Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje funkci Insights (Preview) ve službě Azure Migrate, která poskytuje posouzení zabezpečení infrastruktury a inventáře softwaru zjištěného ve vašem datacentru.
Klíčové výhody přehledů: Co uživatelé získávají
- Před plánováním migrace zkontrolujte rizika zabezpečení ve vašem datacentru.
- Naplánujte zmírnění rizik a opravte problémy se zabezpečením a proveďte migraci do Azure hladce a bezpečně.
- Identifikujte a naplánujte upgrade serverů Windows a Linux s operačními systémy bez podpory, softwarem s ukončenou podporou a neprovedenými aktualizacemi.
- Detekujte ohrožení zabezpečení ve zjištěném softwaru a proveďte opatření k nápravě rizik.
- Identifikujte servery bez softwaru pro správu zabezpečení nebo oprav a naplánujte konfiguraci Programu Microsoft Defender pro cloud a Azure Update Manager.
Insights o zabezpečení dat
Azure Migrate se v současné době zaměřuje na základní sadu oblastí rizik zabezpečení. Každá oblast odpovídá konkrétnímu přehledu zabezpečení. Následující tabulka shrnuje dostupná data přehledů:
| Resource | Přehled zabezpečení | Podrobnosti |
|---|---|---|
| Servers | S riziky zabezpečení | Servery jsou označeny příznakem, pokud mají aspoň jedno z následujících bezpečnostních rizik: operační systém s ukončenou podporou, software s ukončenou podporou, známé zranitelnosti (CVE), chybějící software pro správu zabezpečení nebo záplat, čekající kritické nebo bezpečnostní aktualizace. |
| Ukončení podpory operačního systému | Servery s operačním systémem bez podpory. | |
| Konec podpory softwaru | Servery s ukončeným softwarem podpory zjištěným ve službě Azure Migrate | |
| S chybami zabezpečení | Servery se známým ohrožením zabezpečení (CVE) v operačním systému a zjištěným softwarem. | |
| Chybějící software zabezpečení | Servery bez zjištěného softwaru patřícího do kategorie zabezpečení softwaru. | |
| Chybějící software pro správu oprav | Servery bez zjištěného softwaru pro správu oprav. | |
| Čekající aktualizace | Servery s čekajícími aktualizacemi nebo opravami. | |
| Softwarový produkt | S riziky zabezpečení | Software s alespoň jedním z bezpečnostních rizik – ukončení podpory, ohrožení zabezpečení. |
| Ukončení podpory | Software, pro který byl dodavatelem ukončená podpora. | |
| S chybami zabezpečení | Software se známým ohrožením zabezpečení (CVE). |
Jak jsou poznatky odvozeny
Azure Migrate identifikuje potenciální bezpečnostní rizika ve vašem datacentru pomocí dat inventáře softwaru shromážděných prostřednictvím procesu zjišťování zařízení Azure Migrate. Když spustíte zjišťování místního prostředí, obvykle zadáte přihlašovací údaje hosta pro servery s Windows a Linuxem. Nástroj tak může shromažďovat informace o nainstalovaném softwaru, konfiguraci operačního systému a čekajících aktualizacích. Azure Migrate tato data zpracovává za účelem generování klíčových přehledů zabezpečení bez nutnosti dalších přihlašovacích údajů nebo oprávnění.
Poznámka:
Azure Migrate nenainstaluje další agenty nebo spouští hloubkovou kontrolu vašeho prostředí. Přehledy zabezpečení jsou omezené na data softwaru a operačního systému zjištěná prostřednictvím rychlého zjišťování zařízení Azure Migrate. Analyzuje shromážděná data inventáře softwaru a porovnává je s veřejně dostupnými databázemi zranitelností a životního cyklu podpory, aby zdůraznila bezpečnostní rizika ve vašem datovém centru.
Bezpečnostní rizika se odvozují prostřednictvím řady následujících analýz:
Software pro ukončení podpory: Azure Migrate kontroluje verze zjištěného softwaru na veřejně dostupném úložišti endoflife.date . Všechna data konce životnosti se aktualizují každých 7 dnů. Pokud se zjistí, že software je na konci podpory (což znamená, že dodavatel už neposkytuje aktualizace zabezpečení), je označen jako bezpečnostní riziko. Identifikace nepodporovaného softwaru v rané fázi pomáhá plánovat upgrady nebo zmírnění rizik v rámci migrace do cloudu.
Ohrožení zabezpečení: Azure Migrate identifikuje nainstalovaný software a operační systém (OS) pro každý server. Mapuje zjištěný software a operační systém na terminologii CPE (Common Platform Enumeration) pomocí modelu AI, který poskytuje jedinečnou identifikaci pro každou verzi softwaru. Ukládá pouze metadata softwaru (název, vydavatel, verze) a nezachytává žádné informace specifické pro organizaci. Azure Migrate koreluje názvy CPE se známými ID CVE (běžná zranitelnost a expozice). ID CVE jsou jedinečné identifikátory přiřazené k veřejně zveřejněnému ohrožení zabezpečení kybernetické bezpečnosti a pomáhají organizacím identifikovat a sledovat ohrožení zabezpečení standardním způsobem. Další podrobnosti najdete v cve . Informace o ID CVE a souvisejícím softwaru pocházejí z veřejně dostupné národní databáze ohrožení zabezpečení (NVD), kterou spravuje NIST. To pomáhá identifikovat ohrožení zabezpečení v softwaru. Každá ohrožení zabezpečení je kategorizována podle úrovně rizika (kritická, vysoká, střední, nízká) na základě skóre CVSS poskytnutého nvD. Tato funkce používá rozhraní API NVD, ale není schválena ani certifikována organizací NVD. Všechna data CVE z Národní databáze zranitelností se obnovují každých 7 dní.
Čekající aktualizace pro servery: Azure Migrate identifikuje počítače, které nejsou plně opravené nebo aktualizované na základě metadat služby Windows Update pro servery s Windows a metadata správce balíčků Linuxu pro servery s Linuxem. Načte také klasifikaci těchto aktualizací (kritické, bezpečnostní, další aktualizace) a zobrazí je pro další úvahy. Azure Migrate aktualizuje data ze správců balíčků Windows Update a Linux každých 24 hodin. Tento přehled se zobrazí jako servery s čekajícími aktualizacemi zabezpečení a kritickými aktualizacemi, které značí, že server není plně opravený a měl by být aktualizován.
Chybějící software pro správu zabezpečení a oprav: Azure Migrate klasifikuje software zpracováním názvu a vydavatele do předdefinovaných kategorií a dílčích kategorií. Další informace. Identifikuje nechráněné servery, které nemají software zabezpečení a dodržování předpisů identifikovaný prostřednictvím inventáře softwaru. Pokud například inventář softwaru indikuje server bez softwaru v kategoriích, jako jsou antivirová ochrana, detekce hrozeb, SIEM, IAM nebo správa oprav, Azure Migrate označí server jako potenciální bezpečnostní riziko.
Azure Migrate aktualizuje přehledy zabezpečení při každé aktualizaci zjištěných dat inventáře softwaru. Platforma aktualizuje přehledy, když spustíte nové zjišťování nebo když zařízení Azure Migrate odesílá aktualizace inventáře. Obvykle spouštíte úplné zjišťování na začátku projektu a před dokončením posouzení můžete provádět pravidelné opakované kontroly. Všechny změny systému, jako jsou nové opravy nebo software dosahující konce své životnosti, se projeví v aktualizovaných přehledech zabezpečení.
Výpočet počtu rizik zabezpečení
Pomocí následujícího vzorce můžete vypočítat počet bezpečnostních rizik pro server:
Příznak ukončení podpory operačního systému + Příznak ukončení podpory softwaru + Počet ohrožení zabezpečení + Počet nevyřízených kritických aktualizací a aktualizací zabezpečení + Příznak softwaru + Příznak softwaru pro správu oprav
- Příznak ukončení podpory operačního systému = 1, pokud je serverový operační systém na konci podpory; jinak, 0.
- Příznak ukončení podpory softwaru = 1, pokud je software na konci podpory; jinak, 0.
- Počet zranitelností = Počet CVEs identifikovaných pro server.
- Počet čekajících důležitých a bezpečnostních aktualizací = Čekající aktualizace pro servery s Windows a Linuxem, které jsou klasifikovány jako Kritické nebo Zabezpečení.
- Příznak softwaru zabezpečení = 1, pokud na serveru nebyl zjištěn žádný software patřící do kategorie Zabezpečení; jinak, 0.
- Příznak softwaru pro správu oprav = 1, pokud na serveru nebyl zjištěn žádný software patřící do podkategorie Správy oprav; jinak, 0.
Poznámka:
Přehled zabezpečení ve službě Azure Migrate pomáhá řídit a zvýraznit potenciální rizika zabezpečení v datacentru. Neměly by být porovnávány se specializovanými bezpečnostními nástroji. Pro komplexní ochranu vašeho hybridního prostředí doporučujeme přijmout služby Azure, jako je Microsoft Defender for Cloud a Azure Update Manager .
Požadavky na kontrolu přehledů
Ujistěte se, že jsou splněné následující požadavky pro generování úplných přehledů:
- Použijte zjišťování založené na appliance ve službě Azure Migrate k prohlížení přehledů. Generování přehledů může trvat až 24 hodin. Zjišťování na základě importu se nepodporuje.
- Použijte existující projekt nebo vytvořte projekt Azure Migrate pomocí portálu ve všech veřejných oblastech podporovaných službou Azure Migrate. Tato funkce se v současné době nepodporuje v cloudech státní správy.
- Ujistěte se, že jsou na zařízeních povolené funkce zjišťování hostů.
- Ujistěte se, že nedošlo k žádným problémům se zjišťováním softwaru. Přejděte do Centra akcí v projektu Azure Migrate a vyfiltrujte problémy s inventářem softwaru.
- Za posledních 30 dnů se ujistěte, že se inventář softwaru aktivně shromažďuje pro všechny servery aspoň jednou.
Analýza přehledů
Prohlížení přehledů ve službě Azure Migrate:
Přejděte na portál Azure Migrate .
Vyberte projekt ze všech projektů.
V nabídce vlevo vyberte Prozkoumat přehledy inventáře>(Preview) a zkontrolujte přehledy zabezpečení pro vybraný projekt. Tato stránka obsahuje souhrn bezpečnostních rizik na zjištěných serverech a softwaru.
Výběrem libovolného přehledu můžete zkontrolovat podrobné informace. Souhrnná karta zvýrazňuje důležitá bezpečnostní rizika ve vašem datacentru, která vyžadují okamžitou pozornost. Identifikuje:
- Servery s kritickými ohroženími zabezpečení, které po migraci využívají povolení Microsoft Defenderu pro cloud.
- Servery s operačními systémy s koncovou podporou, které během migrace doporučují upgrady.
- Počet serverů s čekajícími důležitými aktualizacemi a aktualizacemi zabezpečení, které navrhují nápravu pomocí Azure Update Manageru po migraci. Servery s kritickými riziky můžete označit jako podporu efektivního plánování a zmírnění rizik během modernizace do Azure.
Revize posouzení rizik serveru
Karta Servery zobrazuje souhrn všech zjištěných serverů s bezpečnostními riziky. Server je považován za rizikový, pokud má aspoň jeden z následujících problémů:
Operační systém ukončení podpory
Software pro ukončení podpory
Známá ohrožení zabezpečení (CVE) v nainstalovaném softwaru nebo operačním systému
Chybějící software pro správu zabezpečení nebo oprav
Čekající důležité aktualizace nebo aktualizace zabezpečení
Kontrola posouzení rizik softwaru
Softwarová karta zobrazuje souhrn veškerého zjištěného softwaru s riziky zabezpečení. Software je označený jako ohrožený, pokud je buď ukončena podpora, nebo má známé chyby zabezpečení (CVE). Na kartě se zobrazuje počet softwaru s ukončením podpory a softwaru s ohrožením zabezpečení ve formě zlomků z celkového počtu softwaru s bezpečnostními riziky.
Projděte si podrobné přehledy zabezpečení.
Pokud chcete zkontrolovat podrobná rizika zabezpečení pro servery a software, proveďte následující akce:
Kontrola serverů s riziky zabezpečení
Pokud chcete zkontrolovat podrobná rizika zabezpečení pro servery, postupujte takto:
Přejděte do podokna Přehledy (Preview).
Na kartě Servery vyberte odkaz, který zobrazuje počet serverů s riziky zabezpečení.
Můžete zobrazit podrobný seznam zjištěných serverů, použít značky pro podporu plánování migrace a exportovat data serveru jako soubor .csv.
Zobrazení serverů podle rizika zabezpečení
Pokud chcete zobrazit servery s určitými riziky zabezpečení, přejděte do podokna Přehledy (Preview). Na kartě Servery uvidíte a vyberete podrobný seznam serverů ovlivněných následujícími problémy:
- Operační systémy bez podpory
- Software pro ukončení podpory
- Známá ohrožení zabezpečení (CVE) v nainstalovaném softwaru nebo operačních systémech
- Chybějící nástroje pro správu zabezpečení nebo oprav
Případně můžete filtrovat servery s riziky zabezpečení z podokna Prozkoumat inventář>Veškerý inventář a Prozkoumat inventář>Infrastruktura.
Kontrola softwaru s riziky zabezpečení
Pokud chcete zkontrolovat software s identifikovanými bezpečnostními riziky, postupujte takto:
Přejděte do podokna Přehledy (Preview).
Na kartě Software vyberte odkaz, který zobrazuje počet softwarových položek s bezpečnostními riziky.
Můžete zobrazit podrobný seznam zjištěného softwaru, prozkoumat přidružená metadata a exportovat data jako soubor .csv.
Pokud chcete zobrazit software s určitými riziky zabezpečení, přejděte do podokna Přehledy (Preview). tady se zobrazí podrobný seznam ovlivněných softwaru z důvodu následujících problémů:
- Stav ukončení podpory
- Známá ohrožení zabezpečení (CVE)
Alternativně můžete filtrovat software s ukončenou podporou a software se známými zranitelnostmi v podokně Prozkoumat Inventář>software.
Prohlédnout si podrobné přehledy bezpečnosti pro server
Zobrazení podrobných přehledů zabezpečení pro konkrétní server:
V nabídce vlevo přejděte do podokna Infrastruktura a vyberte server, který chcete zkontrolovat.
Vyberte kartu Přehledy (Preview). Na kartě se zobrazí přehledy zabezpečení pro vybraný server, mezi které patří:
- Stav podpory operačního systému
- Přítomnost softwaru pro správu zabezpečení a oprav
- Čekající důležité aktualizace a aktualizace zabezpečení
- Software pro ukončení podpory
- Software se známými ohroženími zabezpečení (CVE)
- Shrnutí prvních pěti čekajících aktualizací a prvních pět ohrožení zabezpečení je k dispozici, aby bylo možné určit prioritu nápravy.
Správa oprávnění pro Přehledy zabezpečení
Přehledy zabezpečení jsou ve výchozím nastavení povolené pro všechny uživatele. Pokud chcete spravovat přístup, vytvořte vlastní role a odeberte následující oprávnění:
| Resource | Povolení | Description |
|---|---|---|
| Čekající aktualizace | Microsoft.OffAzure/hypervSites/machines/inventoryinsights/pendingupdates/* |
Čtení čekajících aktualizací webu Hyper-V |
Microsoft.OffAzure/serverSites/machines/inventoryinsights/pendingupdates/* |
Čtení čekajících aktualizací stránky fyzického serveru | |
Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/pendingupdates/* |
Čtení čekajících aktualizací virtuálního stroje VMware | |
| Slabá místa | Microsoft.OffAzure/hypervSites/machines/inventoryinsights/vulnerabilities/* |
Čtěte o zranitelnostech lokality Hyper-V |
Microsoft.OffAzure/serverSites/machines/inventoryinsights/vulnerabilities/* |
Přečíst si zranitelnosti fyzického serveru. | |
Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/vulnerabilities/* |
Čtěte zranitelnosti virtuálního stroje VMware |
Pro správu přístupu k zobrazení přehledů můžete také implementovat předdefinované role pro Službu Azure Migrate. Další informace
Pokud uživatel nemá oprávnění k zobrazení přehledů, zobrazí se následující chybová zpráva:
Poznámka:
Stav podpory operačních systémů a softwaru je vlastnost na úrovni počítače. Uživatelský přístup k tomuto informacím je určen oprávněními přiřazenými na úrovni počítače.
Prozkoumání služeb Azure za účelem zmírnění rizik zabezpečení
Azure nabízí integrovaná řešení pro identifikaci a zmírnění rizik zabezpečení a posílení stavu zabezpečení cloudu:
- Microsoft Defender for Cloud poskytuje jednotnou správu zabezpečení a pokročilou ochranu před hrozbami. Průběžně vyhodnocuje prostředky s ohledem na nesprávné konfigurace a zranitelnosti a poskytuje akční doporučení pro posílení vaší infrastruktury. Sladění s oborovými standardy zajišťuje, že zůstanou vaše úlohy zabezpečené a v souladu s předpisy.
- Azure Update Manager zjednodušuje opravy operačního systému bez další infrastruktury. Automatizuje plány aktualizací, které minimalizují rizika zabezpečení z nepatchovaných systémů a nabízí podrobné sestavy dodržování předpisů. Díky podrobné kontrole nad nasazeními pomáhá udržovat integritu systému a odolnost proti vyvíjejícím se hrozbám.
Další kroky
- Přečtěte si další informace o oprávněních ve službě Azure Migrate.
- Přečtěte si další informace o nákladech na zabezpečení v obchodních případech.
- Přečtěte si další informace o posouzeních.