適用於 虛擬機器擴展集的 Azure 安全性基準
此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至 虛擬機器擴展集。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性基準所定義的安全性控制,以及適用於 虛擬機器擴展集 的相關指引分組。
您可以使用雲端 Microsoft Defender 來監視此安全性基準及其建議。 Azure 原則 定義將會列在雲端入口網站 Microsoft Defender 的法規合規性一節中。
當功能具有相關的 Azure 原則 定義時,這些定義會列在此基準中,以協助您測量與 Microsoft 雲端安全性基準檢驗控件和建議的合規性。 某些建議可能需要付費 Microsoft Defender 方案,才能啟用特定安全性案例。
注意
已排除不適用於 虛擬機器擴展集的功能。 若要查看 虛擬機器擴展集 如何完全對應至 Microsoft 雲端安全性基準檢驗,請參閱完整的 虛擬機器擴展集 安全性基準對應檔案。
安全性配置檔
安全性配置檔摘要說明 虛擬機器擴展集 的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | 計算 |
| 客戶可以存取主機/OS | 完整存取 |
| 服務可以部署至客戶的虛擬網路 | 對 |
| 儲存待用客戶內容 | 對 |
網路安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
功能
虛擬網路整合
描述:服務支援將部署至客戶的私人 虛擬網路 (VNet) 。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:預設部署上啟用此設定時不需要其他設定。
參考: Azure 中的虛擬網路和虛擬機
網路安全組支援
描述:服務網路流量會遵守其子網上的網路安全組規則指派。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用網路安全組 (NSG) 來限制或監視埠、通訊協定、來源 IP 位址或目的地 IP 位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。
當您建立 Azure 虛擬機 (VM) 時,您必須建立虛擬網路或使用現有的虛擬網路,並使用子網設定 VM。 確保所有已部署的子網路都有一個網路安全性群組,其是使用應用程式受信任連接埠和來源特有的網路存取控制所套用的。
參考: 網路安全組
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在網際網路對應的虛擬機器上套用自適性網路強化建議 | Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 | AuditIfNotExists, Disabled | 3.0.0 |
NS-2:使用網路控制保護雲端服務
功能
停用公用網路存取
描述:服務支援透過使用服務層級IP ACL篩選規則來停用公用網路存取, (非 NSG 或 Azure 防火牆) 或使用「停用公用網路存取」切換開關。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:與操作系統一起安裝的服務可用來提供網路篩選,以停用公用網路存取。
設定指引:這項功能設定目前沒有 Microsoft 指導方針。 請檢閱並判斷您的組織是否要設定此安全性功能。
身分識別管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
功能
資料平面存取所需的 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制數據平面存取。 Azure AD 會對待用資料和傳輸中資料使用增強式加密,以保護資料安全。 Azure AD 也會對使用者認證進行 Salt 處理、雜湊處理並安全儲存資料。 您可以使用受控識別向任何支援 Azure AD 驗證的服務進行驗證,包括 金鑰保存庫,而不需要程式代碼中的任何認證。 在虛擬機上執行的程式代碼可以使用其受控識別來要求支援 Azure AD 驗證之服務的存取令牌。
參考: Azure AD 聯結實作
資料平面存取的本機驗證方法
描述:支持數據平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
IM-3:安全且自動地管理應用程式身分識別
功能
受控識別
描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:盡可能使用 Azure 受控識別,而不是服務主體,它可以向支援 Azure Active Directory 的 Azure 服務和資源進行驗證, (Azure AD) 驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。
服務主體
描述:數據平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:服務主體可由在 虛擬機器擴展集 中執行的應用程式使用。
設定指引:這項功能設定沒有目前的 Microsoft 指引。 請檢閱並判斷您的組織是否想要設定此安全性功能。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
IM-8:限制認證和祕密的公開
功能
Azure Key Vault 中服務認證和秘密支援整合和儲存
描述:數據平面支援原生使用 Azure 金鑰保存庫 進行認證和秘密存放區。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:在數據平面或操作系統內,服務可能會針對認證或秘密呼叫 Azure 金鑰保存庫。
設定指引:確定秘密和認證會儲存在安全的位置,例如 Azure 金鑰保存庫,而不是將它們內嵌到程式碼或組態檔中。
特殊權限存取
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:特殊許可權存取。
PA-1:劃分和限制高度權限/系統管理使用者
功能
本機 管理員 帳戶
描述:服務具有本機系統管理帳戶的概念。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
PA-7:受保護的系統管理員
功能
適用於數據平面的 Azure RBAC
描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務數據平面動作的存取權。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure 角色型訪問控制 (Azure RBAC) ,透過內建角色指派來管理 Azure 資源存取。 Azure RBAC 角色可以指派給使用者、群組、服務主體和受控識別。
參考: 虛擬機參與者的內建角色
PA-8:判斷雲端提供者支援的存取程序
功能
客戶加密箱
描述:客戶加密箱可用於 Microsoft 支援存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:在 Microsoft 需要存取數據的支援案例中,使用客戶加密箱來檢閱,然後核准或拒絕每個 Microsoft 的數據存取要求。
資料保護
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:數據保護。
DP-1:探索、分類及標記敏感性資料
功能
敏感數據探索和分類
描述:Azure Purview 或 Azure 資訊保護) 之類的工具 (可用於服務中的數據探索和分類。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-2:監視以敏感性資料為目標的異常和威脅
功能
數據外洩/外洩防護
描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感數據移動 (。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-3:加密傳輸中的敏感性資料
功能
傳輸中資料加密
描述:服務支持數據平面的數據傳輸中加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:預設會加密某些通訊協定,例如 SSH。 不過,RDP 或 HTTP 等服務必須設定為使用 TLS 進行加密。
設定指引:在內建原生數據傳輸加密功能的服務中啟用安全傳輸。 在任何 Web 應用程式和服務上強制執行 HTTPS,並確保使用 TLS v1.2 或更新版本。 應停用舊版的 SSL 3.0、TLS v1.0。 若要遠端管理 虛擬機器,請使用適用於 Linux) 的 SSH (或適用於 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。
參考: VM 中的傳輸中加密
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Windows 計算機應設定為使用安全通訊協定 | 若要保護透過因特網通訊的資訊隱私權,您的計算機應該使用最新版的業界標準密碼編譯通訊協定傳輸層安全性 (TLS) 。 TLS 透過網路保護通訊,方法是加密計算機之間的連線。 | AuditIfNotExists, Disabled | 4.1.1 |
DP-4:預設啟用待用資料加密
功能
使用平台金鑰進行待用數據加密
描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些 Microsoft 管理的密鑰加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:除了使用平臺管理密鑰的標準加密之外,擔心與任何特定加密演算法、實作或密鑰遭入侵相關之風險的高安全性敏感性客戶,現在可以使用平臺管理的加密密鑰和客戶自控密鑰,在基礎結構層使用不同的加密演算法/模式選擇額外的加密層。 這個新加密層可以套用至保存的 OS 和資料磁碟、快照集和映像,全都會以雙重加密進行待用加密。
如需詳細資訊,請造訪: 待用雙重加密。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Linux 虛擬機應該啟用 Azure 磁碟加密或 EncryptionAtHost。 | 根據預設,虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密,而且在計算和記憶體資源之間流動時不會加密數據。 使用 Azure 磁碟加密或 EncryptionAtHost 來加密所有這些數據。請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應專案。 此原則需要將兩個必要條件部署到原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.2.0-preview |
DP-5:必要時在待用資料加密中使用客戶自控金鑰選項
功能
使用 CMK 進行待用資料加密
描述:服務所儲存的客戶內容支援使用客戶自控密鑰進行待用數據加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:如果需要法規合規性,請定義需要使用客戶自控密鑰加密的使用案例和服務範圍。 針對這些服務,使用客戶自控金鑰來啟用和實作待用資料加密。
虛擬機器 (VM) 上的虛擬磁碟會使用伺服器端加密或 Azure 磁碟加密 (ADE) 進行待用加密。 Azure 磁碟加密利用 Linux 的 DM-Crypt 功能,使用客體 VM 內客戶管理的密鑰來加密受控磁碟。 使用客戶管理的金鑰進行伺服器端加密,可讓您藉由加密儲存庫服務中的資料,對您的 VM 使用任何作業系統類型和映像,而改善 ADE 的效能。
當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰可提供更大的彈性來管理存取控制。 您必須使用 Azure 金鑰保存庫 或 Azure 金鑰保存庫 受控硬體安全性模組 (HSM) 來儲存客戶管理的金鑰。
您可以將您的 RSA 金鑰匯入 Key Vault,或在 Azure Key Vault 中產生新的 RSA 金鑰。 Azure 受控磁碟會使用信封加密,以完全透明的方式處理加密和解密。 其會使用以 AES 256 為基礎的資料加密金鑰 (DEK) 來加密資料,而這是使用您的金鑰來保護。 儲存體服務會產生資料加密金鑰,並使用 RSA 加密,透過客戶管理的金鑰進行加密。 信封加密可讓您根據您的相容性原則,定期輪替 (變更) 您的金鑰,而不會影響您的 VM。 當您輪替金鑰時,儲存體服務會使用新的客戶管理的金鑰,重新加密資料加密金鑰。
受控磁碟和 Key Vault 或受控 HSM 必須位於相同 Azure 區域,但可位於不同的訂用帳戶。 除非您使用 跨租用戶客戶管理的密鑰加密受控磁碟,否則它們也必須位於相同的 Azure Active Directory (Azure AD) 租使用者中。
DP-6:使用安全金鑰管理程序
功能
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure 金鑰保存庫 整合。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure 金鑰保存庫 來建立和控制加密金鑰的生命週期,包括金鑰產生、散發和記憶體。 根據定義的排程或密鑰淘汰或入侵時,輪替和撤銷 Azure 金鑰保存庫 和服務中的密鑰。 如果您需要在工作負載、服務或應用層級中使用客戶管理的密鑰 (CMK) ,請確定您遵循金鑰管理的最佳做法:使用金鑰階層來產生個別的數據加密密鑰, (DEK) 金鑰與金鑰保存庫中的 KEK (KEK) 。 請確定金鑰會向 Azure 金鑰保存庫 註冊,並透過來自服務或應用程式的金鑰標識碼來參考。 如果您需要將自己的金鑰 (BYOK) 帶入服務 (,例如將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行初始密鑰產生和金鑰傳輸。
資產管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:資產管理。
AM-2:僅使用核准的服務
功能
Azure 原則支援
描述:您可以透過 Azure 原則 監視和強制執行服務組態。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:Azure 原則 可用來定義組織 Windows VM 和 Linux VM 所需的行為。 組織可以使用原則,在整個企業中強制執行各種慣例和規則,並定義及實作 Azure 虛擬機器擴展集 的標準安全性設定。 強制執行所要的行為有助於降低風險,同時促進組織的成功。
參考:適用於 虛擬機器擴展集 的內建 Azure 原則 定義
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
AM-5:僅在虛擬機器中使用核准的應用程式
功能
雲端 Microsoft Defender - 自適性應用程控
描述:服務可以使用雲端 Microsoft Defender 中的調適型應用程控,限制在虛擬機上執行的客戶應用程式。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用雲端自適性應用程控 Microsoft Defender 來探索在虛擬機上執行的應用程式, (VM) ,並產生應用程式允許清單,以要求哪些核准的應用程式可以在 VM 環境中執行。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
記錄和威脅偵測
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
功能
適用於服務/產品供應項目的 Microsoft Defender
描述:服務具有供應專案特定的 Microsoft Defender 解決方案,可監視和警示安全性問題。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:適用於伺服器的Defender會將保護延伸至您在 Azure 中執行的 Windows 和 Linux 機器。 適用於伺服器的 Defender 與 適用於端點的 Microsoft Defender 整合以提供端點偵測和回應 (EDR) ,並提供一些額外的威脅防護功能,例如安全性基準和 OS 層級評估、弱點評估掃描、調適型應用程控 (AAC) 、檔案完整性監視 (FIM) 等等。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
LT-4:啟用安全性調查的記錄
功能
Azure 資源記錄
描述:服務會產生資源記錄,可提供增強的服務特定計量和記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收,例如記憶體帳戶或記錄分析工作區。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:當您建立 VM 時,Azure 監視器會開始自動收集虛擬機主機的計量數據。 不過,若要從虛擬機的客體作業系統收集記錄和效能數據,您必須安裝 Azure 監視器代理程式。 您可以使用 VM 深入解析 或 建立資料收集規則來安裝代理程式並設定收集。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
態勢與弱點管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準檢驗:狀態和弱點管理。
PV-3:定義和建立計算資源的安全設定
功能
Azure 自動化狀態設定
描述:Azure 自動化 狀態設定 可用來維護操作系統的安全性設定。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure 自動化 狀態設定 維護操作系統的安全性設定。 Azure 自動化 狀態設定 是 Azure 組態管理服務,可讓您撰寫、管理及編譯節點的 PowerShell Desired State Configuration (DSC) 組態。
Azure Automation State Configuration 提供在 Azure 外部使用 DSC 的數個優點。 此服務可讓您從中央、安全的位置快速且輕鬆地延展到數千部電腦。 您可以輕鬆地啟用機器、將宣告式組態指派給這些機器,以及檢視報告,其中顯示每部機器是否符合您指定的所需狀態。
參考:搭配 Azure DSC 擴充功能使用 虛擬機器擴展集
Azure 原則客體設定代理程式
描述:Azure 原則 客體設定代理程式可以安裝或部署為計算資源的擴充功能。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:針對雲端和 Azure 原則 客體設定代理程式使用 Microsoft Defender,定期評估及補救虛擬機上的設定偏差。
自訂 VM 映像
描述:服務支援使用使用者提供的 VM 映射或市集中預先建置的映射,並預先套用特定基準組態。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用來自受信任供應商的預先設定強化映像,例如 Microsoft,或在 VM 映射範本中建置所需的安全設定基準
參考:針對具有 Azure PowerShell 的虛擬機擴展集建立和使用自定義映射
PV-4:稽核和強制執行計算資源的安全設定
功能
信任的啟動虛擬機
描述:信任的啟動可結合安全開機、vTPM 和完整性監視等基礎結構技術,以防止進階和持續性的攻擊技術。 每個技術都會針對複雜的威脅提供另一層防禦。 信任啟動允許使用已驗證開機載入器、OS 核心和驅動程式的安全部署虛擬機,並安全地保護虛擬機中的密鑰、憑證和秘密。 信任的啟動也提供整個開機鏈完整性的深入解析和信心,並確保工作負載受到信任且可驗證。 信任的啟動會與適用於雲端的 Microsoft Defender整合,以確保 VM 已正確設定,方法是以狀況良好的方式開機遠程證明 VM。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附註:受信任的啟動適用於第 2 代 VM。 執行可信啟動需要建立新的虛擬機器。 若現有虛擬機器原先在無可信啟動的情況下建立,即無法在此虛擬機器上啟用可信啟動。
設定指引:在 VM 部署期間可能會啟用受信任的啟動。 啟用這三個 - 安全開機、vTPM 和完整性開機監視,以確保虛擬機的最佳安全性狀態。 請注意,有幾個必要條件包括將您的訂用帳戶上線至雲端 Microsoft Defender、指派特定 Azure 原則 計劃,以及設定防火牆原則。
參考: 部署已啟用受信任啟動的 VM
PV-5:執行弱點評定
功能
使用 Microsoft Defender的弱點評估
描述:您可以使用雲端 Microsoft Defender 或其他 Microsoft Defender 服務內嵌弱點評估功能來掃描弱點掃描, (包括伺服器、容器登錄、App Service、SQL 和 DNS) Microsoft Defender。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:遵循雲端 Microsoft Defender 的建議,在您的 Azure 虛擬機上執行弱點評估。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
PV-6:快速自動補救弱點
功能
Azure 自動化更新管理
描述:服務可以使用 Azure 自動化 更新管理來自動部署修補程式和更新。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
功能附注:Microsoft 提供其他功能,可協助您管理 Azure VM 或 Azure 虛擬機擴展集的更新,您應該將其視為整體更新管理策略的一部分。
如果您想自動評估及更新 Azure 虛擬機器,以持續遵循每個月發行的重大和安全性更新法規,請檢閱自動 VM 客體修補。 相較於從 Azure 自動化的更新管理中管理 Azure VM 的更新部署,這是 Azure VM 的替代更新管理解決方案,可在離峰時段自動更新 VM (包括可用性設定組中的 VM)。
如果您要管理 Azure 虛擬機器擴展集,請檢閱如何執行自動 OS 映像升級,以安全地自動升級擴展集中所有執行個體的 OS 磁碟。
如需詳細資訊,請造訪: Azure 虛擬機擴展集自動OS映射升級。
設定指引:不支援此功能來保護此服務。
Azure 客體修補服務
描述:服務可以使用 Azure 客體修補來自動部署修補程式和更新。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:服務可以利用不同的更新機制,例如 自動操作系統映像升級 和 自動客體修補。 建議您遵循安全部署原則,將最新的安全性和重大更新套用至虛擬機的客體OS。
自動客體修補可讓您自動評估及更新 Azure 虛擬機,以維持每個月發行之重大和安全性更新的安全性合規性。 匯報 會在離峰時段套用,包括可用性設定組中的 VM。 此功能適用於 VMSS 彈性協調流程,未來支援統一協調流程藍圖。
如果您執行無狀態工作負載,自動OS映像升級很適合套用VMSS Uniform的最新更新。 透過復原功能,這些更新與 Marketplace 或自定義映像相容。 彈性協調流程藍圖的未來滾動升級支援。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:您的機器上應該安裝系統更新 (由更新中心提供) | 您的機器缺少系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。 | AuditIfNotExists, Disabled | 1.0.0-preview |
端點安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:端點安全性。
ES-1:使用端點偵測及回應 (EDR)
功能
EDR 解決方案
描述:端點偵測和回應 (EDR) 功能,例如適用於伺服器的 Azure Defender 可以部署到端點。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:適用於伺服器的 Azure Defender (與 適用於端點的 Microsoft Defender 整合式) 提供 EDR 功能,以防止、偵測、調查及回應進階威脅。 使用適用於雲端的 Microsoft Defender,為您的端點部署適用於伺服器的 Azure Defender,並將警示整合到 SIEM 解決方案,例如 Azure Sentinel。
參考:適用於端點的 Microsoft Defender的整合式授權
ES-2:使用新式反惡意程式碼軟體
功能
反惡意代碼解決方案
描述:Microsoft Defender 防病毒軟體等反惡意代碼功能,可在端點上部署 適用於端點的 Microsoft Defender。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:針對 Windows Server 2016 和更新版本,預設會安裝防病毒軟體 Microsoft Defender。 針對 Windows Server 2012 R2 和更新版本,客戶可以安裝 SCEP (System Center Endpoint Protection) 。 針對 Linux,客戶可以選擇安裝適用於 Linux 的 Microsoft Defender。 或者,客戶也可以選擇安裝第三方反惡意代碼產品。
參考:適用於 Azure 雲端服務 和 虛擬機器 的 Microsoft Antimalware
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
ES-3:確定反惡意程式碼軟體和簽章已更新
功能
反惡意代碼解決方案健全狀況監視
描述:反惡意代碼解決方案提供平臺、引擎和自動簽章更新的健康狀態監視。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:設定您的反惡意代碼解決方案,以確保平臺、引擎和簽章會快速且一致地更新,並可監視其狀態。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
備份與復原
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原。
BR-1:確保定期自動備份
功能
Azure 備份
描述:服務可由 Azure 備份 服務備份。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附註:支援 VMSS Flex 而非 VMSS 統一
設定指引:啟用 Azure 備份 和目標 Azure 虛擬機器 (VM) ,以及所需的頻率和保留期間。 這包括完整的系統狀態備份。 如果您使用 Azure 磁磁碟加密,Azure VM 備份會自動處理客戶自控金鑰的備份。 針對 Azure 虛擬機器,您可以使用 Azure 原則 來啟用自動備份。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.Compute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
後續步驟
- 請參閱 Microsoft 雲端安全性基準檢驗概觀
- 深入了解 Azure 資訊安全性基準