了解 Azure 平台安全性基準
Microsoft 網路安全性群組與網際網路安全性中心 (CIS) 已開發最佳做法,以協助針對 Azure 平台建立安全性基準。
Microsoft 一開始與 CIS 合作開發現成的已強化 Azure 虛擬機器 (VM)。 接著,計畫便開始針對 Azure 安全性服務與工具建立 CIS 基準 (詳細說明 CIS 最佳做法的文件),以促進在 Azure 服務上執行客戶應用程式的安全性與合規性。
提示
CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 提供精準的指引,以建立適用於 Azure 的安全基準設定。 此指南已於 2021 年 2 月針對所列的 Azure 服務進行測試。 此基準的範圍是要為採用 Azure 的任何人建立基礎層級的安全性。
建立平台安全性基準
各種安全性標準可協助雲端服務客戶在使用雲端服務時達成工作負載安全性。 下列是建議的技術群組,可協助您建立具備雲端功能的安全工作負載。 這些建議不是所有可能安全性設定與架構的詳盡清單。 這些安全性基準建議是一個起點。
CIS 具有兩個實作層級,以及數個建議類別:
層級 1:建議的最低安全性設定
- 這些設定應該在所有系統上設定。
- 這些設定應該只會導致些微的服務中斷或功能性降低,或是完全沒有影響。
層級 2:適用於高度安全環境的建議
- 這些設定可能會導致功能性降低。
下列資料表提供 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中每個類別的類別與建議數目:
| 技術群組 | 描述 | 建議數目 |
|---|---|---|
| 身分識別與存取管理 (IAM) | 與 IAM 原則相關的建議 | 23 |
| 適用於雲端的 Microsoft Defender | 與設定和使用適用於雲端的 Microsoft Defender 相關的建議 | 19 |
| 儲存體帳戶 | 適用於設定儲存體帳戶原則的建議 | 7 |
| Azure SQL Database | 適用於協助保護 Azure SQL 資料庫的建議 | 8 |
| 記錄和監視 | 適用於為您的 Azure 訂用帳戶設定記錄和監視原則的建議 | 13 |
| 網路功能 | 適用於協助安全地設定 Azure 網路設定和原則的建議 | 5 |
| VM | 適用於為 Azure 計算服務 (特別是 VM) 設定安全性原則的建議 | 6 |
| 其他 | 與一般安全性與作業控制項相關的建議,包括與 Azure Key Vault 與資源鎖定相關的建議 | 3 |
| 建議總計 | 84 |
讓我們更詳細地探索每個類別。