أفضل الممارسات لتعزيز أمانك في Microsoft Azure
ملحوظة المحرر: يشارك Uladzislau معرفة ScienceSoft في إجراءات الأمان للبنى التحتية المستضافة في Azure من أجل تعزيز مستوى الأمن السيبراني لديك. تغطي هذه الإرشادات فقط المخاطر الشائعة التي تهدد وضع الأمن السيبراني الخاص بك، وإذا كنت تشك في أن هذه الإجراءات الوقائية كافية بالنسبة لك، فلا تتردد في تصفح موقعنا عروض خدمات اختبار الأمان.
يمكنك إنشاء أمان Azure بعدة طرق، اعتمادًا على الخدمات والأدوار المستخدمة. تحقق من الإرشادات أدناه لتجنب مخاطر الأمن السيبراني الشائعة وتحسين مستوى الأمان لبيئة Azure بأكملها.
نصائح حول إدارة الهوية والوصول
يجب أن يكون تكوين وإدارة الوصول إلى الموارد السحابية جزءًا مهمًا من سياسة الأمان الخاصة بك. ولهذا السبب، تقدم Microsoft ثلاث واجهات لإدارة الموارد السحابية: Azure Portal، وPowerShell، وAzure CLI. نظرًا لأن الوصول إليها هو هدف للعديد من مجرمي الإنترنت، فيجب أن تكون حمايتهم إحدى الخطوات الأساسية لضمان أمان البنية الأساسية لـ Azure بالكامل.
إليك ما يجب عليك تجنبه في المقام الأول لمنع مشكلات الأمان المتعلقة بإدارة الهوية والوصول:
- ضعف أمان الحساب. بحسب ال تقرير التحقيقات في خرق بيانات Verizon، 63% من الهجمات تنطوي على اختراق الحسابات عندما يستخدم المهاجم كلمة مرور ضعيفة أو مسروقة.
- حقوق زائدة عن الحاجة للمستخدمين والتطبيقات. من خلال تجربة ScienceSoft، تواجه الشركات ما متوسطه 11 تهديدًا داخليًا و3 تهديدات للمستخدمين المتميزين شهريًا. في معظم الحالات، تكون التهديدات الأمنية غير ضارة وتنشأ من إهمال الموظفين.
- استخدام إعدادات Azure Portal الافتراضية.
لتجنب هذه الأخطاء الشائعة، أود التأكيد على أهمية موثوقية كلمة المرور والمصادقة الآمنة. فيما يلي، أقدم توصيات حول كيفية ضبط سياسة الوصول الخاصة بك وحماية مواردك السحابية:
- التأكد من حماية حساب المستخدم.
- تمكين المصادقة متعددة العوامل (MFA) لجميع الحسابات. يوفر Azure MFA للمستخدمين الذين تم تعيينهم لدور المسؤول العالمي مجانًا.
- كن حذرًا عند استخدام ميزة كلمة مرور التطبيق. بعض التطبيقات، مثل Office 2010 وإصداراته السابقة، لا تدعم MFA وتستخدم كلمة مرور التطبيق لتعمل بشكل صحيح، مما يزيد من خطر اختراق الحساب.
- اهتم بتعقيد كلمة المرور وتغييرها في الوقت المناسب. طول كلمة المرور الموصى به هو 10 أحرف، بما في ذلك الأرقام والحروف في كلتا الحالتين.
- الحد من عدد محاولات إدخال كلمة المرور غير الصحيحة.
- استخدم أدوات الوصول المشروط وحماية الهوية لاكتشاف الأنشطة الضارة في حسابك وإيقافها بسرعة.
- قطع الحقوق الزائدة عن الحاجة.
- الحد من عدد الحسابات المميزة. على سبيل المثال، تقترح إرشادات Microsoft تقليل عدد المستخدمين الذين لديهم دور المسؤول العام إلى 3.
- تنفيذ واستخدام إدارة الهوية المميزة (PIM) بشكل فعال. تعد PIM أداة رائعة تساعدك على تدقيق الحقوق الزائدة ومنح الوصول إلى الموارد فقط عندما تكون هناك حاجة إليها بالفعل.
- حماية البوابة والتطبيقات الخاصة بك
- قم بمراجعة الحقوق الممنوحة للتطبيقات التي تستخدم واجهات برمجة تطبيقات Microsoft Graph.
- بالنسبة للمستخدمين غير المميزين، قم بتعطيل تسجيل التطبيقات.
- تمكين ميزة تحد من الوصول إلى بوابة Azure للمستخدمين غير المميزين.
- قم بتعيين مدير الخدمة للتطبيقات التي تستخدم الخدمات الأصلية (على سبيل المثال، Azure Storage).
نصائح لنشر الخدمة الآمنة
إن هجمات القراصنة المتطورة من خلال تجاوز طبقات جدار الحماية أو فك تشفير حماية التشفير تثير إعجابنا في الأفلام، ولكنها نادرة في الحياة الواقعية. في معظم الحالات، يبحث المهاجمون عن فريسة سهلة ويستغلون نقاط الضعف البسيطة التي تُركت بشكل غير حكيم بعد النشر.
فيما يلي قائمة بالأخطاء الرئيسية التي يرتكبها المسؤولون أو المطورون عند نشر خدمات Azure:
- فتح منافذ الإدارة. كما يتبين من هذا يذاكر، قد يخضع منفذ SSH المفتوح لأكثر من مليون محاولة لاستخراج كلمة المرور في أقل من 8 أيام.
- تم ترك كلمات المرور بشكل غير حكيم في ملفات تكوين Azure Resource Manager (ARM) أو قوالب النشر.
- معدّلات الوصول التي تم تكوينها بشكل غير صحيح إلى Azure Storage. بحسب ال تقرير التحقيقات في خرق بيانات Verizon، 21 من أصل 347 تهديدًا تم التحقيق فيها تتعلق بتكوين وصول غير صحيح، مما يؤدي لاحقًا إلى تسرب البيانات السرية.
- سياسات الوصول إلى الشبكة غير المكونة.
- عدم وجود برامج مكافحة الفيروسات. يمكن استخدام البرامج الضارة ليس فقط للهجوم، ولكن أيضًا للتحكم في خادم تم اختراقه بالفعل. أكثر من نصف البرامج الضارة التي اكتشفناها في ScienceSoft هي برامج للتحكم عن بعد.
- تحديثات نظام التشغيل معطلة.
وإليك النصائح التي ستساعدك على تجنب الأخطاء المذكورة أعلاه:
- استخدم Azure Key Vault لتخزين كلمات المرور والشهادات. سيساعد ذلك في تأمين البنية التحتية الخاصة بك إذا تم نسخ ملفات التكوين أو القوالب عن طريق الخطأ إلى مستودع عام.
- استخدم الوصول في الوقت المناسب (JIT) إلى الأجهزة الافتراضية. يسمح لك الوصول إلى JIT بإبقاء منافذ الإدارة مغلقة وفتحها فقط بناءً على طلب المسؤول وبشروط محددة مسبقًا.
- تكوين مجموعة أمان الشبكة (NSG)، وجدار حماية الموارد، وجدار حماية التطبيقات. قم بتوزيع الأجهزة الافتراضية على مجموعات موردي المواد النووية المختلفة وفقًا لدورها، ولكل مجموعة موردي مصادر طاقة، افتح فقط المنافذ التي تحتاجها. على سبيل المثال، بالنسبة لخوادم الويب، استخدم NSG مع فتح المنافذ 80 و443 وNSG أخرى لقواعد البيانات ولكن مع فتح المنفذ 3306 فقط.
- قم بتثبيت البرنامج الإضافي Defender لكل جهاز ظاهري يعمل بنظام التشغيل Microsoft Windows. يمكنك القيام بذلك يدويًا من خلال البوابة أو بشكل جماعي عبر سياسة Azure.
- تكوين سياسة تحديث نظام التشغيل Windows. قم بتكوين موجز التحديث من مدخل Azure.
- لحماية قواعد البيانات، أوصي باستخدام الحماية المتقدمة من التهديدات ووظائف تشفير قاعدة البيانات. تساعدك الحماية المتقدمة من التهديدات على منع هجمات حقن SQL والتنبيهات بشأن الأنشطة المشبوهة ونقاط الضعف المحتملة في قاعدة بياناتك. تعمل وظيفة التشفير على منع المهاجمين من قراءة البيانات عندما يحصلون على وصول غير مصرح به إلى قاعدة البيانات الخاصة بك.
ما الذي يمكنني فعله أيضًا من أجل أمان Azure الخاص بي؟
في المقالة، قمت بمشاركة التدابير العامة لتأمين بيئة Azure الخاصة بك والتي ستساعدك على تجنب المخاطر الأمنية الكبرى. ومع ذلك، فإن الأمن السيبراني ديناميكي ويجب مراقبته باستمرار نظرًا لأن عدد الثغرات القابلة للاستغلال يتزايد حتمًا مع التعقيد المتزايد للأنظمة المستضافة على Azure. لذلك، يجب أن تكون خطوتك التالية للأمام هي الكشف في الوقت المناسب عن الانتهاكات في البنية التحتية لتكنولوجيا المعلومات السحابية لديك عبر اللون الأسود/أبيض اختبار اختراق الصندوق. وإذا شعرت بالحاجة إلى المساعدة في التقييم الأمني، فقط اسمحوا لي أن أعرف.
هل يمكن التلاعب بموظفيك بسهولة لخرق القواعد الأمنية؟ نحن نحاكي تقنيات المتسللين الواقعية لتقييم قدرة موظفيك على مقاومة رسائل البريد الإلكتروني والمكالمات الضارة.