Azure-beli virtuális gép alapkonfigurációjának létrehozása

  • 5 perc

Az Azure Policy egy Azure-szolgáltatás, amellyel szabályzatokat hozhat létre, rendelhet hozzá és kezelhet. Az ön által létrehozott szabályzatok különböző szabályokat és hatásokat kényszerítenek ki az erőforrásokra, így ezek az erőforrások megfelelnek a vállalati szabványoknak és a szolgáltatásiszint-szerződéseknek. Az Azure Policy úgy tesz eleget ezeknek az elvárásoknak, hogy kiértékeli, megfelelnek-e az erőforrások a hozzájuk rendelt szabályzatoknak. Például rendelkezhet olyan szabályzattal, amely csak bizonyos termékváltozatméretet engedélyez a környezetben. A szabályzat bevezetése után a rendszer kiértékeli, hogy az új és a meglévő erőforrások megfelelnek-e annak. A megfelelő típusú szabályzattal biztosítható a meglévő erőforrások megfelelősége.

Azure-beli virtuális gépek biztonsági ajánlásai

A következő szakaszok az Azure-beli virtuális gépek biztonsági ajánlásait ismertetik, amelyek a CIS Microsoft Azure Foundations Biztonsági Benchmark 1.3.0-s verzióban találhatók. Az egyes javaslatok az Azure Portalon elvégezhető alapvető lépések. Ezeket a lépéseket saját előfizetéséhez és saját erőforrásaival kell elvégeznie az egyes biztonsági javaslatok érvényesítéséhez. Tartsa szem előtt, hogy a 2. szintű beállítások bizonyos funkciókat vagy tevékenységeket korlátozhatnak, ezért gondosan kell mérlegelnie, hogy melyik biztonsági beállításokat követeli meg.

Virtuálisgép-ügynök engedélyezése és telepítése Felhőhöz készült Microsoft Defender adatgyűjtéshez – 1. szint

Felhőhöz készült Microsoft Defender tájékoztatja, ha egy virtuális géphez virtuálisgép-ügynökre van szükség. Az ügynök alapértelmezés szerint telepítve van az Azure Marketplace-ről üzembe helyezett virtuális gépekre. AZ adatokra a virtuális gép biztonsági állapotának felméréséhez, a biztonsági ajánlások felkínálásához és a gazdagépet érintő fenyegetésekre vonatkozó riasztásokhoz van szükség.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.

  2. A Felügyelet menü bal oldali menüjében válassza a Környezeti beállítások lehetőséget.

  3. A Környezet beállításai panelen válassza ki az előfizetést.

  4. A Gépház alatti bal oldali menüben válassza az Automatikus kiépítés lehetőséget.

  5. A használni kívánt virtuálisgép-ügynökhöz válassza a Be lehetőséget. Válassza ki a használni kívánt munkaterületet.

  6. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot that shows the auto provisioning extension pane, with Log Analytics agent for Azure VMs selected.

Az operációsrendszer-lemezek titkosításának ellenőrzése – 1. szint

Az Azure Disk Encryption segít az adatok védelmében és védelmében, hogy megfeleljen a szervezet biztonsági és megfelelőségi kötelezettségvállalásainak. Azure Disk Encryption:

  • A Windows BitLocker funkciójával és a Linux DM-Crypt funkciójával mennyiségi titkosítást biztosít az Azure-beli virtuális gépek operációs rendszerének és adatlemezeinek.
  • Integrálható az Azure Key Vaulttal a lemeztitkosítási kulcsok és titkos kulcsok szabályozásához és kezeléséhez.
  • Biztosítja, hogy a virtuálisgép-lemezek összes adata inaktív állapotban legyen titkosítva, amikor az Azure Storage-ban van.

A szolgáltatott Windows-infrastruktúrához és Linux rendszerű virtuális gépekhez kínált Azure Disk Encryption általánosan elérhető minden nyilvános Azure-régióban és Azure Government-régióban Standard virtuális gépekhez és az Azure Premium Storage szolgáltatást használó virtuális gépekhez.

Ha Felhőhöz készült Microsoft Defender használ (ajánlott), a rendszer riasztást küld, ha nem titkosított virtuális gépekkel rendelkezik. Végezze el a következő lépéseket az Azure-előfizetésben lévő összes virtuális géphez.

  1. Jelentkezzen be az Azure Portalra. Keressen rá és válassza ki a virtuális gépeket.

  2. A Gépház alatti bal oldali menüben válassza a Lemezek lehetőséget.

  3. Az operációsrendszer-lemez alatt győződjön meg arról, hogy az operációsrendszer-lemez rendelkezik titkosítási típuskészlettel.

  4. Az Adatlemezek csoportban győződjön meg arról, hogy mindegyik lemez rendelkezik titkosítási típuskészlettel.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot that shows the Disks pane for virtual machines with the encryption type highlighted.

Győződjön meg arról, hogy csak jóváhagyott virtuálisgép-bővítmények vannak telepítve – 1. szint

Az Azure-beli virtuálisgép-bővítmények olyan kis alkalmazások, amelyek üzembe helyezés utáni konfigurációs és automatizálási feladatokat biztosítanak az Azure-beli virtuális gépeken. Ha például egy virtuális gép szoftvertelepítést vagy víruskereső-védelmet igényel, vagy ha a virtuális gépnek szkriptet kell futtatnia, használhat egy virtuálisgép-bővítményt. Azure-beli virtuálisgép-bővítményt az Azure CLI, a PowerShell, az Azure Resource Manager-sablon vagy az Azure Portal használatával futtathat. A bővítményeket kötegelheti egy új virtuálisgép-üzembe helyezéssel, vagy futtathatja őket bármely meglévő rendszeren. Ha az Azure Portal használatával szeretné biztosítani, hogy csak jóváhagyott bővítmények legyenek telepítve a virtuális gépeken, hajtsa végre az alábbi lépéseket az Azure-előfizetésben lévő összes virtuális gép esetében.

  1. Jelentkezzen be az Azure Portalra. Keressen rá és válassza ki a virtuális gépeket.

  2. A Gépház alatti bal oldali menüben válassza a Bővítmények + alkalmazások lehetőséget.

  3. A Bővítmények + alkalmazások panelen győződjön meg arról, hogy a felsorolt bővítmények használathoz vannak jóváhagyva.

Screenshot that shows V M extensions in the Extensions + applications pane.

A virtuális gépekre telepített operációsrendszer-javítások ellenőrzése – 1. szint

Felhőhöz készült Microsoft Defender naponta figyeli a Windows és Linux rendszerű virtuális gépeket és számítógépeket a hiányzó operációsrendszer-frissítésekért. Felhőhöz készült Defender lekéri az elérhető biztonsági és kritikus frissítések listájátWindows Update vagy Windows Server Update Services (WSUS). A kapott frissítések attól függenek, hogy melyik szolgáltatást konfigurálja a Windows-számítógépen. Felhőhöz készült Defender a Linux rendszerek legújabb frissítéseit is ellenőrzi. Ha a virtuális gépről vagy a számítógépről hiányzik egy rendszerfrissítés, Felhőhöz készült Defender azt javasolja, hogy alkalmazza a rendszerfrissítéseket.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.

  2. Az Általános menü bal oldali menüjében válassza a Javaslatok.

  3. A Javaslatok győződjön meg arról, hogy nincsenek javaslatok a rendszerfrissítések alkalmazásához.

Screenshot of the Microsoft Defender for Cloud Recommendations pane.

Győződjön meg arról, hogy a virtuális gépeken van egy végpontvédelmi megoldás telepítve és fut – 1. szint

Felhőhöz készült Microsoft Defender figyeli a kártevőirtó elleni védelem állapotát. Ezt az állapotot jelenti az Endpoint protection issues panelen. Felhőhöz készült Defender olyan problémákat emel ki, mint az észlelt fenyegetések és a nem megfelelő védelem, ami sebezhetővé teheti a virtuális gépeket és a számítógépeket a kártevőirtó fenyegetésekkel szemben. Az Endpoint Protection-problémák információinak használatával létrehozhat egy tervet az azonosított problémák kezelésére.

Használja ugyanazt a folyamatot, mint az előző javaslatban leírtak szerint.