Поделиться через


Базовые показатели безопасности Azure для Виртуального рабочего стола Azure

Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 к Виртуальному рабочему столу Azure. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в тесте производительности облачной безопасности Майкрософт, и в соответствующем руководстве, применимом к Виртуальному рабочему столу Azure.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.

Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.

Примечание

Функции , неприменимые к Виртуальному рабочему столу Azure, были исключены. Чтобы узнать, как Виртуальный рабочий стол Azure полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Виртуального рабочего стола Azure.

Профиль безопасности

Профиль безопасности содержит общие сведения о поведении Виртуального рабочего стола Azure, что может привести к повышению безопасности.

Атрибут поведения службы Значение
Категория продуктов Виртуальный рабочий стол
Клиент может получить доступ к HOST/ОС Полный доступ
Служба может быть развернута в виртуальной сети клиента Неверно
Хранит неактивный контент клиента Неверно

Безопасность сети

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.

NS-1: установка границы сегментации сети

Компоненты

Интеграция с виртуальной сетью

Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Виртуальные машины в пуле узлов должны быть размещены в виртуальной сети.

Руководство по настройке. Разверните службу в виртуальной сети. Назначьте ресурсу частные IP-адреса (если это применимо), если нет веской причины назначать общедоступные IP-адреса напрямую ресурсу.

Справочник. Учебник. Создание пула узлов

Поддержка групп безопасности сети

Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Виртуальные машины, используемые в пуле узлов, поддерживают использование групп безопасности сети.

Руководство по настройке. Используйте группы безопасности сети (NSG) для ограничения или отслеживания трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.

Справочник. Учебник. Создание пула узлов

NS-2: защита облачных служб с помощью элементов управления сетью

Компоненты

Описание: возможность фильтрации IP-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Приватный канал с Виртуальным рабочим столом Azure в настоящее время находится на этапе предварительной версии.

Руководство по настройке. Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы создать частную точку доступа для ресурсов.

Справка.Использование Приватный канал Azure с Виртуальным рабочим столом Azure (предварительная версия)

Отключение доступа к общедоступной сети

Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление удостоверениями

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).

IM-1: Использование централизованной системы удостоверений и проверки подлинности

Компоненты

аутентификация Azure AD требуется для доступа к плоскости данных

Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.

Справка. Azure AD присоединение к Виртуальному рабочему столу Azure

IM-3: Безопасное и автоматическое управление удостоверениями приложений

Компоненты

управляемые удостоверения.

Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут выполнять проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.

Справочник. Настройка управляемых удостоверений

Субъекты-службы

Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по конфигурации. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.

Справочник. Руководство. Создание субъектов-служб и назначений ролей с помощью PowerShell в Виртуальном рабочем столе Azure (классическая модель)

IM-7: Ограничение доступа к ресурсам на основе условий

Компоненты

Условный доступ для плоскости данных

Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокирование рискованного поведения при входе или требование устройств, управляемых организацией, для определенных приложений.

Справочник. Включение условного доступа

IM-8: ограничение раскрытия учетных данных и секретов

Компоненты

Учетные данные и секреты службы поддерживают интеграцию и хранение в Azure Key Vault

Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Привилегированный доступ

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access( Привилегированный доступ).

PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора

Компоненты

Локальные учетные записи Администратор

Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Для виртуальных машин, добавленных в пул узлов, создается учетная запись администратора локальной виртуальной машины. Избегайте использования локальных методов проверки подлинности или учетных записей. Их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.

Руководство по настройке. Если для обычных административных операций не требуется, отключите или ограничьте учетные записи локальных администраторов только для экстренного использования.

PA-7. Следуйте принципу администрирования с предоставлением минимальных прав

Компоненты

Azure RBAC для плоскости данных

Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям уровня данных службы. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Роли Azure RBAC можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям.

Справочник. Встроенные роли Azure RBAC для Виртуального рабочего стола Azure

PA-8. Определение процесса доступа для поддержки поставщиков облачных служб

Компоненты

Защищенное хранилище клиента

Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Защита данных

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов

Компоненты

Обнаружение и классификация конфиденциальных данных

Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Заметки о функциях. Используйте azure Information Protection (и связанное с ним средство сканирования) для получения конфиденциальной информации в документах Office в Azure, локальной среде, Office 365 и других расположениях.

Руководство по настройке. Используйте такие средства, как Azure Purview, Azure Information Protection и Azure SQL обнаружение и классификация данных, для централизованного сканирования, классификации и маркировки любых конфиденциальных данных, которые находятся в Azure, локальной среде, Microsoft 365 или других расположениях.

DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные

Компоненты

Защита от утечки и потери данных

Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Microsoft

Примечания к функциям. Используйте решения для защиты от потери данных, такие как решения на основе узла, для применения средств обнаружения и (или) профилактических элементов управления для предотвращения кражи данных.

Такие решения, как защита от потери данных для Microsoft Azure, также можно использовать для среды виртуального рабочего стола. Дополнительные сведения см. в статье Защита от потери данных (DLP) для Microsoft Azure Information Protection (AIP) предоставляет возможности мониторинга информации, которая была классифицирована и помечена.

Руководство по настройке. Если требуется для обеспечения соответствия требованиям защиты от потери данных (DLP), можно использовать решение защиты от потери данных на основе узла из Azure Marketplace или решение Microsoft 365 для защиты от потери данных для применения средств обнаружения и (или) профилактических элементов управления для предотвращения кражи данных.

DP-3: шифрование передаваемых конфиденциальных данных

Компоненты

Шифрование данных при передаче

Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справочник. Сеть

DP-4: включение шифрования неактивных данных по умолчанию

Компоненты

Шифрование неактивных данных с помощью ключей платформы

Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True True Microsoft

Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.

Справочные материалы. Защита данных

DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости

Компоненты

Шифрование неактивных данных с помощью CMK

Описание. Шифрование неактивных данных с помощью управляемых клиентом ключей поддерживается для содержимого клиента, хранящегося службой. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-6: безопасное управление ключами

Компоненты

Управление ключами в Azure Key Vault

Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей, секретов или сертификатов клиента. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

DP-7: безопасное управление сертификатами

Компоненты

Управление сертификатами в Azure Key Vault

Описание. Служба поддерживает интеграцию azure Key Vault для любых сертификатов клиента. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Управление ресурсами

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.

AM-2: использование только утвержденных служб

Компоненты

Поддержка службы "Политика Azure"

Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует] для обеспечения безопасной конфигурации в ресурсах Azure.

Справочник. Базовые показатели безопасности Azure для Виртуального рабочего стола Azure

AM-5: использование только утвержденных приложений на виртуальной машине

Компоненты

Microsoft Defender для облака — адаптивные элементы управления приложениями

Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Заметки о функциях. Хотя адаптивное управление приложениями через Microsoft Defender для облака не поддерживается, при выборе модели развертывания можно предоставить удаленным пользователям доступ ко всем виртуальным рабочим столам или только к избранным приложениям. Функция удаленных приложений (приложений RemoteApp) позволяет пользователю легко и удобно работать со своими приложениями на виртуальном рабочем столе. RemoteApps снижает риск, позволяя пользователю работать только с подмножеством удаленного компьютера, предоставляемого приложением.

Дополнительные сведения см. в статье Использование удаленных приложений.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Ведение журнала и обнаружение угроз

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.

LT-1. Включение возможностей обнаружения угроз

Компоненты

Microsoft Defender для предложения услуг и продуктов

Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости управления. Получив оповещение от Microsoft Defender для Key Vault, изучите оповещение и ответьте на него.

Справка. Подключение устройств Windows к Виртуальному рабочему столу Azure

LT-4. Включение ведения журнала для исследования безопасности

Компоненты

Журналы ресурсов Azure

Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Включите журналы ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей, или Azure SQL имеет журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.

Справка.Отправка данных диагностика в рабочую область

Управление состоянием безопасности и уязвимостями

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление состоянием и уязвимостями.

PV-3: определение и задание безопасных конфигураций вычислительных ресурсов

Компоненты

Служба автоматизации Azure — State Configuration

Описание: служба автоматизации Azure State Configuration можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

агент гостевой конфигурации Политика Azure

Описание. Политика Azure агент гостевой конфигурации можно установить или развернуть в качестве расширения для вычислительных ресурсов. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Пользовательские образы виртуальных машин

Описание. Служба поддерживает использование предоставленных пользователем образов виртуальных машин или предварительно созданных образов из Marketplace с предварительно примененными определенными базовыми конфигурациями. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемый базовый план безопасной конфигурации в шаблоне образа виртуальной машины.

Справочник. Операционные системы и лицензии

Образы пользовательских контейнеров

Описание. Служба поддерживает использование предоставленных пользователем образов контейнеров или предварительно созданных образов из Marketplace с предварительно примененными определенными базовыми конфигурациями. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

PV-5: выполнение оценок уязвимостей

Компоненты

Оценка уязвимостей с помощью Microsoft Defender

Описание. Служба может быть проверена на наличие уязвимостей с помощью Microsoft Defender для облака или других встроенных Microsoft Defender служб оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, Служба приложений, SQL и DNS). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Следуйте рекомендациям Microsoft Defender для облака для оценки уязвимостей на виртуальных машинах, образах контейнеров и серверах SQL Azure.

Справочник. Включение Microsoft Defender для облака

PV-6: быстрое и автоматическое исправление уязвимостей

Компоненты

Управление обновлениями в службе автоматизации Azure

Описание. Служба может использовать управление обновлениями служба автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

безопасность конечных точек.

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Endpoint security ( Безопасность конечных точек).

ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)

Компоненты

Решение EDR

Описание. Функция обнаружения и реагирования на конечные точки (EDR), например Azure Defender для серверов, может быть развернута в конечной точке. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Azure Defender для серверов (с интегрированной Microsoft Defender для конечной точки) предоставляет возможности EDR для предотвращения, обнаружения, исследования и реагирования на расширенные угрозы. Используйте Microsoft Defender для облака, чтобы развернуть Microsoft Defender для серверов на конечной точке и интегрировать оповещения в решение SIEM, например Azure Sentinel.

Справочник. Включение защиты конечных точек

ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами

Компоненты

Решение для защиты от вредоносных программ

Описание. Функция защиты от вредоносных программ, например антивирусная программа Microsoft Defender, Microsoft Defender для конечной точки можно развернуть в конечной точке. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Для Windows Server 2016 и более поздних версий Microsoft Defender для антивирусной программы устанавливается по умолчанию. Для Windows Server 2012 R2 и более поздних версий клиенты могут установить SCEP (System Center Endpoint Protection). Для Linux клиенты могут выбрать установку Microsoft Defender для Linux. Кроме того, клиенты также могут устанавливать сторонние продукты для защиты от вредоносных программ.

Справочник. Включение Microsoft Defender для облака

ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур

Компоненты

Мониторинг работоспособности решения для защиты от вредоносных программ

Описание. Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности для обновлений платформы, подсистемы и автоматических сигнатур. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Настройте решение для защиты от вредоносных программ, чтобы обеспечить быстрое и согласованное обновление платформы, подсистемы и подписей, а также отслеживание их состояния.

Справочник. Включение Microsoft Defender для облака

резервное копирование и восстановление

Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).

BR-1: обеспечение регулярного автоматического резервного копирования

Компоненты

Azure Backup

Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
True Неверно Customer

Руководство по настройке. Включите Azure Backup и настройте источник резервного копирования (например, azure Виртуальные машины, SQL Server, базы данных HANA или общие папки) с требуемой частотой и требуемым периодом хранения. Для azure Виртуальные машины можно использовать Политика Azure для включения автоматического резервного копирования.

Справочник. Как Виртуальный рабочий стол Azure обрабатывает резервные копии?

Возможность резервного копирования в собственном коде службы

Описание. Служба поддерживает собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.

Поддерживается Включено по умолчанию Ответственность за настройку
Неверно Н/Д Н/Д

Заметки о функциях. Виртуальный рабочий стол Azure использует Azure Backup.

Руководство по настройке. Эта функция не поддерживается для защиты этой службы.

Дальнейшие действия