摘要
此模块涵盖了许多内容,可用于为常用的 Azure 服务创建基线安全清单。 让我们快速回顾一下已学习的内容:
“开启 Microsoft Defender for Cloud - 它是免费的”。 升级 Azure 订阅以开启 Microsoft Defender for Cloud。 Defender for Cloud 的增强安全功能可帮助你:
- 查找并修复安全漏洞。
- 应用访问控制和应用程序控制来阻止恶意活动。
- 使用分析和智能来检测威胁。
- 在受到攻击时快速响应。
采用 Internet 安全中心 (CIS) 基准。 将基准应用于现有租户。
将 CIS VM 用于新的工作负载。 在 Azure 市场中获取 CIS 强化的 VM 映像。
将密钥和机密存储在 Azure Key Vault 中(而不是源代码中)。 Key Vault 可用于支持任何机密类型,包括密码、数据库凭据、API 密钥和证书。
安装 Web 应用程序防火墙。 Web 应用程序防火墙 (WAF) 是 Azure 应用程序网关的一项功能,可以对 Web 应用程序进行集中保护,避免其受到常见的攻击和漏洞危害。 第三方还提供 Azure 支持的 WAF。
对用户强制执行多重身份验证,特别是对管理员帐户。 Microsoft Entra 用户多重身份验证通过要求使用多个身份验证方法来帮助管理员保护其组织和用户。
加密虚拟硬盘文件。 加密可帮助保护存储中的静态启动卷和数据卷以及加密密钥和机密。
将 Azure 虚拟机和设备放在 Azure 虚拟网络上,从而让它们连接到其他联网设备。 连接到 Azure 虚拟网络的 VM 能够连接到相同虚拟网络、不同虚拟网络、Internet 甚至自己的本地网络上的设备。
应执行的强大的操作安全做法
每天都应执行的强大的操作安全做法包括:
管理 VM 更新。 与所有本地 VM 一样,Azure VM 应由用户管理。 Azure 不会向这些 VM 推送 Windows 更新。 确保为重要的操作(例如补丁管理和备份)设有可靠的流程。
启用密码管理。 使用合适的安全策略来防止滥用。
定期查看工作负载保护仪表板。 集中查看所有 Azure 资源的安全状态,并根据建议定期采取措施。
延伸阅读
若要更详细地了解本模块中介绍的主题,请参阅 CIS Microsoft Azure 基础安全基准。