Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Замечание
Самый up-toпоследний Azure Security Benchmark доступен здесь.
Создайте, реализуйте и активно управляйте (отслеживайте, сообщайте, исправляйте) конфигурацию безопасности ресурсов Azure, чтобы предотвратить использование злоумышленниками уязвимых служб и параметров.
7.1. Создание безопасных конфигураций для всех ресурсов Azure
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.1 | 5.1 | Клиент |
Используйте псевдонимы политики Azure для создания настраиваемых политик для аудита или принудительного применения конфигурации ресурсов Azure. Вы также можете использовать встроенные определения политики Azure.
Кроме того, Azure Resource Manager имеет возможность экспортировать шаблон в нотации объектов JavaScript (JSON), что необходимо проверить, чтобы обеспечить соответствие конфигураций или превышение требований к безопасности для вашей организации.
Вы также можете использовать рекомендации из Центра безопасности Azure в качестве безопасной базовой конфигурации для ресурсов Azure.
Руководство по Создание политик и управление ими для обеспечения соответствия требованиям
Экспорт одного и нескольких ресурсов в шаблон на портале Azure
7.2. Установка безопасных конфигураций операционной системы
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.2 | 5.1 | Клиент |
Используйте рекомендации Центра безопасности Azure для поддержания конфигураций безопасности во всех вычислительных ресурсах. Кроме того, вы можете использовать пользовательские образы операционной системы или конфигурацию состояния службы автоматизации Azure для установления конфигурации безопасности операционной системы, необходимой для вашей организации.
Общие сведения о конфигурации состояния службы автоматизации Azure
Создание виртуальной машины Linux на пользовательском диске с помощью Azure CLI
7.3. Обеспечение безопасности конфигураций ресурсов Azure
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.3 | 5.2 | Клиент |
Используйте политику Azure [запрет] и [развертывание, если не существует], чтобы применить безопасные параметры в ресурсах Azure. Кроме того, вы можете использовать шаблоны Azure Resource Manager для поддержания конфигурации безопасности ресурсов Azure, необходимых вашей организации.
7.4. Поддержание безопасных конфигураций операционной системы
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7,4 | 5.2 | Общее |
Следуйте рекомендациям Центра безопасности Azure по выполнению оценки уязвимостей в вычислительных ресурсах Azure. Кроме того, вы можете использовать шаблоны Azure Resource Manager, пользовательские образы операционной системы или конфигурацию состояния службы автоматизации Azure для поддержания конфигурации безопасности операционной системы, требуемой вашей организацией. Шаблоны виртуальных машин Майкрософт в сочетании с требуемой конфигурацией состояния службы автоматизации Azure могут помочь в выполнении и поддержании требований к безопасности.
Кроме того, обратите внимание, что образы виртуальных машин Azure Marketplace, опубликованные корпорацией Майкрософт, управляются и поддерживаются корпорацией Майкрософт.
Реализация рекомендаций по оценке уязвимостей Центра безопасности Azure
Создание виртуальной машины Azure из шаблона Azure Resource Manager
Общие сведения о конфигурации состояния службы автоматизации Azure
Пример скрипта для отправки виртуального жесткого диска в Azure и создания новой виртуальной машины
7.5. Безопасное хранение конфигурации ресурсов Azure
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.5 | 5,3 | Клиент |
Используйте Azure DevOps для безопасного хранения кода, например пользовательских политик Azure, шаблонов Azure Resource Manager и сценариев требуемой конфигурации состояния. Чтобы получить доступ к ресурсам, которым вы управляете в Azure DevOps, вы можете предоставить или запретить разрешения определенным пользователям, встроенным группам безопасности или группам, определенным в Azure Active Directory (Azure AD), при интеграции с Azure DevOps или Active Directory при интеграции с TFS.
7.6. Безопасное хранение пользовательских образов операционной системы
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.6 | 5,3 | Клиент |
При использовании пользовательских образов используйте управление доступом на основе ролей Azure (Azure RBAC), чтобы обеспечить доступ только авторизованным пользователям. Используя общую коллекцию образов, вы можете делиться образами с различными пользователями, служебными учетными записями или группами AD в вашей организации. Для образов контейнеров сохраните их в реестре контейнеров Azure и используйте Azure RBAC, чтобы обеспечить доступ только авторизованным пользователям.
7.7. Развертывание средств управления конфигурацией для ресурсов Azure
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.7 | 5,4 | Клиент |
Определите и реализуйте стандартные конфигурации безопасности для ресурсов Azure с помощью политики Azure. Используйте псевдонимы политики Azure для создания настраиваемых политик для аудита или принудительного применения конфигурации сети ресурсов Azure. Вы также можете использовать встроенные определения политик, связанные с определенными ресурсами. Кроме того, вы можете использовать службу автоматизации Azure для развертывания изменений конфигурации.
7.8. Развертывание средств управления конфигурацией для операционных систем
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.8 | 5,4 | Клиент |
Конфигурация состояния службы автоматизации Azure — это служба управления конфигурацией для узлов Требуемой конфигурации состояния (DSC) в любом облаке или локальном центре обработки данных. Вы можете легко подключить компьютеры, назначить их декларативные конфигурации и просмотреть отчеты, показывающие соответствие каждого компьютера требуемому состоянию, которое вы указали.
7.9. Реализация автоматического мониторинга конфигурации для ресурсов Azure
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.9 | 5.5 | Клиент |
Используйте Центр безопасности Azure для выполнения базовых проверок ресурсов Azure. Кроме того, используйте политику Azure для оповещения и аудита конфигураций ресурсов Azure.
7.10. Реализация автоматизированного мониторинга конфигурации для операционных систем
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.10 | 5.5 | Клиент |
Используйте Центр безопасности Azure для выполнения базовых проверок для параметров ОС и Docker для контейнеров.
7.11. Безопасное управление секретами Azure
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.11 | 13.1 | Клиент |
Используйте управляемое удостоверение службы в сочетании с Azure Key Vault, чтобы упростить и защитить управление секретами для облачных приложений.
7.12. Безопасное и автоматическое управление идентификациями
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.12 | 4,1 | Клиент |
Используйте управляемые удостоверения для предоставления службам Azure автоматически управляемого удостоверения в Azure AD. Управляемые удостоверения позволяют аутентифицироваться в любой службе, поддерживающей проверку подлинности Azure AD, включая такие как Key Vault, без указания учетных данных в коде.
7.13. Устранение непреднамеренного раскрытия учетных данных
| Идентификатор Azure | Идентификаторы СНГ | Ответственность |
|---|---|---|
| 7.13 | 18.1, 18.7 | Клиент |
Реализуйте сканер учетных данных для идентификации учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.
Дальнейшие шаги
- См. следующий элемент управления безопасностью: Защита от вредоносных программ