Azure-beveiligingsbasislijn voor servers met Azure Arc
Artikel
Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op servers met Azure Arc. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op servers met Azure Arc.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Het beveiligingsprofiel bevat een overzicht van het gedrag van servers met hoge impact van Azure Arc, wat kan leiden tot verhoogde beveiligingsoverwegingen.
Kenmerk servicegedrag
Waarde
Productcategorie
Hybride/multicloud, MGMT/governance
Klant heeft toegang tot HOST/besturingssysteem
Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Niet waar
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall).
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: implementeer privé-eindpunten voor alle Azure-resources die ondersteuning bieden voor de functie Private Link om een privétoegangspunt voor de resources tot stand te brengen.
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de ip-ACL-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang.
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Functieopmerkingen: lokale verificatie wordt alleen gebruikt wanneer u verbinding maakt met de server met behulp van SSH of Windows Admin Center. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: beperk het gebruik van lokale verificatiemethoden voor toegang tot gegevensvlakken. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: als dit niet vereist is voor routinebeheerbewerkingen, schakelt u alle lokale beheerdersaccounts uit of beperkt u deze alleen voor noodgebruik.
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Waar
Microsoft
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
DP-1: gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Waar
Microsoft
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Ter bescherming van de privacy van informatie die via internet wordt doorgegeven, moeten uw computers gebruikmaken van de nieuwste versie van het cryptografische protocol transportlaagbeveiliging (TLS) volgens de industriestandaard. TLS beveiligt de communicatie via een netwerk door een verbinding tussen computers te versleutelen.
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Waar
Microsoft
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen in Azure-resources.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service-/productaanbiedingen
Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
Waar
Niet waar
Klant
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw beheervlak te beheren. Wanneer u een waarschuwing krijgt van Microsoft Defender voor Key Vault, moet u de waarschuwing onderzoeken en erop reageren.
Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows).
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte.
Meer informatie.
Ondersteund
Standaard ingeschakeld
Configuratieverantwoordelijkheid
False
Niet van toepassing
Niet van toepassing
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Inzicht in de beveiligingsmogelijkheden van servers met Azure Arc. Meer informatie over de voordelen van en het onboarden van servers met Azure Arc voor Microsoft Defender voor Cloud, Microsoft Defender voor Servers en Microsoft Sentinel.
Demonstreer de vaardigheden die nodig zijn voor het implementeren van beveiligingscontroles, het onderhouden van de beveiligingspostuur van een organisatie en het identificeren en oplossen van beveiligingsproblemen.