介绍

  • 3 分钟

Microsoft Defender for Cloud 会不断地将资源的配置与行业标准、法规和基准中的要求进行比较。

若要了解安全态势管理如何评估环境,需了解安全策略和计划,这一点非常重要。

什么是安全策略和计划

Microsoft Defender for Cloud 对订阅应用安全计划。 这些计划包含一个或多个安全策略。 这些策略每一个都会产生一个安全建议,用于改进安全态势。

什么是安全策略?

一种 Azure Policy 定义,创建于 Azure Policy,是一种有关你要控制的特定安全状况的规则。 内置的定义包括诸如控制可以部署什么类型的资源或在所有资源上强制使用标签之类的事情。 你还可以创建你自己的自定义策略定义。

要实现这些策略定义(不管是内置定义还是自定义定义),你需要分配它们。 可通过 Azure 门户、PowerShell 或 Azure CLI 来分配上述任意策略。 可以从 Azure Policy 禁用或启用策略。

Azure Policy 中有各种类型的策略。 Defender for Cloud 主要使用“审核”策略,该策略检查特定条件和配置,然后报告合规性。 还有“强制”策略,可以使用这类策略来应用安全设置。

什么是安全计划?

Azure Policy 计划是针对特定目标或目的分组到一起的 Azure Policy 定义或规则的集合。 Azure 计划在逻辑上将一组策略分组为单个项,从而简化了对策略的管理。

安全计划定义工作负荷的所需配置,有助于确保你遵守公司或监管机构的安全要求。

与安全策略一样,Defender for Cloud 也是在 Azure Policy 中创建的。 你可以使用 Azure Policy 来管理策略、构建计划,以及将计划分配到多个订阅或整个管理组。

在 Microsoft Defender for Cloud 中,自动分配给每个订阅的默认计划是 Azure 安全基准。 此基准是 Microsoft 制定的一组 Azure 专属准则,适合基于常见合规框架的安全性与合规性最佳做法。 这一公认的基准建立在 Internet 安全中心 (CIS) 和国家标准与技术研究院 (NIST) 的控制基础上,重点关注以云为中心的安全性。

Defender for Cloud 提供以下用于处理安全计划和策略的选项:

  • 查看和编辑内置默认计划 - 启用 Defender for Cloud 时,会将名为“Azure 安全基准”的计划自动分配到所有已在 Defender for Cloud 中注册的订阅。 若要自定义此计划,可以通过编辑策略的参数来启用或禁用计划中的各个策略。 要了解现成可用的选项,请参阅内置安全策略列表。

  • 添加自己的自定义计划 - 如果你希望自定义要应用到自己的订阅的安全计划,可以在 Defender for Cloud 中执行此操作。 如果计算机不遵循创建的策略,你会收到建议。 有关构建和分配自定义策略的说明,请参阅使用自定义安全计划和策略。

  • 添加法规合规性标准作为计划 - Defender for Cloud 的法规合规性仪表板在特定标准或法规(例如 Azure CIS、NIST SP 800-53 R4、SWIFT CSP CSCF-v2020)的上下文中显示环境中所有评估的状态。

什么是安全建议?

Defender for Cloud 使用这些策略定期分析资源的合规性状态,以确定潜在的安全错误配置和薄弱点。 然后,它会提供有关如何修正这些问题的建议。 建议是根据相关策略对资源进行评估并查明不满足已定义要求的资源时得到的结果。

Defender for Cloud 根据所选计划提供安全建议。 将计划中的策略与资源进行比较,并发现一个或多个不合规的资源,则在 Defender for Cloud 中显示为建议。

建议是为了保护和强化资源而需要采取的措施。 每项建议都提供以下信息:

  • 问题的简短说明
  • 为实施建议而要执行的修正步骤
  • 受影响的资源

Azure 安全基准是一个包含要求的计划。

例如,Azure 存储帐户必须限制网络访问以缩小其受攻击面。

该计划包含多个策略,每个策略都有特定资源类型的要求。 这些策略强制实施计划中的要求。

沿用前面的示例,存储要求是通过策略“存储帐户应使用虚拟网络规则来限制网络访问”强制实施的。

Microsoft Defender for Cloud 会持续评估连接的订阅。 如果它发现某个资源不符合策略,则会显示建议来修正这种情况,并强化不符合安全要求的资源的安全性。

例如,如果任一受保护订阅上的 Azure 存储帐户不受虚拟网络规则的保护,则你会看到有关强化这些资源的建议。

因此,(1) 计划包含 (2) 策略,策略生成 (3) 特定于环境的建议。

你在一家使用 Microsoft Defender for Cloud 的公司工作,担任安全运营分析师。 你负责混合云资源的法规合规性。

你需要提高通过 Azure 安全基准测试的控件数量,如 Microsoft Defender for Cloud 中所示。

现在你已对 Microsoft Defender for Cloud 安全策略、计划和建议有所了解,来看看它是如何运行的。

注意

选择缩略图来启动实验室模拟。 完成后,请务必返回到此页面,以便可以继续学习。

Screenshot of the simulation page.