Doporučení k zabezpečení – Referenční příručka

Tento článek uvádí doporučení, která se můžou zobrazit v programu Microsoft Defender for Cloud. Doporučení zobrazená ve vašem prostředí závisí na prostředcích, které chráníte, a na přizpůsobené konfiguraci.

Doporučení defenderu pro cloud jsou založená na srovnávacím testu zabezpečení Azure. Srovnávací test zabezpečení Azure je sada pokynů specifických pro Microsoft, která je specifická pro zabezpečení a dodržování předpisů na základě běžných architektur dodržování předpisů. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů z Centra pro zabezpečení internetu (CIS) a national Institute of Standards and Technology (NIST) se zaměřením na zabezpečení zaměřeném na cloud.

Informace o tom, jak na tato doporučení reagovat, najdete v tématu Náprava doporučení v programu Defender for Cloud.

Vaše bezpečnostní skóre vychází z počtu doporučení zabezpečení, která jste dokončili. Pokud se chcete rozhodnout, která doporučení se mají nejprve vyřešit, podívejte se na závažnost každého z nich a jeho potenciální dopad na vaše bezpečnostní skóre.

Tip

Pokud popis doporučení říká "Žádná související zásada", obvykle je to proto, že toto doporučení závisí na jiném doporučení a jeho zásadách. Například doporučení "Chyby stavu služby Endpoint Protection by se měly napravit...", spoléhá na doporučení, které kontroluje, jestli je řešení ochrany koncových bodů ještě nainstalované ("Řešení Endpoint Protection by mělo být nainstalováno ..."). Základní doporučení zásadu. Omezení zásad pouze na základní doporučení zjednodušuje správu zásad.

Doporučení služby AppServices

V této kategorii je 31 doporučení.

Doporučení Description Závažnost
Aplikace API by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy.
(Související zásady: Aplikace API by měla být přístupná jenom přes HTTPS)
Střední
CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k aplikacím API Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace API. Povolte interakci s vaší aplikací API jenom u požadovaných domén.
(Související zásady: CORS by neměl umožňovat přístup ke každé aplikaci API všem prostředkům)
Nízká
CORS by neměl umožnit každému prostředku přístup k aplikacím funkcí Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách.
(Související zásady: CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k vašim aplikacím funkcí)
Nízká
CORS by neměl umožňovat přístup ke webovým aplikacím všem prostředkům Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší webové aplikace. Povolte interakci s vaší webovou aplikací jenom požadovanými doménami.
(Související zásady: CORS by neměl umožňovat přístup ke svým webovým aplikacím všem prostředkům)
Nízká
Diagnostické protokoly v App Service by měly být povolené. Audit povolení diagnostických protokolů v aplikaci
To vám umožní znovu vytvořit trasu aktivit pro účely šetření, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Žádné související zásady)
Střední
Ujistěte se, že aplikace API má klientské certifikáty příchozích klientských certifikátů nastavené na Zapnuto. Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát.
(Související zásady: Ujistěte se, že aplikace API má nastavené klientské certifikáty (příchozí klientské certifikáty) nastavené na Zapnuto.
Střední
Protokol FTPS by se měl vyžadovat v aplikacích API. Povolení vynucení FTPS pro rozšířené zabezpečení
(Související zásady: Protokol FTPS by měl být vyžadován pouze ve vaší aplikaci API.
Vysoká
Protokol FTPS by měl být vyžadován v aplikacích funkcí. Povolení vynucení FTPS pro rozšířené zabezpečení
(Související zásady: Protokol FTPS by se měl vyžadovat jenom ve vaší aplikaci funkcí.
Vysoká
Protokol FTPS by měl být vyžadován ve webových aplikacích. Povolení vynucení FTPS pro rozšířené zabezpečení
(Související zásady: Ve webové aplikaci by se měla vyžadovat služba FTPS)
Vysoká
Aplikace funkcí by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy.
(Související zásady: Aplikace funkcí by měla být přístupná jenom přes HTTPS)
Střední
Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti s platnými certifikáty.
(Související zásady: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty)
Střední
Java by se měla aktualizovat na nejnovější verzi aplikací API. Pro Javu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí.
Pokud používáte nejnovější verzi Pythonu pro aplikace API, doporučujeme využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.
(Související zásady: Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást aplikace API).
Střední
Java by se měla aktualizovat na nejnovější verzi aplikací funkcí. Pravidelně se vydávají novější verze pro software Java buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí.
Pokud používáte nejnovější verzi Javy pro aplikace funkcí, doporučujeme využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.
(Související zásady: Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást aplikace funkcí).
Střední
Java by se měla aktualizovat na nejnovější verzi webových aplikací. Pravidelně se vydávají novější verze pro software Java buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí.
Pokud používáte nejnovější verzi Javy pro webové aplikace, doporučujeme využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.
(Související zásady: Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást webové aplikace).
Střední
Spravovaná identita by se měla používat v aplikacích API. Pro lepší zabezpečení ověřování použijte spravovanou identitu.
Spravované identity v Azure eliminují potřebu vývojářů spravovat přihlašovací údaje tím, že poskytují identitu prostředku Azure v Azure AD a používají je k získání tokenů Azure Active Directory (Azure AD).
(Související zásady: Spravovaná identita by se měla používat ve vaší aplikaci API)
Střední
Spravovaná identita by se měla používat v aplikacích funkcí. Pro lepší zabezpečení ověřování použijte spravovanou identitu.
Spravované identity v Azure eliminují potřebu vývojářů spravovat přihlašovací údaje tím, že poskytují identitu prostředku Azure v Azure AD a používají je k získání tokenů Azure Active Directory (Azure AD).
(Související zásady: Spravovaná identita by se měla používat ve vaší aplikaci funkcí)
Střední
Spravovaná identita by se měla používat ve webových aplikacích. Pro lepší zabezpečení ověřování použijte spravovanou identitu.
Spravované identity v Azure eliminují potřebu vývojářů spravovat přihlašovací údaje tím, že poskytují identitu prostředku Azure v Azure AD a používají je k získání tokenů Azure Active Directory (Azure AD).
(Související zásady: Spravovaná identita by se měla používat ve webové aplikaci)
Střední
Měl by být povolený Program Microsoft Defender pro App Service Microsoft Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků na webovou aplikaci.
Microsoft Defender for App Service může zjišťovat útoky na vaše aplikace a identifikovat vznikající útoky.

Důležité: Náprava tohoto doporučení způsobí poplatky za ochranu vašich plánů App Service. Pokud v tomto předplatném nemáte žádné plány App Service, nebudou vám účtovány žádné poplatky.
Pokud v budoucnu vytvoříte jakékoli plány App Service pro toto předplatné, budou automaticky chráněny a poplatky začnou v tuto chvíli.
Další informace najdete v článku Ochrana webových aplikací a rozhraní API.
(Související zásady: Azure Defender pro App Service by měl být povolený.
Vysoká
Php by se měl aktualizovat na nejnovější verzi pro aplikace API. Pravidelně se vydávají novější verze pro software PHP buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí.
Použití nejnovější verze PHP pro aplikace API se doporučuje využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.
(Související zásady: Ujistěte se, že verze PHP je nejnovější, pokud se používá jako součást aplikace API).
Střední
Php by se měl aktualizovat na nejnovější verzi webových aplikací. Pravidelně se vydávají novější verze pro software PHP buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí.
Pokud používáte nejnovější verzi PHP pro webové aplikace, doporučujeme využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.
(Související zásady: Ujistěte se, že verze PHP je nejnovější, pokud se používá jako součást webové aplikace).
Střední
Python by se měl aktualizovat na nejnovější verzi aplikací API. Pravidelně se vydávají novější verze pro software Python buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí.
Pokud používáte nejnovější verzi Pythonu pro aplikace API, doporučujeme využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.
(Související zásady: Ujistěte se, že verze Pythonu je nejnovější, pokud se používá jako součást aplikace API).
Střední
Python by se měl aktualizovat na nejnovější verzi aplikací funkcí. Pravidelně se vydávají novější verze pro software Python buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí.
Pokud používáte nejnovější verzi Pythonu pro aplikace funkcí, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.
(Související zásady: Ujistěte se, že je nejnovější verze Pythonu, pokud se používá jako součást aplikace funkcí).
Střední
Python by se měl aktualizovat na nejnovější verzi webových aplikací. Pravidelně se vydávají novější verze pro software Python buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí.
Pokud používáte nejnovější verzi Pythonu pro webové aplikace, doporučujeme využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze.
(Související zásady: Ujistěte se, že je nejnovější verze Pythonu, pokud se používá jako součást webové aplikace).
Střední
Vzdálené ladění by mělo být pro aplikaci API vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikaci API. Vzdálené ladění by mělo být vypnuté.
(Související zásady: Vzdálené ladění by mělo být pro API Apps vypnuté)
Nízká
Vzdálené ladění by mělo být pro aplikaci funkcí vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů v aplikaci Funkcí Azure. Vzdálené ladění by mělo být vypnuté.
(Související zásady: Vzdálené ladění by mělo být pro aplikace funkcí vypnuté)
Nízká
Vzdálené ladění by mělo být pro webové aplikace vypnuté. Vzdálené ladění vyžaduje otevření příchozích portů ve webové aplikaci. Vzdálené ladění je aktuálně povolené. Pokud už nepotřebujete používat vzdálené ladění, mělo by být vypnuté.
(Související zásady: Vzdálené ladění by mělo být pro webové aplikace vypnuté)
Nízká
Protokol TLS by se měl aktualizovat na nejnovější verzi aplikací API. Upgrade na nejnovější verzi protokolu TLS
(Související zásady: Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci API)
Vysoká
Protokol TLS by se měl aktualizovat na nejnovější verzi aplikací funkcí. Upgrade na nejnovější verzi protokolu TLS
(Související zásady: Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci funkcí)
Vysoká
Protokol TLS by se měl aktualizovat na nejnovější verzi webových aplikací. Upgrade na nejnovější verzi protokolu TLS
(Související zásady: Ve webové aplikaci by se měla používat nejnovější verze protokolu TLS)
Vysoká
Webová aplikace by měla být přístupná jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání síťové vrstvy.
(Související zásady: Webová aplikace by měla být přístupná jenom přes HTTPS)
Střední
Webové aplikace by měly požadovat certifikát SSL pro všechny příchozí požadavky. Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky.
Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát.
(Související zásady: Ujistěte se, že webová aplikace má nastavené klientské certifikáty (příchozí klientské certifikáty) nastavené na Zapnuto.
Střední

Doporučení pro výpočty

V této kategorii je 58 doporučení.

Doporučení Description Závažnost
Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. Povolte ovládací prvky aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Pro zjednodušení procesu konfigurace a údržby pravidel používá Defender for Cloud strojové učení k analýze aplikací spuštěných na každém počítači a návrh seznamu známých bezpečných aplikací.
(Související zásady: Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené.
Vysoká
Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací v programu Defender for Cloud. Defender for Cloud používá strojové učení k analýze spuštěných procesů na počítačích a návrh seznamu známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací.
(Související zásady: Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by měla být aktualizována).
Vysoká
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. I když samotný SSH poskytuje šifrované připojení, použití hesel s SSH stále ponechá virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace najdete v podrobných krocích: Vytvoření a správa klíčů SSH pro ověřování na virtuálním počítači s Linuxem v Azure.
(Související zásady: Audit počítačů s Linuxem, které nepoužívají klíč SSH pro ověřování)
Střední
Proměnné účtu Automation by měly být šifrované. Při ukládání citlivých dat je důležité povolit šifrování proměnných prostředků účtu Automation.
(Související zásady: Proměnné účtu Automation by měly být šifrované)
Vysoká
Pro virtuální počítače by se měla povolit služba Azure Backup Chraňte data na virtuálních počítačích Azure pomocí Azure Backup.
Azure Backup je řešení ochrany dat nativní pro Azure, které je nákladově efektivní.
Vytvoří body obnovení, které jsou uložené v geograficky redundantních trezorech obnovení.
Při obnovení z bodu obnovení můžete obnovit celý virtuální počítač nebo určité soubory.
(Související zásady: Azure Backup by měly být povolené pro Virtual Machines)
Nízká
Hostitelé kontejnerů by měli být bezpečně nakonfigurovaní. Opravte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem, abyste je ochránili před útoky.
(Související zásady: Chyby zabezpečení v konfiguracích zabezpečení kontejnerů by se měly napravit)
Vysoká
Diagnostické protokoly ve službě Azure Stream Analytics by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly ve službě Azure Stream Analytics by měly být povolené.
Nízká
Diagnostické protokoly v účtech Batch by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly v účtech Batch by měly být povolené.
Nízká
Diagnostické protokoly v centru událostí by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly v centru událostí by měly být povolené.
Nízká
Diagnostické protokoly ve službách Kubernetes by měly být povolené. Povolte diagnostické protokoly ve službách Kubernetes a zachovejte je až za rok. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení.
(Žádné související zásady)
Nízká
Diagnostické protokoly v Logic Apps by měly být povolené. Pokud chcete zajistit, abyste mohli znovu vytvořit trasu aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě, povolte protokolování. Pokud se diagnostické protokoly neodesílají do pracovního prostoru služby Log Analytics, účtu služby Azure Storage nebo centra událostí Azure, ujistěte se, že jste nakonfigurovali nastavení diagnostiky pro odesílání metrik platformy a protokolů platformy do příslušných cílů. Další informace najdete v části Vytvoření nastavení diagnostiky pro odesílání protokolů platformy a metrik do různých cílů.
(Související zásady: Diagnostické protokoly v Logic Apps by měly být povolené.
Nízká
Diagnostické protokoly ve vyhledávacích službách by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly ve vyhledávacích službách by měly být povolené.
Nízká
Diagnostické protokoly ve službě Service Bus by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly ve službě Service Bus by měly být povolené.
Nízká
Diagnostické protokoly v Virtual Machine Scale Sets by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly v Virtual Machine Scale Sets by měly být povolené.
Nízká
Měly by se vyřešit problémy se stavem služby Endpoint Protection na počítačích. Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Prohlédněte si dokumentaci k řešením ochrany koncových bodů podporovaných programem Defender for Cloud a posouzením ochrany koncových bodů.
(Žádné související zásady)
Střední
Měly by se vyřešit problémy se stavem služby Endpoint Protection na počítačích. V případě úplné ochrany v programu Defender for Cloud vyřešte problémy s agentem monitorování na počítačích podle pokynů v průvodci odstraňováním potíží.
(Související zásady: Monitorování chybějící služby Endpoint Protection v Azure Security Center)
Střední
Měly by se vyřešit problémy se stavem služby Endpoint Protection ve škálovacích sadách virtuálních počítačů. Náprava selhání stavu služby Endpoint Protection ve škálovacích sadách virtuálních počítačů za účelem jejich ochrany před hrozbami a ohroženími zabezpečení
(Související zásady: Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů)
Nízká
Ochrana koncových bodů by měla být nainstalovaná na počítačích. Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů.
Přečtěte si další informace o tom, jak se ochrana koncových bodů pro počítače vyhodnocuje v posouzení ochrany koncových bodů a doporučeních v programu Microsoft Defender for Cloud.
(Žádné související zásady)
Vysoká
Ochrana koncových bodů by měla být nainstalovaná na počítačích. Nainstalujte řešení endpoint Protection na počítače s Windows a Linuxem, abyste je ochránili před hrozbami a ohroženími zabezpečení.
(Žádné související zásady)
Střední
Ochrana koncových bodů by měla být nainstalovaná ve škálovacích sadách virtuálních počítačů Nainstalujte řešení endpoint Protection na škálovací sady virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení.
(Související zásady: Řešení Endpoint Protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů)
Vysoká
Na počítačích by mělo být povolené monitorování integrity souborů. Defender for Cloud identifikoval počítače, u které chybí řešení pro monitorování integrity souborů. Pokud chcete monitorovat změny důležitých souborů, klíčů registru a dalších na serverech, povolte monitorování integrity souborů.
Pokud je povolené řešení pro monitorování integrity souborů, vytvořte pravidla shromažďování dat, která definují soubory, které se mají monitorovat. Pokud chcete definovat pravidla nebo zobrazit soubory změněné na počítačích s existujícími pravidly, přejděte na stránku >správy monitorování integrity souborů.
(Žádné související zásady)
Vysoká
Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. Nainstalujte rozšíření Ověření identity hosta do podporovaných škálovacích sad virtuálních počítačů s Linuxem, aby Microsoft Defender for Cloud proaktivně otestuje a monitoruje integritu spouštění. Po instalaci se integrita spouštění otestuje prostřednictvím vzdáleného ověření identity. Toto posouzení se vztahuje pouze na škálovací sady virtuálních počítačů s Linuxem s povoleným důvěryhodným spuštěním.

Důležité:
Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
Nelze povolit důvěryhodné spuštění na existujících virtuálních počítačích, které byly původně vytvořeny bez něj.
Přečtěte si další informace o důvěryhodném spuštění virtuálních počítačů Azure.
(Žádné související zásady)
Nízká
Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované virtuální počítače s Linuxem. Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby Microsoft Defender for Cloud proaktivně otestuje a monitoruje integritu spouštění. Po instalaci se integrita spouštění otestuje prostřednictvím vzdáleného ověření identity. Toto posouzení se vztahuje pouze na virtuální počítače s Linuxem s povoleným důvěryhodným spuštěním.

Důležité:
Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
Nelze povolit důvěryhodné spuštění na existujících virtuálních počítačích, které byly původně vytvořeny bez něj.
Přečtěte si další informace o důvěryhodném spuštění virtuálních počítačů Azure.
(Žádné související zásady)
Nízká
Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Windows. Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují microsoft Defenderu pro cloud proaktivně testovat a monitorovat integritu spouštění. Po instalaci se integrita spouštění otestuje prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro škálovací sady virtuálních počítačů s povoleným důvěryhodným spuštěním.

Důležité:
Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
Nelze povolit důvěryhodné spuštění na existujících virtuálních počítačích, které byly původně vytvořeny bez něj.
Přečtěte si další informace o důvěryhodném spuštění virtuálních počítačů Azure.
(Žádné související zásady)
Nízká
Rozšíření Ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, abyste umožnili microsoft Defenderu pro cloud aktivně testovat a monitorovat integritu spouštění. Po instalaci se integrita spouštění otestuje prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním.

Důležité:
Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
Nelze povolit důvěryhodné spuštění na existujících virtuálních počítačích, které byly původně vytvořeny bez něj.
Přečtěte si další informace o důvěryhodném spuštění virtuálních počítačů Azure.
(Žádné související zásady)
Nízká
Rozšíření konfigurace hosta by mělo být nainstalované na počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení hosta počítače, nainstalujte rozšíření Konfigurace hosta. Mezi nastavení hosta, která monitoruje rozšíření, patří konfigurace operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou k dispozici zásady hosta, například Ochrana Windows Exploit Guard by měla být povolená. Přečtěte si další informace.
(Související zásady: Virtuální počítače by měly mít rozšíření Konfigurace hosta)
Střední
Instalace řešení endpoint Protection na virtuální počítače Nainstalujte na virtuální počítače řešení endpoint Protection, abyste je ochránili před hrozbami a ohroženími zabezpečení.
(Související zásady: Monitorování chybějící služby Endpoint Protection v Azure Security Center)
Vysoká
Virtuální počítače s Linuxem by měly vynutit ověření podpisu modulu jádra. Pokud chcete zmírnit riziko spuštění škodlivého nebo neoprávněného kódu v režimu jádra, vynucujte ověřování podpisu modulu jádra na podporovaných virtuálních počítačích s Linuxem. Ověření podpisu modulu jádra zajišťuje, že se budou moct spouštět jenom důvěryhodné moduly jádra. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor.
(Žádné související zásady)
Nízká
Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty. Při povoleném zabezpečeném spouštění musí být všechny součásti spouštění operačního systému (zavaděč spouštění, jádro, ovladače jádra) podepsané důvěryhodnými vydavateli. Defender for Cloud identifikoval nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty.
(Žádné související zásady)
Nízká
Virtuální počítače s Linuxem by měly používat zabezpečené spouštění Pokud chcete chránit před instalací rootkitů a spouštěcích sad založených na malwaru, povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Linuxem. Zabezpečené spouštění zajišťuje, aby běžely jenom podepsané operační systémy a ovladače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor.
(Žádné související zásady)
Nízká
Agent Log Analytics by měl být nainstalovaný na počítačích s podporou Azure Arc s Linuxem. Defender for Cloud používá agenta Log Analytics (označovaného také jako OMS) ke shromažďování událostí zabezpečení z počítačů Azure Arc. Pokud chcete agenta nasadit na všechny počítače Azure Arc, postupujte podle pokynů k nápravě.
(Žádné související zásady)
Vysoká
Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů. Defender for Cloud shromažďuje data z vašich virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. Data se shromažďují pomocí agenta Log Analytics, dříve označovaného jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru pro účely analýzy. Pokud vaše virtuální počítače používají spravovanou službu Azure, jako je Azure Kubernetes Service nebo Azure Service Fabric, musíte postupovat podle tohoto postupu. Automatické zřizování agenta pro škálovací sady virtuálních počítačů Azure nejde nakonfigurovat. Pokud chcete nasadit agenta do škálovacích sad virtuálních počítačů (včetně těch, které používají spravované služby Azure, jako jsou Azure Kubernetes Service a Azure Service Fabric), postupujte podle pokynů v nápravě.
(Související zásady: Agent Log Analytics by se měl nainstalovat do škálovacích sad virtuálních počítačů pro Azure Security Center monitorování).
Vysoká
Agent Log Analytics by měl být nainstalovaný na virtuálních počítačích. Defender for Cloud shromažďuje data z vašich virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. Data se shromažďují pomocí agenta Log Analytics, dříve označovaného jako Microsoft Monitoring Agent (MMA), který čte různé konfigurace a protokoly událostí souvisejících se zabezpečením z počítače a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Tento agent se vyžaduje také v případě, že vaše virtuální počítače používají spravovaná služba Azure, jako je Azure Kubernetes Service nebo Azure Service Fabric. Doporučujeme nakonfigurovat automatické zřizování pro automatické nasazení agenta. Pokud se rozhodnete nepoužívat automatické zřizování, nasaďte agenta na virtuální počítače ručně podle pokynů v postupu nápravy.
(Související zásady: Agent Log Analytics by se měl nainstalovat na virtuální počítač pro monitorování Azure Security Center)
Vysoká
Agent Log Analytics by měl být nainstalovaný na počítačích s podporou Azure Arc s Windows. Defender for Cloud používá agenta Log Analytics (označovaného také jako MMA) ke shromažďování událostí zabezpečení z počítačů Azure Arc. Pokud chcete agenta nasadit na všechny počítače Azure Arc, postupujte podle pokynů k nápravě.
(Žádné související zásady)
Vysoká
Počítače by se měly nakonfigurovat zabezpečeně Opravte ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích, abyste je ochránili před útoky.
(Související zásady: Chyby zabezpečení v konfiguraci zabezpečení na vašich počítačích by se měly napravit)
Nízká
Počítače by se měly restartovat, aby se použily aktualizace konfigurace zabezpečení. Pokud chcete použít aktualizace konfigurace zabezpečení a chránit před ohroženími zabezpečení, restartujte počítače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor.
(Žádné související zásady)
Nízká
Počítače by měly mít řešení pro hodnocení ohrožení zabezpečení. Defender for Cloud pravidelně kontroluje připojené počítače, aby zajistil, že používají nástroje pro posouzení ohrožení zabezpečení. Toto doporučení použijte k nasazení řešení posouzení ohrožení zabezpečení.
(Související zásady: Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení).
Střední
Počítače by měly mít vyřešená zjištění ohrožení zabezpečení. Vyřešte zjištění z řešení posouzení ohrožení zabezpečení na virtuálních počítačích.
(Související zásady: Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení).
Nízká
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Defender for Cloud identifikoval některá přesná pravidla příchozích přenosů pro porty pro správu ve vaší skupině zabezpečení sítě. Povolte řízení přístupu za běhu pro ochranu virtuálního počítače před internetovými útoky hrubou silou. Další informace najdete v článku Principy přístupu k virtuálním počítačům za běhu (JIT).
(Související zásady: Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu)
Vysoká
Měl by být povolený Program Microsoft Defender pro servery. Microsoft Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit.
Tyto informace můžete použít k rychlé nápravě problémů se zabezpečením a zlepšení zabezpečení serverů.

Důležité: Náprava tohoto doporučení způsobí poplatky za ochranu vašich serverů. Pokud nemáte v tomto předplatném žádné servery, nebudou vám účtovány žádné poplatky.
Pokud v budoucnu v tomto předplatném vytvoříte nějaké servery, budou automaticky chráněny a poplatky se začnou účtovat v tuto chvíli.
Další informace najdete v úvodu k programu Microsoft Defender pro servery.
(Související zásady: Azure Defender pro servery by měl být povolený)
Vysoká
V pracovních prostorech by měl být povolený Program Microsoft Defender pro servery. Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem.
S tímto plánem Defenderu jsou pro vaše předplatná povolená, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé z výhod.
Když povolíte Microsoft Defender pro servery v pracovním prostoru, budou se všem počítačům, které do daného pracovního prostoru hlásí, fakturovat za servery Microsoft Defender – i když jsou v předplatných bez povolených plánů Defenderu. Pokud v předplatném také nepovolíte Microsoft Defender pro servery, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure.
Další informace najdete v úvodu k programu Microsoft Defender pro servery.
(Žádné související zásady)
Střední
Řešení spuštěných imagí kontejnerů by mělo mít vyřešené zjištění ohrožení zabezpečení. Posouzení ohrožení zabezpečení image kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes kvůli ohrožením zabezpečení a zveřejňuje podrobná zjištění jednotlivých imagí. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky.
(Žádné související zásady)
Vysoká
Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se omezili na škodlivé a neoprávněné změny ve spouštěcím řetězci. Po povolení se budou moct spouštět jenom důvěryhodné zavaděče bootloaderů, jádra a ovladače jádra. Toto posouzení platí jenom pro virtuální počítače s Windows s povoleným důvěryhodným spuštěním.

Důležité:
Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
Nelze povolit důvěryhodné spuštění na existujících virtuálních počítačích, které byly původně vytvořeny bez něj.
Přečtěte si další informace o důvěryhodném spuštění virtuálních počítačů Azure.
(Žádné související zásady)
Nízká
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že jsou všechny zprávy mezi uzly šifrované a digitálně podepsané.
(Související zásady: Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign).
Vysoká
Clustery Service Fabric by měly k ověřování klientů používat jenom Azure Active Directory. Provádět ověřování klientů pouze přes Azure Active Directory ve službě Service Fabric
(Související zásady: Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů).
Vysoká
Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat. Nainstalujte chybějící aktualizace zabezpečení systému a důležité aktualizace pro zabezpečení škálovacích sad virtuálních počítačů s Windows a Linuxem.
(Související zásady: Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat)
Vysoká
Na počítače by se měly nainstalovat aktualizace systému Instalace chybějících aktualizací zabezpečení systému a důležitých aktualizací pro zabezpečení virtuálních počítačů a počítačů s Windows a Linuxem
(Související zásady: Na počítačích by se měly nainstalovat aktualizace systému)
Vysoká
Na počítače by se měly nainstalovat aktualizace systému (používá technologii Centra aktualizací) V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat váš software aktualizovaný. Pokud chcete nainstalovat všechny nevyrovnané opravy a zabezpečit počítače, postupujte podle pokynů k nápravě.
(Žádné související zásady)
Vysoká
Škálovací sady virtuálních počítačů by měly být bezpečně nakonfigurované. Opravte ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky.
(Související zásady: Chyby zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měly napravit)
Vysoká
Stav ověření identity hosta virtuálních počítačů by měl být v pořádku. Ověření hosta se provádí odesláním důvěryhodného protokolu (TCGLog) na server ověření identity. Server tyto protokoly používá k určení důvěryhodnosti spouštěcích komponent. Toto posouzení je určeno ke zjištění ohrožení spouštěcího řetězce, což může být výsledkem infekce bootkitu nebo rootkitu.
Toto hodnocení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním, které mají nainstalované rozšíření Ověření identity hosta.
(Žádné související zásady)
Střední
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v rozsahu této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace
(Související zásady: Rozšíření konfigurace hosta by se mělo nasadit na virtuální počítače Azure se spravovanou identitou přiřazenou systémem)
Střední
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager Virtual Machines (classic) je zastaralý a tyto virtuální počítače by se měly migrovat do Azure Resource Manager.
Vzhledem k tomu, že Azure Resource Manager teď nabízí úplné možnosti IaaS a další pokroky, zastaralí jsme správu virtuálních počítačů IaaS prostřednictvím Azure Service Manager (ASM) 28. února 2020. Tato funkce bude plně vyřazena 1. března 2023.

Pokud chcete zobrazit všechny ovlivněné klasické virtuální počítače, nezapomeňte vybrat všechna předplatná Azure na kartě Adresáře a předplatná.

Dostupné zdroje a informace o migraci tohoto nástroje & :
Přehled vyřazení virtuálních počítačů (Classic) – podrobný postup migrace & dostupných prostředků Microsoftu
Podrobnosti o nástroji Pro migraci do Azure Resource Manager
Migrace do nástroje pro migraci azure Resource Manager pomocí PowerShellu
(Související zásady: Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager)
Vysoká
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují v klidovém stavu pomocí klíčů spravovaných platformou;
dočasné disky a mezipaměti dat nejsou šifrované a data se při toku mezi výpočetními prostředky a prostředky úložiště nešifrují.
Porovnání různých technologií šifrování disků v Azure najdete v tématu https://aka.ms/diskencryptioncomparison.
Pomocí služby Azure Disk Encryption zašifrujte všechna tato data.
Ignorujte toto doporučení, pokud:
1. Používáte funkci šifrování na hostiteli nebo 2. Šifrování na straně serveru pro spravované disky splňuje vaše požadavky na zabezpečení.
Další informace najdete v šifrování Azure Disk Storage na straně serveru.
(Související zásady: Šifrování disků by se mělo použít na virtuálních počítačích)
Vysoká
Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení se virtuální počítač vTPM dá použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním.

Důležité:
Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů.
Na existujících virtuálních počítačích, které byly původně vytvořeny, nemůžete povolit důvěryhodné spuštění.
Přečtěte si další informace o důvěryhodném spuštění virtuálních počítačů Azure.
(Žádné související zásady)
Nízká
V konfiguraci zabezpečení na počítačích s Linuxem by se měla napravit ohrožení zabezpečení (používá technologii konfigurace hosta). Náprava ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s Linuxem za účelem jejich ochrany před útoky
(Související zásady: Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení Azure).
Nízká
V konfiguraci zabezpečení na počítačích s Windows by se měla napravit ohrožení zabezpečení (používá technologii konfigurace hosta). Náprava ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s Windows za účelem jejich ochrany před útoky
(Žádné související zásady)
Nízká
Windows Defender By měla být na počítačích povolená ochrana Exploit Guard. Windows Defender Exploit Guard používá agenta konfigurace hosta Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamknuly zařízení proti široké škále vektorů útoku a blokové chování běžně používané v malwarových útocích a současně umožňují podnikům vyrovnávat bezpečnostní riziko a požadavky na produktivitu (jenom Windows).
(Související zásady: Auditování počítačů s Windows, na kterých není povolená ochrana Exploit Guard Windows Defender)
Střední
Webové servery Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací komunikovaných přes internet by vaše webové servery měly používat nejnovější verzi standardního kryptografického protokolu, protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť pomocí certifikátů zabezpečení k šifrování připojení mezi počítači.
(Související zásady: Auditování webových serverů s Windows, které nepoužívají zabezpečené komunikační protokoly)
Vysoká

Doporučení pro kontejnery

V této kategorii je 27 doporučení.

Doporučení Description Závažnost
[Povolit v případě potřeby] Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK) Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se automaticky šifrují pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít pouze v případě, že je nutné splnit požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte na zásady zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbytku obsahu vašich registrů. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Sady CMKs umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a odpovědnost za životní cyklus klíčů, včetně obměně a správy. Přečtěte si další informace o šifrování CMK na adrese https://aka.ms/acr/CMK.
(Související zásady: Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK))
Nízká
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy rozšíření Azure Policy pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby se v clusterech použily vynucování ve velkém měřítku a zabezpečení centralizovaným a konzistentním způsobem.
(Žádné související zásady)
Vysoká
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Defender. Rozšíření Defenderu pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů řídicí roviny (hlavního) uzlu v clusteru a odesílá je do back-endu Microsoft Defenderu for Kubernetes v cloudu pro další analýzu. Přečtěte si další informace.
(Žádné související zásady)
Vysoká
Azure Kubernetes Service clustery by měly mít nainstalovaný doplněk Azure Policy pro Kubernetes. Azure Policy doplněk pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro agenta OPA (Open Policy Agent), aby se v clusterech použily vynucování a zabezpečení ve velkém měřítku, a to centralizovaným, konzistentním způsobem.

Defender for Cloud vyžaduje doplněk pro auditování a vynucování možností zabezpečení a dodržování předpisů v rámci clusterů. Přečtěte si další informace.

Vyžaduje Kubernetes verze 1.14.0 nebo novější.


(Související zásady: doplněk Azure Policy pro službu Kubernetes (AKS) by se měl nainstalovat a povolit ve vašich clusterech.
Vysoká
Měly by se vynutit limity procesoru a paměti kontejneru. Vynucování limitů procesoru a paměti brání útokům na vyčerpání prostředků (forma útoku do odepření služby).

Doporučujeme nastavit limity pro kontejnery, aby modul runtime zabránil kontejneru používat více než nakonfigurovaný limit prostředků.


(Související zásady: Ujistěte se, že limity prostředků procesoru a paměti kontejneru nepřekračují zadané limity v clusteru Kubernetes).
Střední
Image kontejnerů by se měly nasazovat jenom z důvěryhodných registrů. Image spuštěné v clusteru Kubernetes by měly pocházet ze známých a monitorovaných registrů imagí kontejnerů. Důvěryhodné registry snižují riziko ohrožení clusteru tím, že omezují potenciál pro zavedení neznámých ohrožení zabezpečení, problémů se zabezpečením a škodlivých imagí.
(Související zásady: Zajištění pouze povolených imagí kontejnerů v clusteru Kubernetes)
Vysoká
Registry kontejnerů by neměly umožňovat neomezený síťový přístup Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet od hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup pouze z konkrétních veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá pravidlo PROTOKOLU IP/firewall nebo nakonfigurovanou virtuální síť, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-network a tady https://aka.ms/acr/vnet.
(Související zásady: Registry kontejnerů by neměly umožňovat neomezený síťový přístup)
Střední
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do registrů kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link.
(Související zásady: Registry kontejnerů by měly používat privátní propojení)
Střední
Odstraněné bitové kopie registru kontejnerů by měly mít vyřešené zjištění ohrožení zabezpečení. Posouzení ohrožení zabezpečení kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění jednotlivých imagí. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky.
(Související zásady: Chyby zabezpečení v imagích Azure Container Registry by se měly napravit)
Vysoká
Vyhnete se eskalaci oprávnění kontejneru s oprávněním. Kontejnery by se neměly spouštět s eskalací oprávnění pro kořen v clusteru Kubernetes.
Atribut AllowPrivilegeEscalation určuje, jestli proces může získat více oprávnění než nadřazený proces.
(Související zásady: Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru)
Střední
Kontejnery sdílející citlivé obory názvů hostitelů by se měly vyhnout. Pokud chcete chránit před eskalací oprávnění mimo kontejner, vyhněte se přístupu podů k citlivým oborům názvů hostitelů (ID procesu hostitele a IPC hostitele) v clusteru Kubernetes.
(Související zásada: Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele)
Střední
Kontejnery by měly používat jenom povolené profily AppArmor. Kontejnery spuštěné v clusterech Kubernetes by měly být omezené jenom na povolené profily AppArmor.
; AppArmor (Application Armor) je modul zabezpečení Linuxu, který chrání operační systém a jeho aplikace před bezpečnostními hrozbami. Aby ho správce systému použil, přidruží k jednotlivým programům profil zabezpečení AppArmor.
(Související zásady: Kontejnery clusteru Kubernetes by měly používat jenom povolené profily AppArmor.
Vysoká
U kontejnerů by se měl vynucovat systém neměnných souborů (jen pro čtení). Kontejnery by se měly spouštět s kořenovým systémem souborů jen pro čtení v clusteru Kubernetes. Neměnný systém souborů chrání kontejnery před změnami za běhu pomocí škodlivých binárních souborů přidaných do path.
(Související zásady: Kontejnery clusteru Kubernetes by se měly spouštět s kořenovým systémem souborů jen pro čtení)
Střední
Server rozhraní API Kubernetes by měl být nakonfigurovaný s omezeným přístupem. Pokud chcete zajistit, aby k vašemu clusteru měli přístup jenom aplikace z povolených sítí, počítačů nebo podsítí, omezte přístup k serveru rozhraní API Kubernetes. Přístup můžete omezit definováním autorizovaných rozsahů IP adres nebo nastavením serverů API jako privátních clusterů, jak je vysvětleno vtématu Vytvoření privátního Azure Kubernetes Service clusteru.
(Související zásady: Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services).
Vysoká
Clustery Kubernetes by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro modul AKS a Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc
(Související zásady: Vynucení příchozího přenosu dat HTTPS v clusteru Kubernetes)
Vysoká
Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženému prostředku podu pro spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace naleznete v tématu https://aka.ms/kubepolicydoc.
(Související zásady: Clustery Kubernetes by měly zakázat přihlašovací údaje rozhraní API pro automatické připojování)
Vysoká
Clustery Kubernetes by měly hradlovat nasazení ohrožených imagí. Chraňte clustery Kubernetes a úlohy kontejnerů před potenciálními hrozbami tím, že omezíte nasazení imagí kontejnerů s ohroženými softwarovými komponentami. K identifikaci a opravám ohrožení zabezpečení před nasazením použijte Nástroj Defender for Cloud CI/CD a Microsoft Defender pro registry kontejnerů.
Požadavky na vyhodnocení: Doplněk nebo rozšíření Azure Policy a profil nebo rozšíření Defenderu
Platí jenom pro zákazníky ve verzi Private Preview.
(Žádné související zásady)
Vysoká
Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAPSYSADMIN Pokud chcete omezit prostor pro útoky kontejnerů, omezte CAP_SYS_ADMIN linuxové funkce. Další informace naleznete v tématu https://aka.ms/kubepolicydoc.
(Žádné související zásady)
Vysoká
Clustery Kubernetes by neměly používat výchozí obor názvů. Znemožnit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace naleznete v tématu https://aka.ms/kubepolicydoc.
(Související zásady: Clustery Kubernetes by neměly používat výchozí obor názvů)
Nízká
Pro kontejnery by se měly vynucovat nejméně privilegované funkce Linuxu. Pokud chcete omezit prostor pro útoky na kontejner, omezte možnosti Linuxu a udělte kontejnerům konkrétní oprávnění, aniž byste udělili všechna oprávnění kořenového uživatele. Doporučujeme vyhodit všechny možnosti a pak přidat požadované možnosti.
(Související zásady: Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce)
Střední
Měl by být povolený Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním prostředí a prostředí Kubernetes s více cloudy.
Pomocí těchto informací můžete rychle opravit problémy se zabezpečením a vylepšit zabezpečení kontejnerů.

Důležité: Náprava tohoto doporučení způsobí poplatky za ochranu clusterů Kubernetes. Pokud v tomto předplatném nemáte žádné clustery Kubernetes, nebudou vám účtovány žádné poplatky.
Pokud v budoucnu v tomto předplatném vytvoříte nějaké clustery Kubernetes, budou automaticky chráněny a poplatky začnou v té době.
Další informace najdete v úvodu k Microsoft Defenderu pro kontejnery.
(Žádné související zásady)
Vysoká
Privilegované kontejnery by se měly vyhnout Pokud chcete zabránit neomezenému přístupu hostitele, vyhněte se privilegovaným kontejnerům, kdykoli je to možné.

Privilegované kontejnery mají všechny kořenové funkce hostitelského počítače. Dají se použít jako vstupní body pro útoky a k šíření škodlivého kódu nebo malwaru do ohrožených aplikací, hostitelů a sítí.


(Související zásady: Nepovolovat privilegované kontejnery v clusteru Kubernetes)
Střední
Access Control na základě rolí by se měly používat ve službách Kubernetes Pokud chcete poskytnout podrobné filtrování akcí, které můžou uživatelé provádět, použijte Role-Based Access Control (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. Další informace najdete v tématu Řízení přístupu na základě role v Azure.
(Související zásady: Access Control na základě role (RBAC) by se měly používat ve službě Kubernetes Services.
Vysoká
Vyhnete se spouštění kontejnerů jako kořenový uživatel. Kontejnery by ve vašem clusteru Kubernetes neměly běžet jako kořenoví uživatelé. Spuštění procesu jako uživatel root v kontejneru ho spustí jako root na hostiteli. Pokud dojde k ohrožení zabezpečení, útočník má v kontejneru kořen a všechny chybné konfigurace se můžou snadněji zneužít.
(Související zásady: Pody a kontejnery clusteru Kubernetes by měly běžet jenom se schválenými ID uživatelů a skupin).
Vysoká
Služby by měly naslouchat jenom na povolených portech. Pokud chcete omezit prostor pro útoky clusteru Kubernetes, omezte přístup ke clusteru omezením přístupu ke službám na nakonfigurované porty.
(Související zásady: Zajištění, aby služby naslouchaly jenom na povolených portech v clusteru Kubernetes)
Střední
Použití hostitelských sítí a portů by mělo být omezené. Omezte přístup podů k hostitelské síti a rozsahu povolených portů hostitele v clusteru Kubernetes. Pody vytvořené s povoleným atributem hostNetwork budou sdílet síťový prostor uzlu. Abyste se vyhnuli ohrožení kontejneru z šifrování síťového provozu, doporučujeme nevkládat pody do hostitelské sítě. Pokud potřebujete zveřejnit port kontejneru v síti uzlu a použití portu uzlu Kubernetes Service nevyhovuje vašim potřebám, další možností je zadat hostPort pro kontejner ve specifikaci podu.
(Související zásady: Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů).
Střední
Použití připojení svazků HostPath podů by mělo být omezeno na známý seznam, aby se omezil přístup k uzlům z ohrožených kontejnerů. Doporučujeme omezit připojení svazku HostPath podu v clusteru Kubernetes ke nakonfigurovaným povoleným hostitelským cestám. Pokud dojde k ohrožení zabezpečení, měl by být přístup k uzlům kontejneru z kontejnerů omezený.
(Související zásada: Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům).
Střední

Doporučení k datům

V této kategorii je 78 doporučení.

Doporučení Description Závažnost
[Povolit v případě potřeby] Účty Služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že jsou povinné požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/cosmosdb-cmk.
(Související zásady: Účty Služby Azure Cosmos DB by k šifrování neaktivních uložených dat měly používat klíče spravované zákazníkem).
Nízká
[Povolit v případě potřeby] Pracovní prostory Služby Azure Machine Learning by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK). Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že jsou povinné požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Správa šifrování neaktivních dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem (CMK). Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službou, ale sady CMK se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/azureml-workspaces-cmk.
(Související zásady: Pracovní prostory Služby Azure Machine Learning by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK))
Nízká
[Povolit v případě potřeby] Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem (CMK) Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že jsou povinné požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče CMK umožňují šifrování dat uložených ve službách Cognitive Services pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/cosmosdb-cmk.
(Související zásady: Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem?( CMK))
Nízká
[Povolit v případě potřeby] Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že jsou povinné požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Šifrování neaktivních serverů MySQL můžete spravovat pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy.
(Související zásady: Používání ochrany dat vlastního klíče by mělo být povolené pro servery MySQL)
Nízká
[Povolit v případě potřeby] Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že jsou povinné požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Ke správě šifrování neaktivních serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu a zodpovědnost za životní cyklus klíče, včetně obměně a správy.
(Související zásady: U serverů PostgreSQL by měla být povolena ochrana dat vlastního klíče).
Nízká
[Povolit v případě potřeby] Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že jsou povinné požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Implementace transparentního šifrování dat (TDE) s vlastním klíčem vám poskytuje větší transparentnost a kontrolu nad ochranu transparentním šifrováním dat, vyšší zabezpečení s externí službou podporovanou HSM a povýšením oddělení povinností. Toto doporučení platí pro organizace s souvisejícím požadavkem na dodržování předpisů.
(Související zásada: Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem).
Nízká
[Povolit v případě potřeby] SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že jsou povinné požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Implementace transparentního šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu ochrany transparentním šifrováním dat, vyšší zabezpečení s externí službou podporovanou HSM a povýšení oddělení povinností. Toto doporučení platí pro organizace s souvisejícím požadavkem na dodržování předpisů.
(Související zásady: SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem)
Nízká
[Povolit v případě potřeby] Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK). Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by se mělo použít jenom v případě, že jsou povinné požadavky na dodržování předpisů nebo omezující zásady.
Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady tak, aby auditovat nebo vynucovat použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení.
Zabezpečte svůj účet úložiště s větší flexibilitou pomocí klíčů spravovaných zákazníkem (CMK). Při zadávání klíče CMK se tento klíč používá k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití cmk poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptograficky vymazat data.
(Související zásady: Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK)
Nízká
Všechny typy rozšířené ochrany před internetovými útoky by měly být povolené v pokročilých nastaveních zabezpečení dat spravované instance SQL. Ve spravovaných instancích SQL se doporučuje povolit všechny pokročilé typy ochrany před internetovými útoky. Povolení všech typů chrání před injektáží SQL, ohroženími zabezpečení databáze a všemi dalšími neobvyklými aktivitami.
(Žádné související zásady)
Střední
Všechny typy rozšířené ochrany před internetovými útoky by měly být povolené v upřesňujících nastaveních zabezpečení dat SQL Serveru. Doporučujeme povolit všechny pokročilé typy ochrany před internetovými útoky na sql serverech. Povolení všech typů chrání před injektáží SQL, ohroženími zabezpečení databáze a všemi dalšími neobvyklými aktivitami.
(Žádné související zásady)
Střední
API Management služby by měly používat virtuální síť Nasazení Azure Virtual Network poskytuje lepší zabezpečení, izolaci a umožňuje umístit službu API Management do ne-internetové směrovatelné sítě, ke které řídíte přístup. Tyto sítě se pak dají připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti.
(Související zásady: API Management služby by měly používat virtuální síť)
Střední
App Configuration by měl používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint.
(Související zásady: App Configuration by měly používat privátní propojení)
Střední
Uchovávání auditů pro SQL servery by mělo být nastavené alespoň na 90 dnů. Auditování SQL serverů nakonfigurovaných s dobou uchovávání auditování kratší než 90 dnů
(Související zásady: Servery SQL by měly být nakonfigurované s 90denním uchováváním auditování nebo vyšší.)
Nízká
Auditování na SQL Serveru by mělo být povolené. Povolte auditování na vašem SQL Server, abyste mohli sledovat databázové aktivity napříč všemi databázemi na serveru a uložit je do protokolu auditu.
(Související zásady: Auditování na SQL Serveru by mělo být povolené)
Nízká
Automatické zřizování agenta Log Analytics by mělo být povolené u předplatných. Pokud chcete monitorovat ohrožení zabezpečení a hrozby, Microsoft Defender for Cloud shromažďuje data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte různé konfigurace a protokoly událostí souvisejících se zabezpečením z počítače a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nových vytvořených virtuálních počítačů Azure.
(Související zásady: Automatické zřizování agenta Log Analytics by mělo být ve vašem předplatném povolené)
Nízká
Azure Cache for Redis by se měl nacházet ve virtuální síti Nasazení azure Virtual Network (VNet) poskytuje lepší zabezpečení a izolaci pro vaše Azure Cache for Redis, stejně jako podsítě, zásady řízení přístupu a další funkce, které vám umožní dále omezit přístup. Pokud je instance Azure Cache for Redis nakonfigurovaná s virtuální sítí, není veřejně adresovatelná a dá se k ní přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě.
(Související zásady: Azure Cache for Redis by se měly nacházet ve virtuální síti)
Střední
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. Pravidla brány firewall by měla být definována ve vašich účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají alespoň jedno pravidlo IP definované s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující.
(Související zásady: Účty služby Azure Cosmos DB by měly mít pravidla brány firewall).
Střední
Zjištění stavu zabezpečení Azure DevOps by se měla vyřešit. Kontroly stavu zabezpečení v programu Defender for DevOps pomáhají udržovat artefakty ADO, jako jsou různá nastavení organizace/projektu, konfigurace sestavení/verze, připojení služeb, fondy agentů atd., nakonfigurované bezpečně.
(Žádné související zásady)
Střední
Azure Event Grid domény by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na domény Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.
(Související zásady: Azure Event Grid domény by měly používat privátní propojení)
Střední
Azure Event Grid témata by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na témata místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints.
(Související zásady: Azure Event Grid témata by měla používat privátní propojení)
Střední
Azure Kubernetes Service clustery by měly mít povolený profil Defenderu Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu.
Když ve svém clusteru Azure Kubernetes Service povolíte profil SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení.
Další informace najdete v úvodu k Microsoft Defenderu pro kontejnery.
(Žádné související zásady)
Vysoká
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Služby Azure Machine Learning místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/azureml-workspaces-privatelink.
(Související zásady: Pracovní prostory Služby Azure Machine Learning by měly používat privátní propojení)
Střední
Azure SignalR Service by měl používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředky SignalR místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/asrs/privatelink.
(Související zásady: Azure SignalR Service by měly používat privátní propojení)
Střední
Azure Spring Cloud by měl používat injektáž sítě Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud.
(Související zásady: Azure Spring Cloud by měl používat injektáž sítě)
Střední
Úložiště kódu by měla mít vyřešená zjištění kontroly kódu. Defender for DevOps zjistil chyby zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit.
(Žádné související zásady)
Střední
Úložiště kódu by měla mít vyřešené zjištění kontroly Dependabot. Defender for DevOps zjistil chyby zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit.
(Žádné související zásady)
Střední
Úložiště kódu by měla mít infrastrukturu, protože se vyřešila zjištění kontroly kódu. Defender for DevOps našel infrastrukturu jako problémy s konfigurací zabezpečení kódu v úložištích. Níže uvedené problémy byly zjištěny v souborech šablon. Pokud chcete zlepšit stav zabezpečení souvisejících cloudových prostředků, důrazně doporučujeme tyto problémy napravit.
(Žádné související zásady)
Střední
Úložiště kódu by měla mít vyřešené zjištění kontroly tajných kódů. Defender for DevOps našel tajný kód v úložištích kódu. Mělo by se to napravit okamžitě, aby se zabránilo narušení zabezpečení. Tajné kódy nalezené v úložištích mohou být únikem nebo zjištěny nežádoucími osobami, což vede k ohrožení aplikace nebo služby. V případě Azure DevOps nástroj Microsoft Security DevOps CredScan kontroluje pouze buildy, na kterých je nakonfigurované ke spuštění. Výsledky proto nemusí odrážet úplný stav tajných kódů ve vašich úložištích.
(Žádné související zásady)
Vysoká
Účty služeb Cognitive Services by měly povolit šifrování dat. Tato zásada audituje všechny účty služeb Cognitive Services, které nepoužívají šifrování dat. Pro každý účet služeb Cognitive Services s úložištěm by měl povolit šifrování dat pomocí spravovaného zákazníkem nebo spravovaného klíče Microsoftu.
(Související zásady: Účty služeb Cognitive Services by měly povolit šifrování dat)
Nízká
Účty služeb Cognitive Services by měly omezit síťový přístup. Přístup k síti k účtům služeb Cognitive Services by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu Služeb Cognitive Services mohli přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných IP adres internetu.
(Související zásady: Účty služeb Cognitive Services by měly omezit přístup k síti)
Střední
Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem nebo povolit šifrování dat. Tato zásada audituje jakýkoli účet služeb Cognitive Services, který nepoužívá úložiště vlastněné zákazníkem ani šifrování dat. Pro každý účet služeb Cognitive Services s úložištěm použijte úložiště vlastněné zákazníkem nebo povolte šifrování dat.
(Související zásady: Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem nebo povolit šifrování dat.)
Nízká
Diagnostické protokoly ve službě Azure Data Lake Store by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly ve službě Azure Data Lake Store by měly být povolené.
Nízká
Diagnostické protokoly v Data Lake Analytics by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly v Data Lake Analytics by měly být povolené.
Nízká
Email oznámení pro výstrahy s vysokou závažností by mělo být povolené. Aby se zajistilo, že relevantní lidé ve vaší organizaci budou upozorněni na potenciální porušení zabezpečení v některém z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností v programu Defender for Cloud.
(Související zásady: Email oznámení pro výstrahy s vysokou závažností by mělo být povolené.
Nízká
Email oznámení pro vlastníka předplatného pro výstrahy s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním porušení zabezpečení v předplatném, nastavte pro vlastníky předplatného e-mailová oznámení o upozorněních s vysokou závažností v programu Defender for Cloud.
(Související zásady: Email oznámení vlastníku předplatného pro upozornění s vysokou závažností by mělo být povolené.
Střední
Pro databázové servery MySQL by mělo být povolené vynucení připojení SSL. Azure Database for MySQL podporuje připojení Azure Database for MySQL serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer).
Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "člověk uprostřed" šifrováním datového proudu mezi serverem a vaší aplikací.
Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru.
(Související zásady: Vynucení připojení SSL by mělo být povolené pro databázové servery MySQL)
Střední
Vynucení připojení SSL by mělo být povolené pro databázové servery PostgreSQL. Azure Database for PostgreSQL podporuje připojení Azure Database for PostgreSQL serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer).
Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "člověk uprostřed" šifrováním datového proudu mezi serverem a vaší aplikací.
Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru.
(Související zásady: Vynucení připojení SSL by mělo být povolené pro databázové servery PostgreSQL)
Střední
Aplikace funkcí by měly mít vyřešené zjištění ohrožení zabezpečení. Kontrola chyb zabezpečení za běhu pro funkce kontroluje ohrožení zabezpečení aplikací funkcí a zveřejňuje podrobná zjištění. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení bezserverových aplikací a chránit je před útoky.
(Žádné související zásady)
Vysoká
Pro Azure Database for MariaDB by mělo být povolené geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru.
Můžete ho nastavit na geograficky redundantní úložiště záloh, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti, aby poskytovala možnosti obnovení v případě selhání oblasti.
Konfigurace geograficky redundantního úložiště pro zálohování je povolená jenom při vytváření serveru.
(Související zásady: Geograficky redundantní zálohování by mělo být povolené pro Azure Database for MariaDB)
Nízká
Pro Azure Database for MySQL by mělo být povolené geograficky redundantní zálohování. Azure Database for MySQL umožňuje zvolit možnost redundance databázového serveru.
Můžete ho nastavit na geograficky redundantní úložiště záloh, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti, aby poskytovala možnosti obnovení v případě selhání oblasti.
Konfigurace geograficky redundantního úložiště pro zálohování je povolená jenom při vytváření serveru.
(Související zásady: Geograficky redundantní zálohování by mělo být povolené pro Azure Database for MySQL)
Nízká
Pro Azure Database for PostgreSQL by mělo být povolené geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance databázového serveru.
Můžete ho nastavit na geograficky redundantní úložiště záloh, ve kterém se data neukládají jenom v oblasti, ve které je server hostovaný, ale replikuje se také do spárované oblasti, aby poskytovala možnosti obnovení v případě selhání oblasti.
Konfigurace geograficky redundantního úložiště pro zálohování je povolená jenom při vytváření serveru.
(Související zásady: Geograficky redundantní zálohování by mělo být povolené pro Azure Database for PostgreSQL)
Nízká
Úložiště GitHubu by měla mít povolenou kontrolu kódu. GitHub používá ke kontrole kódu analýzu kódu, aby zjistil ohrožení zabezpečení a chyby v kódu. Kontrolu kódu je možné použít k vyhledání, třídění a stanovení priorit oprav stávajících problémů v kódu. Kontrola kódu může také zabránit vývojářům v zavádění nových problémů. Kontroly se dají naplánovat na konkrétní dny a časy nebo se můžou aktivovat kontroly, když se v úložišti vyskytuje určitá událost, například nabízená oznámení. Pokud kontrola kódu najde potenciální ohrožení zabezpečení nebo chybu v kódu, GitHub zobrazí v úložišti upozornění. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu.
(Žádné související zásady)
Střední
Úložiště GitHubu by měla mít povolenou kontrolu Dependabot. GitHub odesílá upozornění Dependabota, když detekuje ohrožení zabezpečení v závislostech kódu, které ovlivňují úložiště. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu nebo jiných projektů, které používají jeho kód. Ohrožení zabezpečení se liší v typu, závažnosti a metodě útoku. Pokud kód závisí na balíčku, který má ohrožení zabezpečení, může tato zranitelná závislost způsobit celou řadu problémů.
(Žádné související zásady)
Střední
Úložiště GitHubu by měla mít povolenou kontrolu tajných kódů. GitHub prohledává úložiště známých typů tajných kódů, aby se zabránilo podvodnému použití tajných kódů, které byly omylem potvrzeny do úložišť. Kontrola tajných kódů zkontroluje celou historii Gitu na všech větvích, které jsou v úložišti GitHubu, a zobrazí všechny tajné kódy. Příklady tajných kódů jsou tokeny a privátní klíče, které může poskytovatel služeb vydávat za účely ověřování. Pokud je tajný kód vrácený do úložiště, může každý, kdo má k úložišti přístup pro čtení, použít tajný kód pro přístup k externí službě s těmito oprávněními. Tajné kódy by měly být uložené ve vyhrazeném zabezpečeném umístění mimo úložiště projektu.
(Žádné související zásady)
Vysoká
Měly by být povolené databázové servery v programu Microsoft Defender pro Azure SQL Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL.
Zahrnuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozbu pro vaši databázi, a zjišťování a klasifikaci citlivých dat.
Důležité: Za ochranu z tohoto plánu se účtují poplatky, jak je znázorněno na stránce plánů Defenderu . Pokud v tomto předplatném nemáte žádné Azure SQL databázové servery, nebude se vám nic účtovat. Pokud později vytvoříte databázové servery Azure SQL v tomto předplatném, budou automaticky chráněné a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech.
Další informace najdete v úvodu do Microsoft Defenderu pro SQL.
(Související zásady: Azure Defender pro Azure SQL Databázové servery by měly být povolené.
Vysoká
Měl by být povolený Microsoft Defender for DNS. Microsoft Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků tím, že nepřetržitě monitoruje všechny dotazy DNS z vašich prostředků Azure. Defender pro DNS vás upozorní na podezřelou aktivitu ve vrstvě DNS. Další informace najdete v úvodu do Microsoft Defenderu pro DNS. Povolením tohoto plánu Defenderu se účtují poplatky. Přečtěte si informace o cenových podrobnostech pro jednotlivé oblasti na stránce s cenami defenderu for Cloud: https://azure.microsoft.com/services/defender-for-cloud/#pricing.
(Žádné související zásady)
Vysoká
Je potřeba povolit Microsoft Defender pro opensourcové relační databáze. Microsoft Defender pro opensourcové relační databáze detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Další informace najdete v článku Úvod do programu Microsoft Defender pro opensourcové relační databáze.

Důležité: Povolením tohoto plánu budou účtovány poplatky za ochranu opensourcových relačních databází. Pokud v tomto předplatném nemáte žádné opensourcové relační databáze, nebudou vám účtovány žádné poplatky. Pokud v budoucnu v tomto předplatném vytvoříte nějaké opensourcové relační databáze, budou automaticky chráněny a poplatky se začnou účtovat.
(Žádné související zásady)
Vysoká
Měl by být povolený Program Microsoft Defender pro Resource Manager Microsoft Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Defender for Cloud detekuje hrozby a upozorní vás na podezřelou aktivitu. Další informace najdete v článku Úvod do programu Microsoft Defender pro Resource Manager. Povolením tohoto plánu Defenderu se účtují poplatky. Přečtěte si informace o cenových podrobnostech pro jednotlivé oblasti na stránce s cenami defenderu for Cloud: https://azure.microsoft.com/services/defender-for-cloud/#pricing.
(Žádné související zásady)
Vysoká
Microsoft Defender for SQL na počítačích by měl být povolený v pracovních prostorech. Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem.
S tímto plánem Defenderu jsou pro vaše předplatná povolená, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé z výhod.
Když povolíte Microsoft Defender pro servery v pracovním prostoru, budou se všem počítačům, které do daného pracovního prostoru hlásí, fakturovat za servery Microsoft Defender – i když jsou v předplatných bez povolených plánů Defenderu. Pokud v předplatném také nepovolíte Microsoft Defender pro servery, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure.
Další informace najdete v úvodu k programu Microsoft Defender pro servery.
(Žádné související zásady)
Střední
Na počítačích by měl být povolený Microsoft Defender pro SQL servery. Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL.
Zahrnuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozbu pro vaši databázi, a zjišťování a klasifikaci citlivých dat.

Důležité: Náprava tohoto doporučení způsobí poplatky za ochranu sql serverů na počítačích. Pokud nemáte na počítačích v tomto předplatném žádné servery SQL, nebudou vám účtovány žádné poplatky.
Pokud v budoucnu vytvoříte na počítačích s tímto předplatným nějaké SERVERY SQL, budou automaticky chráněny a poplatky se začnou účtovat v této chvíli.
Přečtěte si další informace o Microsoft Defenderu pro SQL servery na počítačích.
(Související zásady: Azure Defender pro SQL servery na počítačích by měl být povolený)
Vysoká
Pro nechráněné servery Azure SQL by měl být povolený Program Microsoft Defender pro SQL. Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Zobrazí a zmírní potenciální ohrožení zabezpečení databáze a detekuje neobvyklé aktivity, které by mohly značit hrozbu pro vaši databázi. Microsoft Defender for SQL se účtuje podle podrobností o cenách v jednotlivých oblastech.
(Související zásady: Na sql serverech by mělo být povolené rozšířené zabezpečení dat).
Vysoká
Pro nechráněné spravované instance SQL by měl být povolený Microsoft Defender for SQL. Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Zobrazí a zmírní potenciální ohrožení zabezpečení databáze a detekuje neobvyklé aktivity, které by mohly značit hrozbu pro vaši databázi. Microsoft Defender for SQL se účtuje podle podrobností o cenách v jednotlivých oblastech.
(Související zásady: Rozšířené zabezpečení dat by mělo být povolené na SQL Managed Instance)
Vysoká
Měla by být povolená služba Microsoft Defender for Storage. Microsoft Defender pro úložiště detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití.
Důležité: Za ochranu z tohoto plánu se účtují poplatky, jak je znázorněno na stránce plánů Defenderu . Pokud v tomto předplatném nemáte žádné účty Azure Storage, nebudete se vám účtovat. Pokud později v tomto předplatném vytvoříte účty Azure Storage, automaticky se zachrání a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech.
Další informace najdete v úvodu do Microsoft Defenderu pro úložiště.
(Související zásady: Azure Defender for Storage by měl být povolený)
Vysoká
Network Watcher by měla být povolená Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy v zobrazení na úrovni sítě. Nástroje pro diagnostiku a vizualizaci sítě dostupné s Network Watcher vám pomůžou pochopit, diagnostikovat a získat přehledy o vaší síti v Azure.
(Související zásady: Network Watcher by měly být povolené)
Nízká
V předplatných by se měly prozkoumat nadměrně zřízené identity, aby se snížil index oprávnění (PCI). V rámci předplatného by se měly prozkoumat nadměrně zřízené identity, aby se snížil index oprávnění (PCI) a aby se chránila vaše infrastruktura. Snižte počet pcI odebráním nepoužívaných vysoce rizikových přiřazení oprávnění. Vysoká úroveň PCI odráží riziko spojené s identitami s oprávněními, která překračují jejich normální nebo požadované využití
(Žádné související zásady)
Střední
Připojení privátního koncového bodu v databázi Azure SQL by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure SQL Database.
(Související zásady: Připojení privátních koncových bodů v databázi Azure SQL by měla být povolená)
Střední
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for MariaDB.
Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.
(Související zásady: Privátní koncový bod by měl být povolený pro servery MariaDB)
Střední
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for MySQL.
Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.
(Související zásady: Privátní koncový bod by měl být povolený pro servery MySQL)
Střední
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for PostgreSQL.
Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure.
(Související zásady: Privátní koncový bod by měl být povolený pro servery PostgreSQL)
Střední
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k databázi Azure SQL bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.
(Související zásady: Přístup k veřejné síti v databázi Azure SQL by měl být zakázán)
Střední
Pro účty služeb Cognitive Services by měl být zakázaný přístup k veřejné síti. Tato zásada audituje všechny účty služeb Cognitive Services ve vašem prostředí s povoleným přístupem k veřejné síti. Přístup k veřejné síti by měl být zakázán, aby byla povolena pouze připojení z privátních koncových bodů.
(Související zásady: Pro účty služeb Cognitive Services by měl být zakázaný přístup k veřejné síti)
Střední
Pro servery MariaDB by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.
(Související zásady: Veřejný přístup k síti by měl být pro servery MariaDB zakázaný)
Střední
Pro servery MySQL by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for MySQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.
(Související zásady: Pro servery MySQL by měl být zakázaný přístup k veřejné síti)
Střední
Pro servery PostgreSQL by měl být zakázaný přístup k veřejné síti. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti.
(Související zásady: Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný)
Střední
Redis Cache by měl povolit přístup pouze přes SSL Povolte pouze připojení přes PROTOKOL SSL ke službě Redis Cache. Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a únos relace.
(Související zásady: Povolená by měla být pouze zabezpečená připojení k vašemu Azure Cache for Redis).
Vysoká
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení. Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrné oprávnění a nechráněná citlivá data. Řešení nalezených chyb zabezpečení může výrazně zlepšit stav zabezpečení databáze. Další informace
(Související zásady: Chyby zabezpečení v databázích SQL by se měly napravit)
Vysoká
Spravované instance SQL by měly mít nakonfigurované posouzení ohrožení zabezpečení Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze.
(Související zásady: Posouzení ohrožení zabezpečení by mělo být povoleno na SQL Managed Instance)
Vysoká
Sql Servery na počítačích by měly mít vyřešené zjištění ohrožení zabezpečení Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrné oprávnění a nechráněná citlivá data. Řešení nalezených chyb zabezpečení může výrazně zlepšit stav zabezpečení databáze. Další informace
(Související zásady: Chyby zabezpečení na serverech SQL na počítači by se měly napravit)
Vysoká
Sql Servery by měly mít zřízeného správce Azure Active Directory. Pokud chcete povolit ověřování Azure AD, zřiďte správce Azure AD pro sql server. ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služeb Microsoftu.
(Související zásady: Pro SQL servery by měl být zřízen správce Azure Active Directory)
Vysoká
Sql Servery by měly mít nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat s nápravou potenciálních ohrožení zabezpečení databáze.
(Související zásady: Posouzení ohrožení zabezpečení by mělo být povolené na sql serverech)
Vysoká
Účet úložiště by měl používat připojení privátního propojení Privátní propojení vynucují zabezpečenou komunikaci tím, že poskytují privátní připojení k účtu úložiště.
(Související zásady: Účet úložiště by měl používat připojení privátního propojení)
Střední
Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manager Pokud chcete využívat nové funkce v Azure Resource Manager, můžete migrovat stávající nasazení z modelu nasazení Classic. Resource Manager umožňuje vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení založené na ARM, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. Další informace
(Související zásady: Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manager)
Nízká
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázání filtrování na základě IP adres brání veřejným IP adresám v přístupu k účtům úložiště.
(Související zásady: Účty úložiště by měly omezit síťový přístup pomocí pravidel virtuální sítě)
Střední
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením. Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci dostávali oznámení o potenciálním porušení zabezpečení v některém z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení z Programu Defender for Cloud.
(Související zásady: Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením)
Nízká
Transparentní šifrování dat v databázích SQL by mělo být povolené Povolení transparentního šifrování dat pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů
(Související zásady: Transparentní šifrování dat v databázích SQL by mělo být povolené.
Nízká
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení. Auditujte šablony Image Builderu virtuálního počítače, které nemají nakonfigurovanou virtuální síť. Pokud není nakonfigurovaná virtuální síť, vytvoří se veřejná IP adresa a použije se místo toho, která může přímo zveřejnit prostředky na internetu a zvýšit potenciální prostor pro útok.
(Související zásady: Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení)
Střední
Web Application Firewall (WAF) by měl být povolený pro Application Gateway Nasaďte Azure Web Application Firewall (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Web Application Firewall (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohroženími zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel.
(Související zásady: pro Application Gateway by měla být povolená Web Application Firewall (WAF).
Nízká
pro službu Azure Front Door Service by měla být povolená Web Application Firewall (WAF). Nasaďte Azure Web Application Firewall (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Web Application Firewall (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohroženími zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel.
(Související zásady: pro službu Azure Front Door Service by měla být povolená Web Application Firewall (WAF)
Nízká

Doporučení IdentityAndAccess

V této kategorii je 29 doporučení.

Doporučení Description Závažnost
Pro předplatná by měla být určena maximálně 3 vlastníky. Pokud chcete snížit potenciál porušení zabezpečení ohroženými účty vlastníka, doporučujeme omezit počet účtů vlastníka na maximálně 3.
(Související zásady: Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky).
Vysoká
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování. Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení svých účtů a zároveň uživatelům umožníte ověřování téměř u jakékoli aplikace pomocí jednotného přihlašování (SSO). Vícefaktorové ověřování je proces, pomocí kterého se uživatelům během procesu přihlašování zobrazí výzva k další formě identifikace. Kód může být například odeslán na mobilní telefon nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty s oprávněními vlastníka k prostředkům Azure, abyste zabránili porušení zabezpečení a útokům.
Další podrobnosti a nejčastější dotazy najdete tady: Správa vynucení vícefaktorového ověřování (MFA) u vašich předplatných
(Žádné související zásady)
Vysoká
Účty s oprávněními ke čtení prostředků Azure by měly být povolené vícefaktorové ověřování. Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení svých účtů a zároveň uživatelům umožníte ověřování téměř u jakékoli aplikace pomocí jednotného přihlašování (SSO). Vícefaktorové ověřování je proces, pomocí kterého se uživatelům během procesu přihlašování zobrazí výzva k další formě identifikace. Kód může být například odeslán na mobilní telefon nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají oprávnění ke čtení prostředků Azure, abyste zabránili porušení zabezpečení a útokům.
Další podrobnosti a nejčastější dotazy najdete tady: Správa vynucení vícefaktorového ověřování (MFA) u vašich předplatných
(Žádné související zásady)
Vysoká
Účty s oprávněními k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení svých účtů a zároveň uživatelům umožníte ověřování téměř u jakékoli aplikace pomocí jednotného přihlašování (SSO). Vícefaktorové ověřování je proces, pomocí kterého se uživatelům během procesu přihlašování zobrazí výzva k další formě identifikace. Kód může být například odeslán na mobilní telefon nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají oprávnění k zápisu k prostředkům Azure, abyste zabránili porušení zabezpečení a útokům.
Další podrobnosti a nejčastější dotazy najdete tady: Správa vynucení vícefaktorového ověřování (MFA) u vašich předplatných
(Žádné související zásady)
Vysoká
Účty Azure Cosmos DB by měly používat Azure Active Directory jako jedinou metodu ověřování. Nejlepším způsobem ověřování ve službách Azure je použití Role-Based Access Control (RBAC). RBAC umožňuje zachovat princip minimálních oprávnění a podporuje možnost odvolat oprávnění jako efektivní metodu odpovědi při ohrožení zabezpečení. Účet služby Azure Cosmos DB můžete nakonfigurovat tak, aby vynucovali řízení přístupu na základě role jako jedinou metodu ověřování. Po nakonfigurování vynucení budou všechny ostatní metody přístupu odepřeny (primární/sekundární klíče a přístupové tokeny).
(Žádné související zásady)
Střední
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Účty, u kterých se zablokovalo přihlášení ke službě Active Directory, by se měly z vašich prostředků Azure odebrat. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Žádné související zásady)
Vysoká
Blokované účty s oprávněními ke čtení a zápisu prostředků Azure by se měly odebrat. Účty, u kterých se zablokovalo přihlášení ke službě Active Directory, by se měly z vašich prostředků Azure odebrat. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Žádné související zásady)
Vysoká
Zastaralé účty by se měly odebrat z předplatných. Uživatelské účty, u kterých se zablokovalo přihlášení, by se měly z vašich předplatných odebrat.
Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Související zásady: Zastaralé účty by se měly z vašeho předplatného odebrat)
Vysoká
Zastaralé účty s oprávněními vlastníka by se měly odebrat z předplatných. Uživatelské účty, u kterých se zablokovalo přihlášení, by se měly z vašich předplatných odebrat.
Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Související zásady: Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat)
Vysoká
Diagnostické protokoly v Key Vault by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly v Key Vault by měly být povolené.
Nízká
Externí účty s oprávněními vlastníka by se měly odebrat z předplatných. Účty s oprávněními vlastníka, které mají různé názvy domén (externí účty), by se měly z vašeho předplatného odebrat. Tím zabráníte nesledovaným přístupům. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Související zásady: Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat)
Vysoká
Externí účty s oprávněními ke čtení by se měly odebrat z předplatných. Účty s oprávněními ke čtení, které mají různé názvy domén (externí účty), by měly být z vašeho předplatného odebrány. Tím zabráníte nesledovaným přístupům. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Související zásady: Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat)
Vysoká
Externí účty s oprávněními k zápisu by se měly odebrat z předplatných. Účty s oprávněními k zápisu, které mají různé názvy domén (externí účty), by se měly z vašeho předplatného odebrat. Tím zabráníte nesledovaným přístupům. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Související zásady: Externí účty s oprávněními k zápisu by se měly z vašeho předplatného odebrat)
Vysoká
Brána firewall by měla být povolená na Key Vault Brána firewall služby Key Vault brání neoprávněnému provozu v přístupu k trezoru klíčů a poskytuje další vrstvu ochrany tajných kódů. Povolte bránu firewall, abyste měli jistotu, že k trezoru klíčů mají přístup jenom přenosy z povolených sítí.
(Související zásady: Brána firewall by měla být povolena na Key Vault)
Střední
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Účty s oprávněními vlastníka, které byly zřízeny mimo tenanta Azure Active Directory (různé názvy domén), by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravují do stejných standardů jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Žádné související zásady)
Vysoká
Účty hostů s oprávněními ke čtení prostředků Azure by se měly odebrat. Účty s oprávněními ke čtení, které byly zřízeny mimo tenanta Azure Active Directory (různé názvy domén), by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravují do stejných standardů jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Žádné související zásady)
Vysoká
Účty hostů s oprávněními k zápisu prostředků Azure by se měly odebrat. Účty s oprávněními k zápisu, které byly zřízeny mimo tenanta Azure Active Directory (různé názvy domén), by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravují do stejných standardů jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k vašim datům, aniž by si všimli.
(Žádné související zásady)
Vysoká
klíče Key Vault by měly mít datum vypršení platnosti. Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času na ohrožení klíče. Doporučeným postupem zabezpečení je nastavit data vypršení platnosti kryptografických klíčů.
(Související zásady: klíče Key Vault by měly mít datum vypršení platnosti)
Vysoká
Key Vault tajné kódy by měly mít datum vypršení platnosti. Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času na jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů.
(Související zásady: Key Vault tajné kódy by měly mít datum vypršení platnosti)
Vysoká
Trezory klíčů by měly mít povolenou ochranu před vymazáním. Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit trezory klíčů. Vyprázdnění ochrany chrání před útoky insider tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů.
(Související zásady: Trezory klíčů by měly mít povolenou ochranu před vymazáním).
Střední
Trezory klíčů by měly mít povolené obnovitelné odstranění. Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné vymazání trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání.
(Související zásady: Trezory klíčů by měly mít povolené obnovitelné odstranění.
Vysoká
U účtů s oprávněními vlastníka u předplatných by mělo být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby se zabránilo porušení zabezpečení účtů nebo prostředků.
(Související zásady: Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními vlastníka k vašemu předplatnému).
Vysoká
U účtů s oprávněními ke čtení u předplatných by mělo být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby se zabránilo porušení zabezpečení účtů nebo prostředků.
(Související zásady: Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními ke čtení ve vašem předplatném).
Vysoká
U účtů s oprávněními k zápisu u předplatných by mělo být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby se zabránilo porušení zabezpečení účtů nebo prostředků.
(Související zásady: Účty vícefaktorového ověřování s oprávněními k zápisu ve vašem předplatném)
Vysoká
Měl by být povolený Program Microsoft Defender pro Key Vault Microsoft Defender for Cloud zahrnuje Microsoft Defender pro Key Vault a poskytuje další vrstvu inteligentních funkcí zabezpečení.
Microsoft Defender for Key Vault detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům Key Vault nebo jejich zneužití.
Důležité: Za ochranu z tohoto plánu se účtují poplatky, jak je znázorněno na stránce plánů Defenderu . Pokud v tomto předplatném nemáte žádné trezory klíčů, nebudou se vám účtovat žádné poplatky. Pokud později vytvoříte trezory klíčů v tomto předplatném, automaticky se budou chránit a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech.
Další informace najdete v článku Úvod do programu Microsoft Defender pro Key Vault.
(Související zásady: Azure Defender pro Key Vault by měl být povolený.
Vysoká
Privátní koncový bod by měl být nakonfigurovaný pro Key Vault Private Link poskytuje způsob připojení Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat.
(Související zásady: Privátní koncový bod by měl být nakonfigurovaný pro Key Vault)
Střední
Veřejný přístup k účtu úložiště by měl být zakázán. Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Pokud chcete zabránit únikům dat způsobeným nežádoucím anonymním přístupem, microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje.
(Související zásady: Veřejný přístup účtu úložiště by měl být zakázán)
Střední
K předplatným by mělo být přiřazeno více než jeden vlastník. Určete více než jednoho vlastníka předplatného, aby měl přístup správce k redundanci.
(Související zásady: K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník)
Vysoká
Doba platnosti certifikátů uložených v Azure Key Vault by neměla překročit 12 měsíců. Ujistěte se, že certifikáty nemají dobu platnosti, která překračuje 12 měsíců.
(Související zásady: Certifikáty by měly mít zadanou maximální dobu platnosti)
Střední

Doporučení IoT

V této kategorii jsou k dispozici 4 doporučení.

Doporučení Description Závažnost
Výchozí zásady filtru IP adres by měly být odepřené. Konfigurace filtru PROTOKOLU IP by měla mít definovaná pravidla pro povolený provoz a ve výchozím nastavení by měla zakázat všechny ostatní přenosy.
(Žádné související zásady)
Střední
Diagnostické protokoly v IoT Hub by měly být povolené. Povolte protokoly a zachovejte je až na rok. To vám umožní znovu vytvořit trasy aktivit pro účely šetření, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě.
(Související zásady: Diagnostické protokoly v IoT Hub by měly být povolené.
Nízká
Identické přihlašovací údaje pro ověřování Identické ověřovací přihlašovací údaje k IoT Hub používané více zařízeními. To může znamenat nelegitimní zařízení, které zosobní legitimní zařízení. Zároveň zpřístupňuje riziko zosobnění zařízení útočníkem.
(Žádné související zásady)
Vysoká
Pravidlo filtru IP adres – velký rozsah IP adres Zdrojový rozsah IP adres pravidla filtru IP adres je příliš velký. Nadměrně permisivní pravidla můžou zveřejnit vaše centrum IoT pro škodlivé úmysly
(Žádné související zásady)
Střední

Doporučení pro sítě

V této kategorii je 13 doporučení.

Doporučení Description Závažnost
Přístup k účtům úložiště s konfigurací brány firewall a virtuální sítě by měl být omezený. Zkontrolujte nastavení síťového přístupu v nastavení brány firewall účtu úložiště. Doporučujeme nakonfigurovat pravidla sítě tak, aby k účtu úložiště měli přístup jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných INTERNETOVÝCH IP adres.
(Související zásady: Účty úložiště by měly omezit síťový přístup)
Nízká
Doporučení k adaptivnímu posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích. Defender for Cloud analyzoval vzorce komunikace internetového provozu virtuálních počítačů uvedených níže a zjistil, že stávající pravidla v skupině zabezpečení sítě, která jsou k nim přidružená, jsou nadměrně permisivní, což vede ke zvýšenému potenciálnímu útoku.
K tomu obvykle dochází, když tato IP adresa s tímto prostředkem pravidelně nekomunikuje. Případně je IP adresa označená jako škodlivá ze zdrojů analýzy hrozeb v programu Defender for Cloud. Další informace najdete v článku Vylepšení stavu zabezpečení sítě s adaptivním posílením zabezpečení sítě.
(Související zásady: Na internetových virtuálních počítačích by se měla použít doporučení adaptivního posílení zabezpečení sítě).
Vysoká
Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Defender for Cloud zjistil, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš permissivní. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může potenciálně umožnit útočníkům cílit na vaše prostředky.
(Související zásady: Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači).
Vysoká
Měla by být povolená služba Azure DDoS Protection Úrovně Standard Defender for Cloud zjistil virtuální sítě s Application Gateway prostředky nechráněnými službou ochrany před útoky DDoS. Tyto prostředky obsahují veřejné IP adresy. Povolte zmírnění rizik síťových útoků a útoků na protokoly.
(Související zásady: Měla by být povolena služba Azure DDoS Protection Standard)
Střední
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte virtuální počítač před potenciálními hrozbami tím, že ho omezíte pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control seznamu (ACL), která povolují nebo zakazují síťový provoz do vašeho virtuálního počítače z jiných instancí nebo mimo stejnou podsíť.
Aby byl váš počítač co nejbezpečnější, musí být přístup k internetu omezený a v podsíti by měla být povolená skupina zabezpečení sítě.
Virtuální počítače s vysokou závažností jsou internetové virtuální počítače.
(Související zásady: Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě).
Vysoká
Předávání IP na virtuálním počítači by mělo být zakázané. Defender for Cloud zjistil, že na některých vašich virtuálních počítačích je povolené předávání IP adres. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP je zřídka vyžadováno (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě.
(Související zásady: Předávání IP na virtuálním počítači by mělo být zakázané)
Střední
Počítače by měly mít zavřené porty, které by mohly vystavit vektory útoku Podmínky použití Azure zakazují používání služeb Azure způsoby, které by mohly poškodit, zakázat, přetížit nebo narušit jakýkoli server nebo síť Microsoftu. Toto doporučení obsahuje seznam vystavených portů, které je potřeba pro trvalé zabezpečení zavřít. Ukazuje také potenciální hrozbu pro každý port.
(Žádné související zásady)
Vysoká
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Defender for Cloud identifikoval některá přesná pravidla příchozích přenosů pro porty pro správu ve vaší skupině zabezpečení sítě. Povolte řízení přístupu za běhu pro ochranu virtuálního počítače před internetovými útoky hrubou silou. Další informace najdete v článku Principy přístupu k virtuálním počítačům za běhu (JIT).
(Související zásady: Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu)
Vysoká
Porty pro správu by se měly na virtuálních počítačích zavřít. Otevřené porty pro vzdálenou správu zveřejňují virtuální počítač na vysokou úroveň rizika před internetovými útoky. Tyto útoky se pokusí o hrubou silou přihlašovací údaje k získání přístupu správce k počítači.
(Související zásady: Porty pro správu by se měly na virtuálních počítačích zavřít)
Střední
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte svůj virtuální počítač bez internetu před potenciálními hrozbami tím, že ho omezíte pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control seznam (ACL), která povolují nebo zakazují síťový provoz do vašeho virtuálního počítače z jiných instancí, ať už jsou ve stejné podsíti.
Mějte na paměti, že aby byl váš počítač co nejbezpečnější, musí být přístup virtuálního počítače k internetu omezený a skupina zabezpečení sítě by měla být v podsíti povolená.
(Související zásady: Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě).
Nízká
Měl by se povolit zabezpečený přenos do účtů úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako je man-in-the-middle, odposlouchávání a napadení relace.
(Související zásady: Zabezpečený přenos do účtů úložiště by měl být povolený)
Vysoká
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami omezením přístupu k ní pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control seznamu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. Pokud je skupina zabezpečení sítě přidružená k podsíti, pravidla seznamu ACL platí pro všechny instance virtuálních počítačů a integrované služby v této podsíti, ale nevztahují se na interní provoz uvnitř podsítě. Pokud chcete zabezpečit prostředky ve stejné podsíti navzájem, povolte skupinu zabezpečení sítě přímo na prostředky.
Všimněte si, že následující typy podsítí budou uvedené jako nepoužitelné: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet.
(Související zásady: Podsítě by měly být přidružené ke skupině zabezpečení sítě)
Nízká
Virtuální sítě by měly být chráněné Azure Firewall Některé z vašich virtuálních sítí nejsou chráněné bránou firewall. Pomocí Azure Firewall můžete omezit přístup k virtuálním sítím a zabránit potenciálním hrozbám. Přečtěte si další informace o Azure Firewall.
(Související zásady: Veškerý internetový provoz by se měl směrovat přes nasazený Azure Firewall)
Nízká

Zastaralá doporučení

Doporučení Popis & souvisejících zásad Závažnost
Přístup ke službě App Services by měl být omezený. Omezte přístup ke službě App Services změnou konfigurace sítě tak, že zakážete příchozí provoz z rozsahů, které jsou příliš široké.
(Související zásady: [Preview]: Přístup ke službě App Services by měl být omezený)
Vysoká
Pravidla webových aplikací v NSG IaaS by měla být posílena. Posílení skupiny zabezpečení sítě (NSG) vašich virtuálních počítačů, na kterých běží webové aplikace, pomocí pravidel skupiny zabezpečení sítě, která jsou nadměrně permisivní s ohledem na porty webových aplikací.
(Související zásady: Pravidla skupin zabezpečení sítě pro webové aplikace v IaaS by měla být posílena).
Vysoká
Zásady zabezpečení podů by měly být definovány, aby se snížil vektor útoku odebráním nepotřebných oprávnění aplikace (Preview). Definujte zásady zabezpečení podů, abyste snížili vektor útoku odebráním nepotřebných oprávnění aplikace. Doporučujeme nakonfigurovat zásady zabezpečení podů, aby pody měly přístup jenom k prostředkům, ke kterým mají povolený přístup.
(Související zásady: [Preview]: Zásady zabezpečení podů by měly být definovány ve službě Kubernetes Services).
Střední
Nainstalujte modul Azure Security Center pro zabezpečení IoT, abyste získali lepší přehled o vašich zařízeních IoT. Nainstalujte Azure Security Center pro modul zabezpečení IoT, abyste získali lepší přehled o vašich zařízeních IoT. Nízká
Počítače by se měly restartovat, aby se nainstalovaly aktualizace systému. Restartujte počítače a nainstalujte aktualizace systému a zabezpečte počítač před ohroženími zabezpečení. (Související zásady: Na počítačích by se měly nainstalovat aktualizace systému) Střední
Na počítačích by měl být nainstalovaný agent monitorování. Tato akce nainstaluje agenta monitorování na vybrané virtuální počítače. Vyberte pracovní prostor pro agenta, na který se má nahlásit. (Žádné související zásady) Vysoká

Další kroky

Další informace o doporučeních najdete v následujících tématech: