Linha de base de segurança do Azure para o Serviço Machine Learning
Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Serviço Machine Learning. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Serviço Machine Learning.
Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.
Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.
Nota
As funcionalidades não aplicáveis ao Serviço machine Learning foram excluídas. Para ver como o Serviço machine Learning mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança do Serviço Machine Learning.
Perfil de segurança
O perfil de segurança resume os comportamentos de alto impacto do Machine Learning Service, o que pode resultar em considerações de segurança acrescidas.
| Atributo comportamento do serviço | Valor |
|---|---|
| Product Category (Categoria de Produto) | IA+ML |
| O cliente pode aceder ao HOST/SO | Acesso Total |
| O serviço pode ser implementado na rede virtual do cliente | Verdadeiro |
| Armazena o conteúdo do cliente inativo | Falso |
Segurança da rede
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.
NS-1: Estabelecer limites de segmentação de rede
Funcionalidades
Integração da Rede Virtual
Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Partilhado |
Orientação de Configuração: utilize isolamento de rede gerida para proporcionar uma experiência de isolamento de rede automatizada.
Nota: também pode utilizar a sua rede virtual para recursos do Azure Machine Learning, mas não são suportados vários tipos de computação.
Referência: Proteger recursos da área de trabalho do Azure Machine Learning com redes virtuais (VNets)
Suporte do Grupo de Segurança de Rede
Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Partilhado |
Orientação de Configuração: utilize isolamento de rede gerida para proporcionar uma experiência de isolamento de rede automatizada que inclui configurações de entrada e saída com o NSG.
Nota: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.
Referência: Planear o isolamento de rede
NS-2: Proteger serviços cloud com controlos de rede
Funcionalidades
Azure Private Link
Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: implemente pontos finais privados para todos os recursos do Azure que suportam a funcionalidade Private Link, para estabelecer um ponto de acesso privado para os recursos.
Referência: Configurar um ponto final privado para uma área de trabalho do Azure Machine Learning
Desativar o Acesso à Rede Pública
Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: desative o acesso à rede pública utilizando a regra de filtragem da ACL ip ao nível do serviço ou um comutador de agregação para acesso à rede pública.
Referência: Configurar um ponto final privado para uma área de trabalho do Azure Machine Learning
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.MachineLearningServices:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As Computação do Azure Machine Learning devem estar numa rede virtual | As Redes Virtuais do Azure proporcionam segurança e isolamento melhorados para os Clusters e Instâncias de Computação do Azure Machine Learning, bem como sub-redes, políticas de controlo de acesso e outras funcionalidades para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, não é endereçável publicamente e só pode ser acedida a partir de máquinas virtuais e aplicações dentro da rede virtual. | Auditoria, Desativado | 1.0.1 |
Gestão de identidades
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.
IM-1: utilizar o sistema de autenticação e identidade centralizado
Funcionalidades
Autenticação Azure AD Necessária para o Acesso ao Plano de Dados
Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Configurar a autenticação para recursos e fluxos de trabalho do Azure Machine Learning
Métodos de Autenticação Local para Acesso ao Plano de Dados
Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
IM-3: Gerir identidades de aplicações de forma segura e automática
Funcionalidades
Identidades Geridas
Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.
Referência: Configurar a autenticação entre o Azure Machine Learning e outros serviços
Principais de Serviço
Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.
Referência: Configurar a autenticação entre o Azure Machine Learning e outros serviços
IM-7: Restringir o acesso a recursos com base nas condições
Funcionalidades
Acesso Condicional para Plano de Dados
Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: defina as condições e critérios aplicáveis para o acesso condicional do Azure Active Directory (Azure AD) na carga de trabalho. Considere casos de utilização comuns, como bloquear ou conceder acesso a partir de localizações específicas, bloquear o comportamento de início de sessão de risco ou exigir dispositivos geridos pela organização para aplicações específicas.
Referência: Utilizar o Acesso Condicional
IM-8: Restringir a exposição de credenciais e segredos
Funcionalidades
Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault
Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.
Referência: Utilizar segredos de credenciais de autenticação em tarefas do Azure Machine Learning
Acesso privilegiado
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.
PA-1: separar e limitar utilizadores altamente privilegiados/administrativos
Funcionalidades
Contas de Administração Local
Descrição: o serviço tem o conceito de uma conta administrativa local. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PA-7: Siga o princípio da administração (mínimo privilégio) suficiente
Funcionalidades
RBAC do Azure para Plano de Dados
Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.
| Suportado | Ativado Por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para gerir o acesso a recursos do Azure através de atribuições de funções incorporadas. As funções RBAC do Azure podem ser atribuídas a utilizadores, grupos, principais de serviço e identidades geridas.
Referência: Gerir o acesso a uma área de trabalho do Azure Machine Learning
PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud
Funcionalidades
Sistema de Proteção de Dados do Cliente
Descrição: o Sistema de Proteção de Dados do Cliente pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Proteção de dados
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.
DP-1: Detetar, classificar e etiquetar dados confidenciais
Funcionalidades
Deteção e Classificação de Dados Confidenciais
Descrição: as ferramentas (como o Azure Purview ou o Azure Information Protection) podem ser utilizadas para a deteção e classificação de dados no serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize ferramentas como o Azure Purview, o Azure Information Protection e SQL do Azure a Deteção e Classificação de Dados para analisar, classificar e etiquetar centralmente quaisquer dados confidenciais que residem no Azure, no local, no Microsoft 365 ou noutras localizações.
Referência: Ligar e gerir o Azure Machine Learning no Microsoft Purview
DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais
Funcionalidades
Fuga de Dados/Prevenção de Perda
Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: se necessário para a conformidade da prevenção de perda de dados (DLP), pode utilizar uma configuração de proteção contra transferência de dados não autorizada. O isolamento de rede gerida também suporta a proteção contra transferência de dados não autorizada.
Referência: Prevenção de transferência de dados do Azure Machine Learning
DP-3: Encriptar dados confidenciais em trânsito
Funcionalidades
Dados na Encriptação de Trânsito
Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Notas de funcionalidades: o Azure Machine Learning utiliza o TLS para proteger a comunicação interna entre vários microsserviços do Azure Machine Learning. Todo o acesso ao Armazenamento do Azure também ocorre através de um canal seguro.
Para obter informações sobre como proteger um ponto final online do Kubernetes criado através do Azure Machine Learning, visite: Configurar um ponto final online seguro com o TLS/SSL
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptação em trânsito
DP-4: Ativar a encriptação de dados inativos por predefinição
Funcionalidades
Encriptação de Dados Inativos Utilizando Chaves de Plataforma
Descrição: a encriptação inativa de dados através de chaves de plataforma é suportada, qualquer conteúdo de cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Verdadeiro | Microsoft |
Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.
Referência: Encriptação de dados com o Azure Machine Learning
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário
Funcionalidades
Encriptação de Dados Inativos com CMK
Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente a encriptação de dados inativos com a chave gerida pelo cliente para esses serviços.
Referência: Chaves geridas pelo cliente para o Azure Machine Learning
Microsoft Defender para monitorização da cloud
Azure Policy definições incorporadas – Microsoft.MachineLearningServices:
| Name (portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As áreas de trabalho do Azure Machine Learning devem ser encriptadas com uma chave gerida pelo cliente | Gerir a encriptação no resto dos dados da área de trabalho do Azure Machine Learning com chaves geridas pelo cliente. Por predefinição, os dados do cliente são encriptados com chaves geridas pelo serviço, mas as chaves geridas pelo cliente são normalmente necessárias para cumprir as normas de conformidade regulamentar. As chaves geridas pelo cliente permitem que os dados sejam encriptados com uma chave de Key Vault do Azure criada e propriedade sua. Tem controlo total e responsabilidade pelo ciclo de vida das chaves, incluindo a rotação e a gestão. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Auditoria, Negar, Desativado | 1.0.3 |
DP-6: Utilizar um processo de gestão de chaves segura
Funcionalidades
Gestão de Chaves no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação (KEK) no cofre de chaves. Confirme que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.
Referência: Chaves geridas pelo cliente para o Azure Machine Learning
DP-7: Utilizar um processo de gestão de certificados seguro
Funcionalidades
Gestão de Certificados no Azure Key Vault
Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Gestão de ativos
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de ativos.
AM-2: Utilizar apenas serviços aprovados
Funcionalidades
Suporte do Azure Policy
Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize o Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura nos recursos do Azure.
Referência: Azure Policy definições de política incorporadas para o Azure Machine Learning
AM-5: Utilizar apenas aplicações aprovadas na máquina virtual
Funcionalidades
Microsoft Defender para a Cloud – Controlos de Aplicação Adaptáveis
Descrição: o serviço pode limitar o que as aplicações de cliente executam na máquina virtual através de Controlos de Aplicação Adaptáveis no Microsoft Defender para a Cloud. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Deteção de registo e de ameaça
Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.
LT-1: Ativar as capacidades de deteção de ameaças
Funcionalidades
Microsoft Defender para Oferta de Serviço/Produto
Descrição: o serviço tem uma solução de Microsoft Defender específica de oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: se estiver a utilizar os seus próprios contentores ou clusters personalizados para o Azure Machine Learning, deve ativar a análise do recurso de Azure Container Registry e Azure Kubernetes Service recursos através do Microsoft Defender para a Cloud. No entanto, Microsoft Defender para a Cloud não podem ser utilizados em instâncias de computação geridas do Azure Machine Learning ou em clusters de computação.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
LT-4: Ativar o registo para investigação de segurança
Funcionalidades
Registos de Recursos do Azure
Descrição: o serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo a partir de um cofre de chaves ou e SQL do Azure tem registos de recursos que controlam os pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o tipo de serviço e recurso do Azure.
Referência: Monitorizar o Azure Machine Learning
Gestão de postura e de vulnerabilidade
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Postura e gestão de vulnerabilidades.
PV-3: Definir e estabelecer configurações seguras para recursos de computação
Funcionalidades
State Configuration da Automatização do Azure
Descrição: Automatização do Azure State Configuration podem ser utilizadas para manter a configuração de segurança do sistema operativo. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Agente de Configuração de Convidado do Azure Policy
Descrição: Azure Policy agente de configuração de convidado pode ser instalado ou implementado como uma extensão para recursos de computação. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize Microsoft Defender para a Cloud e Azure Policy agente de configuração convidado para avaliar e remediar regularmente desvios de configuração nos recursos de computação do Azure, incluindo VMs, contentores e outros.
Imagens de VM Personalizadas
Descrição: o serviço suporta a utilização de imagens de VM fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Imagens de Contentores Personalizados
Descrição: o serviço suporta a utilização de imagens de contentor fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: utilize uma imagem protegida pré-configurada de um fornecedor fidedigno, como a Microsoft, ou crie a linha de base de configuração segura pretendida no modelo de imagem de contentor
Referência: Preparar um modelo com uma imagem personalizada do Docker
PV-5: Realizar avaliações de vulnerabilidades
Funcionalidades
Avaliação de Vulnerabilidades com Microsoft Defender
Descrição: o serviço pode ser analisado para análise de vulnerabilidades com Microsoft Defender para a Cloud ou outra capacidade de avaliação de vulnerabilidade incorporada de serviços Microsoft Defender (incluindo Microsoft Defender para servidor, registo de contentor Serviço de Aplicações, SQL e DNS). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: a instalação do agente do Defender para Server não é atualmente suportada. No entanto, o Trivy pode ser instalado nas instâncias de computação para detetar vulnerabilidades ao nível do so e do pacote Python.
Para obter mais informações, veja: Gestão de vulnerabilidades do Azure Machine Learning
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
PV-6: remediar vulnerabilidades de forma rápida e automática
Funcionalidades
Gestão de Atualizações da Automatização do Azure
Descrição: o serviço pode utilizar Automatização do Azure Gestão de Atualizações para implementar correções e atualizações automaticamente. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Notas de funcionalidades: os clusters de computação atualizam automaticamente para a imagem de VM mais recente. Se o cluster estiver configurado com nós min = 0, atualiza automaticamente os nós para a versão mais recente da imagem da VM quando todas as tarefas estiverem concluídas e o cluster reduzir a zero nós.
As instâncias de computação obtêm as imagens de VMs mais recentes no momento do aprovisionamento. A Microsoft lança novas imagens de VM mensalmente. Uma vez implementada uma instância de computação, não é atualizada ativamente. Para se manter atualizado com as atualizações de software e patches de segurança mais recentes, pode:
Recriar uma instância de computação para obter a imagem mais recente do SO (recomendado)
Em alternativa, atualize regularmente os pacotes do SO e do Python.
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Endpoint security (Segurança de pontos finais)
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de pontos finais.
ES-1: Utilizar a Deteção e Resposta de Pontos Finais (EDR)
Funcionalidades
Solução EDR
Descrição: a funcionalidade de Deteção e Resposta de Pontos Finais (EDR), como o Azure Defender para servidores, pode ser implementada no ponto final. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
ES-2: Utilizar software antimalware moderno
Funcionalidades
Solução Antimalware
Descrição: a funcionalidade antimalware, como o Antivírus Microsoft Defender, Microsoft Defender para Endpoint pode ser implementada no ponto final. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: o ClamAV pode ser utilizado para detetar software maligno e vem pré-instalado na instância de computação.
Referência: Gestão de vulnerabilidades em anfitriões de computação
ES-3: Garantir que o software antimalware e as assinaturas são atualizados
Funcionalidades
Monitorização do Estado de Funcionamento da Solução Antimalware
Descrição: a solução antimalware fornece monitorização do estado de funcionamento para atualizações automáticas de plataformas, motores e assinaturas. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Verdadeiro | Falso | Cliente |
Orientação de Configuração: o ClamAV pode ser utilizado para detetar software maligno e vem pré-instalado na instância de computação.
Cópia de segurança e recuperação
Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.
BR-1: Garantir cópias de segurança automatizadas regulares
Funcionalidades
Azure Backup
Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Capacidade de Cópia de Segurança Nativa do Serviço
Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.
| Suportado | Ativado por Predefinição | Responsabilidade de Configuração |
|---|---|---|
| Falso | Não Aplicável | Não Aplicável |
Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.
Passos seguintes
- Veja a Descrição geral da referência de segurança na cloud da Microsoft
- Saiba mais sobre as linhas de base de segurança do Azure