Megosztás a következőn keresztül:


Az Azure biztonsági alapkonfigurációja Virtual Machines – Linux Virtual Machines

Ez a biztonsági alapkonfiguráció a Microsoft felhőalapú biztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Virtual Machines – Linux Virtual Machines. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Virtual Machines – Linux Virtual Machines vonatkozó útmutató alapján van csoportosítva.

Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.

Megjegyzés

A Virtual Machines nem alkalmazható funkciók – a Linux Virtual Machines ki lettek zárva. A Virtual Machines – Linux Virtual Machines teljesen megfelel a Microsoft felhőbiztonsági teljesítménytesztjének, tekintse meg a teljes Virtual Machines – Linux Virtual Machines biztonsági alapkonfiguráció-leképezési fájlt.

Biztonsági profil

A biztonsági profil összefoglalja a Virtual Machines – Linux Virtual Machines nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Compute
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez Teljes hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Az ügyféltartalmakat inaktív állapotban tárolja Igaz

Hálózati biztonság

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Virtuális hálózatok és virtuális gépek az Azure-ban

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.

Azure-beli virtuális gép (VM) létrehozásakor létre kell hoznia egy virtuális hálózatot, vagy egy meglévő virtuális hálózatot kell használnia, és alhálózattal kell konfigurálnia a virtuális gépet. Győződjön meg arról, hogy az összes üzembe helyezett alhálózaton egy hálózati biztonsági csoport van alkalmazva, amely az alkalmazásokra vonatkozó, megbízható portokra és forrásokra vonatkozó hálózati hozzáférés-vezérléssel rendelkezik.

Referencia: Hálózati biztonsági csoportok

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományokból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Letiltva 3.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Adaptív hálózatmegerősítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépekre Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a lehetséges támadási felületet AuditIfNotExists, Letiltva 3.0.0

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az olyan szolgáltatások, mint az iptables vagy a tűzfalak telepíthetők a Linux operációs rendszerben, és hálózati szűrést biztosítanak a nyilvános hozzáférés letiltásához.

Identitáskezelés

További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.

Referencia: Bejelentkezés Linux rendszerű virtuális gépre az Azure-ban a Azure AD és az OpenSSH használatával

Helyi hitelesítési módszerek az adatsík-hozzáféréshez

Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkciójegyzetek: A rendszer alapértelmezés szerint helyi rendszergazdai fiókot hoz létre a virtuális gép kezdeti telepítése során. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: A Linux rendszerű virtuális gépek hagyományosan használják a felügyelt identitást más szolgáltatásokban való hitelesítéshez. Ha a Linux rendszerű virtuális gép támogatja Azure AD hitelesítést, akkor a felügyelt identitás is támogatott lehet.

Konfigurációs útmutató: Lehetőség szerint azure-beli felügyelt identitásokat használjon szolgáltatásnevek helyett, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: A linuxos virtuális gépen futó alkalmazások szolgáltatásneveket használhatnak.

Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatókörébe tartozó Azure-beli virtuális gépek nem lesznek megfelelőek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs rendszer által hozzárendelt felügyelt identitásuk. További információ: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Adatsík feltételes hozzáférése

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: A Azure AD alapvető hitelesítési platformként és hitelesítésszolgáltatóként használjon SSH-t linuxos virtuális gépre Azure AD és OpenSSH-tanúsítványalapú hitelesítéssel. Ez a funkció lehetővé teszi a szervezetek számára, hogy azure-beli szerepköralapú hozzáférés-vezérléssel (RBAC) és feltételes hozzáférési szabályzatokkal kezeljék a virtuális gépekhez való hozzáférést.

Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.

Referencia: Bejelentkezés Linux rendszerű virtuális gépre az Azure-ban a Azure AD és az OpenSSH használatával

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: Az adatsíkon vagy az operációs rendszeren belül a szolgáltatások meghívhatják az Azure Key Vault hitelesítő adatokat vagy titkos kódokat.

Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták őket.

Emelt szintű hozzáférés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.

PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása

Funkciók

Helyi Rendszergazda fiókok

Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Rövid útmutató: Linux rendszerű virtuális gép létrehozása a Azure Portal

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: A Azure AD alapvető hitelesítési platformként és hitelesítésszolgáltatóként használva SSH-t készíthet Linux rendszerű virtuális gépre Azure AD és OpenSSH-tanúsítványalapú hitelesítéssel. Ez a funkció lehetővé teszi a szervezetek számára, hogy azure-beli szerepköralapú hozzáférés-vezérléssel (RBAC) és feltételes hozzáférési szabályzatokkal kezeljék a virtuális gépekhez való hozzáférést.

Konfigurációs útmutató: Az RBAC-vel megadhatja, hogy ki jelentkezhet be a virtuális gépre normál felhasználóként vagy rendszergazdai jogosultságokkal. Amikor a felhasználók csatlakoznak a csapathoz, frissítheti a virtuális gép Azure RBAC-szabályzatát, hogy a megfelelő hozzáférést biztosítsa. Amikor az alkalmazottak elhagyják a szervezetet, és a felhasználói fiókjuk le van tiltva vagy eltávolítva Azure AD, már nem férnek hozzá az erőforrásokhoz.

Referencia: Jelentkezzen be egy Linux rendszerű virtuális gépre az Azure-ban a Azure AD és az OpenSSH használatával

PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása

Funkciók

Ügyfélszéf

Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélzárolás segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.

Adatvédelem

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.

DP-1: Bizalmas adatok felderítése, osztályozása és címkézése

Funkciók

Bizalmas adatok felderítése és besorolása

Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása

Funkciók

Adatszivárgás/veszteségmegelőzés

Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok átvitelének figyelésére (az ügyfél tartalmaiban). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: Bizonyos kommunikációs protokollok, például az SSH alapértelmezés szerint titkosítva vannak. Más szolgáltatásokat, például a HTTP-t azonban úgy kell konfigurálni, hogy tLS-t használjon a titkosításhoz.

Konfigurációs útmutató: Biztonságos átvitel engedélyezése olyan szolgáltatásokban, amelyekben beépített natív adatok vannak az átviteltitkosítási szolgáltatásban. A HTTPS kényszerítése bármely webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.

Referencia: Átvitel közbeni titkosítás virtuális gépeken

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül továbbított információk védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. AuditIfNotExists, Letiltva 4.1.1

DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkciójegyzetek: A felügyelt lemezek alapértelmezés szerint platform által felügyelt titkosítási kulcsokat használnak. A meglévő felügyelt lemezekre írt felügyelt lemezek, pillanatképek, képek és adatok automatikusan titkosítva lesznek a platform által felügyelt kulcsokkal.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Az Azure Disk Storage kiszolgálóoldali titkosítása – Platform által felügyelt kulcsok

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A virtuális gépeknek titkosítanak ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat a számítási és tárolási erőforrások között A virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak, platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tárolás között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. Managed Disks kiszolgálóoldali titkosítás megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Letiltva 2.0.3

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak, platform által felügyelt kulcsokkal; Az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem titkosítva lesznek a számítási és tárolási erőforrások között. Az Összes adat titkosítása az Azure Disk Encryption vagy a EncryptionAtHost használatával. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ehhez a szabályzathoz két előfeltételt kell üzembe helyezni a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. AuditIfNotExists, Letiltva 1.2.0-preview

DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában

Funkciók

Inaktív adatok titkosítása a CMK használatával

Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: A titkosítást az egyes felügyelt lemezek szintjén, saját kulcsokkal kezelheti. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. A felhasználó által kezelt kulcsokkal rugalmasabban kezelhető a hozzáférés-vezérlés.

Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.

A Virtual Machines (VM) virtuális lemezei inaktív állapotban vannak titkosítva kiszolgálóoldali vagy Azure-beli lemeztitkosítással (ADE). Az Azure Disk Encryption a Linux DM-Crypt funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal történő titkosítására a vendég virtuális gépen. Az ügyfél által felügyelt kulcsokkal történő kiszolgálóoldali titkosítás javul az ADE-n azáltal, hogy lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez a Storage szolgáltatás adatainak titkosításával.

Referencia: Az Azure Disk Storage kiszolgálóoldali titkosítása – Ügyfél által felügyelt kulcsok

DP-6: Biztonságos kulcskezelési folyamat használata

Funkciók

Kulcskezelés az Azure Key Vault

Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.

Referencia: Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Eszközkezelés

További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Azure Policy segítségével meghatározhatja a szervezet Windows rendszerű és Linux rendszerű virtuális gépeinek kívánt viselkedését. A szabályzatok használatával a szervezetek különböző konvenciókat és szabályokat kényszeríthetnek ki a vállalat egészében, és szabványos biztonsági konfigurációkat definiálhatnak és implementálhatnak az Azure Virtual Machines számára. A kívánt viselkedés kényszerítése segíthet csökkenteni a kockázatokat, miközben hozzájárul a szervezet sikeréhez.

Referencia: Azure Policy beépített definíciók az Azure Virtual Machines

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A virtuális gépeket új Azure-Resource Manager-erőforrásokba kell migrálni Új Azure-Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager alapú üzembe helyezés és szabályozás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése Naplózás, megtagadás, letiltva 1.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A virtuális gépeket új Azure-Resource Manager-erőforrásokba kell migrálni Új Azure-Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager alapú üzembe helyezés és szabályozás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése Naplózás, megtagadás, letiltva 1.0.0

AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen

Funkciók

Microsoft Defender a felhőhöz – Adaptív alkalmazásvezérlők

Leírás: A szolgáltatás korlátozhatja, hogy milyen ügyfélalkalmazások futnak a virtuális gépen a Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud adaptív alkalmazásvezérlőinek használatával felderítheti a virtuális gépeken (VM-en) futó alkalmazásokat, és létrehozhat egy alkalmazás engedélyezési listát, amely lehetővé teszi, hogy a jóváhagyott alkalmazások a virtuálisgép-környezetben fussanak.

Referencia: Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken Engedélyezze az alkalmazásvezérlőknek, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. AuditIfNotExists, Letiltva 3.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken Engedélyezze az alkalmazásvezérlőknek, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. AuditIfNotExists, Letiltva 3.0.0

Naplózás és fenyegetésészlelés

További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender szolgáltatáshoz/termékajánlathoz

Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Defender for Servers kiterjeszti a védelmet az Azure-ban futó Windows- és Linux-gépekre. A Defender for Servers integrálva van a Végponthoz készült Microsoft Defender a végpontészlelés és -válasz (EDR) biztosításához, valamint számos további veszélyforrás-védelmi funkciót is biztosít, például a biztonsági alapkonfigurációkat és az operációs rendszerszintű értékeléseket, a sebezhetőségi felmérést, az adaptív alkalmazásvezérlőket (AAC), a fájlintegritási monitorozást (FIM) és egyebeket.

Referencia: A Defender for Servers üzembe helyezésének megtervezése

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Windows Defender Biztonsági rés kiaknázása elleni védelmet engedélyezni kell a gépeken Windows Defender Exploit Guard a Azure Policy vendégkonfigurációs ügynököt használja. A Exploit Guard négy olyan összetevővel rendelkezik, amelyek célja az eszközök számos támadási vektor elleni zárolása és a rosszindulatú támadások során gyakran használt blokkolási viselkedések blokkolása, miközben lehetővé teszi a vállalatok számára a biztonsági kockázatok és a hatékonysági követelmények kiegyensúlyozását (csak Windows rendszeren). AuditIfNotExists, Letiltva 2.0.0

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Monitor a virtuális gép létrehozásakor automatikusan megkezdi a metrikaadatok gyűjtését a virtuális gép gazdagépe számára. Ahhoz azonban, hogy naplókat és teljesítményadatokat gyűjtsön a virtuális gép vendég operációs rendszeréből, telepítenie kell az Azure Monitor-ügynököt. Az ügynököt telepítheti és konfigurálhatja a gyűjteményt a virtuálisgép-elemzések használatával vagy egy adatgyűjtési szabály létrehozásával .

Referencia: A Log Analytics-ügynök áttekintése

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft függőségi ügynökével gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat biztosíthasson, mint a forgalomvizualizáció a hálózati térképen, a hálózatmegszűrési javaslatok és a konkrét hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-preview

Állapot- és biztonságirés-kezelés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: A helyzet és a biztonságirés-kezelés.

PV-3: Biztonságos konfigurációk meghatározása és létrehozása a számítási erőforrásokhoz

Funkciók

Azure Automation State Configuration

Leírás: Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartására használható. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Használja a Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartásához.

Referencia: Virtuális gép konfigurálása Desired State Configuration

Azure Policy vendégkonfigurációs ügynök

Leírás: Azure Policy vendégkonfigurációs ügynök telepíthető vagy telepíthető a számítási erőforrások bővítményeként. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: Azure Policy vendégkonfiguráció neve mostantól Azure Automanage Machine Configuration.

Konfigurációs útmutató: A felhőhöz készült Microsoft Defender és Azure Policy vendégkonfigurációs ügynök használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrások konfigurációs eltéréseit, beleértve a virtuális gépeket, a tárolókat és másokat.

Referencia: Az Azure Automanage gépkonfigurációs funkciójának ismertetése

Egyéni virtuálisgép-rendszerképek

Leírás: A szolgáltatás támogatja a felhasználó által megadott virtuálisgép-rendszerképek vagy a piactérről előre létrehozott rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Használjon egy megbízható szállító, például a Microsoft által előre konfigurált, rögzített rendszerképet, vagy hozzon létre egy kívánt biztonságos konfigurációs alapkonfigurációt a virtuálisgép-rendszerképsablonban.

Referencia: Oktatóanyag: Azure-beli virtuális gép egyéni rendszerképének létrehozása az Azure CLI-vel

PV-4: A számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése

Funkciók

Virtuális gép megbízható indítása

Leírás: A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen olyan infrastruktúra-technológiák kombinálásával, mint a biztonságos rendszerindítás, a vTPM és az integritásfigyelés. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen. A megbízható indítás lehetővé teszi a virtuális gépek biztonságos üzembe helyezését ellenőrzött rendszertöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal, valamint biztonságosan védi a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken. A megbízható indítás emellett betekintést nyújt a teljes rendszerindítási lánc integritásába, és biztosítja a számítási feladatok megbízhatóságát és ellenőrizhetőségét. A megbízható indítás integrálva van a Microsoft Defender for Cloud szolgáltatással, hogy a virtuális gépek megfelelően legyenek konfigurálva, a virtuális gép megfelelő rendszerindításának távoli igazolásával. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkció megjegyzése: A megbízható indítás a 2. generációs virtuális gépekhez érhető el. A megbízható indításhoz új virtuális gépek létrehozása szükséges. Nem engedélyezheti a megbízható indítást az eredetileg nélküle létrehozott meglévő virtuális gépeken.

Konfigurációs útmutató: A virtuális gép üzembe helyezése során engedélyezhető a megbízható indítás. Mindhárom engedélyezése – Biztonságos rendszerindítás, vTPM és integritásos rendszerindítás monitorozása a virtuális gép legjobb biztonsági állapotának biztosítása érdekében. Vegye figyelembe, hogy van néhány előfeltétel, például az előfizetés előkészítése a Microsoft Defender for Cloudhoz, bizonyos Azure Policy kezdeményezések hozzárendelése és tűzfalszabályzatok konfigurálása.

Referencia: Virtuális gép üzembe helyezése engedélyezett megbízható indítással

PV-5: Sebezhetőségi felmérések végrehajtása

Funkciók

Sebezhetőségi felmérés Microsoft Defender használatával

Leírás: A szolgáltatás a felhőhöz készült Microsoft Defender vagy más Microsoft Defender-szolgáltatások beágyazott sebezhetőségi felmérési funkciójának (beleértve a kiszolgáló, a tárolóregisztrációs adatbázis, a App Service, az SQL és a DNS Microsoft Defender) használatával vizsgálható meg. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure-beli virtuális gépek biztonságirés-felméréseinek elvégzéséhez.

Referencia: A Defender for Servers üzembe helyezésének megtervezése

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázat és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonságirés-vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Disabled 3.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázat és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonságirés-vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Disabled 3.0.0

PV-6: A biztonsági rések gyors és automatikus elhárítása

Funkciók

Azure Automation – Frissítéskezelés

Leírás: A szolgáltatás Azure Automation Update Management használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Linux rendszerű virtuális gépeken.

Referencia: A virtuális gépek frissítéseinek és javításainak kezelése

Azure-vendégjavító szolgáltatás

Leírás: A szolgáltatás az Azure Guest Patching használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A szolgáltatások különböző frissítési mechanizmusokat használhatnak, például az automatikus operációs rendszer rendszerképének frissítését és az automatikus vendég-javítást. Javasoljuk, hogy a legújabb biztonsági és kritikus frissítéseket alkalmazza a virtuális gép vendég operációs rendszerére a biztonságos üzembe helyezés alapelveit követve.

Az automatikus vendégjavítás lehetővé teszi az Azure-beli virtuális gépek automatikus felmérését és frissítését, hogy fenntartsa a havonta kiadott kritikus és biztonsági frissítéseknek való megfelelést. Frissítések a rendszer csúcsidőn kívül alkalmazza, beleértve a rendelkezésre állási csoporton belüli virtuális gépeket is. Ez a képesség elérhető a rugalmas VMSS vezényléshez, és a jövőben támogatja az egységes vezénylés ütemtervét.

Ha állapot nélküli számítási feladatot futtat, az automatikus operációsrendszer-rendszerkép-frissítések ideálisak a VMSS Uniform legújabb frissítésének alkalmazásához. A visszaállítási funkcióval ezek a frissítések kompatibilisek a Marketplace-szel vagy az egyéni rendszerképekkel. A jövőbeli működés közbeni frissítés támogatása a rugalmas vezénylés ütemtervében.

Referencia: Azure-beli virtuális gépek automatikus virtuálisgép-vendégjavítása

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A rendszerfrissítéseket telepíteni kell a gépeken A kiszolgálókon hiányzó biztonságirendszer-frissítéseket a Azure Security Center figyeli javaslatként AuditIfNotExists, Disabled 4.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Centerrel) A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus biztonsági javításokat. Az ilyen lyukakat gyakran használják ki a kártevők támadásai, ezért elengedhetetlen a szoftver frissítésének fenntartása. A kimagasló javítások telepítéséhez és a gépek védelméhez kövesse a javítási lépéseket. AuditIfNotExists, Disabled 1.0.0-preview

Végpontbiztonság

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Végpontbiztonság.

ES-1: Végpontészlelés és -válasz (EDR) használata

Funkciók

EDR-megoldás

Leírás: A végpontészlelés és -válasz (EDR) szolgáltatás, például a kiszolgálókhoz készült Azure Defender üzembe helyezhető a végponton. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A kiszolgálókhoz készült Azure Defender (Végponthoz készült Microsoft Defender integrált) EDR-képességet biztosít a speciális fenyegetések megelőzésére, észlelésére, kivizsgálására és elhárítására. A Microsoft Defender for Cloud használatával üzembe helyezheti az Azure Defender for Serverst a végponthoz, és integrálhatja a riasztásokat a SIEM-megoldásba, például az Azure Sentinelbe.

Referencia: A Defender for Servers üzembe helyezésének megtervezése

ES-2: Modern kártevőirtó szoftverek használata

Funkciók

Kártevőirtó megoldás

Leírás: Kártevőirtó funkció, például Microsoft Defender víruskereső, Végponthoz készült Microsoft Defender üzembe helyezhető a végponton. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Linux esetén az ügyfelek választhatnak a linuxos Végponthoz készült Microsoft Defender telepítéséről. Alternatív megoldásként az ügyfelek dönthetnek úgy is, hogy külső kártevőirtó termékeket telepítenek.

Referencia: Végponthoz készült Microsoft Defender Linuxon

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Letiltva 1.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Letiltva 1.0.0

ES-3: Győződjön meg arról, hogy a kártevőirtó szoftverek és az aláírások frissülnek

Funkciók

Kártevőirtó megoldás állapotmonitorozása

Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform-, motor- és automatikus aláírásfrissítésekhez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkció megjegyzései: A biztonsági intelligencia és a termékfrissítések a Végponthoz készült Defenderre vonatkoznak, amely telepíthető a Linux rendszerű virtuális gépekre.

Konfigurációs útmutató: Konfigurálja a kártevőirtó megoldást annak érdekében, hogy a platform, a motor és az aláírások gyorsan és következetesen frissüljenek, és állapotuk monitorozásra kerüljön.

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Letiltva 1.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Letiltva 1.0.0

Biztonsági másolat és helyreállítás

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Engedélyezze Azure Backup és célként az Azure Virtual Machines (VM), valamint a kívánt gyakoriságot és megőrzési időtartamot. Ez magában foglalja a teljes rendszerállapot-biztonsági mentést is. Ha Azure-beli lemeztitkosítást használ, az Azure-beli virtuális gépek biztonsági mentése automatikusan kezeli az ügyfél által felügyelt kulcsok biztonsági mentését. Az Azure Virtual Machines Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.

Referencia: Biztonsági mentési és visszaállítási lehetőségek az Azure-beli virtuális gépekhez

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Azure Backup engedélyezni kell a Virtual Machines A Azure Backup engedélyezésével gondoskodjon az Azure Virtual Machines védelméről. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Letiltva 3.0.0

Következő lépések