Az Azure biztonsági alapkonfigurációja a felhőhöz készült Microsoft Defender
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a felhőhöz készült Microsoft Defender. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a felhőhöz készült Microsoft Defender vonatkozó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
A felhőhöz készült Microsoft Defender nem alkalmazható funkciók ki lettek zárva. A felhőhöz készült Microsoft Defender a Microsoft felhőbiztonsági teljesítménytesztjének teljes Microsoft Defender a Felhőhöz készült biztonsági alapkonfiguráció-leképezési fájlban talál.
Biztonsági profil
A biztonsági profil összefoglalja a felhőhöz készült Microsoft Defender nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
Szolgáltatás viselkedési attribútuma | Érték |
---|---|
Product Category (Termék kategóriája) | Biztonság |
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Nincs hozzáférés |
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Hamis |
Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például egy helyi felhasználónév és jelszó. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, elkerülve a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat.
Referencia: Ügynökök és bővítmények automatikus kiépítéséhez használt szerepkörök
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Referencia: Ügynökök és bővítmények automatikus kiépítéséhez használt szerepkörök
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Felhőhöz készült Defender azure-beli szerepköralapú hozzáférés-vezérlést (Azure RBAC) használ a beépített szerepkörök biztosításához. Ezeket a szerepköröket hozzárendelheti az Azure felhasználóihoz, csoportjaihoz és szolgáltatásaihoz, hogy a szerepkörben meghatározott hozzáférésnek megfelelően hozzáférést biztosítson a felhasználóknak az erőforrásokhoz. Javasoljuk, hogy a felhasználókhoz azt a lehető legalacsonyabb szintű szerepkört rendelje, amellyel még el tudják végezni feladataikat. Rendelje hozzá például az Olvasó szerepkört azokhoz a felhasználókhoz, akiknek csak egy erőforrás biztonsági állapotával kapcsolatos információkat kell megtekinteniük, de nem kell lépéseket tenniük, például javaslatokat kell alkalmazniuk vagy házirendeket kell szerkeszteniük.
Referencia: Engedélyek a Microsoft Defender for Cloudban
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása CMK használatával
Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: a Microsoft Defender for Cloud egy konfigurált Log Analytics-munkaterületet használ az általa létrehozott adatok, riasztások és javaslatok tárolására. Konfiguráljon egy ügyfél által felügyelt kulcsot (CMK) az Microsoft Defender felhőbeli adatgyűjtéshez használt munkaterülethez. A CMK a munkaterületre mentett vagy oda küldött összes adatot titkosítja egy Ön által létrehozott és birtokolt Azure Key Vault kulccsal.
Referencia: Ügyfél által felügyelt Azure Monitor-kulcs
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Microsoft Defender a Felhőhöz egy konfigurált Log Analytics-munkaterületet használ az általa létrehozott adatok, riasztások és javaslatok tárolására. Konfiguráljon egy ügyfél által felügyelt kulcsot (CMK) a felhőbeli adatgyűjtéshez Microsoft Defender használt munkaterülethez. A CMK titkosítja a munkaterületre mentett vagy a munkaterületre küldött összes adatot egy Ön által létrehozott és birtokolt Azure Key Vault kulccsal.
Referencia: Az Azure Monitor ügyfél által felügyelt kulcsa
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információk.
Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
---|---|---|
Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről