Azure הוא הפלטפורמה השנייה בגודלה בעולם. ישראל היא ממרכזי Azure המובילים. ובכל זאת – באינספור ארגונים ישראלים אנחנו מוצאים את אותן 10 שגיאות קונפיגורציה שוב ושוב. הנה הרשימה.
- Security Defaults לא מופעל – מניעת Legacy Auth, MFA לכולם. שתי לחיצות ב-Entra ID.
- Conditional Access חסר – אין מדיניות גישה מבוססת-הקשר. כל חשבון עם סיסמא נכנס מכל מקום.
- Microsoft Defender for Cloud ב-Free Tier – Defender Plans לא מופעלים, אין Threat Detection לשרתים.
- Storage Accounts עם Public Access – Blob Containers ציבוריים. בדקו ב-Portal: Storage → Containers → Access Level.
- Subscription ללא Budget Alerts – תוקף יכול להקים מכרה קריפטו בחשבונכם. Alerts מונעים הפתעות חיוב.
- Azure AD App Registrations לא מנוהלות – עשרות Apps עם Permissions גבוהות ש"אף אחד לא זוכר".
- Network Security Groups ברחבים מדי – Inbound ANY:ANY לשרתים. סגרו ל-IP ספציפיים.
- Key Vault ללא Soft Delete ו-Purge Protection – מחיקה מקרית של Secrets גורמת לאסון.
- Diagnostic Logs לא מופעל – אין Audit Trail ל-Activity Log. Retention: 90 יום מינימום.
- Guest Users ללא בקרה – Guests מחברות חיצוניות עם גישה רחבה מדי ל-Teams ו-SharePoint.
Azure Security Score
Defender for Cloud → Security Posture → Secure Score. זה ה-Dashboard שמראה לכם ציון 0-100 עם רשימת תיקונים ממוקדת. התחילו עם recommendations בעדיפות High.
כלי Free לבדיקה מהירה
- Microsoft Security Exposure Management – מפת הסיכונים של ה-Tenant שלכם.
- ScubaGear (CISA) – כלי PowerShell שסורק M365/Azure מול Baselines.
- Monkey365 – Open Source, סריקה ל-Azure ו-M365 עם דוח HTML.
- Azure Governance Visualizer – מפת ה-RBAC והמדיניות שלכם.
Azure Security Default + Conditional Access + Defender for Cloud Paid Tier = 80% מהערך האבטחתי של Azure בעלות נמוכה. התחילו עם זה לפני כל דבר אחר.
AzureMicrosoftCloud SecurityEntra IDDefender