Udostępnij za pośrednictwem


Punkt odniesienia zabezpieczeń platformy Azure dla usługi Batch

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Batch. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązane wskazówki dotyczące usługi Batch.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje , które nie mają zastosowania do usługi Batch, zostały wykluczone. Aby dowiedzieć się, jak usługa Batch całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Batch.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Batch, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category Compute
Klient może uzyskać dostęp do hosta/systemu operacyjnego Tylko do odczytu
Usługę można wdrożyć w sieci wirtualnej klienta Prawda
Przechowuje zawartość klienta magazynowanych Fałsz

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.

NS-1: Ustanawianie granic segmentacji sieci

Funkcje

Integracja sieci wirtualnej

Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: wdrażanie pul Azure Batch w sieci wirtualnej. Rozważ aprowizowanie puli bez publicznych adresów IP, aby ograniczyć dostęp do węzłów w sieci prywatnej i zmniejszyć możliwość odnajdywania węzłów z Internetu.

Dokumentacja: Tworzenie puli Azure Batch w sieci wirtualnej

Obsługa sieciowej grupy zabezpieczeń

Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: Domyślnie usługa Batch dodaje sieciowe grupy zabezpieczeń (NSG) na poziomie interfejsów sieciowych dołączonych do węzłów obliczeniowych.

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: Tworzenie puli Azure Batch w sieci wirtualnej

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Funkcje

Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: wdrażanie prywatnych punktów końcowych dla kont Azure Batch. Ogranicza to dostęp do kont usługi Batch do sieci wirtualnej, w której znajdują się lub do dowolnej równorzędnej sieci wirtualnej.

Dokumentacja: Używanie prywatnych punktów końcowych z kontami Azure Batch

Wyłączanie dostępu do sieci publicznej

Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: wyłącz dostęp do sieci publicznej do kont usługi Batch, ustawiając ustawienie "Dostęp do sieci publicznej" na wyłączone.

Dokumentacja: Wyłączanie dostępu do sieci publicznej

Zarządzanie tożsamościami

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zarządzanie tożsamościami.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Funkcje

Azure AD uwierzytelnianie wymagane do uzyskania dostępu do płaszczyzny danych

Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych zamiast używania kluczy udostępnionych.

Dokumentacja: Uwierzytelnianie przy użyciu Azure AD

Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych

Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: Unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.

Wskazówki dotyczące konfiguracji: ogranicz użycie lokalnych metod uwierzytelniania na potrzeby dostępu do płaszczyzny danych. Zamiast tego użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.

Dokumentacja: Uwierzytelnianie za pomocą klucza współużytkowanego

Im-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Funkcje

Tożsamości zarządzane

Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Udostępniona

Wskazówki dotyczące konfiguracji: używaj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, gdy jest to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

Dokumentacja: Konfigurowanie tożsamości zarządzanych w pulach usługi Batch

Jednostki usługi

Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Dodatkowe wskazówki: Aby uwierzytelnić aplikację, która działa nienadzorowana, możesz użyć jednostki usługi. Po zarejestrowaniu aplikacji ustaw odpowiednie konfiguracje w witrynie Azure Portal dla jednostki usługi, takie jak żądanie wpisu tajnego dla aplikacji i przypisanie ról RBAC platformy Azure.

Dokumentacja: Uwierzytelnianie rozwiązań usługi Batch za pomocą usługi Azure Active Directory

Im-7: Ograniczanie dostępu do zasobów na podstawie warunków

Funkcje

Dostęp warunkowy dla płaszczyzny danych

Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Funkcje

Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych w usłudze Azure Key Vault

Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.

PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)

Funkcje

Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych

Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure do zarządzania dostępem do zasobów platformy Azure za pomocą wbudowanych przypisań ról. Azure Batch obsługuje kontrolę dostępu opartą na rolach platformy Azure na potrzeby zarządzania dostępem do tych typów zasobów: konta, zadania, zadania i pule.

Dokumentacja: Przypisywanie kontroli dostępu opartej na rolach platformy Azure do aplikacji

Ochrona danych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

Funkcje

Zapobieganie wyciekom/utracie danych

Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Dane w szyfrowaniu tranzytowym

Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu kluczy platformy

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: Niektóre informacje określone w interfejsach API usługi Batch, takie jak certyfikaty kont, metadane zadania i zadania oraz wiersze poleceń zadań, są automatycznie szyfrowane podczas przechowywania przez usługę Batch. Domyślnie te dane są szyfrowane przy użyciu kluczy zarządzanych przez platformę Azure Batch unikatowych dla każdego konta usługi Batch.

Te dane można również zaszyfrować przy użyciu kluczy zarządzanych przez klienta. Usługa Azure Key Vault służy do generowania i przechowywania klucza z identyfikatorem klucza zarejestrowanym na koncie usługi Batch.

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

DP-5: Użyj opcji klucza zarządzanego przez klienta w szyfrowaniu danych magazynowanych, jeśli jest to wymagane

Funkcje

Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Jeśli jest to wymagane w celu zapewnienia zgodności z przepisami, zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.

Dokumentacja: Konfigurowanie kluczy zarządzanych przez klienta

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

Funkcje

Zarządzanie kluczami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Udostępniona

Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli konieczne jest użycie klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) z kluczem szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływają odwołania za pośrednictwem identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.

Uwaga: Klient musi wyrazić zgodę na korzystanie z kluczy zarządzanych przez klienta. W przeciwnym razie usługa będzie używać kluczy platformy zarządzanych przez firmę Microsoft.

Dokumentacja: Konfigurowanie kluczy zarządzanych przez klienta dla konta Azure Batch przy użyciu usługi Azure Key Vault i tożsamości zarządzanej

DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami

Funkcje

Zarządzanie certyfikatami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację usługi Azure Key Vault dla wszystkich certyfikatów klienta. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Udostępniona

Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie, importowanie, rotację, odwoływanie, przechowywanie i czyszczenie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanymi standardami bez używania niezabezpieczonych właściwości, takich jak: niewystarczający rozmiar klucza, zbyt długi okres ważności, niepewna kryptografia. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i usłudze platformy Azure (jeśli jest obsługiwana) na podstawie zdefiniowanego harmonogramu lub wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji, upewnij się, że nadal są obracane przy użyciu metod ręcznych w usłudze Azure Key Vault i aplikacji.

Dokumentacja: Używanie certyfikatów i bezpieczne uzyskiwanie dostępu do usługi Azure Key Vault za pomocą usługi Batch

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.

AM-2: Używaj tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do inspekcji i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje] efekty, aby wymusić bezpieczną konfigurację między zasobami platformy Azure.

W przypadku wszystkich scenariuszy, w których wbudowane definicje zasad nie istnieją, można użyć Azure Policy aliasów w przestrzeni nazw "Microsoft.Batch", aby utworzyć zasady niestandardowe.

Dokumentacja: Azure Policy wbudowane definicje dla Azure Batch

AM-5: Używaj tylko zatwierdzonych aplikacji na maszynie wirtualnej

Funkcje

Microsoft Defender dla chmury — funkcje adaptacyjnego sterowania aplikacjami

Opis: Usługa może ograniczyć uruchamianie aplikacji klienta na maszynie wirtualnej przy użyciu funkcji adaptacyjnego sterowania aplikacjami w Microsoft Defender for Cloud. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie możliwości wykrywania zagrożeń

Funkcje

Microsoft Defender dla usługi/oferty produktu

Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Włącz dzienniki zasobów platformy Azure dla Azure Batch dla następujących typów dzienników: ServiceLog i AllMetrics.

Dokumentacja: metryki, alerty i dzienniki usługi Batch na potrzeby oceny i monitorowania diagnostyki

Zarządzanie lukami w zabezpieczeniach i stanem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.

PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Funkcje

Usługa State Configuration w usłudze Azure Automation

Opis: Azure Automation State Configuration można użyć do utrzymania konfiguracji zabezpieczeń systemu operacyjnego. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Agent konfiguracji gościa Azure Policy

Opis: Azure Policy agenta konfiguracji gościa można zainstalować lub wdrożyć jako rozszerzenie do zasobów obliczeniowych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Niestandardowe obrazy maszyn wirtualnych

Opis: Usługa obsługuje korzystanie z obrazów maszyn wirtualnych dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z platformy handlowej z niektórymi wstępnie zastosowanymi konfiguracjami odniesienia. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Udostępniona

Wskazówki dotyczące konfiguracji: Jeśli to możliwe, użyj wstępnie skonfigurowanego obrazu ze wzmocnionym zabezpieczeniami od zaufanego dostawcy, takiego jak firma Microsoft, lub utwórz żądaną bezpieczną konfigurację odniesienia do szablonu obrazu maszyny wirtualnej.

Klienci mogą również używać niestandardowych obrazów systemu operacyjnego do Azure Batch. W przypadku korzystania z konfiguracji maszyny wirtualnej dla Azure Batch upewnij się, że niestandardowe obrazy są wzmacniane zgodnie z potrzebami organizacji. W przypadku zarządzania cyklem życia pule przechowują obrazy w galerii obrazów udostępnionych. Proces tworzenia bezpiecznego obrazu można skonfigurować przy użyciu narzędzi automatyzacji platformy Azure, takich jak Azure Image Builder.

Dokumentacja: tworzenie niestandardowej puli obrazów za pomocą obrazu zarządzanego

Obrazy kontenerów niestandardowych

Opis: Usługa obsługuje używanie obrazów kontenerów dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z platformy handlowej z niektórymi wstępnie zastosowanymi konfiguracjami odniesienia. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Udostępniona

Wskazówki dotyczące konfiguracji: Jeśli używasz puli usługi Batch do uruchamiania zadań w kontenerach zgodnych z platformą Docker w węzłach, użyj wstępnie skonfigurowanych obrazów kontenerów ze wzmocnionymi zabezpieczeniami od zaufanego dostawcy, takiego jak firma Microsoft, lub skompiluj żądaną bezpieczną konfigurację odniesienia do szablonu obrazu kontenera.

Dokumentacja: Uruchamianie aplikacji kontenera na Azure Batch

PV-5: Przeprowadzanie ocen luk w zabezpieczeniach

Funkcje

Ocena luk w zabezpieczeniach przy użyciu Microsoft Defender

Opis: Usługę można skanować pod kątem skanowania pod kątem luk w zabezpieczeniach przy użyciu Microsoft Defender w chmurze lub innych usług Microsoft Defender wbudowanych funkcji oceny luk w zabezpieczeniach (w tym Microsoft Defender serwera, rejestru kontenerów, App Service, SQL i DNS). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach

Funkcje

Azure Automation — Update Management

Opis: Usługa może automatycznie wdrażać poprawki i aktualizacje za pomocą usługi Azure Automation Update Management. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia punktu końcowego.

ES-1: Używanie wykrywania i reagowania punktów końcowych (EDR)

Funkcje

Rozwiązanie EDR

Opis: Funkcja wykrywania i reagowania punktu końcowego (EDR), taka jak usługa Azure Defender dla serwerów, można wdrożyć w punkcie końcowym. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Funkcje

Rozwiązanie chroniące przed złośliwym oprogramowaniem

Opis: W punkcie końcowym można wdrożyć funkcję ochrony przed złośliwym oprogramowaniem, taką jak program antywirusowy Microsoft Defender Ochrona punktu końcowego w usłudze Microsoft Defender. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Funkcje

Monitorowanie kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem

Opis: Rozwiązanie chroniące przed złośliwym oprogramowaniem zapewnia monitorowanie stanu kondycji dla platformy, aparatu i automatycznych aktualizacji sygnatur. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnienie regularnych automatycznych kopii zapasowych

Funkcje

Azure Backup

Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Natywne możliwości tworzenia kopii zapasowej usługi

Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Następne kroki