Förhindra felkonfiguration med Enforce/Deny-rekommendationer

Säkerhetsfelkonfigurationer är en viktig orsak till säkerhetsincidenter. Defender för molnet kan bidra till att förhindra felkonfigurationer av nya resurser när det gäller specifika rekommendationer.

Den här funktionen kan hjälpa dig att skydda dina arbetsbelastningar och stabilisera dina säkerhetspoäng.

Framtvingandet av en säker konfiguration, baserat på en specifik rekommendation, erbjuds i två lägen:

  • Med hjälp av neka-effekten av Azure Policy kan du förhindra att resurser som inte är felfria skapas
  • Med alternativet Framtvinga kan du dra nytta av Azure Policy DeployIfNotExist-effekt och automatiskt åtgärda icke-kompatibla resurser när de skapas

Detta finns överst på sidan med resursinformation för valda säkerhetsrekommendationer (se Rekommendationer med alternativ för neka/framtvinga).

Förhindra att resurser skapas

  1. Öppna rekommendationen som dina nya resurser måste uppfylla och välj knappen Neka längst upp på sidan.

    Rekommendationssida med knappen Neka markerad.

    Konfigurationsfönstret öppnas med en lista över omfångsalternativen.

  2. Ange omfånget genom att välja relevant prenumeration eller hanteringsgrupp.

    Tips

    Du kan använda de tre punkterna i slutet av raden för att ändra en enskild prenumeration eller använda kryssrutorna för att markera flera prenumerationer eller grupper och sedan välja Ändra till Neka.

    Ange omfånget för Azure Policy neka.

Framtvinga en säker konfiguration

  1. Öppna rekommendationen att du ska distribuera en malldistribution för om nya resurser inte uppfyller den och välj knappen Framtvinga längst upp på sidan.

    Rekommendationssida med knappen Framtvinga markerad.

    Konfigurationsfönstret öppnas med alla alternativ för principkonfiguration.

    Framtvinga konfigurationsalternativ.

  2. Ange omfång, tilldelningsnamn och andra relevanta alternativ.

  3. Välj Granska + skapa.

Rekommendationer med alternativ för neka/framtvinga

Dessa rekommendationer kan användas med alternativet neka :

  • [Aktivera om det behövs] Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data
  • [Aktivera om det behövs] Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel (CMK)
  • [Aktivera om det behövs] Cognitive Services-konton bör aktivera datakryptering med en kundhanterad nyckel (CMK)
  • [Aktivera om det behövs] Containerregister ska krypteras med en kundhanterad nyckel (CMK)
  • Åtkomst till lagringskonton med brandväggs- och virtuella nätverkskonfigurationer bör begränsas
  • Automation-kontovariabler ska krypteras
  • Azure Cache for Redis ska finnas i ett virtuellt nätverk
  • Azure Spring Cloud bör använda nätverksinmatning
  • Begränsningar för containerns processor och minne bör tillämpas
  • Containeravbildningar ska endast distribueras från betrodda register
  • Container med behörighetseskalering bör undvikas
  • Containrar som delar känsliga värdnamnområden bör undvikas
  • Containrar bör endast använda tillåtna AppArmor-profiler
  • Oföränderligt (skrivskyddat) rotfilsystem ska framtvingas för containrar
  • Key Vault nycklar ska ha ett förfallodatum
  • Key Vault hemligheter ska ha ett förfallodatum
  • Nyckelvalv bör ha rensningsskydd aktiverat
  • Nyckelvalv bör ha mjuk borttagning aktiverat
  • De minst privilegierade Linux-funktionerna bör tillämpas för containrar
  • Privilegierade containrar bör undvikas
  • Redis Cache bör endast tillåta åtkomst via SSL
  • Du bör undvika att köra containrar som rotanvändare
  • Säker överföring till lagringskonton ska vara aktiverat
  • Service Fabric-kluster bör ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign
  • Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering
  • Tjänster bör endast lyssna på tillåtna portar
  • Offentlig åtkomst för lagringskontot bör inte tillåtas
  • Lagringskonton ska migreras till nya Azure-Resource Manager resurser
  • Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk
  • Användningen av värdnätverk och portar bör begränsas
  • Användning av Pod HostPath-volymmonteringar bör begränsas till en känd lista för att begränsa nodåtkomst från komprometterade containrar
  • Giltighetsperioden för certifikat som lagras i Azure Key Vault får inte överstiga 12 månader
  • Virtuella datorer ska migreras till nya Azure-Resource Manager resurser
  • Web Application Firewall (WAF) ska vara aktiverat för Application Gateway
  • Web Application Firewall (WAF) ska vara aktiverat för Azure Front Door Service

Dessa rekommendationer kan användas med alternativet framtvinga :

  • Granskning på SQL Server ska vara aktiverat
  • Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender for Cloud-tillägget installerat
  • Azure Backup ska vara aktiverat för virtuella datorer
  • Microsoft Defender för App Service ska vara aktiverat
  • Microsoft Defender för containerregister ska vara aktiverat
  • Microsoft Defender för DNS ska vara aktiverat
  • Microsoft Defender för Key Vault ska vara aktiverat
  • Microsoft Defender för Kubernetes bör vara aktiverat
  • Microsoft Defender för Resource Manager ska vara aktiverat
  • Microsoft Defender för servrar ska vara aktiverat
  • Microsoft Defender för Azure SQL Database-servrar ska vara aktiverade
  • Microsoft Defender för SQL-servrar på datorer ska vara aktiverat
  • Microsoft Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar
  • Microsoft Defender för Storage ska vara aktiverat
  • Azure Policy-tillägget för Kubernetes ska installeras och aktiveras i dina kluster
  • Diagnostikloggar i Azure Stream Analytics bör vara aktiverade
  • Diagnostikloggar i Batch-konton ska vara aktiverade
  • Diagnostikloggar i Data Lake Analytics ska vara aktiverade
  • Diagnostikloggar i Event Hub ska vara aktiverade
  • Diagnostikloggar i Key Vault ska vara aktiverade
  • Diagnostikloggar i Logic Apps ska vara aktiverade
  • Diagnostikloggar i Söktjänster ska vara aktiverade
  • Diagnostikloggar i Service Bus ska vara aktiverade