Standardní hodnoty zabezpečení Azure pro Službu Batch

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure Batch. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny, které se vztahují ke službě Batch.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují na Službu Batch, a ty, pro které se doporučuje globální pokyny, byly vyloučeny doslovně. Pokud chcete zjistit, jak služba Batch kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Batch.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Nasazení fondů Azure Batch ve virtuální síti Fond můžete zřídit v podsíti virtuální sítě Azure. Díky této akci můžou výpočetní uzly fondu bezpečně komunikovat s jinými virtuálními počítači nebo místní sítí. Nasazujete fond ve virtuální síti? Pak můžete řídit skupinu zabezpečení sítě (NSG), která slouží k zabezpečení síťových rozhraní jednotlivých uzlů (NIC) a podsítě. Nakonfigurujte skupinu zabezpečení sítě tak, aby umožňovala provoz jenom z důvěryhodných IP adres nebo umístění na internetu.

Zakažte veřejně vystavené koncové body RDP/SSH na portu 3389 (Windows) nebo 22 (Linux). Externí zdroje se pak nemůžou připojit ke výpočetním uzlům Batch ani zjišťovat vzdálený přístup. Nakonfigurujte tyto porty pro přístup pomocí mechanismů just-in-time v přiřazených skupinách zabezpečení sítě.

Potřebujete podporu pro úlohy s více instancemi s určitými moduly runtime MPI? V Linuxu možná budete muset povolit pravidla portu 22. Povolení provozu na těchto portech ale není nezbytně nutné, aby výpočetní uzly fondu byly použitelné.

• Jak vytvořit fond Azure Batch v rámci Virtual Network

• Jak vytvořit účet Azure Batch se zakázaným přístupem k síti

• Vytvoření privátního koncového bodu

• Jak odepřít přístup k provozu protokolu RDP/SSH

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Vzhledem k tomu, že můžete nasadit Azure Batch přímo do virtuálních sítí, máte mnoho způsobů, jak povolit přístup k prostředkům služby Batch z jiných sítí.

Pomocí Azure ExpressRoute nebo virtuální privátní sítě Azure (VPN) můžete vytvářet privátní připojení mezi datovými centry Azure a místní infrastrukturou. Tato připojení jsou v kolokačním prostředí k síti, která hostuje vaše prostředky služby Batch. Připojení ExpressRoute nepřechází přes veřejný internet. V porovnání s typickým připojením k internetu nabízí připojení ExpressRoute:

• Větší spolehlivost
• Rychlejší rychlost
• Nižší latence

Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí jakékoli kombinace těchto možností SÍTĚ VPN a Azure ExpressRoute.

Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí nebo Private Link. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.

• Co jsou modely připojení ExpressRoute

• Přehled azure VPN

• Partnerský vztah virtuální sítě

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Zřízením fondu bez veřejných IP adres můžete omezit přístup k uzlům a omezit zjistitelnost uzlů z internetu. Pokud fond zřídíte v podsíti virtuální sítě Azure, výpočetní uzly můžou bezpečně komunikovat s jinými virtuálními počítači nebo s místní sítí. S Azure Private Link můžete povolit privátní přístup ke službě Batch z virtuálních sítí bez přechodu na internet. Služba Azure Private Link je zabezpečená. Přijímá připojení pouze z ověřených a autorizovaných privátních koncových bodů. Konfigurace privátních koncových bodů pro Azure Batch je bezpečnější a neomezuje možnosti nabídky.

• Vytvoření fondu služby Azure Batch bez veřejných IP adres

• Omezení přístupu ke koncovému bodu sítě

• Použití privátních koncových bodů s účty Azure Batch

• Vysvětlení Azure Private Link

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Prostředky Azure jsou chráněné před útoky na externí síť, například:

• Útoky DDoS (Distributed Denial of Service)
• Útoky specifické pro aplikaci
• Nevyžádané, potenciálně škodlivé internetové přenosy.

Díky Azure Firewall můžete chránit aplikace a služby ve virtuálních sítích. Vyhněte se potenciálně škodlivému provozu z internetu a dalších externích umístění. Pokud chcete chránit prostředky před útoky DDoS, povolte ve virtuálních sítích Azure standardní ochranu DDoS. Pomocí programu Microsoft Defender for Cloud můžete zjistit rizika chybné konfigurace prostředků souvisejících se sítí.

• Omezení přístupu ke koncovému bodu sítě

• Dokumentace k Azure Firewall

• Správa služby Azure DDoS Protection Standard pomocí Azure Portal

• Doporučení Microsoft Defenderu pro cloud

• Jak nasadit Azure Web Application Firewall (WAF)

Odpovědnost: Sdílené

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: V Azure Batch použijte integrované značky služeb Azure Virtual Network k definování řízení přístupu k síti. Řízení přístupu k síti platí pro skupiny zabezpečení sítě nebo brány Azure Firewall nakonfigurované pro vaše prostředky služby Batch.

Při nasazeních vyhrazených pro Azure Batch potřebujete vytvořit pravidla zabezpečení sítě pro provoz správy? Pak místo konkrétních IP adres použijte značku služby BatchNodeManagement. I když přistupujete ke službám Azure, které mají veřejné koncové body, dosáhnete také izolace sítě. A chraňte prostředky Azure před obecným internetem.

Zadáním názvu značky služby ve zdroji nebo cíli pravidla můžete povolit nebo odepřít provoz odpovídající služby. Microsoft spravuje předpony adres, které jsou zahrnuty značkou služby. Automaticky aktualizuje značku služby při změně adres.

• Dostupné značky služeb

Skupiny zabezpečení sítě pomáhají definovat příchozí a odchozí pravidla provozu. Použijte značky pro skupiny zabezpečení sítě nebo jiné související zabezpečení sítě a tok provozu přidružených k fondům služby Azure Batch. Protokoly IP, které se používají ve službách Azure Batch, jsou protokoly IPv4 a Pv6.

• Principy a používání značek služeb

• Principy a používání skupin zabezpečení aplikací

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Pokud jako autoritativní službu DNS používáte Azure DNS, chraňte zóny DNS a záznamy před náhodnými nebo škodlivými úpravami pomocí řízení přístupu na základě role Azure (Azure RBAC) a zámků prostředků. Můžete monitorovat protokoly aktivit Azure, abyste věděli, jak uživatel ve vaší organizaci upravil prostředek. Nebo vám protokoly můžou pomoct najít chybu při řešení potíží. Pokud používáte privátní koncové body s Azure Batch, doporučujeme integrovat privátní koncový bod s privátní zónou DNS. Můžete použít vlastní servery DNS nebo můžete vytvářet záznamy DNS pomocí hostitelských souborů na virtuálních počítačích.

• Konfigurace zóny Privátní DNS pomocí Azure Batch

• Přehled Azure DNS

• Průvodce nasazením systému DNS (Secure Domain Name System)

• Jak zabránit visícím záznamům DNS a převzetí subdomény

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure Active Directory (Azure AD) se používá jako výchozí systém ověřování a autorizace služby Batch. Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu vaší organizace. Přístup k účtu Batch podporuje dvě metody ověřování: sdílený klíč a Azure Active Directory (Azure AD). Důrazně doporučujeme používat Azure AD pro ověřování účtu Batch. Některé funkce služby Batch vyžadují tuto metodu ověřování, včetně mnoha funkcí souvisejících se zabezpečením.

Zajištění zabezpečení Azure AD vysokou prioritou v praxi cloudového zabezpečení vaší organizace. S skóre zabezpečení identity Azure AD můžete porovnat stav zabezpečení identity s doporučeními Microsoftu pro osvědčené postupy. Pokud chcete zlepšit stav zabezpečení, použijte skóre k určení toho, jak přesně konfigurace odpovídá doporučením osvědčených postupů.

• Architektura tenantů v Azure Active Directory

• Jak vytvořit a nakonfigurovat instanci Azure AD

• Vlastní role pro udělení oprávnění Azure AD

• Ověřování účtu Batch

• Přiřazení Azure RBAC k aplikaci

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Azure Batch podporuje spravované identity pro své prostředky Azure. Místo vytváření instančních objektů pro přístup k jiným prostředkům můžete použít spravované identity se službou Batch. Služba Batch se může nativně ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure AD. Toto ověřování prochází předdefinovaným pravidlem udělení přístupu bez použití přihlašovacích údajů, které jsou pevně zakódované ve zdrojovém kódu nebo konfiguračních souborech.

Služba Batch doporučuje použít Azure AD k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku. Nakonfigurujte tento instanční objekt pomocí přihlašovacích údajů certifikátu a vraťte se k tajným klíčům klienta. V obou případech je možné azure Key Vault používat s identitami spravovanými Azure. Pak může prostředí runtime (například fond Azure Batch) načíst přihlašovací údaje z trezoru klíčů.

• Konfigurace spravovaných identit ve fondech služby Batch

• Identity spravované v Azure

• Instanční objekt Azure

• Použití Azure Key Vault k registraci instančního objektu zabezpečení

Odpovědnost: Zákazník

IM-6: Omezení přístupu k prostředkům Azure na základě podmínek

Pokyny: Pokud chcete omezit správu prostředků Azure Batch, použijte Azure AD podmíněný přístup pro podrobnější řízení přístupu na základě uživatelsky definovaných podmínek. Můžete například vyžadovat přihlášení uživatelů z určitých rozsahů IP adres k použití vícefaktorového ověřování. Můžete také použít podrobnou správu relací ověřování prostřednictvím Azure AD zásad podmíněného přístupu pro různé případy použití. Tento podmíněný přístup se nevztahuje na žádné sdílené klíče, které se používají k ověřování klientů u účtů Batch. Místo těchto klíčů se doporučuje použít Azure AD.

• Ověřování účtu Batch

• Přehled podmíněného přístupu Azure

Odpovědnost: Zákazník

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure Batch umožňuje zákazníkům spouštět kód s identitami nebo tajnými kódy. Pokud chcete identifikovat přihlašovací údaje v kódu Azure Batch nebo ve vašich konfiguracích, doporučujeme implementovat skener přihlašovacích údajů. Skener přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub můžete pomocí nativní funkce pro kontrolu tajných kódů identifikovat přihlašovací údaje nebo jiné formy tajných kódů v kódu.

• Nastavení skeneru přihlašovacích údajů

• Skenování tajných kódů GitHubu

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Integrace ověřování pro Azure Batch aplikace s Azure AD Vytvořte zásady a postupy, které používají vyhrazené role a oprávnění pro správu.

Uživatelský účet, který spouští úlohy, lze nastavit na úroveň, která označuje, jestli se úloha spouští se zvýšeným přístupem. Účet automatického uživatele i pojmenovaný uživatelský účet se můžou spouštět se zvýšeným přístupem. Dvě možnosti úrovně zvýšení oprávnění jsou:

• NonAdmin: Úloha běží jako standardní uživatel bez zvýšeného přístupu. Výchozí úroveň zvýšení oprávnění pro uživatelský účet Batch je vždy NonAdmin.

• Správa: Úloha běží jako uživatel se zvýšeným přístupem a funguje s úplnými oprávněními správce.

Odpovídajícím způsobem nastavte rozsah Azure Batch zvýšení oprávnění úkolů. Pokud je to možné, nepoužívejte trvalá oprávnění na úrovni Správa.

• Zvýšený přístup pro Službu Batch

• Ověřování aplikací Batch pomocí Azure AD

• Jak monitorovat identitu a přístup pomocí Microsoft Defenderu pro cloud

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Batch používá Azure AD k zajištění ověřování pro správu svých prostředků. Abyste měli jistotu, že jsou účty a jejich přístup platné, zkontrolujte uživatelské účty a pravidelně přistupujte k přiřazením. Ke kontrole můžete použít Azure AD a kontroly přístupu:

• Členství ve skupinách
• Přístup k podnikovým aplikacím
• Přiřazení rolí

Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Ke zlepšení procesu kontroly můžete také použít Azure AD Privileged Identity Management (PIM) k vytvoření pracovních postupů sestav kontroly přístupu.

Můžete nakonfigurovat Azure AD PIM tak, aby vás při vytváření nadměrného počtu účtů správce upozorňovala. Můžete ho také nakonfigurovat tak, aby identifikoval účty správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které se nespravují prostřednictvím Azure AD, například Azure Batch sdílených klíčů. Místo toho používejte Azure AD, kdykoli je to možné, protože při použití budete muset tyto klíče spravovat samostatně.

• Ověřování účtu Batch

• Vytvoření kontroly přístupu rolí prostředků Azure v Privileged Identity Management (PIM)

• Používání kontrol přístupu a identit Azure AD

• Azure AD s vlastními rolemi pro službu Batch

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Batch je integrovaná s Azure RBAC ke správě svých prostředků. Pomocí Azure RBAC můžete spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. K těmto rolím můžete přiřadit tyto role:

• Uživatelé
• Skupiny
• Instanční objekty
• Spravované identity

Pro určité prostředky jsou předdefinované předdefinované role. Tyto role je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako jsou:

• Azure CLI
• Azure PowerShell
• portál Azure

Oprávnění, která přiřadíte k prostředkům prostřednictvím Azure RBAC, by měla být vždy omezená na to, co role vyžadují. Tato oprávnění doplňují přístup jit (just-in-time) Azure AD Privileged Identity Management (PIM) a měly by se občas kontrolovat.

Pomocí předdefinovaných rolí udělte oprávnění Azure Batch prostředkům. S Azure Batch můžou uživatelé vytvářet vlastní role Azure RBAC založené na operacích batch tak, aby vyhovovaly vašim potřebám oprávnění. Místo vytváření vlastních rolí používejte předdefinované role, kdykoli je to možné.

• Azure Batch vlastní role

• Co je řízení přístupu na základě role v Azure (Azure RBAC)

• Konfigurace řízení přístupu na základě role Azure

• Používání kontrol přístupu a identit Azure AD

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Služba Batch nepodporuje customer lockbox. Pokud chcete získat přístup k zákaznickým datům přidruženým k prostředkům Azure Batch, může Microsoft spolupracovat se zákazníky ve scénářích podpory ke schválení prostřednictvím jiných metod.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Pokyny: Možná máte účty Azure Storage, které jsou přidružené k fondům Azure Batch. Pokud tyto účty obsahují výstup úlohy a úkolu s citlivými informacemi, označte je jako citlivé pomocí značek. Zabezpečte tyto účty pomocí osvědčených postupů Azure.

Následující funkce ještě nejsou k dispozici pro prostředky Azure Storage nebo výpočetní prostředky:

• Identifikace dat
• Classification
• Prevence ztráty

V případě potřeby implementujte řešení třetích stran pro tyto funkce.

Pokud Microsoft spravuje podkladovou platformu Azure Batch, považuje veškerý obsah zákazníků za citlivý. Microsoft se snaží chránit před ztrátou a expozicí zákaznických dat. Aby byla zákaznická data v Rámci Azure zabezpečená, microsoft udržuje sadu robustních ovládacích prvků a možností ochrany dat.

• Zachování Azure Batch úlohy a výstupu úkolu

• Principy ochrany zákaznických dat v Azure

• Zabezpečení účtů služby Azure Storage

Odpovědnost: Sdílené

DP-2: Ochrana citlivých dat

Pokyny: Azure Batch umožňuje zákazníkům spravovat obsah výstupu úlohy a úkolů. Ochrana citlivých dat omezením přístupu pomocí Azure RBAC Batch podporuje Azure RBAC pro správu přístupu k těmto typům prostředků:

• Účty
• Úlohy
• Úkoly
• Fondy

Pokud chcete zajistit konzistentnější řízení přístupu, zarovnejte všechny typy řízení přístupu se strategií segmentace podniku. Naplánujte strategii segmentace podniku pomocí umístění citlivých nebo důležitých obchodních dat a systémů. Implementace samostatných předplatných nebo skupin pro správu pro:

• Vývoj
• Test
• Výroba

Rozdělte fondy Azure Batch různými virtuálními sítěmi. Označte tyto virtuální sítě odpovídajícím způsobem a zabezpečte je pomocí skupiny zabezpečení sítě (NSG). Obsahují vaše Azure Batch data v rámci zabezpečeného účtu služby Azure Storage.

Pro podkladovou platformu (spravovanou Microsoftem) Microsoft považuje veškerý obsah zákazníků za citlivý. Chrání před ztrátou a expozicí zákaznických dat. Aby bylo zajištěno, že zákaznická data v Rámci Azure zůstanou zabezpečená, microsoft má některé výchozí ovládací prvky a možnosti ochrany dat.

• Vytvoření fondu Azure Batch ve virtuální síti

• Zabezpečení účtů Azure Storage

Odpovědnost: Zákazník

DP-3: Monitorování neoprávněného přenosu citlivých dat

Pokyny: Můžete mít účty Azure Storage, které jsou přidružené k vašim fondům Azure Batch. Pokud tyto účty obsahují citlivé informace, označte je jako citlivé pomocí značek. Zabezpečte tyto účty osvědčenými postupy Azure.

Následující funkce ještě nejsou k dispozici pro prostředky Azure Storage nebo výpočetní prostředky:

• Identifikace dat
• Classification
• Prevention (Prevence)

V případě potřeby implementujte řešení třetích stran pro účely dodržování předpisů.

Pokud Microsoft spravuje podkladovou platformu, považuje veškerý obsah zákazníků za citlivý. Microsoft se snaží chránit před ztrátou a expozicí zákaznických dat. Aby byla zákaznická data v Rámci Azure zabezpečená, microsoft udržuje sadu robustních ovládacích prvků a možností ochrany dat.

• Principy ochrany zákaznických dat v Azure

• Zabezpečení účtů Azure Storage

Odpovědnost: Sdílené

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Šifrování všech citlivých informací při přenosu Prostředky Microsoft Azure ve výchozím nastavení vyjednávají protokol TLS (Transport Layer Security) 1.2. Pokud se klienti připojují k vašim fondům Azure Batch nebo úložišti dat (účty Azure Storage), ujistěte se, že můžou vyjednat protokol TLS 1.2 nebo novější.

Ujistěte se také, že je potřeba https pro přístup k účtu úložiště obsahujícímu vaše Azure Batch data.

• Vysvětlení šifrování účtu služby Azure Storage při přenosu

Odpovědnost: Sdílené

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Aby služba Batch doplnila řízení přístupu, zašifruje neaktivní uložená data, která chrání před útoky mimo pásma (jako je přístup k podkladovému úložišti) pomocí šifrování. Tento postup pomáhá zajistit, aby útočníci nemohli data snadno číst ani upravovat.

Azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat. U vysoce citlivých dat můžete implementovat další šifrování neaktivních uložených dat na všech prostředcích Azure, kde jsou k dispozici. Azure ve výchozím nastavení spravuje vaše šifrovací klíče. Pro splnění zákonných požadavků poskytuje Azure také možnosti správy vlastních klíčů (klíčů spravovaných zákazníkem) pro určité služby Azure.

• Správa šifrovacích klíčů pro účty azure Storage

• Konfigurace šifrovacích klíčů spravovaných zákazníkem

• Jak vytvořit fond s povoleným šifrováním disků

Odpovědnost: Zákazník

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-2: Ujistěte se, že bezpečnostní tým má přístup k inventáři prostředků a metadatům.

Pokyny: Umožnit týmům zabezpečení přistupovat k průběžně aktualizovanému inventáři prostředků v Azure, jako je Batch. Týmy zabezpečení potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům. Tyto týmy také používají inventář jako vstup k průběžným vylepšením zabezpečení.

Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace. Přiřaďte skupině přístup pro čtení pro všechny prostředky služby Batch. Můžete zjednodušit přístup k jednomu přiřazení role vysoké úrovně v rámci vašeho předplatného. Pomocí značek Azure Batch prostředků přidáte další metadata potřebná v organizaci. Značky pomáhají logicky uspořádat prostředky Batch v rámci taxonomie. Na úrovni účtu Batch můžete přidat značky metadat pro důležitá metadata zabezpečení. Fondy nebo jiné dávkové prostředky ale tyto značky nedědí.

• Průvodce rozhodováním ohledně pojmenování a označování prostředků

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: U Azure Policy auditujte a omezte, které služby (například Azure Batch) můžou uživatelé ve vašem prostředí zřizovat. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí služby Azure Monitor můžete vytvořit pravidla pro aktivaci výstrah při zjištění neschváliné služby.

• Jak nakonfigurovat a spravovat Azure Policy

• Jak zakázat konkrétní typ prostředku pomocí Azure Policy

• Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu

Odpovědnost: Zákazník

AM-6: Použití jenom schválených aplikací ve výpočetních prostředcích

Pokyny: S Azure Batch můžou uživatelé instalovat software na své výpočetní uzly. Služba Batch v současné době nemůže omezit ani vytvořit seznam povolených softwaru, který lze spustit na svých uzlech. Software ve službě Batch můžete spravovat a instalovat prostřednictvím Azure Portal nebo rozhraní API služby Batch Management. Aby se zabránilo instalaci škodlivých nebo nebezpečných aplikací, musí zákazník definovat správný přístup prostřednictvím Azure RBAC, aby omezil, kdo může aktualizovat uzly Batch.

• Nahrávání a správa aplikací

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Předání všech protokolů diagnostiky a aktivit z Azure Batch do vašeho řešení SIEM K nastavení vlastních detekcí hrozeb můžete použít SIEM. Monitorujte různé typy prostředků Azure pro potenciální hrozby a anomálie. Získejte vysoce kvalitní upozornění, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžou být zdrojové z dat protokolu, agentů nebo jiných dat.

Microsoft Defender for Cloud neposkytuje posouzení ohrožení zabezpečení pro Azure Batch prostředky prostřednictvím programu Microsoft Defender. Poskytuje doporučení založená na zabezpečení pro službu Batch.

• Metriky, upozornění a protokoly služby Batch pro diagnostické vyhodnocení a monitorování

• Pokrytí funkcí Microsoft Defenderu pro cloud pro služby Azure PaaS

• Analýza kybernetických hrozeb pomocí Microsoft Sentinelu

• Konfigurace upozornění metrik Azure Batch

• Vytváření vlastních analytických pravidel pro detekci hrozeb

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST a DELETE) pro vaše Azure Batch prostředky. Protokoly neobsahují operace čtení (GET). Protokoly aktivit můžete použít k vyhledání chyby při řešení potíží. Nebo vám protokoly můžou pomoct sledovat, jak uživatel ve vaší organizaci upravil prostředek.

Povolte protokoly prostředků Azure pro Azure Batch pro následující typy protokolů: ServiceLog a AllMetrics. Pomocí těchto protokolů můžete vyšetřovat incidenty zabezpečení a provádět forenzní cvičení. Explicitně povolte tyto protokoly pro každý účet Batch, který chcete monitorovat. Nebo můžete použít Azure Policy k povolení protokolů prostředků a shromažďování dat protokolů ve velkém měřítku.

• Shromažďování protokolů platformy a metrik pomocí služby Azure Monitor

Pro monitorování na úrovni prostředků Azure Batch použijte rozhraní API Azure Batch k monitorování nebo dotazování stavu vašich prostředků, včetně následujících:

• Úlohy
• Úkoly
• Uzly
• Fondy

Další informace najdete v následujících článcích:

• Konfigurace monitorování a protokolování na úrovni účtu Azure Batch

• Principy monitorování na úrovni prostředků služby Batch

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativou zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Batch:

Název (Azure Portal)	Description	Efekty	Verze (GitHub)
Protokoly prostředků v účtech Batch by měly být povolené.	Audit povolení protokolů prostředků To vám umožní znovu vytvořit stopy aktivit, které se mají použít pro účely šetření; když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě	AuditIfNotExists, zakázáno	5.0.0

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Máte nějaké účty úložiště nebo pracovní prostory služby Log Analytics, které se používají k ukládání protokolů Azure Batch? Pak nastavte dobu uchovávání protokolů podle předpisů vaší organizace pro dodržování předpisů.

• Konfigurace doby uchovávání pracovního prostoru služby Log Analytics

• Ukládání protokolů prostředků v účtu služby Azure Storage

• Metriky, upozornění a protokoly služby Batch pro diagnostické vyhodnocení a monitorování

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Služba Batch nepodporuje konfiguraci vlastních zdrojů synchronizace času.

Služba Batch spoléhá na zdroje synchronizace času Microsoftu. Není vystavená zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Pokud chcete auditovat a vynucovat konfigurace vašich prostředků Batch, nakonfigurujte integrované Azure Policy pro Azure Batch pomocí programu Microsoft Defender for Cloud.

Pro všechny scénáře, ve kterých předdefinované definice zásad neexistují, můžete použít aliasy Azure Policy v oboru názvů Microsoft.Batch. Pomocí těchto aliasů můžete vytvářet vlastní zásady pro auditování. Nebo pomocí aliasů vynucujte konfiguraci účtů a fondů Azure Batch.

Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí. V jedné definici podrobného plánu můžete automatizovat:

• Šablony Azure Resources Manageru
• Ovládací prvky Azure RBAC
• Zásady

Další informace najdete v následujících článcích:

• Jak zobrazit dostupné aliasy Azure Policy

• Kurz: Vytváření a správa zásad pro vynucování dodržování předpisů

• Azure Blueprint

• Integrované zásady Azure

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pokud chcete vynutit zabezpečené nastavení pro prostředky Azure související s vaším účtem a fondy Batch, použijte Azure Policy předdefinované definice pro [Deny] a [DeployIfNotExists]. Mezi tyto prostředky patří:

• virtuální sítě,
• podsítě,
• Brány Azure Firewall
• Účty úložiště Azure

K vytváření vlastních zásad můžete také použít aliasy Azure Policy z následujících oborů názvů:

• Microsoft.Batch

• Microsoft.Storage

• Microsoft.Network

Další informace najdete v následujících článcích:

• Vytváření a správa zásad pro vynucování dodržování předpisů

• Integrované zásady Azure

Odpovědnost: Zákazník

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Zákazníci můžou pro Azure Batch používat vlastní image operačního systému. Služba Batch umožňuje uživatelům instalovat a načítat libovolný software na výpočetní uzly.

Při použití konfigurace virtuálního počítače pro Azure Batch používají fondy vlastní image, které jsou posílené podle potřeb vaší organizace. Pro správu životního cyklu fondy ukládají image do sdílené galerie imagí. Můžete nastavit zabezpečený proces sestavení imagí pomocí nástrojů Azure Automation, jako je Azure Image Builder.

• Vytvoření vlastního fondu imagí pomocí Shared Image Gallery

• Vlastní image pro fondy virtuálních počítačů

• Přehled nástroje Azure Image Builder

Odpovědnost: Zákazník

PV-4: Udržování zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Zákazníci můžou používat vlastní image operačního systému pro Službu Batch. Azure Batch umožňuje uživatelům instalovat a načítat libovolný software na výpočetní uzly.

Vytvořte zásadu, která vyžaduje, aby fondy Azure Batch používaly jenom schválené zabezpečené image. Tato akce udržuje bezpečně nakonfigurované výpočetní prostředky na Azure Batch. Pokud chcete vyhledat neschválené nebo chybně nakonfigurované Azure Batch prostředky, můžete také použít rozhraní Příkazového řádku Azure nebo Rozhraní příkazového řádku Azure u opakovaného Azure Automation runbooku.

• příkazy rozhraní příkazového řádku Azure Batch – az batch pool list

• příkazy rozhraní příkazového řádku Azure Batch – az batch application

• Vlastní image pro fondy virtuálních počítačů

• Správa plánů v Azure Automation

Odpovědnost: Zákazník

PV-5: Bezpečné ukládání vlastních operačních systémů a imagí kontejnerů

Pokyny: Pokud používáte vlastní image pro fondy Azure Batch, pomocí Azure RBAC se ujistěte, že k imagím mají přístup jenom autorizovaní uživatelé. Ukládání imagí kontejnerů v Azure Container Registry Pomocí Azure RBAC se ujistěte, že k nim mají přístup jenom autorizovaní uživatelé.

• Principy Azure RBAC

• Principy Azure RBAC pro Container Registry

• přehled Shared Image Gallery

Odpovědnost: Zákazník

PV-6: Proveďte posouzení ohrožení zabezpečení softwaru

Pokyny: Pro uzly fondu Azure Batch zodpovídáte za správu všech používaných řešení pro správu ohrožení zabezpečení. Azure Batch neposkytuje možnosti pro nativní posouzení ohrožení zabezpečení.

Máte předplatné pro platformu Rapid7, Qualys nebo jinou platformu pro správu ohrožení zabezpečení? Agenty posouzení ohrožení zabezpečení můžete nainstalovat ručně na uzly fondu služby Batch. Pak spravujte uzly prostřednictvím příslušného portálu.

• Nasazení vlastní licence (BYOL) pomocí PowerShellu a rozhraní REST API

Odpovědnost: Zákazník

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Zvýrazněte použití společného programu pro vyhodnocování rizik (například common vulnerability Scoring System) nebo výchozí hodnocení rizik, která poskytuje váš nástroj pro kontrolu třetích stran. Pak přizpůsobte prostředí pomocí kontextu pro rozhodování o tom, které aplikace:

• Prezentující vysoké bezpečnostní riziko
• Vyžadovat vysokou dobu provozu

Azure Batch v současné době nemá nativní kontrolu ohrožení zabezpečení, která má zákazníka. Pro základní platformu hostovanou službou Batch microsoft zajistí nápravu ohrožení zabezpečení. Pro software, který běží nad službou Batch, můžete použít rozhraní Azure API nebo Azure CLI na opakující se runbook Azure Automation. Tato akce kontroluje a aktualizuje veškerý potenciálně ohrožený software, který běží na vašich Azure Batch uzlech.

• příkazy rozhraní příkazového řádku Azure Batch – az batch pool list

• příkazy rozhraní příkazového řádku Azure Batch – az batch application

• Nahrávání a správa aplikací

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Azure Batch uzly můžou spouštět libovolný spustitelný soubor nebo skript podporovaný prostředím operačního systému uzlu. V případě operačních systémů Windows použijte Windows Defender na jednotlivých uzlech fondu Azure Batch. Pro Linux poskytněte vlastní antimalwarové řešení.

• Uzly a fondy v Azure Batch

• Microsoft Antimalware pro azure Cloud Services a Virtual Machines

Odpovědnost: Sdílené

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Nezapomeňte rychle a konzistentně aktualizovat antimalwarové podpisy. Pokud chcete zajistit, aby se všechny koncové body aktualizovaly nejnovějšími podpisy, postupujte podle doporučení v programu Microsoft Defender for Cloud Compute & Apps. Azure Batch uzly mohou spouštět libovolný spustitelný soubor nebo skript, který podporuje prostředí operačního systému uzlu. V případě operačních systémů Windows použijte Windows Defender na jednotlivých uzlech fondu Azure Batch a zapněte automatické aktualizace. Microsoft Antimalware automaticky nainstaluje nejnovější podpisy a aktualizace modulu. Pro Linux použijte antimalwarové řešení třetích stran.

• Uzly a fondy v Azure Batch

• Nasazení Microsoft Antimalware pro azure Cloud Services a Virtual Machines

• Posouzení ochrany koncových bodů a doporučení v Microsoft Defenderu pro cloud

Odpovědnost: Zákazník

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Při použití účtu služby Azure Storage pro úložiště dat fondu Azure Batch zvolte příslušnou možnost redundance:

• Místně redundantní úložiště (LRS)
• Zónově redundantní úložiště (ZRS)
• Geograficky redundantní úložiště (GRS)
• Geograficky redundantní úložiště s přístupem pro čtení (RA-GRS)

Pravidelně zálohujte účet úložiště ve službě Azure Backup Vault.

• Zálohování všech objektů blob Azure v účtu úložiště pomocí Azure PowerShell

• Konfigurace redundance úložiště pro účty azure Storage

Odpovědnost: Zákazník

BR-2: Šifrování zálohovaných dat

Pokyny: Pokud pro úložiště dat fondu Azure Batch používáte účet Azure Storage, účet se automaticky zašifruje pomocí klíčů spravovaných Microsoftem. Pokud organizace potřebuje pro šifrování Azure Batch úložiště používat vlastní klíče spravované zákazníkem, Azure tyto klíče ukládá do azure Key Vault.

• Zálohování klíčů trezoru klíčů v Azure

• Přehled funkcí zabezpečení v Azure Backup

• Šifrování zálohovaných dat s využitím klíčů spravovaných zákazníkem

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Pokud spravujete vlastní klíče pro účty Azure Storage (nebo jakýkoli jiný prostředek, který souvisí s vaší implementací Azure Batch), pravidelně otestujte obnovení zálohovaných klíčů.

• Zálohování klíčů trezoru klíčů v Azure

• Obnovení klíčů Key Vault v Azure

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Pokud se azure Key Vault používá k uchovávání klíčů souvisejících s účty úložiště fondu Azure Batch fondu, povolte Soft-Delete v Azure Key Vault chránit klíče před náhodným nebo škodlivým odstraněním.

• Jak povolit obnovitelné odstranění a ochranu před vymazáním v Key Vaultu

Odpovědnost: Zákazník

Další kroky

• Další informace najdete v článku Přehled Azure Security Benchmark v2.
• Další informace o základních úrovních zabezpečení Azure