Biztonsági helyzet a Microsoft Defender for Cloudhoz

A biztonsági pontszám áttekintése

A Felhőhöz készült Microsoft Defender két fő célt szolgál:

  • a jelenlegi biztonsági helyzet megértéséhez
  • hatékonyan és hatékonyan javíthatja a biztonságot

A defender for Cloud központi funkciója, amely lehetővé teszi ezen célok elérését, a biztonsági pontszám.

A Defender for Cloud folyamatosan értékeli a felhők közötti erőforrásokat biztonsági problémák esetén. Ezután az összes megállapítást egyetlen pontszámba összesíti, így egy pillantással megállapíthatja az aktuális biztonsági helyzetet: minél magasabb a pontszám, annál alacsonyabb az azonosított kockázati szint.

  • A Azure Portal oldalakon a biztonsági pontszám százalékértékként jelenik meg, és a mögöttes értékek is egyértelműen megjelennek:

    Általános biztonsági pontszám a portálon látható módon.

  • Az Azure-mobilalkalmazásban a biztonsági pontszám százalékértékként jelenik meg, és a biztonsági pontszámra koppintva megtekintheti a pontszámot magyarázó részleteket:

    Általános biztonsági pontszám az Azure-mobilalkalmazásban látható módon.

A biztonság növelése érdekében tekintse át a Defender for Cloud javaslati oldalát, és javítsa ki a javaslatot az egyes problémákra vonatkozó javítási utasítások végrehajtásával. A javaslatok biztonsági vezérlőkbe vannak csoportosítva. Minden vezérlő a kapcsolódó biztonsági javaslatok logikai csoportja, és a sebezhető támadási felületeket tükrözi. A pontszám csak akkor javul, ha egy vezérlőn belül egyetlen erőforrásra vonatkozó összes javaslatot kijavít. Annak megtekintéséhez, hogy a szervezet mennyire biztosítja az egyes támadási felületeket, tekintse át az egyes biztonsági vezérlők pontszámait.

További információ: A biztonsági pontszám kiszámítása az alábbiakban.

A biztonsági helyzet kezelése

A Biztonsági állapot lapon láthatja a teljes előfizetés biztonsági pontszámát, valamint az előfizetésben lévő összes környezetet. Alapértelmezés szerint minden környezet megjelenik.

Képernyőkép a biztonsági helyzet oldaláról.

Lapszakasz Leírás
Képernyőkép a különböző környezeti beállításokról. Válassza ki a környezetet a biztonsági pontszám és a részletek megtekintéséhez. Egyszerre több környezet is kijelölhető. A lap az itt megadott beállítástól függően változik.
Képernyőkép a biztonsági állapot lap környezeti szakaszáról. A teljes pontszámot befolyásoló előfizetések, fiókok és projektek teljes számát jeleníti meg. Azt is megmutatja, hogy hány nem kifogástalan erőforrás van, és hány javaslat létezik a környezetekben.

Az oldal alsó felében megtekintheti és kezelheti az egyes biztonsági pontszámokat, a nem megfelelő állapotú erőforrások számát, és akár az összes egyes előfizetésre, fiókra és projektre vonatkozó javaslatokat is megtekintheti.

Ezt a szakaszt környezet szerint csoportosíthatja a Csoportosítás környezet szerint jelölőnégyzet bejelölésével.

Képernyőkép a biztonsági helyzet oldalának alsó feléről.

A biztonsági pontszám kiszámításának menete

Az egyes biztonsági vezérlőknek az általános biztonsági pontszámhoz való hozzájárulását a javaslatok oldalon tekintheti meg.

A Microsoft Defender for Cloud biztonsági vezérlői és azok hatása a biztonsági pontszámra.

A biztonsági vezérlő összes lehetséges pontjának lekéréséhez minden erőforrásnak meg kell felelnie a biztonsági vezérlő összes biztonsági javaslatának. A Defender for Cloud például több javaslattal is rendelkezik a felügyeleti portok védelmére vonatkozóan. A biztonsági pontszámhoz képest minden javítást el kell végeznie.

Példa egy vezérlőelem pontszámára

Képernyőkép a rendszerfrissítések biztonsági vezérlőjének alkalmazásáról.

Ebben a példában:

  • Biztonsági rések elleni védelem – Ez a vezérlő több javaslatot is csoportosít az ismert biztonsági rések felderítésével és megoldásával kapcsolatban.

  • Maximális pontszám – A maximális pontszám, amelyet egy vezérlőn belül az összes javaslat elvégzésével szerezhet. A vezérlőelemek maximális pontszáma a vezérlő relatív jelentőségét jelzi, és minden környezetben rögzített. A maximális pontszámértékeket használva osztályazhatja a problémákat, hogy először működjön.
    Az összes vezérlő és a maximális pontszámok listáját a Biztonsági vezérlők és azok javaslatai című témakörben találja.

  • Aktuális pontszám – A vezérlő aktuális pontszáma.

    Aktuális pontszám = [Pontszám erőforrásonként] * [Kifogástalan állapotú erőforrások száma]

    Minden vezérlő hozzájárul a teljes pontszámhoz. Ebben a példában a vezérlő 2,00 ponttal járul hozzá az aktuális teljes biztonsági pontszámhoz.

  • Lehetséges pontszámnövelés – A vezérlőn belül elérhető fennmaradó pontok. Ha a vezérlő összes javaslatát kijavítja, a pontszám 9%-kal nő.

    Lehetséges pontszámnövelés = [Pontszám erőforrásonként] * [Nem kifogástalan erőforrások száma]

  • Elemzések – További részleteket nyújt az egyes javaslatokról, például:

    • Előzetes verzióra vonatkozó javaslat – Ez a javaslat mindaddig nem befolyásolja a biztonsági pontszámot, amíg az általánosan elérhető nem lesz.

    • Javítás – A javaslat részleteit tartalmazó lapon a "Javítás" lehetőség használható a probléma megoldásához.

    • Kényszerítés – A javaslat részleteit tartalmazó lapon automatikusan üzembe helyezhet egy szabályzatot a probléma megoldásához, amikor valaki nem megfelelő erőforrást hoz létre.

    • Megtagadás – A javaslat részleteit tartalmazó lapon megakadályozhatja, hogy új erőforrásokat hoz létre ezzel a problémával.

Számítások – a pontszám megértése

Metric Képlet és példa
A biztonsági vezérlő aktuális pontszáma
Egyenlet egy biztonsági vezérlő pontszámának kiszámításához.

Minden egyes biztonsági vezérlő hozzájárul a biztonsági pontszámhoz. A vezérlőn belüli javaslat által érintett minden erőforrás hozzájárul a vezérlő aktuális pontszámához. Az egyes vezérlők aktuális pontszáma a vezérlőn belüli erőforrások állapotának mértéke.
Elemleírások a biztonsági vezérlő aktuális pontszámának kiszámításakor használt értékekről
Ebben a példában a 6-os maximális pontszám 78-tal lenne elosztva, mert ez az egészséges és nem kifogástalan erőforrások összege.
6 / 78 = 0,0769
Ha megszorozza ezt az állapotú erőforrások számával (4) az aktuális pontszámot eredményezi:
0,0769 * 4 = 0,31

Biztonsági pontszám
Egyetlen előfizetés vagy összekötő

Egyenlet egy előfizetés biztonsági pontszámának kiszámításához

Egyetlen előfizetés biztonsági pontszáma az összes engedélyezett vezérlővel
Ebben a példában egyetlen előfizetés vagy összekötő áll rendelkezésre az összes elérhető biztonsági vezérlővel (ez a maximális pontszám 60 pont). A pontszám egy lehetséges 60-ból 28 pontot mutat, a fennmaradó 32 pontot pedig a biztonsági vezérlők "Lehetséges pontszámnövelés" adatai tükrözik.
A vezérlők listája és a lehetséges pontszámnövelés
Ez az egyenlet ugyanaz az egyenlet egy összekötőhöz, amelynél csak a szó-előfizetést váltja fel az összekötő szó.
Biztonsági pontszám
Több előfizetés és összekötő

Egyenlet több előfizetés biztonsági pontszámának kiszámításához.

A több előfizetés és összekötő összesített pontszáma az egyes előfizetések és összekötők súlyát tartalmazza. Az előfizetések és összekötők relatív súlyát a Defender for Cloud határozza meg olyan tényezők alapján, mint az erőforrások száma.
Az egyes előfizetések, dn-összekötők aktuális pontszámának kiszámítása ugyanúgy történik, mint egyetlen előfizetésnél vagy összekötőnél, de a súlyozás az egyenletben látható módon lesz alkalmazva.
Ha több előfizetést és összekötőt tekint meg, a biztonsági pontszám kiértékeli az összes engedélyezett szabályzat összes erőforrását, és csoportosítja az egyes biztonsági vezérlők maximális pontszámára gyakorolt együttes hatásukat.
Több előfizetés biztonsági pontszáma, amelyen engedélyezve van az összes vezérlő
A kombinált pontszám nem átlag; inkább az összes előfizetés és összekötő összes erőforrásának állapotának kiértékelt állapota.

Itt is, ha a javaslatok oldalra lép, és összeadja az elérhető lehetséges pontokat, azt fogja tapasztalni, hogy ez a különbség az aktuális pontszám (22) és a maximális elérhető pontszám (58) között.

Milyen javaslatokat tartalmaz a biztonsági pontszám kiszámítása?

Csak a beépített javaslatok befolyásolják a biztonsági pontszámot.

Az előzetes verzióként megjelölt javaslatok nem szerepelnek a biztonsági pontszám számításaiban. A javítást továbbra is ott kell elvégezni, ahol csak lehetséges, hogy az előzetes verzió időszakának végén hozzájáruljanak a pontszámhoz.

Az előzetes verzióra vonatkozó javaslatok a következőkkel vannak megjelölve:

Biztonsági pontszám javítása

A biztonsági pontszám javításához javítsa ki a biztonsági javaslatokat a javaslatok listájából. Az egyes erőforrásokra vonatkozó javaslatokat manuálisan is kijavíthatja, vagy a Javítás lehetőséggel (ha elérhető) gyorsan megoldhat egy problémát több erőforráson. További információ: Javaslatok szervizelése.

A vonatkozó javaslatok kényszerítési és megtagadási beállításait is konfigurálhatja , hogy javítsa a pontszámot, és győződjön meg arról, hogy a felhasználók nem hoznak létre olyan erőforrásokat, amelyek negatívan befolyásolják a pontszámot.

Biztonsági vezérlők és javaslatuk

Az alábbi táblázat a Microsoft Defender for Cloud biztonsági vezérlőinek listáját tartalmazza. Az egyes vezérlők esetében láthatja, hogy legfeljebb hány pontot adhat hozzá a biztonsági pontszámhoz, ha az összes erőforrásra vonatkozóan kijavítja a vezérlőben felsorolt összes javaslatot.

A Defender for Cloud által biztosított biztonsági javaslatok az egyes szervezetek környezetében elérhető erőforrásokhoz igazodnak. A javaslatok további testreszabásához letilthatja a szabályzatokat , és egyes erőforrásokat mentesíthet a javaslatok alól .

Azt javasoljuk, hogy minden szervezet gondosan tekintse át a hozzájuk rendelt Azure Policy kezdeményezéseket.

Tipp

A kezdeményezések áttekintésével és szerkesztésével kapcsolatos részletekért lásd: Biztonsági szabályzatok használata.

Bár a Defender for Cloud alapértelmezett biztonsági kezdeményezése az iparági ajánlott eljárásokon és szabványokon alapul, vannak olyan forgatókönyvek, amelyekben az alább felsorolt beépített javaslatok nem feltétlenül felelnek meg teljesen a szervezetnek. Néha szükség van az alapértelmezett kezdeményezés módosítására – a biztonság veszélyeztetése nélkül –, hogy az megfeleljen a szervezet saját szabályzatainak, iparági szabványainak, szabályozási szabványainak és teljesítménymutatóinak.

Biztonsági pontszám Biztonsági vezérlő és leírás Javaslatok
10 Az MFA engedélyezése – A Defender for Cloud nagy értéket helyez el a többtényezős hitelesítés (MFA) esetében. Ezekkel a javaslatokkal biztonságossá teheti az előfizetések felhasználóit.
Az MFA engedélyezésének három módja van, és meg kell felelnie a javaslatoknak: alapértelmezett biztonsági beállítások, felhasználónkénti hozzárendelés, feltételes hozzáférési szabályzat. További információ ezekről a lehetőségekről: MFA-kényszerítés kezelése az előfizetéseken.
– Az Azure-erőforrásokhoz tulajdonosi engedélyekkel rendelkező fiókok esetében engedélyezni kell az MFA-t
– Az Azure-erőforrások írási engedélyeivel rendelkező fiókok esetében engedélyezni kell az MFA-t
– Az MFA-t engedélyezni kell az előfizetések tulajdonosi engedélyeivel rendelkező fiókokon
– Az MFA-t engedélyezni kell az előfizetéseken írási engedélyekkel rendelkező fiókokon
8 Biztonságos felügyeleti portok – A találgatásos támadások gyakran felügyeleti portokat céloznak meg. Ezekkel a javaslatokkal csökkentheti az expozíciót olyan eszközökkel, mint a virtuális gépek igény szerint történő elérése és a hálózati biztonsági csoportok. – Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
– A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni
– A felügyeleti portokat be kell zárni a virtuális gépeken
6 Rendszerfrissítések alkalmazása – A frissítések alkalmazásának elmaradása nem engedélyezett biztonsági réseket és támadásra érzékeny környezeteket eredményez. Ezekkel a javaslatokkal fenntarthatja a működési hatékonyságot, csökkentheti a biztonsági réseket, és stabilabb környezetet biztosíthat a végfelhasználók számára. A rendszerfrissítések központi telepítéséhez az Update Management megoldással kezelheti a gépek javításait és frissítéseit . – A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra
– A Log Analytics-ügynököt telepíteni kell a virtuális gépekre
– A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– Telepíteni kell a virtuálisgép-méretezési csoportok rendszerfrissítéseit
– A rendszerfrissítéseket telepíteni kell a gépekre
– A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti)
6 Biztonsági rések elhárítása – A Defender for Cloud több biztonságirés-felmérési szkennert is tartalmaz a gépek, adatbázisok és tárolóregisztrációs adatbázisok ellenőrzéséhez, hogy vannak-e olyan gyengeségek, amelyeket a fenyegetést okozó szereplők kihasználhatnak. Ezekkel a javaslatokkal engedélyezheti ezeket a képolvasókat, és áttekintheti az eredményeket.
További információ a gépek, AZ SQL-kiszolgálók és a tárolóregisztrációs adatbázisok vizsgálatáról.
– Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Azure Kubernetes Service fürtökben telepítve kell lennie a Kubernetes Azure Policy bővítményének
– A kódtárakban fel kell oldani a kódkeresési eredményeket
– A kódtárakban meg kell oldani a Dependabot vizsgálati eredményeit
– A kódtáraknak infrastruktúrával kell rendelkezniük a kódvizsgálati eredmények megoldásakor
– A kódtárakban fel kell oldani a titkos kódok vizsgálatának eredményeit
– A tárolórendszerképeket csak megbízható regisztrációs adatbázisokból kell üzembe helyezni
– A tárolóregisztrációs adatbázis lemezképeinek biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– A függvényalkalmazások biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– A Kubernetes-fürtöknek meg kell akadályoznia a sebezhető képek üzembe helyezését
– A gépeknek sebezhetőségi felmérési megoldással kell rendelkezniük
– A gépek biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– A tárolólemezképek futtatásának meg kell oldania a biztonsági rések felderítését
4 Biztonsági konfigurációk szervizelése – A helytelenül konfigurált informatikai eszközök támadásának kockázata nagyobb. Ezekkel a javaslatokkal megerősítheti az azonosított helytelen konfigurációkat az infrastruktúrában. – Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Az Azure DevOps biztonsági helyzetének megállapításait meg kell oldani
– Azure Kubernetes Service fürtökben telepítve kell lennie a Kubernetes Azure Policy bővítményének
– A tárolók csak engedélyezett AppArmor-profilokat használhatnak
– A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra
– A Log Analytics-ügynököt telepíteni kell a virtuális gépekre
– A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A gépeket biztonságosan kell konfigurálni
– Az SQL-adatbázisok biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– A felügyelt SQL-példányok biztonságirés-felmérésének konfigurálva kell lennie
– A gépeken futó SQL-kiszolgálók biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– Az SQL-kiszolgálók biztonságirés-felmérésének konfigurálva kell lennie
– A virtuálisgép-méretezési csoportokat biztonságosan kell konfigurálni
– A Linux rendszerű gépek biztonsági konfigurációjának biztonsági réseit ki kell javítva (a vendégkonfiguráció működteti)
– A Windows rendszerű gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell (a vendégkonfiguráció működteti)
4 Hozzáférés és engedélyek kezelése – A biztonsági program alapvető része biztosítja, hogy a felhasználók rendelkezzenek a munkájuk elvégzéséhez szükséges hozzáféréssel, de ennél nem többel: a legalacsonyabb jogosultsági hozzáférési modellel. Ezekkel a javaslatokkal kezelheti identitás- és hozzáférési követelményeit. – A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek
– Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Az Azure Cosmos DB-fiókoknak az Azure Active Directoryt kell használniuk egyetlen hitelesítési módszerként
– Azure Kubernetes Service fürtökben telepítve kell lennie a Kubernetes Azure Policy bővítményének
– Az Azure-erőforrásokhoz tulajdonosi engedélyekkel rendelkező blokkolt fiókokat el kell távolítani
– Az Azure-erőforrásokra vonatkozó olvasási és írási engedélyekkel rendelkező blokkolt fiókokat el kell távolítani
– A jogosultságok eszkalálásával rendelkező tárolót el kell kerülni
– Kerülni kell a bizalmas gazdagép-névtereket használó tárolókat
– Az elavult fiókokat el kell távolítani az előfizetésekből
– A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésekből
– A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
– Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
– A függvényalkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat)
– Az Azure-erőforrásokhoz tulajdonosi engedélyekkel rendelkező vendégfiókokat el kell távolítani
– Az Azure-erőforrásokra írási engedélyekkel rendelkező vendégfiókokat el kell távolítani
– A vendégkonfigurációs bővítményt telepíteni kell a gépekre
– Nem módosítható (csak olvasható) gyökér fájlrendszert kell kikényszeríteni a tárolókhoz
– A legkevésbé emelt szintű Linux-képességeket a tárolókhoz kell kikényszeríteni
– A felügyelt identitást API-alkalmazásokban kell használni
– A felügyelt identitást függvényalkalmazásokban kell használni
– A felügyelt identitást webalkalmazásokban kell használni
– A rendszerjogosított tárolókat el kell kerülni
– Role-Based Access Control kell használni a Kubernetes Servicesben
– A tárolók gyökérszintű felhasználóként való futtatását el kell kerülni
– A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez
– A tárfiók nyilvános hozzáférését meg kell tiltani
– A pod HostPath-kötetcsatlakoztatásainak használatát egy ismert listára kell korlátozni a sérült tárolók csomópont-hozzáférésének korlátozásához
– A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni
4 Inaktív adatok titkosításának engedélyezése – Ezekkel a javaslatokkal elháríthatja a tárolt adatok védelmével kapcsolatos helytelen konfigurációkat. – A Service Fabric-fürtök ClusterProtectionLevel tulajdonságának EncryptAndSign értékűnek kell lennie
– Engedélyezni kell a transzparens adattitkosítást az SQL-adatbázisokon
– A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat
4 Átvitel alatt álló adatok titkosítása – Ezekkel a javaslatokkal biztosíthatja az összetevők, helyek vagy programok között mozgó adatok védelmét. Ezek az adatok a közbeékelt támadásokra, a lehallgatásra és a munkamenet-eltérítésre is érzékenyek. – Az API-alkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie
– Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálókon
– Engedélyezni kell az SSL-kapcsolat kényszerítése a PostgreSQL-adatbáziskiszolgálókon
– AZ FTPS-nek kötelezőnek kell lennie az API-alkalmazásokban
– FTPS-t kell használni a függvényalkalmazásokban
– A webalkalmazásokban FTPS-nek kell lennie
– A függvényalkalmazásnak csak HTTPS-en keresztül szabad elérhetőnek lennie
– A Redis Cache csak SSL-en keresztül engedélyezi a hozzáférést
– Engedélyezni kell a tárfiókokba történő biztonságos átvitelt
– A TLS-t frissíteni kell az API-alkalmazások legújabb verziójára
– A TLS-t frissíteni kell a függvényalkalmazások legújabb verziójára
– A TLS-t a webalkalmazások legújabb verziójára kell frissíteni
– A webalkalmazás csak HTTPS-kapcsolaton keresztül érhető el
4 A jogosulatlan hálózati hozzáférés korlátozása – Az Azure olyan eszközökkel rendelkezik, amelyek biztosítják, hogy a hálózaton keresztüli hozzáférések megfeleljenek a legmagasabb biztonsági követelményeknek.
Ezekkel a javaslatokkal kezelheti a Defender for Cloud adaptív hálózati korlátozási beállításait, meggyőződhet arról, hogy minden releváns PaaS-szolgáltatáshoz konfigurálta a Azure Private Link, engedélyezte a Azure Firewall a virtuális hálózatokon, és így tovább.
– Adaptív hálózatmegszűkítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken
– Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon
– App Configuration privát kapcsolatot kell használnia
– Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Azure Cache for Redis virtuális hálózaton belül kell lennie
– Azure Event Grid tartományoknak privát kapcsolatot kell használniuk
– Azure Event Grid témaköröknek privát kapcsolatot kell használniuk
– Azure Kubernetes Service fürtökön telepítve kell lennie a Kubernetes Azure Policy bővítményének
– Az Azure Machine Learning-munkaterületeknek privát kapcsolatot kell használniuk
- Azure SignalR Service privát kapcsolatot kell használnia
– Az Azure Spring Cloudnak hálózati injektálást kell használnia
– A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést
– A tárolóregisztrációs adatbázisoknak privát kapcsolatot kell használniuk
– A CORS nem engedélyezheti minden erőforrás számára az API Apps elérését
– A CORS nem engedélyezheti minden erőforrás számára a függvényalkalmazások elérését
– A CORS nem engedélyezheti minden erőforrás számára a webalkalmazások elérését
– A tűzfalat engedélyezni kell a Key Vault
– Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
– Le kell tiltani az IP-továbbítást a virtuális gépen
– A Kubernetes API-kiszolgálót korlátozott hozzáféréssel kell konfigurálni
– A privát végpontot konfigurálni kell a Key Vault
– A privát végpontot engedélyezni kell MariaDB-kiszolgálókon
– A privát végpontot engedélyezni kell a MySQL-kiszolgálókon
– A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókon
– A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében
– A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon
– A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálókon
– A szolgáltatásoknak csak az engedélyezett portokon kell figyelnie
– A tárfióknak privát kapcsolati kapcsolatot kell használnia
– A tárfiókok virtuális hálózati szabályokkal korlátozzák a hálózati hozzáférést
– Korlátozni kell a gazdagépek hálózatának és portjainak használatát
– A virtuális hálózatokat Azure Firewall kell védeni
– A VM Image Builder-sablonoknak privát kapcsolatot kell használniuk
3 Adaptív alkalmazásvezérlés alkalmazása – Az adaptív alkalmazásvezérlés egy intelligens, automatizált, végpontok közötti megoldás, amellyel szabályozható, hogy mely alkalmazások futtathatók a gépeken. Emellett segít a gépek kártevők elleni megkeményítésében. – A biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket engedélyezni kell a gépeken
– Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait
– A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A Log Analytics-ügynököt virtuális gépekre kell telepíteni
– A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
2 Alkalmazások védelme DDoS-támadásokkal szemben – Az Azure fejlett hálózatkezelési biztonsági megoldásai közé tartozik az Azure DDoS Protection, az Azure Web Application Firewall és a Kubernetes Azure Policy bővítménye. Ezekkel a javaslatokkal biztosíthatja, hogy alkalmazásai védve legyenek ezekkel az eszközökkel és más eszközökkel. – Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Engedélyezni kell az Azure DDoS Protection Standardot
– Azure Kubernetes Service fürtökön telepítve kell lennie a Kubernetes Azure Policy bővítményének
– A tároló processzor- és memóriakorlátait kötelezően be kell léptetni
– Web Application Firewall (WAF) engedélyezve kell lennie Application Gateway
– Web Application Firewall (WAF) engedélyezve kell lennie az Azure Front Door Service-ben
2 Végpontvédelem engedélyezése – A Defender for Cloud aktív fenyegetésészlelési és -reagálási megoldásokat keres a szervezet végpontjaiban, például Végponthoz készült Microsoft Defender vagy a listában szereplő főbb megoldások bármelyikét.
Ha nem található végpontészlelési és -válasz (EDR) megoldás, ezekkel a javaslatokkal üzembe helyezheti Végponthoz készült Microsoft Defender (a kiszolgálókhoz készült Microsoft Defender részeként).
A vezérlő egyéb javaslatai segítenek a Log Analytics-ügynök üzembe helyezésében és a fájlintegritási monitorozás konfigurálásában.
– Meg kell oldani az Endpoint Protection állapotproblémáinak elhárítását a gépeken
– Meg kell oldani az Endpoint Protection állapotproblémáinak elhárítását a gépeken
– Meg kell oldani a virtuálisgép-méretezési csoportok végpontvédelmi állapotproblémáját
– Az Endpoint Protectiont telepíteni kell a gépekre
– Az Endpoint Protectiont telepíteni kell a gépekre
– Az Endpoint Protectiont virtuálisgép-méretezési csoportokra kell telepíteni
– Végpontvédelmi megoldás telepítése virtuális gépekre
– A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A Log Analytics-ügynököt virtuálisgép-méretezési csoportokra kell telepíteni
– A Log Analytics-ügynököt virtuális gépekre kell telepíteni
– A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
1 Naplózás és naplózás engedélyezése – A részletes naplók kulcsfontosságú részét képezik az incidensvizsgálatoknak és sok más hibaelhárítási műveletnek. A vezérlő javaslatai arra összpontosítanak, hogy adott esetben engedélyezze a diagnosztikai naplókat. – Engedélyezni kell a naplózást az SQL Serveren
– Engedélyezni kell a diagnosztikai naplókat App Service
– Engedélyezni kell a diagnosztikai naplókat az Azure Data Lake Store-ban
– Engedélyezni kell a diagnosztikai naplókat az Azure Stream Analyticsben
– Engedélyezni kell a Batch-fiókok diagnosztikai naplóit
– Engedélyezni kell a diagnosztikai naplókat a Data Lake Analytics
– Engedélyezni kell a diagnosztikai naplókat az Event Hubban
– Engedélyezni kell a diagnosztikai naplókat Key Vault
– Engedélyezni kell a Kubernetes-szolgáltatások diagnosztikai naplóit
– A Logic Apps diagnosztikai naplóit engedélyezni kell
– Engedélyezni kell a keresési szolgáltatások diagnosztikai naplóit
– A Service Bus diagnosztikai naplóit engedélyezni kell
– Engedélyezni kell a diagnosztikai naplókat Virtual Machine Scale Sets
0 Továbbfejlesztett biztonsági funkciók engedélyezése – Ezekkel a javaslatokkal engedélyezheti bármelyik továbbfejlesztett biztonsági szolgáltatáscsomagot. – Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek
– Azure Kubernetes Service fürtökben engedélyezni kell a Defender-profilt
– A fájlintegritási monitorozást engedélyezni kell a gépeken
– A GitHub-adattárakban engedélyezve kell lennie a kódvizsgálatnak
– A GitHub-adattárakban engedélyezve kell lennie a Dependabot-vizsgálatnak
– A GitHub-adattárakban engedélyezve kell lennie a titkos kódok vizsgálatának
– Engedélyezni kell a Microsoft Defender for App Service-t
– Engedélyezni kell a Microsoft Defendert Azure SQL adatbázis-kiszolgálókhoz
– Engedélyezni kell a Microsoft Defender for Containers szolgáltatást
– Engedélyezni kell a DNS-hez készült Microsoft Defendert
– Engedélyezni kell a Microsoft Defender for Key Vault-t
– Engedélyezni kell a Microsoft Defendert a nyílt forráskódú relációs adatbázisokhoz
– Engedélyezni kell a Microsoft Defender for Resource Manager
– Engedélyezni kell a Microsoft Defendert a kiszolgálókhoz
– A Microsoft Defender for Serverst engedélyezni kell a munkaterületeken
– A gépeken futó SQL-hez készült Microsoft Defendert engedélyezni kell a munkaterületeken
– Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Microsoft Defendert
– Engedélyezni kell a Microsoft Defender for Storage használatát
0 Ajánlott biztonsági eljárások megvalósítása – Ez a vezérlő nincs hatással a biztonsági pontszámra. Ezért ez olyan javaslatok gyűjteménye, amelyeket fontos teljesíteni a szervezet biztonsága érdekében, de úgy érezzük, hogy nem kellene részt vennie az összesített pontszám értékelésében. – [Szükség esetén engedélyezve] Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához
– [Szükség esetén engedélyezés] Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani
- [Szükség esetén engedélyezve] A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal (CMK) történő adattitkosítást
- [Szükség esetén engedélyezve] A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani
– [Szükség esetén engedélyezve] A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
- [Szükség esetén engedélyezve] A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához
– [Szükség esetén engedélyezve] A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
– [Szükség esetén engedélyezve] Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
– [Szükség esetén engedélyezve] A tárfiókoknak ügyfél által felügyelt kulcsot (CMK) kell használniuk a titkosításhoz
- Legfeljebb 3 tulajdonost kell kijelölni az előfizetésekhez
– A tűzfallal és virtuális hálózati konfigurációkkal rendelkező tárfiókokhoz való hozzáférést korlátozni kell
– Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t
– Minden speciális veszélyforrás-védelmi típust engedélyezni kell a felügyelt SQL-példány speciális adatbiztonsági beállításaiban
– Minden speciális fenyegetésvédelmi típust engedélyezni kell az SQL Server speciális adatbiztonsági beállításaiban
– API Management szolgáltatásoknak virtuális hálózatot kell használniuk
– Az SQL-kiszolgálók naplózásának megőrzését legalább 90 napra kell beállítani
– A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésekben
– Az Automation-fiók változóit titkosítani kell
– Azure Backup engedélyezni kell a virtuális gépeken
– Az Azure Cosmos DB-fiókoknak tűzfalszabályokkal kell rendelkezniük
– A Cognitive Services-fiókoknak engedélyeznie kell az adattitkosítást
– A Cognitive Services-fiókoknak korlátozniuk kell a hálózati hozzáférést
– A Cognitive Services-fiókoknak ügyfél által birtokolt tárolót kell használniuk, vagy engedélyezni kell az adattitkosítást
– A tároló gazdagépeket biztonságosan kell konfigurálni
– Az alapértelmezett IP-szűrési szabályzatnak megtagadásnak kell lennie
– Engedélyezni kell a diagnosztikai naplókat IoT Hub
- Email nagy súlyosságú riasztásokra vonatkozó értesítéseket engedélyezni kell
– Email nagy súlyosságú riasztásokra vonatkozó értesítés engedélyezése az előfizetés tulajdonosának
– Győződjön meg arról, hogy az API-alkalmazás ügyféltanúsítványok bejövő ügyféltanúsítványai be vannak kapcsolva
– Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
– A georedundáns biztonsági mentést engedélyezni kell Azure Database for MariaDB
– A georedundáns biztonsági mentést engedélyezni kell Azure Database for MySQL
– A georedundáns biztonsági mentést engedélyezni kell Azure Database for PostgreSQL
– Az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat el kell távolítani
– A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra
– A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni
– A vendégigazolási bővítményt telepíteni kell a támogatott Windows rendszerű virtuálisgép-méretezési csoportokra
– A vendégigazolási bővítményt telepíteni kell a támogatott Windows rendszerű virtuális gépekre
– A vendégkonfigurációs bővítményt telepíteni kell a gépekre
– Azonos hitelesítési hitelesítő adatok
- IP-szűrési szabály nagy IP-címtartománya
– A Java-t frissíteni kell az API-alkalmazások legújabb verziójára
– A Java-t frissíteni kell a függvényalkalmazások legújabb verziójára
– A Java-t frissíteni kell a webalkalmazások legújabb verziójára
- Key Vault kulcsoknak lejárati dátummal kell rendelkezniük
- Key Vault titkos kód lejárati dátummal kell rendelkeznie
– A kulcstartóknak engedélyezniük kell a végleges törlés elleni védelmet
– A kulcstartók helyreállítható törlésének engedélyezve kell lennie
– A Kubernetes-fürtöknek csak HTTPS-en keresztül kell elérhetőnek lenniük
– A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását
– A Kubernetes-fürtök nem biztosíthatnak CAPSYSADMIN biztonsági képességeket
– A Kubernetes-fürtök nem használhatják az alapértelmezett névteret
– Linux rendszerű virtuális gépeknek kötelezően érvényesítenie kell a kernelmodul aláírásának érvényesítését
– A Linux rendszerű virtuális gépek csak aláírt és megbízható rendszerindítási összetevőket használhatnak
– A Linux rendszerű virtuális gépeknek biztonságos rendszerindítást kell használniuk
– A biztonsági konfigurációs frissítések alkalmazásához újra kell indítani a gépeket
– A gépeknek lezárt portokkal kell rendelkezniük, amelyek támadási vektorokat tehetnek elérhetővé
– Az MFA-t engedélyezni kell az előfizetésekre vonatkozó olvasási engedélyekkel rendelkező fiókokon
– Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Azure SQL kiszolgálókon
– Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett felügyelt SQL-példányokhoz
- Network Watcher engedélyezni kell
– A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
– Az előfizetésekben lévő túlkiosztott identitásokat meg kell vizsgálni az engedélykúszási index (PCI) csökkentése érdekében
– A PHP-t frissíteni kell az API-alkalmazások legújabb verziójára
– A PHP-t a webalkalmazások legújabb verziójára kell frissíteni
– Engedélyezni kell Azure SQL-adatbázis privát végpontkapcsolatait
– Le kell tiltani a nyilvános hálózati hozzáférést Azure SQL-adatbázison
– A nyilvános hálózati hozzáférést le kell tiltani a Cognitive Services-fiókok esetében
– A Pythont frissíteni kell az API-alkalmazások legújabb verziójára
– A Pythont frissíteni kell a függvényalkalmazások legújabb verziójára
– A Pythont a webalkalmazások legújabb verziójára kell frissíteni
– A távoli hibakeresést ki kell kapcsolni az API-alkalmazás esetében
– A távoli hibakeresést ki kell kapcsolni a függvényalkalmazás esetében
– Webalkalmazások esetén ki kell kapcsolni a távoli hibakeresést
– A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken
– Az SQL-kiszolgálóknak rendelkezniük kell egy Kiépített Azure Active Directory-rendszergazdával
– A tárfiókokat új Azure-Resource Manager-erőforrásokra kell migrálni
– Az alhálózatokat hálózati biztonsági csoporthoz kell társítani
– Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén
– Egynél több tulajdonost kell hozzárendelni az előfizetésekhez
– Az Azure Key Vault tárolt tanúsítványok érvényességi időtartama nem haladhatja meg a 12 hónapot
– A virtuális gépek vendégigazolási állapotának kifogástalannak kell lennie
– A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni
– A virtuális gépeket új Azure-Resource Manager-erőforrásokra kell migrálni
– a vTPM-et engedélyezni kell a támogatott virtuális gépeken
– A webalkalmazásoknak SSL-tanúsítványt kell kérnie az összes bejövő kéréshez
- Windows Defender Exploit Guardot engedélyezni kell a gépeken
– A Windows-webkiszolgálókat biztonságos kommunikációs protokollok használatára kell konfigurálni

Gyakori kérdések – Biztonsági pontszám

Ha egy biztonsági vezérlő négy javaslatából csak hármat kezelek, megváltozik a biztonsági pontszámom?

Nem. Ez mindaddig nem változik, amíg egyetlen erőforrásra vonatkozó összes javaslatot nem szervizel. Egy vezérlőelem maximális pontszámának eléréséhez minden erőforrásra vonatkozó javaslatokat ki kell szervizelnie.

Ha egy javaslat nem érvényes rám, és letiltom a szabályzatban, teljesül a biztonsági vezérlőm, és frissül a biztonsági pontszámom?

Igen. Javasoljuk, hogy tiltsa le a javaslatokat, ha azok nem alkalmazhatók az Ön környezetében. Egy adott javaslat letiltására vonatkozó utasításokért tekintse meg a biztonsági szabályzatok letiltását ismertető cikket.

Ha egy biztonsági vezérlő nulla pontot kínál a biztonsági pontszámom felé, figyelmen kívül kell hagynom?

Bizonyos esetekben a vezérlő maximális pontszáma nagyobb, mint nulla, de a hatás nulla. Ha az erőforrások javításának növekményes pontszáma elhanyagolható, a függvény nullára kerekítja. Ne hagyja figyelmen kívül ezeket a javaslatokat, mert továbbra is biztonsági fejlesztéseket eredményeznek. Az egyetlen kivétel a "További ajánlott eljárás" vezérlő. A javaslatok javítása nem növeli a pontszámot, de növeli az általános biztonságot.

Következő lépések

Ez a cikk a biztonsági pontszámot és a belefoglalt biztonsági vezérlőket ismertette.

A kapcsolódó anyagokért tekintse meg a következő cikkeket: