Standardní hodnoty zabezpečení Azure pro Azure Resource Manager

Tento standardní plán zabezpečení použije pokyny z srovnávacího testu cloudového zabezpečení Microsoftu verze 1.0 na Azure Resource Manager. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro Azure Resource Manager.

Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Funkce, které se nevztahují na Azure Resource Manager, byly vyloučeny. Pokud chcete zjistit, jak se Azure Resource Manager zcela mapovat na srovnávací test cloudového zabezpečení Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Resource Manager.

Profil zabezpečení

Profil zabezpečení shrnuje chování Azure Resource Manager s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut chování služby Hodnota
Kategorie produktu MGMT/ zásady správného řízení
Zákazník má přístup k hostiteli nebo operačnímu systému Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ne
Ukládá obsah zákazníka v klidovém stavu. Ne

Zabezpečení sítě

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.

NS-2: Zabezpečení cloudových služeb pomocí ovládacích prvků sítě

Funkce

Popis: Funkce nativního filtrování IP adres služby pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Nasazením privátních koncových bodů vytvoříte privátní přístupový bod pro správu prostředků v kořenové skupině pro správu (tenanta).

Poznámka: Správa prostředků Private Link prostředky se dají připojit k privátnímu koncovému bodu a umožnit tak zabezpečený privátní přístup pro správu prostředků Azure.

Referenční informace: Vytvoření privátního propojení pro správu prostředků Azure

Zakázání přístupu k veřejné síti

Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Azure Resource Manager podporuje privátní připojení prostřednictvím privátních koncových bodů Azure a prostředku Privátní propojení správy prostředků. Možnost zakázat přístup k veřejné síti ale zatím není k dispozici.

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Privilegovaný přístup

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.

PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu

Funkce

Customer Lockbox

Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Ochrana dat

Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.

DP-3: Šifrování přenášených citlivých dat

Funkce

Šifrování dat při přenosu

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.

Referenční informace: Migrace na protokol TLS 1.2 pro Azure Resource Manager

DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.

Funkce

Šifrování dat v klidovém stavu pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.

Správa aktiv

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.

AM-2: Používejte jenom schválené služby

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.

Referenční informace: Azure Policy předdefinovaných definic pro Azure Resource Manager

Protokolování a detekce hrozeb

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender pro službu / nabídku produktů

Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Microsoft Defender pro Resource Manager monitorují operace správy prostředků ve vaší organizaci, ať už se provádějí prostřednictvím Azure Portal, rozhraní Azure REST API, Azure CLI nebo jiných programových klientů Azure. Defender for Cloud spouští pokročilé analýzy zabezpečení, které detekují hrozby a upozorní vás na podezřelou aktivitu.

Referenční informace: Přehled Microsoft Defender pro Resource Manager

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinovaných definic – Microsoft.Resources:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
[Preview]: Microsoft Defender pro rozhraní API by měla být povolená. Microsoft Defender pro rozhraní API přináší nové zjišťování, ochranu, detekci a & pokrytí odpovědí pro monitorování běžných chybných konfigurací zabezpečení založených na rozhraní & API. AuditIfNotExists, Zakázáno 1.0.2-preview
Azure Defender for App Service by měl být povolený. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Má Azure jako poskytovatel cloudu, k monitorování běžných útoků na webové aplikace. AuditIfNotExists, Zakázáno 1.0.3
Servery Azure Defender for Azure SQL Database by měly být povolené. Azure Defender pro SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly naznačovat hrozby pro databáze SQL, a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Měl by být povolený Azure Defender pro DNS. Azure Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků tím, že nepřetržitě monitoruje všechny dotazy DNS z vašich prostředků Azure. Azure Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS. Další informace o možnostech Azure Defenderu pro DNS najdete v tématu https://aka.ms/defender-for-dns . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Podrobnosti o cenách pro jednotlivé oblasti najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měl by být povolený Azure Defender for Key Vault. Azure Defender for Key Vault poskytuje další vrstvu ochrany a zabezpečení díky detekci neobvyklých a potenciálně škodlivých pokusů o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Azure Defender pro opensourcové relační databáze. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Další informace o možnostech Azure Defenderu pro opensourcové relační databáze najdete v tématu https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Informace o cenách najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, Zakázáno 1.0.0
Měl by být povolený Azure Defender for Resource Manager. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Další informace o možnostech Azure Defenderu pro Resource Manager najdete v tématu https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Podrobnosti o cenách pro jednotlivé oblasti najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měl by být povolený Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro serverové úlohy a generuje doporučení k posílení zabezpečení a také upozornění na podezřelé aktivity. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Azure Defender pro servery SQL na počítačích. Azure Defender pro SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly naznačovat hrozby pro databáze SQL, a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Microsoft Defender csPM by měl být povolený Defender Cloud Security Posture Management (CSPM) poskytuje vylepšené možnosti stavu a nový inteligentní graf zabezpečení cloudu, který pomáhá identifikovat, určit prioritu a snížit riziko. Defender CSPM je k dispozici kromě bezplatných základních funkcí zabezpečení, které jsou ve výchozím nastavení zapnuté v Defenderu pro cloud. AuditIfNotExists, Zakázáno 1.0.0
Microsoft Defender pro kontejnery by měla být povolená. Microsoft Defender pro kontejnery poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Azure, hybridní prostředí a prostředí Kubernetes s více cloudy. AuditIfNotExists, Zakázáno 1.0.0
Microsoft Defender pro storage (Classic) by měla být povolená. Microsoft Defender for Storage (Classic) poskytuje detekci neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.4
Microsoft Defender pro úložiště by měla být povolená. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrávání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci hrozeb citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (podle účtu úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, Zakázáno 1.0.0

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Povolte protokoly prostředků pro Azure Resource Manager. Při vytváření a správě prostředků v Azure se vaše požadavky orchestrují prostřednictvím řídicí roviny Azure, Azure Resource Manager. Pomocí protokolování prostředků můžete monitorovat objem a latenci požadavků řídicí roviny provedených do Azure. S těmito metrikami můžete sledovat provoz a latenci požadavků řídicí roviny v rámci vašich předplatných. Teď můžete například zjistit, kdy byly vaše požadavky omezené nebo neúspěšné, filtrováním konkrétních stavových kódů.

Referenční informace: Metriky Azure Resource Manager ve službě Azure Monitor

Backup a obnovení

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.

BR-1: Zajištění pravidelného automatizovaného zálohování

Funkce

Funkce nativního zálohování služby

Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Export šablon Azure Resource Manager nejde použít k zachycení neaktivních uložených dat. Pro konfigurace prostředků doporučujeme vytvořit infrastrukturu ze zdrojových šablon a v případě potřeby znovu nasadit z tohoto zdroje pravdy. Export šablony může pomoct spustit tento proces, ale není dostatečně robustní, aby mohl zohlednit zotavení po havárii.

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Další kroky