منع التكوينات الخاطئة باستخدام إنفاذ/رفض التوصيات

  • مقالة
  • قراءة خلال 3 دقائق

تعد الأخطاء الأمنية سببا رئيسيا للحوادث الأمنية. يمكن أن يساعد Defender for Cloud في منع سوء تكوين الموارد الجديدة فيما يتعلق بتوصيات محددة.

يمكن أن تساعد هذه الميزة في الحفاظ على أمان أحمال العمل الخاصة بك وتحقيق الاستقرار في درجاتك الآمنة.

يتم تقديم فرض تكوين آمن ، بناء على توصية محددة ، في وضعين:

  • باستخدام تأثير الرفض لنهج Azure، يمكنك إيقاف إنشاء الموارد غير الصحية
  • باستخدام الخيار فرض ، يمكنك الاستفادة من تأثير DeployIfNotExist's الخاص ب Azure Policy ومعالجة الموارد غير المتوافقة تلقائيا عند الإنشاء

يمكن العثور على هذا في أعلى صفحة تفاصيل المورد لتوصيات الأمان المحددة (راجع التوصيات مع خيارات الرفض/الإنفاذ).

منع إنشاء الموارد

  1. افتح التوصية التي يجب أن تستوفيها مواردك الجديدة، وحدد الزر رفض في أعلى الصفحة.

    Recommendation page with Deny button highlighted.

    يفتح جزء التكوين مدرجا خيارات النطاق.

  2. قم بتعيين النطاق عن طريق تحديد الاشتراك أو مجموعة الإدارة ذات الصلة.

    تلميح

    يمكنك استخدام النقاط الثلاث في نهاية الصف لتغيير اشتراك واحد، أو استخدام خانات الاختيار لتحديد اشتراكات أو مجموعات متعددة، ثم تحديد تغيير إلى رفض.

    Setting the scope for Azure Policy deny.

فرض تكوين آمن

  1. افتح التوصية بنشر نشر قالب إذا لم تستوف الموارد الجديدة ذلك، وحدد الزر فرض في أعلى الصفحة.

    Recommendation page with Enforce button highlighted.

    يتم فتح جزء التكوين مع كافة خيارات تكوين النهج.

    Enforce configuration options.

  2. قم بتعيين النطاق واسم المهمة والخيارات الأخرى ذات الصلة.

  3. حدد Review + create.

التوصيات مع خيارات الرفض/الفرض

يمكن استخدام هذه التوصيات مع خيار الرفض :

  • [تمكين إذا لزم الأمر] يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العميل لتشفير البيانات في وضع السكون
  • [تمكين إذا لزم الأمر] يجب تشفير مساحات عمل Azure التعلم الآلي باستخدام مفتاح مدار من قبل العميل (CMK)
  • [تمكين إذا لزم الأمر] يجب أن تمكن حسابات الخدمات المعرفية تشفير البيانات باستخدام مفتاح يديره العميل (CMK)
  • [تمكين إذا لزم الأمر] يجب تشفير سجلات الحاويات باستخدام مفتاح يديره العميل (CMK)
  • يجب تقييد الوصول إلى حسابات التخزين باستخدام جدار الحماية وتكوينات الشبكة الافتراضية
  • يجب تشفير متغيرات حساب التنفيذ التلقائي
  • يجب أن تكون ذاكرة التخزين المؤقت لـ Azure الخاصة بـ Redis داخل شبكة ظاهرية
  • يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة
  • يجب فرض حدود وحدة المعالجة المركزية والذاكرة في الحاوية
  • يجب نشر صور الحاويات من السجلات الموثوق بها فقط
  • يجب تجنب الحاويات ذات الامتيازات المتصاعدة
  • يجب تجنب مشاركة الحاويات في مساحات أسماء المضيف الحساسة
  • يجب أن تستمع الحاويات في الموانئ المسموح بها فقط
  • يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط
  • يجب فرض نظام الملفات الجذرية غير القابل للتغيير (للقراءة فقط) للحاويات
  • يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية
  • يجب أن يكون للأسرار في Key Vault تاريخ انتهاء صلاحية
  • يجب تمكين الحماية من المسح في Key vaults
  • يجب تمكين الحذف المبدئي في خدمات Key Vault
  • يجب فرض قدرات Linux الأقل امتيازا على الحاويات
  • يجب تجنب الحاويات المميزة
  • يجب أن تسمح ذاكرة التخزين المؤقت Redis بالوصول فقط عبر SSL
  • يجب تجنب تشغيل الحاويات كمستخدم جذر
  • ينبغي تمكين التحويل الآمن إلى حسابات التخزين
  • يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign
  • يجب أن تستخدم مجموعات Service Fabric فقط Microsoft Azure Active Directory لمصادقة العميل
  • يجب أن تستمع الخدمات على المنافذ المسموح بها فقط
  • يجب عدم السماح بالوصول العام إلى حساب التخزين
  • يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة
  • يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية
  • يجب تقييد استخدام الشبكات والمنافذ المضيفة
  • يجب أن يقتصر استخدام حوامل وحدة تخزين pod HostPath على قائمة معروفة لتقييد الوصول إلى العقدة من الحاويات المخترقة
  • يجب ألا تتجاوز فترة صلاحية الشهادات المخزنة في Azure Key Vault 12 شهرا
  • يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة
  • يجب تمكين جدار حماية تطبيق ويب (WAF) لبوابة Application Gateway
  • يجب تمكين تطبيق جدار حماية تطبيقات الويب لبوابة التطبيق

يمكن استخدام هذه التوصيات مع خيار الإنفاذ :

  • يجب تمكين التدقيق على خادم SQL
  • يجب أن تحتوي مجموعات Kubernetes التي تم تمكين Azure Arc عليها ملحق Microsoft Defender for Cloud مثبتا
  • يجب تمكين Azure Backup للأجهزة الظاهرية
  • يجب تمكين Microsoft Defender لخدمة التطبيقات
  • يجب تمكين Microsoft Defender لسجلات الحاويات
  • يجب تمكين Microsoft Defender لنظام أسماء النطاقات
  • يجب تمكين Microsoft Defender Key Vault
  • يجب تمكين Microsoft Defender for Kubernetes
  • يجب تمكين Microsoft Defender Resource Manager
  • يجب تمكين Microsoft Defender للخوادم
  • يجب تمكين Microsoft Defender لخوادم قاعدة بيانات Azure SQL
  • يجب تمكين Microsoft Defender لخوادم SQL الموجودة على الأجهزة
  • يجب تمكين Microsoft Defender for SQL لخوادم Azure SQL غير المحمية
  • يجب تمكين Microsoft Defender للتخزين
  • يجب تثبيت الوظيفة الإضافية لسياسة Azure ل Kubernetes وتمكينها على مجموعاتك
  • يجب تمكين سجلات الموارد في Azure Stream Analytics
  • يجب تمكين سجلات التشخيص في حسابات الدُفعات
  • يجب تمكين السجلات التشخيصية في Data Lake Analytics
  • يجب تمكين سجلات الموارد في Event Hub
  • يجب تمكين السجلات التشخيصية في Key Vault
  • يجب تمكين سجلات التشخيص في Logic Apps
  • يجب تمكين سجلات التشخيص في خدمات البحث
  • ⁧يجب تمكين سجلات الموارد في ناقل خدمة Azure