Azure-beveiligingsbasislijn voor Machine Learning Service
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op Machine Learning Service. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Machine Learning Service.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Machine Learning Service zijn uitgesloten. Als u wilt zien hoe Machine Learning Service volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand voor de beveiligingsbasislijn van Machine Learning Service.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van Machine Learning Service, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | AI+ML |
| Klant heeft toegang tot HOST/besturingssysteem | Volledige toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | False |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Configuratierichtlijnen: gebruik beheerd netwerkisolatie om geautomatiseerde netwerkisolatie te bieden.
Opmerking: u kunt uw virtuele netwerk ook gebruiken voor Azure Machine Learning-resources, maar verschillende computertypen worden niet ondersteund.
Naslaginformatie: Resources voor Azure Machine Learning-werkruimte beveiligen met behulp van virtuele netwerken (VNets)
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Gedeeld |
Configuratierichtlijnen: gebruik beheerd netwerkisolatie om geautomatiseerde netwerkisolatie te bieden, waaronder binnenkomende en uitgaande configuraties met behulp van NSG.
Opmerking: gebruik netwerkbeveiligingsgroepen (NSG's) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het inkomende verkeer weigeren, maar verkeer van virtuele netwerken en Azure Load Balancers toestaan.
Naslaginformatie: Netwerkisolatie plannen
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: implementeer privé-eindpunten voor alle Azure-resources die de functie Private Link ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Naslaginformatie: Een privé-eindpunt configureren voor een Azure Machine Learning-werkruimte
Openbare netwerktoegang uitschakelen
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de ip-ACL-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang.
Naslaginformatie: Een privé-eindpunt configureren voor een Azure Machine Learning-werkruimte
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.MachineLearningServices:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Machine Learning Computes moet zich in een virtueel netwerk bevinden | Virtuele Azure-netwerken bieden verbeterde beveiliging en isolatie voor uw Azure Machine Learning-rekenclusters en -exemplaren, evenals subnetten, beleid voor toegangsbeheer en andere functies om de toegang verder te beperken. Wanneer een rekenproces is geconfigureerd met een virtueel netwerk, is deze niet openbaar adresseerbaar en kan deze alleen worden geopend vanaf virtuele machines en toepassingen in het virtuele netwerk. | Controle, uitgeschakeld | 1.0.1 |
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheer voor meer informatie.
IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: service ondersteunt het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Verificatie instellen voor Azure Machine Learning-resources en -werkstromen
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Naslaginformatie: Verificatie instellen tussen Azure Machine Learning en andere services
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Verificatie instellen tussen Azure Machine Learning en andere services
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
Naslaginformatie: Voorwaardelijke toegang gebruiken
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Zorg ervoor dat geheimen en referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Naslaginformatie: Verificatiereferentiegeheimen gebruiken in Azure Machine Learning-taken
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerders
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg het principe just enough administration (minimale bevoegdheden)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.
Naslaginformatie: Toegang tot een Azure Machine Learning-werkruimte beheren
PA-8: Toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.
DP-1: gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik hulpprogramma's zoals Azure Purview, Azure Information Protection en Azure SQL Gegevensdetectie en -classificatie om gevoelige gegevens centraal te scannen, classificeren en labelen die zich in Azure, on-premises, Microsoft 365 of andere locaties bevinden.
Naslaginformatie: Verbinding maken met en beheren van Azure Machine Learning in Microsoft Purview
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een configuratie voor gegevensexfiltratiebeveiliging gebruiken. Beheerde netwerkisolatie biedt ook ondersteuning voor gegevensexfiltratiebeveiliging.
Naslaginformatie: Preventie van gegevensexfiltratie van Azure Machine Learning
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Opmerkingen bij de functie: Azure Machine Learning maakt gebruik van TLS om interne communicatie tussen verschillende Azure Machine Learning-microservices te beveiligen. Alle Toegang tot Azure Storage vindt ook plaats via een beveiligd kanaal.
Voor informatie over het beveiligen van een Kubernetes online-eindpunt dat is gemaakt via Azure Machine Learning, gaat u naar: Een beveiligd online-eindpunt configureren met TLS/SSL
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Versleuteling in transit
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Gegevensversleuteling met Azure Machine Learning
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met cmk
Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar versleuteling met behulp van door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Naslaginformatie: Door de klant beheerde sleutels voor Azure Machine Learning
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.MachineLearningServices:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel | Versleuteling at rest van azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Standaard worden klantgegevens versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn vaak vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.3 |
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) op het niveau van de workload, service of toepassing, moet u de best practices voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke dek (gegevensversleutelingssleutel) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: Door de klant beheerde sleutels voor Azure Machine Learning
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Asset-management
Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.
Naslaginformatie: Azure Policy ingebouwde beleidsdefinities voor Azure Machine Learning
AM-5: Alleen goedgekeurde toepassingen in virtuele machine gebruiken
Functies
Microsoft Defender voor cloud - adaptieve toepassingsregelaars
Beschrijving: de service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van adaptieve toepassingsregelaars in Microsoft Defender for Cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbod
Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Als u uw eigen aangepaste containers of clusters voor Azure Machine Learning gebruikt, moet u het scannen van uw Azure Container Registry resource en Azure Kubernetes Service resources inschakelen via Microsoft Defender voor cloud. Microsoft Defender voor Cloud kan echter niet worden gebruikt in beheerde rekenprocessen of rekenclusters van Azure Machine Learning.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel resourcelogboeken in voor de service. Key Vault ondersteunt bijvoorbeeld aanvullende resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of en Azure SQL resourcelogboeken heeft die aanvragen naar een database bijhouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Naslaginformatie: Azure Machine Learning bewaken
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft-cloudbeveiligingsbenchmark: Postuur en beheer van beveiligingsproblemen voor meer informatie.
PV-3: veilige configuraties voor rekenresources definiëren en instellen
Functies
Azure Automation State Configuration
Beschrijving: Azure Automation State Configuration kan worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Azure Policy-agent voor gastconfiguratie
Beschrijving: Azure Policy gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender voor cloud en Azure Policy gastconfiguratieagent om regelmatig configuratieafwijkingen van uw Azure-rekenresources, waaronder VM's, containers en andere, te evalueren en te herstellen.
Aangepaste VM-installatiekopieën
Beschrijving: de service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gebouwde installatiekopieën van de marketplace waarbij bepaalde basislijnconfiguraties vooraf zijn toegepast. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Installatiekopieën van aangepaste containers
Beschrijving: De service ondersteunt het gebruik van door de gebruiker geleverde containerinstallatiekopieën of vooraf gebouwde installatiekopieën van de marketplace waarbij bepaalde basislijnconfiguraties vooraf zijn toegepast. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik een vooraf geconfigureerde, beveiligde installatiekopieën van een vertrouwde leverancier, zoals Microsoft, of bouw de gewenste veilige configuratiebasislijn in de sjabloon voor de containerinstallatiekopieën
Naslaginformatie: Een model trainen met behulp van een aangepaste Docker-installatiekopieën
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met behulp van Microsoft Defender
Beschrijving: de service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender voor cloud- of andere Microsoft Defender services die zijn ingesloten in de evaluatie van beveiligingsproblemen (inclusief Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Opmerkingen bij de functie: installatie van Defender voor Server-agent wordt momenteel niet ondersteund, maar Trivy kan worden geïnstalleerd op de rekeninstanties om beveiligingsproblemen op besturingssysteem- en Python-pakketniveau te detecteren.
Ga voor meer informatie naar: Beheer van beveiligingsproblemen voor Azure Machine Learning
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PV-6: Beveiligingsproblemen snel en automatisch oplossen
Functies
Azure Automation-updatebeheer
Beschrijving: service kan Azure Automation Updatebeheer gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Rekenclusters worden automatisch bijgewerkt naar de meest recente VM-installatiekopieën. Als het cluster is geconfigureerd met minimale knooppunten = 0, worden knooppunten automatisch bijgewerkt naar de nieuwste versie van de VM-installatiekopieën wanneer alle taken zijn voltooid en het cluster wordt teruggebracht tot nul knooppunten.
Tijdens het inrichten krijgen rekenprocessen de beschikking over de meest recente VM-installatiekopieën. Microsoft brengt maandelijks nieuwe VM-installatiekopieën uit. Zodra een rekenproces is geïmplementeerd, wordt het niet actief bijgewerkt. Als u op de hoogte wilt blijven van de nieuwste software-updates en beveiligingspatches, kunt u het volgende doen:
Een rekenproces opnieuw maken om de meest recente installatiekopieën van het besturingssysteem op te halen (aanbevolen)
U kunt ook besturingssysteem- en Python-pakketten regelmatig bijwerken.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Eindpuntbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Eindpuntbeveiliging voor meer informatie.
ES-1: Endpoint Detection and Response (EDR) gebruiken
Functies
EDR-oplossing
Beschrijving: EDR-functie (Endpoint Detection and Response), zoals Azure Defender voor servers, kan worden geïmplementeerd in het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
ES-2: Moderne antimalwaresoftware gebruiken
Functies
Antimalwareoplossing
Beschrijving: Antimalwarefunctie, zoals Microsoft Defender Antivirus, Microsoft Defender voor Eindpunt op het eindpunt kunnen worden geïmplementeerd. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: ClamAV kan worden gebruikt om malware te detecteren en wordt vooraf geïnstalleerd op het rekenproces.
Naslaginformatie: Beheer van beveiligingsproblemen op rekenhosts
ES-3: Zorg ervoor dat antimalwaresoftware en -handtekeningen zijn bijgewerkt
Functies
Statuscontrole van antimalwareoplossing
Beschrijving: Antimalware-oplossing biedt statuscontrole voor platform-, engine- en automatische handtekeningupdates. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: ClamAV kan worden gebruikt om malware te detecteren en wordt vooraf geïnstalleerd op het rekenproces.
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen