建立 Azure VM 基準

  • 5 分鐘

Azure 原則是可用於建立、指派及管理原則的 Azure 服務。 您建立的原則會對資源施行不同的規則與效果,以便讓這些資源符合公司標準與服務等級協定。 Azure 原則會透過評估您的資源是否符合指派的策略來滿足此需求。 例如,您可以有一個原則是在環境中只允許特定 SKU 大小的 VM。 實作此原則之後,會評估新資源和現有資源的合規性。 使用適當類型的原則,現有的資源就可以合規。

Azure VM 安全性建議

下列各節描述 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中的 Azure VM 安全性建議。 每個建議都會包括可在 Azure 入口網站中完成的基本步驟。 建議對您自己的訂閱完成所述步驟,並使用自己的資源來驗證每項安全性建議。 請記住,層級 2 選項可能會限制一些功能或活動,因此請仔細考慮您要強制執行哪一些安全性選項。

針對適用於雲端的 Microsoft Defender 資料集合啟用及安裝 VM 代理程式 - 層級 1

適用於雲端的 Microsoft Defender 可讓您知道 VM 何時需要 VM 代理程式。 根據預設,會為從 Azure Marketplace 部署的 VM 安裝代理程式。 需要資料以評定 VM 安全性狀態、提供安全性建議,以及針對以主機為基礎的威脅發出警示。

  1. 登入 Azure 入口網站。 搜尋並選取 [適用於雲端的 Microsoft Defender]

  2. 在 [管理] 下的左側功能表中,選取 [環境設定]

  3. 在 [環境設定] 窗格中,選取您的訂閱。

  4. 在 [設定] 下的左側功能表中,選取 [自動佈建]

  5. 針對您想要使用的 VM 代理程式,選取 [開啟]。 選取要使用的工作區。

  6. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot that shows the auto provisioning extension pane, with Log Analytics agent for Azure VMs selected.

確保 OS 磁碟已加密 - 層級 1

Azure 磁碟加密可協助保護您的資料安全,以符合您組織的安全性與合規性承諾。 Azure 磁碟加密:

  • 其會使用 Windows 的 BitLocker 功能與 Linux 的 DM-Crypt 功能,為 Azure VM 的 OS 與資料磁碟提供磁碟區加密。
  • 與 Azure Key Vault 整合可協助您控制及管理磁碟加密金鑰與祕密。
  • 確保 VM 磁碟中的所有資料在 Azure 儲存體中已待用加密。

適用於 Windows 和 Linux VM 的 Azure 磁碟加密已在所有 Azure 公用區域及 Azure Government 區域公開推出,可供標準 VM 和具有 Azure 進階儲存體的 VM 使用。

若使用適用於雲端的 Microsoft Defender (建議),您將會在有未加密的 VM 時收到警示。 針對 Azure 訂用帳戶中的每部 VM 完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [虛擬機器]

  2. 在 [設定] 下的左側功能表中,選取 [磁碟]

  3. 在 [OS 磁碟] 下,確保 OS 磁碟已設定加密類型。

  4. 在 [資料磁碟] 下,確保每個磁碟都已設定加密類型。

  5. 如果要變更任何設定,請在功能表列中選取 [儲存]

Screenshot that shows the Disks pane for virtual machines with the encryption type highlighted.

確保僅安裝已核准的 VM 延伸模組 - 層級 1

Azure VM 延伸模組是小型應用程式,可在 Azure VM 上提供部署後設定及自動化工作。 例如,若 VM 需要軟體安裝或防毒保護,或若 VM 必須執行指令碼,您都可以使用 VM 延伸模組。 您可以使用 Azure CLI、PowerShell、Azure Resource Manager 範本或 Azure 入口網站來執行 Azure VM 延伸模組。 您可以將延伸模組與新的 VM 部署搭配使用,或在任何現有的系統上加以執行。 若要使用 Azure 入口網站來確保 VM 上僅安裝已核准的延伸模組,請針對 Azure 訂閱中的每部 VM 完成下列步驟。

  1. 登入 Azure 入口網站。 搜尋並選取 [虛擬機器]

  2. 在 [設定] 下的左側功能表中,選取 [Extensions + applications] (延伸模組 + 應用程式)

  3. 在 [Extensions + applications] (延伸模組 + 應用程式) 窗格中,確保列出的延伸模組已核准使用。

Screenshot that shows V M extensions in the Extensions + applications pane.

確定已套用適用於 VM 的 OS 修補程式 - 層級 1

適用於雲端的 Microsoft Defender 每天都會監視 Windows VM、Linux VM 與電腦是否有遺漏的作業系統更新。 適用於雲端的 Defender 會從 Windows UpdateWindows Server Update Services (WSUS) 擷取可用安全性與重大更新的清單。 您收到的更新取決於您在 Windows 電腦上設定的服務。 適用於雲端的 Defender 也會檢查 Linux 系統中的最新更新。 若您的 VM 或電腦遺漏某個系統更新,則適用於雲端的 Defender 會建議您套用系統更新。

  1. 登入 Azure 入口網站。 搜尋並選取 [適用於雲端的 Microsoft Defender]

  2. 在 [一般] 下的左側功能表中,選取 [建議]

  3. 在 [建議] 中,確保沒有針對 [套用系統更新] 的任何建議。

Screenshot of the Microsoft Defender for Cloud Recommendations pane.

確保 VM 已安裝並正在執行端點保護解決方案 - 層級 1

適用於雲端的 Microsoft Defender 會監視反惡意程式碼保護的狀態。 其會在 [Endpoint Protection 問題] 窗格中報告此狀態。 適用於雲端的 Defender 會強調問題所在 (例如偵測到威脅與不足的保護),這些問題可能會造成 VM 與電腦容易遭受反惡意程式碼攻擊。 藉由使用 [Endpoint Protection 問題] 中的資訊,您可以開始建立解決任何所識別問題的方案。

使用上一個建議中所描述的相同流程。