Рекомендации по обеспечению безопасности

Статья
04/01/2024

В этой статье перечислены все рекомендации по безопасности, которые могут отображаться в Microsoft Defender для облака. Рекомендации, которые отображаются в вашей среде, основаны на ресурсах, которые вы защищаете, и на настраиваемой конфигурации.

Рекомендации в Defender для облака основаны на тесте безопасности в облаке Майкрософт. Microsoft Cloud Security benchmark — это набор рекомендаций по обеспечению безопасности и соответствия требованиям, созданных корпорацией Майкрософт. Это широко уважаемое эталонное тестирование основывается на элементах управления из Центра интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с акцентом на облачную безопасность.

Дополнительные сведения о действиях, которые можно предпринять в ответ на эти рекомендации, см. в разделе "Исправление рекомендаций" в Defender для облака.

Оценка безопасности зависит от количества завершенных рекомендаций по безопасности. Чтобы решить, какие рекомендации необходимо сначала устранить, ознакомьтесь с серьезностью каждой рекомендации и ее потенциальным воздействием на оценку безопасности.

Совет

Если описание рекомендации говорит , что связанная политика отсутствует, обычно это связано с тем, что эта рекомендация зависит от другой рекомендации и ее политики.

Например, следует исправить ошибки работоспособности endpoint protection, которые проверка, если решение защиты конечных точек установлено даже (решение Endpoint Protection должно быть установлено). Базовая рекомендация имеет политику. Создание политик только для базовых рекомендаций упрощает управление политиками.

Рекомендации по вычислениям

На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений

Описание. Включение элементов управления приложениями для определения списка известных безопасных приложений, работающих на компьютерах, и оповещение о выполнении других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Defender для облака использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. (Связанная политика: Адаптивные элементы управления приложениями для определения безопасных приложений должны быть включены на компьютерах).

Серьезность: высокий уровень

Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями

Описание. Мониторинг изменений в поведении на группах компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Defender для облака. Defender для облака с помощью машинного обучения анализирует запущенные на компьютерах процессы и предлагает список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. (Связанная политика: Правила списка разрешений в адаптивной политике управления приложениями должны быть обновлены).

Серьезность: высокий уровень

При аутентификации на компьютерах Linux должны использоваться ключи SSH

Описание. Хотя SSH сам предоставляет зашифрованное подключение, использование паролей с SSH по-прежнему оставляет виртуальную машину уязвимой для атак подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. в разделе Подробные инструкции: создание ключей SSH для аутентификации на виртуальной машине Linux в Azure и управление этими ключами. (Связанная политика: Аудит компьютеров Linux, которые не используют ключ SSH для проверки подлинности).

Серьезность: средний

Необходимо включить шифрование для переменных учетной записи службы автоматизации

Описание. Важно включить шифрование ресурсов переменной учетной записи службы автоматизации при хранении конфиденциальных данных. (Связанная политика: Переменные учетной записи службы автоматизации должны быть зашифрованы).

Серьезность: высокий уровень

Azure Backup должен быть включен для виртуальных машин

Описание. Защита данных на виртуальных машинах Azure с помощью Azure Backup. Служба Azure Backup — это собственное экономичное решение для защиты данных в Azure. Она создает точки восстановления, которые хранятся в геоизбыточных хранилищах восстановления. Используя точку восстановления, можно восстановить всю виртуальную машину или определенные файлы. (Связанная политика: Azure Backup следует включить для Виртуальные машины).

Серьезность: низкая

Узлы контейнера должны быть настроены в безопасном режиме

Описание. Исправление уязвимостей в конфигурации безопасности на компьютерах с установленным Docker для защиты от атак. (Связанная политика: Уязвимости в конфигурациях безопасности контейнера должны быть устранены).

Серьезность: высокий уровень

В Azure Stream Analytics должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Azure Stream Analytics должны быть включены).

Серьезность: низкая

В учетных записях пакетной службы должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в учетных записях пакетной службы должны быть включены).

Серьезность: низкая

Журналы диагностики в Центрах событий должны быть включены

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Центрах событий должны быть включены).

Серьезность: низкая

Необходимо включить журналы диагностики в Logic Apps

Описание. Чтобы обеспечить повторное создание следов действий для расследования при возникновении инцидента безопасности или компрометации сети, включите ведение журнала. Если журналы диагностики не отправляются в рабочую область Log Analytics, служба хранилища Azure учетную запись или Центры событий Azure, убедитесь, что вы настроили параметры диагностики для отправки метрик платформы и журналов платформы в соответствующие назначения. Дополнительные сведения см. в статье "Создание параметров диагностики для отправки журналов платформы и метрик в различные назначения". (Связанная политика: Журналы диагностики в Logic Apps должны быть включены.

Серьезность: низкая

Необходимо включить журналы диагностики в службах поиска

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в служба должны быть включены).

Серьезность: низкая

В служебной шине должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в служебная шина должны быть включены).

Серьезность: низкая

В масштабируемых наборах виртуальных машин должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Масштабируемые наборы виртуальных машин должны быть включены).

Серьезность: высокий уровень

Проблемы с конфигурацией EDR должны быть устранены на виртуальных машинах

Описание. Чтобы защитить виртуальные машины от последних угроз и уязвимостей, устраните все выявленные проблемы конфигурации с установленным решением обнаружения и реагирования конечных точек (EDR).
Примечание. В настоящее время эта рекомендация применяется только к ресурсам с включенным Microsoft Defender для конечной точки (MDE).

Серьезность: низкая

Решение EDR должно быть установлено на Виртуальные машины

Описание. Установка решения обнаружения конечных точек и реагирования (EDR) на виртуальных машинах важна для защиты от расширенных угроз. EDRs помогает предотвратить, обнаруживать, исследовать и реагировать на эти угрозы. Microsoft Defender для серверов можно использовать для развертывания Microsoft Defender для конечной точки. Если ресурс классифицируется как "Неработоспособное", он указывает на отсутствие поддерживаемого решения EDR. Если решение EDR установлено, но недоступно для обнаружения с помощью этой рекомендации, его можно исключить. Без решения EDR виртуальные машины подвергаются риску расширенных угроз.

Серьезность: высокий уровень

Необходимо устранить проблемы работоспособности Endpoint Protection в масштабируемых наборах виртуальных машин.

Описание. Исправление сбоев работоспособности защиты конечных точек на масштабируемых наборах виртуальных машин, чтобы защитить их от угроз и уязвимостей. (Связанная политика: Решение для защиты конечных точек должно быть установлено на масштабируемых наборах виртуальных машин.

Серьезность: низкая

Необходимо установить защиту конечных точек в масштабируемых наборах виртуальных машин

Описание. Установите решение защиты конечных точек на масштабируемых наборах виртуальных машин, чтобы защитить их от угроз и уязвимостей. (Связанная политика: Решение для защиты конечных точек должно быть установлено на масштабируемых наборах виртуальных машин.

Серьезность: высокий уровень

Мониторинг целостности файлов должен быть включен на компьютерах

Описание: Defender для облака определил компьютеры, которые отсутствуют в решении для мониторинга целостности файлов. Чтобы отслеживать изменения в критически важных файлах, разделы реестра и многое другое на серверах, включите мониторинг целостности файлов. Если решение для мониторинга целостности файлов включено, создайте правила сбора данных для определения отслеживаемых файлов. Чтобы определить правила или просмотреть файлы, измененные на компьютерах с существующими правилами, перейдите на страницу управления целостностью файлов. (Связанная политика отсутствует)

Серьезность: высокий уровень

На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей

Описание. Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы позволить Microsoft Defender для облака заранее тестировать и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется только к доверенным масштабируемым наборам виртуальных машин Linux с включенным запуском.

Важно. Для доверенного запуска требуется создание новых виртуальных машин. Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него. Дополнительные сведения см. в разделе Доверенный запуск виртуальных машин Azure. (Связанная политика отсутствует)

Серьезность: низкая

На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей

Описание. Установите расширение аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы позволить Microsoft Defender для облака заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется только к доверенным виртуальным машинам Linux с включенным запуском.

Серьезность: низкая

На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей

Описание. Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы позволить Microsoft Defender для облака заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется только к доверенным масштабируемым наборам виртуальных машин с включенным запуском.

Серьезность: низкая

На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей

Описание. Установите расширение аттестации гостей на поддерживаемых виртуальных машинах, чтобы позволить Microsoft Defender для облака заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском.

Серьезность: низкая

На компьютерах должно быть установлено расширение "Гостевая конфигурация"

Описание. Чтобы обеспечить безопасные конфигурации гостевых параметров компьютера, установите расширение гостевой конфигурации. К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки политики в гостевом режиме будут доступны, например Windows Exploit Guard, должны быть включены. (Связанная политика: Виртуальные машины должны иметь расширение гостевой конфигурации.

Серьезность: средний

Установите решение для защиты конечных точек на виртуальных машинах

Описание. Установите решение защиты конечных точек на виртуальных машинах, чтобы защитить их от угроз и уязвимостей. (Связанная политика: Отслеживайте отсутствие Endpoint Protection в Центр безопасности Azure).

Серьезность: высокий уровень

Виртуальные машины Linux должны применять проверку подписи модуля ядра

Описание. Чтобы устранить проблемы с выполнением вредоносного или несанкционированного кода в режиме ядра, примените проверку подписи модуля ядра на поддерживаемых виртуальных машинах Linux. Проверка подписи модуля ядра гарантирует, что будет разрешаться выполнение только доверенных модулей ядра. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. (Связанная политика отсутствует)

Серьезность: низкая

Виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки

Описание. При включенной безопасной загрузке все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака обнаружил ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите идентифицированные компоненты. (Связанная политика отсутствует)

Серьезность: низкая

Виртуальные машины Linux должны использовать безопасную загрузку.

Описание. Чтобы защититься от установки вредоносных программ rootkits и загрузочных комплектов, включите безопасную загрузку на поддерживаемых виртуальных машинах Linux. Безопасная загрузка гарантирует, что будет разрешаться запуск только подписанных операционных систем и драйверов. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. (Связанная политика отсутствует)

Серьезность: низкая

На компьютерах Azure Arc с Linux должен быть установлен агент Log Analytics

Описание. Defender для облака использует агент Log Analytics (также известный как OMS) для сбора событий безопасности с компьютеров Azure Arc. Чтобы развернуть агент на всех компьютерах Azure Arc, выполните действия по исправлению. (Связанная политика отсутствует)

Серьезность: высокий уровень

В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics

Описание. Defender для облака собирает данные из виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область для анализа. Также эту процедуру нужно выполнить, если виртуальные машины использует управляемая служба Azure, например Служба Azure Kubernetes или Azure Service Fabric. Невозможно настроить автоматическую подготовку агента для масштабируемых наборов виртуальных машин Azure. Чтобы развернуть агент в масштабируемых наборах виртуальных машин (включая те, которые используются в управляемых службах Azure, таких как Служба Azure Kubernetes и Azure Service Fabric), выполните процедуру, описанную в инструкциях по исправлению. (Связанная политика: Агент Log Analytics должен быть установлен на масштабируемых наборах виртуальных машин для Центр безопасности Azure мониторинга).

Серьезность: высокий уровень

На виртуальных машинах должен быть установлен агент Log Analytics

Описание. Defender для облака собирает данные из виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Этот агент также является обязательным, если виртуальные машины используются управляемой службой Azure, например Службой Azure Kubernetes или Azure Service Fabric. Мы рекомендуем настроить автоматическую подготовку для автоматического развертывания этого агента. Если вы решили не использовать автоматическую подготовку, вручную разверните агент на виртуальных машинах, следуя инструкциям в разделе действий по исправлению. (Связанная политика: Агент Log Analytics должен быть установлен на виртуальной машине для Центр безопасности Azure мониторинга).

Серьезность: высокий уровень

На компьютерах Azure Arc с Windows должен быть установлен агент Log Analytics

Описание: Defender для облака использует агент Log Analytics (также известный как MMA) для сбора событий безопасности с компьютеров Azure Arc. Чтобы развернуть агент на всех компьютерах Azure Arc, выполните действия по исправлению. (Связанная политика отсутствует)

Серьезность: высокий уровень

Компьютеры должны быть настроены в безопасном режиме

Описание. Исправление уязвимостей в конфигурации безопасности на компьютерах для защиты от атак. (Связанная политика: Уязвимости в конфигурации безопасности на компьютерах должны быть исправлены).

Серьезность: низкая

Компьютеры должны быть перезапущены для применения обновлений конфигурации безопасности

Описание. Чтобы применить обновления конфигурации безопасности и защититься от уязвимостей, перезапустите компьютеры. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. (Связанная политика отсутствует)

Серьезность: низкая

На компьютерах должно быть доступно решение для оценки уязвимостей.

Описание: Defender для облака регулярно проверка подключенные компьютеры, чтобы обеспечить выполнение средств оценки уязвимостей. Используйте эту рекомендацию для развертывания решения для оценки уязвимостей. (Связанная политика: Решение для оценки уязвимостей должно быть включено на виртуальных машинах.

Серьезность: средний

Уязвимости, обнаруженные на компьютерах, должны быть устранены

Описание. Устранение результатов решений оценки уязвимостей на виртуальных машинах. (Связанная политика: Решение для оценки уязвимостей должно быть включено на виртуальных машинах.

Серьезность: низкая

Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети

Описание: Defender для облака определили некоторые чрезмерно недопустимые правила входящего трафика для портов управления в группе безопасности сети. Включите JIT-управление доступом к сети, чтобы защитить ваши VM от интернет-атак методом подбора. Дополнительную информацию см. в разделе Основные сведения о JIT-доступе к виртуальной машине. (Связанная политика: Порты управления виртуальными машинами должны быть защищены с помощью JIT-управления доступом к сети).

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для серверов.

Описание. Microsoft Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. Эти сведения можно использовать для быстрого устранения проблем безопасности и повышения безопасности серверов.

Важно. Исправление этой рекомендации приведет к сбору за защиту серверов. Если в этой подписке нет серверов, плата не будет взиматься. Если в будущем вы создадите в этой подписке сервера, они будут автоматически защищены, и с этого момента начнет начисляться плата. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов. (Связанная политика: Azure Defender для серверов следует включить).

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для серверов в рабочей области

Описание: Microsoft Defender для серверов обеспечивает обнаружение угроз и расширенную защиту для компьютеров Windows и Linux. Если этот план Defender включен для ваших подписок, но не включен для ваших рабочих областей, вы оплачиваете все возможности Microsoft Defender для серверов, но не можете воспользоваться некоторыми преимуществами. После включения Microsoft Defender для серверов в рабочей области для всех компьютеров, отправляющих отчеты в эти рабочие области, будет взиматься плата за использование Microsoft Defender для серверов, даже если они находятся в подписках без включенных планов Defender. Если при этом вы не включите Microsoft Defender для серверов в подписке, на этих компьютерах нельзя будет воспользоваться преимуществами JIT-доступа к виртуальным машинам, адаптивными элементами управления приложениями и обнаружением сети для ресурсов Azure. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для серверов. (Связанная политика отсутствует)

Серьезность: средний

На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка

Описание. Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows для устранения вредоносных и несанкционированных изменений в цепочке загрузки. После включения разрешено запускать только доверенные загрузчики, ядра и драйверы ядра. Эта оценка применяется только к доверенным виртуальным машинам Windows с включенным запуском.

Серьезность: низкая

Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign

Описание. Service Fabric предоставляет три уровня защиты (None, Sign и EncryptAndSign) для обмена данными между узлами с помощью первичного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений, передаваемых между узлами. (Связанная политика: Кластеры Service Fabric должны иметь свойство ClusterProtectionLevel для EncryptAndSign.

Серьезность: высокий уровень

Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента

Описание. Выполнение проверки подлинности клиента только через Azure Active Directory в Service Fabric (связанная политика: кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента).

Серьезность: высокий уровень

В масштабируемых наборах виртуальных машин должны быть установлены обновления системы

Описание. Установка отсутствующих системных и критически важных обновлений для защиты масштабируемых наборов виртуальных машин Windows и Linux. (Связанная политика: Необходимо установить обновления системы для масштабируемых наборов виртуальных машин.

Серьезность: высокий уровень

На компьютерах должны быть установлены обновления системы

Описание. Установка отсутствующих системных обновлений и критически важных обновлений для защиты виртуальных машин и компьютеров Windows и Linux (связанная политика: на компьютерах должны быть установлены обновления системы).

Серьезность: высокий уровень

На компьютерах должны быть установлены обновления системы (на базе Центра обновления)

Описание. Компьютеры отсутствуют в системе, безопасности и критически важных обновлениях. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. (Связанная политика отсутствует)

Серьезность: высокий уровень

Масштабируемые наборы виртуальных машин должны быть настроены в безопасном режиме

Описание. Устранение уязвимостей в конфигурации безопасности в масштабируемых наборах виртуальных машин для защиты от атак. (Связанная политика: Уязвимости в конфигурации безопасности в масштабируемых наборах виртуальных машин должны быть устранены).

Серьезность: высокий уровень

Аттестация гостей виртуальных машин должна находиться в работоспособном состоянии.

Описание. Аттестация гостей выполняется путем отправки доверенного журнала (TCGLog) на сервер аттестации. Сервер использует эти журналы для определения надежности компонентов загрузки. Эта оценка предназначена для обнаружения компрометации цепочки загрузки, которая может быть результатом инфекции bootkit или rootkit. Эта оценка применяется только к надежным виртуальным машинам с включенным запуском, на которых установлено расширение аттестации гостя. (Связанная политика отсутствует)

Серьезность: средний

Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой

Описание. Для расширения гостевой конфигурации требуется управляемое удостоверение, назначенное системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения (связанная политика: расширение гостевой конфигурации должно быть развернуто на виртуальных машинах Azure с назначенным системой управляемым удостоверением).

Серьезность: средний

Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager

Описание: Виртуальные машины (классическая версия) устарела, и эти виртуальные машины следует перенести в Azure Resource Manager. Так как теперь Azure Resource Manager включает в себя полный набор возможностей инфраструктуры IaaS, а также другие инновационные технологии, начиная с 28 февраля 2020 г. мы прекратили осуществлять управление виртуальными машинами IaaS с помощью Azure Service Manager (ASM). Эта функциональность будет полностью удалена 1 марта 2023 г.

Чтобы просмотреть все затронутые классические виртуальные машины, обязательно выберите все подписки Azure на вкладке "Каталоги и подписки".

Доступные ресурсы и сведения об этом средстве и миграции. Обзор нерекомендуемых виртуальных машин (классических) пошаговый процесс миграции и доступных ресурсов Майкрософт.Сведения о миграции в средство миграции Azure Resource Manager.Миграция в средство миграции Azure Resource Manager с помощью PowerShell. (Связанная политика: Виртуальные машины следует перенести на новые ресурсы Azure Resource Manager).

Серьезность: высокий уровень

Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища

Вы используете функцию шифрования на узле или 2. шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделе Шифрование хранилища дисков Azure на стороне сервера. (Связанная политика: Шифрование дисков должно применяться на виртуальных машинах)

Серьезность: высокий уровень

На поддерживаемых виртуальных машинах должен быть включен модуль vTPM

Описание. Включите виртуальное устройство TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и другие функции безопасности ОС, требующие доверенного платформенного модуля. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском.

Серьезность: низкая

Уязвимости в конфигурации безопасности на компьютерах Linux должны быть устранены (на основе гостевой конфигурации)

Описание. Исправление уязвимостей в конфигурации безопасности на компьютерах Linux для защиты от атак. (Связанная политика: Компьютеры Linux должны соответствовать требованиям к базовой конфигурации безопасности Azure).

Серьезность: низкая

Уязвимости в конфигурации безопасности на компьютерах Windows должны быть устранены (на основе гостевой конфигурации)

Описание. Исправление уязвимостей в конфигурации безопасности на компьютерах Windows для защиты от атак. (Связанная политика отсутствует)

Серьезность: низкая

На компьютерах должны быть включены функции Exploit Guard в Windows Defender

Описание. В Защитнике Windows Exploit Guard используется агент конфигурации Политика Azure гостевой конфигурации. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). (Связанная политика: Аудит компьютеров Windows, на которых не включена защита эксплойтов Защитника Windows).

Серьезность: средний

Веб-серверы Windows должны быть настроены на использование протоколов защищенного обмена данными

Описание. Чтобы защитить конфиденциальность информации, переданной через Интернет, веб-серверы должны использовать последнюю версию стандартного криптографического протокола, протокола TLS. Протокол TLS обеспечивает защиту при передаче данных по сети с помощью сертификатов безопасности для шифрования подключений между компьютерами. (Связанная политика: Аудит веб-серверов Windows, которые не используют безопасные протоколы связи).

Серьезность: высокий уровень

[предварительная версия]: виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost

Описание. По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; временные диски и кэши данных не шифруются, а данные не шифруются при потоковой синхронизации между вычислительными ресурсами и ресурсами хранилища. Используйте Шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Для этой политики необходимо развернуть два предварительных требования для назначения политики область. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. (Связанная политика: [Предварительная версия]: виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost).

Серьезность: высокий уровень

[предварительная версия]: виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost

Описание. По умолчанию ОС виртуальной машины и диски данных шифруются неактивных с помощью ключей, управляемых платформой; временные диски и кэши данных не шифруются, а данные не шифруются при потоковой синхронизации между вычислительными ресурсами и ресурсами хранилища. Используйте Шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Для этой политики необходимо развернуть два предварительных требования для назначения политики область. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. (Связанная политика: [предварительная версия]: виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost).

Серьезность: высокий уровень

Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле

Описание. Используйте шифрование на узле, чтобы получить сквозное шифрование для данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Дополнительные сведения см. в портал Azure, чтобы включить сквозное шифрование с помощью шифрования на узле. (Связанная политика: Виртуальные машины и масштабируемые наборы виртуальных машин должны иметь шифрование на узле.

Серьезность: средний

(предварительная версия) Серверы Azure Stack HCI должны соответствовать требованиям secured-core

Описание. Убедитесь, что все серверы Azure Stack HCI соответствуют требованиям Secured-core. (Связанная политика: Расширение гостевой конфигурации должно быть установлено на компьютерах — Microsoft Azure).

Серьезность: низкая

(предварительная версия) Серверы Azure Stack HCI должны постоянно применять политики управления приложениями

Описание. Как минимум, примените базовую политику Microsoft WDAC в принудительном режиме на всех серверах Azure Stack HCI. Примененные политики управления приложениями Защитника Windows (WDAC) должны быть согласованы между серверами в одном кластере. (Связанная политика: Расширение гостевой конфигурации должно быть установлено на компьютерах — Microsoft Azure).

Серьезность: высокий уровень

(предварительная версия) Системы Azure Stack HCI должны иметь зашифрованные тома

Описание. Используйте BitLocker для шифрования томов ОС и данных в системах Azure Stack HCI. (Связанная политика: Расширение гостевой конфигурации должно быть установлено на компьютерах — Microsoft Azure).

Серьезность: высокий уровень

(предварительная версия) Сеть узлов и виртуальных машин должна быть защищена в системах Azure Stack HCI

Описание. Защита данных в сети узла Azure Stack HCI и подключений к сети виртуальной машины. (Связанная политика: Расширение гостевой конфигурации должно быть установлено на компьютерах — Microsoft Azure).

Серьезность: низкая

Рекомендации по обработке данных

(Включить при необходимости) Учетные записи Azure Cosmos DB должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание: Рекомендации использовать ключи, управляемые клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для включения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. См. дополнительные сведения о шифровании CMK: https://aka.ms/cosmosdb-cmk. (Связанная политика: Учетные записи Azure Cosmos DB должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).

Серьезность: низкая

(Включить при необходимости) Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)

Описание: Рекомендации использовать ключи, управляемые клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для включения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом (CMK). По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. См. дополнительные сведения о шифровании CMK: https://aka.ms/azureml-workspaces-cmk. (Связанная политика: Машинное обучение Azure рабочие области должны быть зашифрованы с помощью ключа, управляемого клиентом (CMK)).

Серьезность: низкая

(Включить при необходимости) Учетные записи Cognitive Services должны включать шифрование данных с помощью ключа, управляемого клиентом (CMK)

Описание: Рекомендации использовать ключи, управляемые клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для включения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Для соответствия нормативным стандартам обычно требуется использовать ключи, управляемые клиентом. Они позволяют шифровать хранимые в Cognitive Services данные с помощью ключа Azure Key Vault, который вы создаете и которым владеете сами. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. См. дополнительные сведения о шифровании CMK: https://aka.ms/cosmosdb-cmk. (связанная политика: Учетные записи Cognitive Services должны поддерживать шифрование данных с использованием ключа, управляемого клиентом (CMK)?)

Серьезность: низкая

(Включить при необходимости) Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание: Рекомендации использовать ключи, управляемые клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для включения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. (Связанная политика: Для серверов MySQL следует включить защиту собственных ключей.

Серьезность: низкая

(Включить при необходимости) Серверы PostgreSQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание: Рекомендации использовать ключи, управляемые клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для включения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. (Связанная политика: Для серверов PostgreSQL следует включить защиту собственных ключей.

Серьезность: низкая

(Включить при необходимости) Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание: Рекомендации использовать ключи, управляемые клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для включения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. (Связанная политика: Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).

Серьезность: низкая

(Включить при необходимости) Серверы SQL server должны использовать ключи, управляемые клиентом, для шифрования неактивных данных

Описание: Рекомендации использовать ключи, управляемые клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для включения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. (Связанная политика: Серверы SQL server должны использовать ключи, управляемые клиентом, для шифрования неактивных данных).

Серьезность: низкая

(Включить при необходимости) служба хранилища учетные записи должны использовать управляемый клиентом ключ (CMK) для шифрования.

Описание: Рекомендации использовать ключи, управляемые клиентом, для шифрования неактивных данных по умолчанию не оцениваются, но доступны для включения применимых сценариев. Данные шифруются автоматически с помощью управляемых платформой ключей, поэтому использование ключей, управляемых клиентом, следует применять только с целью обеспечения соответствия нормам или соблюдения требований ограничительных политик. Чтобы включить эту рекомендацию, перейдите к политике безопасности для соответствующей области и обновите параметр Действие соответствующей политики для аудита или принудительного применения ключей, управляемых клиентом. Дополнительные сведения см. в разделе Управление политиками безопасности. Обеспечьте большую гибкость своей учетной записи хранения с помощью управляемых клиентом ключей (ключей CMK). Когда вы указываете ключ CMK, он используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей CMK предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. (Связанная политика: служба хранилища учетные записи должны использовать управляемый клиентом ключ (CMK) для шифрования.

Серьезность: низкая

Все типы расширенной защиты от угроз должны быть включены в расширенных параметрах безопасности данных управляемого экземпляра SQL.

Описание. Рекомендуется включить все типы расширенной защиты от угроз в управляемых экземплярах SQL. При включении всех типов защиты вы будете защищены от атак путем внедрения кода SQL, уязвимостей баз данных и других аномальных действий. (Связанная политика отсутствует)

Серьезность: средний

Все типы расширенной защиты от угроз должны быть включены в параметрах расширенной безопасности данных SQL Server

Описание. Рекомендуется включить все типы расширенной защиты от угроз на серверах SQL. При включении всех типов защиты вы будете защищены от атак путем внедрения кода SQL, уязвимостей баз данных и других аномальных действий. (Связанная политика отсутствует)

Серьезность: средний

Службы управления API должны использовать виртуальную сеть

Описание. Развертывание Azure виртуальная сеть обеспечивает повышенную безопасность, изоляцию и позволяет размещать службу Управление API в сети, отличной от Интернета, к которым вы управляете доступом. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. (Связанная политика: Управление API службам следует использовать виртуальную сеть).

Серьезность: средний

Служба "Конфигурация приложений" должна использовать приватный канал

Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. (Связанная политика: Конфигурация приложений должен использовать приватный канал).

Серьезность: средний

Срок хранения аудита для серверов SQL должен иметь значение не менее 90 дней

Описание. Аудит серверов SQL, настроенных с периодом хранения аудита менее 90 дней. (Связанная политика: Серверы SQL должны быть настроены с 90 дней хранения аудита или более поздней версии.)

Серьезность: низкая

Необходимо включить аудит на сервере SQL

Описание. Включите аудит в SQL Server для отслеживания действий базы данных во всех базах данных на сервере и сохранения их в журнале аудита. (Связанная политика: Аудит на SQL Server должен быть включен).

Серьезность: низкая

В подписке должна быть включена автоматическая подготовка агента Log Analytics

Описание. Чтобы отслеживать уязвимости и угрозы безопасности, Microsoft Defender для облака собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. (Связанная политика: Автоматическая подготовка агента Log Analytics должна быть включена в подписке).

Серьезность: низкая

Кэш Azure для Redis должен находиться в виртуальной сети

Описание. Развертывание azure виртуальная сеть (виртуальная сеть) обеспечивает повышенную безопасность и изоляцию для Кэш Azure для Redis, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. Если экземпляр кэша Azure для Redis настроен в виртуальной сети, он не является общедоступным, а доступен только для виртуальных машин и приложений в этой виртуальной сети. (Связанная политика: Кэш Azure для Redis должен находиться в виртуальной сети).

Серьезность: средний

База данных Azure для MySQL должен быть подготовлен администратор Azure Active Directory

Описание. Подготовка администратора Azure AD для База данных Azure для MySQL для включения проверки подлинности Azure AD. Проверка подлинности Azure AD позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт (связанная политика: администратор Azure Active Directory должен быть подготовлен для серверов MySQL).

Серьезность: средний

База данных Azure для PostgreSQL должен быть подготовлен администратор Azure Active Directory

Описание. Подготовка администратора Azure AD для База данных Azure для PostgreSQL для включения проверки подлинности Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт.
(Связанная политика: Администратор Azure Active Directory должен быть подготовлен для серверов PostgreSQL.

Серьезность: средний

Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра

Описание. Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить трафик от несанкционированных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. (Связанная политика: Учетные записи Azure Cosmos DB должны иметь правила брандмауэра).

Серьезность: средний

Домены Сетки событий Azure должны использовать приватный канал

Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменами Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. (Связанная политика: Сетка событий Azure домены должны использовать приватный канал).

Серьезность: средний

Разделы Сетки событий Azure должны использовать приватный канал

Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделами вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. (Связанная политика: Сетка событий Azure темы должны использовать приватную ссылку).

Серьезность: средний

Рабочие области Машинного обучения Azure должны использовать Приватный канал

Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с рабочими областями Машинного обучения Azure вместо всей службы обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/azureml-workspaces-privatelink. (Связанная политика: Машинное обучение Azure рабочие области должны использовать приватный канал).

Серьезность: средний

Служба Azure SignalR должна использовать приватный канал

Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с ресурсами SignalR вместо всей службы обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/asrs/privatelink. (Связанная политика: Служба Azure SignalR должен использовать приватный канал).

Серьезность: средний

Служба Azure Spring Cloud должна использовать внедрение сети

Описание. Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. (Связанная политика: Azure Spring Cloud должен использовать внедрение сети).

Серьезность: средний

Необходимо подготовить администратора Azure Active Directory для серверов SQL Server.

Описание. Подготовка администратора Azure AD для сервера SQL Server для включения проверки подлинности Azure AD. Проверка подлинности Azure AD упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями для пользователей баз данных и других служб Майкрософт. (Связанная политика: Администратор Azure Active Directory должен быть подготовлен для серверов SQL.

Серьезность: высокий уровень

Режим проверки подлинности рабочей области Azure Synapse должен иметь только Azure Active Directory

Описание. Режим проверки подлинности рабочей области Azure Synapse должен быть только azure Active Directory только методами проверки подлинности Azure Active Directory, обеспечивая, чтобы рабочие области Synapse требовали только удостоверения Azure AD для проверки подлинности. Подробнее. (Связанная политика: Рабочие области Synapse должны использовать только удостоверения Azure Active Directory для проверки подлинности).

Серьезность: средний

В репозиториях кода должны быть устранены результаты сканирования кода

Описание: Defender для DevOps обнаружил уязвимости в репозиториях кода. Чтобы повысить уровень безопасности репозиториев, настоятельно рекомендуется устранить эти уязвимости. (Связанная политика отсутствует)

Серьезность: средний

В репозиториях кода должны быть устранены ошибки в результате сканирования Dependabot

Серьезность: средний

В репозиториях кода должны быть устранены результаты сканирования инфраструктуры как кода

Описание: Defender для DevOps обнаружил инфраструктуру в качестве проблем конфигурации безопасности кода в репозиториях. Проблемы, показанные ниже, были обнаружены в файлах шаблонов. Чтобы повысить уровень безопасности связанных облачных ресурсов, настоятельно рекомендуется исправить эти уязвимости. (Связанная политика отсутствует)

Серьезность: средний

В репозиториях кода должны быть исправлены результаты секретного сканирования

Описание: Defender для DevOps нашел секрет в репозиториях кода. Это необходимо исправить немедленно, чтобы предотвратить брешь в системе безопасности. Секреты, найденные в репозиториях, могут быть раскрыты или обнаружены злоумышленниками, что может привести к компрометации приложения или службы. Для Azure DevOps средство Microsoft Security DevOps CredScan проверяет только сборки, на которых был настроен запуск средства. Поэтому результаты могут не отражать полное состояние секретов в репозиториях. (Связанная политика отсутствует)

Серьезность: высокий уровень

Для учетных записей Cognitive Services следует включить шифрование данных

Описание. Эта политика проверяет любую учетную запись Cognitive Services, не используя шифрование данных. Для каждой учетной записи Cognitive Services с хранилищем следует включить шифрование данных с помощью ключа, управляемого клиентом или корпорацией Майкрософт. (Связанная политика: Учетные записи Cognitive Services должны включать шифрование данных).

Серьезность: низкая

Учетные записи Cognitive Services должны использовать хранилище клиента или включить шифрование данных.

Описание. Эта политика выполняет аудит любой учетной записи Cognitive Services, не использующей хранилище клиента или шифрование данных. Каждая учетная запись Cognitive Services с хранилищем должна использовать хранилище, принадлежащее клиенту, или шифрование данных. (Связанная политика: учетные записи Cognitive Services должны использовать хранилище, принадлежащее клиенту, или шифрование данных.)

Серьезность: низкая

В Azure Data Lake Store должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Azure Data Lake Store должны быть включены).

Серьезность: низкая

В Data Lake Analytics должны быть включены журналы диагностики

Описание. Включите журналы и сохраните их до года. Это позволит воссоздать следы действий для анализа инцидентов безопасности или при компрометации сети. (Связанная политика: Журналы диагностики в Data Lake Analytics должны быть включены).

Серьезность: низкая

Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте

Описание. Чтобы убедиться, что соответствующие пользователи в вашей организации уведомляются, если в одной из подписок существует потенциальное нарушение безопасности, включите Уведомления по электронной почте для оповещений с высоким уровнем серьезности в Defender для облака. (Связанная политика: Уведомление по электронной почте для оповещений с высоким уровнем серьезности должно быть включено).

Серьезность: низкая

Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте

Описание. Чтобы убедиться, что владельцы подписок уведомляются о возможном нарушении безопасности в подписке, задайте Уведомления по электронной почте владельцам подписок для оповещений о высокой серьезности в Defender для облака. (Связанная политика: Уведомление по электронной почте владельцу подписки для оповещений с высоким уровнем серьезности должно быть включено).

Серьезность: средний

Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения

Описание: База данных Azure для MySQL поддерживает подключение сервера База данных Azure для MySQL к клиентским приложениям с помощью протокола SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. (Связанная политика: Принудительное подключение SSL должно быть включено для серверов баз данных MySQL.

Серьезность: средний

Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения

Описание: База данных Azure для PostgreSQL поддерживает подключение сервера База данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL. Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. (Связанная политика: Принудительное подключение SSL должно быть включено для серверов баз данных PostgreSQL.

Серьезность: средний

Уязвимости, обнаруженные в приложениях-функциях, должны быть устранены

Описание. Сканирование уязвимостей среды выполнения для функций сканирует приложения-функции для уязвимостей безопасности и предоставляет подробные результаты. Устранение уязвимостей может значительно улучшить безопасность бессерверных приложений и защитить их от атак. (Связанная политика отсутствует)

Серьезность: высокий уровень

База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование

Описание: База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. (Связанная политика: Геоизбыточное резервное копирование должно быть включено для База данных Azure для MariaDB).

Серьезность: низкая

База данных Azure для MySQL должна использовать геоизбыточное резервное копирование

Описание: База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. (Связанная политика: Геоизбыточное резервное копирование должно быть включено для База данных Azure для MySQL).

Серьезность: низкая

База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование

Описание: База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. (Связанная политика: Геоизбыточное резервное копирование должно быть включено для База данных Azure для PostgreSQL).

Серьезность: низкая

В репозиториях GitHub должно быть включено сканирование кода

Описание: GitHub использует сканирование кода для анализа кода для поиска уязвимостей безопасности и ошибок в коде. Сканирование кода можно использовать для поиска, рассмотрения и определения приоритетов исправлений существующих проблем в коде. Сканирование кода также может защитить от внедрения новых проблем разработчиками. Сканирования могут планироваться на определенные дни и время или активироваться при возникновении определенного события в репозитории, например при отправке. Если при сканировании кода обнаружена потенциальная уязвимость или ошибка в коде, GitHub отображает оповещение в репозитории. Уязвимость — это проблема в коде проекта, которую можно использовать для нарушения конфиденциальности, целостности или доступности проекта. (Связанная политика отсутствует)

Серьезность: средний

В репозиториях GitHub должно быть включено сканирование Dependabot

Описание: GitHub отправляет оповещения Dependabot при обнаружении уязвимостей в зависимостях кода, влияющих на репозитории. Уязвимость — это недостаток в коде проекта, который может привести к нарушению конфиденциальности, целостности или доступности проекта или других проектов, использующих его код. Уязвимости зависят от типа, серьезности и метода атаки. Если ваш код зависит от пакета, содержащего уязвимость в системе безопасности, эта уязвимая зависимость может вызвать ряд проблем. (Связанная политика отсутствует)

Серьезность: средний

В репозиториях GitHub должно быть включено сканирование секретов

Описание: GitHub сканирует репозитории известных типов секретов, чтобы предотвратить мошеннические использование секретов, которые были случайно зафиксированы в репозиториях. Сканирование секретов будет охватывать весь журнал на наличие секретов GIT во всех ветвях, присутствующих в репозитории GitHub. Примерами секретов являются маркеры и закрытые ключи, которые поставщик услуг может выдать для проверки подлинности. Если секрет зарегистрирован в репозитории, любой, у кого есть доступ на чтение в репозитории, сможет использовать этот секрет для доступа к внешней службе с теми привилегиями. Секреты должны храниться в выделенном безопасном расположении за пределами репозитория проекта. (Связанная политика отсутствует)

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для серверов Базы данных SQL Azure

Описание: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он включает в себя функции обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных, а также обнаружения и классификации конфиденциальных данных. Важно! За средства защиты из этого плана взимается плата, указанная на странице Планы Defender. Если у вас нет серверов Базы данных SQL Azure в этой подписке, с вас не будет взиматься плата. Если позже вы создадите в этой подписке серверы Базы данных SQL Azure, к ним будет автоматически применена защита и начнет взиматься плата. Узнайте больше о ценах в каждом регионе. Дополнительные сведения см. в разделе Общие сведения о Microsoft Defender для SQL. (Связанная политика: Необходимо включить Azure Defender для База данных SQL Azure серверов).

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для DNS

Описание. Microsoft Defender для DNS обеспечивает дополнительный уровень защиты облачных ресурсов путем непрерывного мониторинга всех ЗАПРОСОВ DNS из ресурсов Azure. Defender для DNS предупреждает вас о подозрительных действиях на уровне DNS. Дополнительные сведения см. в разделе Общие сведения о Microsoft Defender для DNS. Включение этого плана Defender подразумевает определенные расходы. Сведения о ценах на регион на странице цен Defender для облака: Defender для облака цены. (Связанная политика отсутствует)

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для реляционных баз данных с открытым кодом

Описание: Microsoft Defender для реляционных баз данных с открытым исходным кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. Дополнительную информацию см. в разделе Общие сведения о Microsoft Defender для реляционных баз данных с открытым кодом.

Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Если в этой подписке нет реляционных баз данных с открытым кодом, плата не будет взиматься. Если в будущем вы создадите в этой подписке реляционные базы данных с открытым кодом, они будут автоматически защищены, и с этого момента начнет начисляться плата. (Связанная политика отсутствует)

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для Resource Manager

Описание. Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Defender для облака обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительную информацию см. в разделе Общие сведения о Microsoft Defender для Resource Manager. Включение этого плана Defender подразумевает определенные расходы. Сведения о ценах на регион на странице цен Defender для облака: Defender для облака цены. (Связанная политика отсутствует)

Серьезность: высокий уровень

Microsoft Defender для SQL на компьютерах должен быть включен в рабочих областях

Серьезность: средний

Необходимо включить Microsoft Defender для серверов SQL Server на компьютерах

Важно. Исправление этой рекомендации приведет к сбору за защиту серверов SQL на компьютерах. Если в этой подписке нет экземпляров SQL Server на компьютерах, плата не будет взиматься. Если в будущем вы создадите в этой подписке экземпляры SQL Server на компьютерах, они будут автоматически защищены, и с этого момента начнет начисляться плата. Узнайте больше о Microsoft Defender для серверов SQL Server на компьютерах. (Связанная политика: Необходимо включить Azure Defender для серверов SQL на компьютерах).

Серьезность: высокий уровень

Для незащищенных серверов Azure SQL следует включить Microsoft Defender для SQL

Описание: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он выполняет задачи обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных. Плата за использование Microsoft Defender для SQL начисляется по тарифам для регионов. (Связанная политика: На серверах SQL должна быть включена расширенная безопасность данных.

Серьезность: высокий уровень

Для незащищенных управляемых экземпляров SQL следует включить Microsoft Defender для SQL

Описание: Microsoft Defender для SQL — это единый пакет, предоставляющий расширенные возможности безопасности SQL. Он выполняет задачи обнаружения и устранения потенциальных уязвимостей базы данных и обнаружения аномальных действий, которые могут указывать на угрозу для вашей базы данных. Плата за использование Microsoft Defender для SQL начисляется по тарифам для регионов. (Связанная политика: Расширенная безопасность данных должна быть включена в Управляемый экземпляр SQL).

Серьезность: высокий уровень

Необходимо включить Microsoft Defender для службы хранилища

Описание: Microsoft Defender для хранилища обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или эксплойтировать их. Важно! За средства защиты из этого плана взимается плата, указанная на странице Планы Defender. Если в этой подписке нет учетных записей службы хранилища Azure, плата не будет взиматься. Если позже вы создадите в этой подписке учетные записи службы хранилища Azure, к ним будет автоматически применена защита и начнет взиматься плата. Узнайте больше о ценах в каждом регионе. Дополнительные сведения см. в статье Общие сведения о Microsoft Defender для хранилища. (Связанная политика: Необходимо включить Azure Defender для служба хранилища).

Серьезность: высокий уровень

Необходимо включить Наблюдатель за сетями

Описание: Наблюдатель за сетями — это региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure и из Нее. Мониторинг на уровне сценария позволяет диагностировать проблемы на сквозном уровне сети. Инструменты диагностики сети и визуализации, доступные в Наблюдателе за сетями, помогают понять, как работает сеть в Azure, диагностировать ее и получить ценную информацию. (Связанная политика: Наблюдатель за сетями следует включить).

Серьезность: низкая

Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены

Описание. Подключения частной конечной точки обеспечивают безопасную связь, позволяя использовать частное подключение к База данных SQL Azure. (Связанная политика: Подключения к частной конечной точке в База данных SQL Azure должны быть включены).

Серьезность: средний

Для серверов MariaDB необходимо включить частную конечную точку.

Описание. Подключения к частной конечной точке обеспечивают безопасную связь, обеспечивая частное подключение к База данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. (Связанная политика: Частная конечная точка должна быть включена для серверов MariaDB.

Серьезность: средний

Для серверов MySQL необходимо включить частную конечную точку.

Описание. Подключения частной конечной точки обеспечивают безопасный обмен данными путем включения частного подключения к База данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. (Связанная политика: Частная конечная точка должна быть включена для серверов MySQL.

Серьезность: средний

Для серверов PostgreSQL необходимо включить частную конечную точку.

Описание. Подключения к частной конечной точке обеспечивают безопасное взаимодействие путем включения частного подключения к База данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. (Связанная политика: Частная конечная точка должна быть включена для серверов PostgreSQL.

Серьезность: средний

Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен

Описание. Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к База данных SQL Azure только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. (Связанная политика: Доступ к общедоступной сети в База данных SQL Azure должен быть отключен).

Серьезность: средний

Для северов MariaDB должен быть отключен доступ через общедоступную сеть

Описание. Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для MariaDB доступ к ней можно получить только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. (Связанная политика: Для серверов MariaDB необходимо отключить доступ к общедоступной сети.

Серьезность: средний

Для северов MySQL должен быть отключен доступ через общедоступную сеть

Описание. Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для MySQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. (Связанная политика: Для серверов MySQL необходимо отключить доступ к общедоступной сети.

Серьезность: средний

Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть

Описание. Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для PostgreSQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. (Связанная политика: Для серверов PostgreSQL необходимо отключить доступ к общедоступной сети.

Серьезность: средний

Redis Cache должен разрешать доступ только через SSL

Описание. Включение только подключений через SSL к кэшу Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. (Связанная политика: Необходимо включить только безопасные подключения к Кэш Azure для Redis).

Серьезность: высокий уровень

Уязвимости, обнаруженные в базах данных SQL, должны быть устранены

Описание. Оценка уязвимостей SQL проверяет базу данных на наличие уязвимостей безопасности и предоставляет любые отклонения от рекомендаций, таких как неправильные настройки, чрезмерные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. Дополнительные сведения (связанная политика: уязвимости в базах данных SQL должны быть исправлены).

Серьезность: высокий уровень

Для управляемых экземпляров SQL должна быть настроена оценка уязвимостей

Описание. Оценка уязвимостей может обнаруживать, отслеживать и устранять потенциальные уязвимости базы данных. (Связанная политика: Оценка уязвимостей должна быть включена в Управляемый экземпляр SQL).

Серьезность: высокий уровень

Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены

Описание. Оценка уязвимостей SQL проверяет базу данных на наличие уязвимостей безопасности и предоставляет любые отклонения от рекомендаций, таких как неправильные настройки, чрезмерные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. Дополнительные сведения (связанная политика: уязвимости на серверах SQL на компьютере должны быть исправлены).

Серьезность: высокий уровень

Необходимо подготовить администратора Azure Active Directory для серверов SQL Server.

Серьезность: высокий уровень

Для серверов SQL Server должна быть настроена оценка уязвимостей

Серьезность: высокий уровень

Учетная запись хранения должна использовать подключение приватного канала

Описание. Приватные каналы обеспечивают безопасное взаимодействие, предоставляя частное подключение к учетной записи хранения (связанная политика: служба хранилища учетная запись должна использовать частное подключение).

Серьезность: средний

Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager

Описание. Чтобы воспользоваться новыми возможностями в Azure Resource Manager, можно перенести существующие развертывания из классической модели развертывания. Resource Manager обеспечивает такие улучшения безопасности, как более строгий контроль доступа (RBAC), улучшение аудита, развертывание и управление на основе ARM, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, аутентификации на основе Azure AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью. Дополнительные сведения (связанная политика: служба хранилища учетные записи должны быть перенесены на новые ресурсы Azure Resource Manager).

Серьезность: низкая

Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети

Описание. Защита учетных записей хранения от потенциальных угроз с помощью правил виртуальной сети в качестве предпочтительного метода вместо фильтрации на основе IP-адресов. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. (Связанная политика: служба хранилища учетные записи должны ограничивать доступ к сети с помощью правил виртуальной сети.

Серьезность: средний

Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности

Описание. Чтобы убедиться, что соответствующие пользователи в вашей организации уведомляются, когда в одной из подписок существует потенциальное нарушение безопасности, задайте контакт безопасности для получения Уведомления по электронной почте от Defender для облака. (Связанная политика: Подписки должны иметь контактный адрес электронной почты для проблем с безопасностью)

Серьезность: низкая

В базах данных SQL должно применяться прозрачное шифрование данных

Описание. Включение прозрачного шифрования данных для защиты неактивных данных и соответствия требованиям (связанная политика: прозрачное шифрование данных в базах данных SQL должна быть включена).

Серьезность: низкая

Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы

Описание. Аудит шаблонов построителя образов виртуальных машин, которые не настроены в виртуальной сети. Если виртуальная сеть не настроена, создается и используется общедоступный IP-адрес, который может напрямую предоставлять ресурсы в Интернете и увеличивать потенциальную область атаки. (Связанная политика: Шаблоны построителя образов виртуальных машин должны использовать приватный канал).

Серьезность: средний

Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF)

Описание. Развертывание azure Брандмауэр веб-приложений (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам или регионам, диапазонам IP-адресов и другим параметрам http(s) с помощью пользовательских правил. (Связанная политика: для Шлюз приложений должна быть включена Брандмауэр веб-приложений (WAF).

Серьезность: низкая

Для службы Azure Front Door Service должен быть включен Брандмауэр веб-приложений (WAF)

Описание. Развертывание azure Брандмауэр веб-приложений (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам или регионам, диапазонам IP-адресов и другим параметрам http(s) с помощью пользовательских правил. (связанная политика: Для службы Azure Front Door Service должен быть включен Брандмауэр веб-приложений (WAF)?)

Серьезность: низкая

Cognitive Services должны использовать приватный канал

Описание: Приватный канал Azure позволяет подключать виртуальные сети к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о частных ссылках. (Связанная политика: Cognitive Services должен использовать приватный канал).

Серьезность: средний

Служба Azure Cosmos DB должна отключать доступ к общедоступным сетям

Описание. Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что учетная запись Cosmos DB не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие учетной записи Cosmos DB. Подробнее. (Связанная политика: Azure Cosmos DB должен отключить доступ к общедоступной сети.

Серьезность: средний

Учетные записи Cosmos DB должны использовать приватный канал

Описание: Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB риски утечки данных снижаются. Дополнительные сведения о частных ссылках. (Связанная политика: Учетные записи Cosmos DB должны использовать приватный канал).

Серьезность: средний

База данных SQL Azure должна использовать TLS 1.2 или более поздней версии

Описание. Установка tls версии 1.2 или более поздней повышает безопасность, обеспечивая доступ к База данных SQL Azure только от клиентов с помощью TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. (Связанная политика: База данных SQL Azure должна работать под управлением TLS версии 1.2 или более поздней версии).

Серьезность: средний

Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети

Описание. Отключение доступа к общедоступной сети (общедоступная конечная точка) в Управляемый экземпляр SQL Azure повышает безопасность, обеспечивая доступ только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступной сети. (Связанная политика: Управляемый экземпляр SQL Azure должны отключить доступ к общедоступной сети).

Серьезность: средний

Учетные записи хранения должны предотвращать доступ к общему ключу

Описание. Требование аудита Azure Active Directory (Azure AD) для авторизации запросов для учетной записи хранения. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации Azure AD обеспечивает более высокую безопасность и удобство использования общего ключа и рекомендуется корпорацией Майкрософт. (Связанная политика: политика)

Серьезность: средний

Устаревшие рекомендации

Необходимо исследовать удостоверения с избыточными разрешениями в подписках, чтобы уменьшить индекс смещения разрешений (PCI)

Описание. Следует исследовать слишком подготовленные удостоверения в подписке, чтобы уменьшить индекс ползуна разрешений (PCI) и защитить инфраструктуру. Уменьшите индекс PCI, удалив неиспользуемые назначенные разрешения с высоким уровнем риском. Высокий уровень PCI отражает риск, связанный с удостоверениями с разрешениями, превышающими их обычное или обязательное использование (не связанная политика).

Серьезность: средний

Следует изучить избыточные удостоверения в учетных записях, чтобы уменьшить индекс ползука разрешений (PCI)

Описание. Для уменьшения уровня разрешений (PCI) и защиты инфраструктуры следует исследовать слишком подготовленные удостоверения в учетных записях. Уменьшите индекс PCI, удалив неиспользуемые назначенные разрешения с высоким уровнем риском. Высокий уровень PCI отражает риск, связанный с удостоверениями с разрешениями, превышающими их обычное или требуемое использование.

Серьезность: средний

Доступ к службам приложений должен быть ограничен

Описание и связанная политика. Ограничение доступа к Служба приложений путем изменения конфигурации сети, чтобы запретить входящий трафик из слишком широких диапазонов. (Связанная политика: [предварительная версия]: доступ к Служба приложений должен быть ограничен.

Серьезность: высокий уровень

Сделайте более строгими правила для веб-приложений в группах безопасности сети IaaS

Описание и связанная политика. Защита группы безопасности сети (NSG) виртуальных машин, работающих в веб-приложениях, с помощью правил NSG, которые чрезмерно разрешаются в отношении портов веб-приложений. (Связанная политика: правила групп безопасности сети для веб-приложений в IaaS должны быть ужесточена).

Серьезность: высокий уровень

Политики безопасности модуля pod должны быть определены, чтобы сократить вектор атаки, удалив ненужные привилегии приложений (предварительная версия)

Описание и связанная политика. Определение политик безопасности Pod для уменьшения вектора атаки путем удаления ненужных привилегий приложения. Рекомендуется настроить политики безопасности модуля pod, чтобы разрешить доступ только к тем ресурсам, на которые у них есть разрешение. (Связанная политика: [предварительная версия]: политики безопасности pod должны быть определены в службах Kubernetes.

Серьезность: средний

Установите модель безопасности "Центр безопасности Azure для Интернета вещей", чтобы получить дополнительную видимость устройств Интернета вещей

Описание и связанная политика. Установите Центр безопасности Azure для модуля безопасности Интернета вещей, чтобы получить больше сведений о устройствах Интернета вещей.

Серьезность: низкая

Необходимо перезагрузить компьютеры для применения обновлений системы.

Описание и связанная политика. Перезапустите компьютеры, чтобы применить обновления системы и защитить компьютер от уязвимостей. (Связанная политика: на компьютерах должны быть установлены обновления системы).

Серьезность: средний

На ваших компьютерах должен быть установлен агент наблюдения

Описание и связанная политика. Это действие устанавливает агент мониторинга на выбранных виртуальных машинах. Выберите рабочую область, в которую агент будет передавать данные. (Связанная политика отсутствует)

Серьезность: высокий уровень

Для веб-приложений необходимо обновить Java до последней версии

Описание и связанная политика. Периодически новые версии выпускаются для программного обеспечения Java из-за ошибок безопасности или включения дополнительных функций. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию Java. (Связанная политика. Убедитесь, что "версия Java" является последней, если она используется в веб-приложении).

Серьезность: средний

Для приложений-функций необходимо обновить Python до последней версии

Описание и связанная политика. Периодически новые версии выпускаются для программного обеспечения Python из-за ошибок безопасности или включения дополнительных функций. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Python. (Связанная политика. Убедитесь, что "версия Python" является последней, если используется в качестве части приложения-функции).

Серьезность: средний

Для веб-приложений необходимо обновить Python до последней версии

Описание и связанная политика. Периодически новые версии выпускаются для программного обеспечения Python из-за ошибок безопасности или включения дополнительных функций. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию Python. (Связанная политика. Убедитесь, что "версия Python" является последней, если используется как часть веб-приложения).

Серьезность: средний

Для приложений-функций необходимо обновить Java до последней версии

Описание и связанная политика. Периодически новые версии выпускаются для программного обеспечения Java из-за ошибок безопасности или включения дополнительных функций. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java. (Связанная политика. Убедитесь, что "версия Java" является последней, если используется в качестве части приложения-функции).

Серьезность: средний

Для веб-приложений необходимо обновить PHP до последней версии

Описание и связанная политика. Периодически новые версии выпускаются для программного обеспечения PHP из-за ошибок безопасности или включения дополнительных функций. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию PHP. (Связанная политика: убедитесь, что "версия PHP" является последней, если используется как часть веб-приложения).

Серьезность: средний

Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах

Описание. Устранение проблем со работоспособностью защиты конечных точек на виртуальных машинах для защиты от последних угроз и уязвимостей. См. документацию по решениям для защиты конечных точек, которые поддерживаются Defender для облака, и оценки защиты конечных точек. (Связанная политика отсутствует)

Серьезность: средний

Необходимо установить защиту конечных точек на компьютерах

Описание. Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. Узнайте больше о том, как выполняется оценка защиты конечных точек для компьютеров, из раздела Оценка защиты конечных точек в Microsoft Defender для облака и соответствующие рекомендации. (Связанная политика отсутствует)

Серьезность: высокий уровень

Для учетных записей Cognitive Services следует отключить доступ к общедоступной сети

Описание. Эта политика проверяет любую учетную запись Cognitive Services в вашей среде с включенным общедоступным доступом к сети. Доступ к общедоступной сети следует отключить, чтобы разрешить подключения только из частных конечных точек. (Связанная политика: Для учетных записей Cognitive Services необходимо отключить доступ к общедоступной сети.

Серьезность: средний

Рекомендации по обеспечению безопасности

Рекомендации по Службам приложений

Рекомендации по вычислениям

Рекомендации по контейнерам

Рекомендации по обработке данных