Az Azure biztonsági alapkonfigurációja Virtual Machines – Windows Virtual Machines
Ez a biztonsági alapkonfiguráció a Microsoft felhőalapú biztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Virtual Machines – Windows Virtual Machines. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Virtual Machines – Windows Virtual Machines vonatkozó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
A Virtual Machines nem alkalmazható funkciók – a Windows Virtual Machines ki lettek zárva. A Virtual Machines – A Windows Virtual Machines teljesen megfelel a Microsoft felhőbiztonsági teljesítménytesztjének, tekintse meg a teljes Virtual Machines – Windows Virtual Machines biztonsági alapkonfiguráció-leképezési fájlt.
Biztonsági profil
A biztonsági profil összefoglalja a Virtual Machines – Windows Virtual Machines nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Compute |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Teljes hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Virtuális hálózatok és virtuális gépek az Azure-ban
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Azure-beli virtuális gép (VM) létrehozásakor létre kell hoznia egy virtuális hálózatot, vagy egy meglévő virtuális hálózatot kell használnia, és alhálózattal kell konfigurálnia a virtuális gépet. Győződjön meg arról, hogy az összes üzembe helyezett alhálózaton egy hálózati biztonsági csoport van alkalmazva, amely az alkalmazásokra vonatkozó, megbízható portokra és forrásokra vonatkozó hálózati hozzáférés-vezérléssel rendelkezik.
Referencia: Hálózati biztonsági csoportok
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományokból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Letiltva | 3.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adaptív hálózatmegerősítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépekre | Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a lehetséges támadási felületet | AuditIfNotExists, Letiltva | 3.0.0 |
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A nyilvános hozzáférés letiltásához használjon operációsrendszer-szintű szolgáltatásokat, például Windows Defender tűzfalat a hálózati szűrés biztosításához.
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.
Referencia: Jelentkezzen be egy Windows rendszerű virtuális gépre az Azure-ban a jelszó nélküli Azure AD használatával
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például egy helyi felhasználónév és jelszó. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Szolgáltatás megjegyzései: A rendszer alapértelmezés szerint helyi rendszergazdai fiókot hoz létre a virtuális gép kezdeti telepítése során. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ahol csak lehetséges, ezeket le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A felügyelt identitást általában a Windows rendszerű virtuális gép használja más szolgáltatások hitelesítéséhez. Ha a Windows rendszerű virtuális gép támogatja Azure AD hitelesítést, akkor a felügyelt identitás támogatott lehet.
Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, elkerülve a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat.
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatás megjegyzései: A windowsos virtuális gépen futó alkalmazások szolgáltatásneveket használhatnak.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez egy rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs rendszer által hozzárendelt felügyelt identitásuk. További információ: https://aka.ms/gcpol | AuditIfNotExists, Letiltva | 1.0.1 |
IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Feltételes hozzáférés adatsíkhoz
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A Azure AD alapvető hitelesítési platformként használhatja az RDP-t a Windows Server 2019 Datacenter kiadásában és újabb verzióiban, vagy Windows 10 1809-ben és újabb verziókban. Ezután központilag szabályozhatja és kényszerítheti az Azure szerepköralapú hozzáférés-vezérlését (RBAC) és a feltételes hozzáférési szabályzatokat, amelyek engedélyezik vagy megtagadják a virtuális gépekhez való hozzáférést.
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésének megfelelő feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
Referencia: Jelentkezzen be egy Windows rendszerű virtuális gépre az Azure-ban a jelszó nélküli Azure AD használatával
IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Az adatsíkon vagy az operációs rendszeren belül a szolgáltatások meghívhatják az Azure Key Vault hitelesítő adatokat vagy titkos kulcsokat.
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kódok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva, ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket.
Emelt szintű hozzáférés
További információt a Microsoft felhőalapú biztonsági teljesítménytesztje: Privileged access (Emelt szintű hozzáférés) című témakörben talál.
PA-1: A kiemelt jogosultsággal rendelkező/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Rövid útmutató: Windows rendszerű virtuális gép létrehozása a Azure Portal
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A Azure AD alapvető hitelesítési platformként használhatja az RDP-t a Windows Server 2019 Datacenter kiadásában és újabb verzióiban, vagy Windows 10 1809-Windows 10 újabb verziókban. Ezután központilag szabályozhatja és kényszerítheti az Azure szerepköralapú hozzáférés-vezérlését (RBAC) és a feltételes hozzáférési szabályzatokat, amelyek engedélyezik vagy megtagadják a virtuális gépekhez való hozzáférést.
Konfigurációs útmutató: Az RBAC használatával adja meg, hogy ki jelentkezhet be a virtuális gépre normál felhasználóként vagy rendszergazdai jogosultságokkal. Amikor a felhasználók csatlakoznak a csapathoz, frissítheti a virtuális gép Azure RBAC-szabályzatát, hogy a megfelelő hozzáférést biztosítsa. Amikor az alkalmazottak elhagyják a szervezetet, és a felhasználói fiókjuk le van tiltva vagy törlődik Azure AD, többé nem férhetnek hozzá az erőforrásokhoz.
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, besorolása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban történő adatfelderítéshez és -besoroláshoz használhatók. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Bizonyos kommunikációs protokollok, például az SSH alapértelmezés szerint titkosítva vannak. Más szolgáltatásokat, például a HTTP-t azonban úgy kell konfigurálni, hogy TLS-t használjon a titkosításhoz.
Konfigurációs útmutató: Engedélyezze a biztonságos átvitelt olyan szolgáltatásokban, amelyekbe beépített natív adattitkosítási funkció van beépítve. A HTTPS kényszerítése minden webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távfelügyeletéhez titkosítás nélküli protokoll helyett használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén).
Referencia: Átvitel közbeni titkosítás virtuális gépeken
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül közölt információk védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkció megjegyzései: A felügyelt lemezek alapértelmezés szerint platform által felügyelt titkosítási kulcsokat használnak. A meglévő felügyelt lemezekre írt felügyelt lemezek, pillanatképek, képek és adatok automatikusan titkosítva vannak inaktív állapotban platform által felügyelt kulcsokkal.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure Disk Storage kiszolgálóoldali titkosítása – Platform által felügyelt kulcsok
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeknek titkosítaniuk kell az ideiglenes lemezeket, a gyorsítótárakat és az adatfolyamokat a számítási és tárolási erőforrások között | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítási és tárolási adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. Managed Disks kiszolgálóoldali titkosítás megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; Az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nincsenek titkosítva a számítási és tárolási erőforrások között. Az Összes adat titkosítása az Azure Disk Encryption vagy a EncryptionAtHost használatával. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ehhez a szabályzathoz két előfeltételt kell telepíteni a szabályzat-hozzárendelési hatókörben. További részletekért lásd: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0-preview |
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása CMK használatával
Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A titkosítást az egyes felügyelt lemezek szintjén, saját kulcsokkal kezelheti. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. A felhasználó által kezelt kulcsokkal rugalmasabban kezelhető a hozzáférés-vezérlés.
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Az inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
A Virtual Machines (VM) virtuális lemezei inaktív állapotban kiszolgálóoldali vagy Azure-beli lemeztitkosítással (ADE) vannak titkosítva. Az Azure Disk Encryption a Windows BitLocker funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal való titkosítására a vendég virtuális gépen. Az ügyfél által felügyelt kulcsokkal történő kiszolgálóoldali titkosítás javítja az ADE-t, mert lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez a Storage szolgáltatásban lévő adatok titkosításával.
Referencia: Az Azure Disk Storage kiszolgálóoldali titkosítása
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok rotálása és visszavonása az Azure Key Vault-ban és a szolgáltatásban egy meghatározott ütemezés alapján, vagy kulcs kivezetése vagy sérülése esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozáshoz és a kulcsátvitelhez.
Referencia: Kulcstartó létrehozása és konfigurálása Az Azure Disk Encryptionhez Windows rendszerű virtuális gépen
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault-ban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Eszközkezelés
További információkért lásd a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című cikket.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Azure Policy segítségével meghatározhatja a szervezet Windows rendszerű és Linux rendszerű virtuális gépeinek kívánt viselkedését. Szabályzatok használatával a szervezetek különböző konvenciókat és szabályokat kényszeríthetnek ki a vállalaton belül, és szabványos biztonsági konfigurációkat definiálhatnak és implementálhatnak az Azure Virtual Machines számára. A kívánt viselkedés kényszerítése segíthet csökkenteni a kockázatokat, miközben hozzájárul a szervezet sikeréhez.
Referencia: az Azure Virtual Machines beépített definícióinak Azure Policy
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Új Azure-Resource Manager használata virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint a következők: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése | Naplózás, megtagadás, letiltva | 1.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Új Azure-Resource Manager használata virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint a következők: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése | Naplózás, megtagadás, letiltva | 1.0.0 |
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
Funkciók
Microsoft Defender felhőhöz – Adaptív alkalmazásvezérlők
Leírás: A szolgáltatás korlátozhatja, hogy az ügyfélalkalmazások mit futnak a virtuális gépen a Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel felderítheti a virtuális gépeken futó alkalmazásokat, és létrehozhat egy engedélyezési listát, amely meghatározza, hogy mely jóváhagyott alkalmazások futtathatók a virtuálisgép-környezetben.
Referencia: Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezze az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezze az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender a szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Defender for Servers kiterjeszti a védelmet az Azure-ban futó Windows- és Linux-gépekre. A Defender for Servers integrálható a Végponthoz készült Microsoft Defender végpontészlelés és -reagálás (EDR) biztosításához, valamint számos további fenyegetésvédelmi funkciót is biztosít, például biztonsági alapkonfigurációkat és operációsrendszer-szintű értékeléseket, sebezhetőségi felméréseket, adaptív alkalmazásvezérlőket (AAC), fájlintegritási monitorozást (FIM) stb.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guardot engedélyezni kell a gépeken | Windows Defender Exploit Guard a Azure Policy Vendégkonfigurációs ügynököt használja. A Exploit Guard négy olyan összetevővel rendelkezik, amelyek célja az eszközök sokféle támadási vektor elleni zárolása és a kártevők elleni támadásokban gyakran használt viselkedés blokkolása, miközben lehetővé teszi a vállalatok számára a biztonsági kockázatok és a hatékonysági követelmények egyensúlyba helyezését (csak Windows esetén). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Monitor a virtuális gép létrehozásakor automatikusan megkezdi a metrikaadatok gyűjtését a virtuális gép gazdagépe számára. Ahhoz azonban, hogy naplókat és teljesítményadatokat gyűjtsön a virtuális gép vendég operációs rendszeréből, telepítenie kell az Azure Monitor-ügynököt. Az ügynököt telepítheti és konfigurálhatja a gyűjteményt a virtuálisgép-elemzések használatával vagy egy adatgyűjtési szabály létrehozásával.
Referencia: A Log Analytics-ügynök áttekintése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft függőségi ügynökével gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat biztosíthasson, mint a forgalomvizualizáció a hálózati térképen, a hálózatmegszűrési javaslatok és a konkrét hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-preview |
Állapot- és biztonságirés-kezelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: A helyzet és a biztonságirés-kezelés.
PV-3: Biztonságos konfigurációk meghatározása és létrehozása a számítási erőforrásokhoz
Funkciók
Azure Automation State Configuration
Leírás: Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartására használható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Használja a Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartásához.
Referencia: Virtuális gép konfigurálása Desired State Configuration
Azure Policy vendégkonfigurációs ügynök
Leírás: Azure Policy vendégkonfigurációs ügynök telepíthető vagy telepíthető a számítási erőforrások bővítményeként. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Azure Policy vendégkonfiguráció neve mostantól Azure Automanage Machine Configuration.
Konfigurációs útmutató: A felhőhöz készült Microsoft Defender és Azure Policy vendégkonfigurációs ügynök használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrások konfigurációs eltéréseit, beleértve a virtuális gépeket, a tárolókat és másokat.
Referencia: Az Azure Automanage gépkonfigurációs funkciójának ismertetése
Egyéni virtuálisgép-rendszerképek
Leírás: A szolgáltatás támogatja a felhasználó által megadott virtuálisgép-rendszerképek vagy a piactérről előre létrehozott rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Használjon egy megbízható szállítótól, például a Microsofttól származó előre konfigurált, rögzített rendszerképet, vagy hozzon létre egy kívánt biztonságos konfigurációs alapkonfigurációt a virtuálisgép-rendszerképsablonban
Referencia: Oktatóanyag: Windows rendszerű virtuálisgép-rendszerképek létrehozása Azure PowerShell
PV-4: A számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése
Funkciók
Virtuális gép megbízható indítása
Leírás: A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen olyan infrastruktúra-technológiák kombinálásával, mint a biztonságos rendszerindítás, a vTPM és az integritásfigyelés. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen. A megbízható indítás lehetővé teszi a virtuális gépek biztonságos üzembe helyezését ellenőrzött rendszertöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal, valamint biztonságosan védi a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken. A megbízható indítás emellett betekintést nyújt a teljes rendszerindítási lánc integritásába, és biztosítja a számítási feladatok megbízhatóságát és ellenőrizhetőségét. A megbízható indítás integrálva van a Microsoft Defender for Cloud szolgáltatással, hogy a virtuális gépek megfelelően legyenek konfigurálva, a virtuális gép megfelelő rendszerindításának távoli igazolásával. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzése: A megbízható indítás a 2. generációs virtuális gépekhez érhető el. A megbízható indításhoz új virtuális gépek létrehozása szükséges. Nem engedélyezheti a megbízható indítást az eredetileg nélküle létrehozott meglévő virtuális gépeken.
Konfigurációs útmutató: A virtuális gép üzembe helyezése során engedélyezhető a megbízható indítás. Mindhárom engedélyezése – Biztonságos rendszerindítás, vTPM és integritásos rendszerindítás monitorozása a virtuális gép legjobb biztonsági állapotának biztosítása érdekében. Vegye figyelembe, hogy van néhány előfeltétel, például az előfizetés előkészítése a Microsoft Defender for Cloudhoz, bizonyos Azure Policy kezdeményezések hozzárendelése és tűzfalszabályzatok konfigurálása.
Referencia: Virtuális gép üzembe helyezése engedélyezett megbízható indítással
PV-5: Sebezhetőségi felmérések végrehajtása
Funkciók
Sebezhetőségi felmérés Microsoft Defender használatával
Leírás: A szolgáltatás a felhőhöz készült Microsoft Defender vagy más Microsoft Defender-szolgáltatások beágyazott sebezhetőségi felmérési funkciójának (beleértve a kiszolgáló, a tárolóregisztrációs adatbázis, a App Service, az SQL és a DNS Microsoft Defender) használatával vizsgálható meg. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure-beli virtuális gépek biztonságirés-felméréseinek elvégzéséhez.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | Naplóz virtuális gépeket annak észleléséhez, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Letiltva | 3.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | Naplóz virtuális gépeket annak észleléséhez, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Letiltva | 3.0.0 |
PV-6: A biztonsági rések gyors és automatikus elhárítása
Funkciók
Azure Automation – Frissítéskezelés
Leírás: A szolgáltatás Azure Automation Update Management használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Windows rendszerű virtuális gépeken. Windows rendszerű virtuális gépek esetén győződjön meg arról, hogy Windows Update engedélyezve van, és automatikus frissítésre van beállítva.
Referencia: A virtuális gépek frissítéseinek és javításainak kezelése
Azure-vendégjavítási szolgáltatás
Leírás: A szolgáltatás az Azure Guest Patching használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A szolgáltatások különböző frissítési mechanizmusokat használhatnak, például az automatikus operációs rendszer lemezképeinek frissítését és az automatikus vendégjavítást. Javasoljuk, hogy a biztonságos üzembe helyezés alapelveit követve alkalmazza a legújabb biztonsági és kritikus frissítéseket a virtuális gép vendég operációs rendszerére.
Az automatikus vendégjavítás lehetővé teszi az Azure-beli virtuális gépek automatikus felmérését és frissítését, hogy fenntartsa a minden hónapban kiadott kritikus és biztonsági frissítéseknek való megfelelést. Frissítések a rendszer csúcsidőn kívül alkalmazza, beleértve a rendelkezésre állási csoportban lévő virtuális gépeket is. Ez a képesség a rugalmas VMSS vezényléshez érhető el, és a jövőben támogatja az egységes vezénylés ütemtervét.
Állapot nélküli számítási feladat futtatása esetén az automatikus operációsrendszer-rendszerkép-frissítések ideálisak a VMSS Uniform legújabb frissítésének alkalmazásához. A visszaállítási funkcióval ezek a frissítések kompatibilisek a Marketplace-szel vagy az egyéni rendszerképekkel. A rugalmas vezénylés ütemtervének jövőbeli gördülő frissítési támogatása.
Referencia: Azure-beli virtuális gépek automatikus virtuálisgép-vendégjavítása
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A rendszerfrissítéseket telepíteni kell a gépeken | A kiszolgálókon hiányzó biztonsági rendszerfrissítéseket a Azure Security Center figyeli javaslatként | AuditIfNotExists, Letiltva | 4.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran használják ki a kártevő támadások, ezért elengedhetetlen a szoftver frissítésének fenntartása. Az összes kiemelkedő javítás telepítéséhez és a gépek biztonságossá tételéhez kövesse a szervizelési lépéseket. | AuditIfNotExists, Letiltva | 1.0.0-preview |
Végpontbiztonság
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Végpontbiztonság című témakörben talál.
ES-1: Végpontészlelés és -válasz használata (EDR)
Funkciók
EDR-megoldás
Leírás: A végpontészlelés és -válasz (EDR) funkció, például a kiszolgálókhoz készült Azure Defender üzembe helyezhető a végponton. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A kiszolgálókhoz készült Azure Defender (integrált Végponthoz készült Microsoft Defender) EDR-képességet biztosít a speciális fenyegetések megelőzésére, észlelésére, kivizsgálására és megválaszolására. A Microsoft Defender for Cloud használatával üzembe helyezheti az Azure Defendert a végpont kiszolgálóihoz, és integrálhatja a riasztásokat a SIEM-megoldásba, például az Azure Sentinelbe.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
ES-2: Modern kártevőirtó szoftverek használata
Funkciók
Kártevőirtó megoldás
Leírás: Kártevőirtó funkció, például Microsoft Defender víruskereső, Végponthoz készült Microsoft Defender telepíthető a végponton. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Windows Server 2016 és újabb verziók esetében a Microsoft Defender alapértelmezés szerint telepítve van a víruskeresőhöz. Az Windows Server 2012 R2 és újabb verziók esetében az ügyfelek telepíthetik az SCEP-t (System Center Endpoint Protection). Alternatív megoldásként az ügyfelek dönthetnek úgy is, hogy külső kártevőirtó termékeket telepítenek.
Referencia: Végponthoz készült Defender a Windows Server előkészítésekor
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi értékelés dokumentálása itt található: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi értékelés dokumentálása itt található: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása
Funkciók
Kártevőirtó megoldás állapotmonitorozása
Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform-, motor- és automatikus aláírásfrissítésekhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzései: A biztonsági intelligencia és a termékfrissítések a Végponthoz készült Defenderre vonatkoznak, amely telepíthető a Windows rendszerű virtuális gépekre.
Konfigurációs útmutató: Konfigurálja a kártevőirtó megoldást, hogy a platform, a motor és az aláírások gyorsan és következetesen frissüljenek, és állapotuk monitorozásra kerüljön.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi értékelés dokumentálása itt található: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi értékelés dokumentálása itt található: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Engedélyezze Azure Backup, és konfigurálja a biztonsági mentési forrást (például azure Virtual Machines, SQL Server, HANA-adatbázisok vagy fájlmegosztások) a kívánt gyakorisággal és a kívánt megőrzési időtartammal. Az Azure Virtual Machines Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.
Referencia: Biztonsági mentési és visszaállítási lehetőségek az Azure-beli virtuális gépekhez
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Backup engedélyezni kell a Virtual Machines | A Azure Backup engedélyezésével gondoskodjon az Azure Virtual Machines védelméről. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Letiltva | 3.0.0 |
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről