Doporučení zabezpečení

Tento článek obsahuje seznam všech doporučení zabezpečení, která se můžou zobrazit v programu Microsoft Defender for Cloud. Doporučení, která se zobrazí ve vašem prostředí, jsou založená na prostředcích, které chráníte, a na přizpůsobené konfiguraci.

Doporučení v defenderu pro cloud jsou založená na srovnávacím testu zabezpečení cloudu Microsoftu. Srovnávací test zabezpečení cloudu Microsoftu je sada pokynů pro osvědčené postupy zabezpečení a dodržování předpisů od Microsoftu. Tento široce respektovaný srovnávací test vychází z kontrolních mechanismů z Centra pro internetové zabezpečení (CIS) a národního institutu nist (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.

Další informace o akcích, které můžete provést v reakci na tato doporučení, najdete v tématu Náprava doporučení v defenderu pro cloud.

Vaše bezpečnostní skóre vychází z počtu doporučení zabezpečení, která jste dokončili. Pokud se chcete rozhodnout, která doporučení se mají nejprve vyřešit, podívejte se na závažnost jednotlivých doporučení a jeho potenciální dopad na vaše skóre zabezpečení.

Tip

Pokud popis doporučení říká Žádné související zásady, obvykle je to proto, že toto doporučení závisí na jiném doporučení a jeho zásadách.

Například doporučení Selhání stavu služby Endpoint Protection by se měla napravit , závisí na doporučení, které kontroluje, jestli je řešení ochrany koncových bodů ještě nainstalované (mělo by se nainstalovat řešení Endpoint Protection). Základní doporučení zásadu. Omezení zásad pouze na základní doporučení zjednodušuje správu zásad.

Doporučení služby AppServices

Aplikace API by měla být přístupná jenom přes HTTPS.

Popis: Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. (Související zásady: Aplikace API by měla být přístupná jenom přes HTTPS).

Závažnost: Střední

CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k aplikacím API

Popis: Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám aplikace API. Povolte interakci s vaší aplikací API jenom v požadovaných doménách. (Související zásady: CORS by neměl umožňovat přístup ke všem prostředkům vaší aplikace API).

Závažnost: Nízká

CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k aplikacím function

Popis: Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. (Související zásady: CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k vašim aplikacím funkcí).

Závažnost: Nízká

CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k webovým aplikacím

Popis: Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší webové aplikace. Povolte interakci s webovou aplikací jenom v požadovaných doménách. (Související zásady: CORS by neměl umožňovat přístup ke všem prostředkům pro přístup k webovým aplikacím).

Závažnost: Nízká

Diagnostické protokoly ve službě App Service by měly být povolené.

Popis: Audit povolení diagnostických protokolů v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě (žádné související zásady).

Závažnost: Střední

Ujistěte se, že aplikace API má klientské certifikáty příchozích klientských certifikátů nastavené na Zapnuto.

Popis: Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. (Související zásady: Ujistěte se, že aplikace API má nastavenou hodnotu Klientské certifikáty (příchozí klientské certifikáty) na Zapnuto.

Závažnost: Střední

Protokol FTPS by se měl vyžadovat v aplikacích API.

Popis: Povolení vynucení FTPS pro rozšířené zabezpečení (související zásady: Protokol FTPS by měl být vyžadován pouze ve vaší aplikaci API).

Závažnost: Vysoká

Protokol FTPS by měl být vyžadován v aplikacích funkcí.

Popis: Povolení vynucení FTPS pro rozšířené zabezpečení (související zásady: Protokol FTPS by měl být vyžadován pouze ve vaší aplikaci funkcí).

Závažnost: Vysoká

Protokol FTPS by měl být vyžadován ve webových aplikacích.

Popis: Povolení vynucení FTPS pro rozšířené zabezpečení (související zásady: FTPS by měly být vyžadovány ve webové aplikaci).

Závažnost: Vysoká

Aplikace funkcí by měla být přístupná jenom přes HTTPS.

Popis: Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. (Související zásady: Aplikace funkcí by měla být přístupná jenom přes HTTPS).

Závažnost: Střední

Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty).

Popis: Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. (Související zásady: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty).

Závažnost: Střední

Java by se měla aktualizovat na nejnovější verzi pro aplikace API.

Popis: Pravidelně se pro Javu vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Pythonu pro aplikace API, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. (Související zásady: Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást aplikace API).

Závažnost: Střední

Spravovaná identita by se měla používat v aplikacích API.

Popis: Pro rozšířené zabezpečení ověřování použijte spravovanou identitu. Spravované identity v Azure eliminují potřebu vývojářů spravovat přihlašovací údaje tím, že poskytují identitu prostředku Azure v Azure AD a používají je k získání tokenů Azure Active Directory (Azure AD). (Související zásady: Spravovaná identita by se měla používat ve vaší aplikaci API).

Závažnost: Střední

Spravovaná identita by se měla používat v aplikacích funkcí.

Popis: Pro rozšířené zabezpečení ověřování použijte spravovanou identitu. Spravované identity v Azure eliminují potřebu vývojářů spravovat přihlašovací údaje tím, že poskytují identitu prostředku Azure v Azure AD a používají je k získání tokenů Azure Active Directory (Azure AD). (Související zásady: Spravovaná identita by se měla používat ve vaší aplikaci funkcí.

Závažnost: Střední

Spravovaná identita by se měla používat ve webových aplikacích.

Popis: Pro rozšířené zabezpečení ověřování použijte spravovanou identitu. Spravované identity v Azure eliminují potřebu vývojářů spravovat přihlašovací údaje tím, že poskytují identitu prostředku Azure v Azure AD a používají je k získání tokenů Azure Active Directory (Azure AD). (Související zásady: Spravovaná identita by se měla používat ve vaší webové aplikaci).

Závažnost: Střední

Měla by být povolená služba Microsoft Defender for App Service.

Popis: Microsoft Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. Microsoft Defender for App Service může zjišťovat útoky na vaše aplikace a identifikovat vznikající útoky.

Důležité: Náprava tohoto doporučení způsobí poplatky za ochranu plánů služby App Service. Pokud v tomto předplatném nemáte žádné plány služby App Service, nebudou vám účtovány žádné poplatky. Pokud v budoucnu pro toto předplatné vytvoříte nějaké plány služby App Service, budou automaticky chráněny a poplatky začnou v tuto chvíli. Další informace najdete v článku Ochrana webových aplikací a rozhraní API. (Související zásady: Služba Azure Defender for App Service by měla být povolená).

Závažnost: Vysoká

PHP by se měl aktualizovat na nejnovější verzi aplikací API.

Popis: Pravidelně se vydávají novější verze pro software PHP buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi PHP pro aplikace API, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. (Související zásady: Ujistěte se, že verze PHP je nejnovější, pokud se používá jako součást aplikace API).

Závažnost: Střední

Python by se měl aktualizovat na nejnovější verzi aplikací API.

Popis: Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Pythonu pro aplikace API, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. (Související zásady: Ujistěte se, že verze Pythonu je nejnovější, pokud se používá jako součást aplikace API).

Závažnost: Střední

Vzdálené ladění by mělo být pro aplikaci API vypnuté.

Popis: Vzdálené ladění vyžaduje otevření příchozích portů v aplikaci API. Vzdálené ladění by mělo být vypnuté. (Související zásady: Vzdálené ladění by mělo být pro API Apps vypnuté).

Závažnost: Nízká

Vzdálené ladění by mělo být pro aplikaci funkcí vypnuté.

Popis: Vzdálené ladění vyžaduje otevření příchozích portů v aplikaci funkcí Azure. Vzdálené ladění by mělo být vypnuté. (Související zásady: Vzdálené ladění by mělo být pro aplikace funkcí vypnuté).

Závažnost: Nízká

Vzdálené ladění by mělo být pro webové aplikace vypnuté.

Popis: Vzdálené ladění vyžaduje otevření příchozích portů ve webové aplikaci. Vzdálené ladění je aktuálně povolené. Pokud už nepotřebujete používat vzdálené ladění, mělo by být vypnuté. (Související zásady: Vzdálené ladění by mělo být pro webové aplikace vypnuté).

Závažnost: Nízká

Protokol TLS by se měl aktualizovat na nejnovější verzi pro aplikace API.

Popis: Upgradujte na nejnovější verzi protokolu TLS. (Související zásady: Ve vaší aplikaci API by se měla používat nejnovější verze protokolu TLS).

Závažnost: Vysoká

Pro aplikace funkcí by se měl protokol TLS aktualizovat na nejnovější verzi.

Popis: Upgradujte na nejnovější verzi protokolu TLS. (Související zásady: Ve vaší aplikaci funkcí by se měla používat nejnovější verze protokolu TLS).

Závažnost: Vysoká

Protokol TLS by se měl aktualizovat na nejnovější verzi webových aplikací.

Popis: Upgradujte na nejnovější verzi protokolu TLS. (Související zásady: Ve webové aplikaci by se měla používat nejnovější verze protokolu TLS).

Závažnost: Vysoká

Webová aplikace by měla být přístupná jenom přes PROTOKOL HTTPS.

Popis: Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. (Související zásady: Webová aplikace by měla být přístupná jenom přes HTTPS).

Závažnost: Střední

Webové aplikace by měly požadovat certifikát SSL pro všechny příchozí požadavky.

Popis: Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí požadavky. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. (Související zásady: Ujistěte se, že je u webové aplikace nastavená možnost Klientské certifikáty (příchozí klientské certifikáty) nastavená na Zapnuto.

Závažnost: Střední

Doporučení pro výpočty

Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.

Popis: Povolte ovládací prvky aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás, když se spustí jiné aplikace. To pomáhá posílit zabezpečení počítačů proti malwaru. Pro zjednodušení procesu konfigurace a údržby pravidel používá Defender for Cloud strojové učení k analýze aplikací spuštěných na každém počítači a návrh seznamu známých bezpečných aplikací. (Související zásady: Adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené).

Závažnost: Vysoká

Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat.

Popis: Monitorování změn chování ve skupinách počítačů nakonfigurovaných pro auditování pomocí Defenderu pro adaptivní řízení aplikací v cloudu Defender for Cloud používá strojové učení k analýze spuštěných procesů na vašich počítačích a návrh seznamu známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. (Související zásady: Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat).

Závažnost: Vysoká

Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH.

Popis: I když samotný SSH poskytuje šifrované připojení, použití hesel s SSH stále ponechá virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace najdete v podrobných krocích: Vytvoření a správa klíčů SSH pro ověřování na virtuálním počítači s Linuxem v Azure. (Související zásady: Auditujte počítače s Linuxem, které pro ověřování nepoužívají klíč SSH).

Závažnost: Střední

Proměnné účtu Automation by měly být šifrované.

Popis: Při ukládání citlivých dat je důležité povolit šifrování prostředků proměnných účtů Automation. (Související zásady: Proměnné účtu Automation by měly být šifrované).

Závažnost: Vysoká

Pro virtuální počítače by měla být povolená služba Azure Backup.

Popis: Chraňte data na virtuálních počítačích Azure pomocí služby Azure Backup. Azure Backup je nákladově efektivní řešení ochrany dat nativní pro Azure. Vytvoří body obnovení, které jsou uložené v geograficky redundantních trezorech obnovení. Při obnovení z bodu obnovení můžete obnovit celý virtuální počítač nebo určité soubory. (Související zásady: Pro virtuální počítače by měla být povolená služba Azure Backup).

Závažnost: Nízká

Hostitelé kontejnerů by měli být bezpečně nakonfigurovaní.

Popis: Opravte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s nainstalovaným Dockerem, abyste je ochránili před útoky. (Související zásady: Měla by se napravit ohrožení zabezpečení v konfiguracích zabezpečení kontejneru.

Závažnost: Vysoká

Diagnostické protokoly ve službě Azure Stream Analytics by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Azure Stream Analytics by měly být povolené.

Závažnost: Nízká

Diagnostické protokoly v účtech Batch by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly v účtech Batch by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly ve službě Event Hubs by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Event Hubs by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly v Logic Apps by měly být povolené.

Popis: Pokud chcete zajistit, abyste mohli znovu vytvořit záznamy aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě, povolte protokolování. Pokud se vaše diagnostické protokoly neodesílají do pracovního prostoru služby Log Analytics, účtu služby Azure Storage nebo do služby Azure Event Hubs, ujistěte se, že jste nakonfigurovali nastavení diagnostiky pro odesílání metrik platformy a protokolů platformy do příslušných cílů. Další informace najdete v části Vytvoření nastavení diagnostiky pro odesílání protokolů platformy a metrik do různých cílů. (Související zásady: Diagnostické protokoly v Logic Apps by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly v Search by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly v Search by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly ve službě Service Bus by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Service Bus by měly být povolené).

Závažnost: Nízká

Diagnostické protokoly ve škálovacích sadách virtuálních počítačů by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve škálovacích sadách virtuálních počítačů by měly být povolené).

Závažnost: Vysoká

Problémy s konfigurací EDR by se měly vyřešit na virtuálních počítačích.

Popis: Pokud chcete chránit virtuální počítače před nejnovějšími hrozbami a ohroženími zabezpečení, vyřešte všechny zjištěné problémy s konfigurací nainstalovaného řešení Endpoint Detection and Response (EDR).
Poznámka: V současné době se toto doporučení vztahuje pouze na prostředky s povoleným řešením MDE (Microsoft Defender for Endpoint).

Závažnost: Nízká

Řešení EDR by mělo být nainstalované na virtuálních počítačích.

Popis: Instalace řešení Detekce a reakce koncových bodů (EDR) na virtuálních počítačích je důležitá pro ochranu před pokročilými hrozbami. EDR pomáhají předcházet těmto hrozbám, zjišťovat je, zkoumat je a reagovat na ně. Microsoft Defender pro servery je možné použít k nasazení programu Microsoft Defender for Endpoint. Pokud je prostředek klasifikován jako "Není v pořádku", znamená to, že neexistuje podporované řešení EDR. Pokud je řešení EDR nainstalované, ale není zjistitelné podle tohoto doporučení, může být vyloučeno. Bez řešení EDR jsou virtuální počítače ohroženy pokročilými hrozbami.

Závažnost: Vysoká

Měly by se vyřešit problémy se stavem služby Endpoint Protection ve škálovacích sadách virtuálních počítačů.

Popis: Náprava selhání stavu služby Endpoint Protection ve škálovacích sadách virtuálních počítačů za účelem jejich ochrany před hrozbami a ohroženími zabezpečení. (Související zásady: Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů).

Závažnost: Nízká

Ochrana koncových bodů by měla být nainstalovaná ve škálovacích sadách virtuálních počítačů.

Popis: Nainstalujte do škálovacích sad virtuálních počítačů řešení endpoint Protection, abyste je ochránili před hrozbami a ohroženími zabezpečení. (Související zásady: Řešení ochrany koncových bodů by mělo být nainstalované ve škálovacích sadách virtuálních počítačů).

Závažnost: Vysoká

Na počítačích by se mělo povolit monitorování integrity souborů.

Popis: Defender for Cloud identifikoval počítače, u které chybí řešení pro monitorování integrity souborů. Pokud chcete monitorovat změny důležitých souborů, klíčů registru a dalších informací na vašich serverech, povolte monitorování integrity souborů. Pokud je povolené řešení pro monitorování integrity souborů, vytvořte pravidla shromažďování dat, která definují soubory, které se mají monitorovat. Pokud chcete definovat pravidla nebo zobrazit soubory změněné na počítačích s existujícími pravidly, přejděte na stránku správy monitorování integrity souborů. (Žádné související zásady)

Závažnost: Vysoká

Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem.

Popis: Nainstalujte rozšíření Ověření identity hosta do podporovaných škálovacích sad virtuálních počítačů s Linuxem, které umožní programu Microsoft Defender for Cloud proaktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro škálovací sady linuxových virtuálních počítačů s povoleným důvěryhodným spuštěním.

Důležité: Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění. Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem.

Popis: Nainstalujte rozšíření ověření identity hosta na podporovaných virtuálních počítačích s Linuxem, aby mohl Microsoft Defender for Cloud aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro virtuální počítače s Linuxem s povoleným důvěryhodným spuštěním.

Důležité: Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění. Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Rozšíření Ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Windows.

Popis: Nainstalujte rozšíření Ověření identity hosta do podporovaných škálovacích sad virtuálních počítačů, které umožňují microsoft Defenderu pro cloud proaktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro škálovací sady virtuálních počítačů s povoleným důvěryhodným spuštěním.

Důležité: Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění. Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows.

Popis: Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, aby mohl Microsoft Defender for Cloud aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním.

Důležité: Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění. Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Rozšíření konfigurace hosta by mělo být nainstalované na počítačích.

Popis: Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostech k dispozici, jako je ochrana Windows Exploit Guard, by měly být povolené. (Související zásady: Virtuální počítače by měly mít rozšíření Konfigurace hosta).

Závažnost: Střední

Instalace řešení endpoint Protection na virtuální počítače

Popis: Nainstalujte na virtuální počítače řešení ochrany koncových bodů, abyste je ochránili před hrozbami a ohroženími zabezpečení. (Související zásady: Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center)

Závažnost: Vysoká

Virtuální počítače s Linuxem by měly vynutit ověření podpisu modulu jádra.

Popis: Pokud chcete zmírnit riziko proti spuštění škodlivého nebo neoprávněného kódu v režimu jádra, vynucujte na podporovaných virtuálních počítačích s Linuxem ověření podpisu modulu jádra. Ověření podpisu modulu jádra zajišťuje, že bude možné spouštět pouze důvěryhodné moduly jádra. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. (Žádné související zásady)

Závažnost: Nízká

Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty.

Popis: Při povoleném zabezpečeném spouštění musí být všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) podepsané důvěryhodnými vydavateli. Defender for Cloud identifikoval nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty. (Žádné související zásady)

Závažnost: Nízká

Virtuální počítače s Linuxem by měly používat zabezpečené spouštění

Popis: Pokud chcete chránit před instalací rootkitů a spouštěcích sad založených na malwaru, povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Linuxem. Zabezpečené spouštění zajišťuje, aby běžely jenom podepsané operační systémy a ovladače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. (Žádné související zásady)

Závažnost: Nízká

Agent Log Analytics by měl být nainstalovaný na počítačích s podporou Azure Arc s Linuxem.

Popis: Defender pro cloud používá agenta Log Analytics (označovaného také jako OMS) ke shromažďování událostí zabezpečení z počítačů Azure Arc. Pokud chcete nasadit agenta na všech počítačích Azure Arc, postupujte podle pokynů k nápravě. (Žádné související zásady)

Závažnost: Vysoká

Agent Log Analytics by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů.

Popis: Defender for Cloud shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. Data se shromažďují pomocí agenta Log Analytics, dříve označovaného jako Agent Microsoft Monitoring Agent (MMA), který čte různé konfigurace a protokoly událostí související se zabezpečením z počítače a kopíruje data do vašeho pracovního prostoru pro účely analýzy. Pokud vaše virtuální počítače používají spravovanou službu Azure, jako je Azure Kubernetes Service nebo Azure Service Fabric, musíte postupovat podle tohoto postupu. Automatické zřizování agenta pro škálovací sady virtuálních počítačů Azure nejde nakonfigurovat. Pokud chcete nasadit agenta do škálovacích sad virtuálních počítačů (včetně těch, které používají spravované služby Azure, jako je Azure Kubernetes Service a Azure Service Fabric), postupujte podle pokynů v nápravě. (Související zásady: Agent Log Analytics by se měl nainstalovat do škálovacích sad virtuálních počítačů pro monitorování služby Azure Security Center).

Závažnost: Vysoká

Agent Log Analytics by měl být nainstalovaný na virtuálních počítačích.

Popis: Defender for Cloud shromažďuje data z virtuálních počítačů Azure za účelem monitorování ohrožení zabezpečení a hrozeb. Data se shromažďují pomocí agenta Log Analytics, který se dříve označuje jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Tento agent se vyžaduje také v případě, že vaše virtuální počítače používají spravovaná služba Azure, jako je Azure Kubernetes Service nebo Azure Service Fabric. Doporučujeme nakonfigurovat automatické zřizování pro automatické nasazení agenta. Pokud se rozhodnete nepoužívat automatické zřizování, nasaďte agenta do virtuálních počítačů ručně podle pokynů v postupu nápravy. (Související zásady: Agent Log Analytics by měl být nainstalovaný na virtuálním počítači pro monitorování služby Azure Security Center).

Závažnost: Vysoká

Agent Log Analytics by měl být nainstalovaný na počítačích s podporou Azure Arc s Windows.

Popis: Defender pro cloud používá agenta Log Analytics (označovaného také jako MMA) ke shromažďování událostí zabezpečení z počítačů Azure Arc. Pokud chcete nasadit agenta na všech počítačích Azure Arc, postupujte podle pokynů k nápravě. (Žádné související zásady)

Závažnost: Vysoká

Počítače by měly být bezpečně nakonfigurované.

Popis: Opravte ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích, abyste je ochránili před útoky. (Související zásady: Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích.

Závažnost: Nízká

Počítače by se měly restartovat, aby se použily aktualizace konfigurace zabezpečení.

Popis: Pokud chcete použít aktualizace konfigurace zabezpečení a chránit před ohroženími zabezpečení, restartujte počítače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. (Žádné související zásady)

Závažnost: Nízká

Počítače by měly mít řešení posouzení ohrožení zabezpečení

Popis: Defender for Cloud pravidelně kontroluje připojené počítače, aby zajistil, že používají nástroje pro posouzení ohrožení zabezpečení. Toto doporučení použijte k nasazení řešení posouzení ohrožení zabezpečení. (Související zásady: Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.

Závažnost: Střední

Počítače by měly mít vyřešené zjištění ohrožení zabezpečení.

Popis: Vyřešte zjištění z řešení posouzení ohrožení zabezpečení na virtuálních počítačích. (Související zásady: Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení.

Závažnost: Nízká

Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.

Popis: Defender for Cloud identifikoval některá příliš trvalá příchozí pravidla pro porty pro správu ve skupině zabezpečení sítě. Povolte řízení přístupu za běhu a chraňte virtuální počítač před internetovými útoky hrubou silou. Další informace najdete v článku Principy přístupu k virtuálním počítačům podle potřeby (JIT). (Související zásady: Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu).

Závažnost: Vysoká

Měl by být povolený Program Microsoft Defender pro servery.

Popis: Microsoft Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. Tyto informace můžete použít k rychlé nápravě problémů se zabezpečením a zlepšení zabezpečení serverů.

Důležité: Náprava tohoto doporučení způsobí poplatky za ochranu serverů. Pokud v tomto předplatném nemáte žádné servery, nebudou vám účtovány žádné poplatky. Pokud v budoucnu v tomto předplatném vytvoříte nějaké servery, budou automaticky chráněny a poplatky začnou v tuto chvíli. Další informace najdete v úvodu k Programu Microsoft Defender pro servery. (Související zásady: Měl by být povolený Azure Defender pro servery).

Závažnost: Vysoká

V pracovních prostorech by měl být povolený Microsoft Defender pro servery.

Popis: Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem. S tímto plánem Defenderu jsou vaše předplatná povolená, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé výhody. Když povolíte Microsoft Defender pro servery v pracovním prostoru, budou se všem počítačům, které do daného pracovního prostoru hlásí, fakturovat za servery Microsoft Defender – i když jsou v předplatných bez povolených plánů Defenderu. Pokud také nepovolíte Microsoft Defender pro servery v předplatném, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure. Další informace najdete v úvodu k Programu Microsoft Defender pro servery. (Žádné související zásady)

Závažnost: Střední

Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění.

Popis: Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se mohli zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení se můžou spouštět jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí jenom pro virtuální počítače s Windows s povoleným důvěryhodným spuštěním.

Důležité: Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění. Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign.

Popis: Service Fabric poskytuje tři úrovně ochrany (None, Sign a EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy typu node-to-node jsou šifrované a digitálně podepsané. (Související zásady: Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign.

Závažnost: Vysoká

Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.

Popis: Ověřování klientů provádíte pouze přes Azure Active Directory v Service Fabric (související zásady: Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů).

Závažnost: Vysoká

Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat.

Popis: Nainstalujte chybějící zabezpečení systému a důležité aktualizace pro zabezpečení škálovacích sad virtuálních počítačů s Windows a Linuxem. (Související zásady: Aktualizace systému ve škálovacích sadách virtuálních počítačů by se měly nainstalovat).

Závažnost: Vysoká

Na počítačích by se měly nainstalovat aktualizace systému.

Popis: Nainstalujte chybějící zabezpečení systému a důležité aktualizace pro zabezpečení virtuálních počítačů a počítačů s Windows a Linuxem (související zásady: Aktualizace systému by se měly nainstalovat na vaše počítače).

Závažnost: Vysoká

Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center).

Popis: V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. (Žádné související zásady)

Závažnost: Vysoká

Škálovací sady virtuálních počítačů by měly být bezpečně nakonfigurované.

Popis: Opravte ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů, abyste je ochránili před útoky. (Související zásady: Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů.

Závažnost: Vysoká

Stav ověření identity hosta virtuálních počítačů by měl být v pořádku.

Popis: Ověření hosta se provádí odesláním důvěryhodného protokolu (TCGLog) na server ověření identity. Server používá tyto protokoly k určení důvěryhodnosti spouštěcích komponent. Toto posouzení je určeno ke zjištění ohrožení spouštěcího řetězce, což může být výsledkem infekce bootkitu nebo rootkitu. Toto posouzení platí jenom pro virtuální počítače s povolenou službou Trusted Launch, které mají nainstalované rozšíření Ověření identity hosta. (Žádné související zásady)

Závažnost: Střední

Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem.

Popis: Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace (Související zásady: Rozšíření konfigurace hosta by se mělo nasadit na virtuální počítače Azure se spravovanou identitou přiřazenou systémem).

Závažnost: Střední

Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru.

Popis: Virtuální počítače (Classic) byly zastaralé a tyto virtuální počítače by se měly migrovat do Azure Resource Manageru. Vzhledem k tomu, že Azure Resource Manager má teď úplné funkce IaaS a další pokroky, přestali jsme spravovat virtuální počítače IaaS prostřednictvím Azure Service Manageru (ASM) 28. února 2020. Tato funkce bude plně vyřazena 1. března 2023.

Pokud chcete zobrazit všechny ovlivněné klasické virtuální počítače, nezapomeňte vybrat všechna předplatná Azure na kartě Adresáře a předplatná.

Dostupné prostředky a informace o tomto nástroji a migraci: Přehled vyřazení virtuálních počítačů (Classic) a podrobný postup migrace a dostupných prostředků MicrosoftuPodrobnosti o migraci do nástroje pro migraci Azure Resource ManageruMigrace do nástroje pro migraci Azure Resource Manageru pomocí PowerShellu (Související zásady: Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru).

Závažnost: Vysoká

Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště.

Popis: Ve výchozím nastavení jsou disky s operačním systémem a datovými disky virtuálního počítače šifrované v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky a datové mezipaměti se nešifrují a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. Porovnání různých technologií šifrování disků v Azure najdete v tématu https://aka.ms/diskencryptioncomparison. Pomocí služby Azure Disk Encryption zašifrujte všechna tato data. Pokud toto doporučení ignorujte, pokud:

  1. Používáte funkci šifrování at-host nebo 2. Šifrování na straně serveru pro spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v šifrování Azure Disk Storage na straně serveru. (Související zásady: Na virtuálních počítačích by se mělo použít šifrování disků.

Závažnost: Vysoká

Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích.

Popis: Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním.

Důležité: Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění. Přečtěte si další informace o důvěryhodném spuštění pro virtuální počítače Azure. (Žádné související zásady)

Závažnost: Nízká

Chyby zabezpečení v konfiguraci zabezpečení na počítačích s Linuxem by se měly napravit (s využitím konfigurace hosta).

Popis: Opravte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s Linuxem, abyste je ochránili před útoky. (Související zásady: Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení Azure.

Závažnost: Nízká

Chyby zabezpečení v konfiguraci zabezpečení na počítačích s Windows by se měly napravit (s využitím konfigurace hosta).

Popis: Opravte ohrožení zabezpečení v konfiguraci zabezpečení na počítačích s Windows, abyste je ochránili před útoky. (Žádné související zásady)

Závažnost: Nízká

Ochrana Exploit Guard v programu Windows Defender by měla být povolená na počítačích.

Popis: Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). (Související zásady: Auditujte počítače s Windows, na kterých není povolená ochrana Exploit Guard v programu Windows Defender).

Závažnost: Střední

Webové servery s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly.

Popis: K ochraně soukromí informací předávaných přes internet by vaše webové servery měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť pomocí certifikátů zabezpečení k šifrování připojení mezi počítači. (Související zásady: Auditujte webové servery Windows, které nepoužívají zabezpečené komunikační protokoly).

Závažnost: Vysoká

[Preview]: Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost.

Popis: Ve výchozím nastavení jsou disky s operačním systémem a datovými disky virtuálního počítače šifrované v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky a datové mezipaměti se nešifrují a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. K šifrování všech těchto dat použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. (Související zásady: [Preview]: Virtuální počítače s Linuxem by měly povolit Službu Azure Disk Encryption nebo EncryptionAtHost.

Závažnost: Vysoká

[Preview]: Virtuální počítače s Windows by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost.

Popis: Ve výchozím nastavení jsou disky s operačním systémem a datovými disky virtuálního počítače šifrované v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky a datové mezipaměti se nešifrují a při toku mezi výpočetními prostředky a prostředky úložiště se data nešifrují. K šifrování všech těchto dat použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. (Související zásady: [Preview]: Virtuální počítače s Windows by měly povolit Službu Azure Disk Encryption nebo EncryptionAtHost.

Závažnost: Vysoká

Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli.

Popis: Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete v části Použití webu Azure Portal k povolení kompletního šifrování pomocí šifrování na hostiteli. (Související zásady: Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli).

Závažnost: Střední

(Preview) Servery Azure Stack HCI by měly splňovat požadavky na zabezpečené jádro.

Popis: Ujistěte se, že všechny servery Azure Stack HCI splňují požadavky na zabezpečené jádro. (Související zásady: Rozšíření konfigurace hosta by mělo být nainstalované na počítačích – Microsoft Azure).

Závažnost: Nízká

(Preview) Servery Azure Stack HCI by měly mít konzistentně vynucené zásady řízení aplikací.

Popis: Minimálně na všech serverech Azure Stack HCI použijte základní zásadu Microsoft WDAC v režimu vynucení. Použité zásady řízení aplikací v programu Windows Defender (WDAC) musí být konzistentní na serverech ve stejném clusteru. (Související zásady: Rozšíření konfigurace hosta by mělo být nainstalované na počítačích – Microsoft Azure).

Závažnost: Vysoká

(Preview) Systémy Azure Stack HCI by měly mít šifrované svazky.

Popis: K šifrování operačního systému a datových svazků v systémech Azure Stack HCI použijte BitLocker. (Související zásady: Rozšíření konfigurace hosta by mělo být nainstalované na počítačích – Microsoft Azure).

Závažnost: Vysoká

(Preview) Sítě hostitelů a virtuálních počítačů by měly být chráněné v systémech Azure Stack HCI.

Popis: Ochrana dat v síti hostitele Azure Stack HCI a připojení k síti virtuálních počítačů. (Související zásady: Rozšíření konfigurace hosta by mělo být nainstalované na počítačích – Microsoft Azure).

Závažnost: Nízká

Doporučení pro kontejner

(Povolit v případě potřeby) Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/acr/CMK. (Související zásady: Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).

Závažnost: Nízká

Typ: Řídicí rovina

Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy.

Popis: Rozšíření Azure Policy pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby se v clusterech použily vynucování ve velkém měřítku a bezpečnostní opatření centralizovaným a konzistentním způsobem. (Žádné související zásady)

Závažnost: Vysoká

Typ: Řídicí rovina

Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Defender.

Popis: Rozšíření Defenderu pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů řídicí roviny (hlavního) uzlu v clusteru a odesílá je do back-endu Microsoft Defenderu for Kubernetes v cloudu pro účely další analýzy. (Žádné související zásady)

Závažnost: Vysoká

Typ: Řídicí rovina

Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu.

Popis: Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte profil SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace najdete v úvodu do Microsoft Defenderu pro kontejnery. (Žádné související zásady)

Závažnost: Vysoká

Typ: Řídicí rovina

Clustery Azure Kubernetes Service by měly mít nainstalovaný doplněk Azure Policy pro Kubernetes.

Popis: Doplněk Azure Policy pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro agenta OPA (Open Policy Agent ), aby v clusterech platil centralizovaným a konzistentním způsobem vynucení ve velkém měřítku a bezpečnostních opatření. Defender for Cloud vyžaduje doplněk pro audit a vynucování možností zabezpečení a dodržování předpisů v clusterech. Další informace. Vyžaduje Kubernetes verze 1.14.0 nebo novější. (Související zásady: Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech.

Závažnost: Vysoká

Typ: Řídicí rovina

Registry kontejnerů by neměly umožňovat neomezený síťový přístup

Popis: Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá pravidlo PROTOKOLU IP/firewall nebo nakonfigurovanou virtuální síť, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-network a tady https://aka.ms/acr/vnet. (Související zásady: Registry kontejnerů by neměly umožňovat neomezený síťový přístup).

Závažnost: Střední

Typ: Řídicí rovina

Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. (Související zásady: Registry kontejnerů by měly používat privátní propojení).

Závažnost: Střední

Typ: Řídicí rovina

Diagnostické protokoly ve službách Kubernetes by měly být povolené.

Popis: Povolte diagnostické protokoly ve službách Kubernetes a zachovejte je až za rok. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení. (Žádné související zásady)

Závažnost: Nízká

Typ: Řídicí rovina

Server rozhraní API Kubernetes by měl být nakonfigurovaný s omezeným přístupem.

Popis: Pokud chcete zajistit přístup ke clusteru jenom aplikacím z povolených sítí, počítačů nebo podsítí, omezte přístup k serveru rozhraní API Kubernetes. Přístup můžete omezit definováním autorizovaných rozsahů IP adres nebo nastavením serverů API jako privátních clusterů, jak je vysvětleno v tématu Vytvoření privátního clusteru Azure Kubernetes Service. (Související zásady: Autorizované rozsahy IP adres by se měly definovat ve službách Kubernetes Services.

Závažnost: Vysoká

Typ: Řídicí rovina

Řízení přístupu na základě role by se mělo používat ve službách Kubernetes Services.

Popis: Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. (Související zásady: Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services.

Závažnost: Vysoká

Typ: Řídicí rovina

Měla by být povolená služba Microsoft Defender for Containers.

Popis: Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudovém prostředí Kubernetes. Pomocí těchto informací můžete rychle opravit problémy se zabezpečením a vylepšit zabezpečení kontejnerů.

Důležité: Náprava tohoto doporučení způsobí poplatky za ochranu clusterů Kubernetes. Pokud v tomto předplatném nemáte žádné clustery Kubernetes, nebudou vám účtovány žádné poplatky. Pokud v budoucnu v tomto předplatném vytvoříte clustery Kubernetes, budou automaticky chráněny a poplatky začnou v tuto chvíli. Další informace najdete v úvodu do Microsoft Defenderu pro kontejnery. (Žádné související zásady)

Závažnost: Vysoká

Typ: Řídicí rovina

Měly by se vynutit limity procesoru a paměti kontejneru.

Popis: Vynucení limitů procesoru a paměti brání útokům na vyčerpání prostředků (forma útoku dos.

Doporučujeme nastavit limity pro kontejnery, aby modul runtime zabránil kontejneru používat více než nakonfigurovaný limit prostředků.

(Související zásady: Ujistěte se, že limity prostředků procesoru a paměti kontejneru nepřekračují zadané limity v clusteru Kubernetes.

Závažnost: Střední

Typ: Rovina dat Kubernetes

Image kontejnerů by se měly nasazovat jenom z důvěryhodných registrů.

Popis: Image spuštěné v clusteru Kubernetes by měly pocházet ze známých a monitorovaných registrů imagí kontejnerů. Důvěryhodné registry snižují riziko ohrožení clusteru tím, že omezují potenciál zavedení neznámých ohrožení zabezpečení, problémů se zabezpečením a škodlivých imagí.

(Související zásady: Ujistěte se, že jsou v clusteru Kubernetes povolené jenom image kontejnerů.

Závažnost: Vysoká

Typ: Rovina dat Kubernetes

Vyhnete se eskalaci kontejneru s oprávněními.

Popis: Kontejnery by se neměly spouštět s eskalací oprávnění ke kořenovému adresáři v clusteru Kubernetes. Atribut AllowPrivilegeEscalation řídí, zda proces může získat více oprávnění než nadřazený proces. (Související zásady: Clustery Kubernetes by neměly povolovat eskalaci oprávnění kontejneru).

Závažnost: Střední

Typ: Rovina dat Kubernetes

Kontejnery sdílející citlivé obory názvů hostitelů by se měly vyhnout

Popis: Pokud chcete chránit před eskalací oprávnění mimo kontejner, vyhněte se přístupu podů k citlivým oborům názvů hostitelů (ID hostitelského procesu a IPC hostitele) v clusteru Kubernetes. (Související zásady: Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele).

Závažnost: Střední

Typ: Rovina dat Kubernetes

Kontejnery by měly používat pouze povolené profily AppArmor.

Popis: Kontejnery spuštěné v clusterech Kubernetes by měly být omezené jenom na povolené profily AppArmor. ; AppArmor (Application Armor) je modul zabezpečení Linuxu, který chrání operační systém a jeho aplikace před bezpečnostními hrozbami. Aby ho správce systému použil, přidruží k jednotlivým programům profil zabezpečení AppArmor. (Související zásady: Kontejnery clusteru Kubernetes by měly používat jenom povolené profily AppArmor.

Závažnost: Vysoká

Typ: Rovina dat Kubernetes

U kontejnerů by se měl vynucovat kořenový systém souborů jen pro čtení.

Popis: Kontejnery by se měly spouštět s kořenovým systémem souborů jen pro čtení v clusteru Kubernetes. Neměnný systém souborů chrání kontejnery před změnami za běhu pomocí škodlivých binárních souborů přidaných do path. (Související zásady: Kontejnery clusteru Kubernetes by se měly spouštět s kořenovým systémem souborů jen pro čtení).

Závažnost: Střední

Typ: Rovina dat Kubernetes

Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS.

Popis: Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro modul AKS a Kubernetes s podporou Azure Arc. Další informace najdete v tématu https://aka.ms/kubepolicydoc (Související zásady: Vynucení příchozího přenosu dat HTTPS v clusteru Kubernetes).

Závažnost: Vysoká

Typ: Rovina dat Kubernetes

Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API.

Popis: Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. (Související zásady: Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API).

Závažnost: Vysoká

Typ: Rovina dat Kubernetes

Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAPSYSADMIN

Popis: Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. (Žádné související zásady)

Závažnost: Vysoká

Typ: Rovina dat Kubernetes

Clustery Kubernetes by neměly používat výchozí obor názvů.

Popis: Zabránění použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. (Související zásady: Clustery Kubernetes by neměly používat výchozí obor názvů).

Závažnost: Nízká

Typ: Rovina dat Kubernetes

Pro kontejnery by se měly vynucovat nejméně privilegované funkce Linuxu.

Popis: Pokud chcete omezit prostor pro útoky na kontejner, omezte možnosti Linuxu a udělte kontejnerům konkrétní oprávnění bez udělení všech oprávnění kořenového uživatele. Doporučujeme vypustit všechny možnosti a pak přidat ty, které jsou potřeba (související zásady: Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce).

Závažnost: Střední

Typ: Rovina dat Kubernetes

Privilegované kontejnery by se měly vyhnout

Popis: Pokud chcete zabránit neomezenému přístupu k hostiteli, vyhněte se privilegovaným kontejnerům, kdykoli je to možné.

Privilegované kontejnery mají všechny kořenové funkce hostitelského počítače. Dají se použít jako vstupní body pro útoky a k šíření škodlivého kódu nebo malwaru do ohrožených aplikací, hostitelů a sítí. (Související zásady: Nepovolujte privilegované kontejnery v clusteru Kubernetes).

Závažnost: Střední

Typ: Rovina dat Kubernetes

Vyhnete se spouštění kontejnerů jako uživatel root.

Popis: Kontejnery by neměly běžet jako kořenoví uživatelé ve vašem clusteru Kubernetes. Spuštění procesu jako uživatel root v kontejneru ho spustí jako kořen na hostiteli. Pokud dojde k ohrožení zabezpečení, útočník má v kontejneru kořen a všechny chybné konfigurace se snadněji zneužívají. (Související zásady: Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin.

Závažnost: Vysoká

Typ: Rovina dat Kubernetes

Služby by měly naslouchat pouze na povolených portech.

Popis: Pokud chcete omezit prostor pro útoky na cluster Kubernetes, omezte přístup ke clusteru omezením přístupu ke službám na nakonfigurované porty. (Související zásady: Ujistěte se, že služby naslouchají jenom na povolených portech v clusteru Kubernetes.

Závažnost: Střední

Typ: Rovina dat Kubernetes

Použití hostitelských sítí a portů by mělo být omezeno

Popis: Omezte přístup podů k hostitelské síti a rozsahu povolených portů hostitele v clusteru Kubernetes. Pody vytvořené s povoleným atributem hostNetwork budou sdílet síťový prostor uzlu. Pokud se chcete vyhnout napadení kontejneru z šifrování síťového provozu, doporučujeme nevkládat pody do hostitelské sítě. Pokud potřebujete zveřejnit port kontejneru v síti uzlu a použití portu uzlu Kubernetes Service nevyhovuje vašim potřebám, další možností je zadat hostPort kontejneru ve specifikaci podu. (Související zásady: Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů).

Závažnost: Střední

Typ: Rovina dat Kubernetes

Použití připojení svazků HostPath podu by mělo být omezeno na známý seznam, aby se omezil přístup k uzlům z ohrožených kontejnerů.

Popis: Doporučujeme omezit připojení svazku HostPath podu v clusteru Kubernetes ke nakonfigurovaným povoleným hostitelským cestám. Pokud dojde k ohrožení zabezpečení, přístup k uzlu kontejneru z kontejnerů by měl být omezený. (Související zásady: Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům).

Závažnost: Střední

Typ: Rovina dat Kubernetes

Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (využívají technologii Qualys).

Popis: Posouzení ohrožení zabezpečení image kontejneru kontroluje ohrožení zabezpečení vašeho registru a zveřejňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. (Související zásady: Měla by se napravit ohrožení zabezpečení imagí služby Azure Container Registry.

Závažnost: Vysoká

Typ: Posouzení ohrožení zabezpečení

Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností)

Popis: Posouzení ohrožení zabezpečení imagí kontejneru kontroluje v registru běžně známé chyby zabezpečení (CVEs) a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. (Související zásady: Měla by se napravit ohrožení zabezpečení imagí služby Azure Container Registry.

Závažnost: Vysoká

Typ: Posouzení ohrožení zabezpečení

Vyřešená ohrožení zabezpečení spuštěných imagí kontejnerů v Azure ( s využitím Qualys)

Popis: Posouzení ohrožení zabezpečení image kontejneru kontroluje image kontejnerů spuštěné v clusterech Kubernetes a zpřístupňuje podrobná zjištění pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení kontejnerů a chránit je před útoky. (Žádné související zásady)

Závažnost: Vysoká

Typ: Posouzení ohrožení zabezpečení

Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností)

Popis: Posouzení ohrožení zabezpečení imagí kontejneru kontroluje v registru běžně známé chyby zabezpečení (CVEs) a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy.

Závažnost: Vysoká

Typ: Posouzení ohrožení zabezpečení

Doporučení pro data

(Povolit v případě potřeby) Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/cosmosdb-cmk. (Související zásady: Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem).

Závažnost: Nízká

(Povolit v případě potřeby) Pracovní prostory azure machine Učení by měly být šifrované pomocí klíče spravovaného zákazníkem (CMK).

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Správa šifrování neaktivních uložených dat pracovního prostoru Azure Machine Učení pomocí klíčů spravovaných zákazníkem (CMK). Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službou, ale klíče CMK se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/azureml-workspaces-cmk. (Související zásady: Pracovní prostory azure machine Učení by se měly šifrovat pomocí klíče spravovaného zákazníkem (CMK).

Závažnost: Nízká

(Povolit v případě potřeby) Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem (CMK).

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Sady CMK umožňují šifrování dat uložených ve službách Cognitive Services pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o šifrování CMK najdete na adrese https://aka.ms/cosmosdb-cmk. (Související zásady: Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem? (CMK))

Závažnost: Nízká

(Povolit v případě potřeby) Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. (Související zásady: Pro servery MySQL by měla být povolená ochrana dat s vlastním klíčem.

Závažnost: Nízká

(Povolit v případě potřeby) Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. (Související zásady: U serverů PostgreSQL by měla být povolená ochrana dat s vlastním klíčem.

Závažnost: Nízká

(Povolit v případě potřeby) Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. (Související zásady: Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem).

Závažnost: Nízká

(Povolit v případě potřeby) Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem.

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. (Související zásady: SQL servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem).

Závažnost: Nízká

(Povolit v případě potřeby) Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).

Popis: Doporučení k použití klíčů spravovaných zákazníkem pro šifrování neaktivních uložených dat se ve výchozím nastavení nevyhodnocují, ale jsou k dispozici pro příslušné scénáře. Data se šifrují automaticky pomocí klíčů spravovaných platformou, takže použití klíčů spravovaných zákazníkem by mělo být použito pouze v případě, že jsou povinná požadavky na dodržování předpisů nebo omezující zásady. Pokud chcete toto doporučení povolit, přejděte do zásad zabezpečení pro příslušný obor a aktualizujte parametr Efekt odpovídající zásady, abyste mohli auditovat nebo vynutit použití klíčů spravovaných zákazníkem. Další informace najdete v článku Správa zásad zabezpečení. Zabezpečte svůj účet úložiště s větší flexibilitou pomocí klíčů spravovaných zákazníkem (CMK). Když zadáte klíč CMK, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití cmk poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptograficky vymazat data. (Související zásady: Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem (CMK).

Závažnost: Nízká

Všechny typy rozšířené ochrany před internetovými útoky by měly být povolené v pokročilých nastaveních zabezpečení dat spravované instance SQL.

Popis: Doporučujeme povolit všechny typy rozšířené ochrany před hrozbami ve spravovaných instancích SQL. Povolení všech typů chrání před injektáží SQL, ohroženími zabezpečení databáze a všemi dalšími neobvyklými aktivitami. (Žádné související zásady)

Závažnost: Střední

V rozšířených nastaveních zabezpečení dat SQL Serveru by měly být povolené všechny typy rozšířené ochrany před internetovými útoky.

Popis: Doporučujeme povolit na sql serverech všechny pokročilé typy ochrany před hrozbami. Povolení všech typů chrání před injektáží SQL, ohroženími zabezpečení databáze a všemi dalšími neobvyklými aktivitami. (Žádné související zásady)

Závažnost: Střední

Služby API Management by měly používat virtuální síť.

Popis: Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. (Související zásady: Služby API Management by měly používat virtuální síť).

Závažnost: Střední

Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. (Související zásady: Konfigurace aplikace by měla používat privátní propojení).

Závažnost: Střední

Uchovávání auditu pro SQL servery by mělo být nastaveno alespoň na 90 dnů.

Popis: Auditování SQL serverů nakonfigurovaných s dobou uchovávání auditování kratší než 90 dnů. (Související zásady: SERVERY SQL by měly být nakonfigurované s 90denním uchováváním auditování nebo vyššími.)

Závažnost: Nízká

Auditování na SQL Serveru by mělo být povolené.

Popis: Povolte auditování SQL Serveru, abyste mohli sledovat databázové aktivity napříč všemi databázemi na serveru a ukládat je do protokolu auditu. (Související zásady: Auditování na SQL Serveru by mělo být povolené).

Závažnost: Nízká

Automatické zřizování agenta Log Analytics by mělo být povolené u předplatných.

Popis: Monitorování ohrožení zabezpečení a hrozeb shromažďuje Microsoft Defender for Cloud data z virtuálních počítačů Azure. Data shromažďuje agent Log Analytics, dříve označovaný jako Microsoft Monitoring Agent (MMA), který čte z počítače různé konfigurace a protokoly událostí souvisejících se zabezpečením a kopíruje data do pracovního prostoru služby Log Analytics pro účely analýzy. Doporučujeme povolit automatické zřizování, které automaticky nasadí agenta do všech podporovaných virtuálních počítačů Azure a všech nově vytvořených virtuálních počítačů Azure. (Související zásady: Ve vašem předplatném by mělo být povolené automatické zřizování agenta Log Analytics).

Závažnost: Nízká

Azure Cache for Redis by se měl nacházet ve virtuální síti.

Popis: Nasazení služby Azure Virtual Network (VNet) poskytuje rozšířené zabezpečení a izolaci pro vaši službu Azure Cache for Redis a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je instance Azure Cache for Redis nakonfigurovaná s virtuální sítí, není veřejně adresovatelná a dá se k ní přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě. (Související zásady: Azure Cache for Redis by se měl nacházet ve virtuální síti).

Závažnost: Střední

Azure Database for MySQL by měl mít zřízený správce Azure Active Directory.

Popis: Zřízení správce Azure AD pro službu Azure Database for MySQL pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft (související zásady: Pro servery MySQL by měl být zřízen správce Azure Active Directory).

Závažnost: Střední

Azure Database for PostgreSQL by měl mít zřízený správce Azure Active Directory.

Popis: Zřízení správce Azure AD pro službu Azure Database for PostgreSQL pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft
(Související zásady: Správce Azure Active Directory by měl být zřízený pro servery PostgreSQL).

Závažnost: Střední

Účty služby Azure Cosmos DB by měly mít pravidla brány firewall.

Popis: Pravidla brány firewall by měla být definovaná u účtů služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. (Související zásady: Účty služby Azure Cosmos DB by měly mít pravidla brány firewall).

Závažnost: Střední

Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na domény Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. (Související zásady: Domény Služby Azure Event Grid by měly používat privátní propojení.

Závažnost: Střední

Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše témata místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. (Související zásady: Témata služby Azure Event Grid by měla používat privátní propojení).

Závažnost: Střední

Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na pracovní prostory Azure Machine Učení místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/azureml-workspaces-privatelink. (Související zásady: Pracovní prostory azure machine Učení by měly používat privátní propojení).

Závažnost: Střední

Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředky SignalR místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/asrs/privatelink. (Související zásady: Služba Azure SignalR by měla používat privátní propojení).

Závažnost: Střední

Azure Spring Cloud by měl používat injektáž sítě

Popis: Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. (Související zásady: Azure Spring Cloud by měl používat injektáž sítě).

Závažnost: Střední

Sql Servery by měly mít zřízený správce Azure Active Directory.

Popis: Zřízení správce Azure AD pro sql server pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft. (Související zásady: Správce Azure Active Directory by měl být zřízený pro SQL servery).

Závažnost: Vysoká

Režim ověřování pracovního prostoru Azure Synapse by měl být jenom Azure Active Directory.

Popis: Režim ověřování pracovního prostoru Azure Synapse by měl být pouze Azure Active Directory, pouze azure Active Directory, což zlepšuje zabezpečení tím, že zajistí, aby pracovní prostory Synapse k ověřování výhradně vyžadovaly identity Azure AD. Další informace. (Související zásady: Pracovní prostory Synapse by měly používat pouze identity Azure Active Directory pro ověřování).

Závažnost: Střední

Úložiště kódu by měla mít vyřešená zjištění kontroly kódu.

Popis: Defender for DevOps zjistil ohrožení zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady)

Závažnost: Střední

Úložiště kódu by měla mít vyřešené zjištění kontroly Dependabotu.

Popis: Defender for DevOps zjistil ohrožení zabezpečení v úložištích kódu. Pokud chcete zlepšit stav zabezpečení úložišť, důrazně doporučujeme tyto chyby zabezpečení napravit. (Žádné související zásady)

Závažnost: Střední

Úložiště kódu by měla mít infrastrukturu, protože zjištěná zjištění kontroly kódu

Popis: Defender for DevOps našel infrastrukturu jako problémy s konfigurací zabezpečení kódu v úložištích. Níže uvedené problémy byly zjištěny v souborech šablon. Pokud chcete zlepšit stav zabezpečení souvisejících cloudových prostředků, důrazně doporučujeme tyto problémy napravit. (Žádné související zásady)

Závažnost: Střední

Úložiště kódu by měla mít vyřešená zjištění kontroly tajných kódů.

Popis: Defender for DevOps našel tajný kód v úložištích kódu. Mělo by se to napravit okamžitě, aby se zabránilo narušení zabezpečení. Tajné kódy nalezené v úložištích můžou být únikem nebo zjištěním nežádoucími osobami, což vede k ohrožení aplikace nebo služby. V případě Azure DevOps nástroj Microsoft Security DevOps CredScan kontroluje pouze buildy, na kterých je nakonfigurované ke spuštění. Výsledky proto nemusí odrážet úplný stav tajných kódů ve vašich úložištích. (Žádné související zásady)

Závažnost: Vysoká

Účty služeb Cognitive Services by měly povolit šifrování dat.

Popis: Tato zásada audituje všechny účty služeb Cognitive Services, které nepoužívají šifrování dat. Pro každý účet cognitive Services s úložištěm by mělo být povolené šifrování dat pomocí spravovaného zákazníkem nebo spravovaného klíče Microsoftu. (Související zásady: Účty služeb Cognitive Services by měly povolit šifrování dat).

Závažnost: Nízká

Účty služeb Cognitive Services by měly omezit síťový přístup

Popis: Přístup k síti k účtům služeb Cognitive Services by měl být omezený. Nakonfigurujte pravidla sítě tak, aby k účtu služeb Cognitive Services mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. (Související zásady: Účty služeb Cognitive Services by měly omezit přístup k síti).

Závažnost: Střední

Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem nebo povolit šifrování dat.

Popis: Tato zásada audituje všechny účty služeb Cognitive Services, které nepoužívají úložiště vlastněné zákazníkem ani šifrování dat. Pro každý účet cognitive Services s úložištěm použijte úložiště vlastněné zákazníkem nebo povolte šifrování dat. (Související zásady: Účty služeb Cognitive Services by měly používat úložiště vlastněné zákazníkem nebo povolit šifrování dat.)

Závažnost: Nízká

Diagnostické protokoly ve službě Azure Data Lake Store by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Azure Data Lake Store by měly být povolené.

Závažnost: Nízká

Diagnostické protokoly ve službě Data Lake Analytics by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Data Lake Analytics by měly být povolené.

Závažnost: Nízká

E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené.

Popis: Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v některém z vašich předplatných, povolte e-mailová oznámení pro upozornění s vysokou závažností v defenderu pro cloud. (Související zásady: E-mailové oznámení pro upozornění s vysokou závažností by mělo být povoleno).

Závažnost: Nízká

E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno.

Popis: Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailových oznámení pro výstrahy s vysokou závažností v defenderu pro cloud. (Související zásady: E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno).

Závažnost: Střední

Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL.

Popis: Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. (Související zásady: Pro databázové servery MySQL by mělo být povolené vynucení připojení SSL).

Závažnost: Střední

U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL.

Popis: Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. (Související zásady: Pro databázové servery PostgreSQL by mělo být povolené vynucení připojení SSL).

Závažnost: Střední

Aplikace funkcí by měly mít vyřešená zjištění ohrožení zabezpečení

Popis: Kontrola chyb zabezpečení modulu runtime pro kontrolu funkcí v aplikacích funkcí vyhledá ohrožení zabezpečení a zveřejňuje podrobná zjištění. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení bezserverových aplikací a chránit je před útoky. (Žádné související zásady)

Závažnost: Vysoká

Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování.

Popis: Azure Database for MariaDB umožňuje zvolit možnost redundance pro databázový server. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnosti obnovení v případě selhání oblasti. Konfigurace geograficky redundantního úložiště pro zálohování je povolená pouze při vytváření serveru. (Související zásady: Pro Azure Database for MariaDB by mělo být povolené geograficky redundantní zálohování.

Závažnost: Nízká

Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL.

Popis: Azure Database for MySQL umožňuje zvolit možnost redundance pro váš databázový server. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnosti obnovení v případě selhání oblasti. Konfigurace geograficky redundantního úložiště pro zálohování je povolená pouze při vytváření serveru. (Související zásady: U služby Azure Database for MySQL by mělo být povolené geograficky redundantní zálohování.

Závažnost: Nízká

Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování.

Popis: Azure Database for PostgreSQL umožňuje zvolit možnost redundance pro váš databázový server. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnosti obnovení v případě selhání oblasti. Konfigurace geograficky redundantního úložiště pro zálohování je povolená pouze při vytváření serveru. (Související zásady: U služby Azure Database for PostgreSQL by mělo být povolené geograficky redundantní zálohování.

Závažnost: Nízká

Úložiště GitHubu by měla mít povolenou kontrolu kódu.

Popis: GitHub používá ke kontrole kódu analýzu kódu, aby v kódu zjistil ohrožení zabezpečení a chyby. Kontrolu kódu je možné použít k vyhledání, třídění a určení priorit oprav stávajících problémů v kódu. Kontrola kódu může také zabránit vývojářům v zavedení nových problémů. Kontroly je možné naplánovat na konkrétní dny a časy nebo se můžou aktivovat kontroly, když v úložišti dojde k určité události, jako je například nabízení. Pokud kontrola kódu najde potenciální ohrožení zabezpečení nebo chybu v kódu, GitHub zobrazí v úložišti upozornění. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu. (Žádné související zásady)

Závažnost: Střední

Úložiště GitHubu by měla mít povolenou kontrolu Dependabot.

Popis: GitHub odesílá upozornění Dependabota, když detekuje ohrožení zabezpečení v závislostech kódu, které ovlivňují úložiště. Ohrožení zabezpečení je problém v kódu projektu, který by mohl být zneužit k poškození důvěrnosti, integrity nebo dostupnosti projektu nebo jiných projektů, které používají jeho kód. Ohrožení zabezpečení se liší v typu, závažnosti a metodě útoku. Pokud kód závisí na balíčku, který má ohrožení zabezpečení, může tato ohrožená závislost způsobit celou řadu problémů. (Žádné související zásady)

Závažnost: Střední

Úložiště GitHubu by měla mít povolenou kontrolu tajných kódů.

Popis: GitHub prohledává úložiště známých typů tajných kódů, aby se zabránilo podvodnému použití tajných kódů, které byly omylem potvrzeny do úložišť. Kontrola tajných kódů zkontroluje celou historii Gitu na všech větvích, které jsou v úložišti GitHubu, a zobrazí všechny tajné kódy. Příklady tajných kódů jsou tokeny a privátní klíče, které může poskytovatel služeb vydávat za účely ověřování. Pokud je tajný kód vrácený do úložiště, může každý, kdo má k úložišti přístup pro čtení, použít tajný kód pro přístup k externí službě s těmito oprávněními. Tajné kódy by měly být uložené ve vyhrazeném zabezpečeném umístění mimo úložiště projektu. (Žádné související zásady)

Závažnost: Vysoká

Servery Microsoft Defenderu pro Azure SQL Database by měly být povolené.

Popis: Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Zahrnuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozbu pro vaši databázi, a zjišťování a klasifikaci citlivých dat. Důležité: Ochrana z tohoto plánu se účtuje, jak je znázorněno na stránce plánů Defenderu. Pokud v tomto předplatném nemáte žádné servery Azure SQL Database, nebudou se vám účtovat žádné poplatky. Pokud později vytvoříte servery Azure SQL Database v tomto předplatném, budou automaticky chráněny a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech. Další informace najdete v úvodu do Microsoft Defenderu pro SQL. (Související zásady: Měly by být povolené servery Azure Defenderu pro Azure SQL Database).

Závažnost: Vysoká

Měl by být povolený Microsoft Defender pro DNS.

Popis: Microsoft Defender for DNS poskytuje další vrstvu ochrany vašich cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z vašich prostředků Azure. Defender for DNS vás upozorní na podezřelou aktivitu ve vrstvě DNS. Další informace najdete v úvodu do Microsoft Defenderu pro DNS. Povolením tohoto plánu Defenderu se účtují poplatky. Přečtěte si o podrobnostech o cenách v jednotlivých oblastech na stránce s cenami Defenderu for Cloud: Ceny Defenderu pro cloud. (Žádné související zásady)

Závažnost: Vysoká

Je potřeba povolit Microsoft Defender pro opensourcové relační databáze.

Popis: Microsoft Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Další informace najdete v úvodu do Programu Microsoft Defender pro opensourcové relační databáze.

Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Pokud v tomto předplatném nemáte žádné opensourcové relační databáze, nebudou vám účtovány žádné poplatky. Pokud v budoucnu v tomto předplatném vytvoříte jakékoli opensourcové relační databáze, budou automaticky chráněny a poplatky začnou v tuto chvíli. (Žádné související zásady)

Závažnost: Vysoká

Měl by být povolený Microsoft Defender for Resource Manager.

Popis: Microsoft Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Defender for Cloud detekuje hrozby a upozorní vás na podezřelou aktivitu. Další informace najdete v úvodu do Programu Microsoft Defender for Resource Manager. Povolením tohoto plánu Defenderu se účtují poplatky. Přečtěte si o podrobnostech o cenách v jednotlivých oblastech na stránce s cenami Defenderu for Cloud: Ceny Defenderu pro cloud. (Žádné související zásady)

Závažnost: Vysoká

V pracovních prostorech by měl být povolený Microsoft Defender pro SQL na počítačích.

Popis: Microsoft Defender pro servery přináší detekci hrozeb a pokročilou obranu vašich počítačů s Windows a Linuxem. S tímto plánem Defenderu jsou vaše předplatná povolená, ale ne ve vašich pracovních prostorech, platíte za plnou funkci Programu Microsoft Defender pro servery, ale chybí vám některé výhody. Když povolíte Microsoft Defender pro servery v pracovním prostoru, budou se všem počítačům, které do daného pracovního prostoru hlásí, fakturovat za servery Microsoft Defender – i když jsou v předplatných bez povolených plánů Defenderu. Pokud také nepovolíte Microsoft Defender pro servery v předplatném, nebudou tyto počítače moct využívat přístup k virtuálním počítačům za běhu, adaptivní řízení aplikací a zjišťování sítí pro prostředky Azure. Další informace najdete v úvodu k Programu Microsoft Defender pro servery. (Žádné související zásady)

Závažnost: Střední

Na počítačích by se měl povolit Microsoft Defender pro SQL servery.

Popis: Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Zahrnuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozbu pro vaši databázi, a zjišťování a klasifikaci citlivých dat.

Důležité: Náprava tohoto doporučení způsobí, že se budou účtovat poplatky za ochranu sql serverů na počítačích. Pokud nemáte žádné SQL servery na počítačích v tomto předplatném, nebudou vám účtovány žádné poplatky. Pokud v budoucnu vytvoříte na počítačích s tímto předplatným všechny servery SQL, budou automaticky chráněny a poplatky začnou v tuto chvíli. Přečtěte si další informace o Microsoft Defenderu pro SQL servery na počítačích. (Související zásady: Na počítačích by se měl povolit Azure Defender pro SQL servery).

Závažnost: Vysoká

Microsoft Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL.

Popis: Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Objeví a zmírní potenciální ohrožení zabezpečení databáze a detekuje neobvyklé aktivity, které by mohly znamenat hrozbu pro vaši databázi. Microsoft Defender pro SQL se fakturuje, jak je znázorněno v podrobnostech o cenách v jednotlivých oblastech. (Související zásady: Na sql serverech by mělo být povolené pokročilé zabezpečení dat).

Závažnost: Vysoká

U nechráněných spravovaných instancí SQL by měl být povolený Microsoft Defender pro SQL

Popis: Microsoft Defender for SQL je jednotný balíček, který poskytuje pokročilé funkce zabezpečení SQL. Objeví a zmírní potenciální ohrožení zabezpečení databáze a detekuje neobvyklé aktivity, které by mohly znamenat hrozbu pro vaši databázi. Microsoft Defender pro SQL se fakturuje, jak je znázorněno v podrobnostech o cenách v jednotlivých oblastech. (Související zásady: Ve službě SQL Managed Instance by mělo být povolené pokročilé zabezpečení dat).

Závažnost: Vysoká

Měl by být povolený Microsoft Defender pro úložiště.

Popis: Microsoft Defender pro úložiště detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. Důležité: Ochrana z tohoto plánu se účtuje, jak je znázorněno na stránce plánů Defenderu. Pokud v tomto předplatném nemáte žádné účty Azure Storage, nebudou se vám účtovat žádné poplatky. Pokud později v tomto předplatném vytvoříte účty Azure Storage, budou automaticky chráněny a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech. Další informace najdete v úvodu do Microsoft Defenderu pro úložiště. (Související zásady: Měla by být povolená služba Azure Defender for Storage).

Závažnost: Vysoká

Služba Network Watcher by měla být povolená.

Popis: Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě, do a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy v zobrazení na úrovni sítě od začátku do konce. Nástroje pro diagnostiku a vizualizaci sítě dostupné ve službě Network Watcher vám pomůžou pochopit, diagnostikovat a získat přehledy o vaší síti v Azure. (Související zásady: Měla by být povolena služba Network Watcher).

Závažnost: Nízká

Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená.

Popis: Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. (Související zásady: Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená).

Závažnost: Střední

Privátní koncový bod by měl být povolený pro servery MariaDB.

Popis: Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. (Související zásady: Privátní koncový bod by měl být povolený pro servery MariaDB).

Závažnost: Střední

Privátní koncový bod by měl být povolený pro servery MySQL.

Popis: Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. (Související zásady: Privátní koncový bod by měl být povolený pro servery MySQL).

Závažnost: Střední

Privátní koncový bod by měl být povolený pro servery PostgreSQL.

Popis: Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. (Související zásady: Privátní koncový bod by měl být povolený pro servery PostgreSQL).

Závažnost: Střední

Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný.

Popis: Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby k azure SQL Database bylo možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. (Související zásady: Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný).

Závažnost: Střední

Přístup k veřejné síti by měl být zakázaný pro účty služeb Cognitive Services.

Popis: Tato zásada audituje všechny účty služeb Cognitive Services ve vašem prostředí s povoleným přístupem k veřejné síti. Přístup k veřejné síti by měl být zakázaný, aby byla povolena pouze připojení z privátních koncových bodů. (Související zásady: Přístup k veřejné síti by měl být pro účty služeb Cognitive Services zakázaný).

Závažnost: Střední

Přístup k veřejné síti by měl být pro servery MariaDB zakázaný.

Popis: Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. (Související zásady: Přístup k veřejné síti by měl být pro servery MariaDB zakázaný).

Závažnost: Střední

Přístup k veřejné síti by měl být pro servery MySQL zakázaný.

Popis: Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. (Související zásady: Přístup k veřejné síti by měl být pro servery MySQL zakázaný).

Závažnost: Střední

Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný.

Popis: Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. (Související zásady: Pro servery PostgreSQL by měl být zakázaný přístup k veřejné síti.

Závažnost: Střední

Redis Cache by měla povolit přístup pouze přes PROTOKOL SSL.

Popis: Povolte pouze připojení přes PROTOKOL SSL ke službě Redis Cache. Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace. (Související zásady: Je potřeba povolit pouze zabezpečená připojení ke službě Azure Cache for Redis).

Závažnost: Vysoká

Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení

Popis: Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrné oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. Další informace (Související zásady: Chyby zabezpečení ve vašich databázích SQL by se měly napravit).

Závažnost: Vysoká

Spravované instance SQL by měly mít nakonfigurované posouzení ohrožení zabezpečení

Popis: Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. (Související zásady: Ve spravované instanci SQL by se mělo povolit posouzení ohrožení zabezpečení.

Závažnost: Vysoká

Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích

Popis: Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrné oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. Další informace (Související zásady: Chyby zabezpečení na sql serverech na počítači by se měly napravit).

Závažnost: Vysoká

Sql Servery by měly mít zřízený správce Azure Active Directory.

Popis: Zřízení správce Azure AD pro sql server pro povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft. (Související zásady: Správce Azure Active Directory by měl být zřízený pro SQL servery).

Závažnost: Vysoká

Sql Servery by měly mít nakonfigurované posouzení ohrožení zabezpečení

Popis: Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. (Související zásady: Na vašich sql serverech by se mělo povolit posouzení ohrožení zabezpečení.

Závažnost: Vysoká

Popis: Privátní propojení vynucují zabezpečenou komunikaci tím, že poskytují privátní připojení k účtu úložiště (související zásady: Účet úložiště by měl používat připojení privátního propojení).

Závažnost: Střední

Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru.

Popis: Pokud chcete využívat nové funkce v Azure Resource Manageru, můžete migrovat existující nasazení z modelu nasazení Classic. Resource Manager umožňuje vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení založené na ARM a zásady správného řízení, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. Další informace (Související zásady: Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru).

Závažnost: Nízká

Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě.

Popis: Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na IP adresách. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. (Související zásady: Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě).

Závažnost: Střední

Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením

Popis: Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte kontakt zabezpečení pro příjem e-mailových oznámení z Defenderu pro cloud. (Související zásady: Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením.

Závažnost: Nízká

transparentní šifrování dat v databázích SQL by měly být povolené

Popis: Povolení transparentního šifrování dat pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů (související zásady: transparentní šifrování dat u databází SQL by měly být povolené).

Závažnost: Nízká

Popis: Auditujte šablony Image Builderu virtuálních počítačů, které nemají nakonfigurovanou virtuální síť. Pokud není nakonfigurovaná virtuální síť, vytvoří se veřejná IP adresa a použije se místo toho, která by mohla přímo zveřejnit prostředky na internetu a zvýšit potenciální prostor pro útoky. (Související zásady: Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení.

Závažnost: Střední

Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway.

Popis: Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí nebo oblastí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. (Související zásady: Firewall webových aplikací (WAF) by měl být povolený pro Službu Application Gateway.

Závažnost: Nízká

Firewall webových aplikací (WAF) by měl být povolený pro službu Azure Front Door Service.

Popis: Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí nebo oblastí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. (Související zásady: Firewall webových aplikací (WAF) by měl být povolený pro službu Azure Front Door Service?)

Závažnost: Nízká

Popis: Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Přečtěte si další informace o privátních propojeních. (Související zásady: Služby Cognitive Services by měly používat privátní propojení).

Závažnost: Střední

Azure Cosmos DB by měla zakázat přístup k veřejné síti.

Popis: Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistí, aby váš účet Cosmos DB nebyl vystavený na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení účtu služby Cosmos DB. Další informace. (Související zásady: Azure Cosmos DB by měla zakázat přístup k veřejné síti).

Závažnost: Střední

Popis: Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet služby Cosmos DB se sníží riziko úniku dat. Přečtěte si další informace o privátních propojeních. (Související zásady: Účty Cosmos DB by měly používat privátní propojení).

Závažnost: Střední

Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější.

Popis: Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, aby k azure SQL Database bylo možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. (Související zásady: Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější).

Závažnost: Střední

Spravované instance Azure SQL by měly zakázat přístup k veřejné síti.

Popis: Zakázání veřejného síťového přístupu (veřejného koncového bodu) ve službě Azure SQL Managed Instances zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat pouze ze svých virtuálních sítí nebo prostřednictvím privátních koncových bodů. Přečtěte si další informace o přístupu k veřejné síti. (Související zásady: Spravované instance Azure SQL by měly zakázat přístup k veřejné síti).

Závažnost: Střední

Účty úložiště by měly zabránit přístupu ke sdíleným klíčům

Popis: Požadavek na audit služby Azure Active Directory (Azure AD) k autorizaci požadavků na váš účet úložiště Ve výchozím nastavení je možné žádosti autorizovat pomocí přihlašovacích údajů Azure Active Directory nebo pomocí přístupového klíče účtu pro autorizaci sdíleného klíče. Z těchto dvou typů autorizace poskytuje Azure AD vynikající zabezpečení a snadné použití u sdíleného klíče a doporučuje ho Microsoft. (Související zásady: zásady)

Závažnost: Střední

Doporučení k identitě a přístupu

Pro předplatná by měla být určena maximálně 3 vlastníci.

Popis: Pokud chcete snížit riziko porušení zabezpečení u ohrožených účtů vlastníka, doporučujeme omezit počet účtů vlastníka na maximálně 3 (související zásady: Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky).

Závažnost: Vysoká

Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování

Popis: Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení vašich účtů a zároveň umožníte uživatelům ověřovat se téměř v jakékoli aplikaci s jednotným přihlašováním (SSO). Vícefaktorové ověřování je proces, pomocí kterého se uživatelům během procesu přihlašování zobrazí výzva k zadání jiné formy identifikace. Například na mobilní telefon může být odeslán kód nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají oprávnění vlastníka k prostředkům Azure, abyste zabránili porušení zabezpečení a útokům. Další podrobnosti a nejčastější dotazy najdete tady: Správa vynucení vícefaktorového ověřování (MFA) u předplatných (bez souvisejících zásad).

Závažnost: Vysoká

Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování

Popis: Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení vašich účtů a zároveň umožníte uživatelům ověřovat se téměř v jakékoli aplikaci s jednotným přihlašováním (SSO). Vícefaktorové ověřování je proces, pomocí kterého se během procesu přihlašování zobrazí výzva k zadání další formy identifikace. Například na mobilní telefon může být odeslán kód nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají oprávnění ke čtení prostředků Azure, abyste zabránili porušení zabezpečení a útokům. Další podrobnosti a nejčastější dotazy najdete tady. (Žádné související zásady)

Závažnost: Vysoká

Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování.

Popis: Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla pro více služeb. Povolením vícefaktorového ověřování (MFA) zajistíte lepší zabezpečení vašich účtů a zároveň umožníte uživatelům ověřovat se téměř v jakékoli aplikaci s jednotným přihlašováním (SSO). Vícefaktorové ověřování je proces, pomocí kterého se během procesu přihlašování zobrazí výzva k zadání další formy identifikace. Například na mobilní telefon může být odeslán kód nebo může být požádán o skenování otisku prstu. Doporučujeme povolit vícefaktorové ověřování pro všechny účty, které mají oprávnění k zápisu k prostředkům Azure, abyste zabránili porušení zabezpečení a útokům. Další podrobnosti a nejčastější dotazy najdete tady: Správa vynucení vícefaktorového ověřování (MFA) u předplatných (bez souvisejících zásad).

Závažnost: Vysoká

Účty Azure Cosmos DB by měly jako jedinou metodu ověřování používat Azure Active Directory.

Popis: Nejlepším způsobem ověřování ve službách Azure je použití řízení přístupu na základě role (RBAC). RBAC umožňuje zachovat princip minimálních oprávnění a podporuje možnost odvolat oprávnění jako efektivní metodu odpovědi při ohrožení zabezpečení. Účet služby Azure Cosmos DB můžete nakonfigurovat tak, aby vynucovali řízení přístupu na základě role jako jedinou metodu ověřování. Při konfiguraci vynucení budou všechny ostatní metody přístupu odepřeny (primární/sekundární klíče a přístupové tokeny). (Žádné související zásady)

Závažnost: Střední

Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat.

Popis: Účty, u kterých se zablokovalo přihlášení ke službě Active Directory, by se měly odebrat z vašich prostředků Azure. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat.

Popis: Účty, u kterých se zablokovalo přihlášení ke službě Active Directory, by se měly odebrat z vašich prostředků Azure. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Zastaralé účty by se měly z předplatných odebrat.

Popis: Uživatelské účty, které byly zablokovány přihlášení, by se měly odebrat z vašich předplatných. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Zastaralé účty by se měly z vašeho předplatného odebrat.

Závažnost: Vysoká

Zastaralé účty s oprávněními vlastníka by se měly z předplatných odebrat.

Popis: Uživatelské účty, které byly zablokovány přihlášení, by se měly odebrat z vašich předplatných. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.

Závažnost: Vysoká

Diagnostické protokoly ve službě Key Vault by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě Key Vault by měly být povolené).

Závažnost: Nízká

Z předplatných by se měly odebrat externí účty s oprávněními vlastníka.

Popis: Účty s oprávněními vlastníka, které mají různé názvy domén (externí účty), by se měly z vašeho předplatného odebrat. Tím se zabrání nemonitorovaný přístup. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Z vašeho předplatného by se měly odebrat externí účty s oprávněními vlastníka).

Závažnost: Vysoká

Z předplatných by se měly odebrat externí účty s oprávněními ke čtení.

Popis: Účty s oprávněními ke čtení, které mají různé názvy domén (externí účty), by se měly z vašeho předplatného odebrat. Tím se zabrání nemonitorovaný přístup. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Externí účty s oprávněním ke čtení by se měly z vašeho předplatného odebrat.

Závažnost: Vysoká

Z předplatných by se měly odebrat externí účty s oprávněním k zápisu.

Popis: Účty s oprávněním k zápisu, které mají různé názvy domén (externí účty), by se měly z vašeho předplatného odebrat. Tím se zabrání nemonitorovaný přístup. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Související zásady: Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat).

Závažnost: Vysoká

Brána firewall by měla být ve službě Key Vault povolená.

Popis: Brána firewall služby Key Vault brání neoprávněnému provozu v přístupu k trezoru klíčů a poskytuje další vrstvu ochrany tajných kódů. Povolte bránu firewall, abyste měli jistotu, že k trezoru klíčů mají přístup jenom přenosy z povolených sítí. (Související zásady: Brána firewall by měla být povolená ve službě Key Vault).

Závažnost: Střední

Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat.

Popis: Účty s oprávněními vlastníka, které byly zřízeny mimo tenanta Azure Active Directory (různé názvy domén), by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravuje ve stejných standardech jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat.

Popis: Účty s oprávněními ke čtení zřízené mimo tenanta Azure Active Directory (jiné názvy domén) by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravuje ve stejných standardech jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat.

Popis: Účty s oprávněními k zápisu zřízené mimo tenanta Azure Active Directory (různé názvy domén) by se měly z vašich prostředků Azure odebrat. Účty hostů se nespravuje ve stejných standardech jako identity podnikových tenantů. Tyto účty můžou být cílem útočníků, kteří hledají způsoby přístupu k datům, aniž by si všimli. (Žádné související zásady)

Závažnost: Vysoká

Klíče služby Key Vault by měly mít datum vypršení platnosti.

Popis: Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučeným postupem zabezpečení je nastavit data vypršení platnosti kryptografických klíčů. (Související zásady: Klíče služby Key Vault by měly mít datum vypršení platnosti).

Závažnost: Vysoká

Tajné kódy služby Key Vault by měly mít datum vypršení platnosti.

Popis: Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučeným postupem zabezpečení je nastavit data vypršení platnosti tajných kódů. (Související zásady: Tajné kódy služby Key Vault by měly mít datum vypršení platnosti).

Závažnost: Vysoká

Trezory klíčů by měly mít povolenou ochranu před vymazáním.

Popis: Škodlivé odstranění trezoru klíčů může vést k trvalé ztrátě dat. Škodlivý insider ve vaší organizaci může potenciálně odstranit a vyprázdnit trezory klíčů. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. (Související zásady: Trezory klíčů by měly mít povolenou ochranu před vymazáním).

Závažnost: Střední

Trezory klíčů by měly mít povolené obnovitelné odstranění.

Popis: Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. (Související zásady: Trezory klíčů by měly mít povolené obnovitelné odstranění).

Závažnost: Vysoká

Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními vlastníka u předplatných.

Popis: Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k porušení účtů nebo prostředků. (Související zásady: U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.

Závažnost: Vysoká

U účtů s oprávněními ke čtení u předplatných by mělo být povolené vícefaktorové ověřování.

Popis: Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. (Související zásady: U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování.

Závažnost: Vysoká

U účtů s oprávněními k zápisu u předplatných by mělo být povolené vícefaktorové ověřování.

Popis: Pro všechny účty předplatného s oprávněními k zápisu by mělo být povolené vícefaktorové ověřování (MFA), aby nedošlo k narušení účtů nebo prostředků. (Související zásady: Vícefaktorové ověřování by měly být povolené účty s oprávněními k zápisu ve vašem předplatném).

Závažnost: Vysoká

Měla by být povolená služba Microsoft Defender for Key Vault.

Popis: Microsoft Defender for Cloud zahrnuje Microsoft Defender for Key Vault a poskytuje další vrstvu inteligentních funkcí zabezpečení. Microsoft Defender for Key Vault detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům key Vault nebo jejich zneužití. Důležité: Ochrana z tohoto plánu se účtuje, jak je znázorněno na stránce plánů Defenderu. Pokud v tomto předplatném nemáte žádné trezory klíčů, nebudou se vám účtovat žádné poplatky. Pokud později v tomto předplatném vytvoříte trezory klíčů, budou automaticky chráněné a začnou se účtovat poplatky. Seznamte se s podrobnostmi o cenách v jednotlivých oblastech. Další informace najdete v úvodu do programu Microsoft Defender for Key Vault. (Související zásady: Služba Azure Defender for Key Vault by měla být povolená).

Závažnost: Vysoká

Privátní koncový bod by měl být nakonfigurovaný pro Key Vault.

Popis: Private Link poskytuje způsob připojení služby Key Vault k prostředkům Azure bez odesílání provozu přes veřejný internet. Private Link poskytuje hloubkové ochrany před exfiltrací dat. (Související zásady: Privátní koncový bod by měl být nakonfigurovaný pro Key Vault).

Závažnost: Střední

Veřejný přístup k účtu úložiště by se měl nepovolit.

Popis: Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. (Související zásady: Veřejný přístup k účtu úložiště by měl být zakázán).

Závažnost: Střední

K předplatným by mělo být přiřazeno více než jeden vlastník.

Popis: Určete více než jednoho vlastníka předplatného, aby měl správce přístup k redundanci. (Související zásady: K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník.

Závažnost: Vysoká

Doba platnosti certifikátů uložených ve službě Azure Key Vault by neměla překročit 12 měsíců.

Popis: Ujistěte se, že certifikáty nemají dobu platnosti, která přesahuje 12 měsíců. (Související zásady: Certifikáty by měly mít zadanou maximální dobu platnosti).

Závažnost: Střední

Nadměrné zřízení identit Azure by mělo mít pouze potřebná oprávnění (Preview)

Popis: Nadměrné zřízení identit nebo nad identitami s oprávněními nepoužívají mnoho jejich udělených oprávnění. Pravidelně oprávnění správné velikosti těchto identit, aby se snížilo riziko zneužití oprávnění, ať už náhodného nebo škodlivého. Tato akce snižuje potenciální poloměr výbuchu během incidentu zabezpečení.

Závažnost: Střední

Super identity ve vašem prostředí Azure by se měly odebrat (Preview)

Popis: Super identita je jakákoli identita člověka nebo úlohy, jako jsou uživatelé, instanční objekty a bezserverové funkce, které mají oprávnění správce a můžou provádět jakoukoli akci s libovolným prostředkem v celé infrastruktuře. Super identity jsou extrémně vysoké riziko, protože jakékoli zneužití škodlivých nebo náhodných oprávnění může vést ke katastrofálnímu přerušení služeb, snížení výkonu služeb nebo úniku dat. Super identity představují obrovskou hrozbu cloudové infrastruktury. Příliš mnohosuperch

Závažnost: Střední

Nepoužité identity ve vašem prostředí Azure by se měly odebrat (Preview)

Popis: Neaktivní identity jsou identity, které v posledních 90 dnech neprováděly žádnou akci na žádné prostředky infrastruktury. Neaktivní identity představují pro vaši organizaci významné riziko, protože by je útočníci mohli použít k získání přístupu a provádění úloh ve vašem prostředí.

Závažnost: Střední

Doporučení IoT

Výchozí zásady filtru IP adres by měly být odepřít.

Popis: Konfigurace filtru IP adres by měla mít definovaná pravidla pro povolený provoz a měla by ve výchozím nastavení odepřít všechny ostatní přenosy (žádné související zásady).

Závažnost: Střední

Diagnostické protokoly ve službě IoT Hub by měly být povolené.

Popis: Povolte protokoly a zachovejte je až po dobu roku. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. (Související zásady: Diagnostické protokoly ve službě IoT Hub by měly být povolené.

Závažnost: Nízká

Identické přihlašovací údaje pro ověřování

Popis: Identické ověřovací přihlašovací údaje pro IoT Hub, které používá více zařízení. To může znamenat nelegitimní zosobnění zařízení, které zosobní legitimní zařízení. Zároveň zpřístupňuje riziko zosobnění zařízení útočníkem (žádné související zásady).

Závažnost: Vysoká

Pravidlo filtru IP adres – velký rozsah IP adres

Popis: Zdrojový rozsah IP adres pravidla filtru IP adres je příliš velký. Nadměrně omezující pravidla můžou vaše centrum IoT vystavit škodlivým záměrům (žádné související zásady).

Závažnost: Střední

Doporučení pro sítě

Přístup k účtům úložiště s konfigurací brány firewall a virtuální sítě by měl být omezený.

Popis: Zkontrolujte nastavení síťového přístupu v nastavení brány firewall účtu úložiště. Doporučujeme nakonfigurovat pravidla sítě tak, aby k účtu úložiště měli přístup jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. (Související zásady: Účty úložiště by měly omezit přístup k síti).

Závažnost: Nízká

Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích.

Popis: Defender for Cloud analyzoval vzory komunikace internetového provozu virtuálních počítačů uvedených níže a zjistil, že stávající pravidla ve skupině zabezpečení sítě, která jsou k nim přidružená, jsou příliš permisivní, což vede ke zvýšení potenciálního prostoru pro útoky. K tomu obvykle dochází v případě, že tato IP adresa s tímto prostředkem nekomunikuje pravidelně. Případně se IP adresa označí jako škodlivá zdroji analýzy hrozeb v Defenderu pro cloud. Další informace najdete v článku Vylepšení stavu zabezpečení sítě s adaptivním posílením zabezpečení sítě. (Související zásady: Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích).

Závažnost: Vysoká

Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači.

Popis: Defender for Cloud identifikoval některá příchozí pravidla skupin zabezpečení sítě, aby byla příliš přesvědčivá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. (Související zásady: Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači).

Závažnost: Vysoká

Měla by být povolená služba Azure DDoS Protection Úrovně Standard.

Popis: Defender for Cloud zjistil virtuální sítě s prostředky služby Application Gateway, které služba ochrany před útoky DDoS nechránila. Tyto prostředky obsahují veřejné IP adresy. Povolte zmírnění útoků na svazky sítě a protokoly. (Související zásady: Měla by být povolená služba Azure DDoS Protection Úrovně Standard).

Závažnost: Střední

Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.

Popis: Chraňte virtuální počítač před potenciálními hrozbami tím, že k němu omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vašeho virtuálního počítače z jiných instancí nebo mimo stejnou podsíť. Aby byl počítač co nejbezpečnější, musí být přístup k internetu virtuální počítač omezený a v podsíti by měla být povolená skupina zabezpečení sítě. Virtuální počítače s vysokou závažností jsou internetové virtuální počítače. (Související zásady: Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě).

Závažnost: Vysoká

Předávání IP na virtuálním počítači by mělo být zakázané.

Popis: Defender for Cloud zjistil, že na některých vašich virtuálních počítačích je povolené předávání IP. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. (Související zásady: Předávání IP na virtuálním počítači by mělo být zakázané).

Závažnost: Střední

Počítače by měly mít uzavřené porty, které by mohly vystavit vektory útoku

Popis: Podmínky použití Azure zakazují používání služeb Azure způsoby, které by mohly poškodit, zakázat, přetížit nebo narušit jakýkoli server společnosti Microsoft nebo síť. Toto doporučení uvádí seznam vystavených portů, které je potřeba pro trvalé zabezpečení zavřít. Ilustruje také potenciální hrozbu každého portu. (Žádné související zásady)

Závažnost: Vysoká

Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.

Popis: Defender for Cloud identifikoval některá příliš trvalá příchozí pravidla pro porty pro správu ve skupině zabezpečení sítě. Povolte řízení přístupu za běhu a chraňte virtuální počítač před internetovými útoky hrubou silou. Další informace najdete v článku Principy přístupu k virtuálním počítačům podle potřeby (JIT). (Související zásady: Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu).

Závažnost: Vysoká

Porty pro správu by měly být na virtuálních počítačích zavřené.

Popis: Otevření portů pro vzdálenou správu vystavuje virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. (Související zásady: Porty pro správu by měly být na virtuálních počítačích zavřené.

Závažnost: Střední

Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě.

Popis: Chraňte svůj ne internetový virtuální počítač před potenciálními hrozbami tím, že k němu omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vašeho virtuálního počítače z jiných instancí, ať už jsou ve stejné podsíti nebo ne. Mějte na paměti, že aby byl počítač co nejbezpečnější, musí být přístup virtuálního počítače k internetu omezený a v podsíti by měla být povolená skupina zabezpečení sítě. (Související zásady: Jiné než internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě).

Závažnost: Nízká

Zabezpečený přenos do účtů úložiště by měl být povolený.

Popis: Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. (Související zásady: Je potřeba povolit zabezpečený přenos do účtů úložiště).

Závažnost: Vysoká

Podsítě by měly být přidružené ke skupině zabezpečení sítě.

Popis: Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. Pokud je skupina zabezpečení sítě přidružená k podsíti, pravidla seznamu ACL platí pro všechny instance virtuálních počítačů a integrované služby v této podsíti, ale nevztahují se na interní provoz uvnitř podsítě. Pokud chcete zabezpečit prostředky ve stejné podsíti mezi sebou, povolte skupinu zabezpečení sítě přímo na prostředky. Všimněte si, že následující typy podsítí budou uvedené jako nepoužitelné: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Související zásady: Podsítě by měly být přidružené ke skupině zabezpečení sítě).

Závažnost: Nízká

Virtuální sítě by měly být chráněné službou Azure Firewall.

Popis: Některé virtuální sítě nejsou chráněné bránou firewall. Pomocí služby Azure Firewall omezte přístup k vašim virtuálním sítím a zabraňte potenciálním hrozbám. (Související zásady: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall.

Závažnost: Nízká

Doporučení rozhraní API

Měla by být povolená rozhraní MICROSOFT Defender for API.

Popis a související zásady: Povolení plánu Defenderu for API ke zjišťování a ochraně prostředků rozhraní API před útoky a chybnou konfigurací zabezpečení Další informace

Závažnost: Vysoká

Rozhraní API služby Azure API Management by se měla připojit k defenderu pro rozhraní API.

Popis a související zásady: Onboarding rozhraní API pro Defender pro rozhraní API vyžaduje využití výpočetních prostředků a paměti ve službě Azure API Management. Monitorujte výkon služby Azure API Management při onboardingu rozhraní API a podle potřeby navyšujte kapacitu prostředků služby Azure API Management.

Závažnost: Vysoká

Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management.

Popis a související zásady: Jako osvědčený postup zabezpečení se koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, považují za nepoužívané a měly by se odebrat ze služby Azure API Management. Zachování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale omylem byla aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení.

Závažnost: Nízká

Koncové body rozhraní API ve službě Azure API Management by se měly ověřovat.

Popis a související zásady: Koncové body rozhraní API publikované ve službě Azure API Management by měly vynutit ověřování, aby se minimalizovalo riziko zabezpečení. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. Pro rozhraní API publikovaná ve službě Azure API Management toto doporučení posuzuje ověřování prostřednictvím ověření přítomnosti klíčů předplatného služby Azure API Management pro rozhraní API nebo produkty, u kterých se vyžaduje předplatné, a provádění zásad pro ověřování JWT, klientských certifikátů a tokenů Microsoft Entra. Pokud se během volání rozhraní API nespustí žádný z těchto mechanismů ověřování, rozhraní API toto doporučení obdrží.

Závažnost: Vysoká

Doporučení služby API Management

Předplatná služby API Management by neměla být vymezena na všechna rozhraní API.

Popis a související zásady: Předplatná služby API Management by měla být vymezena na produkt nebo na jednotlivé rozhraní API místo na všechna rozhraní API, což by mohlo vést k nadměrnému vystavení dat.

Závažnost: Střední

Volání služby API Management do back-endů rozhraní API by neměla obcházet kryptografický otisk certifikátu ani ověřování názvů.

Popis a související zásady: Služba API Management by měla ověřit certifikát back-endového serveru pro všechna volání rozhraní API. Povolení kryptografického otisku certifikátu SSL a ověření názvu za účelem zlepšení zabezpečení rozhraní API

Závažnost: Střední

Koncový bod přímé správy služby API Management by neměl být povolený.

Popis a související zásady: Rozhraní REST API pro přímou správu ve službě Azure API Management obchází řízení přístupu, autorizaci a omezování přístupu na základě role v Azure Resource Manageru, což zvyšuje ohrožení zabezpečení vaší služby.

Závažnost: Nízká

Rozhraní API služby API Management by měla používat pouze šifrované protokoly.

Popis a související zásady: Rozhraní API by měla být dostupná jenom prostřednictvím šifrovaných protokolů, jako jsou HTTPS nebo WSS. Nepoužívejte nezabezpečené protokoly, jako je HTTP nebo WS, abyste zajistili zabezpečení přenášených dat.

Závažnost: Vysoká

Tajné klíče služby API Management s názvem hodnoty by měly být uložené ve službě Azure Key Vault.

Popis a související zásady: Pojmenované hodnoty jsou kolekce dvojic názvů a hodnot v každé službě API Management. Hodnoty tajných kódů je možné uložit jako šifrovaný text ve službě API Management (vlastní tajné kódy) nebo odkazovat na tajné kódy ve službě Azure Key Vault. Odkazování na hodnoty pojmenovaných tajných kódů ze služby Azure Key Vault za účelem zlepšení zabezpečení služby API Management a tajných kódů Azure Key Vault podporuje podrobnou správu přístupu a zásady obměny tajných kódů.

Závažnost: Střední

Služba API Management by měla zakázat přístup k veřejným síťovým koncovým bodům konfigurace služby.

Popis a související zásady: Pokud chcete zlepšit zabezpečení služeb API Management, omezte připojení ke koncovým bodům konfigurace služeb, jako jsou rozhraní API pro správu přímého přístupu, koncový bod správy konfigurace Gitu nebo koncový bod konfigurace brány v místním prostředí.

Závažnost: Střední

Minimální verze rozhraní API služby API Management by měla být nastavená na 12. 12. 2019 nebo vyšší.

Popis a související zásady: Aby se tajné kódy služby nesdílely s uživateli jen pro čtení, měla by být minimální verze rozhraní API nastavená na verzi 2019-12-01 nebo vyšší.

Závažnost: Střední

Je potřeba ověřit volání služby API Management do back-endů rozhraní API.

Popis a související zásady: Volání ze služby API Management do back-endů by měla používat určitou formu ověřování, ať už prostřednictvím certifikátů nebo přihlašovacích údajů. Nevztahuje se na back-endy Service Fabric.

Závažnost: Střední

Doporučení umělé inteligence

Protokoly prostředků v pracovních prostorech Azure Machine Učení by měly být povolené (Preview)

Popis a související zásady: Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě.

Závažnost: Střední

Pracovní prostory služby Azure Machine Učení by měly zakázat přístup k veřejné síti (Preview)

Popis a související zásady: Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostory počítače Učení nejsou zveřejněné na veřejném internetu. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete v tématu Konfigurace privátního koncového bodu pro pracovní prostor azure machine Učení.

Závažnost: Střední

Výpočetní prostředky azure Učení by měly být ve virtuální síti (Preview).

Popis a související zásady: Virtuální sítě Azure poskytují lepší zabezpečení a izolaci pro výpočetní clustery a instance azure machine Učení, stejně jako podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je výpočetní výkon nakonfigurovaný s virtuální sítí, není veřejně adresovatelný a dá se k němu přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě.

Závažnost: Střední

Výpočetní Učení Azure by měly mít zakázané místní metody ověřování (Preview).

Popis a související zásady: Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby počítač Učení Computes vyžadoval výhradně identity Azure Active Directory pro ověřování. Další informace najdete v tématu Řízení dodržování právních předpisů Azure Policy pro Učení Azure Machine.

Závažnost: Střední

Azure Machine Učení výpočetní instance by se měly znovu vytvořit, aby se získaly nejnovější aktualizace softwaru (Preview).

Popis a související zásady: Ujistěte se, že počítače Azure Učení výpočetní instance běží v nejnovějším dostupném operačním systému. Vylepšili jsme zabezpečení a snížili jsme ohrožení zabezpečení spuštěním nejnovějších oprav zabezpečení. Další informace najdete v tématu Správa ohrožení zabezpečení pro službu Azure Machine Učení.

Závažnost: Střední

Protokoly prostředků v pracovních prostorech Azure Databricks by měly být povolené (Preview)

Popis a související zásady: Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě.

Závažnost: Střední

Pracovní prostory Azure Databricks by měly zakázat přístup k veřejné síti (Preview)

Popis a související zásady: Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete řídit vytvořením privátních koncových bodů. Další informace najdete v tématu Povolení služby Azure Private Link.

Závažnost: Střední

Clustery Azure Databricks by měly zakázat veřejnou IP adresu (Preview)

Popis a související zásady: Zakázání veřejné IP adresy clusterů v pracovních prostorech Azure Databricks zlepšuje zabezpečení tím, že zajišťuje, že clustery nejsou zveřejněné na veřejném internetu. Další informace najdete v tématu Zabezpečení připojení ke clusteru.

Závažnost: Střední

Pracovní prostory Azure Databricks by měly být ve virtuální síti (Preview)

Popis a související zásady: Virtuální sítě Azure poskytují lepší zabezpečení a izolaci pracovních prostorů Azure Databricks a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Další informace najdete v tématu Nasazení Azure Databricks ve virtuální síti Azure.

Závažnost: Střední

Popis a související zásady: Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Azure Databricks můžete snížit rizika úniku dat. Další informace najdete v tématu Vytvoření pracovního prostoru a privátních koncových bodů v uživatelském rozhraní webu Azure Portal.

Závažnost: Střední

Zastaralá doporučení

V předplatných by se měly prozkoumat více zřízené identity, aby se snížil index oprávnění (PCI).

Popis: V rámci předplatného by se měly prozkoumat nadměrné identity, aby se snížil index oprávnění (PCI) a aby se zajistila vaše infrastruktura. Snižte pci odebráním nepoužívaných vysoce rizikových přiřazení oprávnění. Vysoká hodnota PCI odráží riziko spojené s identitami s oprávněními, která překračují jejich normální nebo požadované využití (žádné související zásady).

Závažnost: Střední

V účtech by se měly vyšetřovat nadměrně zřízené identity, aby se snížil index oprávnění creep (PCI).

Popis: V účtech by se měly vyšetřovat nadměrně zřízené identity, aby se snížil index oprávnění (PCI) a aby se zajistila vaše infrastruktura. Snižte pci odebráním nepoužívaných vysoce rizikových přiřazení oprávnění. Vysoká hodnota PCI odráží riziko spojené s identitami s oprávněními, která překračují jejich normální nebo požadované využití.

Závažnost: Střední

Přístup ke službě App Services by měl být omezený.

Popis a související zásady: Omezte přístup ke službě App Services změnou konfigurace sítě a zamítněte příchozí provoz z rozsahů, které jsou příliš široké. (Související zásady: [Preview]: Přístup ke službám App Services by měl být omezený).

Závažnost: Vysoká

Pravidla pro webové aplikace ve skupině zabezpečení sítě IaaS by měla být posílena.

Popis a související zásady: Posílení skupiny zabezpečení sítě (NSG) virtuálních počítačů, na kterých běží webové aplikace, s pravidly NSG, která jsou nadměrně permisivní s ohledem na porty webových aplikací. (Související zásada: Pravidla skupin zabezpečení sítě pro webové aplikace v IaaS by měla být posílena).

Závažnost: Vysoká

Zásady zabezpečení podů by se měly definovat, aby se snížil vektor útoku odebráním nepotřebných oprávnění aplikace (Preview).

Popis a související zásady: Definujte zásady zabezpečení podů, abyste snížili vektor útoku odebráním nepotřebných oprávnění aplikace. Doporučujeme nakonfigurovat zásady zabezpečení podů, aby pody mohly přistupovat pouze k prostředkům, ke kterým mají povolený přístup. (Související zásady: [Preview]: Zásady zabezpečení podů by se měly definovat ve službách Kubernetes).

Závažnost: Střední

Instalace modulu zabezpečení Azure Security Center pro IoT, abyste získali lepší přehled o vašich zařízeních IoT

Popis a související zásady: Nainstalujte modul zabezpečení služby Azure Security Center pro IoT, abyste získali lepší přehled o vašich zařízeních IoT.

Závažnost: Nízká

Aby se nainstalovaly aktualizace systému, měly by se vaše počítače restartovat.

Popis a související zásady: Restartujte počítače a nainstalujte aktualizace systému a zabezpečte počítač před ohroženími zabezpečení. (Související zásady: Aktualizace systému by se měly nainstalovat na vaše počítače).

Závažnost: Střední

Agent monitorování by měl být nainstalovaný na vašich počítačích.

Popis a související zásady: Tato akce nainstaluje agenta monitorování na vybrané virtuální počítače. Vyberte pracovní prostor, na který se má agent hlásit. (Žádné související zásady)

Závažnost: Vysoká

Java by se měla aktualizovat na nejnovější verzi webových aplikací.

Popis a související zásady: Pravidelně se vydávají novější verze softwaru v Javě, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Javy pro webové aplikace, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. (Související zásady: Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást webové aplikace).

Závažnost: Střední

Python by se měl aktualizovat na nejnovější verzi aplikací funkcí.

Popis a související zásady: Pravidelně se vydávají novější verze pro software Pythonu, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Pythonu pro aplikace funkcí, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. (Související zásady: Ujistěte se, že verze Pythonu je nejnovější, pokud se používá jako součást aplikace funkcí).

Závažnost: Střední

Python by se měl aktualizovat na nejnovější verzi webových aplikací.

Popis a související zásady: Pravidelně se vydávají novější verze pro software Pythonu, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Pythonu pro webové aplikace, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. (Související zásady: Ujistěte se, že verze Pythonu je nejnovější, pokud se používá jako součást webové aplikace).

Závažnost: Střední

Java by se měla aktualizovat na nejnovější verzi pro aplikace funkcí.

Popis a související zásady: Pravidelně se vydávají novější verze softwaru v Javě, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi Javy pro aplikace funkcí, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. (Související zásady: Ujistěte se, že verze Java je nejnovější, pokud se používá jako součást aplikace funkcí).

Závažnost: Střední

Php by se měl aktualizovat na nejnovější verzi webových aplikací.

Popis a související zásady: Pravidelně se vydávají novější verze pro software PHP buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Pokud používáte nejnovější verzi PHP pro webové aplikace, doporučujeme využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. (Související zásady: Ujistěte se, že verze PHP je nejnovější, pokud se používá jako součást webové aplikace).

Závažnost: Střední

Měly by se vyřešit problémy se stavem služby Endpoint Protection na počítačích.

Popis: Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podívejte se do dokumentace pro řešení ochrany koncových bodů, která defender pro cloud podporuje, a posouzení ochrany koncových bodů. (Žádné související zásady)

Závažnost: Střední

Ochrana koncových bodů by měla být nainstalovaná na počítačích.

Popis: Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. Přečtěte si další informace o tom, jak se ochrana koncových bodů pro počítače vyhodnocuje v posouzení ochrany koncových bodů a doporučeních v programu Microsoft Defender for Cloud. (Žádné související zásady)

Závažnost: Vysoká