Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu güvenlik temeli, Microsoft bulut güvenlik karşılaştırması sürüm 1.0 yönergelerini Sanal Makineler - Windows Sanal Makineler'e uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenlik karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Sanal Makineler - Windows Sanal Makineler için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender'ı kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özellik ilgili Azure İlkesi Tanımlarına sahip olduğunda, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Sanal Makineler için geçerli olmayan özellikler - Windows Sanal Makineleri hariç tutuldu. Sanal Makinelerin - Windows Sanal Makinelerinin Tamamen Microsoft bulut güvenliği karşılaştırmasına nasıl eşlediğini görmek için tam Sanal Makineler - Windows Sanal Makineler güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, Sanal Makineler - Windows Sanal Makineleri'nin yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Hesaplamak |
| Müşteri HOST/ işletim sistemine erişebilir | Tam Erişim |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Müşteri içeriğini hareketsiz durumda depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyonu sınırları oluşturma
Özellik
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağına (VNet) dağıtımı destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure'da sanal ağlar ve sanal makineler
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Trafiği bağlantı noktası, protokol, kaynak IP adresi veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) kullanın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.
Bir Azure sanal makinesi (VM) oluşturduğunuzda, bir sanal ağ oluşturmanız veya mevcut bir sanal ağı kullanmanız ve VM'yi bir alt ağ ile yapılandırmanız gerekir. Dağıtılan tüm alt ağlarda, uygulamalarınıza özgü ağ erişim denetimleriyle güvenilen bağlantı noktalarına ve kaynaklara uygulanan bir Ağ Güvenlik Grubu olduğundan emin olun.
Referans: Ağ güvenlik grupları
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi, ağ güvenlik gruplarınızın gelen kurallarından bazılarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır | Azure Güvenlik Merkezi, İnternet'e yönelik sanal makinelerin trafik desenlerini analiz eder ve olası saldırı yüzeyini azaltan Ağ Güvenlik Grubu kural önerileri sağlar | AuditIfNotExists, Devre Dışı | 3.0.0 |
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellik
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Genel erişimi devre dışı bırakmak için ağ filtrelemesi sağlamak için işletim sistemi düzeyindeki Windows Defender Güvenlik Duvarı gibi hizmetleri kullanın.
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellik
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasını kullanmayı destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın.
Başvuru: Parolasız dahil olmak üzere Azure AD kullanarak Azure'da bir Windows sanal makinesinde oturum açın
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Sanal makinenin ilk dağıtımı sırasında varsayılan olarak bir yerel yönetici hesabı oluşturulur. Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellik
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Yönetilen kimlik genellikle Diğer hizmetlerde kimlik doğrulaması yapmak için Windows VM tarafından kullanılır. Windows VM Azure AD kimlik doğrulamasını destekliyorsa yönetilen kimlik desteklenebilir.
Yapılandırma Kılavuzu: Mümkün olduğunda hizmet sorumluları yerine Azure tarafından yönetilen kimlikler kullanın. Bu kimlikler, Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilir. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur; kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgileri önlenir.
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Hizmet sorumluları Windows VM'de çalışan uygulamalar tarafından kullanılabilir.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellik
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Windows Server 2019 Datacenter sürümüne ve sonraki sürümlerine veya Windows 10 1809 ve sonraki sürümlere RDP yapmak için Azure AD'yi çekirdek kimlik doğrulama platformu olarak kullanın. Ardından VM'lere erişime izin veren veya erişimi reddeden Azure rol tabanlı erişim denetimi (RBAC) ve Koşullu Erişim ilkelerini merkezi olarak denetleyebilir ve zorunlu kılabilirsiniz.
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişim engelleme veya erişim verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım örneklerini göz önünde bulundurun.
Başvuru: Parolasız dahil olmak üzere Azure AD kullanarak Azure'da bir Windows sanal makinesinde oturum açın
IM-8: Kimlik bilgilerinin ve gizli bilgilerin açıklanmasını kısıtlama
Özellik
Azure Key Vault'ta Hizmet Kimlik Bilgileri ve Gizli Anahtarların/Tümleştirme ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault'un yerel kullanımını destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Veri düzleminde veya işletim sisteminde hizmetler kimlik bilgileri veya gizli diziler için Azure Key Vault'u çağırabilir.
Yapılandırma Kılavuzu: Gizli dizilerin ve kimlik bilgilerinin kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırma ve sınırlama
Özellik
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel bir yönetim hesabı kavramına sahiptir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Hızlı Başlangıç: Azure portalında Windows sanal makinesi oluşturma
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellik
Veri Düzlemi için Azure RBAC
Açıklama: Azure Role-Based Erişim Denetimi (Azure RBAC), hizmetin veri düzlemi eylemlerine yönetilen erişim için kullanılabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Windows Server 2019 Datacenter sürümüne ve sonraki sürümlerine veya Windows 10 1809 ve sonraki sürümlere RDP yapmak için Azure AD'yi çekirdek kimlik doğrulama platformu olarak kullanın. Ardından VM'lere erişime izin veren veya erişimi reddeden Azure rol tabanlı erişim denetimi (RBAC) ve Koşullu Erişim ilkelerini merkezi olarak denetleyebilir ve zorunlu kılabilirsiniz.
Yapılandırma Kılavuzu: RBAC ile, bir VM'de kimlerin normal kullanıcı olarak veya yönetici ayrıcalıklarıyla oturum açabileceğini belirtin. Kullanıcılar ekibinize katıldığında, vm için Azure RBAC ilkesini uygun şekilde erişim vermek üzere güncelleştirebilirsiniz. Çalışanlar kuruluşunuzdan ayrıldığında ve kullanıcı hesapları devre dışı bırakıldığında veya Azure AD'den kaldırıldığında, artık kaynaklarınıza erişemeyecektir.
Başvuru: Parolasız dahil olmak üzere Azure AD kullanarak Azure'da bir Windows sanal makinesinde oturum açın
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellik
Müşteri Kasası
Açıklama: Customer Lockbox, Microsoft destek erişimi için kullanılabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, gözden geçirmek için Müşteri Kasası'nu kullanın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellik
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellik
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellik
Aktarım Halindeki Verilerin Şifrelenmesi
Açıklama: Hizmet, veri düzlemi için aktarım içi veri şifrelemesini destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: SSH gibi bazı iletişim protokolleri varsayılan olarak şifrelenir. Ancak HTTP gibi diğer hizmetlerin şifreleme için TLS kullanacak şekilde yapılandırılması gerekir.
Yapılandırma Kılavuzu: Yerleşik aktarım şifrelemesi özelliğinde yerel verilerin bulunduğu hizmetlerde güvenli aktarımı etkinleştirin. Herhangi bir web uygulaması ve hizmeti üzerinde HTTPS uygulayın ve TLS v1.2 veya üzerinin kullanıldığından emin olun. SSL 3.0, TLS v1.0 gibi eski sürümler devre dışı bırakılmalıdır. Sanal Makinelerin uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
Başvuru: VM'lerde aktarım içi şifreleme
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır | İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için makineleriniz endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. | AuditIfNotExists, Devre Dışı | 4.1.1 |
DP-4: Durum verilerinin şifrelemesini varsayılan olarak etkinleştir
Özellik
Platform Anahtarlarını Kullanarak Beklemedeki Verilerin Şifrelenmesi
Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenmektedir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Yönetilen diskler varsayılan olarak platform tarafından yönetilen şifreleme anahtarlarını kullanır. Tüm yönetilen diskler, anlık görüntüler, görüntüler ve mevcut yönetilen disklere yazılan veriler, platform tarafından yönetilen anahtarlarla otomatik olarak şifrelenir.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Disk Depolama'nın sunucu tarafı şifrelemesi - Platform tarafından yönetilen anahtarlar
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir | Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. kullanıcı şifrelemesiyle veya 2. Yönetilen Disklerde sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Azure Disk Depolama'nın Sunucu Tarafı Şifrelemesi hakkında daha fazla bilgi için: https://aka.ms/disksse, farklı disk şifreleme teklifleri: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Devre Dışı | 2.0.3 |
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir. | Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak beklemede şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapıldığında veriler şifrelenmez. Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için https://aka.ms/diskencryptioncomparison adresini ziyaret edin. Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için https://aka.ms/gcpoladresini ziyaret edin. | AuditIfNotExists, Devre Dışı | 1.2.0-önizleme |
DP-5: Şifreleme gerektiğinde, bekleme durumundaki verilerin müşteri tarafından yönetilen anahtar seçeneğini kullanın.
Özellik
CMK Kullanarak Durağan Verinin Şifrelenmesi
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak beklemedeki veri, hizmet tarafından depolanan müşteri içeriğinin şifrelenmesini destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Şifrelemeyi her yönetilen disk düzeyinde kendi anahtarlarınızla yönetmeyi seçebilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde, bu anahtar verilerinizi şifreleyen anahtara erişimi korumak ve denetlemek için kullanılır. Müşteri tarafından yönetilen anahtarlar, erişim denetimlerini yönetmek için daha fazla esneklik sunar.
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak durgun veri şifrelemesini etkinleştirin ve uygulayın.
Sanal Makineler'deki (VM) sanal diskler, veri dururken sunucu tarafı şifrelemesiyle veya Azure disk şifrelemesi (ADE) kullanılarak şifrelenir. Azure Disk Şifrelemesi, konuk VM'de müşteri tarafından yönetilen anahtarlarla yönetilen diskleri şifrelemek için Windows'un BitLocker özelliğinden yararlanıyor. Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesi, Depolama hizmetindeki verileri şifreleyerek VM'leriniz için işletim sistemi türlerini ve görüntülerini kullanmanızı sağlayarak ADE'yi geliştirir.
Başvuru: Azure Disk Depolama'nın sunucu tarafı şifrelemesi
DP-6: Güvenli bir anahtar yönetim süreci kullanın
Özellik
Azure Key Vault'ta Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Anahtarlarınızı ve hizmetinizi Azure Key Vault'ta, tanımlı bir zamanlamaya göre veya anahtar kullanım dışı bırakılması ya da güvenlik ihlali durumlarında döndürün ve iptal edin. İş yükünde, hizmette veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınızla (KEK) ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault'a kaydedildiğinden ve hizmet veya uygulama anahtar kimlikleri üzerinden referans alındığından emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (şirket içi HSM'lerinizdeki HSM korumalı anahtarları Azure Key Vault'a aktarma gibi), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: Windows VM'sinde Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellik
Azure Key Vault'ta Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Uygulanamaz | Uygulanamaz |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
-2: Yalnızca onaylanan hizmetleri kullanın
Özellik
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure İlkesi, kuruluşunuzun Windows VM'leri ve Linux VM'leri için istenen davranışı tanımlamak için kullanılabilir. Bir kuruluş, ilkeleri kullanarak kuruluş genelinde çeşitli kuralları ve kuralları zorunlu kılabilir ve Azure Sanal Makineler için standart güvenlik yapılandırmaları tanımlayıp uygulayabilir. İstenen davranışın uygulanması, kuruluşun başarısına katkıda bulunurken riski azaltmaya yardımcı olabilir.
Başvuru: Azure Sanal Makineler için Azure İlkesi yerleşik tanımları
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
-5: Sanal makinede yalnızca onaylı uygulamaları kullanın
Özellik
Bulut için Microsoft Defender - Uyarlamalı Uygulama Denetimleri
Açıklama: Hizmet, Bulut için Microsoft Defender'daki Uyarlamalı Uygulama Denetimlerini kullanarak sanal makinede çalıştırılacak müşteri uygulamalarını sınırlayabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bulut için Microsoft Defender uyarlamalı uygulama denetimlerini kullanarak sanal makinelerde (VM) çalışan uygulamaları bulun ve vm ortamında hangi onaylı uygulamaların çalışabileceğini zorunlu hale getirmek için bir uygulama izin listesi oluşturun.
Başvuru: Makinelerinizin saldırı yüzeylerini azaltmak için uyarlamalı uygulama denetimlerini kullanma
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Günlük kaydı ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft Bulut Güvenliği Karşılaştırması: Günlüğe Kaydetme ve Tehdit Algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellik
Hizmetler / Ürün Sunumu için Microsoft Defender
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarmak için teklife özgü bir Microsoft Defender çözümüne sahiptir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sunucular için Defender, korumayı Azure'da çalışan Windows ve Linux makinelerinize genişletir. Sunucular için Defender, uç nokta algılama ve yanıt (EDR) sağlamak için Uç Nokta için Microsoft Defender ile tümleştirilir ve ayrıca güvenlik temelleri ve işletim sistemi düzeyi değerlendirmeleri, güvenlik açığı değerlendirme taraması, uyarlamalı uygulama denetimleri (AAC), dosya bütünlüğü izleme (FIM) ve daha fazlası gibi ek tehdit koruma özellikleri sunar.
Başvuru: Sunucular için Defender dağıtımınızı planlayın
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 2.0.0 |
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellik
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Vm'yi oluşturduğunuzda Azure İzleyici sanal makine konağınız için ölçüm verilerini otomatik olarak toplamaya başlar. Ancak sanal makinenin konuk işletim sisteminden günlükleri ve performans verilerini toplamak için Azure İzleyici aracısını yüklemeniz gerekir. VM içgörülerini kullanarak veya bir veri toplama kuralı oluşturarak aracıyı yükleyebilir ve koleksiyonu yapılandırabilirsiniz.
Başvuru: Log Analytics aracıya genel bakış
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
Duruş ve güvenlik açığı yönetimi
Daha fazla bilgi için bkz . Microsoft bulut güvenliği karşılaştırması: Duruş ve güvenlik açığı yönetimi.
PV-3: İşlem kaynakları için güvenli yapılandırmalar tanımlama ve oluşturma
Özellik
Azure Otomasyonu Durum Konfigürasyonu
Açıklama: Azure Otomasyonu Durum Yapılandırması, işletim sisteminin güvenlik yapılandırmasını korumak için kullanılabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İşletim sisteminin güvenlik yapılandırmasını korumak için Azure Otomasyonu Durum Yapılandırması'nı kullanın.
Başvuru: İstenen Durum Yapılandırması ile VM'i Yapılandırma
Azure Politika Konuk Yapılandırma Aracısı
Açıklama: Azure İlkesi konuk yapılandırma aracısı, işlem kaynaklarına uzantı olarak yüklenebilir veya dağıtılabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure İlkesi Konuk Yapılandırması artık Azure Otomatik Yönetim Makine Yapılandırması olarak adlandırılıyor.
Yapılandırma Kılavuzu: Vm'ler, kapsayıcılar ve diğerleri dahil olmak üzere Azure işlem kaynaklarınızdaki yapılandırma sapmalarını düzenli olarak değerlendirmek ve düzeltmek için Bulut için Microsoft Defender ve Azure İlkesi konuk yapılandırma aracısını kullanın.
Başvuru: Azure Otomatik Yönetim'in makine yapılandırma özelliğini anlama
Özel VM Görüntüleri
Açıklama: Hizmet, önceden uygulanan belirli temel yapılandırmalarla kullanıcı tarafından sağlanan VM görüntülerini veya marketten önceden oluşturulmuş görüntülerin kullanılmasını destekler. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft gibi güvenilir bir sağlayıcıdan önceden yapılandırılmış sağlamlaştırılmış bir görüntü kullanın veya VM görüntü şablonunda istenen güvenli yapılandırma temelini oluşturun
Başvuru: Öğretici: Azure PowerShell ile Windows VM görüntüleri oluşturma
PV-4: İşlem kaynakları için güvenli yapılandırmaları denetleme ve zorlama
Özellik
Güvenilen Başlatma Sanal Makinesi
Açıklama: Güvenilir Başlatma, güvenli önyükleme, vTPM ve bütünlük izleme gibi altyapı teknolojilerini birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar. Her teknoloji gelişmiş tehditlere karşı başka bir savunma katmanı sağlar. Güvenilen başlatma, doğrulanmış önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücüleri ile sanal makinelerin güvenli dağıtımına olanak tanır ve sanal makinelerdeki anahtarları, sertifikaları ve gizli dizileri güvenli bir şekilde korur. Güvenilen başlatma, tüm önyükleme zincirinin bütünlüğü hakkında içgörüler sunar ve güven sağlar; ayrıca, iş yüklerinin güvenilir ve doğrulanabilir olmasını temin eder. Güvenilir başlatma, sanal makinelerin düzgün yapılandırıldığından emin olmak için Bulut için Microsoft Defender ile entegre edilmiştir ve sanal makinenin sağlıklı bir şekilde başlatıldığını uzaktan doğrular. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notu: Güvenilen başlatma 2. nesil VM'ler için kullanılabilir. Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir. İlk olarak onsuz oluşturulan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.
Yapılandırma Kılavuzu: Vm dağıtımı sırasında güvenilen başlatma etkinleştirilebilir. Sanal makine için en iyi güvenlik duruşunu sağlamak için üçünü de etkinleştirin: Güvenli Önyükleme, vTPM ve bütünlük önyüklemesi izleme. Aboneliğinizi Bulut için Microsoft Defender'a ekleme, belirli Azure İlkesi girişimleri atama ve güvenlik duvarı ilkelerini yapılandırma gibi birkaç önkoşul olduğunu lütfen unutmayın.
Başvuru: Güvenilir başlatma etkinleştirilmiş bir VM dağıtma
PV-5: Güvenlik açığı değerlendirmeleri gerçekleştirme
Özellik
Microsoft Defender kullanarak Güvenlik Açığı Değerlendirmesi
Açıklama: Hizmet, Bulut için Microsoft Defender veya diğer Microsoft Defender hizmetlerinin ekli güvenlik açığı değerlendirme özelliği (sunucu, kapsayıcı kayıt defteri, App Service, SQL ve DNS dahil) kullanılarak güvenlik açığı taraması için taranabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure sanal makinelerinizde güvenlik açığı değerlendirmeleri gerçekleştirmek için Bulut için Microsoft Defender'ın önerilerini izleyin.
Başvuru: Sunucular için Defender dağıtımınızı planlayın
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi'nin standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi'nin standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
PV-6: Güvenlik açıklarını hızlı ve otomatik olarak düzeltme
Özellik
Azure Güncelleştirme Yöneticisi
Açıklama: Hizmet, düzeltme eklerini ve güncelleştirmeleri otomatik olarak dağıtmak için Azure Update Manager'ı kullanabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Müşteri |
Yapılandırma Kılavuzu: Windows VM'lerinize en son güvenlik güncelleştirmelerinin yüklendiğinden emin olmak için Azure Update Manager'ı kullanın. Windows VM'leri için Windows Update'in etkinleştirildiğinden ve otomatik olarak güncelleştirilecek şekilde ayarlandığından emin olun.
Başvuru: VM'leriniz için güncelleştirmeleri ve düzeltme eklerini yönetme
Azure Konuk Yama Hizmeti
Açıklama: Hizmet, düzeltme eklerini ve güncelleştirmeleri otomatik olarak dağıtmak için Azure Konuk Düzeltme Eki Uygulama özelliğini kullanabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmetler Otomatik İşletim Sistemi Görüntü Yükseltmeleri ve Otomatik Misafir Yaması gibi farklı güncelleştirme mekanizmalarından yararlanabilir. Bu özelliklerin, Güvenli Dağıtım İlkeleri'ni izleyerek Sanal Makinenizin Konuk işletim sistemine en son güvenlik ve kritik güncelleştirmeleri uygulaması önerilir.
Azure sanal makinelerinizi her ay yayınlanan Kritik ve Güvenlik güncellemeleriyle güvenlik uyumluluğunu korumak için otomatik olarak kontrol etmenize ve güncellemenize olanak tanıyan Otomatik Konuk Yaması. Güncelleştirmeler, kullanılabilirlik kümesindeki VM'ler de dahil olmak üzere yoğun olmayan saatlerde uygulanır. Bu özellik, VMSS Esnek Düzenleme için kullanılabilir ve gelecek için Tekdüzen Düzenleme yol haritasında destek planlanmaktadır.
Durum bilgisi olmayan bir iş yükü çalıştırırsanız, Otomatik İşletim Sistemi Görüntü Yükseltmeleri VMSS Tekdüzeniniz için en son güncelleştirmeyi uygulamak için idealdir. Geri alma özelliğiyle bu güncelleştirmeler Market veya Özel görüntülerle uyumludur. Esnek Düzenleme yol haritasında gelecekte kademeli yükseltme desteği.
Referans: Azure VM'ler için Otomatik VM Misafir Yaması
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri Azure Güvenlik Merkezi tarafından öneri olarak izlenecek | AuditIfNotExists, Devre Dışı | 4.0.0 |
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Sistem güncelleştirmeleri makinelerinize yüklenmelidir (Güncelleştirme Merkezi tarafından desteklenir) | Makinelerinizde sistem, güvenlik ve kritik güncelleştirmeler eksik. Yazılım güncelleştirmeleri genellikle güvenlik deliklerine yönelik kritik düzeltme eklerini içerir. Bu tür delikler kötü amaçlı yazılım saldırılarında sıklıkla kötüye kullanılır, bu nedenle yazılımınızı güncel tutmak çok önemlidir. Tüm bekleyen düzeltme eklerini yüklemek ve makinelerinizin güvenliğini sağlamak için düzeltme adımlarını izleyin. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
Uç nokta güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Uç nokta güvenliği.
ES-1: Uç Nokta Algılama ve Yanıt Kullanma (EDR)
Özellik
EDR Çözümü
Açıklama: Sunucular için Azure Defender gibi Uç Nokta Algılama ve Yanıt (EDR) özelliği uç noktaya dağıtılabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sunucular için Azure Defender (Uç Nokta için Microsoft Defender tümleşik olarak), gelişmiş tehditleri önleme, algılama, araştırma ve yanıtlama için EDR özelliği sağlar. Uç noktanız için sunucular için Azure Defender'ı dağıtmak ve uyarıları Azure Sentinel gibi SIEM çözümünüzle tümleştirmek için Bulut için Microsoft Defender'ı kullanın.
Başvuru: Sunucular için Defender dağıtımınızı planlayın
ES-2: Modern kötü amaçlı yazılımdan koruma yazılımı kullanma
Özellik
Kötü Amaçlı Yazılımdan Koruma Çözümü
Açıklama: Microsoft Defender Virüsten Koruma, Uç Nokta için Microsoft Defender gibi kötü amaçlı yazılımdan koruma özelliği uç noktaya dağıtılabilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Windows Server 2016 ve üzeri için Virüsten Koruma için Microsoft Defender varsayılan olarak yüklenir. Windows Server 2012 R2 ve üzeri için müşteriler SCEP (System Center Endpoint Protection) yükleyebilir. Alternatif olarak, müşterilerin üçüncü taraf kötü amaçlı yazılımdan koruma ürünlerini yükleme seçeneği de vardır.
Referans: Defender for Endpoint Windows Server devreye alma
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Azure Güvenlik Merkezi tarafından desteklenen uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uçbirim koruma değerlendirmesi burada belgelenmiştir - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Azure Güvenlik Merkezi tarafından desteklenen uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uçbirim koruma değerlendirmesi burada belgelenmiştir - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Devre Dışı | 1.0.0 |
ES-3: Kötü amaçlı yazılımdan koruma yazılımının ve imzalarının güncelleştirildiğinden emin olun
Özellik
Kötü Amaçlı Yazılımdan Koruma Çözümünün Sağlık Durumunu İzleme
Açıklama: Kötü amaçlı yazılımdan koruma çözümü platform, altyapı ve otomatik imza güncelleştirmeleri için sistem durumu izlemesi sağlar. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Güvenlik bilgileri ve ürün güncelleştirmeleri, Windows VM'lerine yüklenebilen Uç Nokta için Defender için geçerlidir.
Yapılandırma Kılavuzu: Platformun, altyapının ve imzaların hızlı ve tutarlı bir şekilde güncelleştirildiğinden ve durumlarının izlendiğinden emin olmak için kötü amaçlı yazılımdan koruma çözümünüzü yapılandırın.
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Azure Güvenlik Merkezi tarafından desteklenen uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uçbirim koruma değerlendirmesi burada belgelenmiştir - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Azure Güvenlik Merkezi tarafından desteklenen uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uçbirim koruma değerlendirmesi burada belgelenmiştir - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellik
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. daha fazla bilgi edinin.
| Destekli | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Backup'ı etkinleştirin ve yedekleme kaynağını (Azure Sanal Makineler, SQL Server, HANA veritabanları veya Dosya Paylaşımları gibi) istenen sıklıkta ve istenen saklama süresiyle yapılandırın. Azure Sanal Makineleri için Azure İlkesi'ni kullanarak otomatik yedeklemeleri etkinleştirebilirsiniz.
Başvuru: Azure'da sanal makineler için yedekleme ve geri yükleme seçenekleri
Bulut için Microsoft Defender izleme
Azure İlkesi yerleşik tanımları - Microsoft.Compute:
| İsim (Azure portalı) |
Açıklama | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| Sanal Makineler için Azure Backup etkinleştirilmelidir | Azure Backup'i etkinleştirerek Azure Sanal Makinelerinizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temellerini hakkında daha fazla bilgi edinin