирование зависимостей (SCA) и сканирование секретов непосредственно в конвейер CI и процесс pull-запросов. Используйте шлюзы безопасности для блокировки сборок с критическими уязвимостями.

Почему: Автоматическое сканирование в рамках рабочего процесса разработчика обеспечивает быструю обратную связь, позволяя устранять уязвимости на ранних этапах, когда это наиболее дешево, не создавая узкого места на этапе проверки безопасности перед производством.

Разработка безопасного и управляемого решения для секретов приложений, ключей и сертификатов.

→Используйте Azure Key Vault. Изолируйте хранилища по приложению или границе безопасности. Используйте управляемые удостоверения для ресурсов Azure для доступа к хранилищу (без хранимых учетных данных). Включите обратимое удаление и защиту от очистки. Мониторинг с помощью Defender for Key Vault.

Почему: Key Vault предоставляет централизованное, аппаратно-защищенное и аудируемое хранилище секретов. Использование управляемых удостоверений является критически важным компонентом, который устраняет проблему "нулевого секрета" – как защитить учетные данные, используемые для доступа к самому хранилищу.

Внедрение многоуровневой безопасности для конфиденциальной базы данных Azure SQL.

→Сочетайте прозрачное шифрование данных (TDE) с ключами, управляемыми клиентом (CMK), Always Encrypted для конкретных конфиденциальных столбцов, динамическое маскирование данных для непривилегированных пользователей, Microsoft Defender for SQL для обнаружения угроз и аутентификацию только через Azure AD.

Почему: Ни один единственный элемент управления недостаточен. Этот многоуровневый подход защищает данные в состоянии покоя (TDE), в использовании (Always Encrypted), от несанкционированного просмотра (маскирование), от угроз (Defender) и обеспечивает строгую аутентификацию (Azure AD).

Предотвращение потери данных в электронной почте, Teams, SharePoint и на конечных устройствах.

→Разверните Microsoft Purview DLP. Создайте унифицированные политики, которые применяются ко всем службам M365 и конечным точкам. Согласуйте правила DLP с метками конфиденциальности. Используйте Endpoint DLP для контроля действий на управляемых устройствах (например, блокировка копирования на USB).

Почему: Унифицированный механизм политик обеспечивает последовательное применение во всех каналах данных. Endpoint DLP критически важен для расширения защиты за пределы облака на само пользовательское устройство.

Подготовка среды данных организации к безопасному развертыванию Copilot для Microsoft 365.

→Перед развертыванием сосредоточьтесь на управлении информацией. Используйте такие инструменты, как SharePoint Advanced Management, чтобы находить и устранять чрезмерно распространенные сайты и файлы. Убедитесь, что стратегия классификации данных и маркировки конфиденциальности надежна и применяется.

Почему: Copilot уважает существующие разрешения. Его способность быстро находить информацию делает существующие проблемы с чрезмерным распространением критическим риском. "Приведение в порядок ваших данных" является предварительным условием для безопасного развертывания ИИ.

Проектирование комплексной безопасности для критически важного веб-приложения.

→Используйте Azure Application Gateway с Web Application Firewall (WAF) в режиме предотвращения. Интегрируйте SAST/DAST сканирование в конвейер CI/CD. Включите Microsoft Defender for App Service для мониторинга во время выполнения. Разместите App Service на Приватной конечной точке.

Почему: Это обеспечивает защиту на нескольких уровнях: на границе (WAF), в коде (SAST/DAST), на платформе (Defender) и в сети (Приватная конечная точка), что позволяет противостоять широкому спектру угроз веб-приложений.

Разработка аутентификации для микросервисов в AKS для доступа друг к другу и к службам Azure PaaS без хранимых учетных данных.

→Внедрите Azure AD Workload Identity, чтобы позволить Kubernetes подам получать токены Azure AD. Используйте Service Mesh (например, Istio, Linkerd) для обеспечения взаимного TLS (mTLS) для всей межсервисной связи внутри кластера.

Почему: Этот шаблон полностью устраняет долгосрочные секреты (пароли, ключи) из среды приложения, значительно улучшая состояние безопасности. Workload Identity обрабатывает аутентификацию север-юг для Azure, в то время как mTLS обрабатывает аутентификацию восток-запад внутри кластера.

Соблюдение строгих требований соответствия (например, FIPS 140-2 Уровень 3) для хранения криптографических ключей.

→Используйте Azure Key Vault Managed HSM. Это предоставляет выделенный, одноарендный HSM, валидированный по FIPS 140-2 Уровень 3, который полностью управляется Microsoft, но дает клиенту полный контроль над доменом безопасности.

Почему: Для наивысшего уровня соответствия и контроля ключей Managed HSM требуется вместо стандартных/премиум уровней Key Vault, которые используют общие, многоарендные HSM (FIPS 140-2 Уровень 2).

Защита процесса разработки приложений от угроз, таких как скомпрометированные зависимости или внедрение вредоносного кода.

→Разработайте безопасный конвейер с использованием частных реестров пакетов (например, Azure Artifacts), сканирования зависимостей (SCA), генерации Спецификации программных материалов (SBOM), подписания артефактов и проверки происхождения.

Почему: Это затрагивает несколько этапов цепочки поставок: контроль входных данных (частный реестр), проверка компонентов (SCA, SBOM) и обеспечение целостности выходных данных (подписание, происхождение).