Az Azure biztonsági alapkonfigurációja Virtual Machine Scale Sets
Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Virtual Machine Scale Sets. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Virtual Machine Scale Sets vonatkozó útmutató szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A Virtual Machine Scale Sets nem alkalmazható funkciók ki lettek zárva. A teljes Virtual Machine Scale Sets biztonsági alapkonfiguráció-leképezési fájlból megtudhatja, hogy Virtual Machine Scale Sets hogyan felel meg teljesen a Microsoft felhőbiztonsági teljesítménytesztjének.
Biztonsági profil
A biztonsági profil összefoglalja a Virtual Machine Scale Sets nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Compute |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Teljes hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Tárolja az inaktív ügyféltartalmakat | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Virtuális hálózatok és virtuális gépek az Azure-ban
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy monitorozhatja a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. NSG-szabályok létrehozásával korlátozhatja a szolgáltatás nyitott portjait (például megakadályozhatja, hogy a felügyeleti portok nem megbízható hálózatokról férjenek hozzá). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Azure-beli virtuális gép létrehozásakor létre kell hoznia egy virtuális hálózatot, vagy egy meglévő virtuális hálózatot kell használnia, és alhálózattal kell konfigurálnia a virtuális gépet. Győződjön meg arról, hogy az összes üzembe helyezett alhálózathoz egy hálózati biztonsági csoport van alkalmazva, amely az alkalmazások megbízható portjaira és forrásaira vonatkozó hálózati hozzáférés-vezérléssel rendelkezik.
Referencia: Hálózati biztonsági csoportok
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adaptív hálózatmegerősítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken | Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoport szabályaira, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: A felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló használatával támogatja a nyilvános hálózati hozzáférés letiltását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Az operációs rendszerrel telepített szolgáltatások segítségével hálózati szűrés biztosítható a letiltott nyilvános hálózati hozzáférésre.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Identitáskezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakörben talál.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként. Azure AD az inaktív és az átvitel alatt álló adatok erős titkosításával védi az adatokat. Azure AD sókat, kivonatokat és biztonságosan tárolja a felhasználói hitelesítő adatokat. A felügyelt identitások használatával bármilyen olyan szolgáltatásban végezhet hitelesítést, amely támogatja a Azure AD hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezne. A virtuális gépen futó kód a felügyelt identitásával hozzáférési jogkivonatokat kérhet a Azure AD hitelesítést támogató szolgáltatásokhoz.
Referencia: Azure AD illesztés implementálása
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Lehetőség szerint azure-beli felügyelt identitásokat használjon szolgáltatásnevek helyett, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.
Referencia: Felügyelt identitások Azure-erőforrásokhoz
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: A szolgáltatásneveket a Virtual Machine Scale Sets-ben futó alkalmazások használhatják.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatókörébe tartozó Azure-beli virtuális gépek nem lesznek megfelelőek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs rendszer által hozzárendelt felügyelt identitásuk. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Az adatsíkon vagy az operációs rendszeren belül a szolgáltatások meghívhatják az Azure Key Vault hitelesítő adatokat vagy titkos kódokat.
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták őket.
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Virtuális gépek létrehozása méretezési csoportban Azure Portal használatával
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelheti az Azure-erőforrások hozzáférését beépített szerepkör-hozzárendelésekkel. Az Azure RBAC-szerepkörök felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelhetők.
Referencia: Beépített szerepkör a virtuális gépek közreműködője számára
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélzárolás segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok átvitelének figyelésére (az ügyfél tartalmaiban). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Bizonyos kommunikációs protokollok, például az SSH alapértelmezés szerint titkosítva vannak. Azonban az olyan szolgáltatásokat, mint az RDP vagy a HTTP, úgy kell konfigurálni, hogy a TLS-t használják a titkosításhoz.
Konfigurációs útmutató: Biztonságos átvitel engedélyezése olyan szolgáltatásokban, amelyekben beépített natív adatok vannak az átviteltitkosítási szolgáltatásban. A HTTPS kényszerítése bármely webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.
Referencia: Átvitel közbeni titkosítás virtuális gépeken
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül továbbított információk védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Letiltva | 4.1.1 |
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: A platform által felügyelt kulcsokkal történő szabványos titkosítás mellett a magas biztonságú, bizalmas ügyfelek, akik aggódnak az adott titkosítási algoritmussal, implementációval vagy kulcsokkal kapcsolatos kockázatokkal kapcsolatban, mostantól választhatnak további titkosítási réteget egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok és ügyfél által kezelt kulcsok használatával. Ez az új réteg alkalmazható a megőrzött operációs rendszerekre és adatlemezekre, pillanatképekre és képekre, amelyek mindegyike inaktív állapotban, dupla titkosítással lesz titkosítva.
További információért látogasson el a következő webhelyre: Dupla titkosítás inaktív állapotban.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Azure Disk Encryption for Virtual Machine Scale Sets
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak, platform által felügyelt kulcsokkal; Az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem titkosítva lesznek a számítási és tárolási erőforrások között. Az Összes adat titkosítása az Azure Disk Encryption vagy a EncryptionAtHost használatával. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ehhez a szabályzathoz két előfeltételt kell üzembe helyezni a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. | AuditIfNotExists, Letiltva | 1.2.0-preview |
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
A Virtual Machines (VM) virtuális lemezei inaktív állapotban vannak titkosítva kiszolgálóoldali vagy Azure-beli lemeztitkosítással (ADE). Az Azure Disk Encryption a Linux DM-Crypt funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal történő titkosítására a vendég virtuális gépen. Az ügyfél által felügyelt kulcsokkal történő kiszolgálóoldali titkosítás javul az ADE-n azáltal, hogy lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez a Storage szolgáltatás adatainak titkosításával.
Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. A felhasználó által kezelt kulcsokkal rugalmasabban kezelhető a hozzáférés-vezérlés. Az ügyfél által felügyelt kulcsok tárolásához azure Key Vault vagy Azure Key Vault felügyelt hardveres biztonsági modult (HSM) kell használnia.
Importálhatja RSA-kulcsait a Key Vault, vagy létrehozhat új RSA-kulcsokat az Azure Key Vault. Az Azure-beli felügyelt lemezek teljes mértékben transzparens módon kezelik a titkosítást és a visszafejtést borítéktitkosítással. Az adatokat egy AES 256-alapú adattitkosítási kulccsal (DEK) titkosítja, amely a kulcsokkal védve van. A Storage szolgáltatás adattitkosítási kulcsokat hoz létre, és azokat ügyfél által felügyelt kulcsokkal titkosítja RSA-titkosítással. A borítéktitkosítás lehetővé teszi a kulcsok rendszeres elforgatását (módosítását) a megfelelőségi szabályzatok szerint anélkül, hogy ez hatással lenne a virtuális gépekre. A kulcsok elforgatásakor a Storage szolgáltatás újra titkosítja az adattitkosítási kulcsokat az új, ügyfél által felügyelt kulcsokkal.
Managed Disks és a Key Vault vagy felügyelt HSM-nek ugyanabban az Azure-régióban kell lennie, de különböző előfizetésekben lehetnek. A bérlőknek ugyanabban az Azure Active Directory-bérlőben (Azure AD) kell lenniük, kivéve, ha a felügyelt lemezeket bérlők közötti ügyfél által felügyelt kulcsokkal titkosítja.
Referencia: Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.
Referencia: Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Azure Policy segítségével meghatározhatja a szervezet Windows rendszerű és Linux rendszerű virtuális gépeinek kívánt viselkedését. A szabályzatok használatával a szervezetek különböző konvenciókat és szabályokat kényszeríthetnek ki a vállalat egészében, és szabványos biztonsági konfigurációkat definiálhatnak és implementálhatnak az Azure Virtual Machine Scale Sets számára. A kívánt viselkedés kényszerítése segíthet csökkenteni a kockázatokat, miközben hozzájárul a szervezet sikeréhez.
Referencia: Beépített Azure Policy definíciók Virtual Machine Scale Sets
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeket új Azure-Resource Manager-erőforrásokba kell migrálni | Új Azure-Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager alapú üzembe helyezés és szabályozás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése | Naplózás, megtagadás, letiltva | 1.0.0 |
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
Funkciók
Microsoft Defender a felhőhöz – Adaptív alkalmazásvezérlők
Leírás: A szolgáltatás korlátozhatja, hogy milyen ügyfélalkalmazások futnak a virtuális gépen a Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud adaptív alkalmazásvezérlőinek használatával felderítheti a virtuális gépeken (VM-en) futó alkalmazásokat, és létrehozhat egy alkalmazás engedélyezési listát, amely lehetővé teszi, hogy a jóváhagyott alkalmazások a virtuálisgép-környezetben fussanak.
Referencia: Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezze az alkalmazásvezérlőknek, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Letiltva | 3.0.0 |
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Defender for Servers kiterjeszti a védelmet az Azure-ban futó Windows- és Linux-gépekre. A Defender for Servers integrálva van a Végponthoz készült Microsoft Defender a végpontészlelés és -válasz (EDR) biztosításához, valamint számos további veszélyforrás-védelmi funkciót is biztosít, például a biztonsági alapkonfigurációkat és az operációs rendszerszintű értékeléseket, a sebezhetőségi felmérést, az adaptív alkalmazásvezérlőket (AAC), a fájlintegritási monitorozást (FIM) és egyebeket.
Referencia: A kiszolgálókhoz készült Microsoft Defender áttekintése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Windows Defender Biztonsági rés kiaknázása elleni védelmet engedélyezni kell a gépeken | Windows Defender Exploit Guard a Azure Policy vendégkonfigurációs ügynököt használja. A Exploit Guard négy olyan összetevővel rendelkezik, amelyek célja az eszközök számos támadási vektor elleni zárolása és a rosszindulatú támadások során gyakran használt blokkolási viselkedések blokkolása, miközben lehetővé teszi a vállalatok számára a biztonsági kockázatok és a hatékonysági követelmények kiegyensúlyozását (csak Windows rendszeren). | AuditIfNotExists, Letiltva | 2.0.0 |
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Monitor a virtuális gép létrehozásakor automatikusan megkezdi a metrikaadatok gyűjtését a virtuális gép gazdagépéhez. Ahhoz azonban, hogy naplókat és teljesítményadatokat gyűjtsön a virtuális gép vendég operációs rendszeréből, telepítenie kell az Azure Monitor-ügynököt. Az ügynököt telepítheti és konfigurálhatja a gyűjteményt virtuálisgép-elemzésekkel vagy egy adatgyűjtési szabály létrehozásával.
Referencia: A Log Analytics-ügynök áttekintése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A hálózati forgalom adatgyűjtési ügynökét Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Függőségi ügynök használatával gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térkép forgalomvizualizációja, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Letiltva | 1.0.2-preview |
Állapot- és biztonságirés-kezelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Állapot- és biztonságirés-kezelés.
PV-3: Számítási erőforrások biztonságos konfigurációinak meghatározása és létrehozása
Funkciók
Azure Automation State Configuration
Leírás: Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartására használható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az operációs rendszer biztonsági konfigurációjának fenntartása Azure Automation State Configuration használatával. Azure Automation State Configuration egy Azure-konfigurációkezelési szolgáltatás, amely lehetővé teszi a Csomópontok PowerShell-Desired State Configuration (DSC) konfigurációinak írását, kezelését és fordítását.
Azure Automation State Configuration számos előnnyel jár az Azure-on kívüli DSC használatával szemben. Ez a szolgáltatás több ezer gép skálázhatóságát teszi lehetővé gyorsan és egyszerűen egy központi, biztonságos helyről. Egyszerűen engedélyezheti a gépeket, deklaratív konfigurációkat rendelhet hozzájuk, és megtekintheti az egyes gépeknek a kívánt állapotnak való megfelelését bemutató jelentéseket.
Referencia: A Virtual Machine Scale Sets használata az Azure DSC-bővítménnyel
Azure Policy vendégkonfigurációs ügynök
Leírás: Azure Policy vendégkonfigurációs ügynök telepíthető vagy üzembe helyezhető a számítási erőforrások bővítményeként. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A felhőhöz és Azure Policy vendégkonfigurációs ügynökhöz készült Microsoft Defender használatával rendszeresen felmérheti és kijavíthatja a virtuális gépek konfigurációs eltéréseit.
Referencia: A Azure Policy vendégkonfigurációs funkciójának ismertetése
Egyéni virtuálisgép-rendszerképek
Leírás: A szolgáltatás támogatja a felhasználó által megadott virtuálisgép-rendszerképek vagy a piactérről származó előre elkészített rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Használjon előre konfigurált, megbízható szállítótól származó rendszerképet, például a Microsoftot, vagy hozzon létre egy kívánt biztonságos konfigurációs alapkonfigurációt a virtuálisgép-rendszerképsablonban
Referencia: Egyéni rendszerkép létrehozása és használata virtuálisgép-méretezési csoportokhoz Azure PowerShell
PV-4: Számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése
Funkciók
Megbízható indítású virtuális gép
Leírás: A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen olyan infrastruktúra-technológiák kombinálásával, mint a biztonságos rendszerindítás, a vTPM és az integritás monitorozása. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen. A megbízható indítás lehetővé teszi a virtuális gépek biztonságos üzembe helyezését ellenőrzött rendszertöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal, valamint biztonságosan védi a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken. A megbízható indítás emellett betekintést nyújt a teljes rendszerindítási lánc integritásába, és biztosítja a számítási feladatok megbízhatóságát és ellenőrizhetőségét. A megbízható indítás integrálva van a Microsoft Defender for Cloud szolgáltatással, hogy a virtuális gépek megfelelően legyenek konfigurálva, a virtuális gép megfelelő rendszerindításának távoli igazolásával. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzése: A megbízható indítás a 2. generációs virtuális gépekhez érhető el. A megbízható indításhoz új virtuális gépek létrehozása szükséges. Nem engedélyezheti a megbízható indítást az eredetileg nélküle létrehozott meglévő virtuális gépeken.
Konfigurációs útmutató: A virtuális gép üzembe helyezése során engedélyezhető a megbízható indítás. Mindhárom engedélyezése – Biztonságos rendszerindítás, vTPM és integritásos rendszerindítás monitorozása a virtuális gép legjobb biztonsági állapotának biztosítása érdekében. Vegye figyelembe, hogy van néhány előfeltétel, például az előfizetés előkészítése a Microsoft Defender for Cloudhoz, bizonyos Azure Policy kezdeményezések hozzárendelése és tűzfalszabályzatok konfigurálása.
Referencia: Virtuális gép üzembe helyezése engedélyezett megbízható indítással
PV-5: Sebezhetőségi felmérések végrehajtása
Funkciók
Sebezhetőségi felmérés Microsoft Defender használatával
Leírás: A szolgáltatás a felhőhöz készült Microsoft Defender vagy más Microsoft Defender-szolgáltatások beágyazott sebezhetőségi felmérési funkciójának (beleértve a kiszolgáló, a tárolóregisztrációs adatbázis, a App Service, az SQL és a DNS Microsoft Defender) használatával vizsgálható meg. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure-beli virtuális gépek biztonságirés-felméréseinek elvégzéséhez.
Referencia: A kiszolgálókhoz készült Microsoft Defender áttekintése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázat és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonságirés-vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: A biztonsági rések gyors és automatikus elhárítása
Funkciók
Azure Automation – Frissítéskezelés
Leírás: A szolgáltatás Azure Automation Update Management használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: A Microsoft egyéb képességeket is kínál az Azure-beli virtuális gépek vagy azure-beli virtuálisgép-méretezési csoportok frissítéseinek kezeléséhez, amelyeket érdemes megfontolnia az általános frissítéskezelési stratégia részeként.
Ha szeretné automatikusan felmérni és frissíteni az Azure-beli virtuális gépeket a havonta kiadott kritikus és biztonsági frissítések biztonsági megfelelőségének fenntartása érdekében, tekintse át az Automatikus virtuálisgépvendég-javítás című cikket. Ez egy alternatív frissítéskezelési megoldás az Azure-beli virtuális gépek számára, amellyel automatikusan frissítheti őket csúcsidőn kívüli időszakokban, beleértve a rendelkezésre állási csoportban lévő virtuális gépeket is, szemben a virtuális gépek frissítéstelepítésének felügyeletével az Update Managementből az Azure Automationben.
Ha Azure-beli virtuálisgép-méretezési csoportokat kezel, tekintse át, hogyan végezhet automatikus operációsrendszer-lemezkép-frissítéseket a méretezési csoport összes példányának operációsrendszer-lemezének biztonságos és automatikus frissítéséhez.
További információ: Azure-beli virtuálisgép-méretezési csoport automatikus operációsrendszer-rendszerkép-frissítései.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Azure-vendégjavító szolgáltatás
Leírás: A szolgáltatás az Azure Guest Patching használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A szolgáltatások különböző frissítési mechanizmusokat használhatnak, például az automatikus operációs rendszer rendszerképének frissítését és az automatikus vendég-javítást. Javasoljuk, hogy a legújabb biztonsági és kritikus frissítéseket alkalmazza a virtuális gép vendég operációs rendszerére a biztonságos üzembe helyezés alapelveit követve.
Az automatikus vendégjavítás lehetővé teszi az Azure-beli virtuális gépek automatikus felmérését és frissítését, hogy fenntartsa a havonta kiadott kritikus és biztonsági frissítéseknek való megfelelést. Frissítések a rendszer csúcsidőn kívül alkalmazza, beleértve a rendelkezésre állási csoporton belüli virtuális gépeket is. Ez a képesség elérhető a rugalmas VMSS vezényléshez, és a jövőben támogatja az egységes vezénylés ütemtervét.
Ha állapot nélküli számítási feladatot futtat, az automatikus operációsrendszer-rendszerkép-frissítések ideálisak a VMSS Uniform legújabb frissítésének alkalmazásához. A visszaállítási funkcióval ezek a frissítések kompatibilisek a Marketplace-szel vagy az egyéni rendszerképekkel. A jövőbeli működés közbeni frissítés támogatása a rugalmas vezénylés ütemtervében.
Referencia: Azure-beli virtuális gépek automatikus virtuálisgép-vendégjavítása
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Centerrel) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus biztonsági javításokat. Az ilyen lyukakat gyakran használják ki a kártevők támadásai, ezért elengedhetetlen a szoftver frissítésének fenntartása. A kimagasló javítások telepítéséhez és a gépek védelméhez kövesse a javítási lépéseket. | AuditIfNotExists, Disabled | 1.0.0-preview |
Végpontbiztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Végpontbiztonság.
ES-1: Végpontészlelés és -válasz (EDR) használata
Funkciók
EDR-megoldás
Leírás: A végpontészlelés és -válasz (EDR) funkció, például a kiszolgálókhoz készült Azure Defender üzembe helyezhető a végponton. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A kiszolgálókhoz készült Azure Defender (integrált Végponthoz készült Microsoft Defender) EDR-képességet biztosít a speciális fenyegetések megelőzésére, észlelésére, kivizsgálására és megválaszolására. A Microsoft Defender for Cloud használatával üzembe helyezheti az Azure Defendert a végpont kiszolgálóihoz, és integrálhatja a riasztásokat a SIEM-megoldásba, például az Azure Sentinelbe.
Referencia: Integrált licenc Végponthoz készült Microsoft Defender
ES-2: Modern kártevőirtó szoftverek használata
Funkciók
Kártevőirtó megoldás
Leírás: Kártevőirtó funkció, például Microsoft Defender víruskereső, Végponthoz készült Microsoft Defender üzembe helyezhető a végponton. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Windows Server 2016 és újabb verziók esetében alapértelmezés szerint a víruskereső Microsoft Defender van telepítve. Az Windows Server 2012 R2 és újabb verziók esetében az ügyfelek telepíthetik az SCEP-t (System Center Endpoint Protection). Linux esetén az ügyfelek választhatnak, hogy linuxos Microsoft Defender telepítenek. Alternatív megoldásként az ügyfelek dönthetnek úgy is, hogy külső kártevőirtó termékeket telepítenek.
Referencia: azure Cloud Services és Virtual Machines Microsoft Antimalware
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Letiltva | 1.0.0 |
ES-3: Győződjön meg arról, hogy a kártevőirtó szoftverek és az aláírások frissülnek
Funkciók
Kártevőirtó megoldás állapotmonitorozása
Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform-, motor- és automatikus aláírásfrissítésekhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Konfigurálja a kártevőirtó megoldást annak érdekében, hogy a platform, a motor és az aláírások gyorsan és következetesen frissüljenek, és állapotuk monitorozásra kerüljön.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Letiltva | 1.0.0 |
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A VMSS Flex és nem a VMSS Uniform támogatott
Konfigurációs útmutató: Engedélyezze Azure Backup és célként az Azure Virtual Machines (VM), valamint a kívánt gyakoriságot és megőrzési időtartamot. Ez magában foglalja a teljes rendszerállapot-biztonsági mentést is. Ha Azure-beli lemeztitkosítást használ, az Azure-beli virtuális gépek biztonsági mentése automatikusan kezeli az ügyfél által felügyelt kulcsok biztonsági mentését. Az Azure Virtual Machines Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.
Referencia: Virtuálisgép-méretezési csoportpéldány és felügyelt lemez pillanatképének készítése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Backup engedélyezni kell a Virtual Machines | A Azure Backup engedélyezésével gondoskodjon az Azure Virtual Machines védelméről. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Letiltva | 3.0.0 |
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről