توصيات الأمان
تسرد هذه المقالة جميع توصيات الأمان التي قد تراها في Microsoft Defender for Cloud. تستند التوصيات التي تظهر في بيئتك إلى الموارد التي تحميها وعلى التكوين المخصص.
تستند التوصيات في Defender for Cloud إلى معيار أمان سحابة Microsoft. معيار أمان السحابة من Microsoft هو مجموعة من الإرشادات التي تؤلفها Microsoft لأفضل ممارسات الأمان والتوافق. يعتمد هذا المعيار المحترم على نطاق واسع على ضوابط مركز أمن الإنترنت (CIS) والمعهد الوطني للمعايير والتكنولوجيا (NIST)، مع التركيز على الأمان الذي يركز على السحابة.
للتعرف على الإجراءات التي يمكنك اتخاذها استجابة لهذه التوصيات، راجع معالجة التوصيات في Defender for Cloud.
تستند درجاتك الآمنة إلى عدد توصيات الأمان التي أكملتها. لتحديد التوصيات التي يجب حلها أولا، انظر إلى خطورة كل توصية وتأثيرها المحتمل على درجاتك الآمنة.
تلميح
إذا كان وصف التوصية يقول لا توجد سياسة ذات صلة، عادة ما يكون ذلك لأن هذه التوصية تعتمد على توصية مختلفة وسياستها.
على سبيل المثال، يجب معالجة حالات فشل حماية نقطة النهاية للتوصية تعتمد على التوصية التي تتحقق من تثبيت حل حماية نقطة النهاية (يجب تثبيت حل حماية نقطة النهاية). التوصية الأساسية لديها نهج. يؤدي قصر النهج على التوصية التأسيسية فقط إلى تبسيط إدارة النهج.
توصيات AppServices
يجب ألا يكون تطبيق واجهة برمجة التطبيقات متاحاً إلا عبر HTTPS
الوصف: يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. (النهج ذي الصلة: يجب أن يكون تطبيق واجهة برمجة التطبيقات متاحا فقط عبر HTTPS).
الخطورة: متوسط
يجب ألا تسمح مشاركة الموارد عبر المصادر لكل مجال مورد بالوصول إلى تطبيق واجهة برمجة التطبيقات
الوصف: يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق API الخاص بك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. (النهج ذي الصلة: يجب ألا تسمح CORS لكل مورد بالوصول إلى تطبيق API الخاص بك).
الخطورة: منخفض
يجب ألا تسمح مشاركة الموارد عبر المصادر لكل مجال مورد بالوصول إلى تطبيقات الوظائف
الوصف: يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الوظائف. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. (النهج ذي الصلة: يجب ألا تسمح CORS لكل مورد بالوصول إلى تطبيقات الوظائف الخاصة بك).
الخطورة: منخفض
يجب ألا تسمح مشاركة الموارد عبر المصادر لكل مورد بالوصول إلى تطبيقات الويب
الوصف: يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الويب الخاص بك. لا تسمح إلا للمجالات المطلوبة بالتفاعل مع تطبيق الويب. (النهج ذي الصلة: يجب ألا تسمح CORS لكل مورد بالوصول إلى تطبيقات الويب الخاصة بك).
الخطورة: منخفض
يجب تمكين سجلات التشخيص في خدمات التطبيقات
الوصف: تدقيق تمكين سجلات التشخيص على التطبيق. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق في حالة حدوث حادث أمان أو اختراق شبكتك (لا يوجد نهج ذي صلة).
الخطورة: متوسط
تأكد من أن تطبيق API يحتوي على شهادات عميل واردة تم تعيينها إلى On
الوصف: تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. (النهج ذي الصلة: تأكد من أن تطبيق واجهة برمجة التطبيقات يحتوي على "شهادات العميل (شهادات العميل الواردة)" التي تم تعيينها إلى "تشغيل").
الخطورة: متوسط
يجب أن تكون بروتوكولات نقل الملفات مطلوبة في تطبيقات واجهة برمجة التطبيقات
الوصف/ تعليمات: تمكين فرض FTPS للأمان المحسن (النهج المرتبط: يجب أن يكون FTPS مطلوبا فقط في تطبيق API الخاص بك).
الخطورة: عالية
يجب أن تكون FTPS مطلوبة في تطبيقات الوظائف
الوصف/ تعليمات: تمكين تطبيق FTPS للأمان المحسن (النهج المرتبط: يجب أن يكون FTPS مطلوبا فقط في تطبيق الوظائف).
الخطورة: عالية
يجب أن تكون بروتوكولات نقل الملفات مطلوبة في تطبيقات الويب
الوصف/ تعليمات: تمكين فرض FTPS لتحسين الأمان (النهج ذي الصلة: يجب أن يكون FTPS مطلوبا في تطبيق الويب الخاص بك).
الخطورة: عالية
يجب ألا يكون تطبيق الدوال متاحاً إلا عبر HTTPS
الوصف: يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. (النهج ذي الصلة: يجب أن يكون تطبيق الوظائف متاحا فقط عبر HTTPS).
الخطورة: متوسط
يجب تمكين تطبيقات الوظائف شهادات العميل (شهادات العميل الواردة)
الوصف: تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. (النهج ذي الصلة: يجب أن تحتوي تطبيقات الوظائف على "شهادات العميل (شهادات العميل الواردة)" ممكنة).
الخطورة: متوسط
يجب تحديث Java إلى أحدث إصدار لتطبيقات واجهة برمجة التطبيقات
الوصف: يتم إصدار إصدارات أحدث ل Java بشكل دوري إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. ينصح باستخدام أحدث إصدار Python لتطبيقات API للاستفادة من إصلاحات الأمان، إن وجدت، و/ أو وظائف جديدة من أحدث إصدار. (النهج ذي الصلة: تأكد من أن "إصدار Java" هو الأحدث، إذا تم استخدامه كجزء من تطبيق واجهة برمجة التطبيقات).
الخطورة: متوسط
يجب استخدام الهوية المُدارة في تطبيقات واجهة برمجة التطبيقات
الوصف: لتحسين أمان المصادقة، استخدم هوية مدارة. تقضي الهويات المُدارة، في Azure، على حاجة المطورين إلى إدارة بيانات الاعتماد من خلال توفير هوية لمورد Azure في Microsoft Azure Active Directory (Azure AD) واستخدامها للحصول على رموز Microsoft Azure Active Directory (Azure AD) المميزة. (النهج ذي الصلة: يجب استخدام الهوية المدارة في تطبيق API الخاص بك).
الخطورة: متوسط
يجب استخدام الهوية المدارة في تطبيقات الوظائف
الوصف: لتحسين أمان المصادقة، استخدم هوية مدارة. تقضي الهويات المُدارة، في Azure، على حاجة المطورين إلى إدارة بيانات الاعتماد من خلال توفير هوية لمورد Azure في Microsoft Azure Active Directory (Azure AD) واستخدامها للحصول على رموز Microsoft Azure Active Directory (Azure AD) المميزة. (النهج ذي الصلة: يجب استخدام الهوية المدارة في تطبيق الوظائف الخاص بك).
الخطورة: متوسط
يجب استخدام الهوية المدارة في تطبيقات الويب
الوصف: لتحسين أمان المصادقة، استخدم هوية مدارة. تقضي الهويات المُدارة، في Azure، على حاجة المطورين إلى إدارة بيانات الاعتماد من خلال توفير هوية لمورد Azure في Microsoft Azure Active Directory (Azure AD) واستخدامها للحصول على رموز Microsoft Azure Active Directory (Azure AD) المميزة. (النهج ذي الصلة: يجب استخدام الهوية المدارة في تطبيق الويب الخاص بك).
الخطورة: متوسط
يجب تمكين Azure Defender لـ App Service
الوصف: يستفيد Microsoft Defender for App Service من مقياس السحابة، والرؤية التي يتمتع بها Azure كموفر سحابة، لمراقبة هجمات تطبيقات الويب الشائعة. يمكن لـMicrosoft Defender for App Service اكتشاف الهجمات على تطبيقاتك وتحديد الهجمات الناشئة.
هام: ستؤدي معالجة هذه التوصية إلى فرض رسوم على حماية خطط App Service. إذا لم يكن لديك أي خطط App Service في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي خطط App Service على هذا الاشتراك في المستقبل، فسيتم حمايتها تلقائيًا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد في حماية تطبيقات الويب وواجهات برمجة التطبيقات. (النهج ذي الصلة: يجب تمكين Azure Defender for App Service).
الخطورة: عالية
يجب تحديث PHP إلى أحدث إصدار لتطبيقات واجهة برمجة التطبيقات
الوصف: يتم إصدار إصدارات أحدث لبرنامج PHP بشكل دوري إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات واجهة برمجة التطبيقات للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. (النهج ذي الصلة: تأكد من أن "إصدار PHP" هو الأحدث، إذا تم استخدامه كجزء من تطبيق واجهة برمجة التطبيقات).
الخطورة: متوسط
يجب تحديث Python إلى أحدث إصدار لتطبيقات واجهة برمجة التطبيقات
الوصف: يتم إصدار إصدارات أحدث لبرنامج Python بشكل دوري إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. ينصح باستخدام أحدث إصدار Python لتطبيقات API للاستفادة من إصلاحات الأمان، إن وجدت، و/ أو وظائف جديدة من أحدث إصدار. (النهج ذي الصلة: تأكد من أن "إصدار Python" هو الأحدث، إذا تم استخدامه كجزء من تطبيق واجهة برمجة التطبيقات).
الخطورة: متوسط
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيق واجهة برمجة التطبيقات
الوصف: يتطلب تصحيح الأخطاء عن بعد فتح المنافذ الواردة على تطبيق واجهة برمجة التطبيقات. يجب إيقاف تشغيل التصحيح عن بُعد. (النهج ذي الصلة: يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات واجهة برمجة التطبيقات).
الخطورة: منخفض
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيق الوظائف
الوصف: يتطلب تصحيح الأخطاء عن بعد فتح المنافذ الواردة على تطبيق Azure Function. يجب إيقاف تشغيل التصحيح عن بُعد. (النهج ذي الصلة: يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف).
الخطورة: منخفض
يجب إيقاف تصحيح الأخطاء عن بُعد لتطبيقات الويب
الوصف: يتطلب تصحيح الأخطاء عن بعد فتح المنافذ الواردة على تطبيق ويب. تصحيح الأخطاء عن بعد ممكن حاليًا. إذا لم تعد بحاجة إلى استخدام تصحيح الأخطاء عن بعد، فيجب إيقاف تشغيله. (النهج ذي الصلة: يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الويب).
الخطورة: منخفض
يجب تحديث TLS إلى أحدث إصدار لتطبيقات واجهة برمجة التطبيقات
الوصف: الترقية إلى أحدث إصدار من TLS. (النهج ذي الصلة: يجب استخدام أحدث إصدار من TLS في تطبيق API الخاص بك).
الخطورة: عالية
يجب تحديث TLS إلى أحدث إصدار لتطبيقات الوظائف
الوصف: الترقية إلى أحدث إصدار من TLS. (النهج ذي الصلة: يجب استخدام أحدث إصدار TLS في تطبيق الوظائف الخاص بك).
الخطورة: عالية
يجب تحديث TLS إلى أحدث إصدار لتطبيقات الويب
الوصف: الترقية إلى أحدث إصدار من TLS. (النهج ذي الصلة: يجب استخدام أحدث إصدار من TLS في تطبيق الويب الخاص بك).
الخطورة: عالية
يجب أن يكون تطبيق الويب متاحًا فقط عبر HTTPS
الوصف: يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. (النهج ذي الصلة: يجب أن يكون تطبيق الويب متاحا فقط عبر HTTPS).
الخطورة: متوسط
يجب أن تطلب تطبيقات الويب شهادة SSL لجميع الطلبات الواردة
الوصف: تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. (النهج ذي الصلة: تأكد من أن تطبيق الويب يحتوي على "شهادات العميل (شهادات العميل الواردة)" التي تم تعيينها إلى "تشغيل").
الخطورة: متوسط
حساب التوصيات
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك
الوصف: تمكين عناصر التحكم في التطبيق لتحديد قائمة التطبيقات المعروفة الآمنة التي تعمل على أجهزتك، وتنبيهك عند تشغيل تطبيقات أخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Defender for Cloud التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. (النهج ذي الصلة: يجب تمكين عناصر تحكم التطبيقات التكيفية لتعريف التطبيقات الآمنة على أجهزتك).
الخطورة: عالية
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي
الوصف: مراقبة التغييرات في السلوك على مجموعات من الأجهزة التي تم تكوينها للتدقيق بواسطة عناصر تحكم التطبيقات التكيفية ل Defender for Cloud. يستخدم Defender for Cloud التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. (النهج ذي الصلة: يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي الخاص بك).
الخطورة: عالية
يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH
الوصف: على الرغم من أن SSH نفسه يوفر اتصالا مشفرا، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. تعرف على المزيد في الخطوات التفصيلية: إنشاء مفاتيح SSH وإدارتها للمصادقة على جهاز Linux الظاهري في Azure. (النهج ذي الصلة: تدقيق أجهزة Linux التي لا تستخدم مفتاح SSH للمصادقة).
الخطورة: متوسط
يجب تشفير متغيرات حساب التنفيذ التلقائي
الوصف: من المهم تمكين تشفير أصول متغيرات حساب التنفيذ التلقائي عند تخزين البيانات الحساسة. (النهج ذي الصلة: يجب تشفير متغيرات حساب التنفيذ التلقائي).
الخطورة: عالية
يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية
الوصف: حماية البيانات على أجهزة Azure الظاهرية باستخدام Azure Backup. النسخ الاحتياطي لـAzure هو حل حماية بيانات أصلي وفعال من حيث التكلفة في Azure. ينشئ نقاط الاسترداد المخزنة في خزائن التخزين الجغرافي المتكرر. عند الاستعادة من نقطة استرداد، يمكنك استعادة إما VM بالكامل أو ملفات محددة. (النهج ذي الصلة: يجب تمكين Azure Backup للأجهزة الظاهرية).
الخطورة: منخفض
يجب تكوين مضيفي الحاوية بشكل آمن
الوصف: معالجة الثغرات الأمنية في تكوين الأمان على الأجهزة التي تم تثبيت Docker عليها لحمايتهم من الهجمات. (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في تكوينات أمان الحاوية).
الخطورة: عالية
يجب تمكين سجلات التشخيص في Azure Stream Analytics
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في Azure Stream Analytics).
الخطورة: منخفض
يجب تمكين سجلات التشخيص في حسابات الدفعات
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في حسابات الدفعات).
الخطورة: منخفض
يجب تمكين سجلات التشخيص في مراكز الأحداث
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في مراكز الأحداث).
الخطورة: منخفض
يجب تمكين سجلات التشخيص في Logic Apps
الوصف: للتأكد من أنه يمكنك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمان أو اختراق شبكتك، قم بتمكين التسجيل. إذا لم يتم إرسال سجلات التشخيص إلى مساحة عمل Log Analytics أو حساب Azure Storage أو Azure Event Hubs، فتأكد من تكوين إعدادات التشخيص لإرسال مقاييس النظام الأساسي وسجلات النظام الأساسي إلى الوجهات ذات الصلة. تعرف على المزيد في إنشاء إعدادات تشخيص لإرسال سجلات النظام الأساسي ومقاييسه إلى وجهات مختلفة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في Logic Apps).
الخطورة: منخفض
يجب تمكين سجلات التشخيص في ناقل خدمة Microsoft Azure
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في ناقل خدمة Microsoft Azure).
الخطورة: منخفض
يجب تمكين سجلات التشخيص في مجموعات مقياس الجهاز الظاهري
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في مجموعات مقياس الجهاز الظاهري).
الخطورة: عالية
يجب حل مشكلات تكوين EDR على الأجهزة الظاهرية
الوصف: لحماية الأجهزة الظاهرية من أحدث التهديدات والثغرات الأمنية، قم بحل جميع مشكلات التكوين المحددة باستخدام حل اكتشاف نقطة النهاية والاستجابة (EDR) المثبت.
ملاحظة: حاليا، تنطبق هذه التوصية فقط على الموارد التي تم تمكين Microsoft Defender لنقطة النهاية (MDE).
الخطورة: منخفض
يجب تثبيت حل EDR على الأجهزة الظاهرية
الوصف: تثبيت حل الكشف عن نقطة النهاية والاستجابة (EDR) على الأجهزة الظاهرية مهم للحماية من التهديدات المتقدمة. تساعد EDRs في منع هذه التهديدات واكتشافها والتحقيق فيها والاستجابة لها. يمكن استخدام Microsoft Defender for Servers لنشر Microsoft Defender لنقطة النهاية. إذا تم تصنيف مورد على أنه "غير صحي"، فإنه يشير إلى عدم وجود حل EDR مدعوم. إذا تم تثبيت حل EDR ولكن لا يمكن اكتشافه من خلال هذه التوصية، يمكن إعفاؤه. بدون حل EDR، تتعرض الأجهزة الظاهرية لخطر التهديدات المتقدمة.
الخطورة: عالية
يجب حل مشكلات حماية نقطة النهاية على مجموعات تحجيم الجهاز الظاهري
الوصف: معالجة حالات فشل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري لحمايتهم من التهديدات والثغرات الأمنية. (النهج ذي الصلة: يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري).
الخطورة: منخفض
يجب تثبيت حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري
الوصف: قم بتثبيت حل حماية نقطة النهاية على مجموعات مقياس الأجهزة الظاهرية، لحمايتهم من التهديدات والثغرات الأمنية. (النهج ذي الصلة: يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري).
الخطورة: عالية
يجب تمكين مراقبة تكامل الملفات على الأجهزة
الوصف: حدد Defender for Cloud الأجهزة التي تفتقد إلى حل مراقبة تكامل الملفات. لمراقبة التغييرات على الملفات الهامة ومفاتيح التسجيل والمزيد على الخوادم، قم بتمكين مراقبة تكامل الملفات. عند تمكين حل مراقبة تكامل الملفات، قم بإنشاء قواعد تجميع البيانات لتعريف الملفات المراد مراقبتها. لتعريف القواعد، أو رؤية الملفات التي تم تغييرها على الأجهزة ذات القواعد الموجودة، انتقل إلى صفحة إدارة مراقبة تكامل الملفات. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تثبيت ملحق تصديق الضيف على مجموعات تحجيم أجهزة Linux الظاهرية المُعتمدة
الوصف: تثبيت ملحق Guest Attestation على مجموعات مقياس الجهاز الظاهري Linux المدعومة للسماح ل Microsoft Defender for Cloud بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. لا ينطبق هذا التقييم إلا على مجموعات مقاييس الجهاز الظاهري لنظام التشغيل Linux الموثوق بها.
هام: يتطلب التشغيل الموثوق به إنشاء أجهزة ظاهرية جديدة. لا يمكن تمكين التشغيل الموثوق على الأجهزة الظاهرية الموجودة التي تم إنشاؤها في البداية بدونه. تعرف المزيد بشأن التشغيل الموثوق لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب تثبيت ملحق تصديق الضيف على أجهزة Linux الظاهرية المُعتمدة
الوصف: تثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح ل Microsoft Defender for Cloud بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تمكين التشغيل الموثوق بها.
هام: يتطلب التشغيل الموثوق به إنشاء أجهزة ظاهرية جديدة. لا يمكن تمكين التشغيل الموثوق على الأجهزة الظاهرية الموجودة التي تم إنشاؤها في البداية بدونه. تعرف المزيد بشأن التشغيل الموثوق لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب تثبيت ملحق تصديق الضيف على مجموعات تحجيم أجهزة Windows الظاهرية المدعومة
الوصف: تثبيت ملحق Guest Attestation على مجموعات مقياس الجهاز الظاهري المدعومة للسماح ل Microsoft Defender for Cloud بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. لا ينطبق هذا التقييم إلا على مجموعات مقاييس الأجهزة الظاهرية الموثوق بها.
هام: يتطلب التشغيل الموثوق به إنشاء أجهزة ظاهرية جديدة. لا يمكن تمكين التشغيل الموثوق على الأجهزة الظاهرية الموجودة التي تم إنشاؤها في البداية بدونه. تعرف المزيد بشأن التشغيل الموثوق لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب تثبيت ملحق تصديق الضيف على أجهزة Windows الظاهرية المُعتمدة
الوصف: تثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح ل Microsoft Defender for Cloud بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل.
هام: يتطلب التشغيل الموثوق به إنشاء أجهزة ظاهرية جديدة. لا يمكن تمكين التشغيل الموثوق على الأجهزة الظاهرية الموجودة التي تم إنشاؤها في البداية بدونه. تعرف المزيد بشأن التشغيل الموثوق لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب تثبيت ملحق تكوين الضيف على الأجهزة
الوصف: لضمان التكوينات الآمنة لإعدادات الضيف لجهازك، قم بتثبيت ملحق تكوين الضيف. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد التثبيت، ستكون النهج داخل الضيف متوفرة مثل Windows Exploit guard يجب تمكينها. (النهج ذي الصلة: يجب أن تحتوي الأجهزة الظاهرية على ملحق تكوين الضيف).
الخطورة: متوسط
تثبيت حل حماية نقطة النهاية على الأجهزة الظاهرية
الوصف: قم بتثبيت حل حماية نقطة النهاية على أجهزتك الظاهرية، لحمايتهم من التهديدات والثغرات الأمنية. (النهج ذي الصلة: مراقبة حماية نقطة النهاية المفقودة في Azure Security Center).
الخطورة: عالية
يجب أن تفرض أجهزة Linux الظاهرية التحقق من صحة توقيع الوحدة النمطية kernel
الوصف: للمساعدة في التخفيف من تنفيذ التعليمات البرمجية الضارة أو غير المصرح بها في وضع kernel، قم بفرض التحقق من صحة توقيع وحدة kernel على أجهزة Linux الظاهرية المدعومة. يضمن التحقق من صحة توقيع وحدة Kernel السماح بتشغيل وحدات kernel الموثوق بها فقط. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب أن تستخدم الأجهزة الظاهرية لينكس فقط موقعة وموثوق بها مكونات التمهيد
الوصف: مع تمكين التمهيد الآمن، يجب توقيع جميع مكونات تمهيد نظام التشغيل (محمل التمهيد، النواة، برامج تشغيل النواة) من قبل الناشرين الموثوق بهم. حدد Defender for Cloud مكونات تمهيد نظام التشغيل غير الموثوق بها على واحد أو أكثر من أجهزة Linux الخاصة بك. لحماية أجهزتك من المكونات الضارة المحتملة، أضفها إلى قائمة السماح الخاصة بك أو قم بإزالة المكونات المحددة. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب أن تستخدم الأجهزة الظاهرية لينكس التمهيد الآمن
الوصف: للحماية من تثبيت rootkits المستندة إلى البرامج الضارة ومجموعات التمهيد، قم بتمكين التمهيد الآمن على أجهزة Linux الظاهرية المدعومة. يضمن Secure Boot السماح بتشغيل أنظمة التشغيل وبرامج التشغيل الموقعة فقط. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب تثبيت عامل Log Analytics على أجهزة Azure Arc المُستندة إلى نظام تشغيل Linux
الوصف: يستخدم Defender for Cloud عامل Log Analytics (المعروف أيضا باسم OMS) لجمع أحداث الأمان من أجهزة Azure Arc. لنشر العامل على جميع أجهزة Azure Arc، اتبع خطوات المعالجة. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تثبيت عامل Log Analytics على مجموعات تحجيم الأجهزة الظاهرية
الوصف: يجمع Defender for Cloud البيانات من أجهزة Azure الظاهرية (VMs) لمراقبة الثغرات الأمنية والتهديدات. يتم جمع البيانات باستخدام عامل "تحليلات السجل"،المعروف سابقا باسم عامل مراقبة Microsoft (MMA)، الذي يقرأ التكوينات المتعلقة بالأمان وسجلات الأحداث المختلفة من الجهاز وينسخ البيانات إلى مساحة العمل الخاصة بك للتحليل. ستحتاج أيضًا إلى اتباع هذا الإجراء إذا تم استخدام الأجهزة الظاهرية الخاصة بك بواسطة خدمة مدارة من Azure مثل Azure Kubernetes Service أو Azure Service Fabric. لا يمكنك تكوين التوفير التلقائي للعامل لمجموعات مقياس الجهاز الظاهري Azure. لنشر العامل على مجموعات مقياس الجهاز الظاهري (بما في ذلك تلك المستخدمة من قبل خدمات Azure المدارة مثل خدمة Azure Kubernetes وAzure Service Fabric)، اتبع الإجراء في خطوات المعالجة. (النهج ذي الصلة: يجب تثبيت عامل Log Analytics على مجموعات مقياس الجهاز الظاهري لمراقبة مركز أمان Azure).
الخطورة: عالية
يجب تثبيت عامل Log Analytics على الأجهزة الظاهرية
الوصف: يجمع Defender for Cloud البيانات من أجهزة Azure الظاهرية (VMs) لمراقبة الثغرات الأمنية والتهديدات. يتم جمع البيانات بواسطة وكيل Log Analytics، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. هذا العامل مطلوب أيضا إذا تم استخدام الأجهزة الظاهرية الخاصة بك بواسطة خدمة مدارة من Azure مثل Azure Kubernetes Service أو Azure Service Fabric. نوصي بتكوين التوفير التلقائي لنشر العامل تلقائيًا. إذا اخترت عدم استخدام التوفير التلقائي، فقم بتوزيع العامل يدويا على الأجهزة الظاهرية باستخدام الإرشادات الواردة في خطوات المعالجة. (النهج ذي الصلة: يجب تثبيت عامل Log Analytics على جهازك الظاهري لمراقبة مركز أمان Azure).
الخطورة: عالية
يجب تثبيت عامل Log Analytics على أجهزة Azure Arc المُستندة إلى نظام تشغيل النوافذ
الوصف: يستخدم Defender for Cloud عامل Log Analytics (المعروف أيضا باسم MMA) لجمع أحداث الأمان من أجهزة Azure Arc. لنشر العامل على جميع أجهزة Azure Arc، اتبع خطوات المعالجة. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تكوين الأجهزة بشكل آمن
الوصف: معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك لحمايتهم من الهجمات. (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك).
الخطورة: منخفض
يجب إعادة تشغيل الأجهزة لتطبيق تحديثات تكوين الأمان
الوصف: لتطبيق تحديثات تكوين الأمان والحماية من الثغرات الأمنية، أعد تشغيل أجهزتك. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب أن يكون لدى الأجهزة حل تقييم الثغرات الأمنية
الوصف: يتحقق Defender for Cloud بانتظام من الأجهزة المتصلة للتأكد من أنها تقوم بتشغيل أدوات تقييم الثغرات الأمنية. استخدم هذه التوصية لنشر حل تقييم الثغرات الأمنية. (النهج ذي الصلة: يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية).
الخطورة: متوسط
يجب أن تحتوي الأجهزة على نتائج الثغرات الأمنية التي تم حلها
الوصف: حل النتائج من حلول تقييم الثغرات الأمنية على أجهزتك الظاهرية. (النهج ذي الصلة: يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية).
الخطورة: منخفض
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد
الوصف: حدد Defender for Cloud بعض القواعد الواردة المتساهلة للغاية لمنافذ الإدارة في مجموعة أمان الشبكة. تمكين التحكم في الوصول في الوقت المناسب لحماية جهازك الظاهري من هجمات القوة الغاشمة المستندة إلى الإنترنت. تعرف على المزيد في فهم الوصول إلى الجهاز الظاهري في الوقت المناسب (JIT). (النهج ذي الصلة: يجب حماية منافذ إدارة الأجهزة الظاهرية بالتحكم في الوصول إلى الشبكة في الوقت المناسب).
الخطورة: عالية
يجب تمكين Azure Defender للخوادم
الوصف: يوفر Microsoft Defender للخوادم الحماية من التهديدات في الوقت الحقيقي لأحمال عمل الخادم الخاص بك وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. يمكنك استخدام هذه المعلومات لمعالجة مشكلات الأمان بسرعة وتحسين أمان خوادمك.
هام: ستؤدي معالجة هذه التوصية إلى فرض رسوم على حماية خوادمك. إذا لم يكن لديك أي خوادم في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي خوادم على هذا الاشتراك في المستقبل، فسيتم حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد في مقدمة Azure Defender للخوادم. (النهج ذي الصلة: يجب تمكين Azure Defender للخوادم).
الخطورة: عالية
يجب تمكين Microsoft Defender للخوادم على مساحات العمل
الوصف: يوفر Microsoft Defender للخوادم الكشف عن التهديدات والدفاعات المتقدمة لأجهزة Windows وLinux. ومع تمكين خطة Defender هذه على اشتراكاتك وليس على مساحات عملك، فأنت تدفع تكلفة الإمكانيات الكاملة لـ Microsoft Defender للخوادم ولكنك لا تحصل على بعض المزايا. عند تمكين Microsoft Defender للخوادم على مساحة عمل، ستصدر فواتير لجميع الأجهزة التي تقدم تقارير إلى مساحة العمل هذه لـ Microsoft Defender للخوادم - حتى وإن كانت في اشتراكات دون تمكين خطط Defender. ما لم تمكِّن Microsoft Defender للخوادم أيضاً على الاشتراك، فلن تتمكن هذه الأجهزة من الاستفادة من الوصول إلى الجهاز الظاهري في الوقت نفسه، وعناصر التحكم في التطبيقات التكيفية، واكتشاف الشبكة لموارد Azure. تعرف على المزيد في مقدمة Azure Defender للخوادم. (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب تمكين Secure Boot على أجهزة Windows الظاهرية المُعتمدة
الوصف: تمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل برامج تشغيل bootloaders الموثوق بها وkernel وkernel فقط. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل على Windows.
هام: يتطلب التشغيل الموثوق به إنشاء أجهزة ظاهرية جديدة. لا يمكن تمكين التشغيل الموثوق على الأجهزة الظاهرية الموجودة التي تم إنشاؤها في البداية بدونه. تعرف المزيد بشأن التشغيل الموثوق لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign
الوصف: يوفر Service Fabric ثلاثة مستويات من الحماية (None و Sign و EncryptAndSign) للاتصال من عقدة إلى عقدة باستخدام شهادة نظام المجموعة الأساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميًا. (النهج ذي الصلة: يجب أن تحتوي مجموعات Service Fabric على خاصية ClusterProtectionLevel معينة إلى EncryptAndSign).
الخطورة: عالية
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل
الوصف: إجراء مصادقة العميل فقط عبر Azure Active Directory في Service Fabric (النهج المرتبط: يجب أن تستخدم مجموعات Service Fabric فقط Azure Active Directory لمصادقة العميل).
الخطورة: عالية
يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري
الوصف: تثبيت أمان النظام المفقود والتحديثات الهامة لتأمين مجموعات مقياس الجهاز الظاهري Windows وLinux. (النهج ذي الصلة: يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري).
الخطورة: عالية
ينبغي تثبيت تحديثات النظام على أجهزتك
الوصف/ تعليمات: تثبيت أمان النظام المفقود والتحديثات الهامة لتأمين أجهزة وأجهزة الكمبيوتر الظاهرية التي تعمل بنظامي التشغيل Windows وLinux (النهج ذي الصلة: يجب تثبيت تحديثات النظام على أجهزتك).
الخطورة: عالية
يجب تثبيت تحديثات النظام على الأجهزة الخاصة بك (مدعومة من مركز التحديث)
الوصف: الأجهزة الخاصة بك مفقودة في النظام والأمان والتحديثات الهامة. غالبًا ما تتضمن تحديثات البرامج تصحيحات حرجة لثقوب الأمان. يتم استغلال هذه الثقوب في كثير من الأحيان في هجمات البرامج الضارة لذلك من الضروري الحفاظ على تحديث برنامجك. لتثبيت جميع التصحيحات المعلقة وتأمين أجهزتك، اتبع خطوات المعالجة. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تكوين مجموعات مقياس الجهاز الظاهري بشكل آمن
الوصف: معالجة الثغرات الأمنية في تكوين الأمان على مجموعات مقياس الجهاز الظاهري لحمايتها من الهجمات. (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في تكوين الأمان على مجموعات مقياس الجهاز الظاهري).
الخطورة: عالية
يجب أن تكون حالة شهادة الضيف للأجهزة الظاهرية صحية
الوصف: يتم إجراء تصديق الضيف عن طريق إرسال سجل موثوق به (TCGLog) إلى خادم تصديق. يستخدم الخادم هذه السجلات لتحديد ما إذا كانت مكونات التمهيد جديرة بالثقة. يهدف هذا التقييم إلى الكشف عن الاختراقات في سلسلة التمهيد، والتي قد تكون نتيجة لعدوى bootkit أو rootkit. ينطبق هذا التقييم فقط على الأجهزة الظاهرية التي تم تمكين Trusted Launch عليها، والتي تم تثبيت ملحق Guest Attestation عليها. (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام
الوصف: يتطلب ملحق تكوين الضيف هوية مدارة معينة من قبل النظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرف على المزيد (النهج المرتبط: يجب نشر ملحق تكوين الضيف على أجهزة Azure الظاهرية مع هوية مدارة معينة من قبل النظام).
الخطورة: متوسط
يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة
الوصف: تم إهمال الأجهزة الظاهرية (الكلاسيكية) ويجب ترحيل هذه الأجهزة الظاهرية إلى Azure Resource Manager. نظرًا لأن Azure Resource Manager يتمتع الآن بإمكانات خدمة تأجير البنية التحتية الكاملة والتطورات الأخرى، فقد أهملنا إدارة الأجهزة الظاهرية لخدمة تأجير البنية التحتية من خلال Azure Service Manager (ASM) في 28 فبراير 2020. وسيتم إيقاف هذه الوظيفة بالكامل في 1 مارس 2023.
لعرض جميع الأجهزة الظاهرية الكلاسيكية المتأثرة، تأكد من تحديد جميع اشتراكات Azure ضمن علامة التبويب "الدلائل + الاشتراكات".
الموارد والمعلومات المتوفرة حول هذه الأداة والترحيل: نظرة عامة على إهمال الأجهزة الظاهرية (الكلاسيكية)، خطوة بخطوة عملية الترحيل وموارد Microsoft المتوفرة.تفاصيل حول الترحيل إلى أداة ترحيل Azure Resource Manager.الترحيل إلى أداة ترحيل Azure Resource Manager باستخدام PowerShell. (النهج ذي الصلة: يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة).
الخطورة: عالية
يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين
الوصف: بشكل افتراضي، يتم تشفير نظام تشغيل الجهاز الظاهري وأقراص البيانات الثابتة باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات، ولا يتم تشفير البيانات عند التدفق بين موارد الحوسبة والتخزين. للمقارنة بين تقنيات تشفير القرص المختلفة في Azure، راجع https://aka.ms/diskencryptioncomparison. استخدم تشفير قرص Azure لتشفير جميع هذه البيانات. تجاهل هذه التوصية إذا:
- أنت تستخدم ميزة التشفير في المضيف، أو 2. يلبي تشفير الأقراص المُدارة من جانب الخادم متطلبات الأمان. تعرّف على المزيد في التشفير من جانب الخادم لتخزين قرص Azure. (نهج ذو صلة: يجب تطبيق تشفير القرص على الأجهزة الظاهرية)
الخطورة: عالية
يجب تمكين vTPM على الأجهزة الظاهرية المُعتمدة
الوصف: تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل التمهيد المقاس وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل.
هام: يتطلب التشغيل الموثوق به إنشاء أجهزة ظاهرية جديدة. لا يمكن تمكين التشغيل الموثوق على الأجهزة الظاهرية الموجودة التي تم إنشاؤها في البداية بدونه. تعرف المزيد بشأن التشغيل الموثوق لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب معالجة نقاط الضعف في تكوين الأمان على أجهزة Linux (مدعوم من تكوين الضيف)
الوصف: معالجة الثغرات الأمنية في تكوين الأمان على أجهزة Linux الخاصة بك لحمايتهم من الهجمات. (النهج ذي الصلة: يجب أن تفي أجهزة Linux بمتطلبات أساس أمان Azure).
الخطورة: منخفض
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزة Windows (يتم تشغيلها بواسطة تكوين الضيف)
الوصف: معالجة الثغرات الأمنية في تكوين الأمان على أجهزة Windows لحمايتهم من الهجمات. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
يجب تمكين Windows Defender Exploit Guard على الأجهزة
الوصف: يستخدم Windows Defender Exploit Guard عامل تكوين ضيف نهج Azure. يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). (النهج ذي الصلة: تدقيق أجهزة Windows التي لم يتم تمكين Windows Defender Exploit Guard عليها).
الخطورة: متوسط
يجب تكوين خوادم الويب Windows لاستخدام بروتوكولات اتصال آمنة
الوصف: لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم خوادم الويب أحدث إصدار من بروتوكول التشفير القياسي في الصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر الشبكة باستخدام شهادات الأمان لتشفير الاتصال بين الأجهزة. (النهج ذي الصلة: تدقيق خوادم ويب Windows التي لا تستخدم بروتوكولات اتصال آمنة).
الخطورة: عالية
يجب أن تمكن أجهزة Linux الظاهرية تشفير قرص Azure أو EncryptionAtHost
الوصف: بشكل افتراضي، يتم تشفير نظام تشغيل الجهاز الظاهري وأقراص البيانات الثابتة باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات، ولا يتم تشفير البيانات عند التدفق بين موارد الحوسبة والتخزين. استخدم تشفير قرص Azure أو EncryptionAtHost لتشفير كل هذه البيانات. تفضل بزيارة https://aka.ms/diskencryptioncomparison لمقارنة عروض التشفير. يتطلب هذا النهج شرطين أساسيين لنشرهما في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. (النهج ذي الصلة: يجب أن تمكن أجهزة Linux الظاهرية تشفير قرص Azure أو EncryptionAtHost).
الخطورة: عالية
يجب أن تمكن أجهزة Windows الظاهرية تشفير قرص Azure أو EncryptionAtHost
الوصف: بشكل افتراضي، يتم تشفير نظام تشغيل الجهاز الظاهري وأقراص البيانات الثابتة باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات، ولا يتم تشفير البيانات عند التدفق بين موارد الحوسبة والتخزين. استخدم تشفير قرص Azure أو EncryptionAtHost لتشفير كل هذه البيانات. تفضل بزيارة https://aka.ms/diskencryptioncomparison لمقارنة عروض التشفير. يتطلب هذا النهج شرطين أساسيين لنشرهما في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. (النهج ذي الصلة: يجب أن تمكن أجهزة Windows الظاهرية تشفير قرص Azure أو EncryptionAtHost).
الخطورة: عالية
يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري
الوصف: استخدم التشفير في المضيف للحصول على تشفير شامل لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرف على المزيد في استخدام مدخل Microsoft Azure لتمكين التشفير الشامل باستخدام التشفير في المضيف. (النهج ذي الصلة: يجب تمكين تشفير الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري عند المضيف).
الخطورة: متوسط
[معاينة] يجب أن تفي خوادم Azure Stack HCI بمتطلبات Secured-core
الوصف: تأكد من أن جميع خوادم Azure Stack HCI تفي بمتطلبات Secured-core. (النهج ذي الصلة: يجب تثبيت ملحق تكوين الضيف على الأجهزة - Microsoft Azure).
الخطورة: منخفض
[معاينة] يجب أن تفرض خوادم Azure Stack HCI نهج التحكم في التطبيق باستمرار
الوصف: كحد أدنى، طبق النهج الأساسي ل Microsoft WDAC في الوضع المفروض على جميع خوادم Azure Stack HCI. يجب أن تكون نهج التحكم في تطبيق Windows Defender (WDAC) المطبقة متسقة عبر الخوادم في نفس المجموعة. (النهج ذي الصلة: يجب تثبيت ملحق تكوين الضيف على الأجهزة - Microsoft Azure).
الخطورة: عالية
[معاينة] يجب أن تحتوي أنظمة Azure Stack HCI على وحدات تخزين مشفرة
الوصف: استخدم BitLocker لتشفير نظام التشغيل ووحدات تخزين البيانات على أنظمة Azure Stack HCI. (النهج ذي الصلة: يجب تثبيت ملحق تكوين الضيف على الأجهزة - Microsoft Azure).
الخطورة: عالية
[معاينة] يجب حماية شبكات المضيف والأجهزة الظاهرية على أنظمة Azure Stack HCI
الوصف: حماية البيانات على شبكة مضيف Azure Stack HCI وعلى اتصالات شبكة الجهاز الظاهري. (النهج ذي الصلة: يجب تثبيت ملحق تكوين الضيف على الأجهزة - Microsoft Azure).
الخطورة: منخفض
توصيات الحاوية
[معاينة] يجب أن تحتوي صور الحاوية في سجل Azure على نتائج الثغرات الأمنية التي تم حلها
الوصف: يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. يساعد فحص ومعالجة الثغرات الأمنية لصور الحاويات في السجل في الحفاظ على سلسلة توريد برامج آمنة وموثوق بها، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة.
الخطورة: عالية
النوع: تقييم الثغرات الأمنية
[معاينة] يجب أن تحتوي الحاويات التي تعمل في Azure على نتائج الثغرات الأمنية التي تم حلها
الوصف: ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية قيد التشغيل حاليا في مجموعات Kubernetes ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور المستخدمة وتقارير الثغرات الأمنية التي تم إنشاؤها لصور التسجيل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة.
الخطورة: عالية
النوع: تقييم الثغرات الأمنية
(تمكين إذا لزم الأمر) يجب تشفير سجلات الحاويات باستخدام مفتاح مدار من قبل العميل (CMK)
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات في حالة راحة مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير الامتثال التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/acr/CMK. (النهج ذي الصلة: يجب تشفير سجلات الحاويات باستخدام مفتاح مدار من قبل العميل (CMK)).
الخطورة: منخفض
النوع: وحدة التحكم
يجب أن يكون لدى مجموعات Kubernetes التي تدعم Azure Arc ملحق نهج Azure مثبت
الوصف: ملحق نهج Azure ل Kubernetes يوسع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول ل Open Policy Agent (OPA)، لتطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. (لا توجد سياسة ذات صلة)
الخطورة: عالية
النوع: وحدة التحكم
مجموعات Kubernetes المُمكَّنة من قبل Azure Arc يجب أن يكون مُثبَّت بها ملحق Azure Defender
الوصف: يوفر ملحق Defender ل Azure Arc حماية من التهديدات لمجموعات Kubernetes التي تدعم Arc. يجمع الملحق البيانات من جميع عقد وحدة التحكم (الرئيسية) في نظام المجموعة ويرسلها إلى الواجهة الخلفية ل Microsoft Defender for Kubernetes في السحابة لمزيد من التحليل. (لا توجد سياسة ذات صلة)
الخطورة: عالية
النوع: وحدة التحكم
يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes
الوصف: يوفر Microsoft Defender for Containers قدرات أمان Kubernetes السحابية الأصلية بما في ذلك تصلب البيئة وحماية حمل العمل والحماية في وقت التشغيل. عند تمكين ملف تعريف SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر وكيل في المجموعة الخاصة بك لجمع بيانات أحداث الأمان. تعرف على المزيد في مقدمة Azure Defender للحاويات. (لا توجد سياسة ذات صلة)
الخطورة: عالية
النوع: وحدة التحكم
يجب أن تحتوي مجموعات خدمة Azure Kubernetes على الوظيفة الإضافية لنهج Azure لـ Kubernetes مثبتة
الوصف: تعمل الوظيفة الإضافية لنهج Azure ل Kubernetes على توسيع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول ل Open Policy Agent (OPA)، لتطبيق عمليات الإنفاذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. يتطلب Defender for Cloud الوظيفة الإضافية لتدقيق قدرات الأمان والامتثال وفرضها داخل مجموعاتك. اعرف المزيد. يتطلب Kubernetes v1.14.0 أو أحدث. (النهج ذي الصلة: يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على مجموعاتك).
الخطورة: عالية
النوع: وحدة التحكم
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة
الوصف: تقبل سجلات حاويات Azure افتراضيا الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات من التهديدات المحتملة، اسمح بالوصول من عناوين IP العامة أو نطاقات العناوين المحددة فقط. إذا لم يكن لدى التسجيل قاعدة IP/جدار الحماية أو شبكة ظاهرية مكونة، فسيظهر في الموارد غير الصحية. تعرَّف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/portal/public-network وهنا https://aka.ms/acr/vnet. (النهج ذي الصلة: يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة).
الخطورة: متوسط
النوع: وحدة التحكم
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا
الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلًا من الخدمة بأكملها، ستكون محميًا أيضًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. (النهج ذي الصلة: يجب أن تستخدم سجلات الحاويات رابطا خاصا).
الخطورة: متوسط
النوع: وحدة التحكم
يجب تمكين سجلات التشخيص في خدمات Kubernetes
الوصف: تمكين سجلات التشخيص في خدمات Kubernetes الخاصة بك والاحتفاظ بها لمدة تصل إلى عام. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حالة حدوث حادث أمني. (لا توجد سياسة ذات صلة)
الخطورة: منخفض
النوع: وحدة التحكم
يجب تكوين خادم واجهة برمجة تطبيقات Kubernetes مع وصول مقيد
الوصف: للتأكد من أن التطبيقات من الشبكات أو الأجهزة أو الشبكات الفرعية المسموح بها فقط يمكنها الوصول إلى مجموعتك، قم بتقييد الوصول إلى خادم Kubernetes API. يمكنك تقييد الوصول عن طريق تحديد نطاقات IP المعتمدة، أو عن طريق إعداد خوادم API الخاصة بك كتجمعات خاصة كما هو موضح في إنشاء نظام مجموعة Azure Kubernetes Service خاص. (النهج ذي الصلة: يجب تحديد نطاقات IP المعتمدة على خدمات Kubernetes).
الخطورة: عالية
النوع: وحدة التحكم
يجب استخدام التحكم في الوصول المستند إلى الدور على خدمات Kubernetes
الوصف: لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم في الوصول المستند إلى الدور (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. (النهج ذي الصلة: يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على خدمات Kubernetes).
الخطورة: عالية
النوع: وحدة التحكم
يجب تمكين Microsoft Defender للحاويات
الوصف: يوفر Microsoft Defender for Containers الحماية وتقييم الثغرات الأمنية والحماية في وقت التشغيل لبيئات Azure والهجين وبيئات Kubernetes متعددة الأوساط السحابية. يمكنك استخدام هذه المعلومات لمعالجة مشكلات الأمان بسرعة وتحسين أمان حاوياتك.
هام: ستؤدي معالجة هذه التوصية إلى فرض رسوم على حماية مجموعات Kubernetes. إذا لم يكن لديك أي مجموعات Kubernetes في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي مجموعات Kubernetes على هذا الاشتراك في المستقبل، حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد في مقدمة Azure Defender للحاويات. (لا توجد سياسة ذات صلة)
الخطورة: عالية
النوع: وحدة التحكم
يجب فرض وحدة المعالجة المركزية للحاوية وحدود الذاكرة
الوصف: يؤدي فرض حدود وحدة المعالجة المركزية والذاكرة إلى منع هجمات استنفاد الموارد (شكل من أشكال هجوم رفض الخدمة).
نوصي بتعيين حدود للحاويات لضمان أن وقت التشغيل يمنع الحاوية من استخدام أكثر من حد الموارد المكون.
(النهج ذي الصلة: تأكد من أن حدود وحدة المعالجة المركزية للحاوية ومورد الذاكرة لا تتجاوز الحدود المحددة في مجموعة Kubernetes).
الخطورة: متوسط
النوع: وحدة بيانات Kubernetes
ينبغي نشر صور الحاوية من السجلات الموثوق بها فقط
الوصف: يجب أن تأتي الصور التي تعمل على مجموعة Kubernetes الخاصة بك من سجلات صور الحاوية المعروفة والمراقبة. تقلل السجلات الموثوق بها من مخاطر تعرض مجموعتك من خلال الحد من احتمال إدخال ثغرات أمنية غير معروفة ومشكلات أمنية وصور ضارة.
(النهج ذي الصلة: تأكد من صور الحاوية المسموح بها فقط في مجموعة Kubernetes).
الخطورة: عالية
النوع: وحدة بيانات Kubernetes
يجب تجنب الحاوية ذات تصعيد الامتيازات
الوصف: لا يجب تشغيل الحاويات مع تصعيد الامتيازات إلى الجذر في مجموعة Kubernetes الخاصة بك. تتحكم سمة AllowPrivilegeEscalation في ما إذا كان يمكن لعملية الحصول على امتيازات أكثر من العملية الأصلية الخاصة بها. (النهج ذي الصلة: يجب ألا تسمح مجموعات Kubernetes بزيادة امتيازات الحاوية).
الخطورة: متوسط
النوع: مستوى بيانات Kubernetes
يجب تجنب الحاويات التي تشارك مساحات أسماء المضيف الحساسة
الوصف: للحماية من تصعيد الامتيازات خارج الحاوية، تجنب الوصول إلى مساحات أسماء المضيف الحساسة (معرف عملية المضيف و IPC المضيف) في مجموعة Kubernetes. (النهج ذي الصلة: يجب ألا تشارك حاويات نظام مجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة).
الخطورة: متوسط
النوع: مستوى بيانات Kubernetes
يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط
الوصف: يجب أن تقتصر الحاويات التي تعمل على مجموعات Kubernetes على ملفات تعريف AppArmor المسموح بها فقط. ; AppArmor (Application Armor) هي وحدة أمان Linux تحمي نظام التشغيل وتطبيقاته من التهديدات الأمنية. لاستخدامه، يقوم مسؤول النظام بربط ملف تعريف أمان AppArmor بكل برنامج. (النهج ذي الصلة: يجب أن تستخدم حاويات نظام مجموعة Kubernetes ملفات تعريف AppArmor المسموح بها فقط).
الخطورة: عالية
النوع: مستوى بيانات Kubernetes
يجب فرض نظام ملفات الجذر غير القابل للتغيير (للقراءة فقط) للحاويات
الوصف: يجب تشغيل الحاويات مع نظام ملفات جذر للقراءة فقط في مجموعة Kubernetes الخاصة بك. يحمي نظام الملفات غير القابل للتغيير الحاويات من التغييرات في وقت التشغيل مع إضافة ثنائيات ضارة إلى PATH. (النهج ذي الصلة: يجب تشغيل حاويات نظام مجموعة Kubernetes مع نظام ملفات الجذر للقراءة فقط).
الخطورة: متوسط
النوع: مستوى بيانات Kubernetes
يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS
الوصف: يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. تتوفر هذه الإمكانية حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة لمحرك AKS وAzure Arc تمكين Kubernetes. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc (النهج المرتبط: فرض دخول HTTPS في مجموعة Kubernetes).
الخطورة: عالية
النوع: وحدة بيانات Kubernetes
يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي
الوصف: قم بتعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائيا لمنع مورد Pod يحتمل اختراقه لتشغيل أوامر واجهة برمجة التطبيقات مقابل مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (النهج ذي الصلة: يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد واجهة برمجة التطبيقات للتحجيم التلقائي).
الخطورة: عالية
النوع: وحدة بيانات Kubernetes
يجب أن لا تمنح مجموعات كوبرنيتس قدرات أمان CAPSYSADMIN
الوصف: لتقليل سطح الهجوم للحاويات الخاصة بك، قم بتقييد قدرات Linux CAP_SYS_ADMIN. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (لا توجد سياسة ذات صلة)
الخطورة: عالية
النوع: مستوى بيانات Kubernetes
يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية
الوصف: منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به إلى أنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. (النهج ذي الصلة: يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية).
الخطورة: منخفض
النوع: مستوى بيانات Kubernetes
يجب فرض قدرات Linux الأقل امتيازا للحاويات
الوصف: لتقليل سطح الهجوم للحاوية الخاصة بك، قم بتقييد قدرات Linux ومنح امتيازات محددة للحاويات دون منح جميع امتيازات المستخدم الجذر. نوصي بإسقاط جميع القدرات، ثم إضافة تلك المطلوبة (النهج المرتبط: يجب أن تستخدم حاويات نظام مجموعة Kubernetes القدرات المسموح بها فقط).
الخطورة: متوسط
النوع: مستوى بيانات Kubernetes
يجب تجنب الحاويات المتميزة
الوصف: لمنع وصول المضيف غير المقيد، تجنب الحاويات المميزة كلما أمكن ذلك.
تحتوي الحاويات المميزة على جميع القدرات الجذرية لجهاز مضيف. يمكن استخدامها كنقاط إدخال للهجمات ولنشر التعليمات البرمجية الضارة أو البرامج الضارة إلى التطبيقات والمضيفين والشبكات المخترقة. (النهج ذي الصلة: لا تسمح بالحاويات المميزة في مجموعة Kubernetes).
الخطورة: متوسط
النوع: مستوى بيانات Kubernetes
يجب تجنب تشغيل الحاويات كمستخدم جذر
الوصف: لا يجب تشغيل الحاويات كمستخدمين جذر في مجموعة Kubernetes الخاصة بك. تشغيل عملية كمستخدم جذر داخل حاوية يشغلها كجذر على المضيف. إذا كان هناك حل وسط، يكون للمهاجم جذر في الحاوية، وتصبح أي تكوينات خاطئة أسهل في الاستغلال. (النهج ذي الصلة: يجب تشغيل حاويات وحاويات نظام مجموعة Kubernetes فقط مع معرفات المستخدم والمجموعة المعتمدة).
الخطورة: عالية
النوع: وحدة بيانات Kubernetes
يجب أن تستمع الخدمات إلى المنافذ المسموح بها فقط
الوصف: لتقليل سطح الهجوم لمجموعة Kubernetes الخاصة بك، قم بتقييد الوصول إلى نظام المجموعة عن طريق تقييد وصول الخدمات إلى المنافذ المكونة. (النهج ذي الصلة: تأكد من أن الخدمات تستمع فقط إلى المنافذ المسموح بها في مجموعة Kubernetes).
الخطورة: متوسط
النوع: مستوى بيانات Kubernetes
يجب تقييد استخدام شبكات المضيف والمنافذ
الوصف: تقييد الوصول إلى pod إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة Kubernetes. ستشارك Pods التي تم إنشاؤها باستخدام سمة hostNetwork الممكنة مساحة شبكة العقدة. لتجنب اختراق الحاوية من شم نسبة استخدام الشبكة، نوصي بعدم وضع pods على الشبكة المضيفة. إذا كنت بحاجة إلى عرض منفذ حاوية على شبكة العقدة، ولا يلبي استخدام منفذ عقدة خدمة Kubernetes احتياجاتك، فإن احتمالا آخر هو تحديد منفذ مضيف للحاوية في مواصفات الحاوية. (النهج المرتبط: يجب أن تستخدم حاويات نظام مجموعة Kubernetes شبكة المضيف المعتمدة ونطاق المنفذ فقط).
الخطورة: متوسط
النوع: مستوى بيانات Kubernetes
يجب تقييد استخدام تحميلات وحدة تخزين pod HostPath إلى قائمة معروفة لتقييد الوصول إلى العقدة من الحاويات المخترقة
الوصف: نوصي بتقييد تحميلات وحدة تخزين pod HostPath في مجموعة Kubernetes الخاصة بك إلى مسارات المضيف المسموح بها المكونة. إذا كان هناك اختراق، يجب تقييد الوصول إلى عقدة الحاوية من الحاويات. (النهج ذي الصلة: يجب أن تستخدم وحدات تخزين Kubernetes cluster pod hostPath مسارات المضيف المسموح بها فقط).
الخطورة: متوسط
النوع: وحدة بيانات Kubernetes
يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من Qualys)
الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية ويعرض النتائج التفصيلية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين الوضع الأمني للحاويات بشكل كبير وحمايتها من الهجمات. (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في صور Azure Container Registry).
الخطورة: عالية
النوع: تقييم الثغرات الأمنية
يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)
هام
هذه التوصية على مسار التقاعد. يتم استبداله بالتوصية [[معاينة] يجب أن تحتوي صور الحاوية في سجل Azure على نتائج الثغرات الأمنية التي تم حلها](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).
الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر. (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في صور Azure Container Registry).
الخطورة: عالية
النوع: تقييم الثغرات الأمنية
يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)
هام
هذه التوصية على مسار التقاعد. يتم استبداله بالتوصية [[معاينة] يجب أن تحتوي الحاويات التي تعمل في Azure على نتائج الثغرات الأمنية التي تم حلها](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).
الوصف: يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات.
الخطورة: عالية
النوع: تقييم الثغرات الأمنية
توصيات البيانات
(تمكين إذا لزم الأمر) يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العميل لتشفير البيانات الثابتة
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات في حالة راحة مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير الامتثال التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/cosmosdb-cmk. (النهج ذي الصلة: يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العميل لتشفير البيانات الثابتة).
الخطورة: منخفض
(تمكين إذا لزم الأمر) يجب تشفير مساحات عمل Azure التعلم الآلي باستخدام مفتاح مدار من قبل العميل (CMK)
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. إدارة التشفير في بقية بيانات مساحة عمل Azure التعلم الآلي باستخدام المفاتيح المدارة من قبل العملاء (CMK). بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن عادة ما تكون CMKs مطلوبة للوفاء بمعايير التوافق التنظيمي. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/azureml-workspaces-cmk. (النهج ذي الصلة: يجب تشفير مساحات عمل Azure التعلم الآلي باستخدام مفتاح مدار من قبل العميل (CMK)).
الخطورة: منخفض
(تمكين إذا لزم الأمر) يجب أن تمكن حسابات الخدمات المعرفية تشفير البيانات باستخدام مفتاح مدار من قبل العميل (CMK)
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير الامتثال التنظيمية. تمكن CMKs من تشفير البيانات المخزنة في الخدمات المعرفية باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/cosmosdb-cmk. (النهج ذو الصلة: يجب أن تقوم حسابات الخدمات المعرفية بتمكين تشفير البيانات باستخدام مفتاح يديره العميل)
الخطورة: منخفض
(تمكين إذا لزم الأمر) يجب أن تستخدم خوادم MySQL مفاتيح يديرها العميل لتشفير البيانات الثابتة
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات في حالة راحة مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير الامتثال التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. (النهج ذي الصلة: يجب تمكين حماية البيانات الرئيسية الخاصة بك لخوادم MySQL).
الخطورة: منخفض
(تمكين إذا لزم الأمر) يجب أن تستخدم خوادم PostgreSQL مفاتيح يديرها العميل لتشفير البيانات الثابتة
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات في حالة راحة مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير الامتثال التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. (النهج ذي الصلة: يجب تمكين حماية البيانات الرئيسية الخاصة بك لخوادم PostgreSQL).
الخطورة: منخفض
(تمكين إذا لزم الأمر) يجب أن تستخدم مثيلات SQL المدارة مفاتيح يديرها العميل لتشفير البيانات الثابتة
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. (النهج ذي الصلة: يجب أن تستخدم مثيلات SQL المدارة مفاتيح يديرها العميل لتشفير البيانات الثابتة).
الخطورة: منخفض
(تمكين إذا لزم الأمر) يجب أن تستخدم خوادم SQL مفاتيح يديرها العميل لتشفير البيانات الثابتة
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. (النهج ذي الصلة: يجب أن تستخدم خوادم SQL مفاتيح يديرها العميل لتشفير البيانات الثابتة).
الخطورة: منخفض
(تمكين إذا لزم الأمر) يجب أن تستخدم حسابات التخزين المفتاح المدار من قبل العميل (CMK) للتشفير
الوصف: لا يتم تقييم توصيات استخدام المفاتيح المدارة من قبل العميل لتشفير البيانات الثابتة بشكل افتراضي، ولكنها متاحة للتمكين للسيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيًا باستخدام مفاتيح مدارة بواسطة النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بها من خلال الامتثال أو متطلبات النهج التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة نهج الأمان. قم بتأمين حساب التخزين الخاص بك مع مرونة أكبر باستخدام المفاتيح المدارة من قبل العملاء (CMKs). عند تحديد CMK، يتم استخدام هذا المفتاح لحماية الوصول إلى المفتاح الذي يشفر البيانات والتحكم فيه. يوفر استخدام CMKs قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. (النهج ذي الصلة: يجب أن تستخدم حسابات التخزين المفتاح المدار من قبل العميل (CMK) للتشفير).
الخطورة: منخفض
يجب تمكين جميع أنواع الحماية المتقدمة من التهديدات في إعدادات أمان البيانات المتقدمة لمثيل SQL المدار
الوصف: يوصى بتمكين جميع أنواع الحماية المتقدمة من التهديدات على مثيلات SQL المدارة. تمكين جميع الأنواع يحمي من حقن SQL وثغرات قاعدة البيانات وأي أنشطة أخرى شاذة. (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب تمكين جميع أنواع الحماية المتقدمة من التهديدات في إعدادات أمان البيانات المتقدمة لخادم SQL
الوصف: يوصى بتمكين جميع أنواع الحماية المتقدمة من التهديدات على خوادم SQL. تمكين جميع الأنواع يحمي من حقن SQL وثغرات قاعدة البيانات وأي أنشطة أخرى شاذة. (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب أن تستخدم خدمات APIM شبكة ظاهرية
الوصف: يوفر نشر شبكة Azure الظاهرية أمانا وعزلا محسنا ويسمح لك بوضع خدمة APIM في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات للوصول إما من الإنترنت أو داخل الشبكة الظاهرية فقط. (النهج ذي الصلة: يجب أن تستخدم خدمات APIM شبكة ظاهرية).
الخطورة: متوسط
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا
الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. (النهج ذي الصلة: يجب أن يستخدم تكوين التطبيق رابطا خاصا).
الخطورة: متوسط
يجب تعيين استبقاء التدقيق لخوادم SQL إلى 90 يوما على الأقل
الوصف: تدقيق خوادم SQL المكونة مع فترة استبقاء تدقيق أقل من 90 يوما. (نهج ذو صلة: يجب تكوين ملقمات SQL مع 90 يوما تدقيق الاحتفاظ أو أعلى.)
الخطورة: منخفض
ينبغي تمكين التدقيق على خادم SQL
الوصف: تمكين التدقيق على SQL Server لتعقب أنشطة قاعدة البيانات عبر جميع قواعد البيانات على الخادم وحفظها في سجل تدقيق. (النهج ذي الصلة: يجب تمكين التدقيق على خادم SQL).
الخطورة: منخفض
يجب تمكين التوفير التلقائي لوكيل السجل التحليلي في الاشتراك
الوصف: لمراقبة الثغرات الأمنية والتهديدات، يجمع Microsoft Defender for Cloud البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. (النهج ذي الصلة: يجب تمكين التوفير التلقائي لعامل Log Analytics على اشتراكك).
الخطورة: منخفض
يجب أن تكون ذاكرة التخزين المؤقت لـ Azure الخاصة بـ Redis داخل شبكة ظاهرية
الوصف: يوفر نشر شبكة Azure الظاهرية (VNet) أمانا وعزلا محسنين لذاكرة التخزين المؤقت Azure ل Redis، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. عند تكوين مثيل Azure Cache for Redis باستخدام VNet، فإنه غير قابل للعنوان بشكل عام ولا يمكن الوصول إليه إلا من الأجهزة والتطبيقات الظاهرية داخل VNet. (النهج ذي الصلة: يجب أن تتواجد ذاكرة التخزين المؤقت Azure ل Redis داخل شبكة ظاهرية).
الخطورة: متوسط
يجب أن يكون لدى قاعدة بيانات Azure ل MySQL مسؤول Azure Active Directory الذي تم توفيره
الوصف: توفير مسؤول Azure AD لقاعدة بيانات Azure ل MySQL لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات خدمات Microsoft الأخرى (النهج المرتبط: يجب توفير مسؤول Azure Active Directory لخوادم MySQL).
الخطورة: متوسط
يجب أن يكون لدى قاعدة بيانات Azure ل PostgreSQL مسؤول Azure Active Directory الذي تم توفيره
الوصف: توفير مسؤول Azure AD لقاعدة بيانات Azure ل PostgreSQL لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft
(النهج ذي الصلة: يجب توفير مسؤول Azure Active Directory لخوادم PostgreSQL).
الخطورة: متوسط
يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية
الوصف: يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من المصادر غير المصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. (النهج ذي الصلة: يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية).
الخطورة: متوسط
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً
الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى نطاقات شبكة الأحداث بدلا من الخدمة بأكملها، ستكون أيضا محميا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. (النهج ذي الصلة: يجب أن تستخدم مجالات Azure Event Grid رابطا خاصا).
الخطورة: متوسط
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً
الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى مواضيعك بدلًا من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. (النهج ذي الصلة: يجب أن تستخدم مواضيع Azure Event Grid رابطا خاصا).
الخطورة: متوسط
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا
الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى مساحات عمل Azure التعلم الآلي بدلا من الخدمة بأكملها، ستتم حمايتك أيضا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/azureml-workspaces-privatelink. (النهج ذي الصلة: يجب أن تستخدم مساحات عمل Azure التعلم الآلي رابطا خاصا).
الخطورة: متوسط
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً
الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لموارد SignalR بدلًا من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/asrs/privatelink. (النهج ذي الصلة: يجب أن تستخدم خدمة Azure SignalR رابطا خاصا).
الخطورة: متوسط
يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة
الوصف: يجب أن تستخدم مثيلات Azure Spring Cloud حقن الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud. (النهج ذي الصلة: يجب أن تستخدم Azure Spring Cloud حقن الشبكة).
الخطورة: متوسط
يجب أن تحتوي خوادم SQL على مسؤول Azure Active Directory تم توفيره
الوصف: توفير مسؤول Azure AD لخادم SQL لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft. (النهج ذي الصلة: يجب توفير مسؤول Azure Active Directory لخوادم SQL).
الخطورة: عالية
يجب أن يكون وضع مصادقة مساحة عمل Azure Synapse هو Azure Active Directory فقط
الوصف: يجب أن يكون وضع مصادقة مساحة عمل Azure Synapse هو Azure Active Directory فقط أساليب مصادقة Azure Active Directory فقط يحسن الأمان عن طريق التأكد من أن مساحات عمل Synapse تتطلب حصريا هويات Azure AD للمصادقة. اعرف المزيد. (النهج ذي الصلة: يجب أن تستخدم مساحات عمل Synapse هويات Azure Active Directory فقط للمصادقة).
الخطورة: متوسط
يجب أن تعمل حسابات الخدمات المعرفية على تمكين تشفير البيانات
الوصف: يدقق هذا النهج أي حساب خدمات معرفية لا يستخدم تشفير البيانات. لكل حساب الخدمات المعرفية مع التخزين، يجب تمكين تشفير البيانات باستخدام مفتاح مدار من قبل العميل أو مفتاح Microsoft المدار. (النهج ذي الصلة: يجب أن تمكن حسابات الخدمات المعرفية تشفير البيانات).
الخطورة: منخفض
يجب أن تستخدم حسابات الخدمات المعرفية التخزين المملوك للعميل أو تمكين تشفير البيانات
الوصف: يقوم هذا النهج بمراجعة أي حساب خدمات معرفية لا يستخدم التخزين المملوك للعميل ولا تشفير البيانات. لكل حساب الخدمات المعرفية مع التخزين، استخدم إما التخزين المملوك للعميل أو تمكين تشفير البيانات. (النهج المرتبط: يجب أن تستخدم حسابات الخدمات المعرفية التخزين المملوك للعميل أو تمكين تشفير البيانات.)
الخطورة: منخفض
يجب تمكين سجلات التشخيص في مخزن بحيرة البيانات Azure
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في Azure Data Lake Store).
الخطورة: منخفض
يجب تمكين سجلات التشخيص في تحليلات بحيرة البيانات
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في Data Lake Analytics).
الخطورة: منخفض
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة
الوصف: لضمان إعلام الأشخاص ذوي الصلة في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة في Defender for Cloud. (النهج ذي الصلة: يجب تمكين إعلام البريد الإلكتروني للتنبيهات عالية الخطورة).
الخطورة: منخفض
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة
الوصف: لضمان إعلام مالكي الاشتراكات عند وجود خرق أمني محتمل في اشتراكهم، قم بتعيين إشعارات البريد الإلكتروني إلى مالكي الاشتراكات للحصول على تنبيهات عالية الخطورة في Defender for Cloud. (النهج ذي الصلة: يجب تمكين إعلام البريد الإلكتروني إلى مالك الاشتراك للتنبيهات عالية الخطورة).
الخطورة: متوسط
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL
الوصف: تدعم قاعدة بيانات Azure ل MySQL توصيل قاعدة بيانات Azure لخادم MySQL بتطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. (النهج ذي الصلة: يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL).
الخطورة: متوسط
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL
الوصف: تدعم قاعدة بيانات Azure ل PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. (النهج ذي الصلة: يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL).
الخطورة: متوسط
يجب أن تحتوي تطبيقات الوظائف على نتائج الثغرات الأمنية التي تم حلها
الوصف: فحص الثغرات الأمنية في وقت التشغيل للوظائف يفحص تطبيقات الوظائف بحثا عن الثغرات الأمنية ويعرض النتائج التفصيلية. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين الوضع الأمني للتطبيقات بلا خادم بشكل كبير وحمايتها من الهجمات. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB
الوصف: تسمح لك قاعدة بيانات Azure ل MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. يمكن تعيينها إلى تخزين احتياطي جغرافي زائد حيث لا يتم تخزين البيانات داخل المنطقة التي يتم فيها استضافة الخادم الخاص بك فحسب، بل يتم أيضا نسخها نسخا متماثلا إلى منطقة مقترنة لتوفير خيارات الاسترداد في حالة فشل المنطقة. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط عند إنشاء خادم. (النهج ذي الصلة: يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure ل MariaDB).
الخطورة: منخفض
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL
الوصف: تسمح لك قاعدة بيانات Azure ل MySQL باختيار خيار التكرار لخادم قاعدة البيانات. يمكن تعيينها إلى تخزين احتياطي جغرافي زائد حيث لا يتم تخزين البيانات داخل المنطقة التي يتم فيها استضافة الخادم الخاص بك فحسب، بل يتم أيضا نسخها نسخا متماثلا إلى منطقة مقترنة لتوفير خيارات الاسترداد في حالة فشل المنطقة. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط عند إنشاء خادم. (النهج ذي الصلة: يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure ل MySQL).
الخطورة: منخفض
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL
الوصف: تسمح لك قاعدة بيانات Azure ل PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. يمكن تعيينها إلى تخزين احتياطي جغرافي زائد حيث لا يتم تخزين البيانات داخل المنطقة التي يتم فيها استضافة الخادم الخاص بك فحسب، بل يتم أيضا نسخها نسخا متماثلا إلى منطقة مقترنة لتوفير خيارات الاسترداد في حالة فشل المنطقة. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط عند إنشاء خادم. (النهج ذي الصلة: يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure ل PostgreSQL).
الخطورة: منخفض
يجب تمكين مسح التعليمات البرمجية في مستودعات GitHub
الوصف: يستخدم GitHub فحص التعليمات البرمجية لتحليل التعليمات البرمجية من أجل العثور على الثغرات الأمنية والأخطاء في التعليمات البرمجية. يمكن استخدام فحص التعليمة البرمجية لإيجاد حلول للمشكلات الموجودة في التعليمة البرمجية الخاصة بك وفرزها وترتيبها حسب الأولوية. كما أن فحص التعليمة البرمجية يمكنه منع المطورين من التسبب في إحداث مشكلات أخرى جديدة. يمكن جدولة عمليات الفحص لأيام وأوقات معينة، أو تشغيل عمليات فحص عند حدوث حدث معين في المستودع، مثل دفع البيانات. إذا وجد فحص التعليمات البرمجية ثغرة أمنية محتملة أو خطأ في التعليمة البرمجية، يعرض GitHub تنبيهًا في المستودع. الثغرة الأمنية هي مشكلة في التعليمة البرمجية للمشروع يمكن استغلالها للإضرار بسرية المشروع أو سلامته أو توفره. (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب تمكين مسح Dependabot في مستودعات GitHub
الوصف: يرسل GitHub تنبيهات Dependabot عندما يكتشف الثغرات الأمنية في تبعيات التعليمات البرمجية التي تؤثر على المستودعات. الثغرة الأمنية هي مشكلة في التعليمة البرمجية للمشروع يمكن استغلالها للإضرار بسرية المشروع أو سلامته أو توفره أو المشاريع الأخرى التي تستخدم التعليمة البرمجية الخاصة به. تختلف الثغرات الأمنية من حيث النوع والخطورة وطريقة الهجوم. عندما تعتمد التعليمات البرمجية على حزمة تحتوي على ثغرة أمنية، يمكن أن تسبب هذه التبعية الضعيفة مجموعة من المشاكل. (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب تمكين مسح الأسرار في مستودعات GitHub
الوصف: يفحص GitHub المستودعات بحثا عن أنواع معروفة من الأسرار، لمنع الاستخدام الاحتيالي للبيانات السرية التي تم الالتزام بها عن طريق الخطأ في المستودعات. سيؤدي فحص الأسرار إلى فحص تاريخ Git بأكمله على جميع الفروع الموجودة في مستودع GitHub الخاص بك لأي أسرار. أمثلة على الأسرار هي الرموز المميزة والمفاتيح الخاصة التي يمكن لموفر الخدمة إصدارها للمصادقة. إذا تم إيداع سر في مستودع، في مستودع، يمكن لأي شخص لديه حق الوصول للقراءة إلى المستودع استخدامه للوصول إلى الخدمة الخارجية بهذه الامتيازات. يجب تخزين الأسرار في موقع مخصص وآمن خارج مستودع المشروع. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تمكين Azure Defender لخوادم Azure SQL Database
الوصف: Microsoft Defender for SQL عبارة عن حزمة موحدة توفر قدرات أمان SQL متقدمة. وهو يتضمن وظائف لتصفح والتخفيف من نقاط الضعف المحتملة في قاعدة البيانات، والكشف عن الأنشطة الشاذة التي يمكن أن تشير إلى تهديد لقاعدة البيانات الخاصة بك، واكتشاف وتصنيف البيانات الحساسة. مهم: يتم فرض رسوم على الحماية من هذه الخطة كما هو موضح في صفحة خطط Defender. إذا لم يكن لديك أي خوادم قاعدة بيانات Azure SQL في هذا الاشتراك، فلن يتم تحصيل رسوم منك. إذا قمت لاحقا بإنشاء خوادم قاعدة بيانات Azure SQL على هذا الاشتراك، فسيتم حمايتها تلقائيا وستبدأ الرسوم. تعرف على تفاصيل الأسعار لكل منطقة. تعرف على المزيد في مقدمة Azure Defender لـSQL. (النهج ذي الصلة: يجب تمكين Azure Defender لخوادم قاعدة بيانات Azure SQL).
الخطورة: عالية
يجب تمكين Azure Defender لـ DNS
الوصف: يوفر Microsoft Defender for DNS طبقة إضافية من الحماية لموارد السحابة الخاصة بك من خلال مراقبة جميع استعلامات DNS باستمرار من موارد Azure. يقوم Defender for DNS بتنبيهك إزاء أي نشاط مريب في طبقة DNS. تعرف على المزيد في مقدمة Azure Defender لـDNS. يؤدي تمكين خطة Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة تسعير Defender for Cloud: Defender for Cloud Pricing. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر
الوصف: يكتشف Microsoft Defender لقواعد البيانات الارتباطية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد بشأن مقدمة إلى Microsoft Defender لقواعد البيانات الارتباطية مفتوحة المصدر.
مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. إذا لم يكن لديك أي قواعد بيانات ارتباطية مفتوحة المصدر في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي قواعد بيانات ارتباطية مفتوحة المصدر على هذا الاشتراك في المستقبل، فسيتم حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تمكين Azure Defender لـ Resource Manager
الوصف: يراقب Microsoft Defender for Resource Manager تلقائيا عمليات إدارة الموارد في مؤسستك. يكتشف Defender for Cloud التهديدات وينبهك إلى أي نشاط مريب. تعرف على المزيد بشأن مقدمة إلى Microsoft Defender for Resource Manager. يؤدي تمكين خطة Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة تسعير Defender for Cloud: Defender for Cloud Pricing. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تمكين Microsoft Defender for SQL على مساحات العمل
الوصف: يوفر Microsoft Defender للخوادم الكشف عن التهديدات والدفاعات المتقدمة لأجهزة Windows وLinux. ومع تمكين خطة Defender هذه على اشتراكاتك وليس على مساحات عملك، فأنت تدفع تكلفة الإمكانيات الكاملة لـ Microsoft Defender للخوادم ولكنك لا تحصل على بعض المزايا. عند تمكين Microsoft Defender للخوادم على مساحة عمل، ستصدر فواتير لجميع الأجهزة التي تقدم تقارير إلى مساحة العمل هذه لـ Microsoft Defender للخوادم - حتى وإن كانت في اشتراكات دون تمكين خطط Defender. ما لم تمكِّن Microsoft Defender للخوادم أيضاً على الاشتراك، فلن تتمكن هذه الأجهزة من الاستفادة من الوصول إلى الجهاز الظاهري في الوقت نفسه، وعناصر التحكم في التطبيقات التكيفية، واكتشاف الشبكة لموارد Azure. تعرف على المزيد في مقدمة Azure Defender للخوادم. (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب تمكين خوادم Azure Defender لخوادم لغة الاستعلامات المركبة على الأجهزة
الوصف: Microsoft Defender for SQL عبارة عن حزمة موحدة توفر قدرات أمان SQL متقدمة. وهو يتضمن وظائف لتصفح والتخفيف من نقاط الضعف المحتملة في قاعدة البيانات، والكشف عن الأنشطة الشاذة التي يمكن أن تشير إلى تهديد لقاعدة البيانات الخاصة بك، واكتشاف وتصنيف البيانات الحساسة.
مهم: ستؤدي معالجة هذه التوصية إلى فرض رسوم على حماية خوادم SQL على الأجهزة. إذا لم يكن لديك أي خوادم SQL على الأجهزة في هذا الاشتراك، فلن تتكبد أي رسوم. إذا قمت بإنشاء أي خوادم SQL على الأجهزة على هذا الاشتراك في المستقبل، فسيتم حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد بشأن تمكين Azure Defender الخاص بخوادم SQL المُثبتة في الأجهزة. (النهج ذي الصلة: يجب تمكين Azure Defender لخوادم SQL على الأجهزة).
الخطورة: عالية
يجب تمكين Azure Defender for SQL لخوادم Azure SQL غير المحمية
الوصف: Microsoft Defender for SQL عبارة عن حزمة موحدة توفر قدرات أمان SQL متقدمة. وهو يعرض نقاط الضعف المحتملة في قاعدة البيانات ويخفف من حدتها، ويكتشف الأنشطة الشاذة التي قد تشير إلى وجود تهديد لقاعدة البيانات الخاصة بك. تتم فوترة Microsoft Defender for SQL كما هو موضح في تفاصيل التسعير لكل منطقة. (النهج ذي الصلة: يجب تمكين أمان البيانات المتقدم على خوادم SQL الخاصة بك).
الخطورة: عالية
يجب تمكين Azure Defender for SQL لمثيلات SQL المُدارة غير المحمية
الوصف: Microsoft Defender for SQL عبارة عن حزمة موحدة توفر قدرات أمان SQL متقدمة. وهو يعرض نقاط الضعف المحتملة في قاعدة البيانات ويخفف من حدتها، ويكتشف الأنشطة الشاذة التي قد تشير إلى وجود تهديد لقاعدة البيانات الخاصة بك. تتم فوترة Microsoft Defender for SQL كما هو موضح في تفاصيل التسعير لكل منطقة. (النهج ذي الصلة: يجب تمكين أمان البيانات المتقدم على مثيل SQL المدار).
الخطورة: عالية
يجب تمكين Azure Defender لـ Storage
الوصف: يكتشف Microsoft Defender للتخزين محاولات غير عادية وربما ضارة للوصول إلى حسابات التخزين أو استغلالها. مهم: يتم فرض رسوم على الحماية من هذه الخطة كما هو موضح في صفحة خطط Defender. إذا لم يكن لديك أي حسابات Azure Storage في هذا الاشتراك، فلن يتم تحصيل رسوم منك. إذا قمت لاحقًا بإنشاء حسابات Azure Storage على هذا الاشتراك، فسيتم حمايتها تلقائيًا وستبدأ الرسوم. تعرف على تفاصيل الأسعار لكل منطقة. اكتشف المزيد في مقدمة عن Azure Defender for Storage. (النهج ذي الصلة: يجب تمكين Azure Defender for Storage).
الخطورة: عالية
يجب تمكين Network Watcher
الوصف: Network Watcher هي خدمة إقليمية تمكنك من مراقبة الحالات وتشخيصها على مستوى سيناريو الشبكة في Azure ومنه ومنه. تتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من طرف إلى طرف. تساعدك أدوات تشخيص الشبكة والتصورات المتاحة مع Network Watcher على فهم وتشخيص ومعرفة تفاصيل عن شبكتك في Azure. (النهج ذي الصلة: يجب تمكين Network Watcher).
الخطورة: منخفض
يجب التحقيق في الهويات التي تم توفيرها بشكل زائد في الاشتراكات لتقليل فهرس زحف الأذونات (PCI)
الوصف: يجب التحقيق في الهويات ذات التوفير الزائد في الاشتراك لتقليل فهرس زحف الأذونات (PCI) وحماية البنية الأساسية الخاصة بك. تقليل PCI عن طريق إزالة تعيينات الأذونات عالية المخاطر غير المستخدمة. يعكس PCI العالي المخاطر المرتبطة بالهويات ذات الأذونات التي تتجاوز استخدامها العادي أو المطلوب (لا يوجد نهج ذي صلة).
الخطورة: متوسط
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database
الوصف: تفرض اتصالات نقطة النهاية الخاصة اتصالا آمنا عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. (النهج ذي الصلة: يجب تمكين اتصالات نقطة النهاية الخاصة على قاعدة بيانات Azure SQL).
الخطورة: متوسط
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB
الوصف: تفرض اتصالات نقطة النهاية الخاصة اتصالا آمنا عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure ل MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. (النهج ذي الصلة: يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB).
الخطورة: متوسط
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL
الوصف: تفرض اتصالات نقطة النهاية الخاصة اتصالا آمنا عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure ل MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. (النهج ذي الصلة: يجب تمكين نقطة النهاية الخاصة لخوادم MySQL).
الخطورة: متوسط
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL
الوصف: تفرض اتصالات نقطة النهاية الخاصة اتصالا آمنا عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure ل PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. (النهج ذي الصلة: يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL).
الخطورة: متوسط
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database
الوصف: يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure SQL فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. (النهج ذي الصلة: يجب تعطيل الوصول إلى الشبكة العامة على قاعدة بيانات Azure SQL).
الخطورة: متوسط
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB
الوصف: قم بتعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان والتأكد من أنه لا يمكن الوصول إلى قاعدة بيانات Azure ل MariaDB إلا من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. (النهج ذي الصلة: يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB).
الخطورة: متوسط
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL
الوصف: قم بتعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان والتأكد من أنه لا يمكن الوصول إلى قاعدة بيانات Azure ل MySQL إلا من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. (النهج ذي الصلة: يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL).
الخطورة: متوسط
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL
الوصف: تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان والتأكد من إمكانية الوصول إلى قاعدة بيانات Azure ل PostgreSQL فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. (النهج ذي الصلة: يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL).
الخطورة: متوسط
يجب أن تسمح ذاكرة التخزين المؤقت Redis بالوصول فقط عبر SSL
الوصف: تمكين الاتصالات فقط عبر SSL إلى Redis Cache. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة. (النهج ذي الصلة: يجب تمكين الاتصالات الآمنة فقط بذاكرة التخزين المؤقت Azure ل Redis).
الخطورة: عالية
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية
الوصف: يقوم تقييم SQL Vulnerability بفحص قاعدة البيانات بحثا عن الثغرات الأمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات المفرطة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. تعرف على المزيد (النهج ذي الصلة: يجب معالجة الثغرات الأمنية في قواعد بيانات SQL).
الخطورة: عالية
يجب تكوين تقييم الثغرات الأمنية SQL المثيلات المدارة
الوصف: يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات الأمنية وتعقبها ومساعدتك في معالجة الثغرات الأمنية المحتملة في قاعدة البيانات. (النهج ذي الصلة: يجب تمكين تقييم الثغرات الأمنية على مثيل SQL المدار).
الخطورة: عالية
يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة
الوصف: يقوم تقييم SQL Vulnerability بفحص قاعدة البيانات بحثا عن الثغرات الأمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات المفرطة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. تعرف على المزيد (النهج المرتبط: يجب معالجة الثغرات الأمنية على خوادم SQL على الجهاز).
الخطورة: عالية
يجب أن تحتوي خوادم SQL على مسؤول Azure Active Directory تم توفيره
الوصف: توفير مسؤول Azure AD لخادم SQL لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft. (النهج ذي الصلة: يجب توفير مسؤول Azure Active Directory لخوادم SQL).
الخطورة: عالية
يجب أن يكون لدى خوادم SQL تقييم ثغرات أمنية تم تكوينه
الوصف: يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات الأمنية وتعقبها ومساعدتك في معالجة الثغرات الأمنية المحتملة في قاعدة البيانات. (النهج ذي الصلة: يجب تمكين تقييم الثغرات الأمنية على خوادم SQL الخاصة بك).
الخطورة: عالية
يجب أن يستخدم حساب التخزين اتصال ارتباط خاص
الوصف/ تعليمات: تفرض الارتباطات الخاصة اتصالا آمنا، من خلال توفير اتصال خاص بحساب التخزين (النهج المرتبط: يجب أن يستخدم حساب التخزين اتصال ارتباط خاص).
الخطورة: متوسط
يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة
الوصف: للاستفادة من الإمكانات الجديدة في Azure Resource Manager، يمكنك ترحيل عمليات التوزيع الحالية من نموذج التوزيع الكلاسيكي. يتيح Resource Manager تحسينات الأمان مثل: التحكم في الوصول الأقوى (RBAC)، والتدقيق الأفضل، والنشر والحوكمة المستندة إلى ARM، والوصول إلى الهويات المدارة، والوصول إلى مخزن المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان. تعرف على المزيد (النهج المرتبط: يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة).
الخطورة: منخفض
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية
الوصف: حماية حسابات التخزين الخاصة بك من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلا من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. (النهج ذي الصلة: يجب أن تقيد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية).
الخطورة: متوسط
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان
الوصف: لضمان إعلام الأشخاص ذوي الصلة في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمان لتلقي إشعارات البريد الإلكتروني من Defender for Cloud. (نهج ذو صلة: يجب أن يكون الاشتراكات عنوان البريد الإلكتروني جهة الاتصال لقضايا أمنية)
الخطورة: منخفض
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL
الوصف/ تعليمات: تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات التوافق (النهج ذي الصلة: يجب تمكين تشفير البيانات الشفاف على قواعد بيانات SQL).
الخطورة: منخفض
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً
الوصف: تدقيق قوالب منشئ صور الجهاز الظاهري التي لم يتم تكوين شبكة ظاهرية لها. عندما لا يتم تكوين شبكة ظاهرية، يتم إنشاء IP عام واستخدامه بدلا من ذلك، مما قد يعرض الموارد مباشرة إلى الإنترنت ويزيد من سطح الهجوم المحتمل. (النهج ذي الصلة: يجب أن تستخدم قوالب VM Image Builder رابطا خاصا).
الخطورة: متوسط
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway
الوصف: نشر Azure Web Application Firewall (WAF) أمام تطبيقات الويب العامة لفحص إضافي لنسبة استخدام الشبكة الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان/المناطق ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. (النهج ذي الصلة: يجب تمكين جدار حماية تطبيق الويب (WAF) ل Application Gateway).
الخطورة: منخفض
يجب تمكين Web Application Firewall (WAF) لخدمة Azure Front Door Service
الوصف: نشر Azure Web Application Firewall (WAF) أمام تطبيقات الويب العامة لفحص إضافي لنسبة استخدام الشبكة الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان/المناطق ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. (نهج ذو صلة: يجب تمكين جدار حماية تطبيق الويب (WAF) لخدمة Azure Front Door Service?service)
الخطورة: منخفض
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً
الوصف: يتيح لك Azure Private Link توصيل الشبكات الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد حول الارتباطات الخاصة. (النهج ذي الصلة: يجب أن تستخدم الخدمات المعرفية رابطا خاصا).
الخطورة: متوسط
يجب أن يعطل Azure Cosmos DB الوصول إلى الشبكة العامة
الوصف: يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف حساب Cosmos DB الخاص بك على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض حساب Cosmos DB الخاص بك. اعرف المزيد. (النهج ذي الصلة: يجب أن يعطل Azure Cosmos DB الوصول إلى الشبكة العامة).
الخطورة: متوسط
يجب أن تستخدم حسابات Cosmos DB رابطا خاصا
الوصف: يتيح لك Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب Cosmos DB الخاص بك، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد حول الارتباطات الخاصة. (النهج ذي الصلة: يجب أن تستخدم حسابات Cosmos DB رابطا خاصا).
الخطورة: متوسط
يجب تشغيل Azure SQL Database الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) أو إصدار أحدث
الوصف: يؤدي تعيين إصدار TLS إلى 1.2 أو إصدار أحدث إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure SQL فقط من العملاء الذين يستخدمون TLS 1.2 أو أحدث. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. (النهج ذي الصلة: يجب أن تعمل قاعدة بيانات Azure SQL بالإصدار 1.2 من TLS أو أحدث).
الخطورة: متوسط
يجب أن تقوم مثيلات Azure SQL المدارة بتعطيل الوصول إلى الشبكة العامة
الوصف: يؤدي تعطيل الوصول إلى الشبكة العامة (نقطة النهاية العامة) على مثيلات Azure SQL المدارة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إليها فقط من داخل شبكاتها الظاهرية أو عبر نقاط النهاية الخاصة. تعرف على المزيد حول الوصول إلى الشبكة العامة. (النهج ذي الصلة: يجب أن تعطل مثيلات Azure SQL المدارة الوصول إلى الشبكة العامة).
الخطورة: متوسط
يجب أن تمنع حسابات التخزين الوصول إلى المفتاح المشترك
الوصف: متطلبات التدقيق في Azure Active Directory (Azure AD) لتخويل طلبات حساب التخزين الخاص بك. بشكل افتراضي، يمكن تخويل الطلبات باستخدام بيانات اعتماد Azure Active Directory، أو باستخدام مفتاح الوصول إلى الحساب لمصادقة المفتاح المشترك. من بين هذين النوعين من التخويل، يوفر Azure AD أمانا فائقا وسهولة في الاستخدام عبر المفتاح المشترك، ويوصي به Microsoft. (النهج المرتبط: النهج)
الخطورة: متوسط
توصيات الهوية والوصول
يجب تعيين 3 مالكين كحد أقصى للاشتراك
الوصف/ تعليمات: لتقليل احتمالية الخروقات بواسطة حسابات المالكين المخترقة، نوصي بتحديد عدد حسابات المالكين بحد أقصى 3 (النهج المرتبط: يجب تعيين 3 مالكين كحد أقصى لاشتراكك).
الخطورة: عالية
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA
الوصف: إذا كنت تستخدم كلمات المرور فقط لمصادقة المستخدمين، فإنك تترك متجه هجوم مفتوحا. غالبًا ما يستخدم المستخدمون كلمات مرور ضعيفة لخدمات متعددة. من خلال تمكين المصادقة متعددة العوامل (MFA)، فإنك توفر أمانا أفضل لحساباتك، مع السماح للمستخدمين بالمصادقة على أي تطبيق تقريبا مع تسجيل الدخول الأحادي (SSO). المصادقة متعددة العوامل هي عملية يطلب من المستخدمين من خلالها، أثناء عملية تسجيل الدخول، شكلا آخر من أشكال التعريف. على سبيل المثال، قد يتم إرسال رمز إلى هاتفه الخلوي، أو قد يطلب منه فحص بصمة الإصبع. نوصيك بتمكين المصادقة متعددة العوامل (MFA) لجميع الحسابات التي لديها أذونات المالك على موارد Azure، لمنع الاختراق والهجمات. تتوفر المزيد من التفاصيل والأسئلة المتداولة هنا: إدارة فرض المصادقة متعددة العوامل (MFA) على اشتراكاتك (لا توجد سياسة ذات صلة).
الخطورة: عالية
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)
الوصف: إذا كنت تستخدم كلمات المرور فقط لمصادقة المستخدمين، فإنك تترك متجه هجوم مفتوحا. غالبًا ما يستخدم المستخدمون كلمات مرور ضعيفة لخدمات متعددة. من خلال تمكين المصادقة متعددة العوامل (MFA)، فإنك توفر أمانا أفضل لحساباتك، مع السماح للمستخدمين بالمصادقة على أي تطبيق تقريبا مع تسجيل الدخول الأحادي (SSO). المصادقة متعددة العوامل هي عملية يطلب من المستخدمين من خلالها، أثناء عملية تسجيل الدخول، شكلا إضافيا من أشكال التعريف. على سبيل المثال، قد يتم إرسال رمز إلى هاتفه الخلوي، أو قد يطلب منه فحص بصمة الإصبع. نوصيك بتمكين المصادقة متعددة العوامل (MFA) لجميع الحسابات التي لديها أذونات القراءة على موارد Azure، لمنع الاختراق والهجمات. يتوفر المزيد من التفاصيل والأسئلة المتداولة هنا. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA
الوصف: إذا كنت تستخدم كلمات المرور فقط لمصادقة المستخدمين، فإنك تترك متجه هجوم مفتوحا. غالبًا ما يستخدم المستخدمون كلمات مرور ضعيفة لخدمات متعددة. من خلال تمكين المصادقة متعددة العوامل (MFA)، فإنك توفر أمانا أفضل لحساباتك، مع السماح للمستخدمين بالمصادقة على أي تطبيق تقريبا مع تسجيل الدخول الأحادي (SSO). المصادقة متعددة العوامل هي عملية يطلب من المستخدمين من خلالها، أثناء عملية تسجيل الدخول، شكلا إضافيا من أشكال التعريف. على سبيل المثال، قد يتم إرسال رمز إلى هاتفه الخلوي، أو قد يطلب منه فحص بصمة الإصبع. نوصيك بتمكين المصادقة متعددة العوامل (MFA) لجميع الحسابات التي لديها أذونات الكتابة على موارد Azure، لمنع الاختراق والهجمات. تتوفر المزيد من التفاصيل والأسئلة المتداولة هنا: إدارة فرض المصادقة متعددة العوامل (MFA) على اشتراكاتك (لا توجد سياسة ذات صلة).
الخطورة: عالية
يجب أن تستخدم حسابات Azure Cosmos DB Azure Active Directory كطريقة المصادقة الوحيدة
الوصف: أفضل طريقة للمصادقة على خدمات Azure هي باستخدام التحكم في الوصول استنادا إلى الدور (RBAC). يسمح لك التحكم في الوصول استنادًا إلى الدور بالحفاظ على مبدأ الامتياز الأدنى ويدعم القدرة على إبطال الأذونات كطريقة فعالة للاستجابة عند اختراقها. يمكنك تكوين حساب Azure Cosmos DB الخاص بك لفرض التحكم في الوصول استنادًا إلى الدور كطريقة مصادقة فقط. عند تكوين الإنفاذ، سيتم رفض جميع أساليب الوصول الأخرى (المفاتيح الأساسية/الثانوية والرموز المميزة للوصول). (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure
الوصف: يجب إزالة الحسابات التي تم حظرها من تسجيل الدخول إلى Active Directory من موارد Azure. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure
الوصف: يجب إزالة الحسابات التي تم حظرها من تسجيل الدخول إلى Active Directory من موارد Azure. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب إزالة الحسابات المهملة من الاشتراكات
الوصف: يجب إزالة حسابات المستخدمين التي تم حظرها من تسجيل الدخول من اشتراكاتك. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (النهج ذي الصلة: يجب إزالة الحسابات المهملة من اشتراكك).
الخطورة: عالية
يجب إزالة الحسابات المهملة مع أذونات المالك من الاشتراك الخاص بك
الوصف: يجب إزالة حسابات المستخدمين التي تم حظرها من تسجيل الدخول من اشتراكاتك. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (النهج ذي الصلة: يجب إزالة الحسابات المهملة التي لها أذونات المالك من اشتراكك).
الخطورة: عالية
يجب تمكين سجلات التشخيص في Key Vault
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في Key Vault).
الخطورة: منخفض
يجب إزالة الحسابات الخارجية التي لديها أذونات الكتابة من الاشتراك الخاص بك
الوصف: يجب إزالة الحسابات التي لها أذونات المالك التي لها أسماء مجالات مختلفة (حسابات خارجية)، من اشتراكك. وهذا يمنع الوصول غير الخاضع للمراقبة. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (النهج ذي الصلة: يجب إزالة الحسابات الخارجية التي لها أذونات المالك من اشتراكك).
الخطورة: عالية
يجب إزالة الحسابات الخارجية التي لها أذونات قراءة من الاشتراك
الوصف: يجب إزالة الحسابات ذات أذونات القراءة التي لها أسماء مجالات مختلفة (حسابات خارجية) من اشتراكك. وهذا يمنع الوصول غير الخاضع للمراقبة. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (النهج ذي الصلة: يجب إزالة الحسابات الخارجية التي لها أذونات قراءة من اشتراكك).
الخطورة: عالية
يجب إزالة الحسابات الخارجية التي لها امتيازات كتابة من الاشتراكات
الوصف: يجب إزالة الحسابات ذات أذونات الكتابة التي لها أسماء مجالات مختلفة (حسابات خارجية) من اشتراكك. وهذا يمنع الوصول غير الخاضع للمراقبة. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (النهج ذي الصلة: يجب إزالة الحسابات الخارجية التي لها أذونات الكتابة من اشتراكك).
الخطورة: عالية
يجب تمكين جدار الحماية على Key Vault
الوصف: يمنع جدار حماية Key vault نسبة استخدام الشبكة غير المصرح بها من الوصول إلى مخزن المفاتيح الخاص بك ويوفر طبقة إضافية من الحماية للأسرار الخاصة بك. تمكين جدار الحماية للتأكد من أن نسبة استخدام الشبكة من الشبكات المسموح بها فقط يمكنها الوصول إلى مخزن المفاتيح الخاص بك. (النهج ذي الصلة: يجب تمكين جدار الحماية على Key Vault).
الخطورة: متوسط
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure
الوصف: يجب إزالة الحسابات التي لها أذونات المالك التي تم توفيرها خارج مستأجر Azure Active Directory (أسماء مجالات مختلفة)، من موارد Azure. لا تتم إدارة حسابات الضيوف بنفس معايير هويات مستأجر المؤسسة. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure
الوصف: يجب إزالة الحسابات ذات أذونات القراءة التي تم توفيرها خارج مستأجر Azure Active Directory (أسماء مجالات مختلفة)، من موارد Azure. لا تتم إدارة حسابات الضيوف بنفس معايير هويات مستأجر المؤسسة. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure
الوصف: يجب إزالة الحسابات ذات أذونات الكتابة التي تم توفيرها خارج مستأجر Azure Active Directory (أسماء مجالات مختلفة)، من موارد Azure. لا تتم إدارة حسابات الضيوف بنفس معايير هويات مستأجر المؤسسة. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية
الوصف: يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. (النهج ذي الصلة: يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية).
الخطورة: عالية
يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية
الوصف: يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. (النهج ذي الصلة: يجب أن يكون لبيانات Key Vault السرية تاريخ انتهاء صلاحية).
الخطورة: عالية
يجب تمكين الحماية من المسح في Key vaults
الوصف: يمكن أن يؤدي الحذف الضار لمخزن المفاتيح إلى فقدان البيانات بشكل دائم. يمكن للمطلع الخبيث في مؤسستك حذف خزائن المفاتيح وتطهيرها. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. (النهج ذي الصلة: يجب تمكين الحماية من التطهير في خزائن المفاتيح).
الخطورة: متوسط
يجب تمكين الحذف المبدئي في Key vaults
الوصف: يؤدي حذف مخزن مفاتيح دون تمكين الحذف المبدئي إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في خزنة المفاتيح نهائيا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. (النهج ذي الصلة: يجب تمكين الحذف المبدئي لخزائن المفاتيح).
الخطورة: عالية
يجب تمكين مصادقة متعددة العوامل (MFA) على الحسابات التي لها أذونات المالك على الاشتراكات
الوصف: يجب تمكين المصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لها أذونات المالك لمنع خرق الحسابات أو الموارد. (النهج ذي الصلة: يجب تمكين المصادقة متعددة العوامل على الحسابات التي لها أذونات المالك على اشتراكك).
الخطورة: عالية
يجب تمكين مصادقة متعددة العوامل (MFA) على الحسابات التي لها أذونات قراءة على الاشتراك
الوصف: يجب تمكين المصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك مع امتيازات القراءة لمنع خرق الحسابات أو الموارد. (النهج ذي الصلة: يجب تمكين المصادقة متعددة العوامل على الحسابات التي لها أذونات قراءة على اشتراكك).
الخطورة: عالية
يجب تمكين مصادقة متعددة العوامل (MFA) على الحسابات ذات أذونات الكتابة على الاشتراكات الخاصة بك
الوصف: يجب تمكين المصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك مع امتيازات الكتابة لمنع خرق الحسابات أو الموارد. (النهج ذي الصلة: يجب تمكين مصادقة متعددة العوامل (MFA) مع أذونات الكتابة على اشتراكك).
الخطورة: عالية
يجب تمكين Azure Defender لـ Key Vault
الوصف: يتضمن Microsoft Defender for Cloud Microsoft Defender for Key Vault، ما يوفر طبقة إضافية من التحليل الذكي للأمان. يكتشف Microsoft Defender for Key Vault محاولات غير عادية ويحتمل أن تكون ضارة للوصول إلى حسابات Key Vault أو استغلالها. مهم: يتم فرض رسوم على الحماية من هذه الخطة كما هو موضح في صفحة خطط Defender. إذا لم يكن لديك أي مخازن مفاتيح في هذا الاشتراك، فلن يتم تحصيل رسوم منك. إذا قمت لاحقًا بإنشاء خزائن مفاتيح على هذا الاشتراك، فستتم حمايتها تلقائيًا وستبدأ الرسوم. تعرف على تفاصيل الأسعار لكل منطقة. تعرف على المزيد في مقدمة Azure Defender لـKey Vault. (النهج ذي الصلة: يجب تمكين Azure Defender for Key Vault).
الخطورة: عالية
يجب تكوين نقطة النهاية الخاصة لـ Key Vault
الوصف: يوفر الارتباط الخاص طريقة لتوصيل Key Vault بموارد Azure دون إرسال حركة المرور عبر الإنترنت العام. يوفر الارتباط الخاص حماية دفاعية في العمق ضد تسرب البيانات. (النهج ذي الصلة: يجب تكوين نقطة النهاية الخاصة ل Key Vault).
الخطورة: متوسط
يجب عدم السماح بالوصول العام إلى حساب التخزين
الوصف: الوصول العام المجهول للقراءة إلى الحاويات والكائنات الثنائية كبيرة الحجم في Azure Storage هو طريقة ملائمة لمشاركة البيانات، ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. (النهج ذي الصلة: يجب عدم السماح بالوصول العام لحساب التخزين).
الخطورة: متوسط
يجب تعيين أكثر من مالك واحد في الاشتراك
الوصف: قم بتعيين أكثر من مالك اشتراك واحد من أجل الحصول على تكرار وصول المسؤول. (النهج ذي الصلة: يجب أن يكون هناك أكثر من مالك واحد معين لاشتراكك).
الخطورة: عالية
يجب ألا تتجاوز فترة صلاحية الشهادات المخزنة في Azure Key Vault 12 شهرا
الوصف: تأكد من عدم وجود فترة صلاحية لشهاداتك تتجاوز 12 شهرا. (النهج ذي الصلة: يجب أن يكون للشهادات فترة صلاحية قصوى محددة).
الخطورة: متوسط
يجب أن يكون للهويات المفرطة في Azure الأذونات الضرورية فقط
الوصف: لا تستخدم الهويات مفرطة التزويد، أو الهويات المأذون بها، العديد من الأذونات الممنوحة لها. أذونات الحجم الصحيح بانتظام لهذه الهويات لتقليل مخاطر إساءة استخدام الأذونات، سواء كانت عرضية أو ضارة. يقلل هذا الإجراء من نصف قطر الانفجار المحتمل أثناء حادث أمني.
الخطورة: متوسط
يجب إزالة الهويات الفائقة في بيئة Azure
الوصف: الهوية الفائقة هي أي هوية بشرية أو هوية حمل العمل مثل المستخدمين وكيانات الخدمة والوظائف بلا خادم التي لديها أذونات المسؤول ويمكنها تنفيذ أي إجراء على أي مورد عبر البنية الأساسية. الهويات الفائقة هي مخاطر عالية للغاية، حيث يمكن أن تؤدي إساءة استخدام أي أذونات ضارة أو عرضية إلى تعطيل الخدمة الكارثية أو تدهور الخدمة أو تسرب البيانات. تشكل الهويات الفائقة تهديدا كبيرا للبنية الأساسية السحابية. يمكن أن يخلق عدد كبير جدا من الهويات الفائقة مخاطر مفرطة ويزيد من نصف قطر الانفجار أثناء الاختراق.
الخطورة: متوسط
يجب إبطال أذونات الهويات غير النشطة في اشتراك Azure
الوصف: اكتشف Microsoft Defender for Cloud هوية لم تنفذ أي إجراء على أي مورد ضمن اشتراك Azure في الأيام ال 45 الماضية. من المستحسن إبطال أذونات الهويات غير النشطة، من أجل تقليل سطح الهجوم لبيئة السحابة الخاصة بك.
الخطورة: متوسط
توصيات IoT
يجب رفض نهج تصفية IP الافتراضي
الوصف: يجب أن يحتوي تكوين عامل تصفية IP على قواعد محددة لنسبة استخدام الشبكة المسموح بها ويجب أن يرفض كل حركة المرور الأخرى بشكل افتراضي (لا يوجد نهج ذي صلة).
الخطورة: متوسط
يجب تمكين سجلات التشخيص في مركز الأحداث
الوصف: تمكين السجلات والاحتفاظ بها لمدة تصل إلى عام. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند حدوث حادث أمني أو اختراق الشبكة. (النهج ذي الصلة: يجب تمكين سجلات التشخيص في IoT Hub).
الخطورة: منخفض
بيانات اعتماد المصادقة المتطابقة
الوصف: بيانات اعتماد المصادقة المتطابقة ل IoT Hub المستخدمة من قبل أجهزة متعددة. قد يشير هذا إلى جهاز غير الشرعي ينتحل جهاز شرعي. كما أنه يكشف عن خطر انتحال هوية الجهاز من قبل مهاجم (لا توجد سياسة ذات صلة).
الخطورة: عالية
نطاق بروتوكول إنترنت كبير لقاعدة عامل تصفية بروتوكول إنترنت
الوصف: نطاق IP المصدر لقاعدة السماح بعامل تصفية IP كبير جدا. قد تعرض القواعد المتساهلة بشكل مفرط مركز IoT الخاص بك للمعتزمين الضارين (لا توجد سياسة ذات صلة).
الخطورة: متوسط
توصيات الشبكات
يجب تقييد الوصول إلى حسابات التخزين باستخدام جدار الحماية وتكوينات الشبكة الظاهرية
الوصف: راجع إعدادات الوصول إلى الشبكة في إعدادات جدار حماية حساب التخزين. نوصي بتكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بإجراء اتصالات من عملاء محددين من الإنترنت أو عملاء محليين، يمكن منح الوصول لنقل البيانات من شبكات Azure الظاهرية المحددة، أو الوصول إلى نطاقات عناوين IP العامة للإنترنت. (النهج ذي الصلة: يجب أن تقيد حسابات التخزين الوصول إلى الشبكة).
الخطورة: منخفض
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت
الوصف: قام Defender for Cloud بتحليل أنماط اتصال حركة مرور الإنترنت للأجهزة الظاهرية المذكورة أدناه، وحدد أن القواعد الموجودة في مجموعات أمان الشبكة المرتبطة بها متساهلة بشكل مفرط، ما أدى إلى زيادة سطح الهجوم المحتمل. يحدث هذا عادة عندما لا يتصل عنوان IP هذا بشكل منتظم مع هذا المورد. بدلًا من ذلك، تم وضع علامة على عنوان IP على أنه ضار بواسطة مصادر التحليل الذكي للمخاطر في Defender for Cloud. لمعرفة المزيد، راجع تحسين وضع أمان الشبكة مع تصلب الشبكة التكيفية. (النهج ذي الصلة: يجب تطبيق توصيات تقوية الشبكة التكيفية على الأجهزة الظاهرية التي تواجه الإنترنت).
الخطورة: عالية
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري
الوصف: حدد Defender for Cloud بعض القواعد الواردة لمجموعات أمان الشبكة بحيث تكون متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. (النهج ذي الصلة: يجب تقييد جميع منافذ الشبكة على مجموعات أمان الشبكة المقترنة بجهازك الظاهري).
الخطورة: عالية
يجب تمكين معيار Azure DDOS Protection
الوصف: اكتشف Defender for Cloud شبكات ظاهرية مع موارد Application Gateway غير محمية بواسطة خدمة حماية DDoS. تحتوي هذه الموارد على عناوين IP عامة. تمكين التخفيف من هجمات حجم الشبكة والبروتوكول. (النهج ذي الصلة: يجب تمكين Azure DDoS Protection Standard).
الخطورة: متوسط
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة
الوصف: حماية الجهاز الظاهري من التهديدات المحتملة عن طريق تقييد الوصول إليه باستخدام مجموعة أمان الشبكة (NSG). وتحتوي مجموعات أمان الشبكة على قائمة بقواعد قائمة التحكم بالوصول (ACL) التي تسمح بنقل بيانات الشبكة أو ترفضها إلى الجهاز الظاهري من مثيلات أخرى داخل أو خارج الشبكة الفرعية نفسها. للحفاظ على أمان جهازك قدر الإمكان، يجب تقييد وصول الجهاز الظاهري إلى الإنترنت ويجب تمكين NSG على الشبكة الفرعية. الأجهزة الظاهرية ذات الخطورة "العالية" هي أجهزة ظاهرية مواجهة للإنترنت. (النهج ذي الصلة: يجب حماية الأجهزة الظاهرية التي تواجه الإنترنت باستخدام مجموعات أمان الشبكة).
الخطورة: عالية
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري
الوصف: اكتشف Defender for Cloud أن إعادة توجيه IP ممكنة على بعض الأجهزة الظاهرية. يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. (النهج ذي الصلة: يجب تعطيل إعادة توجيه IP على جهازك الظاهري).
الخطورة: متوسط
يجب إغلاق منافذ الأجهزة التي قد تعرض ناقلات الهجوم
الوصف: تحظر شروط استخدام Azure استخدام خدمات Azure بطرق يمكن أن تلحق الضرر بأي خادم أو شبكة Microsoft أو تعطيلها أو ثقلها أو تضعفها. تسرد هذه التوصية المنافذ المكشوفة التي تحتاج إلى إغلاق للأمان المستمر. كما يوضح التهديد المحتمل لكل منفذ. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد
الوصف: حدد Defender for Cloud بعض القواعد الواردة المتساهلة للغاية لمنافذ الإدارة في مجموعة أمان الشبكة. تمكين التحكم في الوصول في الوقت المناسب لحماية جهازك الظاهري من هجمات القوة الغاشمة المستندة إلى الإنترنت. تعرف على المزيد في فهم الوصول إلى الجهاز الظاهري في الوقت المناسب (JIT). (النهج ذي الصلة: يجب حماية منافذ إدارة الأجهزة الظاهرية بالتحكم في الوصول إلى الشبكة في الوقت المناسب).
الخطورة: عالية
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية
الوصف: تعرض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري إلى مستوى عال من المخاطر من الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. (النهج ذي الصلة: يجب إغلاق منافذ الإدارة على أجهزتك الظاهرية).
الخطورة: متوسط
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة
الوصف: حماية جهازك الظاهري غير المواجه للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول إليه باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكة على قائمة بقواعد قائمة التحكم بالوصول (ACL) التي تسمح أو ترفض حركة مرور الشبكة إلى الجهاز الظاهري الخاص بك من مثيلات أخرى، سواء كانت على نفس الشبكة الفرعية أم لا. لاحظ أنه للحفاظ على أمان جهازك قدر الإمكان، يجب تقييد وصول الجهاز الظاهري إلى الإنترنت ويجب تمكين NSG على الشبكة الفرعية. (النهج ذي الصلة: يجب حماية الأجهزة الظاهرية غير المواجهة للإنترنت مع مجموعات أمان الشبكة).
الخطورة: منخفض
يجب تمكين النقل الآمن إلى حسابات التخزين
الوصف: النقل الآمن هو خيار يفرض على حساب التخزين قبول الطلبات فقط من الاتصالات الآمنة (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة. (النهج ذي الصلة: يجب تمكين النقل الآمن إلى حسابات التخزين).
الخطورة: عالية
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة
الوصف: حماية شبكتك الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. عند إقران NSG بشبكة فرعية، تنطبق قواعد ACL على جميع مثيلات الجهاز الظاهري والخدمات المتكاملة في تلك الشبكة الفرعية، ولكن لا تنطبق على حركة المرور الداخلية داخل الشبكة الفرعية. لتأمين الموارد في نفس الشبكة الفرعية من بعضها البعض، قم بتمكين NSG مباشرة على الموارد أيضًا. لاحظ أنه سيتم سرد أنواع الشبكات الفرعية التالية على أنها غير قابلة للتطبيق: GatewaySubnet وAzureFirewallSubnet وAzureBastionSubnet. (النهج ذي الصلة: يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان الشبكة).
الخطورة: منخفض
يجب حماية الشبكات الظاهرية بواسطة Azure Firewall
الوصف: بعض الشبكات الظاهرية غير محمية بجدار حماية. استخدم Azure Firewall لتقييد الوصول إلى الشبكات الظاهرية ومنع التهديدات المحتملة. (النهج ذي الصلة: يجب توجيه جميع حركة مرور الإنترنت عبر Azure Firewall المنشور).
الخطورة: منخفض
توصيات واجهة برمجة التطبيقات
يجب تمكين Azure Defender لواجهة برمجة التطبيقات
الوصف والنهج ذي الصلة: تمكين خطة Defender لواجهات برمجة التطبيقات لاكتشاف موارد واجهة برمجة التطبيقات وحمايتها من الهجمات والتكوينات الخاطئة للأمان. معرفة المزيد
الخطورة: عالية
يجب إلحاق واجهات برمجة تطبيقات Azure API Management ب Defender لواجهات برمجة التطبيقات
الوصف والنهج ذي الصلة: يتطلب إلحاق واجهات برمجة التطبيقات إلى Defender لواجهات برمجة التطبيقات استخدام الحوسبة والذاكرة على خدمة إدارة واجهة برمجة تطبيقات Azure. مراقبة أداء خدمة Azure API Management أثناء إلحاق واجهات برمجة التطبيقات وتوسيع نطاق موارد Azure API Management حسب الحاجة.
الخطورة: عالية
يجب تعطيل نقاط نهاية واجهة برمجة التطبيقات غير المستخدمة وإزالتها من خدمة Azure API Management
الوصف والنهج ذي الصلة: كأفضل ممارسة أمان، تعتبر نقاط نهاية واجهة برمجة التطبيقات التي لم تتلق نسبة استخدام الشبكة لمدة 30 يوما غير مستخدمة، ويجب إزالتها من خدمة إدارة واجهة برمجة تطبيقات Azure. قد يشكل الاحتفاظ بنقاط نهاية واجهة برمجة التطبيقات غير المستخدمة خطرا أمنيا. قد تكون هذه واجهات برمجة التطبيقات التي كان يجب إهمالها من خدمة Azure API Management، ولكن تم تركها نشطة عن طريق الخطأ. لا تتلقى واجهات برمجة التطبيقات هذه عادة أحدث تغطية أمنية.
الخطورة: منخفض
يجب مصادقة نقاط نهاية واجهة برمجة التطبيقات في Azure API Management
الوصف والنهج ذي الصلة: يجب أن تفرض نقاط نهاية واجهة برمجة التطبيقات المنشورة داخل Azure API Management المصادقة للمساعدة في تقليل مخاطر الأمان. يتم أحيانا تنفيذ آليات المصادقة بشكل غير صحيح أو مفقودة. يسمح هذا للمهاجمين باستغلال عيوب التنفيذ والوصول إلى البيانات. بالنسبة لواجهات برمجة التطبيقات المنشورة في Azure API Management، تقيم هذه التوصية المصادقة من خلال التحقق من وجود مفاتيح اشتراك Azure API Management لواجهات برمجة التطبيقات أو المنتجات التي يكون الاشتراك فيها مطلوبا، وتنفيذ نهج التحقق من صحة JWT وشهادات العميل ورموز Microsoft Entra المميزة. إذا لم يتم تنفيذ أي من آليات المصادقة هذه أثناء استدعاء واجهة برمجة التطبيقات، فستتلقى واجهة برمجة التطبيقات هذه التوصية.
الخطورة: عالية
توصيات إدارة واجهة برمجة التطبيقات
يجب عدم تحديد نطاق اشتراكات APIM لجميع واجهات برمجة التطبيقات
الوصف والنهج ذي الصلة: يجب تحديد نطاق اشتراكات APIM لمنتج أو واجهة برمجة تطبيقات فردية بدلا من جميع واجهات برمجة التطبيقات، ما قد يؤدي إلى التعرض المفرط للبيانات.
الخطورة: متوسط
يجب ألا تتجاوز استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات خطة التحقق من صحة بصمة الإبهام أو الاسم
الوصف والنهج ذي الصلة: يجب أن تتحقق إدارة واجهة برمجة التطبيقات من صحة شهادة الخادم الخلفي لجميع استدعاءات واجهة برمجة التطبيقات. تمكين بصمة إبهام شهادة SSL والتحقق من صحة الاسم لتحسين أمان واجهة برمجة التطبيقات.
الخطورة: متوسط
يجب عدم تمكين نقطة نهاية الإدارة المباشرة لإدارة واجهة برمجة التطبيقات
الوصف والنهج ذي الصلة: تتجاوز واجهة برمجة تطبيقات REST للإدارة المباشرة في Azure API Management آليات التحكم في الوصول والتخويل والتقييد المستندة إلى دور Azure Resource Manager، مما يزيد من ثغرة الخدمة.
الخطورة: منخفض
يجب أن تستخدم واجهات برمجة تطبيقات API Management بروتوكولات مشفرة فقط
الوصف والنهج ذي الصلة: يجب أن تكون واجهات برمجة التطبيقات متاحة فقط من خلال بروتوكولات مشفرة، مثل HTTPS أو WSS. تجنب استخدام بروتوكولات غير آمنة، مثل HTTP أو WS لضمان أمان البيانات أثناء النقل.
الخطورة: عالية
يجب تخزين البيانات السرية لإدارة API المسماة في Azure Key Vault
الوصف والنهج ذي الصلة: القيم المسماة هي مجموعة من أزواج الأسماء والقيم في كل خدمة APIM. يمكن تخزين القيم السرية إما كنص مشفر في APIM (أسرار مخصصة) أو عن طريق الرجوع إلى الأسرار في Azure Key Vault. مرجع البيانات السرية المسماة من Azure Key Vault لتحسين أمان APIM والأسرار. يدعم Azure Key Vault إدارة الوصول متعدد المستويات ونهج تدوير البيانات السرية.
الخطورة: متوسط
يجب أن تعطل إدارة واجهة برمجة التطبيقات الوصول إلى الشبكة العامة إلى نقاط نهاية تكوين الخدمة
الوصف والنهج ذي الصلة: لتحسين أمان خدمات APIM، قم بتقييد الاتصال بنقاط نهاية تكوين الخدمة، مثل واجهة برمجة تطبيقات إدارة الوصول المباشر، أو نقطة نهاية إدارة تكوين Git، أو نقطة نهاية تكوين البوابات المستضافة ذاتيا.
الخطورة: متوسط
يجب تعيين إصدار واجهة برمجة التطبيقات للحد الأدنى من APIM إلى 2019-12-01 أو أحدث
الوصف والنهج ذي الصلة: لمنع مشاركة أسرار الخدمة مع مستخدمي القراءة فقط، يجب تعيين الحد الأدنى لإصدار واجهة برمجة التطبيقات إلى 2019-12-01 أو أعلى.
الخطورة: متوسط
يجب مصادقة استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات
الوصف والنهج ذي الصلة: يجب أن تستخدم الاستدعاءات من APIM إلى الخلفيات شكلا من أشكال المصادقة، سواء عبر الشهادات أو بيانات الاعتماد. لا تنطبق على خلفيات Service Fabric.
الخطورة: متوسط
توصيات الذكاء الاصطناعي
يجب تمكين سجلات الموارد في Azure التعلم الآلي Workspaces (معاينة)
الوصف والنهج ذي الصلة: تمكن سجلات الموارد من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق الشبكة.
الخطورة: متوسط
يجب أن تعطل مساحات عمل Azure التعلم الآلي الوصول إلى الشبكة العامة (معاينة)
الوصف والنهج ذي الصلة: يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال التأكد من عدم كشف مساحات عمل التعلم الآلي على الإنترنت العام. يمكنك التحكم في تعرض مساحات العمل الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. لمزيد من المعلومات، راجع تكوين نقطة نهاية خاصة لمساحة عمل Azure التعلم الآلي.
الخطورة: متوسط
يجب أن تكون حسابات Azure التعلم الآلي في شبكة ظاهرية (معاينة)
الوصف والنهج ذي الصلة: توفر شبكات Azure الظاهرية أمانا وعزلا محسنين لمجموعات ومثيلات حوسبة Azure التعلم الآلي، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. عند تكوين حساب مع شبكة ظاهرية، فإنه لا يمكن معالجته بشكل عام ولا يمكن الوصول إليه إلا من الأجهزة والتطبيقات الظاهرية داخل الشبكة الظاهرية.
الخطورة: متوسط
يجب أن يكون لدى حسابات Azure التعلم الآلي أساليب مصادقة محلية معطلة (معاينة)
الوصف والنهج ذي الصلة: يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن التعلم الآلي الحسابات تتطلب هويات Azure Active Directory حصريا للمصادقة. لمزيد من المعلومات، راجع ضوابط التوافق التنظيمي لنهج Azure ل Azure التعلم الآلي.
الخطورة: متوسط
يجب إعادة إنشاء مثيلات حساب Azure التعلم الآلي للحصول على آخر تحديثات البرامج (معاينة)
الوصف والنهج ذي الصلة: تأكد من تشغيل مثيلات حساب Azure التعلم الآلي على أحدث نظام تشغيل متوفر. يتم تحسين الأمان وتقليل الثغرات الأمنية عن طريق التشغيل باستخدام أحدث تصحيحات الأمان. لمزيد من المعلومات، راجع إدارة الثغرات الأمنية ل Azure التعلم الآلي.
الخطورة: متوسط
يجب تمكين سجلات الموارد في مساحات عمل Azure Databricks (معاينة)
الوصف والنهج ذي الصلة: تمكن سجلات الموارد من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق الشبكة.
الخطورة: متوسط
يجب أن تعطل مساحات عمل Azure Databricks الوصول إلى الشبكة العامة (معاينة)
الوصف والنهج ذي الصلة: يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف المورد على الإنترنت العام. يمكنك التحكم في تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. لمزيد من المعلومات، راجع تمكين Azure Private Link.
الخطورة: متوسط
يجب أن تعطل مجموعات Azure Databricks IP العام (معاينة)
الوصف والنهج ذي الصلة: يؤدي تعطيل IP العام للمجموعات في مساحات عمل Azure Databricks إلى تحسين الأمان من خلال ضمان عدم كشف المجموعات على الإنترنت العام. لمزيد من المعلومات، راجع اتصال نظام المجموعة الآمن.
الخطورة: متوسط
يجب أن تكون مساحات عمل Azure Databricks في شبكة ظاهرية (معاينة)
الوصف والنهج ذي الصلة: توفر شبكات Azure الظاهرية أمانا وعزلا محسنين لمساحات عمل Azure Databricks، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. لمزيد من المعلومات، راجع نشر Azure Databricks في شبكة Azure الظاهرية.
الخطورة: متوسط
يجب أن تستخدم مساحات عمل Azure Databricks رابطا خاصا (معاينة)
الوصف والنهج ذي الصلة: يتيح لك Azure Private Link توصيل الشبكات الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مساحات عمل Azure Databricks، يمكنك تقليل مخاطر تسرب البيانات. لمزيد من المعلومات، راجع إنشاء مساحة العمل ونقاط النهاية الخاصة في واجهة مستخدم مدخل Microsoft Azure.
الخطورة: متوسط
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة
الوصف: من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى مورد خدمة Azure الذكاء الاصطناعي.
الخطورة: متوسط
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية)
الوصف: يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. اعرف المزيد.
الخطورة: متوسط
يجب تمكين سجلات التشخيص في موارد خدمات Azure الذكاء الاصطناعي
الوصف: تمكين السجلات لموارد خدمات Azure الذكاء الاصطناعي. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق، عند حدوث حادث أمان أو اختراق شبكتك.
الخطورة: منخفض
توصيات مهملة
يجب تقييد الوصول إلى App Services
الوصف والنهج ذي الصلة: تقييد الوصول إلى خدمات التطبيقات الخاصة بك عن طريق تغيير تكوين الشبكة، لرفض نسبة استخدام الشبكة الواردة من نطاقات واسعة جدا. (النهج المرتبط: [معاينة]: يجب تقييد الوصول إلى خدمات التطبيقات).
الخطورة: عالية
قواعد تطبيقات الويب على IaaS NSGs يجب أن تكون أكثر صلابة
الوصف والسياسة ذات الصلة: تقوية مجموعة أمان الشبكة (NSG) للأجهزة الظاهرية التي تقوم بتشغيل تطبيقات الويب، مع قواعد NSG المتساهلة بشكل مفرط فيما يتعلق بمنافذ تطبيق الويب. (النهج ذي الصلة: يجب تقوية قواعد مجموعات أمان الشبكة لتطبيقات الويب على IaaS).
الخطورة: عالية
يجب تعريف نهج أمان Pod لتقليل متجه الهجوم عن طريق إزالة امتيازات التطبيق غير الضرورية (معاينة)
الوصف والنهج ذات الصلة: حدد نهج أمان Pod لتقليل متجه الهجوم عن طريق إزالة امتيازات التطبيق غير الضرورية. يوصى بتكوين نهج أمان الجراب بحيث يمكن للجرابات الوصول إلى الموارد التي يسمح لها بالوصول إليها فقط. (النهج ذي الصلة: [معاينة]: يجب تعريف نهج أمان Pod على خدمات Kubernetes).
الخطورة: متوسط
تثبيت Azure Security Center لوحدة أمان IoT للحصول على مزيد من الرؤية في أجهزة IoT
الوصف والنهج ذي الصلة: قم بتثبيت Azure Security Center لوحدة أمان IoT للحصول على مزيد من الرؤية في أجهزة IoT الخاصة بك.
الخطورة: منخفض
تجب إعادة تشغيل أجهزتك لتطبيق تحديثات النظام
الوصف والنهج ذي الصلة: أعد تشغيل أجهزتك لتطبيق تحديثات النظام وتأمين الجهاز من الثغرات الأمنية. (النهج ذي الصلة: يجب تثبيت تحديثات النظام على أجهزتك).
الخطورة: متوسط
يجب تثبيت عامل المراقبة على أجهزتك
الوصف والنهج ذي الصلة: يقوم هذا الإجراء بتثبيت عامل مراقبة على الأجهزة الظاهرية المحددة. حدد مساحة عمل للعامل للإبلاغ إليها. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تحديث Java إلى أحدث إصدار لتطبيقات الويب
الوصف والسياسة ذات الصلة: يتم إصدار إصدارات أحدث لبرنامج Java بشكل دوري إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. ينصح باستخدام أحدث إصدار Java لتطبيقات ويب للاستفادة من إصلاحات الأمان، إن وجدت، و/ أو وظائف جديدة من أحدث إصدار. (النهج المرتبط: تأكد من أن "إصدار Java" هو الأحدث، إذا تم استخدامه كجزء من تطبيق الويب).
الخطورة: متوسط
يجب تحديث Python إلى أحدث إصدار لتطبيقات الوظائف
الوصف والنهج ذي الصلة: يتم إصدار إصدارات أحدث لبرنامج Python بشكل دوري إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. ينصح باستخدام أحدث إصدار Python لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/ أو وظائف جديدة من أحدث إصدار. (النهج ذي الصلة: تأكد من أن "إصدار Python" هو الأحدث، إذا تم استخدامه كجزء من تطبيق الوظائف).
الخطورة: متوسط
يجب تحديث Python إلى أحدث إصدار لتطبيقات الويب
الوصف والنهج ذي الصلة: يتم إصدار إصدارات أحدث لبرنامج Python بشكل دوري إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. ينصح باستخدام أحدث إصدار Python لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/ أو وظائف جديدة من أحدث إصدار. (النهج ذي الصلة: تأكد من أن "إصدار Python" هو الأحدث، إذا تم استخدامه كجزء من تطبيق الويب).
الخطورة: متوسط
يجب تحديث Java إلى أحدث إصدار لتطبيقات الوظائف
الوصف والسياسة ذات الصلة: يتم إصدار إصدارات أحدث لبرنامج Java بشكل دوري إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. ينصح باستخدام أحدث إصدار Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/ أو وظائف جديدة من أحدث إصدار. (النهج المرتبط: تأكد من أن "إصدار Java" هو الأحدث، إذا تم استخدامه كجزء من تطبيق الوظائف).
الخطورة: متوسط
يجب تحديث PHP إلى أحدث إصدار لتطبيقات الويب
الوصف والسياسة ذات الصلة: يتم إصدار إصدارات أحدث لبرنامج PHP بشكل دوري إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. (النهج ذي الصلة: تأكد من أن "إصدار PHP" هو الأحدث، إذا تم استخدامه كجزء من تطبيق الويب).
الخطورة: متوسط
يجب حل مشكلات حماية نقطة النهاية على الأجهزة
الوصف: حل مشكلات حماية نقطة النهاية على أجهزتك الظاهرية لحمايتهم من أحدث التهديدات والثغرات الأمنية. راجع وثائق حلول حماية نقطة النهاية التي يدعمها Defender for Cloudوتقييمات حماية نقطة النهاية. (لا توجد سياسة ذات صلة)
الخطورة: متوسط
يجب تثبيت حماية نقطة النهاية على الأجهزة
الوصف: لحماية الأجهزة من التهديدات والثغرات الأمنية، قم بتثبيت حل حماية نقطة النهاية المدعوم. تعرف على المزيد حول كيفية تقييم حماية نقطة النهاية للأجهزة في تقييم حماية نقطة النهاية والتوصيات في Microsoft Defender for Cloud. (لا توجد سياسة ذات صلة)
الخطورة: عالية
يجب تعطيل الوصول إلى الشبكة العامة لحسابات الخدمات المعرفية
الوصف: يدقق هذا النهج أي حساب الخدمات المعرفية في بيئتك مع تمكين الوصول إلى الشبكة العامة. يجب تعطيل الوصول إلى الشبكة العامة بحيث يسمح بالاتصالات من نقاط النهاية الخاصة فقط. (النهج ذي الصلة: يجب تعطيل الوصول إلى الشبكة العامة لحسابات الخدمات المعرفية).
الخطورة: متوسط
المحتوى ذو الصلة
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ