Azure-beli virtuális gép alapkonfigurációjának létrehozása
Az Azure Policy egy Azure-szolgáltatás, amellyel szabályzatokat hozhat létre, rendelhet hozzá és kezelhet. Az ön által létrehozott szabályzatok különböző szabályokat és hatásokat kényszerítenek ki az erőforrásokra, így ezek az erőforrások megfelelnek a vállalati szabványoknak és a szolgáltatásiszint-szerződéseknek. Az Azure Policy úgy tesz eleget ezeknek az elvárásoknak, hogy kiértékeli, megfelelnek-e az erőforrások a hozzájuk rendelt szabályzatoknak. Például rendelkezhet olyan szabályzattal, amely csak bizonyos termékváltozatméretet engedélyez a környezetben. A szabályzat bevezetése után a rendszer kiértékeli, hogy az új és a meglévő erőforrások megfelelnek-e annak. A megfelelő típusú szabályzattal biztosítható a meglévő erőforrások megfelelősége.
Azure-beli virtuális gépek biztonsági ajánlásai
A következő szakaszok az Azure-beli virtuális gépek biztonsági ajánlásait ismertetik, amelyek a CIS Microsoft Azure Foundations Biztonsági Benchmark 1.3.0-s verzióban találhatók. Az egyes javaslatok az Azure Portalon elvégezhető alapvető lépések. Ezeket a lépéseket saját előfizetéséhez és saját erőforrásaival kell elvégeznie az egyes biztonsági javaslatok érvényesítéséhez. Tartsa szem előtt, hogy a 2. szintű beállítások bizonyos funkciókat vagy tevékenységeket korlátozhatnak, ezért gondosan kell mérlegelnie, hogy melyik biztonsági beállításokat követeli meg.
Virtuálisgép-ügynök engedélyezése és telepítése Felhőhöz készült Microsoft Defender adatgyűjtéshez – 1. szint
Felhőhöz készült Microsoft Defender tájékoztatja, ha egy virtuális géphez virtuálisgép-ügynökre van szükség. Az ügynök alapértelmezés szerint telepítve van az Azure Marketplace-ről üzembe helyezett virtuális gépekre. AZ adatokra a virtuális gép biztonsági állapotának felméréséhez, a biztonsági ajánlások felkínálásához és a gazdagépet érintő fenyegetésekre vonatkozó riasztásokhoz van szükség.
Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.
A Felügyelet menü bal oldali menüjében válassza a Környezeti beállítások lehetőséget.
A Környezet beállításai panelen válassza ki az előfizetést.
A Gépház alatti bal oldali menüben válassza az Automatikus kiépítés lehetőséget.
A használni kívánt virtuálisgép-ügynökhöz válassza a Be lehetőséget. Válassza ki a használni kívánt munkaterületet.
Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.
Az operációsrendszer-lemezek titkosításának ellenőrzése – 1. szint
Az Azure Disk Encryption segít az adatok védelmében és védelmében, hogy megfeleljen a szervezet biztonsági és megfelelőségi kötelezettségvállalásainak. Azure Disk Encryption:
- A Windows BitLocker funkciójával és a Linux DM-Crypt funkciójával mennyiségi titkosítást biztosít az Azure-beli virtuális gépek operációs rendszerének és adatlemezeinek.
- Integrálható az Azure Key Vaulttal a lemeztitkosítási kulcsok és titkos kulcsok szabályozásához és kezeléséhez.
- Biztosítja, hogy a virtuálisgép-lemezek összes adata inaktív állapotban legyen titkosítva, amikor az Azure Storage-ban van.
A szolgáltatott Windows-infrastruktúrához és Linux rendszerű virtuális gépekhez kínált Azure Disk Encryption általánosan elérhető minden nyilvános Azure-régióban és Azure Government-régióban Standard virtuális gépekhez és az Azure Premium Storage szolgáltatást használó virtuális gépekhez.
Ha Felhőhöz készült Microsoft Defender használ (ajánlott), a rendszer riasztást küld, ha nem titkosított virtuális gépekkel rendelkezik. Végezze el a következő lépéseket az Azure-előfizetésben lévő összes virtuális géphez.
Jelentkezzen be az Azure Portalra. Keressen rá és válassza ki a virtuális gépeket.
A Gépház alatti bal oldali menüben válassza a Lemezek lehetőséget.
Az operációsrendszer-lemez alatt győződjön meg arról, hogy az operációsrendszer-lemez rendelkezik titkosítási típuskészlettel.
Az Adatlemezek csoportban győződjön meg arról, hogy mindegyik lemez rendelkezik titkosítási típuskészlettel.
Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.
Győződjön meg arról, hogy csak jóváhagyott virtuálisgép-bővítmények vannak telepítve – 1. szint
Az Azure-beli virtuálisgép-bővítmények olyan kis alkalmazások, amelyek üzembe helyezés utáni konfigurációs és automatizálási feladatokat biztosítanak az Azure-beli virtuális gépeken. Ha például egy virtuális gép szoftvertelepítést vagy víruskereső-védelmet igényel, vagy ha a virtuális gépnek szkriptet kell futtatnia, használhat egy virtuálisgép-bővítményt. Azure-beli virtuálisgép-bővítményt az Azure CLI, a PowerShell, az Azure Resource Manager-sablon vagy az Azure Portal használatával futtathat. A bővítményeket kötegelheti egy új virtuálisgép-üzembe helyezéssel, vagy futtathatja őket bármely meglévő rendszeren. Ha az Azure Portal használatával szeretné biztosítani, hogy csak jóváhagyott bővítmények legyenek telepítve a virtuális gépeken, hajtsa végre az alábbi lépéseket az Azure-előfizetésben lévő összes virtuális gép esetében.
Jelentkezzen be az Azure Portalra. Keressen rá és válassza ki a virtuális gépeket.
A Gépház alatti bal oldali menüben válassza a Bővítmények + alkalmazások lehetőséget.
A Bővítmények + alkalmazások panelen győződjön meg arról, hogy a felsorolt bővítmények használathoz vannak jóváhagyva.
A virtuális gépekre telepített operációsrendszer-javítások ellenőrzése – 1. szint
Felhőhöz készült Microsoft Defender naponta figyeli a Windows és Linux rendszerű virtuális gépeket és számítógépeket a hiányzó operációsrendszer-frissítésekért. Felhőhöz készült Defender lekéri az elérhető biztonsági és kritikus frissítések listájátWindows Update vagy Windows Server Update Services (WSUS). A kapott frissítések attól függenek, hogy melyik szolgáltatást konfigurálja a Windows-számítógépen. Felhőhöz készült Defender a Linux rendszerek legújabb frissítéseit is ellenőrzi. Ha a virtuális gépről vagy a számítógépről hiányzik egy rendszerfrissítés, Felhőhöz készült Defender azt javasolja, hogy alkalmazza a rendszerfrissítéseket.
Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Felhőhöz készült Microsoft Defender.
Az Általános menü bal oldali menüjében válassza a Javaslatok.
A Javaslatok győződjön meg arról, hogy nincsenek javaslatok a rendszerfrissítések alkalmazásához.
Győződjön meg arról, hogy a virtuális gépeken van egy végpontvédelmi megoldás telepítve és fut – 1. szint
Felhőhöz készült Microsoft Defender figyeli a kártevőirtó elleni védelem állapotát. Ezt az állapotot jelenti az Endpoint protection issues panelen. Felhőhöz készült Defender olyan problémákat emel ki, mint az észlelt fenyegetések és a nem megfelelő védelem, ami sebezhetővé teheti a virtuális gépeket és a számítógépeket a kártevőirtó fenyegetésekkel szemben. Az Endpoint Protection-problémák információinak használatával létrehozhat egy tervet az azonosított problémák kezelésére.
Használja ugyanazt a folyamatot, mint az előző javaslatban leírtak szerint.