适用于 虚拟机 的 Azure 安全基线 - Windows 虚拟机
此安全基线将 Microsoft 云安全基准版本 1.0 中的指南应用于 虚拟机 - Windows 虚拟机。 Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按 Microsoft 云安全基准定义的安全控制以及适用于 虚拟机 - Windows 虚拟机的相关指南进行分组。
可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将在“Microsoft Defender云门户”页的“法规符合性”部分列出。
当某个功能具有相关的Azure Policy定义时,这些定义将列在此基线中,以帮助你衡量对 Microsoft 云安全基准控制和建议的合规性。 某些建议可能需要付费Microsoft Defender计划来实现某些安全方案。
注意
不适用于虚拟机的功能 - Windows 虚拟机已被排除。 若要查看 虚拟机 - Windows 虚拟机如何完全映射到 Microsoft 云安全基准,请参阅完整的虚拟机 - Windows 虚拟机安全基线映射文件。
安全配置文件
安全配置文件汇总了虚拟机 - Windows 虚拟机的高影响行为,这可能会导致安全注意事项增加。
| 服务行为属性 | 值 |
|---|---|
| 产品类别 | 计算 |
| 客户可以访问主机/OS | 完全访问权限 |
| 可将服务部署到客户的虚拟网络中 | True |
| 存储客户静态内容 | True |
网络安全性
有关详细信息,请参阅 Microsoft 云安全基准:网络安全。
NS-1:建立网络分段边界
功能
虚拟网络集成
说明:服务支持部署到客户的专用虚拟网络 (VNet) 。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | True | Microsoft |
配置指南:无需其他配置,因为默认部署已启用此功能。
参考: Azure 中的虚拟网络和虚拟机
网络安全组支持
说明:服务网络流量遵循其子网上的网络安全组规则分配。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:使用网络安全组 (NSG) 按端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。 创建 NSG 规则以限制服务的开放端口(例如阻止从不受信任的网络访问管理端口)。 请注意,默认情况下,NSG 会拒绝所有入站流量,但会允许来自虚拟网络和 Azure 负载均衡器的流量。
(VM) 创建 Azure 虚拟机时,必须创建虚拟网络或使用现有虚拟网络,并使用子网配置 VM。 确保所有部署的子网都应用了网络安全组,且具有特定于应用程序受信任端口和源的网络访问控制。
参考: 网络安全组
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 | AuditIfNotExists、Disabled | 3.0.0 |
NS-2:使用网络控制保护云服务
功能
禁用公用网络访问
说明:服务支持通过使用服务级别 IP ACL 筛选规则 (而不是 NSG 或 Azure 防火墙) ,或使用“禁用公用网络访问”切换开关来禁用公用网络访问。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:使用 OS 级别的服务(例如Windows Defender防火墙)提供网络筛选来禁用公共访问。
身份管理
有关详细信息,请参阅 Microsoft 云安全基准:标识管理。
IM-1:使用集中式标识和身份验证系统
功能
数据平面访问所需的 Azure AD 身份验证
说明:服务支持使用 Azure AD 身份验证进行数据平面访问。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:使用 Azure Active Directory (Azure AD) 作为默认身份验证方法来控制数据平面访问。
参考: 使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机
数据平面访问的本地身份验证方法
说明:数据平面访问支持的本地身份验证方法,例如本地用户名和密码。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | True | Microsoft |
功能说明:默认在虚拟机的初始部署期间创建本地管理员帐户。 避免使用本地身份验证方法或帐户,应尽可能禁用这些方法或帐户。 请尽可能使用 Azure AD 进行身份验证。
配置指南:无需其他配置,因为默认部署上已启用此功能。
IM-3:安全且自动地管理应用程序标识
功能
托管标识
说明:数据平面操作支持使用托管标识进行身份验证。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:Windows VM 通常利用托管标识向其他服务进行身份验证。 如果 Windows VM 支持 Azure AD 身份验证,则可能支持托管标识。
配置指南:尽可能使用 Azure 托管标识而不是服务主体,该服务主体可以向支持 Azure Active Directory (Azure AD) 身份验证的 Azure 服务和资源进行身份验证。 托管标识凭据由平台完全托管、轮换和保护,避免了在源代码或配置文件中使用硬编码凭据。
服务主体
说明:数据平面支持使用服务主体进行身份验证。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:Windows VM 中运行的应用程序可以使用服务主体。
配置指南:此功能配置目前没有 Microsoft 指南。 请查看并确定组织是否要配置此安全功能。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
IM-7:根据条件限制资源访问
功能
数据平面的条件访问
说明:可以使用 Azure AD 条件访问策略控制数据平面访问。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:使用 Azure AD 作为核心身份验证平台,通过 RDP 连接到 Windows Server 2019 Datacenter 版本及更高版本,或Windows 10 1809 及更高版本。 然后可以集中控制并强制实施允许或拒绝访问 VM 的 Azure 基于角色的访问控制 (RBAC) 和条件访问策略。
配置指南:在工作负载中定义 Azure Active Directory (Azure AD) 条件访问的适用条件和条件。 请考虑常见用例,例如阻止或授予来自特定位置的访问权限、阻止有风险的登录行为,或要求组织管理的设备用于特定应用程序。
参考: 使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机
IM-8:限制凭据和机密的泄露
功能
服务凭据和机密支持 Azure 密钥保管库中的集成和存储
说明:数据平面支持将 Azure 密钥保管库本机用于凭据和机密存储。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:在数据平面或操作系统中,服务可能会调用 Azure 密钥保管库以获取凭据或机密。
配置指南:确保机密和凭据存储在 Azure 密钥保管库 等安全位置,而不是将它们嵌入代码或配置文件中。
特权访问
有关详细信息,请参阅 Microsoft 云安全基准:特权访问。
PA-1:隔离和限制高度特权/管理用户
功能
本地管理员帐户
说明:服务具有本地管理帐户的概念。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | True | Microsoft |
功能说明:避免使用本地身份验证方法或帐户,应尽可能禁用这些方法或帐户。 请尽可能使用 Azure AD 进行身份验证。
配置指南:无需其他配置,因为默认部署上已启用此功能。
参考:快速入门:在Azure 门户中创建 Windows 虚拟机
PA-7:遵循 Just Enough Administration(最小特权)原则
功能
用于数据平面的 Azure RBAC
说明:Azure Role-Based 访问控制 (Azure RBAC) 可用于管理对服务的数据平面操作的访问。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:使用 Azure AD 作为核心身份验证平台,通过 RDP 连接到 Windows Server 2019 Datacenter 版本及更高版本,或Windows 10 1809 及更高版本。 然后可以集中控制并强制实施允许或拒绝访问 VM 的 Azure 基于角色的访问控制 (RBAC) 和条件访问策略。
配置指南:使用 RBAC,指定谁可以普通用户或管理员权限登录到 VM。 当用户加入团队时,你可以更新 VM 的 Azure RBAC 策略,根据需要授予访问权限。 员工在离开你的组织时,其用户帐户会被禁用或从 Azure AD 中删除,然后他们就再也不能访问你的资源。
参考: 使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机
PA-8:确定云提供商支持的访问流程
功能
客户密码箱
说明:客户密码箱可用于 Microsoft 支持访问。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:在 Microsoft 需要访问你的数据的支持方案中,请使用客户密码箱查看,然后批准或拒绝 Microsoft 的每个数据访问请求。
数据保护
有关详细信息,请参阅 Microsoft 云安全基准:数据保护。
DP-1:对敏感数据进行发现、分类和标记
功能
敏感数据发现和分类
说明:Azure Purview 或 Azure 信息保护) 等工具 (可用于服务中的数据发现和分类。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| False | 不适用 | 不适用 |
配置指南:不支持此功能来保护此服务。
DP-2:监视针对敏感数据的异常情况和威胁
功能
数据泄露/丢失防护
说明:服务支持 DLP 解决方案,用于监视客户内容) 中的敏感数据移动 (。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| False | 不适用 | 不适用 |
配置指南:不支持此功能来保护此服务。
DP-3:加密传输中的敏感数据
功能
传输中数据加密
说明:服务支持数据平面的传输中数据加密。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:某些通信协议(如 SSH)默认加密。 但是,其他服务(如 HTTP)必须配置为使用 TLS 进行加密。
配置指南:在内置本机数据传输加密功能的服务中启用安全传输。 对任何 Web 应用程序和服务强制实施 HTTPS,并确保使用 TLS v1.2 或更高版本。 应禁用 SSL 3.0、TLS v1.0 等旧版本。 若要远程管理虚拟机,请使用适用于 Linux 的 SSH () 或适用于 Windows) 的 RDP/TLS (,而不是未加密的协议。
参考: VM 中的传输中加密
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Windows 计算机应配置为使用安全通信协议 | 为了保护通过 Internet 通信的信息的隐私,计算机应使用最新版本的行业标准加密协议传输层安全性 (TLS) 。 TLS 通过加密计算机之间的连接来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
DP-4:默认启用静态数据加密
功能
使用平台密钥加密静态数据
说明:支持使用平台密钥的静态数据加密,任何客户静态内容都使用这些 Microsoft 托管密钥进行加密。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | True | Microsoft |
功能说明:默认情况下,托管磁盘使用平台管理的加密密钥。 所有写入现有托管磁盘的托管磁盘、快照、映像和数据都会自动使用平台托管密钥进行静态加密。
配置指南:无需其他配置,因为默认部署已启用此功能。
参考: Azure 磁盘存储的服务器端加密 - 平台管理的密钥
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密。 临时磁盘、数据缓存以及在计算和存储之间流动的数据未加密。 如果存在以下情况,请忽略此建议:1. 使用“主机加密”,或者 2. 托管磁盘上的服务器端加密满足安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密:https://aka.ms/disksse,不同的磁盘加密产品/服务:https://aka.ms/diskencryptioncomparison | AuditIfNotExists、Disabled | 2.0.3 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时也不加密。 使用 Azure 磁盘加密或 EncryptionAtHost 来加密所有这些数据。要对加密产品/服务进行比较,请访问 https://aka.ms/diskencryptioncomparison。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 1.2.0-preview |
DP-5:需要时在静态数据加密中使用客户管理的密钥选项
功能
使用 CMK 进行静态数据加密
说明:服务存储的客户内容支持使用客户管理的密钥进行静态数据加密。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:可以选择使用自己的密钥在每个托管磁盘的级别管理加密。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户托管密钥可以更灵活地管理访问控制。
配置指南:如果需要符合法规要求,请定义需要使用客户管理的密钥进行加密的用例和服务范围。 使用客户管理的密钥为这些服务启用和实施静态数据加密。
虚拟机 (VM) 上的虚拟磁盘使用服务器端加密或 Azure 磁盘加密 (ADE) 进行静态加密。 Azure 磁盘加密利用 Windows 的 BitLocker 功能,通过来宾 VM 中的客户托管密钥来加密托管磁盘。 使用客户托管密钥的服务器端加密改进了 ADE,它通过加密存储服务中的数据使你可以为 VM 使用任何 OS 类型和映像。
DP-6:使用安全密钥管理流程
功能
Azure 密钥保管库中的密钥管理
说明:该服务支持任何客户密钥、机密或证书的 Azure 密钥保管库集成。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:使用 Azure 密钥保管库创建和控制加密密钥的生命周期,包括密钥生成、分发和存储。 根据定义的计划或者密钥停用或泄露时轮换和撤销 Azure 密钥保管库 和服务中的密钥。 如果需要在工作负载、服务或应用程序级别使用客户管理的密钥 (CMK) ,请确保遵循密钥管理的最佳做法:使用密钥层次结构生成单独的数据加密密钥, (DEK) 密钥加密密钥 (KEK) 密钥保管库中。 确保密钥注册到 Azure 密钥保管库,并通过服务或应用程序的密钥 ID 引用。 如果需要将自己的密钥 (BYOK) 引入服务 (,例如将受 HSM 保护的密钥从本地 HSM 导入 Azure 密钥保管库) ,请按照建议的准则执行初始密钥生成和密钥传输。
参考: 在 Windows VM 上为 Azure 磁盘加密创建和配置密钥保管库
DP-7:使用安全证书管理流程
功能
Azure 密钥保管库中的证书管理
说明:该服务支持任何客户证书的 Azure 密钥保管库集成。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| False | 不适用 | 不适用 |
配置指南:不支持此功能来保护此服务。
资产管理
有关详细信息,请参阅 Microsoft 云安全基准:资产管理。
AM-2:仅使用已获批准的服务
功能
Azure Policy 支持
说明:可以通过Azure Policy监视和强制实施服务配置。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:Azure Policy可用于定义组织的 Windows VM 和 Linux VM 的所需行为。 通过使用策略,组织可以在整个企业中强制实施各种约定和规则,并为 Azure 虚拟机定义和实施标准安全配置。 强制实施所需行为有助于消除风险,同时为组织的成功做出贡献。
参考:Azure Policy Azure 虚拟机 的内置定义
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将虚拟机迁移到新的 Azure 资源管理器资源 | 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 | Audit、Deny、Disabled | 1.0.0 |
AM-5:仅在虚拟机中使用已获批准的应用程序
功能
Microsoft Defender for Cloud - 自适应应用程序控制
说明:服务可以使用 Microsoft Defender for Cloud 中的自适应应用程序控制来限制虚拟机上运行的客户应用程序。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:使用 Microsoft Defender for Cloud 自适应应用程序控制发现虚拟机 (VM) 上运行的应用程序,并生成应用程序允许列表,以规定哪些已批准的应用程序可以在 VM 环境中运行。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
日志记录和威胁检测
有关详细信息,请参阅 Microsoft 云安全基准:日志记录和威胁检测。
LT-1:启用威胁检测功能
功能
适用于服务/产品的 Microsoft Defender
说明:服务具有特定于产品/服务的Microsoft Defender解决方案,用于监视安全问题并发出警报。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:Defender for Servers 将保护扩展到 Azure 中运行的 Windows 和 Linux 计算机。 Defender for Servers 与 Microsoft Defender for Endpoint 集成, (EDR) 提供终结点检测和响应,还提供大量其他威胁防护功能,例如安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC) 、文件完整性监视 (FIM) 等。
参考: 规划 Defender for Servers 部署
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
LT-4:启用日志记录以进行安全调查
功能
Azure 资源日志
说明:服务生成可提供增强的服务特定指标和日志记录的资源日志。 客户可以配置这些资源日志,并将其发送到自己的数据接收器,例如存储帐户或日志分析工作区。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:创建 VM 时,Azure Monitor 开始自动收集虚拟机主机的指标数据。 但是,若要从虚拟机的来宾操作系统收集日志和性能数据,必须安装 Azure Monitor 代理。 可以使用 VM 见解 或通过 创建数据收集规则来安装代理并配置集合。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
态势和漏洞管理
有关详细信息,请参阅 Microsoft 云安全基准:状况和漏洞管理。
PV-3:定义并建立计算资源的安全配置
功能
Azure 自动化状态配置
说明:Azure 自动化 State Configuration可用于维护操作系统的安全配置。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:使用 Azure 自动化 State Configuration 维护操作系统的安全配置。
参考:使用 Desired State Configuration 配置 VM
Azure Policy来宾配置代理
说明:Azure Policy来宾配置代理可以作为计算资源的扩展进行安装或部署。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:Azure Policy来宾配置现在称为 Azure Automanage 计算机配置。
配置指南:使用 Microsoft Defender for Cloud 和 Azure Policy 来宾配置代理定期评估和修正 Azure 计算资源(包括 VM、容器等)上的配置偏差。
参考: 了解 Azure Automanage 的计算机配置功能
自定义 VM 映像
说明:服务支持使用用户提供的 VM 映像或预应用了某些基线配置的市场中预生成的映像。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:使用来自受信任供应商(例如 Microsoft)的预配置强化映像,或在 VM 映像模板中构建所需的安全配置基线
参考:教程:使用 Azure PowerShell 创建 Windows VM 映像
PV-4:审核并强制执行计算资源的安全配置
功能
受信任的启动虚拟机
说明:受信任的启动通过组合安全启动、vTPM 和完整性监视等基础结构技术来防范高级和持久性攻击技术。 每种技术都针对错综复杂的威胁提供另一层防御。 受信任的启动允许使用经过验证的启动加载程序、OS 内核和驱动程序的安全部署虚拟机,并安全地保护虚拟机中的密钥、证书和机密。 受信任的启动还提供对整个启动链完整性的见解和信心,并确保工作负载受信任且可验证。 受信任的启动与 Microsoft Defender for Cloud 集成,通过远程证明 VM 以正常方式启动,以确保正确配置 VM。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:受信任的启动可用于第 2 代 VM。 受信任启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
配置指南:在部署 VM 期间,可能会启用受信任的启动。 启用这三项 - 安全启动、vTPM 和完整性启动监视,以确保虚拟机的最佳安全状况。 请注意,有一些先决条件,包括将订阅加入到 Microsoft Defender for Cloud、分配某些Azure Policy计划以及配置防火墙策略。
参考: 部署启用了受信任启动的 VM
PV-5:执行漏洞评估
功能
使用 Microsoft Defender 进行漏洞评估
说明:可以使用 Microsoft Defender for Cloud 或其他Microsoft Defender服务嵌入式漏洞评估功能扫描服务, (包括服务器、容器注册表、App 服务、SQL 和 DNS) 的Microsoft Defender。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:遵循 Microsoft Defender for Cloud 中有关在 Azure 虚拟机上执行漏洞评估的建议。
参考: 规划 Defender for Servers 部署
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
PV-6:快速自动地修正漏洞
功能
Azure 自动化更新管理
说明:服务可以使用Azure 自动化更新管理来自动部署修补程序和更新。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:使用Azure 自动化更新管理或第三方解决方案来确保在 Windows VM 上安装最新的安全更新。 对于 Windows 虚拟机,请确保已启用 Windows 更新并将其设置为自动更新。
参考: 管理 VM 的更新和修补程序
Azure 来宾修补服务
说明:服务可以使用 Azure 来宾修补来自动部署修补程序和更新。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:服务可以利用不同的更新机制,例如 自动 OS 映像升级 和 自动来宾修补。 建议遵循安全部署原则,使用这些功能将最新的安全和关键更新应用于虚拟机的来宾 OS。
通过自动来宾修补,可以自动评估和更新 Azure 虚拟机,以保持每月发布的“关键”和“安全更新”的安全合规性。 汇报在非高峰时段应用,包括可用性集中的 VM。 此功能适用于 VMSS 灵活业务流程,未来在统一业务流程路线图上提供支持。
如果运行无状态工作负荷,则自动 OS 映像升级非常适合为 VMSS Uniform 应用最新更新。 借助回滚功能,这些更新与市场或自定义映像兼容。 灵活业务流程路线图上的未来滚动升级支持。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上安装系统更新 | 建议通过 Azure 安全中心监视服务器上缺失的安全系统更新 | AuditIfNotExists、Disabled | 4.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应在计算机上安装系统更新(由更新中心提供支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.0-preview |
终结点安全性
有关详细信息,请参阅 Microsoft 云安全基准:终结点安全性。
ES-1:使用终结点检测和响应 (EDR)
功能
EDR 解决方案
说明:终结点检测和响应 (EDR) 功能(例如适用于服务器的 Azure Defender)可以部署到终结点中。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:azure Defender for servers (Microsoft Defender for Endpoint 集成) 提供 EDR 功能来预防、检测、调查和响应高级威胁。 使用 Microsoft Defender for Cloud 为终结点部署适用于服务器的 Azure Defender,并将警报集成到 SIEM 解决方案,例如 Azure Sentinel。
参考: 规划 Defender for Servers 部署
ES-2:使用新式反恶意软件
功能
反恶意软件解决方案
说明:可在终结点上部署反恶意软件功能,例如 Microsoft Defender 防病毒、Microsoft Defender for Endpoint。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:对于Windows Server 2016及更高版本,默认安装防病毒Microsoft Defender。 对于 Windows Server 2012 R2 及更高版本,客户可以安装 SCEP (System Center Endpoint Protection) 。 或者,客户还可以选择安装第三方反恶意软件产品。
参考: Defender for Endpoint 载入 Windows Server
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
ES-3:确保反恶意软件和签名已更新
功能
反恶意软件解决方案运行状况监视
说明:反恶意软件解决方案为平台、引擎和自动签名更新提供运行状况监视。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
功能说明:安全智能和产品更新适用于可安装在 Windows VM 上的 Defender for Endpoint。
配置指南:配置反恶意软件解决方案,以确保快速且一致地更新平台、引擎和签名,并可以监视其状态。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
备份和恢复
有关详细信息,请参阅 Microsoft 云安全基准:备份和恢复。
BR-1:确保定期执行自动备份
功能
Azure 备份
说明:服务可由Azure 备份服务备份。 了解详细信息。
| 支持 | 默认启用 | 配置责任 |
|---|---|---|
| True | False | 客户 |
配置指南:启用Azure 备份,并配置备份源 (,例如 Azure 虚拟机、SQL Server、HANA 数据库或文件共享,) 所需的频率和所需的保留期。 对于 Azure 虚拟机,可以使用 Azure Policy 启用自动备份。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
后续步骤
- 请参阅 Microsoft 云安全基准概述
- 详细了解 Azure 安全基线