Azure-beveiligingsbasislijn voor Virtual Machines - Windows Virtual Machines
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmarkversie 1.0 toe op Virtual Machines - Windows Virtual Machines. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft Cloud Security Benchmark en de gerelateerde richtlijnen die van toepassing zijn op Virtual Machines - Windows Virtual Machines.
U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.
Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.
Notitie
Functies die niet van toepassing zijn op Virtual Machines: Windows-Virtual Machines zijn uitgesloten. Als u wilt zien hoe Virtual Machines - Windows Virtual Machines volledig wordt toegewezen aan de Microsoft Cloud Security-benchmark, raadpleegt u het volledige Virtual Machines- Windows Virtual Machines-toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Virtual Machines - Windows Virtual Machines, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Compute |
| Klant heeft toegang tot HOST/besturingssysteem | Volledige toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Virtuele netwerken en virtuele machines in Azure
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar verkeer van een virtueel netwerk en Azure Load Balancers toestaan.
Wanneer u een virtuele Machine (VM) van Azure maakt, moet u een virtueel netwerk maken of een bestaand virtueel netwerk gebruiken en de VM configureren met een subnet. Zorg ervoor dat voor alle geïmplementeerde subnetten een netwerkbeveiligingsgroep is toegepast met netwerktoegangsbeheer dat specifiek is voor de vertrouwde poorten en bronnen van uw toepassingen.
Naslaginformatie: Netwerkbeveiligingsgroepen
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gericht | Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperken | AuditIfNotExists, uitgeschakeld | 3.0.0 |
NS-2: Cloudservices beveiligen met netwerkbesturing
Functies
Openbare netwerktoegang uitschakelen
Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik services op het niveau van het besturingssysteem, zoals Windows Defender Firewall, om netwerkfilters te bieden om openbare toegang uit te schakelen.
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Aanmelden bij een virtuele Windows-machine in Azure met behulp van Azure AD inclusief zonder wachtwoord
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: er wordt standaard een lokaal beheerdersaccount gemaakt tijdens de eerste implementatie van de virtuele machine. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: De beheerde identiteit wordt doorgaans gebruikt door windows-VM om te verifiëren bij andere services. Als de Windows-VM Azure AD verificatie ondersteunt, kan de beheerde identiteit worden ondersteund.
Configuratierichtlijnen: gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: service-principals kunnen worden gebruikt door toepassingen die worden uitgevoerd op de Windows-VM.
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met een door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit hebben. Meer informatie op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: gebruik Azure AD als basisverificatieplatform voor RDP in Windows Server 2019 Datacenter-editie en hoger, of Windows 10 1809 en hoger. Vervolgens kunt u op rollen gebaseerd toegangsbeheer (RBAC) van Azure centraal beheren en afdwingen, en beleidsregels voor voorwaardelijke toegang waarmee toegang tot de VM's wordt toegestaan of geweigerd.
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
Naslaginformatie: Aanmelden bij een virtuele Windows-machine in Azure met behulp van Azure AD inclusief zonder wachtwoord
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Binnen het gegevensvlak of besturingssysteem kunnen services Azure Key Vault aanroepen voor referenties of geheimen.
Configuratierichtlijnen: Zorg ervoor dat geheimen en referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerders
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Quickstart: Een virtuele Windows-machine maken in de Azure Portal
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: gebruik Azure AD als basisverificatieplatform voor RDP in Windows Server 2019 Datacenter-editie en hoger, of Windows 10 1809 en hoger. Vervolgens kunt u op rollen gebaseerd toegangsbeheer (RBAC) van Azure centraal beheren en afdwingen, en beleidsregels voor voorwaardelijke toegang waarmee toegang tot de VM's wordt toegestaan of geweigerd.
Configuratierichtlijnen: geef met RBAC op wie zich als gewone gebruiker of met beheerdersbevoegdheden kan aanmelden bij een VM. Wanneer gebruikers lid worden van uw team, kunt u het Azure RBAC-beleid voor de VM bijwerken om zo nodig toegang te verlenen. Wanneer werknemers uw organisatie verlaten en hun gebruikersaccounts worden uitgeschakeld of verwijderd uit Azure AD, hebben ze geen toegang meer tot uw bronnen.
Naslaginformatie: Aanmelden bij een virtuele Windows-machine in Azure met behulp van Azure AD inclusief wachtwoordloos
PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om alle aanvragen voor gegevenstoegang van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.
DP-1: gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: bepaalde communicatieprotocollen, zoals SSH, worden standaard versleuteld. Andere services, zoals HTTP, moeten echter worden geconfigureerd voor het gebruik van TLS voor versleuteling.
Configuratierichtlijnen: veilige overdracht inschakelen in services waarbij een ingebouwde versleutelingsfunctie voor gegevensoverdracht is ingebouwd. Dwing HTTPS af op alle webtoepassingen en -services en zorg ervoor dat TLS v1.2 of hoger wordt gebruikt. Verouderde versies zoals SSL 3.0 en TLS v1.0 moeten worden uitgeschakeld. Voor extern beheer van Virtual Machines gebruikt u SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Naslaginformatie: Versleuteling tijdens overdracht in VM's
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Windows-computers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt doorgegeven, moeten uw computers gebruikmaken van de nieuwste versie van het cryptografische protocol transportlaagbeveiliging (TLS) volgens de industriestandaard. TLS beveiligt de communicatie via een netwerk door een verbinding tussen computers te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: beheerde schijven maken standaard gebruik van door het platform beheerde versleutelingssleutels. Alle beheerde schijven, momentopnamen, installatiekopieën en gegevens die naar bestaande beheerde schijven worden geschreven, worden automatisch versleuteld met door het platform beheerde sleutels.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Versleuteling aan de serverzijde van Azure Disk Storage - Door platform beheerde sleutels
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld in rust met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen rekenkracht en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling-at-host, of 2. versleuteling aan serverzijde op Managed Disks voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende aanbiedingen voor schijfversleuteling: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, uitgeschakeld | 2.0.3 |
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld-at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches zijn niet versleuteld en gegevens worden niet versleuteld wanneer ze tussen reken- en opslagresources stromen. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Ga naar https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid zijn twee vereisten vereist om te worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Versleuteling van inactieve gegevens met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: U kunt ervoor kiezen om versleuteling te beheren op het niveau van elke beheerde schijf, met uw eigen sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Door de klant beheerde sleutels bieden meer flexibiliteit om toegangsbeheer te beheren.
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waarvoor versleuteling met behulp van door de klant beheerde sleutels nodig is. Versleuteling van data-at-rest inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Virtuele schijven op Virtual Machines (VM) worden at-rest versleuteld met behulp van versleuteling aan de serverzijde of Azure Disk Encryption (ADE). Azure Disk Encryption maakt gebruik van de BitLocker-functie van Windows om beheerde schijven te versleutelen met door de klant beheerde sleutels binnen de gast-VM. Versleuteling aan de serverzijde met door de klant beheerde sleutels verbetert ADE doordat u alle typen besturingssystemen en installatiekopieën voor uw VM's kunt gebruiken door gegevens in de Opslagservice te versleutelen.
Naslaginformatie: Versleuteling aan serverzijde van Azure Disk Storage
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van een buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) in het workload-, service- of toepassingsniveau, moet u de aanbevolen procedures voor sleutelbeheer volgen: gebruik een sleutelhiërarchie om een afzonderlijke dek (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels worden geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: Een sleutelkluis maken en configureren voor Azure Disk Encryption op een Windows-VM
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Asset-management
Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Azure Policy kunnen worden gebruikt om het gewenste gedrag te definiëren voor de Windows-VM's en Linux-VM's van uw organisatie. Met behulp van beleidsregels kan een organisatie verschillende conventies en regels in de hele onderneming afdwingen en standaardbeveiligingsconfiguraties voor Azure Virtual Machines definiëren en implementeren. Afdwingen van het gewenste gedrag kan helpen risico's te beperken en tegelijkertijd bijdragen aan het succes van de organisatie.
Naslaginformatie: Azure Policy ingebouwde definities voor Azure Virtual Machines
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
AM-5: Alleen goedgekeurde toepassingen in virtuele machine gebruiken
Functies
Microsoft Defender for Cloud - Adaptieve toepassingsregelaars
Beschrijving: de service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van adaptieve toepassingsregelaars in Microsoft Defender voor cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Microsoft Defender voor besturingselementen voor adaptieve cloudtoepassingen om toepassingen te detecteren die worden uitgevoerd op virtuele machines (VM's) en een acceptatielijst voor toepassingen te genereren om te bepalen welke goedgekeurde toepassingen kunnen worden uitgevoerd in de VM-omgeving.
Naslaginformatie: Adaptieve toepassingsregelaars gebruiken om de kwetsbaarheid voor aanvallen van uw machines te verminderen
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service-/productaanbiedingen
Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Defender voor Servers breidt de beveiliging uit naar uw Windows- en Linux-machines die worden uitgevoerd in Azure. Defender for Servers is geïntegreerd met Microsoft Defender voor Eindpunt om eindpuntdetectie en -respons (EDR) te bieden en biedt ook een groot aantal aanvullende functies voor beveiliging tegen bedreigingen, zoals beveiligingsbasislijnen en evaluaties op besturingssysteemniveau, scannen van evaluatie van beveiligingsproblemen, adaptieve toepassingsregelaars (AAC), bewaking van bestandsintegriteit (FIM) en meer.
Naslaginformatie: De implementatie van Defender for Servers plannen
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Azure Monitor begint automatisch met het verzamelen van metrische gegevens voor de host van uw virtuele machine wanneer u de virtuele machine maakt. Als u echter logboeken en prestatiegegevens wilt verzamelen van het gastbesturingssysteem van de virtuele machine, moet u de Azure Monitor-agent installeren. U kunt de agent installeren en verzameling configureren met behulp van VM-inzichten of door een regel voor gegevensverzameling te maken.
Naslaginformatie: Overzicht van Log Analytics-agent
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft Cloud Security Benchmark: Posture and vulnerability management (Postuur en beheer van beveiligingsproblemen) voor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Functies
Azure Automation State Configuration
Beschrijving: Azure Automation State Configuration kunnen worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Azure Automation State Configuration om de beveiligingsconfiguratie van het besturingssysteem te onderhouden.
Naslaginformatie: Een VM configureren met Desired State Configuration
Azure Policy gastconfiguratieagent
Beschrijving: Azure Policy gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure Policy gastconfiguratie heet nu Azure Automanage Machine Configuration.
Configuratierichtlijnen: gebruik Microsoft Defender voor cloud en Azure Policy gastconfiguratieagent om configuratieafwijkingen van uw Azure-rekenresources, waaronder VM's, containers en andere, regelmatig te evalueren en te herstellen.
Naslaginformatie: Inzicht in de machineconfiguratiefunctie van Azure Automanage
Aangepaste VM-installatiekopieën
Beschrijving: de service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gemaakte installatiekopieën uit de marketplace waarbij bepaalde basislijnconfiguraties vooraf zijn toegepast. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik een vooraf geconfigureerde beperkte installatiekopieën van een vertrouwde leverancier, zoals Microsoft, of bouw een gewenste veilige configuratiebasislijn in de sjabloon voor de VM-installatiekopieën
Naslaginformatie: Zelfstudie: Installatiekopieën voor Windows-VM's maken met Azure PowerShell
PV-4: Veilige configuraties voor rekenresources controleren en afdwingen
Functies
Vertrouwde virtuele machine starten
Beschrijving: Trusted Launch beschermt tegen geavanceerde en permanente aanvalstechnieken door infrastructuurtechnologieën zoals beveiligd opstarten, vTPM en integriteitsbewaking te combineren. Elke technologie biedt een andere beschermingslaag tegen geavanceerde bedreigingen. Met Vertrouwd starten kunnen virtuele machines veilig worden geïmplementeerd met geverifieerde opstartladers, besturingssysteemkernels en stuurprogramma's, en worden sleutels, certificaten en geheimen op de virtuele machines veilig beveiligd. Vertrouwde lancering biedt ook inzichten en vertrouwen in de integriteit van de hele opstartketen en zorgt ervoor dat workloads worden vertrouwd en controleerbaar zijn. Vertrouwd starten is geïntegreerd met Microsoft Defender for Cloud om ervoor te zorgen dat VM's correct zijn geconfigureerd, door op afstand te bevestigen dat de VM op een gezonde manier wordt opgestart. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerking bij de functie: Vertrouwd starten is beschikbaar voor VM's van generatie 2. Voor vertrouwd starten moeten nieuwe virtuele machines worden gemaakt. U kunt vertrouwd starten niet inschakelen op bestaande virtuele machines die in eerste instantie zonder dit zijn gemaakt.
Configuratierichtlijnen: Vertrouwd starten kan worden ingeschakeld tijdens de implementatie van de VM. Schakel alle drie in: Beveiligd opstarten, vTPM en integriteitscontrole voor opstarten om de beste beveiligingspostuur voor de virtuele machine te garanderen. Houd er rekening mee dat er enkele vereisten zijn, waaronder het onboarden van uw abonnement voor Microsoft Defender voor cloud, het toewijzen van bepaalde Azure Policy initiatieven en het configureren van firewallbeleid.
Naslaginformatie: Een VM implementeren waarvoor vertrouwd starten is ingeschakeld
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met behulp van Microsoft Defender
Beschrijving: de service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender for Cloud of andere Microsoft Defender services die zijn ingesloten in de evaluatie van beveiligingsproblemen (inclusief Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: volg de aanbevelingen van Microsoft Defender for Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines.
Naslaginformatie: De implementatie van Defender for Servers plannen
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
PV-6: Beveiligingsproblemen snel en automatisch oplossen
Functies
Azure Automation-updatebeheer
Beschrijving: service kan Azure Automation Updatebeheer gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates op uw Windows-VM's worden geïnstalleerd. Voor Windows-VM's moet u ervoor zorgen dat Windows Update is ingeschakeld en ingesteld op automatisch bijwerken.
Naslaginformatie: Updates en patches voor uw VM's beheren
Azure Guest Patching Service
Beschrijving: De service kan Azure-gastpatches gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Services kunnen gebruikmaken van de verschillende updatemechanismen, zoals Automatische upgrades van installatiekopieën van het besturingssysteem en Automatische gastpatches. De mogelijkheden worden aanbevolen om de nieuwste beveiligings- en essentiële updates toe te passen op het gastbesturingssystemen van uw virtuele machine door de veilige implementatieprincipes te volgen.
Met Automatische gastpatching kunt u uw virtuele Azure-machines automatisch evalueren en bijwerken om de beveiligingsnaleving te behouden met essentiële en beveiligingsupdates die elke maand worden uitgebracht. Updates worden toegepast tijdens daluren, inclusief VM's binnen een beschikbaarheidsset. Deze mogelijkheid is beschikbaar voor VMSS Flexible Orchestration, met toekomstige ondersteuning op de roadmap voor Uniform Orchestration.
Als u een staatloze workload uitvoert, zijn Automatische upgrades van installatiekopieën van het besturingssysteem ideaal om de meest recente update voor uw VMSS Uniform toe te passen. Met de mogelijkheid tot terugdraaien zijn deze updates compatibel met Marketplace of aangepaste installatiekopieën. Ondersteuning voor toekomstige rolling upgrades op de roadmap voor Flexibele indeling.
Naslaginformatie: Automatische VM-gastpatching voor Azure-VM's
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Systeemupdates moeten op uw computers worden geïnstalleerd | Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 4.0.0 |
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Systeemupdates moeten worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
Eindpuntbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Eindpuntbeveiliging voor meer informatie.
ES-1: Endpoint Detection and Response (EDR) gebruiken
Functies
EDR-oplossing
Beschrijving: EDR-functie (Endpoint Detection and Response), zoals Azure Defender voor servers, kan worden geïmplementeerd in het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Azure Defender voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) biedt EDR de mogelijkheid om geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Gebruik Microsoft Defender for Cloud om Azure Defender voor servers voor uw eindpunt te implementeren en de waarschuwingen te integreren in uw SIEM-oplossing, zoals Azure Sentinel.
Naslaginformatie: De implementatie van Defender for Servers plannen
ES-2: Moderne antimalwaresoftware gebruiken
Functies
Antimalwareoplossing
Beschrijving: antimalwarefunctie, zoals Microsoft Defender Antivirus, Microsoft Defender voor Eindpunt kunnen worden geïmplementeerd op het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: voor Windows Server 2016 en hoger wordt Microsoft Defender voor Antivirus standaard geïnstalleerd. Voor Windows Server 2012 R2 en hoger kunnen klanten SCEP (System Center Endpoint Protection) installeren. Klanten kunnen er ook voor kiezen om antimalwareproducten van derden te installeren.
Naslaginformatie: Onboarding van Defender voor Eindpunt voor Windows Server
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde oplossingen voor eindpuntbeveiliging worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde oplossingen voor eindpuntbeveiliging worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
ES-3: Controleren of antimalwaresoftware en -handtekeningen zijn bijgewerkt
Functies
Statuscontrole van antimalwareoplossing
Beschrijving: De antimalwareoplossing biedt statuscontrole voor updates voor platform, engine en automatische handtekening. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Beveiligingsinformatie en productupdates zijn van toepassing op Defender voor Eindpunt die kunnen worden geïnstalleerd op de Windows-VM's.
Configuratierichtlijnen: Configureer uw antimalwareoplossing om ervoor te zorgen dat het platform, de engine en de handtekeningen snel en consistent worden bijgewerkt en dat de status ervan kan worden bewaakt.
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde oplossingen voor eindpuntbeveiliging worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Azure Security Center ondersteunde oplossingen voor eindpuntbeveiliging worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel Azure Backup in en configureer de back-upbron (zoals Azure Virtual Machines, SQL Server, HANA-databases of bestandsshares) op een gewenste frequentie en met een gewenste bewaarperiode. Voor Azure Virtual Machines kunt u Azure Policy gebruiken om automatische back-ups in te schakelen.
Naslaginformatie: Back-up- en herstelopties voor virtuele machines in Azure
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Compute:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen