Sanal Makine Ölçek Kümeleri için Azure güvenlik temeli
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Sanal Makine Ölçek Kümeleri yönergelerini uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Sanal Makine Ölçek Kümeleri için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Sanal Makine Ölçek Kümeleri uygulanamaz özellikler dışlanmıştır. Sanal Makine Ölçek Kümeleri Tamamen Microsoft bulut güvenlik karşılaştırmasına nasıl eşlediğini görmek için tam Sanal Makine Ölçek Kümeleri güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, Sanal Makine Ölçek Kümeleri yüksek etkili davranışlarını özetler ve bu da güvenlik konusunda dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | İşlem |
| Müşteri HOST/işletim sistemine erişebilir | Tam Erişim |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure'da sanal ağlar ve sanal makineler
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Trafiği bağlantı noktasına, protokole, kaynak IP adresine veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) kullanın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.
Bir Azure sanal makinesi (VM) oluşturduğunuzda, bir sanal ağ oluşturmanız veya mevcut bir sanal ağı kullanmanız ve VM'yi bir alt ağ ile yapılandırmanız gerekir. Dağıtılan tüm alt ağların uygulamalarınızın güvenilen bağlantı noktalarına ve kaynaklarına özgü ağ erişim denetimleriyle uygulanmış bir Ağ Güvenlik Grubuna sahip olduğundan emin olun.
Başvuru: Ağ güvenlik grupları
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır | Azure Güvenlik Merkezi İnternet'e yönelik sanal makinelerin trafik desenlerini analiz eder ve olası saldırı yüzeyini azaltan Ağ Güvenlik Grubu kural önerileri sağlar | AuditIfNotExists, Devre Dışı | 3.0.0 |
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: İşletim sistemiyle yüklenen hizmetler, devre dışı bırakılmış genel ağ erişimine ağ filtrelemesi sağlamak için kullanılabilir.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory (Azure AD) kullanın. Azure AD bekleyen ve aktarılan veriler için güçlü şifreleme kullanarak verileri korur. Azure AD ayrıca kullanıcı kimlik bilgilerini tuzlar, karmalar ve güvenli bir şekilde depolar. Kodunuzda hiçbir kimlik bilgisi olmadan Key Vault dahil olmak üzere Azure AD kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapmak için yönetilen kimlikleri kullanabilirsiniz. Sanal makinede çalışan kodunuz, yönetilen kimliğini kullanarak Azure AD kimlik doğrulamasını destekleyen hizmetler için erişim belirteçleri isteyebilir.
Başvuru: Azure AD birleştirme uygulaması
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesapların kullanımından kaçının; bunlar mümkün olduğunda devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mümkün olduğunda, Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilen hizmet sorumluları yerine Azure tarafından yönetilen kimlikleri kullanın. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur; kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgileri önlenir.
Başvuru: Azure kaynakları için yönetilen kimlikler
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Hizmet sorumluları Sanal Makine Ölçek Kümeleri çalışan uygulamalar tarafından kullanılabilir.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanmış yönetilen kimliğe sahip olmadıklarında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Veri düzleminde veya işletim sisteminde, hizmetler kimlik bilgileri veya gizli diziler için Azure Key Vault çağırabilir.
Yapılandırma Kılavuzu: Gizli dizileri ve kimlik bilgilerini kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesapların kullanımından kaçının; bunlar mümkün olduğunda devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure portal kullanarak ölçek kümesinde sanal makineler oluşturma
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Role-Based Access Control (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Yerleşik rol atamaları aracılığıyla Azure kaynak erişimini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Azure RBAC rolleri kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere atanabilir.
Başvuru: Sanal Makine Katkıda Bulunanı için Yerleşik Rol
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, Gözden geçirmek için Müşteri Kasası'na tıklayın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri taşımayı (müşterinin içeriğinde) izlemek için DLP çözümünü destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
AktarımDaki Veriler Şifrelemesi
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: SSH gibi bazı iletişim protokolleri varsayılan olarak şifrelenir. Ancak RDP veya HTTP gibi hizmetlerin şifreleme için TLS kullanacak şekilde yapılandırılması gerekir.
Yapılandırma Kılavuzu: Yerleşik aktarım şifrelemesi özelliğinde yerel verilerin bulunduğu hizmetlerde güvenli aktarımı etkinleştirin. Herhangi bir web uygulaması ve hizmeti üzerinde HTTPS uygulayın ve TLS v1.2 veya sonraki bir sürümün kullanıldığından emin olun. SSL 3.0, TLS v1.0 gibi eski sürümler devre dışı bırakılmalıdır. Sanal Makineler uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
Başvuru: VM'lerde aktarım sırasında şifreleme
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır | makineleriniz İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. | AuditIfNotExists, Devre Dışı | 4.1.1 |
DP-4: Bekleyen verileri varsayılan olarak şifrelemeyi etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Platform tarafından yönetilen anahtarlarla standart şifrelemeye ek olarak, belirli bir şifreleme algoritması, uygulama veya anahtarın gizliliğinin tehlikeye girme riskiyle ilgilenen yüksek güvenlik duyarlı müşteriler artık platform tarafından yönetilen şifreleme anahtarlarını ve müşteri tarafından yönetilen anahtarları kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Bu yeni katman kalıcı işletim sistemine ve veri disklerine, anlık görüntülere ve görüntülere uygulanabilir ve bunların tümü bekleyen durumda çift şifreleme ile şifrelenir.
Daha fazla bilgi için lütfen şu adresi ziyaret edin: Bekleyen çift şifreleme.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Sanal Makine Ölçek Kümeleri için Azure Disk Şifrelemesi
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir. | Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapıldığında veriler şifrelenmez. Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için adresini ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 1.2.0-önizleme |
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler şifrelemesi, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Sanal Makineler (VM) üzerindeki sanal diskler bekleyen durumda Sunucu tarafı şifreleme veya Azure disk şifrelemesi (ADE) kullanılarak şifrelenir. Azure Disk Şifrelemesi, konuk VM'de müşteri tarafından yönetilen anahtarlarla yönetilen diskleri şifrelemek için Linux'un DM-Crypt özelliğinden yararlanıyor. Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesi, Depolama hizmetindeki verileri şifreleyerek VM'leriniz için herhangi bir işletim sistemi türünü ve görüntülerini kullanmanızı sağlayarak ADE'yi geliştirir.
Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarlar erişim denetimlerini yönetmek için çok daha fazla esneklik sunar. Müşteri tarafından yönetilen anahtarlarınızı depolamak için Azure Key Vault veya Azure Key Vault Yönetilen Donanım Güvenlik Modülü(HSM) kullanmanız gerekir.
RSA anahtarlarınızı Key Vault aktarabilir veya Azure Key Vault'da yeni RSA anahtarları oluşturabilirsiniz. Azure yönetilen diskleri, şifreleme ve şifre çözme işlemlerini zarf şifrelemesini kullanarak tamamen saydam bir şekilde işler. AES 256 tabanlı bir veri şifreleme anahtarı (DEK) kullanarak verileri şifreler. Bu anahtarlar, anahtarlarınızla korunur. Depolama hizmeti veri şifreleme anahtarları oluşturur ve RSA şifrelemesini kullanarak bunları müşteri tarafından yönetilen anahtarlarla şifreler. Zarf şifrelemesi, anahtarlarınızı vm'lerinizi etkilemeden uyumluluk ilkelerinize göre düzenli aralıklarla döndürmenize (değiştirmenize) olanak tanır. Anahtarlarınızı döndürdüğünüzde, Depolama hizmeti veri şifreleme anahtarlarını müşteri tarafından yönetilen yeni anahtarlarla yeniden şifreler.
Yönetilen Diskler ve Key Vault veya yönetilen HSM aynı Azure bölgesinde olmalıdır, ancak farklı aboneliklerde olabilir. Yönetilen diskleri kiracılar arası müşteri tarafından yönetilen anahtarlarla şifrelemediğiniz sürece aynı Azure Active Directory (Azure AD) kiracısında da olmalıdır.
Başvuru: Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma
DP-6: Güvenli bir anahtar yönetimi işlemi kullanma
Özellikler
Azure Key Vault'de Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Azure Key Vault ve hizmetinizde anahtarlarınızı tanımlı bir zamanlamaya göre veya önemli bir kullanımdan kaldırma veya risk altında kalma durumlarına göre döndürün ve iptal edin. İş yükü, hizmet veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınız (KEK) ile ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault kayıtlı olduğundan ve hizmetten veya uygulamadan anahtar kimlikleri aracılığıyla başvuruldığından emin olun. Hizmete kendi anahtarınızı (KAG) getirmeniz gerekiyorsa (örneğin, şirket içi HSM'lerinizden Azure Key Vault HSM korumalı anahtarları içeri aktarma), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylı hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure İlkesi, kuruluşunuzun Windows VM'leri ve Linux VM'leri için istenen davranışı tanımlamak için kullanılabilir. Kuruluş, ilkeleri kullanarak kuruluş genelinde çeşitli kural ve kuralları zorunlu kılabilir ve Azure Sanal Makine Ölçek Kümeleri için standart güvenlik yapılandırmaları tanımlayıp uygulayabilir. İstenen davranışın uygulanması, kuruluşun başarısına katkıda bulunurken riski azaltmaya yardımcı olabilir.
Başvuru: Sanal Makine Ölçek Kümeleri için yerleşik Azure İlkesi Tanımları
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik için etiketler ve kaynak grupları desteği gibi güvenlik iyileştirmeleri sağlamak üzere sanal makineleriniz için yeni Azure Resource Manager kullanın Yönetimi | Denetim, Reddetme, Devre Dışı | 1.0.0 |
AM-5: Sanal makinede yalnızca onaylı uygulamaları kullanın
Özellikler
Bulut için Microsoft Defender - Uyarlamalı Uygulama Denetimleri
Açıklama: Hizmet, Bulut için Microsoft Defender'daki Uyarlamalı Uygulama Denetimlerini kullanarak sanal makinede çalıştırılacak müşteri uygulamalarını sınırlayabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sanal makinelerde (VM) çalışan uygulamaları bulmak ve vm ortamında hangi onaylı uygulamaların çalışabileceğini zorunlu hale getirmek üzere bir uygulama izin listesi oluşturmak üzere Bulut uyarlamalı uygulama denetimleri için Microsoft Defender kullanın.
Başvuru: Makinelerinizin saldırı yüzeylerini azaltmak için uyarlamalı uygulama denetimlerini kullanma
Bulut izleme için Microsoft Defender
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamalar tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştırıldığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet / Ürün Teklifi için Microsoft Defender
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sunucular için Defender, korumayı Azure'da çalışan Windows ve Linux makinelerinize genişletir. Sunucular için Defender, uç nokta algılama ve yanıt (EDR) sağlamak için Uç Nokta için Microsoft Defender ile tümleşir ve ayrıca güvenlik temelleri ve işletim sistemi düzeyi değerlendirmeleri, güvenlik açığı değerlendirme taraması, uyarlamalı uygulama denetimleri (AAC), dosya bütünlüğü izleme (FIM) ve daha fazlası gibi bir dizi ek tehdit koruma özelliği sağlar.
Başvuru: Sunucular için Microsoft Defender Genel Bakış
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard makinelerinizde etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 2.0.0 |
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Vm'yi oluşturduğunuzda Azure İzleyici sanal makine konağınız için ölçüm verilerini otomatik olarak toplamaya başlar. Ancak sanal makinenin konuk işletim sisteminden günlükleri ve performans verilerini toplamak için Azure İzleyici aracısını yüklemeniz gerekir. VM içgörülerini kullanarak veya bir veri toplama kuralı oluşturarak aracıyı yükleyebilir ve koleksiyonu yapılandırabilirsiniz.
Başvuru: Log Analytics aracıya genel bakış
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
Duruş ve güvenlik açığı yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Duruş ve güvenlik açığı yönetimi.
PV-3: İşlem kaynakları için güvenli yapılandırmalar tanımlama ve oluşturma
Özellikler
Azure Otomasyonu State Configuration
Açıklama: Azure Otomasyonu State Configuration işletim sisteminin güvenlik yapılandırmasını korumak için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İşletim sisteminin güvenlik yapılandırmasını korumak için Azure Otomasyonu State Configuration kullanın. Azure Otomasyonu State Configuration, düğümler için PowerShell Desired State Configuration (DSC) yapılandırmalarını yazmanızı, yönetmenizi ve derlemenizi sağlayan bir Azure yapılandırma yönetimi hizmetidir.
Azure Otomasyonu State Configuration, Azure dışında DSC kullanımına göre çeşitli avantajlar sağlar. Bu hizmet, merkezi ve güvenli bir konumdan binlerce makinede hızlı ve kolay bir şekilde ölçeklenebilirlik sağlar. Makineleri kolayca etkinleştirebilir, bildirim temelli yapılandırmalar atayabilir ve her makinenin belirttiğiniz istenen durumla uyumluluğunu gösteren raporları görüntüleyebilirsiniz.
Başvuru: Azure DSC Uzantısı ile Sanal Makine Ölçek Kümeleri Kullanma
Azure İlkesi Konuk Yapılandırma Aracısı
Açıklama: Azure İlkesi konuk yapılandırma aracısı, işlem kaynaklarına uzantı olarak yüklenebilir veya dağıtılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sanal makinelerinizdeki yapılandırma sapmalarını düzenli olarak değerlendirmek ve düzeltmek için Bulut ve Azure İlkesi konuk yapılandırma aracısı için Microsoft Defender kullanın.
Başvuru: Azure İlkesi konuk yapılandırma özelliğini anlama
Özel VM Görüntüleri
Açıklama: Hizmet, önceden uygulanmış belirli temel yapılandırmalarla marketten kullanıcı tarafından sağlanan VM görüntülerinin veya önceden oluşturulmuş görüntülerin kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft gibi güvenilir bir tedarikçiden önceden yapılandırılmış sağlamlaştırılmış bir görüntü kullanın veya VM görüntü şablonunda istenen güvenli yapılandırma temelini oluşturun
Başvuru: Azure PowerShell ile sanal makine ölçek kümeleri için özel görüntü oluşturma ve kullanma
PV-4: İşlem kaynakları için güvenli yapılandırmaları denetleme ve zorlama
Özellikler
Güvenilen Başlatma Sanal Makinesi
Açıklama: Güvenilir Başlatma, güvenli önyükleme, vTPM ve bütünlük izleme gibi altyapı teknolojilerini birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar. Her teknoloji gelişmiş tehditlere karşı başka bir savunma katmanı sağlar. Güvenilen başlatma, doğrulanmış önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücüleri olan sanal makinelerin güvenli dağıtımına olanak tanır ve sanal makinelerdeki anahtarları, sertifikaları ve gizli dizileri güvenli bir şekilde korur. Güvenilen başlatma ayrıca tüm önyükleme zincirinin bütünlüğüne ilişkin içgörüler ve güven sağlar ve iş yüklerinin güvenilir ve doğrulanabilir olmasını sağlar. Vm'lerin düzgün yapılandırıldığından emin olmak için, VM'lerin iyi durumda bir şekilde önyüklendiğini uzaktan doğrulayarak güvenilir başlatma, Bulut için Microsoft Defender ile tümleşiktir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notu: 2. nesil VM'ler için güvenilen başlatma kullanılabilir. Güvenilir başlatma için yeni sanal makinelerin oluşturulması gerekir. Başlangıçta bu olmadan oluşturulmuş olan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.
Yapılandırma Kılavuzu: Vm dağıtımı sırasında güvenilen başlatma etkinleştirilebilir. Sanal makine için en iyi güvenlik duruşunu sağlamak için üçünü de etkinleştirin: Güvenli Önyükleme, vTPM ve bütünlük önyüklemesi izleme. Aboneliğinizi Bulut için Microsoft Defender ekleme, belirli Azure İlkesi girişimlerini atama ve güvenlik duvarı ilkelerini yapılandırma gibi birkaç önkoşul olduğunu lütfen unutmayın.
Başvuru: Güvenilir başlatma etkin bir VM dağıtma
PV-5: Güvenlik açığı değerlendirmeleri gerçekleştirme
Özellikler
Microsoft Defender kullanarak Güvenlik Açığı Değerlendirmesi
Açıklama: Hizmet, Bulut için Microsoft Defender veya diğer Microsoft Defender hizmetleri eklenmiş güvenlik açığı değerlendirme özelliği (sunucu, kapsayıcı kayıt defteri, App Service, SQL ve DNS için Microsoft Defender dahil) kullanılarak güvenlik açığı taraması için taranabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure sanal makinelerinizde güvenlik açığı değerlendirmeleri gerçekleştirmek için bulut için Microsoft Defender önerilerine uyun.
Başvuru: Sunucular için Microsoft Defender Genel Bakış
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri, güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
PV-6: Güvenlik açıklarını hızlı ve otomatik olarak düzeltme
Özellikler
Azure Otomasyonu Güncelleştirme Yönetimi
Açıklama: Hizmet, düzeltme eklerini ve güncelleştirmeleri otomatik olarak dağıtmak için Azure Otomasyonu Güncelleştirme Yönetimi'ni kullanabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Microsoft, Genel güncelleştirme yönetimi stratejinizin bir parçası olarak dikkate almanız gereken Azure VM'leriniz veya Azure sanal makine ölçek kümeleriniz için güncelleştirmeleri yönetmenize yardımcı olacak başka özellikler sunar.
Her ay yayımlanan Kritik ve Güvenlik güncelleştirmeleriyle güvenlik uyumluluğunu korumak için Azure sanal makinelerinizi otomatik olarak değerlendirmek ve güncelleştirmek istiyorsanız, Otomatik VM konuk düzeltme eki uygulama bölümünü gözden geçirin. Bu, Azure Otomasyonu’ndaki Güncelleştirme Yönetimi’nden bu VM'lere yapılan güncelleştirme dağıtımlarını yönetmeye kıyasla, bir kullanılabilirlik kümesi içindeki VM'ler dahil, Azure VM'lerinizin yoğun olmayan saatlerde otomatik olarak güncelleştirilmesi için alternatif bir güncelleştirme yönetimi çözümüdür.
Azure sanal makine ölçek kümelerini yönetiyorsanız, ölçek kümesindeki tüm örnekler için işletim sistemi diskini güvenli bir şekilde ve otomatik olarak yükseltmek için otomatik işletim sistemi görüntüsü yükseltmelerini nasıl gerçekleştirebileceğinizi gözden geçirin.
Daha fazla bilgi için lütfen şu adresi ziyaret edin: Azure Sanal Makine Ölçek Kümesi otomatik işletim sistemi görüntüsü yükseltmeleri.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Azure Konuk Düzeltme Eki Uygulama Hizmeti
Açıklama: Hizmet, düzeltme eklerini ve güncelleştirmeleri otomatik olarak dağıtmak için Azure Konuk Düzeltme Eki Uygulama özelliğini kullanabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmetler , Otomatik İşletim Sistemi Görüntü Yükseltmeleri ve Otomatik Konuk Düzeltme Eki Uygulama gibi farklı güncelleştirme mekanizmalarından yararlanabilir. Bu özellikler, Güvenli Dağıtım İlkeleri'ni izleyerek Sanal Makinenizin Konuk İşletim Sistemi'ne en son güvenlik ve kritik güncelleştirmeleri uygulamanız için önerilir.
Otomatik Konuk Düzeltme Eki Uygulama, her ay yayımlanan Kritik ve Güvenlik güncelleştirmeleriyle güvenlik uyumluluğunu korumak için Azure sanal makinelerinizi otomatik olarak değerlendirmenize ve güncelleştirmenize olanak tanır. Güncelleştirmeler, kullanılabilirlik kümesi içindeki VM'ler dahil yoğun olmayan saatlerde uygulanır. Bu özellik VMSS Esnek Düzenleme için kullanılabilir ve gelecekte Tekdüzen Düzenleme yol haritasında destek sağlanır.
Durum bilgisi olmayan bir iş yükü çalıştırırsanız, Otomatik İşletim Sistemi Görüntü Yükseltmeleri VMSS Tekdüzeniniz için en son güncelleştirmeyi uygulamak için idealdir. Geri alma özelliğiyle bu güncelleştirmeler Market veya Özel görüntülerle uyumludur. Esnek Düzenleme yol haritasında gelecekteki sıralı yükseltme desteği.
Başvuru: Azure VM'leri için Otomatik VM Konuk Düzeltme Eki Uygulama
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Makinelerinize sistem güncelleştirmeleri yüklenmelidir (Güncelleştirme Merkezi tarafından desteklenir) | Makinelerinizde sistem, güvenlik ve kritik güncelleştirmeler eksik. Yazılım güncelleştirmeleri genellikle güvenlik delikleri için kritik düzeltme ekleri içerir. Bu tür delikler kötü amaçlı yazılım saldırılarında sıklıkla yararlanılır, bu nedenle yazılımınızı güncel tutmak çok önemlidir. Bekleyen tüm düzeltme eklerini yüklemek ve makinelerinizin güvenliğini sağlamak için düzeltme adımlarını izleyin. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
Uç nokta güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Uç nokta güvenliği.
ES-1: Uç Nokta Algılama ve Yanıt (EDR) kullanma
Özellikler
EDR Çözümü
Açıklama: Sunucular için Azure Defender gibi Uç Nokta Algılama ve Yanıt (EDR) özelliği uç noktaya dağıtılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sunucular için Azure Defender (Uç Nokta için Microsoft Defender tümleşik) gelişmiş tehditleri önlemeye, algılamaya, araştırmaya ve yanıtlamaya yönelik EDR özelliği sağlar. Uç noktanız için sunucular için Azure Defender'ı dağıtmak ve uyarıları Azure Sentinel gibi SIEM çözümünüzle tümleştirmek için Bulut için Microsoft Defender kullanın.
Başvuru: Uç Nokta için Microsoft Defender için tümleşik lisans
ES-2: Modern kötü amaçlı yazılımdan koruma yazılımı kullanın
Özellikler
Kötü Amaçlı Yazılımdan Koruma Çözümü
Açıklama: Microsoft Defender Virüsten Koruma gibi kötü amaçlı yazılımdan koruma özelliği Uç Nokta için Microsoft Defender uç noktaya dağıtılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Windows Server 2016 ve üzeri için virüsten koruma için Microsoft Defender varsayılan olarak yüklenir. müşteriler Windows Server 2012 R2 ve üzeri için SCEP (System Center Endpoint Protection) yükleyebilir. Linux için müşteriler Linux için Microsoft Defender yükleme seçeneğine sahip olabilir. Alternatif olarak, müşteriler üçüncü taraf kötü amaçlı yazılımdan koruma ürünlerini yükleme seçeneğine de sahiptir.
Başvuru: Azure Cloud Services ve Sanal Makineler için Microsoft Antimalware
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Desteklenen Azure Güvenlik Merkezi uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uç nokta koruma değerlendirmesi burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Devre Dışı | 1.0.0 |
ES-3: Kötü amaçlı yazılımdan koruma yazılımının ve imzalarının güncelleştirildiğinden emin olun
Özellikler
Kötü Amaçlı Yazılımdan Koruma Çözümü Sistem Durumunu İzleme
Açıklama: Kötü amaçlı yazılımdan koruma çözümü platform, altyapı ve otomatik imza güncelleştirmeleri için sistem durumu izlemesi sağlar. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Platformun, altyapının ve imzaların hızlı ve tutarlı bir şekilde güncelleştirildiğinden ve durumlarının izlendiğinden emin olmak için kötü amaçlı yazılımdan koruma çözümünüzü yapılandırın.
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Desteklenen Azure Güvenlik Merkezi uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uç nokta koruma değerlendirmesi burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: VMSS Tekdüzen için değil VMSS Flex için desteklenir
Yapılandırma Kılavuzu: azure Sanal Makineler (VM) Azure Backup ve hedeflemenin yanı sıra istenen sıklık ve saklama sürelerini etkinleştirin. Bu, tam sistem durumu yedeklemeyi içerir. Azure disk şifrelemesi kullanıyorsanız Azure VM yedeklemesi, müşteri tarafından yönetilen anahtarların yedeklemesini otomatik olarak işler. Azure Sanal Makineler için otomatik yedeklemeleri etkinleştirmek için Azure İlkesi kullanabilirsiniz.
Başvuru: Sanal makine ölçek kümesi örneğinin ve yönetilen diskin anlık görüntüsünü alma
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Compute:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| Sanal Makineler için Azure Backup etkinleştirilmelidir | Azure Backup etkinleştirerek Azure Sanal Makineler korumasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin