Linha de base de segurança do Azure para servidores habilitados para Azure Arc
Artigo
Essa linha de base de segurança aplica diretrizes do Microsoft Cloud Security Benchmark versão 1.0 aos servidores habilitados para Azure Arc. O Microsoft Cloud Security Benchmark fornece recomendações sobre como você pode proteger suas soluções de nuvem no Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo parâmetro de comparação de segurança de nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis aos servidores habilitados para Azure Arc.
Você pode monitorar essa linha de base de segurança e as recomendações usando o Microsoft Defender para Nuvem. Azure Policy definições serão listadas na seção Conformidade Regulatória da página do portal do Microsoft Defender for Cloud.
Quando um recurso tem definições de Azure Policy relevantes, eles são listados nesta linha de base para ajudá-lo a medir a conformidade com os controles e recomendações de parâmetros de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.
O perfil de segurança resume comportamentos de alto impacto de servidores habilitados para Azure Arc, o que pode resultar em considerações de segurança maiores.
Atributo de comportamento do serviço
Valor
Categoria do Produto
Híbrido/multinuvem, MGMT/Governança
O cliente pode acessar HOST/SO
Sem Acesso
O serviço pode ser implantado na rede virtual do cliente
Descrição: o serviço dá suporte à implantação na VNet (Rede Virtual privada) do cliente.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
Falso
Não Aplicável
Não Aplicável
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
NS-2: proteger serviços de nuvem com controles de rede
Recursos
Link Privado do Azure
Descrição: funcionalidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não deve ser confundida com NSG ou Firewall do Azure).
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
Falso
Cliente
Diretrizes de Configuração: implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado para estabelecer um ponto de acesso privado para os recursos.
Descrição: o serviço dá suporte à desabilitação do acesso à rede pública usando a regra de filtragem de ACL de IP no nível de serviço (não NSG ou Firewall do Azure) ou usando um comutador de alternância "Desabilitar Acesso à Rede Pública".
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
Falso
Cliente
Diretrizes de configuração: desabilite o acesso à rede pública usando a regra de filtragem de ACL de IP no nível do serviço ou um comutador de alternância para acesso à rede pública.
Métodos de autenticação local para acesso ao plano de dados
Descrição: métodos de autenticações locais com suporte para acesso ao plano de dados, como um nome de usuário local e senha.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
Falso
Cliente
Notas de recurso: a autenticação local só é usada ao se conectar ao servidor usando SSH ou Windows Admin Center. Evite o uso de métodos ou contas de autenticação local, eles devem ser desabilitados sempre que possível. Em vez disso, use Azure AD para autenticar sempre que possível.
Diretrizes de configuração: restrinja o uso de métodos de autenticação local para acesso ao plano de dados. EM vez disso, use o Azure AD (Azure Active Directory) como método de autenticação padrão para controlar o acesso ao plano de dados.
Descrição: o plano de dados dá suporte à autenticação usando entidades de serviço.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
Falso
Cliente
Diretrizes de configuração: não há diretrizes atuais da Microsoft para essa configuração de recurso. Examine e determine se sua organização deseja configurar esse recurso de segurança.
PA-1: separar e limitar usuários administrativos/altamente privilegiados
Recursos
Contas de Administração locais
Descrição: o serviço tem o conceito de uma conta administrativa local.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
Falso
Cliente
Notas de recurso: evite o uso de métodos ou contas de autenticação local, elas devem ser desabilitadas sempre que possível. Em vez disso, use Azure AD para autenticar sempre que possível.
Diretrizes de configuração: se não for necessário para operações administrativas de rotina, desabilite ou restrinja contas de administrador local apenas para uso de emergência.
PA-7: Siga apenas o princípio da administração Just Enough ( privilégios mínimos)
Recursos
RBAC do Azure para Plano de Dados
Descrição: o RBAC do Azure (Azure Role-Based Controle de Acesso) pode ser usado para acesso gerenciado às ações do plano de dados do serviço.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
True
Microsoft
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
DP-1: Descobrir, classificar e rotular dados confidenciais
Recursos
Descoberta e classificação de dados confidenciais
Descrição: ferramentas (como o Azure Purview ou o Azure Proteção de Informações) podem ser usadas para descoberta e classificação de dados no serviço.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
Falso
Não Aplicável
Não Aplicável
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
DP-3: criptografar dados confidenciais ativos
Recursos
Criptografia de dados em trânsito
Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
True
Microsoft
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
Para proteger a privacidade das informações comunicadas pela Internet, seus computadores devem usar a versão mais recente do protocolo criptográfico padrão do setor, TLS (Transport Layer Security). O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores.
DP-4: habilitar a criptografia de dados inativos por padrão
Recursos
Criptografia de dados em repouso usando chaves de plataforma
Descrição: há suporte para a criptografia de dados em repouso usando chaves de plataforma, qualquer conteúdo do cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
True
Microsoft
Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.
Descrição: as configurações de serviço podem ser monitoradas e impostas por meio de Azure Policy.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
Falso
Cliente
Diretrizes de configuração: use Microsoft Defender para Nuvem para configurar Azure Policy para auditar e impor configurações de seus recursos do Azure. Use o Azure Monitor para criar alertas quando houver um desvio da configuração detectado nos recursos. Use Azure Policy efeitos [negar] e [implantar se não existir] para impor a configuração segura entre os recursos do Azure.
LT-1: habilitar funcionalidades de detecção de ameaças
Recursos
Microsoft Defender para oferta de serviço/produto
Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorar e alertar sobre problemas de segurança.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
True
Falso
Cliente
Diretrizes de configuração: use o Azure Active Directory (Azure AD) como o método de autenticação padrão para controlar o acesso ao plano de gerenciamento. Quando você receber um alerta de Microsoft Defender para Key Vault, investigue e responda ao alerta.
O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows).
LT-4: habilitar o registro em log para investigação de segurança
Recursos
Azure Resource Logs
Descrição: o serviço produz logs de recursos que podem fornecer métricas e logs avançados específicos do serviço. O cliente pode configurar esses logs de recursos e enviá-los para seu próprio coletor de dados, como uma conta de armazenamento ou um workspace do Log Analytics.
Saiba mais.
Com suporte
Habilitado por padrão
Responsabilidade de configuração
Falso
Não Aplicável
Não Aplicável
Diretrizes de configuração: não há suporte para esse recurso para proteger esse serviço.
Entenda as funcionalidades de segurança dos servidores habilitados para Azure Arc. Saiba mais sobre os benefícios e como integrar os servidores habilitados para o Azure Arc ao Microsoft Defender para Nuvem, ao Microsoft Defender para Servidores e ao Microsoft Sentinel.
Demonstre as habilidades necessárias para implementar controles de segurança, manter a postura de segurança de uma organização e identificar e corrigir vulnerabilidades de segurança.