Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версии 1.0) и может содержать устаревшие рекомендации. Для получения последних рекомендаций по безопасности см. документацию Batch.
В этой базовой конфигурации безопасности применяются рекомендации из Microsoft cloud security benchmark версии 1.0 для Azure Batch. Microsoft Cloud Security Benchmark предоставляет рекомендации по защите облачных решений на Azure. Содержимое сгруппировано элементами управления безопасностью, определенными эталонным рейтингом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Azure Batch.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender for Cloud. Определения Azure Policy будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для Cloud.
Если функция имеет релевантные определения Azure Policy, они перечислены в этом базовом стандарте, чтобы помочь вам оценить соответствие контролям и рекомендациям Microsoft Cloud Security Benchmark. Некоторые рекомендации могут потребовать платного Microsoft Defender плана для включения определенных сценариев безопасности.
Замечание
Функции, не применимые к Batch, были исключены. Чтобы узнать, как Batch полностью сопоставляется с эталонным показателем безопасности облака Microsoft, см. полный файл сопоставления показателей безопасности Batch.
Профиль безопасности
Профиль безопасности суммирует поведение пакетной службы с высоким воздействием, которые могут вызвать дополнительные соображения по безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Compute |
| Клиент может получить доступ к HOST / OS | Только для чтения |
| Служба может быть развернута в виртуальной сети клиента. | True |
| Сохраняет содержимое данных клиента в состоянии покоя | Неправда |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Description: служба поддерживает развертывание в частной виртуальной сети (VNet) клиента. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Configuration Guidance. Развертывание пулов Azure Batch в virtual network. Рассмотрите возможность подготовки пула без общедоступных IP-адресов, чтобы ограничить доступ к узлам в частной сети и уменьшить вероятность обнаружения узлов из Интернета.
Справка: Создание пула Azure Batch в виртуальной сети
Поддержка группы безопасности сети
Описание: Сетевой трафик службы учитывает правила назначения сетевых групп безопасности в подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. По умолчанию пакетная служба добавляет группы безопасности сети (NSG) на уровне сетевых интерфейсов, подключенных к вычислительным узлам.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справка: Создание пула Azure Batch в виртуальной сети
NS-2. Защищенные облачные сервисы с сетевыми элементами управления
Функции
Azure Private Link
Description: Способность службы к фильтрации IP для фильтрации сетевого трафика (не следует путать с NSG или Azure Firewall). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Configuration Guidance. Развертывание частных конечных точек для учетных записей Azure Batch. Это ограничивает доступ к учетным записям Batch виртуальной сети, где они находятся, или к любой одноранговой виртуальной сети.
Reference: Использование частных конечных точек с учетными записями Azure Batch
Отключить публичный доступ к сети
Description: служба поддерживает отключение общедоступного сетевого доступа либо с помощью правила фильтрации ACL IP-адресов уровня службы (а не NSG или Azure Firewall), либо с помощью переключателя "Отключить общедоступный сетевой доступ". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Configuration Guidance: Отключите доступ к общедоступной сети для учетных записей пакетной службы, установив параметр "Доступ к общедоступной сети" в значение "Отключено".
Reference: Отключить доступ к публичной сети
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Аутентификация Azure AD, необходимая для доступа к плоскости данных
Description: служба поддерживает аутентификацию Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Configuration Guidance: используйте Azure Active Directory (Azure AD) в качестве метода аутентификации по умолчанию для управления доступом к каналу данных вместо использования общих ключей.
Reference: Аутентификация в Azure AD
Методы локальной аутентификации для доступа к плоскости данных
Description: методы локальной аутентификации, поддерживаемые для уровня доступа к данным, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Configuration Guidance. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве стандартного метода проверки подлинности для управления доступом к плоскости данных.
Reference: Аутентификация через общий ключ
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия в плоскости данных поддерживают аутентификацию с использованием управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Configuration Guidance. Используйте управляемые удостоверения Azure вместо объектов-службы, когда это возможно, чтобы выполнять аутентификацию в службах и ресурсах, поддерживающих аутентификацию с помощью Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Reference: Настройка управляемых удостоверений в пулах Batch
Субъекты-службы
Описание: Платформа данных поддерживает проверку подлинности с помощью сервисных принципалов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Дополнительные рекомендации: Для проверки подлинности приложения, выполняющегося без присмотра, можно использовать учетную запись службы. После регистрации приложения внесите соответствующие конфигурации в портал Azure для доверенного лица службы, например, запросите секрет для приложения и назначение ролей RBAC Azure.
Справка: Аутентификация решений Batch Service с помощью Azure Active Directory
IM-7: Ограничение доступа к ресурсам на основе условий
Функции
Условный доступ для уровня данных
Description: Доступ к плоскости данных можно управлять с помощью политики условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Интеграция поддержки учетных данных и секретов, а также их хранения в Azure Key Vault
Description: Плоскость передачи данных поддерживает нативное использование Azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Для получения дополнительной информации см. контрольные показатели безопасности облачных сервисов Microsoft: Привилегированный доступ.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Description: Управление доступом к действиям плоскости данных службы можно осуществлять с помощью управления доступом на основе ролей Azure (Azure RBAC). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: используйте ролевое управление доступом Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Azure Batch поддерживает Azure RBAC для управления доступом к этим типам ресурсов: учетные записи, задания, задачи и пулы.
Reference: Назначить Azure RBAC для вашего приложения
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальной информации (в контенте клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных в пути
Описание: Служба поддерживает шифрование данных в процессе передачи для канала данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Некоторые сведения, указанные в API пакетной службы, такие как сертификаты учетной записи, метаданные заданий и задач, а также командные строки задач, автоматически шифруются при хранении пакетной службы. По умолчанию эти данные шифруются с помощью ключей, управляемых платформой Azure Batch, уникальных для каждой учетной записи Azure Batch.
Эти данные также можно зашифровать с помощью ключей, управляемых клиентом. Azure Key Vault используется для создания и хранения ключа, идентификатор которого зарегистрирован в вашей учетной записи Batch.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Reference: Конфигурация ключей, управляемых клиентом
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Description: служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Configuration Guidance: используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, в том числе генерации ключей, распространения и хранения. Обновляйте и аннулируйте свои ключи в Azure Key Vault и вашей службе на основании определенного расписания или при необходимости вывода ключей из эксплуатации или их компрометации. Если в рабочей нагрузке, службе или на уровне приложения необходимо использовать управляемый клиентом ключ (CMK), убедитесь, что вы следуете рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с вашим ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и указаны с применением идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Примечание. Клиент должен принять участие в использовании ключей, управляемых клиентом, в противном случае служба будет использовать ключи платформы, управляемые корпорацией Майкрософт.
Спецификация: Настройка ключей, управляемых клиентом, для учетной записи Azure Batch с использованием Azure Key Vault и управляемой учетной записи.
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
Description: служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Configuration Guidance: используйте Azure Key Vault для создания и управления жизненным циклом сертификата, включая создание, импорт, смену, отзыв, storage и очистку сертификата. Убедитесь, что создание сертификатов соответствует определенным стандартам без использования небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасная криптография. Настройте автоматическую смену сертификата в Azure Key Vault и службу Azure (если она поддерживается) на основе определенного расписания или истечения срока действия сертификата. Если автоматическая ротация не поддерживается в приложении, убедитесь, что ключи все равно вращаются вручную в Azure Key Vault и приложении.
Reference: Используйте сертификаты и безопасно получайте доступ к Azure Key Vault с помощью службы Batch
Управление активами
Дополнительные сведения см. в эталонном показателе безопасности облака Microsoft: Управление активами.
AM-2. Использование только утвержденных служб
Функции
поддержка Azure Policy
Description: конфигурации служб можно отслеживать и применять с помощью Azure Policy. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: используйте Microsoft Defender for Cloud для конфигурации Azure Policy, с целью аудита и принудительного применения конфигураций ваших ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации в ресурсах. Используйте эффекты Azure Policy [отказать] и [развернуть, если отсутствует], чтобы обеспечить безопасную конфигурацию во всех ресурсах Azure.
В любой ситуации, когда отсутствуют встроенные определения политик, можно использовать псевдонимы политики Azure в пространстве имен Microsoft.Batch для создания пользовательских политик.
Reference: Встроенные определения Azure Policy для Azure Batch
AM-5. Использование только утвержденных приложений в виртуальной машине
Функции
Microsoft Defender for Cloud — адаптивные элементы управления приложениями
Description: служба может ограничить работу клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender for Cloud. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для обслуживания или предложения продуктов
Description: у службы есть решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение логирования для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например, учетную запись хранения или рабочую область аналитики журналов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: Активируйте журналы ресурсов Azure для Azure Batch для следующих типов журналов записи: ServiceLog и AllMetrics.
Справка: Пакетные метрики, оповещения и журналы для диагностики и мониторинга
Управление защитной позицией и уязвимостями
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.
PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
Функции
Azure Automation Конфигурация состояния
Description: Azure Automation State Configuration можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
агент конфигурации гостевой среды Azure Policy
Описание: агент гостевой конфигурации Azure Policy можно установить или развернуть в виде расширения для вычислительных ресурсов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование образов виртуальных машин, предоставленных пользователем, или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Руководство по настройке. По возможности используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемый безопасный базовый план конфигурации в шаблоне образа виртуальной машины.
Клиенты также могут использовать пользовательские образы операционной системы для Azure Batch. При использовании конфигурации виртуальной машины для Azure Batch убедитесь, что кастомные образы усилены в соответствии с потребностями вашей организации. Для управления жизненным циклом пулы хранят образы в галерее общих образов. Вы можете настроить безопасный процесс сборки образов с помощью средств Azure automation, таких как построитель образов Azure.
Reference: Использовать управляемый образ для создания настраиваемого пула образов
Пользовательские образы контейнеров
Описание. Служба поддерживает использование пользовательских образов контейнеров или предварительно созданных образов из торговой площадки с некоторыми заранее установленными базовыми конфигурациями. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Руководство по настройке. При использовании пула пакетной службы для выполнения задач в контейнерах, совместимых с Docker на узлах, используйте предварительно настроенные защищенные образы контейнеров от доверенного поставщика, например Майкрософт, или создайте нужную безопасную базовую конфигурацию в шаблоне образа контейнера.
Справка: Запуск контейнерных приложений на Azure Batch
PV-5. Выполнение оценки уязвимостей
Функции
Оценка уязвимостей с помощью Microsoft Defender
Description. Служба может быть отсканирована на наличие уязвимостей с помощью Microsoft Defender for Cloud или других служб Microsoft Defender с встроенной функцией оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, App Service, SQL и DNS). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PV-6. Быстрое и автоматическое исправление уязвимостей
Функции
управление обновлениями Azure Automation
Description: служба может использовать управление обновлениями Azure Automation для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Безопасность конечных точек
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Endpoint Security.
ES-1. Используйте системы обнаружения и реакции на конечных устройствах (EDR)
Функции
Решение EDR
Description: функция обнаружения конечных точек и реагирования (EDR), например Azure Defender для серверов, можно развернуть в конечной точке. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-2. Использование современного программного обеспечения для защиты от вредоносных программ
Функции
Решение для защиты от вредоносных программ
Description: функции защиты от вредоносных программ, такие как антивирусная программа Microsoft Defender и Microsoft Defender for Endpoint, могут быть развернуты на конечной точке. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ
Функции
Мониторинг состояния антивирусных решений
Описание: Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности платформы, ядра и автоматических обновлений сигнатур. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Description: служба может создавать резервные копии службой Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность встроенного резервного копирования службы
Description: служба поддерживает собственную собственную возможность резервного копирования (если Azure Backup не используется). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие шаги
- Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
- Дополнительные сведения о базовых показателях безопасности Azure