Dela via


Azure-säkerhetsbaslinje för Azure Resource Manager

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 till Azure Resource Manager. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Azure Resource Manager.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte gäller för Azure Resource Manager har exkluderats. Om du vill se hur Azure Resource Manager helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för Azure Resource Manager säkerhetsbaslinje.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure Resource Manager, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori MGMT/Styrning
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Falskt
Lagrar kundinnehåll i vila Falskt

Nätverkssäkerhet

Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.

NS-2: Skydda molntjänster med nätverkskontroller

Funktioner

Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (får inte förväxlas med NSG eller Azure Firewall). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Distribuera privata slutpunkter för att upprätta en privat åtkomstpunkt för att hantera resurserna under rothanteringsgruppen (klientorganisationen).

Obs! Resurshantering Private Link resurser kan anslutas till en privat slutpunkt för att aktivera säker, privat åtkomst för hantering av Azure-resurser.

Referens: Skapa en privat länk för att hantera Azure-resurser

Inaktivera åtkomst till offentligt nätverk

Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Azure Resource Manager stöder privat anslutning via privata Azure-slutpunkter och resursen Resource Management Private Links. Möjligheten att inaktivera offentlig nätverksåtkomst är dock ännu inte tillgänglig.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Privilegierad åtkomst

Mer information finns i Microsoft cloud security benchmark: Privileged access (Microsoft cloud security benchmark: Privileged access).

PA-8: Fastställa åtkomstprocessen för molnleverantörssupport

Funktioner

Customer Lockbox

Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Migrera till TLS 1.2 för Azure Resource Manager

DP-4: Aktivera vilande datakryptering som standard

Funktioner

Vilande datakryptering med plattformsnycklar

Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Tillgångshantering

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Azure Policy inbyggda definitioner för Azure Resource Manager

Loggning och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Microsoft Defender för Resource Manager övervakar resurshanteringsåtgärderna i din organisation, oavsett om de utförs via Azure Portal, Azure REST API:er, Azure CLI eller andra Programmatiska Azure-klienter. Defender for Cloud kör avancerad säkerhetsanalys för att identifiera hot och aviseringar om misstänkt aktivitet.

Referens: Översikt över Microsoft Defender för Resource Manager

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Resources:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. AuditIfNotExists, Inaktiverad 1.0.3

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Aktivera resursloggar för Azure Resource Manager. När du skapar och hanterar resurser i Azure dirigeras dina begäranden via Azures kontrollplan, Azure Resource Manager. Med resursloggning kan du övervaka volymen och svarstiden för kontrollplansbegäranden som görs till Azure. Med dessa mått kan du observera trafik och svarstid för kontrollplansbegäranden i dina prenumerationer. Du kan till exempel nu ta reda på när dina begäranden har begränsats eller misslyckats genom att filtrera efter specifika statuskoder.

Referens: Azure Resource Manager-mått i Azure Monitor

Säkerhetskopiering och återställning

Mer information finns i Microsoft cloud security benchmark: Backup and recovery (Microsoft cloud security benchmark: Backup and recovery).

BR-1: Se till att regelbundna automatiserade säkerhetskopieringar

Funktioner

Tjänstens interna säkerhetskopieringsfunktion

Beskrivning: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Azure Resource Manager mallexport kan inte användas för att samla in vilande data. För resurskonfigurationer rekommenderar vi att du skapar infrastruktur från källmallar och att du omdistribuerar från den sanningskällan när det behövs. Mallexport kan hjälpa bootstrap-processen, men den är inte tillräckligt robust för att ta hänsyn till haveriberedskap.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Nästa steg