Punkt odniesienia zabezpieczeń platformy Azure dla Virtual Machine Scale Sets
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Virtual Machine Scale Sets. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Virtual Machine Scale Sets.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje nie mają zastosowania do Virtual Machine Scale Sets zostały wykluczone. Aby zobaczyć, jak Virtual Machine Scale Sets całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Virtual Machine Scale Sets.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na Virtual Machine Scale Sets, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Compute |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Pełny dostęp |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Sieci wirtualne i maszyny wirtualne na platformie Azure
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jej podsieciach. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i modułów równoważenia obciążenia platformy Azure.
Podczas tworzenia maszyny wirtualnej platformy Azure należy utworzyć sieć wirtualną lub użyć istniejącej sieci wirtualnej i skonfigurować maszynę wirtualną z podsiecią. Upewnij się, że wszystkie wdrożone podsieci mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji.
Dokumentacja: Sieciowe grupy zabezpieczeń
Microsoft Defender do monitorowania chmury
Azure Policy wbudowanych definicji — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu | Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Usługi zainstalowane z systemem operacyjnym mogą służyć do zapewnienia filtrowania sieci w celu wyłączenia dostępu do sieci publicznej.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych. Azure AD chroni dane przy użyciu silnego szyfrowania danych magazynowanych i przesyłanych. Azure AD również soli, skrótów i bezpiecznie przechowuje poświadczenia użytkownika. Tożsamości zarządzane umożliwiają uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie Azure AD, w tym Key Vault bez poświadczeń w kodzie. Kod uruchomiony na maszynie wirtualnej może używać swojej tożsamości zarządzanej do żądania tokenów dostępu dla usług, które obsługują uwierzytelnianie Azure AD.
Dokumentacja: implementacja sprzężenia Azure AD
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, jeśli jest to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, unikając twardych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
Dokumentacja: Tożsamości zarządzane dla zasobów platformy Azure
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: jednostki usługi mogą być używane przez aplikacje działające w Virtual Machine Scale Sets.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych należy wdrożyć przy użyciu przypisanej przez system tożsamości zarządzanej | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych na platformie Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: w obrębie płaszczyzny danych lub systemu operacyjnego usługi mogą wywoływać usługę Azure Key Vault pod kątem poświadczeń lub wpisów tajnych.
Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak azure Key Vault, zamiast osadzania ich w plikach kodu lub konfiguracji.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Lokalne konta Administracja
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Tworzenie maszyn wirtualnych w zestawie skalowania przy użyciu Azure Portal
PA-7: Postępuj zgodnie z zasadą administrowania wystarczającą ilością (najmniejszych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure do zarządzania dostępem do zasobów platformy Azure za pomocą wbudowanych przypisań ról. Role RBAC platformy Azure można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.
Dokumentacja: Wbudowana rola współautora maszyny wirtualnej
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Zapobieganie wyciekom/utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie danych przesyłanych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Niektóre protokoły komunikacyjne, takie jak SSH, są domyślnie szyfrowane. Jednak usługi, takie jak RDP lub HTTP, muszą być skonfigurowane do używania protokołu TLS do szyfrowania.
Wskazówki dotyczące konfiguracji: włącz bezpieczny transfer w usługach, w których wbudowane są natywne dane podczas szyfrowania tranzytowego. Wymuszaj protokół HTTPS w dowolnych aplikacjach internetowych i usługach i upewnij się, że jest używany protokół TLS w wersji 1.2 lub nowszej. Starsze wersje, takie jak SSL 3.0, tls v1.0 powinny być wyłączone. W przypadku zdalnego zarządzania Virtual Machines użyj protokołu SSH (dla systemu Linux) lub protokołu RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.
Dokumentacja: Szyfrowanie podczas przesyłania na maszynach wirtualnych
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Maszyny z systemem Windows należy skonfigurować do korzystania z bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego standardu branżowego, Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: oprócz standardowego szyfrowania przy użyciu kluczy zarządzanych przez platformę klienci z wysokim poziomem zabezpieczeń, którzy są zainteresowani ryzykiem związanym z jakimkolwiek konkretnym algorytmem szyfrowania, implementacją lub kluczem, którego zabezpieczenia zostały naruszone, mogą teraz zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu szyfrowania/trybu infrastruktury przy użyciu kluczy zarządzanych przez platformę i kluczy zarządzanych przez klienta. Ta nowa warstwa może być stosowana do utrwalonego systemu operacyjnego i dysków danych, migawek i obrazów, z których wszystkie będą szyfrowane w spoczynku przy użyciu podwójnego szyfrowania.
Aby uzyskać więcej informacji, odwiedź stronę: Podwójne szyfrowanie magazynowane.
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Usługa Azure Disk Encryption dla Virtual Machine Scale Sets
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Użyj usługi Azure Disk Encryption lub EncryptionAtHost, aby zaszyfrować wszystkie te dane. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0-preview |
DP-5: W razie potrzeby użyj opcji klucza zarządzanego przez klienta w szyfrowaniu magazynowanych danych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza cmK
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Dyski wirtualne na Virtual Machines (VM) są szyfrowane w spoczynku przy użyciu szyfrowania po stronie serwera lub szyfrowania dysków platformy Azure (ADE). Usługa Azure Disk Encryption korzysta z funkcji DM-Crypt systemu Linux do szyfrowania dysków zarządzanych przy użyciu kluczy zarządzanych przez klienta na maszynie wirtualnej gościa. Szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta poprawia się w usłudze ADE, umożliwiając korzystanie z dowolnego typu systemu operacyjnego i obrazów dla maszyn wirtualnych przez szyfrowanie danych w usłudze Storage.
Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania kontrolą dostępu. Do przechowywania kluczy zarządzanych przez klienta należy użyć usługi Azure Key Vault lub Modułu zabezpieczeń sprzętu zarządzanego przez usługę Azure Key Vault (HSM).
Klucze RSA można zaimportować do Key Vault lub wygenerować nowe klucze RSA w usłudze Azure Key Vault. Dyski zarządzane platformy Azure obsługują szyfrowanie i odszyfrowywanie w sposób w pełni przezroczysty przy użyciu szyfrowania kopert. Szyfruje dane przy użyciu klucza szyfrowania danych opartego na protokole AES 256 (DEK), który jest z kolei chroniony przy użyciu kluczy. Usługa Storage generuje klucze szyfrowania danych i szyfruje je przy użyciu kluczy zarządzanych przez klienta przy użyciu szyfrowania RSA. Szyfrowanie koperty umożliwia okresowe obracanie (zmienianie) kluczy zgodnie z zasadami zgodności bez wpływu na maszyny wirtualne. Po rotacji kluczy usługa Storage ponownie szyfruje klucze szyfrowania danych przy użyciu nowych kluczy zarządzanych przez klienta.
Dyski zarządzane i Key Vault lub zarządzany moduł HSM muszą znajdować się w tym samym regionie świadczenia usługi Azure, ale mogą znajdować się w różnych subskrypcjach. Muszą one również znajdować się w tej samej dzierżawie usługi Azure Active Directory (Azure AD), chyba że szyfrujesz dyski zarządzane za pomocą kluczy zarządzanych przez klienta między dzierżawami.
Dokumentacja: Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami na platformie Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub wycofania klucza lub naruszenia zabezpieczeń. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywołyszane za pomocą identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wskazówkami dotyczącymi początkowego generowania kluczy i transferu kluczy.
Dokumentacja: Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Azure Policy można użyć do zdefiniowania żądanego zachowania dla maszyn wirtualnych z systemem Windows i maszyn wirtualnych z systemem Linux w organizacji. Korzystając z zasad, organizacja może wymuszać różne konwencje i reguły w całym przedsiębiorstwie oraz definiować i implementować standardowe konfiguracje zabezpieczeń dla usługi Azure Virtual Machine Scale Sets. Wymuszanie żądanego zachowania może pomóc w ograniczeniu ryzyka, jednocześnie przyczyniając się do sukcesu organizacji.
Dokumentacja: Wbudowane definicje Azure Policy dla Virtual Machine Scale Sets
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | Użyj nowej usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na platformie Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na Azure AD i obsługa tagów i grup zasobów w celu ułatwienia zabezpieczeń Zarządzania | Inspekcja, odmowa, wyłączone | 1.0.0 |
AM-5: Używanie tylko zatwierdzonych aplikacji na maszynie wirtualnej
Funkcje
Microsoft Defender dla chmury — adaptacyjne kontrolki aplikacji
Opis: Usługa może ograniczyć aplikacje klienta uruchamiane na maszynie wirtualnej przy użyciu funkcji adaptacyjnego sterowania aplikacjami w usłudze Microsoft Defender for Cloud. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender do funkcji adaptacyjnego sterowania aplikacjami w chmurze, aby odnaleźć aplikacje uruchomione na maszynach wirtualnych i wygenerować listę dozwolonych aplikacji, aby określić, które zatwierdzone aplikacje mogą działać w środowisku maszyny wirtualnej.
Dokumentacja: używanie adaptacyjnych kontrolek aplikacji w celu zmniejszenia powierzchni ataków maszyn
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach | Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i otrzymywać alerty po uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji działających na każdej maszynie i sugeruje listę znanych aplikacji bezpiecznych. | AuditIfNotExists, Disabled | 3.0.0 |
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla oferty usług/produktów
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: usługa Defender for Servers rozszerza ochronę maszyn z systemem Windows i Linux działających na platformie Azure. Usługa Defender for Servers integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender w celu zapewnienia wykrywania i reagowania na punkty końcowe (EDR), a także zapewnia wiele dodatkowych funkcji ochrony przed zagrożeniami, takich jak punkty odniesienia zabezpieczeń i oceny na poziomie systemu operacyjnego, skanowanie oceny luk w zabezpieczeniach, adaptacyjne mechanizmy kontroli aplikacji (AAC), monitorowanie integralności plików (FIM) i nie tylko.
Dokumentacja: Omówienie Microsoft Defender dla serwerów
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard należy włączyć na maszynach | Windows Defender Exploit Guard używa agenta konfiguracji gościa Azure Policy. Funkcja Exploit Guard ma cztery składniki przeznaczone do blokowania urządzeń przed wieloma różnymi wektorami ataków i zachowaniami blokowania często używanymi w atakach złośliwego oprogramowania, jednocześnie umożliwiając przedsiębiorstwom równoważenie wymagań dotyczących ryzyka bezpieczeństwa i produktywności (tylko system Windows). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: usługa Azure Monitor uruchamia automatyczne zbieranie danych metryk dla hosta maszyny wirtualnej podczas tworzenia maszyny wirtualnej. Aby zbierać dzienniki i dane wydajności z systemu operacyjnego gościa maszyny wirtualnej, należy jednak zainstalować agenta usługi Azure Monitor. Agenta można zainstalować i skonfigurować zbieranie przy użyciu szczegółowych informacji o maszynie wirtualnej lub tworząc regułę zbierania danych.
Dokumentacja: Omówienie agenta usługi Log Analytics
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists, Disabled | 1.0.2-preview |
Zarządzanie lukami w zabezpieczeniach i stanem
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.
PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Funkcje
Usługa State Configuration w usłudze Azure Automation
Opis: Azure Automation State Configuration można użyć do utrzymania konfiguracji zabezpieczeń systemu operacyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego. Azure Automation State Configuration to usługa zarządzania konfiguracją platformy Azure, która umożliwia pisanie, zarządzanie i kompilowanie konfiguracji programu PowerShell Desired State Configuration (DSC) dla węzłów.
Azure Automation State Configuration zapewnia kilka korzyści wynikających z używania rozszerzenia DSC poza platformą Azure. Ta usługa umożliwia szybkie i łatwe skalowanie tysięcy maszyn z centralnej, bezpiecznej lokalizacji. Maszyny można łatwo włączać, przypisywać ich konfiguracje deklaratywne i wyświetlać raporty pokazujące zgodność każdej maszyny z określonym żądanym stanem.
Dokumentacja: używanie Virtual Machine Scale Sets z rozszerzeniem DSC platformy Azure
agent konfiguracji gościa Azure Policy
Opis: Azure Policy agenta konfiguracji gościa można zainstalować lub wdrożyć jako rozszerzenie do zasobów obliczeniowych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender dla chmury i Azure Policy agenta konfiguracji gościa, aby regularnie oceniać i korygować odchylenia konfiguracji na maszynach wirtualnych.
Dokumentacja: Omówienie funkcji konfiguracji gościa Azure Policy
Niestandardowe obrazy maszyn wirtualnych
Opis: Usługa obsługuje używanie obrazów maszyn wirtualnych dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z platformy Handlowej z określonymi konfiguracjami odniesienia wstępnie zastosowanymi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Użyj wstępnie skonfigurowanego obrazu ze wzmocnionym zabezpieczeniami od zaufanego dostawcy, takiego jak firma Microsoft, lub skompiluj odpowiedni bezpieczny punkt odniesienia konfiguracji w szablonie obrazu maszyny wirtualnej
Dokumentacja: Tworzenie i używanie niestandardowego obrazu dla zestawów skalowania maszyn wirtualnych za pomocą Azure PowerShell
PV-4: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych
Funkcje
Zaufane uruchamianie maszyny wirtualnej
Opis: Trusted Launch chroni przed zaawansowanymi i trwałymi technikami ataków, łącząc technologie infrastruktury, takie jak bezpieczny rozruch, vTPM i monitorowanie integralności. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami. Zaufane uruchamianie umożliwia bezpieczne wdrażanie maszyn wirtualnych za pomocą zweryfikowanych modułów ładujących rozruchu, jądra systemu operacyjnego i sterowników oraz zabezpiecza klucze, certyfikaty i wpisy tajne na maszynach wirtualnych. Zaufane uruchamianie zapewnia również szczegółowe informacje i pewność integralności całego łańcucha rozruchu i zapewnia, że obciążenia są zaufane i weryfikowalne. Zaufane uruchamianie jest zintegrowane z Microsoft Defender dla chmury, aby upewnić się, że maszyny wirtualne są prawidłowo skonfigurowane, zdalnie zaświadczając, że maszyna wirtualna jest uruchamiana w dobrej kondycji. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwaga dotycząca funkcji: Zaufane uruchamianie jest dostępne dla maszyn wirtualnych generacji 2. Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych. Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.
Wskazówki dotyczące konfiguracji: zaufane uruchamianie może być włączone podczas wdrażania maszyny wirtualnej. Włącz wszystkie trzy — bezpieczny rozruch, vTPM i monitorowanie rozruchu integralności, aby zapewnić najlepszy stan zabezpieczeń maszyny wirtualnej. Należy pamiętać, że istnieje kilka wymagań wstępnych, w tym dołączanie subskrypcji do Microsoft Defender dla chmury, przypisywanie niektórych inicjatyw Azure Policy i konfigurowanie zasad zapory.
Dokumentacja: Wdrażanie maszyny wirtualnej z włączonym zaufanym uruchamianiem
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
Funkcje
Ocena luk w zabezpieczeniach przy użyciu Microsoft Defender
Opis: Usługa może być skanowana pod kątem skanowania luk w zabezpieczeniach przy użyciu Microsoft Defender dla chmury lub innych usług Microsoft Defender osadzonej możliwości oceny luk w zabezpieczeniach (w tym Microsoft Defender serwera, rejestru kontenerów, App Service, SQL i DNS). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: postępuj zgodnie z zaleceniami Microsoft Defender for Cloud w celu przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure.
Dokumentacja: Omówienie Microsoft Defender dla serwerów
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są uruchomione obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu ds. zagrożeń cybernetycznych i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa Azure Security Center obejmuje skanowanie luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
Funkcje
Azure Automation — Update Management
Opis: Usługa może automatycznie wdrażać poprawki i aktualizacje za pomocą usługi Azure Automation Update Management. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: firma Microsoft oferuje inne możliwości ułatwiające zarządzanie aktualizacjami maszyn wirtualnych platformy Azure lub zestawów skalowania maszyn wirtualnych platformy Azure, które należy wziąć pod uwagę w ramach ogólnej strategii zarządzania aktualizacjami.
Jeśli interesuje Cię automatyczne ocenianie i aktualizowanie maszyn wirtualnych platformy Azure w celu zachowania zgodności z zabezpieczeniami aktualizacji krytycznych i zabezpieczeń wydawanych co miesiąc, zapoznaj się z tematem Automatyczne stosowanie poprawek gościa maszyny wirtualnej. Jest to alternatywne rozwiązanie do zarządzania aktualizacjami dla maszyn wirtualnych platformy Azure w celu ich automatycznej aktualizacji poza godzinami szczytu, a w tym maszyn wirtualnych w zestawie dostępności, w porównaniu z zarządzaniem wdrożeniami aktualizacji na tych maszynach wirtualnych z usługi Update Management w usłudze Azure Automation.
Jeśli zarządzasz zestawami skalowania maszyn wirtualnych platformy Azure, zapoznaj się ze sposobem przeprowadzania automatycznych uaktualnień obrazów systemu operacyjnego w celu bezpiecznego i automatycznego uaktualniania dysku systemu operacyjnego dla wszystkich wystąpień w zestawie skalowania.
Aby uzyskać więcej informacji, odwiedź stronę: Automatyczne uaktualnienia obrazów systemu operacyjnego zestawu skalowania maszyn wirtualnych platformy Azure.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Usługa stosowania poprawek gościa platformy Azure
Opis: Usługa może automatycznie wdrażać poprawki i aktualizacje za pomocą poprawki gościa platformy Azure. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: usługi mogą korzystać z różnych mechanizmów aktualizacji, takich jak automatyczne uaktualnienia obrazów systemu operacyjnego i automatyczne stosowanie poprawek gościa. Zaleca się stosowanie najnowszych aktualizacji zabezpieczeń i krytycznych do systemu operacyjnego gościa maszyny wirtualnej, postępując zgodnie z zasadami bezpiecznego wdrażania.
Automatyczne stosowanie poprawek gościa umożliwia automatyczną ocenę i zaktualizowanie maszyn wirtualnych platformy Azure w celu zachowania zgodności z zabezpieczeniami aktualizacji krytycznych i zabezpieczeń wydanych co miesiąc. Aktualizacje są stosowane poza godzinami szczytu, w tym maszyny wirtualne w zestawie dostępności. Ta funkcja jest dostępna dla elastycznej orkiestracji zestawu skalowania maszyn wirtualnych z obsługą w przyszłości w harmonogramie działania dla ujednoliconej orkiestracji.
Jeśli uruchamiasz bezstanowe obciążenie, uaktualnienia obrazów systemu operacyjnego automatycznego są idealne do zastosowania najnowszej aktualizacji dla munduru usługi VMSS. Dzięki możliwości wycofywania te aktualizacje są zgodne z witryną Marketplace lub obrazami niestandardowymi. Przyszła obsługa uaktualnienia stopniowego w harmonogramie działania dla elastycznej orkiestracji.
Dokumentacja: Automatyczne stosowanie poprawek gościa maszyny wirtualnej dla maszyn wirtualnych platformy Azure
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | Na maszynach brakuje aktualizacji systemowych, zabezpieczeń i krytycznych. Aktualizacje oprogramowania często obejmują poprawki krytyczne do luk w zabezpieczeniach. Takie dziury są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. | AuditIfNotExists, Disabled | 1.0.0-preview |
Zabezpieczenia punktu końcowego
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia punktu końcowego.
ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)
Funkcje
Rozwiązanie EDR
Opis: Funkcja wykrywania i reagowania (EDR), taka jak usługa Azure Defender dla serwerów, można wdrożyć w punkcie końcowym. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: usługa Azure Defender dla serwerów (z Ochrona punktu końcowego w usłudze Microsoft Defender zintegrowanym) zapewnia możliwość EDR w celu zapobiegania zaawansowanym zagrożeniom, wykrywania, badania i reagowania na nie. Użyj Microsoft Defender for Cloud, aby wdrożyć usługę Azure Defender dla serwerów dla punktu końcowego i zintegrować alerty z rozwiązaniem SIEM, takim jak Azure Sentinel.
Dokumentacja: Licencja zintegrowana dla Ochrona punktu końcowego w usłudze Microsoft Defender
ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
Funkcje
Rozwiązanie chroniące przed złośliwym oprogramowaniem
Opis: Funkcja ochrony przed złośliwym oprogramowaniem, taka jak program antywirusowy Microsoft Defender, Ochrona punktu końcowego w usłudze Microsoft Defender można wdrożyć w punkcie końcowym. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w przypadku Windows Server 2016 i nowszych Microsoft Defender dla oprogramowania antywirusowego jest instalowana domyślnie. W przypadku Windows Server 2012 R2 i nowszych klienci mogą zainstalować protokół SCEP (System Center Endpoint Protection). W przypadku systemu Linux klienci mogą wybrać opcję instalowania Microsoft Defender dla systemu Linux. Alternatywnie klienci mogą również instalować produkty chroniące przed złośliwym oprogramowaniem innych firm.
Dokumentacja: Microsoft Antimalware dla usługi Azure Cloud Services i Virtual Machines
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center obsługiwane rozwiązania ochrony punktu końcowego są udokumentowane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
Funkcje
Monitorowanie kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem
Opis: Rozwiązanie chroniące przed złośliwym oprogramowaniem zapewnia monitorowanie stanu kondycji dla platformy, aparatu i automatycznych aktualizacji podpisów. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: skonfiguruj rozwiązanie chroniące przed złośliwym oprogramowaniem, aby zapewnić szybkie i spójne aktualizowanie platformy, aparatu i podpisów, a ich stan można monitorować.
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach | Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center obsługiwane rozwiązania ochrony punktu końcowego są udokumentowane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Tworzenie i przywracanie kopii zapasowych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnianie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: obsługiwane w przypadku usługi VMSS Flex, a nie dla ujednoliconych zestawów skalowania maszyn wirtualnych
Wskazówki dotyczące konfiguracji: włącz Azure Backup i docelową usługę Azure Virtual Machines (VM), a także żądaną częstotliwość i okresy przechowywania. Obejmuje to kompletną kopię zapasową stanu systemu. Jeśli używasz usługi Azure Disk Encryption, kopia zapasowa maszyny wirtualnej platformy Azure automatycznie obsługuje kopię zapasową kluczy zarządzanych przez klienta. W przypadku usługi Azure Virtual Machines można użyć Azure Policy do włączenia automatycznych kopii zapasowych.
Dokumentacja: Jak utworzyć migawkę wystąpienia zestawu skalowania maszyn wirtualnych i dysku zarządzanego
Microsoft Defender do monitorowania chmury
Azure Policy wbudowane definicje — Microsoft.Compute:
| Nazwa (Azure Portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Azure Backup należy włączyć dla Virtual Machines | Zapewnij ochronę Virtual Machines platformy Azure, włączając Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych na platformie Azure. | AuditIfNotExists, Disabled | 3.0.0 |