Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a biztonsági alapkonfiguráció a Microsoft 1.0-s felhőbiztonsági referenciaverziójának útmutatását alkalmazza a Virtuális gépek – Linux rendszerű virtuális gépekre. A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalmat a Microsoft felhőbiztonsági referenciamutatója által meghatározott biztonsági vezérlők és a Virtuális gépek – Linux rendszerű virtuális gépekre vonatkozó kapcsolódó útmutatók csoportosítják.
Ezt a biztonsági alapkonfigurációt és annak ajánlásait a Microsoft Defender for Cloud használatával figyelheti. Az Azure Policy-definíciók a Microsoft Defender for Cloud Portál oldal Szabályozási megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy megmérjük a Microsoft felhőbiztonsági referenciamutató-vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Jegyzet
virtuális gépekre nem alkalmazható funkciók – a Linux rendszerű virtuális gépek ki lettek zárva. Ha meg szeretné tudni, hogy a Virtuális gépek – Linux rendszerű virtuális gépek teljes mértékben hogyan képezik le a Microsoft felhőbiztonsági teljesítménytesztét, tekintse meg a teljes virtuális gépek – Linux rendszerű virtuális gépek biztonsági alapkonfiguráció-leképezési fájljának.
Biztonsági profil
A biztonsági profil összefoglalja a Virtuális gépek – Linux rendszerű virtuális gépek nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Termékkategória | Számlál |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Teljes hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménymutatót: Hálózati biztonsági.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát virtuális hálózatában (VNet) való üzembe helyezést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Virtuális hálózatok és virtuális gépek az Azure
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabályhozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. NSG-szabályok létrehozása a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Azure-beli virtuális gép (VM) létrehozásakor létre kell hoznia egy virtuális hálózatot, vagy egy meglévő virtuális hálózatot kell használnia, és alhálózattal kell konfigurálnia a virtuális gépet. Győződjön meg arról, hogy az összes üzembe helyezett alhálózathoz egy hálózati biztonsági csoport van alkalmazva, amely az alkalmazásokra vonatkozó, megbízható portokra és forrásokra vonatkozó hálózati hozzáférés-vezérléssel rendelkezik.
referencia: hálózati biztonsági csoportok
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.ClassicCompute:
| Név (Azure Portal) |
Leírás | hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az ön erőforrásait. | AuditIfNotExists, kikapcsolva | 3.0.0 |
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| adaptív hálózatmegerősítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépekre | Az Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Letiltva | 3.0.0 |
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Az olyan szolgáltatások, mint az iptables vagy a tűzfalak telepíthetők a Linux operációs rendszerben, és hálózati szűrést biztosítanak a nyilvános hozzáférés letiltásához.
Identitáskezelés
További információ: Microsoft felhőbiztonsági benchmark: Identity Management.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Adatsík-hozzáféréshez szükséges Azure AD-hitelesítés
Leírás: A szolgáltatás támogatja az Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.
Referencia: Jelentkezzen be egy Linux rendszerű virtuális gépre az Azure-ban az Azure AD és az OpenSSH használatával
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például a helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Szolgáltatásjegyzetek: A rendszer alapértelmezés szerint létrehoz egy helyi rendszergazdai fiókot a virtuális gép kezdeti telepítése során. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja az Azure AD-t a hitelesítéshez, ahol lehetséges.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsík-műveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciójegyzetek: A Linux rendszerű virtuális gépek hagyományosan használják a felügyelt identitást más szolgáltatásokhoz való hitelesítéshez. Ha a Linux rendszerű virtuális gép támogatja az Azure AD-hitelesítést, akkor a felügyelt identitás támogatott lehet.
konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory (Azure AD) hitelesítését támogató Azure-szolgáltatásokban és erőforrásokban. A felügyelt identitás hitelesítő adatait a platform teljes mértékben kezeli, megújítja és védi, ezzel elkerülve a forráskódban vagy konfigurációs fájlokban beágyazott hitelesítő adatokat.
Szolgáltatási principálok
Leírás: Az adatsík szolgáltatási identitások használatával támogatja a hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciójegyzetek: A Linux VM-en futó alkalmazások szolgáltatási fiókokat használhatnak.
konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz jelenleg nincs Microsoft-útmutató. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót.
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ a https://aka.ms/gcpol | EllenőrzésHaNemLétezik, Kikapcsolva | 1.0.1 |
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés az Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciómegjegyzések: Az Azure AD használata alapszintű hitelesítési platformként és hitelesítésszolgáltatóként a linuxos virtuális gépre történő SSH-hoz Azure AD és OpenSSH tanúsítványalapú hitelesítés segítségével. Ez a funkció lehetővé teszi a szervezetek számára, hogy azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) és feltételes hozzáférési szabályzatokkal kezeljék a virtuális gépekhez való hozzáférést.
Konfigurációs útmutatás: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és kritériumokat a munkaterhelésben. Fontolja meg az olyan gyakori használati eseteket, mint például a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása, vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
Referencia: Bejelentkezés egy Linux rendszerű virtuális gépre az Azure-ban az Azure AD és az OpenSSH használatával
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Integrációt és a Tárolást az Azure Key Vaultban
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciójegyzetek: Az adatsíkon vagy az operációs rendszeren belül a szolgáltatások meghívhatják az Azure Key Vaultot hitelesítő adatok vagy titkos kódok céljából.
konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és hitelesítő adatok biztonságos helyeken, például az Azure Key Vaultban vannak tárolva, ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket.
Kiváltságos hozzáférés
További információért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztet: Privileged access.
PA-1: A kiemelt/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi rendszergazdai fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
funkciójegyzetek: A helyi hitelesítési módszerek vagy fiókok használatának elkerülése érdekében ezeket lehetőség szerint le kell tiltani. Ehelyett használja az Azure AD-t a hitelesítéshez, ahol lehetséges.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: rövid útmutató: Linux rendszerű virtuális gép létrehozása az Azure Portalon
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC az adatforgalmi síkhoz
Leírás: Az Azure Role-Based Hozzáférés-vezérlés (Azure RBAC) a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkcióleírások: Az Azure AD használata alapvető hitelesítési platformként és hitelesítés szolgáltatóként, az Azure AD és az OpenSSH tanúsítványalapú hitelesítést alkalmazva, hogy SSH-val csatlakozzunk egy Linux virtuális géphez. Ez a funkció lehetővé teszi a szervezetek számára, hogy azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) és feltételes hozzáférési szabályzatokkal kezeljék a virtuális gépekhez való hozzáférést.
konfigurációs útmutató: Az RBAC használatával megadhatja, hogy ki jelentkezhet be a virtuális gépre rendszeres felhasználóként vagy rendszergazdai jogosultságokkal. Amikor a felhasználók csatlakoznak a csapathoz, frissítheti a virtuális gép Azure RBAC-szabályzatát, hogy szükség szerint hozzáférést biztosítson. Amikor az alkalmazottak elhagyják a szervezetet, és felhasználói fiókjukat letiltják vagy eltávolítják az Azure AD-ből, már nem férnek hozzá az erőforrásokhoz.
Referencia: Lépjen be egy Linux rendszerű virtuális gépre az Azure-ban az Azure AD és az OpenSSH használatával
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélzárolás
Leírás: A Customer Lockbox a Microsoft támogatási hozzáféréshez használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Olyan támogatási helyzetekben, ahol a Microsoftnak hozzá kell férnie az adataihoz, tekintse át a Customer Lockboxot, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információért lásd a Microsoft felhőbiztonsági benchmark: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban való adatfelderítéshez és -besoroláshoz használhatók. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatmozgás nyomon követésére (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Átviteli adatok titkosítása
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciójegyzetek: Bizonyos kommunikációs protokollok, például az SSH alapértelmezés szerint titkosítva vannak. Más szolgáltatásokat, például a HTTP-t azonban úgy kell konfigurálni, hogy TLS-t használjon a titkosításhoz.
konfigurációs útmutató: Engedélyezze a biztonságos átvitelt olyan szolgáltatásokban, amelyek beépített natív adatátviteli titkosítási funkcióval rendelkeznek. A HTTPS kényszerítése bármely webalkalmazáson és szolgáltatáson, és a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A virtuális gépek távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.
Referencia: Átvitel közbeni titkosítás virtuális gépeken
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(oka) | Verzió (GitHub) |
|---|---|---|---|
| Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditHaNemLétezik, Letiltva | 4.1.1 |
DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése
Funkciók
Nyugalomban lévő adatok titkosítása platformkulcsok használatával
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, a inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Alapértelmezés szerint a felügyelt lemezek platform által felügyelt titkosítási kulcsokat használnak. Az összes felügyelt lemez, pillanatkép, rendszerkép és a meglévő felügyelt lemezekre írt adat automatikusan inaktív állapotban, platform által felügyelt kulcsokkal van titkosítva.
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Azure Disk Storage kiszolgálóoldali titkosítása – Platform által felügyelt kulcsok
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.ClassicCompute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | Auditálás ha nem létezik, Letiltva | 2.0.3 |
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; Az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem titkosítva lesznek a számítási és tárolási erőforrások között. Az összes adat titkosításához használja az Azure Disk Encryptiont vagy a EncryptionAtHostot. A titkosítási ajánlatok összehasonlításához látogasson el https://aka.ms/diskencryptioncomparison. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el https://aka.ms/gcpol. | AuditIfNotExists, Letiltva | 1.2.0 előzetes verzió |
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban
Funkciók
Inaktív állapotú adatok titkosítása CMK használatával
Leírás: Az adatok nyugalmi állapotban történő titkosítása ügyfél által kezelt kulcsokkal támogatott az ügyféltartalmak esetében, amelyeket a szolgáltatás tárol. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciójegyzetek: A titkosítást az egyes felügyelt lemezek szintjén, saját kulcsokkal kezelheti. Ha ügyfél által kezelt kulcsot ad meg, ez a kulcs az adatokat titkosító kulcshoz való hozzáférés védelmére és szabályozására szolgál. Az ügyfél által felügyelt kulcsok nagyobb rugalmasságot biztosítanak a hozzáférés-vezérlés kezeléséhez.
konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Nyugalmi állapotban lévő adatok titkosításának engedélyezése és megvalósítása az ügyfél által kezelt kulccsal ezekhez a szolgáltatásokhoz.
A virtuális gépek virtuális lemezei inaktív állapotban vannak titkosítva kiszolgálóoldali vagy Azure-lemeztitkosítással (ADE). Az Azure Disk Encryption a Linux DM-Crypt funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal történő titkosítására a vendég virtuális gépen. A kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokkal javítja az ADE-t azáltal, hogy lehetővé teszi, hogy bármilyen operációsrendszer-típust és lemezképet használjon a virtuális gépekhez a Storage szolgáltatásban lévő adatok titkosításával.
Referencia: Azure Disk Storage kiszolgálóoldali titkosítása – Ügyfél által felügyelt kulcsok
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vaultban
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcs, titkos kulcs vagy tanúsítvány esetében. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vaultban és a szolgáltatásban meghatározott ütemezés alapján, illetve kulcsok kivonása vagy feltörése esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, szolgáltatás vagy alkalmazás szintjén, kövesse a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vaultban, és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell a szolgáltatásba vinnie (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vaultba), kövesse az ajánlott irányelveket a kulcsok kezdeti generálásához és a kulcsátvitelhez.
Referencia: Key Vault létrehozása és konfigurálása az Azure lemeztitkosításhoz
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vaultban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Vagyonkezelés
További információ: Microsoft felhőbiztonsági benchmark: Asset Management.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Azure Policy-támogatás
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése az Azure Policy használatával. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Az Azure Policy segítségével meghatározhatja a szervezet Windows és Linux rendszerű virtuális gépeinek kívánt viselkedését. A szabályzatok használatával a szervezet számos konvenciót és szabályt kényszeríthet ki a vállalaton belül, és szabványos biztonsági konfigurációkat határozhat meg és implementálhat az Azure-beli virtuális gépekhez. A kívánt viselkedés érvényesítése segíthet csökkenteni a kockázatokat, miközben hozzájárul a szervezet sikeréhez.
Referencia: Azure Policy beépített definíciói az Azure-beli virtuális gépekhez
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.ClassicCompute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Ellenőrzés, megtagadva, letiltva | 1.0.0 |
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
Funkciók
Microsoft Defender for Cloud – Adaptív alkalmazásvezérlők
Leírás: A szolgáltatás korlátozhatja a virtuális gépen futó ügyfélalkalmazásokat a Microsoft Defender for Cloud adaptív alkalmazásvezérlőinek használatával. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: A Microsoft Defender for Cloud adaptív alkalmazásvezérlőinek használatával felderítheti a virtuális gépeken (virtuális gépeken) futó alkalmazásokat, és létrehozhat egy alkalmazáslistát, amely meghatározza, hogy mely jóváhagyott alkalmazások futtathatók a virtuálisgép-környezetben.
Referencia: Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.ClassicCompute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditHaNemLétezik, Letiltva | 3.0.0 |
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
Naplózás és fenyegetésészlelés
További információ: Microsoft felhőbiztonsági benchmark: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender for Service / Termékajánlat
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: A Defender for Servers kiterjeszti a védelmet az Azure-ban futó Windows- és Linux-gépekre. A Defender for Servers integrálható a Végponthoz készült Microsoft Defenderrel a végpontészlelés és -válasz (EDR) biztosításához, valamint számos további fenyegetésvédelmi funkciót is biztosít, például biztonsági alapkonfigurációkat és operációsrendszer-szintű értékeléseket, sebezhetőségi felméréseket, adaptív alkalmazásvezérlőket (AAC), fájlintegritási monitorozást (FIM) stb.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | EllenőrzésHaNemLétezik, Kikapcsolva | 2.0.0 |
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adattárolójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Az Azure Monitor automatikusan elkezdi gyűjteni a metrikai adatokat a virtuális gép gazdagépéről, amikor létrehozod a virtuális gépet. Ahhoz azonban, hogy naplókat és teljesítményadatokat gyűjtsön a virtuális gép vendég operációs rendszeréből, telepítenie kell az Azure Monitor-ügynököt. Az ügynököt telepítheti és beállíthatja a gyűjtést virtuális gép elemzések használatával, vagy hozhat létre adatgyűjtési szabályt.
Referencia: Log Analytics-ügynök áttekintése
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni, | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Letiltva | 1.0.2-előzetes |
Testtartás és sebezhetőség kezelése
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztet: Testtartás és sebezhetőség-kezelés.
PV-3: Számítási erőforrások biztonságos konfigurációinak meghatározása és létrehozása
Funkciók
Az Azure Automation állapotkonfigurációja
Leírás: Az Azure Automation állapotkonfigurációja használható az operációs rendszer biztonsági konfigurációjának fenntartásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Az Azure Automation State Configuration használata az operációs rendszer biztonsági konfigurációjának fenntartásához.
referencia: Virtuális gép konfigurálása a kívánt állapotkonfigurációval
Azure Policy vendégkonfigurációs ügynök
Leírás: Az Azure Policy vendégkonfigurációs ügynöke a számítási erőforrások bővítményeként telepíthető vagy kialakítható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
szolgáltatásjegyzetek: Az Azure Policy vendégkonfigurációját mostantól Azure Automanage Machine Configuration-nak nevezzük.
konfigurációs útmutató: A Microsoft Defender for Cloud és az Azure Policy vendégkonfigurációs ügynök használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrásai konfigurációs eltéréseit, beleértve a virtuális gépeket, tárolókat és másokat.
Referencia: Az Azure Automanage gépkonfigurációs funkciójának ismertetése
Egyéni virtuálisgép-rendszerképek
Leírás: A szolgáltatás támogatja a felhasználó által biztosított virtuálisgép-rendszerképek vagy a piactérről származó előre elkészített rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Használjon egy előre konfigurált, megbízható szállítótól, például a Microsofttól származó, előre konfigurált rendszerképet, vagy hozzon létre egy kívánt biztonságos konfigurációs alapkonfigurációt a virtuálisgép-rendszerképsablonba.
Referencia: Oktatóanyag: Egyéni rendszerkép létrehozása az Azure-beli virtuális gépről az Azure CLI-
PV-4: Számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése
Funkciók
Megbízható indítású virtuális gép
Leírás: A megbízható indítás a fejlett és állandó támadási technikák ellen nyújt védelmet olyan infrastruktúra-technológiák kombinálásával, mint a biztonságos rendszerindítás, a vTPM és az integritásfigyelés. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen. A megbízható indítás lehetővé teszi a virtuális gépek biztonságos üzembe helyezését ellenőrzött rendszertöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal, valamint biztonságosan védi a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken. A megbízható indítás emellett elemzéseket és magabiztosságot biztosít a rendszerindítási lánc teljes integritásáról, és biztosítja a számítási feladatok megbízhatóságát és ellenőrizhetőségét. A megbízható indítás integrálva van a Microsoft Defender for Cloud szolgáltatással annak érdekében, hogy a virtuális gépek megfelelően legyenek konfigurálva, a virtuális gépek megfelelő rendszerindításának távoli igazolásával. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkció megjegyzése: A megbízható indítás a 2. generációs virtuális gépekhez érhető el. A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást.
konfigurációs útmutató: A virtuális gép üzembe helyezése során engedélyezhető a megbízható indítás. A virtuális gép legjobb biztonsági helyzetének biztosítása érdekében engedélyezze mind a három funkciót: a biztonságos rendszerindítást, a vTPM-et és az indítási integritás monitorozását. Vegye figyelembe, hogy van néhány előfeltétel, például a Microsoft Defender for Cloud előfizetésének előkészítése, bizonyos Azure Policy-kezdeményezések hozzárendelése és tűzfalszabályzatok konfigurálása.
referencia-: Virtuális gép üzembe helyezése a megbízható indítás engedélyezésével
PV-5: Biztonsági rések felmérése
Funkciók
Sebezhetőségi felmérés a Microsoft Defender használatával
Leírás: A szolgáltatást sebezhetőségi vizsgálatnak lehet alávetni a Microsoft Defender for Cloud vagy bármely más Microsoft Defender szolgáltatás beágyazott sebezhetőségi felmérési képességével (beleértve a Microsoft Defender for Server, a tárolóregisztrációt, az App Service-et, az SQL-t és a DNS-t). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure-beli virtuális gépek sebezhetőségi felméréseinek elvégzéséhez.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.ClassicCompute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | EllenőrzésHaNemLétezik, Letiltva | 3.0.0 |
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | EllenőrzésHaNincs, Letiltva | 3.0.0 |
PV-6: A biztonsági rések gyors és automatikus elhárítása
Funkciók
Azure Update Manager
Leírás: A szolgáltatás az Azure Update Manager használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Ügyfél |
konfigurációs útmutató: Az Azure Update Manager használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Linux rendszerű virtuális gépeken.
Referencia: Virtuális gépek frissítéseinek és javításainak kezelése
Azure Vendégjavítási szolgáltatás
Leírás: A szolgáltatás az Azure Vendégjavítás használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: A szolgáltatások különböző frissítési mechanizmusokat használhatnak, például a automatikus operációs rendszer-kép frissítéseket és az automatikus vendégjavítást. A virtuális gép vendég operációs rendszerének legújabb biztonsági és kritikus frissítéseit ajánlott alkalmazni a biztonságos üzembehelyezési alapelvek követésével.
Az automatikus vendégjavítás lehetővé teszi az Azure-beli virtuális gépek automatikus felmérését és frissítését, hogy megőrizze a havonta kiadott kritikus és biztonsági frissítéseknek való biztonsági megfelelőséget. A frissítéseket csúcsidőn kívül alkalmazza a rendszer, beleértve a rendelkezésre állási csoporton belüli virtuális gépeket is. Ez a funkció a rugalmas VMSS vezényléshez érhető el, és a jövőben támogatja az egységes vezénylés ütemtervét.
Állapot nélküli számítási feladat futtatása esetén az automatikus operációsrendszer-rendszerkép frissítései ideálisak a VMSS Uniform legújabb frissítésének alkalmazásához. A visszaállítási funkcióval ezek a frissítések kompatibilisek a Marketplace- vagy egyéni képekkel. A rugalmas vezénylés ütemtervének jövőbeli gördülő frissítési támogatása.
Referencia: Azure VM-ek automatikus vendégfoltozása
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.ClassicCompute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| rendszerfrissítéseket kell telepíteni a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center által működtetett) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes függőben lévő javítás telepítéséhez és a gépek védelméhez kövesse a javítási lépéseket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
Végpont biztonsága
További információ: Microsoft felhőbiztonsági benchmark: Endpoint Security.
ES-1: Végpontészlelés és -válasz (EDR) használata
Funkciók
EDR-megoldás
Leírás: A végpontészlelés és -válasz (EDR) funkció, például a kiszolgálókhoz készült Azure Defender üzembe helyezhető a végponton. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: A kiszolgálókhoz készült Azure Defender (integrált Microsoft Defender for Endpoint) EDR-képességgel rendelkezik a speciális fenyegetések megelőzésére, észlelésére, kivizsgálására és elhárítására. A Microsoft Defender for Cloud használatával üzembe helyezheti az Azure Defendert a végpont kiszolgálóihoz, és integrálhatja a riasztásokat a SIEM-megoldásba, például az Azure Sentinelbe.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
ES-2: Modern kártevőirtó szoftverek használata
Funkciók
Kártevőirtó megoldás
Leírás: Kártevőirtó funkció, például a Microsoft Defender víruskereső, a Microsoft Defender for Endpoint üzembe helyezhető a végponton. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Konfigurációs útmutató: Linux esetén az ügyfelek választhatják a Microsoft Defender for Endpoint for Linux telepítését. Másik lehetőségként az ügyfelek dönthetnek úgy is, hogy külső kártevőirtó termékeket telepítenek.
Referencia: Microsoft Defender for Endpoint Linuxon
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.ClassicCompute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Végpontvédelem állapotproblémáinak megoldása a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | FelülvizsgálatHaNemLétezik, Kikapcsolva | 1.0.0 |
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Végpontvédelem állapotproblémáinak megoldása a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: Kártevőirtó szoftverek és aláírások frissítésének biztosítása
Funkciók
Kártevőirtó megoldás állapotfigyelése
Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform, a motor és az automatikus aláírásfrissítésekhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
Funkciók megjegyzései: A biztonsági intelligencia és a termékfrissítések a Végponthoz készült Defenderre vonatkoznak, amely linuxos virtuális gépekre telepíthető.
konfigurációs útmutató: Konfigurálja kártevőirtó megoldását, hogy a platform, a motor és az aláírások gyorsan és következetesen frissüljenek, és állapotuk monitorozásra kerüljön.
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.ClassicCompute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Végpontvédelem állapotproblémáinak megoldása a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Végpontvédelem állapotproblémáinak megoldása a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | EllenőrzésHaNemLétezik, Kikapcsolva | 1.0.0 |
Biztonsági mentés és helyreállítás
További információ: Microsoft felhőbiztonsági referenciamutatója: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Téves | Ügyfél |
konfigurációs útmutató: Az Azure Backup engedélyezése és az Azure-beli virtuális gépek célba helyezése, valamint a kívánt gyakoriság és megőrzési időszakok. Ez magában foglalja a teljes rendszerállapot-biztonsági mentést. Ha Azure-lemeztitkosítást használ, az Azure-beli virtuális gépek biztonsági mentése automatikusan kezeli az ügyfél által felügyelt kulcsok biztonsági mentését. Az Azure Virtual Machines esetében az Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.
Referencia: Biztonsági mentési és visszaállítási lehetőségek az Azure virtuális gépekhez
Microsoft Defender felhőbeli monitorozáshoz
Azure Policy beépített definíciói – Microsoft.Compute:
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Backupot engedélyezni kell a virtuális gépekhez | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További információ az Azure biztonsági alapkonfigurációinak