Базовый план безопасности Azure для Azure Resource Manager
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Azure Resource Manager. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Azure Resource Manager.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции, неприменимые к Azure Resource Manager, были исключены. Чтобы узнать, как Azure Resource Manager полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Azure Resource Manager.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении azure Resource Manager, что может привести к повышению безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | MGMT/Управление |
| Клиент может получить доступ к HOST/ОС | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Неверно |
| Хранит неактивный контент клиента | Неверно |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Разверните частные конечные точки, чтобы создать частную точку доступа для управления ресурсами в корневой группе управления (клиенте).
Примечание. Управление ресурсами Приватный канал ресурсов можно подключить к частной конечной точке, чтобы обеспечить безопасный частный доступ для управления ресурсами Azure.
Справочник. Создание приватного канала для управления ресурсами Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Azure Resource Manager поддерживает частное подключение через частные конечные точки Azure и ресурс Приватных каналов управления ресурсами. Однако возможность отключения доступа к общедоступной сети пока недоступна.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Шифрование данных при передаче
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Переход на TLS 1.2 для Azure Resource Manager
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Справочник. Политика Azure встроенных определений для Azure Resource Manager
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для предложения услуг и продуктов
Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Microsoft Defender для Resource Manager отслеживает операции управления ресурсами в организации, независимо от того, выполняются ли они с помощью портал Azure, REST API Azure, Azure CLI или других программных клиентов Azure. Defender для облака обеспечивает расширенную аналитику безопасности для обнаружения угроз и предупреждает о подозрительных действиях.
Справочник. Обзор Microsoft Defender для Resource Manager
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.Resources
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
LT-4. Включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Включение журналов ресурсов для azure Resource Manager. Когда вы создаете ресурсы в Azure и управляете ими, оркестрация ваших запросов осуществляется на уровне управления Azure — в Azure Resource Manager. С помощью ведения журнала ресурсов можно отслеживать объем и задержку запросов уровня управления, сделанных в Azure. Эти метрики позволяют наблюдать за трафиком и задержкой для запросов уровня управления во всех подписках. Например, теперь можно выяснить, когда ваши запросы были ограничены или завершились сбоем, путем фильтрации по определенным кодам состояния.
Справка.Метрики azure Resource Manager в Azure Monitor
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Возможность резервного копирования в собственном коде службы
Описание: служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Экспорт шаблона azure Resource Manager нельзя использовать для сбора неактивных данных. Для конфигураций ресурсов рекомендуется создать инфраструктуру из исходных шаблонов и при необходимости выполнять повторное развертывание из этого "источника истины". Экспорт шаблона может помочь в начальной загрузке этого процесса, но он недостаточно надежный для учета аварийного восстановления.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.