分享方式:


Batch 的 Azure 安全性基準

此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至 Batch。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性效能評定所定義的安全性控制項,以及適用于 Batch 的相關指引分組。

您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義將會列在 Cloud 入口網站Microsoft Defender頁面的法規合規性一節中。

當功能有相關的Azure 原則定義時,這些定義會列在此基準中,以協助您測量 Microsoft 雲端安全性基準控制措施和建議的合規性。 某些建議可能需要付費Microsoft Defender方案,才能啟用特定安全性案例。

注意

已排除不適用於 Batch的功能。 若要查看 Batch 如何完全對應至 Microsoft 雲端安全性基準測試,請參閱 完整的 Batch 安全性基準對應檔案

安全性設定檔

安全性設定檔摘要說明 Batch 的高影響行為,這可能會導致安全性考慮增加。

服務行為屬性
產品類別 計算
客戶可以存取 HOST / OS 唯讀
服務可以部署到客戶的虛擬網路
儲存待用客戶內容 False

網路安全性

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性

NS-1:建立網路分割界限

功能

虛擬網路整合

描述:服務支援部署到客戶的私人虛擬網路 (VNet) 。 深入瞭解

支援 預設為啟用 設定責任
False 客戶

設定指引:在虛擬網路內部署Azure Batch集區。 請考慮布建沒有公用 IP 位址的集區,以限制對私人網路中節點的存取,並減少從網際網路探索節點的可探索性。

參考在虛擬網路中建立Azure Batch集區

網路安全性群組支援

描述:服務網路流量會遵守其子網上的網路安全性群組規則指派。 深入瞭解

支援 預設為啟用 設定責任
Microsoft

功能注意事項:根據預設,Batch 會將網路安全性群組 (NSG) 新增至計算節點的網路介面 (NIC) 層級。

設定指引:在預設部署上啟用此設定時,不需要任何其他設定。

參考在虛擬網路中建立Azure Batch集區

NS-2:使用網路控制保護雲端服務

功能

描述:用於篩選網路流量的服務原生 IP 篩選功能, (不會與 NSG 或Azure 防火牆) 混淆。 深入瞭解

支援 預設為啟用 設定責任
False 客戶

設定指引:為Azure Batch帳戶部署私人端點。 這會將 Batch 帳戶的存取限制為它們所在的虛擬網路,或存取任何對等互連的虛擬網路。

參考搭配Azure Batch帳戶使用私人端點

停用公用網路存取

描述:服務支援透過使用服務層級 IP ACL 篩選規則來停用公用網路存取, (非 NSG 或Azure 防火牆) 或使用 [停用公用網路存取] 切換開關。 深入瞭解

支援 預設為啟用 設定責任
False 客戶

設定指引:將 [公用網路存取] 設定為 [已停用],以停用 Batch 帳戶的公用網路存取。

參考停用公用網路存取

身分識別管理

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:身分識別管理

IM-1:使用集中式身分識別和驗證系統

功能

資料平面存取所需的 Azure AD 驗證

描述:服務支援使用 Azure AD 驗證進行資料平面存取。 深入瞭解

支援 預設為啟用 設定責任
False 客戶

設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制資料平面存取,而不是使用共用金鑰。

參考使用 Azure AD 進行驗證

資料平面存取的本機驗證方法

描述:支援資料平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解

支援 預設為啟用 設定責任
False 客戶

功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。

設定指引:限制對資料平面存取使用本機驗證方法。 請改用 Azure Active Directory (Azure AD) 作為預設驗證方法,以控制您的資料平面存取。

參考透過共用金鑰進行驗證

IM-3:安全且自動地管理應用程式身分識別

功能

受控識別

描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解

支援 預設啟用 設定責任
False 共用

設定指引:盡可能使用 Azure 受控識別,而不是服務主體,以便向支援 Azure Active Directory 的 Azure 服務和資源進行驗證 (Azure AD) 驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。

參考在 Batch 集區中設定受控識別

服務主體

描述:資料平面支援使用服務主體進行驗證。 深入瞭解

支援 預設啟用 設定責任
False 客戶

其他指引:若要驗證自動執行的應用程式,您可以使用服務主體。 註冊應用程式之後,請在 Azure 入口網站中針對服務主體進行適當的設定,例如要求應用程式的秘密,以及指派 Azure RBAC 角色。

參考使用 Azure Active Directory 驗證 Batch 服務解決方案

IM-7:根據條件限制資源存取

功能

資料平面的條件式存取

描述:您可以使用 Azure AD 條件式存取原則來控制資料平面存取。 深入瞭解

支援 預設啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

IM-8:限制認證和祕密的公開

功能

Azure Key Vault 中服務認證和秘密支援整合和儲存

描述:資料平面支援針對認證和秘密存放區使用 Azure 金鑰保存庫。 深入瞭解

支援 預設啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

特殊權限存取

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:特殊許可權存取

PA-7:遵循剛好足夠的系統管理 (最低權限) 原則

功能

適用于資料平面的 Azure RBAC

描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務資料平面動作的存取。 深入瞭解

支援 預設啟用 設定責任
False 客戶

設定指引:使用 Azure 角色型存取控制 (Azure RBAC) 透過內建角色指派來管理 Azure 資源存取。 Azure Batch支援 Azure RBAC 來管理這些資源類型的存取:帳戶、作業、工作和集區。

參考將 Azure RBAC 指派給您的應用程式

資料保護

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護

DP-2:監視以敏感性資料為目標的異常和威脅

功能

資料外泄/外泄防護

描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感性資料移動 (。 深入瞭解

支援 預設啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

DP-3:加密傳輸中的敏感性資料

功能

傳輸中資料加密

描述:服務支援資料平面的資料傳輸中加密。 深入瞭解

支援 預設啟用 設定責任
Microsoft

設定指引:預設部署上啟用此設定時不需要其他設定。

DP-4:預設啟用待用資料加密

功能

使用平臺金鑰進行待用資料加密

描述:支援使用平臺金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 管理的金鑰加密。 深入瞭解

支援 預設為啟用 設定責任
Microsoft

功能注意事項:Batch API 中指定的部分資訊,例如帳戶憑證、作業和工作中繼資料,以及工作命令列,都會在 Batch 服務儲存時自動加密。 根據預設,此資料會使用每個 Batch 帳戶唯一的 Azure Batch 平台代控金鑰加密。

您也可以使用客戶自控金鑰加密此資料。 Azure Key Vault 可用來產生和儲存金鑰,並使用向 Batch 帳戶註冊的金鑰識別碼。

設定指引:在預設部署上啟用此設定時,不需要任何其他設定。

DP-5:必要時在待用資料加密中使用客戶自控金鑰選項

功能

使用 CMK 進行待用資料加密

描述:服務所儲存的客戶內容支援使用客戶自控金鑰進行待用資料加密。 深入瞭解

支援 預設為啟用 設定責任
False 客戶

設定指引:如果需要法規合規性,請定義需要使用客戶自控金鑰加密的使用案例和服務範圍。 針對這些服務,使用客戶自控金鑰來啟用和實作待用資料加密。

參考設定客戶管理的金鑰

DP-6:使用安全金鑰管理程序

功能

Azure Key Vault 中的金鑰管理

描述:此服務支援任何客戶金鑰、秘密或憑證的 Azure 金鑰保存庫整合。 深入瞭解

支援 預設為啟用 設定責任
False 共用

設定指引:使用 Azure 金鑰保存庫來建立和控制加密金鑰的生命週期,包括金鑰產生、散發和儲存體。 根據定義的排程或在金鑰淘汰或入侵時輪替和撤銷 Azure 金鑰保存庫和服務中的金鑰。 如果您需要在工作負載、服務或應用層級中使用客戶管理的金鑰 (CMK) ,請確定您遵循金鑰管理的最佳做法:使用金鑰階層來產生個別的資料加密金鑰, (DEK) 金鑰與金鑰保存庫中的 KEK (KEK) 。 請確定金鑰會向 Azure 金鑰保存庫註冊,並透過來自服務或應用程式的金鑰識別碼來參考。 如果您需要將自己的金鑰 (BYOK) 至服務 (,例如將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。

注意:客戶必須加入宣告以使用客戶管理的金鑰,否則服務預設會使用由 Microsoft 管理的平臺金鑰。

參考使用 Azure 金鑰保存庫 和受控識別為Azure Batch帳戶設定客戶管理的金鑰

DP-7:使用安全的憑證管理程序

功能

Azure Key Vault 中的憑證管理

描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫整合。 深入瞭解

支援 預設為啟用 設定責任
False 共用

設定指引:使用 Azure 金鑰保存庫來建立和控制憑證生命週期,包括建立、匯入、輪替、撤銷、儲存體和清除憑證。 請確定憑證產生遵循已定義的標準,而不需使用任何不安全的屬性,例如:金鑰大小不足、有效期間過長、密碼編譯不安全。 根據定義的排程或憑證到期時,在 Azure 金鑰保存庫 和 Azure 服務中設定憑證的自動輪替, (支援) 。 如果應用程式中不支援自動輪替,請確定它們仍會使用 Azure 金鑰保存庫 和應用程式中的手動方法來輪替。

參考搭配 Batch 使用憑證並安全地存取 Azure 金鑰保存庫

資產管理

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:資產管理

AM-2:僅使用核准的服務

功能

Azure 原則支援

描述:您可以透過Azure 原則監視和強制執行服務組態。 深入瞭解

支援 預設為啟用 設定責任
False 客戶

設定指引:使用 Microsoft Defender for Cloud 來設定Azure 原則,以稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用Azure 原則 [deny] 和 [如果不存在] 效果來強制執行跨 Azure 資源的安全設定。

對於不存在內建原則定義的任何案例,您可以使用 「Microsoft.Batch」 命名空間中的Azure 原則別名來建立自訂原則。

參考Azure 原則Azure Batch的內建定義

AM-5:僅在虛擬機器中使用核准的應用程式

功能

雲端Microsoft Defender - 自適性應用程式控制

描述:服務可以使用雲端Microsoft Defender中的自適性應用程式控制,限制在虛擬機器上執行的客戶應用程式。 深入瞭解

支援 預設為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

記錄和威脅偵測

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測

LT-1:啟用威脅偵測功能

功能

適用於服務/產品供應項目的 Microsoft Defender

描述:服務具有供應專案特定的Microsoft Defender解決方案,可監視和警示安全性問題。 深入瞭解

支援 預設啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

LT-4:啟用安全性調查的記錄

功能

Azure 資源記錄

描述:服務會產生資源記錄,可提供增強的服務特定計量和記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的資料接收,例如儲存體帳戶或記錄分析工作區。 深入瞭解

支援 預設啟用 設定責任
False 客戶

設定指引:針對下列記錄類型啟用Azure Batch的 Azure 資源記錄:ServiceLog 和 AllMetrics。

參考用於診斷評估和監視的批次計量、警示和記錄

態勢與弱點管理

如需詳細資訊,請參閱 Microsoft 雲端安全性基準測試:狀態和弱點管理

PV-3:定義和建立計算資源的安全設定

功能

Azure 自動化狀態設定

描述:Azure 自動化 狀態設定可用來維護作業系統的安全性設定。 深入瞭解

支援 預設啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

Azure 原則客體設定代理程式

描述:Azure 原則客體設定代理程式可以安裝或部署為計算資源的擴充功能。 深入瞭解

支援 預設啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

自訂 VM 映射

描述:服務支援使用使用者提供的 VM 映射或市集中預先建置的映射,並預先套用特定基準組態。 深入瞭解

支援 預設啟用 設定責任
False 共用

設定指引:可能的話,請使用來自受信任供應商的預先設定強化映射,例如 Microsoft,或在 VM 映射範本中建置所需的安全設定基準。

客戶也可以使用自訂作業系統映射進行Azure Batch。 針對您的Azure Batch使用虛擬機器組態時,請確定自訂映射已強化為貴組織的需求。 針對生命週期管理,集區會將映射儲存在共用映射庫中。 您可以使用 Azure 自動化工具來設定安全的映射建置程式,例如 Azure Image Builder。

參考使用受控映射來建立自訂映射集區

自訂容器映射

描述:服務支援使用使用者提供的容器映射或市集中預先建置的映射,並預先套用特定基準組態。 深入瞭解

支援 預設啟用 設定責任
False 共用

設定指引:如果使用 Batch 集區在節點上的 Docker 相容容器中執行工作,請使用來自 Microsoft 等受信任供應商的預先設定強化容器映射,或在容器映射範本中建置所需的安全設定基準。

參考在 Azure Batch 上執行容器應用程式

PV-5:執行弱點評定

功能

使用 Microsoft Defender 的弱點評量

描述:服務可以使用雲端或其他Microsoft Defender服務內嵌弱點評估功能來掃描弱點 Microsoft Defender掃描, (包括伺服器、容器登錄、App Service、SQL App Service、SQL 和 DNS) 的Microsoft Defender。 深入瞭解

支援 預設啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

PV-6:快速自動補救弱點

功能

Azure 自動化更新管理

描述:服務可以使用Azure 自動化更新管理來自動部署修補程式和更新。 深入瞭解

支援 預設啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

端點安全性

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:端點安全性

ES-1:使用端點偵測及回應 (EDR)

功能

EDR 解決方案

描述:端點偵測和回應 (EDR) 功能,例如適用于伺服器的 Azure Defender 可以部署到端點。 深入瞭解

支援 預設為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

ES-2:使用新式反惡意程式碼軟體

功能

反惡意程式碼解決方案

描述:Microsoft Defender防毒軟體等反惡意程式碼功能,可在端點上部署適用於端點的 Microsoft Defender。 深入瞭解

支援 預設為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

ES-3:確定反惡意程式碼軟體和簽章已更新

功能

反惡意程式碼解決方案健全狀況監視

描述:反惡意程式碼解決方案提供平臺、引擎和自動簽章更新的健康狀態監視。 深入瞭解

支援 預設為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

備份與復原

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原

BR-1:確保定期自動備份

功能

Azure 備份

描述:服務可由Azure 備份服務備份。 深入瞭解

支援 預設為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

服務原生備份功能

描述:若未使用 Azure 備份) ,服務支援其本身的原生備份功能 (。 深入瞭解

支援 預設為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

後續步驟