Zalecenia dotyczące zabezpieczeń

Artykuł
04/01/2024

W tym artykule wymieniono wszystkie zalecenia dotyczące zabezpieczeń, które można zobaczyć w Microsoft Defender dla Chmury. Zalecenia wyświetlane w twoim środowisku są oparte na zasobach, które chronisz i na dostosowanej konfiguracji.

Rekomendacje w Defender dla Chmury są oparte na tezie porównawczym zabezpieczeń w chmurze firmy Microsoft. Test porównawczy zabezpieczeń w chmurze firmy Microsoft to utworzony przez firmę Microsoft zestaw wytycznych dotyczących najlepszych rozwiązań dotyczących zabezpieczeń i zgodności. Ten powszechnie szanowany punkt odniesienia opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST), koncentrując się na zabezpieczeniach skoncentrowanych na chmurze.

Aby dowiedzieć się więcej o akcjach, które można wykonać w odpowiedzi na te zalecenia, zobacz Korygowanie zaleceń w Defender dla Chmury.

Wskaźnik bezpieczeństwa jest oparty na liczbie ukończonych zaleceń dotyczących zabezpieczeń. Aby zdecydować, które zalecenia należy rozwiązać jako pierwsze, przyjrzyj się ważności poszczególnych rekomendacji i jej potencjalnemu wpływowi na wskaźnik bezpieczeństwa.

Napiwek

Jeśli opis zalecenia zawiera tekst Brak powiązanych zasad, zwykle jest to spowodowane tym, że zalecenie jest zależne od innego zalecenia i jego zasad.

Na przykład zalecenie Niepowodzenia kondycji programu Endpoint Protection należy skorygować , opiera się na rekomendacji sprawdzającej, czy rozwiązanie ochrony punktu końcowego jest nawet zainstalowane (należy zainstalować rozwiązanie Endpoint Protection). Rekomendacja bazowa ma zasady. Ograniczenie zasad tylko do podstawowych zaleceń upraszcza zarządzanie zasadami.

Zalecenia dotyczące usługi AppServices

Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS

Opis: Użycie protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. (Powiązane zasady: Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS.

Ważność: średni rozmiar

Mechanizm CORS nie powinien zezwalać każdemu zasobowi na dostęp do usługi API Apps

Opis: Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji interfejsu API. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją interfejsu API. (Powiązane zasady: Mechanizm CORS nie powinien zezwalać każdemu zasobowi na dostęp do aplikacji interfejsu API).

Ważność: Niska

Mechanizm CORS nie powinien zezwalać każdemu zasobowi na dostęp do aplikacji funkcji

Opis: Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. (Powiązane zasady: Mechanizm CORS nie powinien zezwalać każdemu zasobowi na dostęp do aplikacji funkcji).

Ważność: Niska

Mechanizm CORS nie powinien zezwalać każdemu zasobowi na dostęp do aplikacji internetowych

Opis: Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji internetowej. Zezwalaj tylko na interakcję z aplikacją internetową tylko wymaganych domen. (Powiązane zasady: Mechanizm CORS nie powinien zezwalać każdemu zasobowi na dostęp do aplikacji internetowych).

Ważność: Niska

Dzienniki diagnostyczne w usłudze App Service powinny być włączone

Opis: Inspekcja włączania dzienników diagnostycznych w aplikacji. Dzięki temu można odtworzyć ślady aktywności do celów badania, jeśli wystąpi zdarzenie zabezpieczeń lub bezpieczeństwo sieci (brak powiązanych zasad).

Ważność: średni rozmiar

Upewnij się, że aplikacja interfejsu API ma certyfikaty klienta przychodzące certyfikaty klienta ustawione na włączone

Opis: Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. (Powiązane zasady: Upewnij się, że aplikacja interfejsu API ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)".

Ważność: średni rozmiar

Protokół FTPS powinien być wymagany w aplikacjach interfejsu API

Opis: Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń (powiązane zasady: w aplikacji interfejsu API powinny być wymagane tylko usługi FTPS).

Ważność: Wysoka

Protokół FTPS powinien być wymagany w aplikacjach funkcji

Opis: Włącz wymuszanie FTPS dla zwiększonych zabezpieczeń (powiązane zasady: w aplikacji funkcji powinny być wymagane tylko usługi FTPS).

Ważność: Wysoka

Protokół FTPS powinien być wymagany w aplikacjach internetowych

Opis: Włącz wymuszanie ftpS dla zwiększonych zabezpieczeń (powiązane zasady: FTPS powinny być wymagane w aplikacji internetowej).

Ważność: Wysoka

Aplikacja funkcji powinna być dostępna tylko za pośrednictwem protokołu HTTPS

Opis: Użycie protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. (Powiązane zasady: Aplikacja funkcji powinna być dostępna tylko za pośrednictwem protokołu HTTPS).

Ważność: średni rozmiar

Aplikacje funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta)

Opis: Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. (Powiązane zasady: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)".

Ważność: średni rozmiar

Język Java powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API

Opis: Okresowo nowsze wersje są wydawane dla języka Java z powodu wad zabezpieczeń lub uwzględnienia dodatkowych funkcji. Korzystanie z najnowszej wersji języka Python dla aplikacji interfejsu API jest zalecane, aby korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. (Powiązane zasady: Upewnij się, że wersja języka Java jest najnowsza, jeśli jest używana jako część aplikacji interfejsu API).

Ważność: średni rozmiar

Tożsamość zarządzana powinna być używana w aplikacjach interfejsu API

Opis: W przypadku zwiększonych zabezpieczeń uwierzytelniania użyj tożsamości zarządzanej. Na platformie Azure tożsamości zarządzane eliminują potrzebę, aby deweloperzy musieli zarządzać poświadczeniami, zapewniając tożsamość zasobu platformy Azure w usłudze Azure AD i używając ich do uzyskiwania tokenów usługi Azure Active Directory (Azure AD). (Powiązane zasady: Tożsamość zarządzana powinna być używana w aplikacji interfejsu API).

Ważność: średni rozmiar

Tożsamość zarządzana powinna być używana w aplikacjach funkcji

Ważność: średni rozmiar

Tożsamość zarządzana powinna być używana w aplikacjach internetowych

Ważność: średni rozmiar

Usługa Microsoft Defender dla usługi App Service powinna być włączona

Opis: Usługa Microsoft Defender for App Service wykorzystuje skalę chmury oraz widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. Usługa Microsoft Defender for App Service umożliwia wykrywanie ataków na aplikacje i identyfikowanie pojawiających się ataków.

Ważne: Skorygowanie tego zalecenia spowoduje naliczanie opłat za ochronę planów usługi App Service. Jeśli nie masz żadnych planów usługi App Service w tej subskrypcji, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz plany usługi App Service dla tej subskrypcji, zostaną one automatycznie chronione, a opłaty zaczną się w tym czasie. Dowiedz się więcej w temacie Ochrona aplikacji internetowych i interfejsów API. (Powiązane zasady: Usługa Azure Defender dla usługi App Service powinna być włączona).

Ważność: Wysoka

Język PHP powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API

Opis: Okresowo nowsze wersje są wydawane dla oprogramowania PHP z powodu wad zabezpieczeń lub uwzględnienia dodatkowych funkcji. Korzystanie z najnowszej wersji języka PHP dla aplikacji interfejsu API jest zalecane, aby korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. (Powiązane zasady: Upewnij się, że wersja języka PHP jest najnowsza, jeśli jest używana jako część aplikacji interfejsu API).

Ważność: średni rozmiar

Język Python powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API

Opis: Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python z powodu wad zabezpieczeń lub uwzględnienia dodatkowych funkcji. Korzystanie z najnowszej wersji języka Python dla aplikacji interfejsu API jest zalecane, aby korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. (Powiązane zasady: Upewnij się, że "Wersja języka Python" jest najnowsza, jeśli jest używana jako część aplikacji interfejsu API).

Ważność: średni rozmiar

Zdalne debugowanie powinno być wyłączone dla aplikacji interfejsu API

Opis: Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacji interfejsu API. Zdalne debugowanie powinno być wyłączone. (Powiązane zasady: Debugowanie zdalne powinno być wyłączone dla usługi API Apps).

Ważność: Niska

Debugowanie zdalne powinno być wyłączone dla aplikacji funkcji

Opis: Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacji funkcji platformy Azure. Zdalne debugowanie powinno być wyłączone. (Powiązane zasady: Debugowanie zdalne powinno być wyłączone dla aplikacji funkcji).

Ważność: Niska

Zdalne debugowanie powinno być wyłączone dla aplikacji internetowych

Opis: Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacji internetowej. Debugowanie zdalne jest obecnie włączone. Jeśli nie musisz już używać debugowania zdalnego, należy go wyłączyć. (Powiązane zasady: Debugowanie zdalne powinno być wyłączone dla aplikacji internetowych).

Ważność: Niska

Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji interfejsu API

Opis: uaktualnij do najnowszej wersji protokołu TLS. (Powiązane zasady: Najnowsza wersja protokołu TLS powinna być używana w aplikacji interfejsu API).

Ważność: Wysoka

Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji funkcji

Opis: uaktualnij do najnowszej wersji protokołu TLS. (Powiązane zasady: Najnowsza wersja protokołu TLS powinna być używana w aplikacji funkcji).

Ważność: Wysoka

Protokół TLS powinien zostać zaktualizowany do najnowszej wersji aplikacji internetowych

Opis: uaktualnij do najnowszej wersji protokołu TLS. (Powiązane zasady: Najnowsza wersja protokołu TLS powinna być używana w aplikacji internetowej).

Ważność: Wysoka

Aplikacja internetowa powinna być dostępna tylko za pośrednictwem protokołu HTTPS

Opis: Użycie protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. (Powiązane zasady: Aplikacja internetowa powinna być dostępna tylko za pośrednictwem protokołu HTTPS).

Ważność: średni rozmiar

Aplikacje internetowe powinny żądać certyfikatu SSL dla wszystkich żądań przychodzących

Opis: Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. (Powiązane zasady: Upewnij się, że aplikacja internetowa ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)".

Ważność: średni rozmiar

Zalecenia dotyczące obliczeń

Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach

Opis: Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, Defender dla Chmury używa uczenia maszynowego do analizowania aplikacji działających na każdej maszynie i sugerowania listy znanych aplikacji bezpiecznych. (Powiązane zasady: Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach.

Ważność: Wysoka

Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane

Opis: Monitoruj zmiany zachowania w grupach maszyn skonfigurowanych do inspekcji przez funkcje adaptacyjnego sterowania aplikacjami Defender dla Chmury. Defender dla Chmury używa uczenia maszynowego do analizowania uruchomionych procesów na maszynach i sugerowania listy znanych aplikacji bezpiecznych. Są one prezentowane jako zalecane aplikacje umożliwiające stosowanie zasad adaptacyjnego sterowania aplikacjami. (Powiązane zasady: Należy zaktualizować reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji.

Ważność: Wysoka

Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH

Opis: Chociaż sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej w artykule Szczegółowe kroki: Tworzenie kluczy SSH na potrzeby uwierzytelniania na maszynie wirtualnej z systemem Linux na platformie Azure i zarządzanie nimi. (Powiązane zasady: Przeprowadź inspekcję maszyn z systemem Linux, które nie używają klucza SSH do uwierzytelniania).

Ważność: średni rozmiar

Zmienne konta usługi Automation powinny być szyfrowane

Opis: Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych. (Powiązane zasady: Zmienne konta usługi Automation powinny być szyfrowane).

Ważność: Wysoka

Usługa Azure Backup powinna być włączona dla maszyn wirtualnych

Opis: Ochrona danych na maszynach wirtualnych platformy Azure za pomocą usługi Azure Backup. Usługa Azure Backup to natywne, ekonomiczne, ekonomiczne rozwiązanie do ochrony danych. Tworzy punkty odzyskiwania przechowywane w magazynach odzyskiwania geograficznie nadmiarowych. Z punktu odzyskiwania można przywrócić całą maszynę wirtualną lub poszczególne pliki. (Powiązane zasady: Usługa Azure Backup powinna być włączona dla maszyn wirtualnych).

Ważność: Niska

Hosty kontenerów powinny być skonfigurowane bezpiecznie

Opis: Koryguj luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z zainstalowaną platformą Docker, aby chronić je przed atakami. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenerów.

Ważność: Wysoka

Dzienniki diagnostyczne w usłudze Azure Stream Analytics powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne w usłudze Azure Stream Analytics powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne na kontach usługi Batch powinny być włączone

Ważność: Niska

Dzienniki diagnostyczne w usłudze Event Hubs powinny być włączone

Ważność: Niska

Dzienniki diagnostyczne w usłudze Logic Apps powinny być włączone

Opis: Aby mieć pewność, że można odtworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci, włącz rejestrowanie. Jeśli dzienniki diagnostyczne nie są wysyłane do obszaru roboczego usługi Log Analytics, konta usługi Azure Storage lub usługi Azure Event Hubs, upewnij się, że skonfigurowano ustawienia diagnostyczne w celu wysyłania metryk platformy i dzienników platformy do odpowiednich miejsc docelowych. Dowiedz się więcej w artykule Create diagnostic settings to send platform logs and metrics to different destinations (Tworzenie ustawień diagnostycznych w celu wysyłania dzienników i metryk platformy do różnych miejsc docelowych). (Powiązane zasady: Dzienniki diagnostyczne w usłudze Logic Apps powinny być włączone).

Ważność: Niska

Dzienniki diagnostyczne w usługa wyszukiwania powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Należy włączyć dzienniki diagnostyczne w usługa wyszukiwania).

Ważność: Niska

Dzienniki diagnostyczne w usłudze Service Bus powinny być włączone

Ważność: Niska

Dzienniki diagnostyczne w zestawach skalowania maszyn wirtualnych powinny być włączone

Opis: Włącz dzienniki i zachowaj je przez maksymalnie rok. Dzięki temu można odtworzyć ślady aktywności do celów badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. (Powiązane zasady: Dzienniki diagnostyczne w zestawach skalowania maszyn wirtualnych powinny być włączone).

Ważność: Wysoka

Problemy z konfiguracją EDR należy rozwiązać na maszynach wirtualnych

Opis: Aby chronić maszyny wirtualne przed najnowszymi zagrożeniami i lukami w zabezpieczeniach, rozwiąż wszystkie zidentyfikowane problemy z konfiguracją zainstalowanego rozwiązania wykrywania i reagowania na punkty końcowe (EDR).
Uwaga: obecnie to zalecenie dotyczy tylko zasobów z włączonym Ochrona punktu końcowego w usłudze Microsoft Defender (MDE).

Ważność: Niska

Rozwiązanie EDR powinno być zainstalowane na maszynach wirtualnych

Opis: Instalowanie rozwiązania do wykrywania i reagowania na punkty końcowe (EDR) na maszynach wirtualnych jest ważne dla ochrony przed zaawansowanymi zagrożeniami. EDR pomagają zapobiegać, wykrywać, badać i reagować na te zagrożenia. Usługi Microsoft Defender for Servers można użyć do wdrożenia Ochrona punktu końcowego w usłudze Microsoft Defender. Jeśli zasób jest klasyfikowany jako "W złej kondycji", wskazuje brak obsługiwanego rozwiązania EDR. Jeśli rozwiązanie EDR jest zainstalowane, ale nie można go odnaleźć zgodnie z tym zaleceniem, można go wykluczyć. Bez rozwiązania EDR maszyny wirtualne są zagrożone zaawansowanymi zagrożeniami.

Ważność: Wysoka

Należy rozwiązać problemy z kondycją programu Endpoint Protection w zestawach skalowania maszyn wirtualnych

Opis: Koryguj błędy kondycji ochrony punktu końcowego w zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. (Powiązane zasady: Rozwiązanie endpoint protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych.

Ważność: Niska

Program Endpoint Protection powinien być zainstalowany w zestawach skalowania maszyn wirtualnych

Opis: Zainstaluj rozwiązanie ochrony punktu końcowego na zestawach skalowania maszyn wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. (Powiązane zasady: Rozwiązanie endpoint protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych.

Ważność: Wysoka

Monitorowanie integralności plików powinno być włączone na maszynach

Opis: Defender dla Chmury zidentyfikował maszyny, na których brakuje rozwiązania do monitorowania integralności plików. Aby monitorować zmiany plików krytycznych, kluczy rejestru i nie tylko na serwerach, włącz monitorowanie integralności plików. Po włączeniu rozwiązania do monitorowania integralności plików utwórz reguły zbierania danych, aby zdefiniować pliki do monitorowania. Aby zdefiniować reguły lub wyświetlić pliki zmienione na maszynach z istniejącymi regułami, przejdź do strony zarządzania monitorowaniem integralności plików. (Brak powiązanych zasad)

Ważność: Wysoka

Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux

Opis: Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy tylko zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux z obsługą uruchamiania.

Ważne: zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych. Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego. Dowiedz się więcej na temat zaufanego uruchamiania maszyn wirtualnych platformy Azure. (Brak powiązanych zasad)

Ważność: Niska

Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux

Opis: Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z systemem Linux z obsługą uruchamiania.

Ważność: Niska

Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows

Opis: Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy tylko zaufanych zestawów skalowania maszyn wirtualnych z włączoną obsługą uruchamiania.

Ważność: Niska

Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows

Opis: Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić Microsoft Defender dla Chmury proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania.

Ważność: Niska

Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach

Opis: Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady gościa będą dostępne, takie jak Funkcja Windows Exploit Guard powinna być włączona. (Powiązane zasady: Maszyny wirtualne powinny mieć rozszerzenie Konfiguracji gościa).

Ważność: średni rozmiar

Instalowanie rozwiązania endpoint protection na maszynach wirtualnych

Opis: Zainstaluj rozwiązanie ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed zagrożeniami i lukami w zabezpieczeniach. (Powiązane zasady: Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center).

Ważność: Wysoka

Maszyny wirtualne z systemem Linux powinny wymuszać walidację podpisu modułu jądra

Opis: Aby pomóc w ograniczeniu ryzyka wykonania złośliwego lub nieautoryzowanego kodu w trybie jądra, wymuś walidację podpisu modułu jądra na obsługiwanych maszynach wirtualnych z systemem Linux. Sprawdzanie poprawności sygnatury modułu jądra gwarantuje, że do uruchomienia będą mogły być uruchamiane tylko zaufane moduły jądra. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. (Brak powiązanych zasad)

Ważność: Niska

Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu

Opis: Po włączeniu bezpiecznego rozruchu wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Defender dla Chmury zidentyfikował niezaufane składniki rozruchu systemu operacyjnego na co najmniej jednej maszynie z systemem Linux. Aby chronić maszyny przed potencjalnie złośliwymi składnikami, dodaj je do listy dozwolonych lub usuń zidentyfikowane składniki. (Brak powiązanych zasad)

Ważność: Niska

Maszyny wirtualne z systemem Linux powinny używać bezpiecznego rozruchu

Opis: Aby chronić przed instalacją zestawów rootkit opartych na złośliwym oprogramowaniu i zestawów rozruchowych, włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Linux. Bezpieczny rozruch zapewnia możliwość uruchamiania tylko podpisanych systemów operacyjnych i sterowników. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. (Brak powiązanych zasad)

Ważność: Niska

Agent usługi Log Analytics powinien być zainstalowany na maszynach z obsługą usługi Azure Arc opartych na systemie Linux

Opis: Defender dla Chmury używa agenta usługi Log Analytics (znanego również jako OMS) do zbierania zdarzeń zabezpieczeń z maszyn usługi Azure Arc. Aby wdrożyć agenta na wszystkich maszynach usługi Azure Arc, wykonaj kroki korygowania. (Brak powiązanych zasad)

Ważność: Wysoka

Agent usługi Log Analytics powinien być zainstalowany w zestawach skalowania maszyn wirtualnych

Opis: Defender dla Chmury zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. Dane są zbierane przy użyciu agenta usługi Log Analytics, wcześniej znanego jako program Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego na potrzeby analizy. Należy również wykonać procedurę, jeśli maszyny wirtualne są używane przez usługę zarządzaną platformy Azure, taką jak Azure Kubernetes Service lub Azure Service Fabric. Nie można skonfigurować automatycznej aprowizacji agenta dla zestawów skalowania maszyn wirtualnych platformy Azure. Aby wdrożyć agenta w zestawach skalowania maszyn wirtualnych (w tym tych używanych przez usługi zarządzane platformy Azure, takich jak Azure Kubernetes Service i Azure Service Fabric), wykonaj procedurę w krokach korygowania. (Powiązane zasady: Agent usługi Log Analytics powinien być zainstalowany w zestawach skalowania maszyn wirtualnych na potrzeby monitorowania usługi Azure Security Center.

Ważność: Wysoka

Agent usługi Log Analytics powinien być zainstalowany na maszynach wirtualnych

Opis: Defender dla Chmury zbiera dane z maszyn wirtualnych platformy Azure w celu monitorowania luk w zabezpieczeniach i zagrożeń. Dane są zbierane przy użyciu agenta usługi Log Analytics, znanego wcześniej jako Microsoft Monitoring Agent (MMA), który odczytuje różne konfiguracje i dzienniki zdarzeń związane z zabezpieczeniami z maszyny i kopiuje dane do obszaru roboczego usługi Log Analytics na potrzeby analizy. Ten agent jest również wymagany, jeśli maszyny wirtualne są używane przez usługę zarządzaną platformy Azure, taką jak Azure Kubernetes Service lub Azure Service Fabric. Zalecamy skonfigurowanie automatycznej aprowizacji w celu automatycznego wdrożenia agenta. Jeśli nie chcesz używać automatycznej aprowizacji, ręcznie wdróż agenta na maszynach wirtualnych, korzystając z instrukcji w krokach korygowania. (Powiązane zasady: Agent usługi Log Analytics powinien być zainstalowany na maszynie wirtualnej na potrzeby monitorowania usługi Azure Security Center.

Ważność: Wysoka

Agent usługi Log Analytics powinien być zainstalowany na komputerach z obsługą usługi Azure Arc z systemem Windows

Opis: Defender dla Chmury używa agenta usługi Log Analytics (znanego również jako MMA) do zbierania zdarzeń zabezpieczeń z maszyn usługi Azure Arc. Aby wdrożyć agenta na wszystkich maszynach usługi Azure Arc, wykonaj kroki korygowania. (Brak powiązanych zasad)

Ważność: Wysoka

Maszyny powinny być skonfigurowane bezpiecznie

Opis: Korygowanie luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach w celu ochrony ich przed atakami. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach.

Ważność: Niska

Aby zastosować aktualizacje konfiguracji zabezpieczeń, należy ponownie uruchomić maszyny

Opis: Aby zastosować aktualizacje konfiguracji zabezpieczeń i chronić przed lukami w zabezpieczeniach, uruchom ponownie maszyny. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem usługi Azure Monitor. (Brak powiązanych zasad)

Ważność: Niska

Maszyny powinny mieć rozwiązanie do oceny luk w zabezpieczeniach

Opis: Defender dla Chmury regularnie sprawdza połączone maszyny, aby upewnić się, że są uruchomione narzędzia do oceny luk w zabezpieczeniach. Użyj tego zalecenia, aby wdrożyć rozwiązanie do oceny luk w zabezpieczeniach. (Powiązane zasady: Na maszynach wirtualnych należy włączyć rozwiązanie do oceny luk w zabezpieczeniach.

Ważność: średni rozmiar

Maszyny powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Rozwiąż wyniki rozwiązań do oceny luk w zabezpieczeniach na maszynach wirtualnych. (Powiązane zasady: Na maszynach wirtualnych należy włączyć rozwiązanie do oceny luk w zabezpieczeniach.

Ważność: Niska

Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time

Opis: Defender dla Chmury zidentyfikował pewne nadmiernie permissywne reguły ruchu przychodzącego dla portów zarządzania w sieciowej grupie zabezpieczeń. Włącz kontrolę dostępu just in time, aby chronić maszynę wirtualną przed atakami siłowymi opartymi na Internecie. Dowiedz się więcej w artykule Understanding just-in-time (JIT) VM access (Dostęp just in time) do maszyny wirtualnej. (Powiązane zasady: Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time.

Ważność: Wysoka

Usługa Microsoft Defender dla serwerów powinna być włączona

Opis: Usługa Microsoft Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. Te informacje umożliwiają szybkie korygowanie problemów z zabezpieczeniami i poprawianie zabezpieczeń serwerów.

Ważne: Skorygowanie tego zalecenia spowoduje naliczanie opłat za ochronę serwerów. Jeśli nie masz żadnych serwerów w tej subskrypcji, nie będą naliczane żadne opłaty. Jeśli w przyszłości utworzysz jakiekolwiek serwery w tej subskrypcji, będą one automatycznie chronione, a opłaty zaczną się w tym czasie. Dowiedz się więcej w temacie Wprowadzenie do usługi Microsoft Defender dla serwerów. (Powiązane zasady: Usługa Azure Defender dla serwerów powinna być włączona).

Ważność: Wysoka

Usługa Microsoft Defender dla serwerów powinna być włączona w obszarach roboczych

Opis: Usługa Microsoft Defender dla serwerów zapewnia wykrywanie zagrożeń i zaawansowaną ochronę maszyn z systemami Windows i Linux. Dzięki włączeniu tego planu usługi Defender w ramach subskrypcji, ale nie w obszarach roboczych, płacisz za pełną funkcję usługi Microsoft Defender dla serwerów, ale brakuje niektórych korzyści. Po włączeniu usługi Microsoft Defender dla serwerów w obszarze roboczym wszystkie maszyny raportujące do tego obszaru roboczego będą naliczane opłaty za usługę Microsoft Defender dla serwerów — nawet jeśli znajdują się w subskrypcjach bez włączenia planów usługi Defender. Jeśli nie włączysz również usługi Microsoft Defender dla serwerów w ramach subskrypcji, te maszyny nie będą mogły korzystać z dostępu just in time do maszyn wirtualnych, adaptacyjnego sterowania aplikacjami i wykrywania sieci dla zasobów platformy Azure. Dowiedz się więcej w temacie Wprowadzenie do usługi Microsoft Defender dla serwerów. (Brak powiązanych zasad)

Ważność: średni rozmiar

Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows

Opis: Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądro i sterowniki jądra. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z systemem Windows z obsługą uruchamiania.

Ważność: Niska

Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign

Opis: Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign i EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo. (Powiązane zasady: Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign.

Ważność: Wysoka

Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta

Opis: Wykonaj uwierzytelnianie klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric (powiązane zasady: Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta).

Ważność: Wysoka

Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych

Opis: Zainstaluj brakujące aktualizacje zabezpieczeń systemu i aktualizacji krytycznych, aby zabezpieczyć zestawy skalowania maszyn wirtualnych z systemem Windows i Linux. (Powiązane zasady: Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych).

Ważność: Wysoka

Aktualizacje systemu powinny być instalowane na maszynach

Opis: Zainstaluj brakujące aktualizacje zabezpieczeń systemu i aktualizacji krytycznych, aby zabezpieczyć maszyny wirtualne i komputery z systemem Windows i Linux (powiązane zasady: Aktualizacje systemu powinny być zainstalowane na maszynach).

Ważność: Wysoka

Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji)

Opis: Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie dziury są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. (Brak powiązanych zasad)

Ważność: Wysoka

Zestawy skalowania maszyn wirtualnych należy skonfigurować bezpiecznie

Opis: Korygowanie luk w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych w celu ochrony ich przed atakami. (Powiązane zasady: Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych.

Ważność: Wysoka

Stan zaświadczania gościa maszyn wirtualnych powinien być w dobrej kondycji

Opis: Zaświadczanie gościa jest wykonywane przez wysłanie zaufanego dziennika (TCGLog) na serwer zaświadczania. Serwer używa tych dzienników do określenia, czy składniki rozruchu są wiarygodne. Ta ocena ma na celu wykrywanie kompromisów łańcucha rozruchowego, co może być wynikiem infekcji bootkit lub rootkit. Ta ocena dotyczy tylko maszyn wirtualnych z włączoną obsługą zaufanego uruchamiania z zainstalowanym rozszerzeniem zaświadczania gościa. (Brak powiązanych zasad)

Ważność: średni rozmiar

Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system

Opis: Rozszerzenie Konfiguracji gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej (Powiązane zasady: Rozszerzenie konfiguracji gościa powinno zostać wdrożone na maszynach wirtualnych platformy Azure z przypisaną przez system tożsamością zarządzaną).

Ważność: średni rozmiar

Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager

Opis: Maszyny wirtualne (klasyczne) zostały wycofane i te maszyny wirtualne powinny zostać zmigrowane do usługi Azure Resource Manager. Ponieważ usługa Azure Resource Manager ma teraz pełne możliwości IaaS i inne postępy, w dniu 28 lutego 2020 r. przestaliśmy zarządzać maszynami wirtualnymi IaaS za pośrednictwem usługi Azure Service Manager (ASM). Ta funkcja zostanie w pełni wycofana 1 marca 2023 r.

Aby wyświetlić wszystkie maszyny wirtualne, których dotyczy problem, upewnij się, że wybrano wszystkie subskrypcje platformy Azure na karcie "katalogi i subskrypcje".

Dostępne zasoby i informacje o tej migracji narzędzia i migracji: Omówienie wycofywania maszyn wirtualnych (klasycznych), krok po kroku dla migracji i dostępnych zasobów firmy Microsoft.Szczegółowe informacje o narzędziu migracji do usługi Azure Resource Manager.Migrowanie do narzędzia migracji usługi Azure Resource Manager przy użyciu programu PowerShell. (Powiązane zasady: Maszyny wirtualne należy migrować do nowych zasobów usługi Azure Resource Manager).

Ważność: Wysoka

Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynem

Używasz funkcji szyfrowania na hoście lub 2. Szyfrowanie dysków zarządzanych po stronie serwera spełnia Twoje wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie Szyfrowanie po stronie serwera usługi Azure Disk Storage. (Powiązane zasady: Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych)

Ważność: Wysoka

Maszyny wirtualne vTPM powinny być włączone na obsługiwanych maszynach wirtualnych

Opis: Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania.

Ważność: Niska

Luki w zabezpieczeniach konfiguracji zabezpieczeń na maszynach z systemem Linux powinny zostać skorygowane (obsługiwane przez konfigurację gościa)

Opis: Korygowanie luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z systemem Linux w celu ochrony ich przed atakami. (Powiązane zasady: Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń platformy Azure).

Ważność: Niska

Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z systemem Windows (obsługiwane przez konfigurację gościa)

Opis: Korygowanie luk w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach z systemem Windows w celu ochrony ich przed atakami. (Brak powiązanych zasad)

Ważność: Niska

Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach

Opis: Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). (Powiązane zasady: Przeprowadź inspekcję maszyn z systemem Windows, na których nie włączono funkcji Windows Defender Exploit Guard.

Ważność: średni rozmiar

Serwery sieci Web systemu Windows powinny być skonfigurowane do używania bezpiecznych protokołów komunikacyjnych

Opis: Aby chronić prywatność informacji przekazywanych przez Internet, serwery internetowe powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przy użyciu certyfikatów zabezpieczeń w celu szyfrowania połączenia między maszynami. (Powiązane zasady: Przeprowadź inspekcję serwerów sieci Web systemu Windows, które nie korzystają z bezpiecznych protokołów komunikacyjnych).

Ważność: Wysoka

[Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost

Opis: Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Użyj usługi Azure Disk Encryption lub EncryptionAtHost, aby zaszyfrować wszystkie te dane. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. (Powiązane zasady: [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost).

Ważność: Wysoka

[Wersja zapoznawcza]: Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost

Opis: Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Użyj usługi Azure Disk Encryption lub EncryptionAtHost, aby zaszyfrować wszystkie te dane. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. (Powiązane zasady: [Wersja zapoznawcza]: maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost).

Ważność: Wysoka

Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście

Opis: Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej w witrynie Azure Portal, aby włączyć kompleksowe szyfrowanie przy użyciu szyfrowania na hoście. (Powiązane zasady: Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście.

Ważność: średni rozmiar

(Wersja zapoznawcza) Serwery rozwiązania Azure Stack HCI powinny spełniać wymagania zabezpieczonego rdzenia

Opis: Upewnij się, że wszystkie serwery rozwiązania Azure Stack HCI spełniają wymagania zabezpieczonego rdzenia. (Powiązane zasady: Rozszerzenie Konfiguracji gościa powinno być zainstalowane na maszynach — Microsoft Azure).

Ważność: Niska

(Wersja zapoznawcza) Serwery usługi Azure Stack HCI powinny mieć spójnie wymuszane zasady kontroli aplikacji

Opis: Zastosuj co najmniej zasady podstawowe usługi Microsoft WDAC w trybie wymuszonym na wszystkich serwerach rozwiązania Azure Stack HCI. Zastosowane zasady kontroli aplikacji usługi Windows Defender (WDAC) muszą być spójne między serwerami w tym samym klastrze. (Powiązane zasady: Rozszerzenie Konfiguracji gościa powinno być zainstalowane na maszynach — Microsoft Azure).

Ważność: Wysoka

(Wersja zapoznawcza) Systemy rozwiązania Azure Stack HCI powinny mieć zaszyfrowane woluminy

Opis: Użyj funkcji BitLocker do szyfrowania woluminów systemu operacyjnego i danych w systemach Azure Stack HCI. (Powiązane zasady: Rozszerzenie Konfiguracji gościa powinno być zainstalowane na maszynach — Microsoft Azure).

Ważność: Wysoka

(Wersja zapoznawcza) Sieć hostów i maszyn wirtualnych powinna być chroniona w systemach Azure Stack HCI

Opis: Ochrona danych w sieci hosta rozwiązania Azure Stack HCI i połączeń sieciowych maszyn wirtualnych. (Powiązane zasady: Rozszerzenie Konfiguracji gościa powinno być zainstalowane na maszynach — Microsoft Azure).

Ważność: Niska

Rekomendacje dotyczące kontenerów

[Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i zawiera szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

[Wersja zapoznawcza] Kontenery uruchomione na platformie Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach

Opis: Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do używanych obrazów i raportów o lukach w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi.

Ważność: Wysoka

Typ: Ocena luk w zabezpieczeniach

(Włącz, jeśli jest to wymagane) Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)

Opis: Rekomendacje do używania kluczy zarządzanych przez klienta na potrzeby szyfrowania danych magazynowanych nie są domyślnie oceniane, ale są dostępne do włączenia w odpowiednich scenariuszach. Dane są szyfrowane automatycznie przy użyciu kluczy zarządzanych przez platformę, więc użycie kluczy zarządzanych przez klienta powinno być stosowane tylko w przypadku obowiązku spełnienia wymagań dotyczących zgodności lub restrykcyjnych zasad. Aby włączyć to zalecenie, przejdź do zasad zabezpieczeń dla odpowiedniego zakresu i zaktualizuj parametr Effect dla odpowiednich zasad inspekcji lub wymuś użycie kluczy zarządzanych przez klienta. Dowiedz się więcej w temacie Zarządzanie zasadami zabezpieczeń. Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/acr/CMK. (Powiązane zasady: Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK).

Ważność: Niska