创建 Azure VM 基线

  • 5 分钟

Azure Policy 是一种可用于创建、分配和管理策略的 Azure 服务。 你创建的策略将在整个资源中强制实施不同的规则和效果,以便这些资源符合公司标准和服务级别协议。 Azure Policy 通过评估资源是否符合指定策略来满足此需求。 例如,可以设置一项策略,仅允许环境中有特定 SKU 大小的 VM。 实施此策略后,将评估新资源和现有资源的符合性。 通过使用正确的策略类型,可以确保现有资源的符合性。

Azure VM 安全建议

以下部分介绍了 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的 VM 安全建议。 每项建议都包含要在 Azure 门户中完成的基本步骤。 应为自己的订阅完成这些步骤,并使用自己的资源来验证每个安全建议。 注意,“级别 2”选项可能会限制某些功能或活动,因此请仔细考虑你决定执行的安全选项。

为 Microsoft Defender for Cloud 数据收集启用和安装 VM 代理 - 级别 1

Microsoft Defender for Cloud 告知 VM 何时需要 VM 代理。 对于从 Azure 市场部署的 VM,默认安装代理。 评估 VM 的安全状态、提供安全建议并对基于主机的威胁发出警报都需要数据。

  1. 登录到 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单的“管理”下,选择“环境设置”。

  3. 在“环境设置”窗格中,选择你的订阅。

  4. 在左侧菜单中的“设置”下,选择“自动预配”。

  5. 对于要使用的 VM 代理,请选择“开”。 选择要使用的工作区。

  6. 如果更改任何设置,请在菜单栏中选择“保存”。

Screenshot that shows the auto provisioning extension pane, with Log Analytics agent for Azure VMs selected.

确保加密 OS 磁盘 - 级别 1

Azure 磁盘加密有助于保护数据,使组织能够信守在安全性与符合性方面作出的承诺。 Azure 磁盘加密:

  • 使用 Windows 的 BitLocker 功能和 Linux 的 DM-Crypt 功能,为 Azure VM 的 OS 和数据磁盘提供卷加密。
  • 与 Azure Key Vault 集成,有助于控制和管理磁盘加密密钥和机密。
  • 确保 VM 磁盘上的所有数据在 Azure 存储中静态加密。

对于标准 VM 和使用 Azure 高级存储的 VM,在其所有 Azure 公共区域和 Azure 政府区域中,适用于 Windows 和 Linux VM 的 Azure 磁盘加密都以正式发布版提供。

如果你使用 Microsoft Defender for Cloud(建议),当 VM 未加密时,你会收到警报。 为 Azure 订阅中的每个 VM 完成以下步骤。

  1. 登录 Azure 门户。 搜索并选择“虚拟机”。

  2. 在左侧菜单中的“设置”下,选择“磁盘” 。

  3. 在“OS 磁盘”下,确保 OS 磁盘已设置加密类型。

  4. 在“数据磁盘”下,确保每个磁盘都已设置加密类型。

  5. 如果更改任何设置,请在菜单栏中选择“保存”。

Screenshot that shows the Disks pane for virtual machines with the encryption type highlighted.

确保仅安装已批准的 VM 扩展 - 级别 1

Azure VM 扩展是小型应用程序,可在 Azure VM 上提供部署后配置和自动化任务。 例如,如果 VM 需要软件安装或防病毒保护,或者 VM 需要运行脚本,则可以使用 VM 扩展。 可以使用 Azure CLI、PowerShell、Azure 资源管理器模板或 Azure 门户来运行 Azure VM 扩展。 可将扩展与新 VM 部署捆绑在一起,也可以针对任何现有系统运行扩展。 若要使用 Azure 门户来确保 VM 上仅安装已批准的扩展,请为 Azure 订阅中的每个 VM 完成以下步骤。

  1. 登录 Azure 门户。 搜索并选择“虚拟机”。

  2. 在左侧菜单的“设置”下,选择“扩展 + 应用程序”。

  3. 在“扩展 + 应用程序”窗格中,确保列出的扩展已获批准以供使用。

Screenshot that shows V M extensions in the Extensions + applications pane.

确保应用适用于 VM 的 OS 修补程序 - 级别 1

Microsoft Defender for Cloud 每天对 Windows、Linux VM 和计算机进行监视,以找出缺少的操作系统更新。 Defender for Cloud 检索 Windows 更新或 Windows Server Update Services (WSUS) 中的可用安全更新和关键更新的列表。 收到的更新取决于在 Windows 计算机上配置的服务。 Defender for Cloud 还可以在 Linux 系统中检查最新更新。 如果 VM 或计算机缺少系统更新,Defender for Cloud 建议应用系统更新。

  1. 登录 Azure 门户。 搜索并选择“Microsoft Defender for Cloud”。

  2. 在左侧菜单的“常规”下,选择“建议”。

  3. 在“建议”中,确保没有关于“应用系统更新”的建议。

Screenshot of the Microsoft Defender for Cloud Recommendations pane.

确保 VM 具有已安装且正在运行的终结点保护解决方案 - 级别 1

Microsoft Defender for Cloud 监视反恶意软件保护的状态。 它在“终结点保护问题”窗格中报告此状态。 Defender for Cloud 会突出显示此类问题,如检测到威胁和保护不充分,这可能会导致 VM 和计算机容易受到反恶意软件威胁的攻击。 通过使用“终结点保护问题”中的信息,可以开始制定计划来解决识别的任何问题。

使用之前建议中所述的同一流程。