Standardní hodnoty zabezpečení Azure pro Azure Resource Manager

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Microsoft Azure Resource Manager. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Resource Manager.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky se nevztahují na azure Resource Manager a ty, pro které se globální pokyny doporučují doslovně, byly vyloučeny. Pokud chcete zjistit, jak azure Resource Manager zcela mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Resource Manager.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Azure Resource Manager je služba pro nasazení a správu. Nepodporuje nasazení přímo do virtuální sítě. Azure Resource Manager nemůže používat síťové funkce, jako jsou skupiny zabezpečení sítě, směrovací tabulky nebo síťová zařízení, jako je Azure Firewall.

Při připojování k Azure Resource Manager doporučujeme používat protokol TLS verze 1.2 nebo novější.

Poznámka: Služba podporuje protokol TLS verze 1.1 pro zpětnou kompatibilitu.

Musíte komunikovat s Azure Resource Manager přes port 443.

Odpovědnost: Zákazník

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Použití Azure Private Link k povolení privátního přístupu k Azure Resource Manager z vašich virtuálních sítí bez přechodu na internet. Privátní přístup přidává do ověřování a zabezpečení provozu Azure podrobnou míru ochrany.

Privátní propojení pro Azure Resource Manager je ve verzi Private Preview.

Azure Resource Manager neposkytuje možnost konfigurovat koncové body služby Virtual Network.

Odpovědnost: Zákazník

NS-4: Ochrana aplikací a služeb před útoky na externí síť

Pokyny: Azure Resource Manager je služba pro nasazení a správu a Microsoft zpracovává zabezpečení koncových bodů před útoky na externí síť. Azure Resource Manager nepodporuje nasazení přímo do virtuální sítě. Resource Manager nemůže používat tradiční síťové funkce, aby se zabránilo útokům DDoS (Denial of Service) s nativními síťovými funkcemi Azure, jako je DDoS Protection Standard.

Azure Resource Manager není určený ke spouštění webových aplikací. Navíc nevyžaduje, abyste nakonfigurovali žádná další nastavení ani nasadíte další síťové služby, abyste je chránili před útoky na externí síť, které cílí na webové aplikace.

Odpovědnost: Microsoft

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti pro prostředky Azure Resource Manager ve skupinách zabezpečení sítě nebo Azure Firewall Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadejte název značky služby v příslušném zdrojovém nebo cílovém poli pravidla pro povolení nebo zamítnutí provozu. Microsoft spravuje předpony adres, které značka služby zahrnuje, a automaticky aktualizuje značku služby při změně adres.

Značku služby AzureResourceManager můžete použít ke konfiguraci pravidel sítě ve skupinách zabezpečení sítě nebo bránách Azure Firewall.

Odpovědnost: Sdílené

NS-7: Secure Domain Name Service (DNS)

Pokyny: Azure Resource Manager nezpřístupňuje základní konfigurace DNS. Tato nastavení spravuje Microsoft.

Odpovědnost: Microsoft

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-7: Eliminace nezamýšleného prozrazení přihlašovacích údajů

Pokyny: Azure Resource Manager umožňuje zákazníkům nasadit prostředky pomocí šablon infrastruktury jako kódu (IaC), které mohou potenciálně obsahovat tajné kódy. Doporučujeme implementovat skener přihlašovacích údajů pro vaše úložiště hostující šablony ARM. Pomůže vám to identifikovat a zabránit přihlašovacím údajům v kódu. Skener přihlašovacích údajů také doporučí přesun zjištěných přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Pro GitHub můžete pomocí nativní funkce kontroly tajných kódů identifikovat přihlašovací údaje nebo jiné tajné kódy v kódu.

Odpovědnost: Sdílené

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Azure Resource Manager používá účty Azure AD ke správě prostředků a kontrole uživatelských účtů. Azure AD pravidelně přistupuje k přiřazením, aby se zajistilo, že účty a jejich přístup jsou platné. Pomocí Azure AD kontroly přístupu můžete zkontrolovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Pomocí Azure AD Privileged Identity Management vytvořte pracovní postup sestavy kontroly přístupu, abyste usnadnili proces kontroly.

Azure Resource Manager podporuje následující integrované role Azure RBAC:

  • Přispěvatel – Uděluje úplný přístup ke správě všech prostředků, ale neumožňuje přiřazovat role v Azure RBAC, spravovat přiřazení v Azure Blueprints nebo sdílet galerie imagí.

  • Vlastník – Uděluje úplný přístup ke správě všech prostředků, včetně možnosti přiřazovat role v Azure RBAC.

  • Čtenář – Zobrazení všech prostředků, ale neumožňuje provádět žádné změny

  • Správce uživatelských přístupů – Umožňuje spravovat přístup uživatelů k prostředkům Azure.

Kromě toho můžete nakonfigurovat azure Privileged Identity Management také tak, aby upozorňovala, když se vytvoří nadměrný počet účtů správce, a identifikovat účty správce, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které nejsou spravovány prostřednictvím Azure AD. Spravujte tyto uživatele samostatně.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Resources:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Zastaralé účty by se měly odebrat z předplatného. Zastaralé účty by se měly odebrat z vašich předplatných. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 3.0.0
Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, které se zablokovaly při přihlašování. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními vlastníka by se měly odebrat z vašeho předplatného. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat. Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 3.0.0
Externí účty s oprávněními k zápisu by se měly odebrat z vašeho předplatného. Externí účty s oprávněními k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, Zakázáno 3.0.0

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou velmi důležité pro zabezpečení citlivých rolí, jako je správce, vývojář a kritický operátor služby. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Azure AD, Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender (ATP) nebo Microsoft Intune. Zabezpečené pracovní stanice můžete centrálně spravovat, abyste vynutili zabezpečenou konfiguraci, která zahrnuje silné ověřování, standardní hodnoty softwaru a hardwaru a omezený logický a síťový přístup.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Azure Resource Manager je integrovaný s Azure RBAC pro správu svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám instančních objektů a spravovaným identitám. Pro určité prostředky jsou předdefinované předdefinované role: Můžete inventarizaci rolí dotazovat prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. Tento přístup doplňuje přístup JIT Azure AD PIM a měl by se pravidelně kontrolovat.

Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte jenom vlastní role.

  • Přispěvatel – Uděluje úplný přístup ke správě všech prostředků, ale neumožňuje přiřazovat role v Azure RBAC, spravovat přiřazení v Azure Blueprints nebo sdílet galerie imagí.

  • Vlastník – Uděluje úplný přístup ke správě všech prostředků, včetně možnosti přiřazovat role v Azure RBAC.

  • Čtenář – Zobrazení všech prostředků, ale neumožňuje provádět žádné změny

  • Správce uživatelských přístupů – Umožňuje spravovat přístup uživatelů k prostředkům Azure.

Další informace naleznete v tématu:

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Authorization:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Auditování využití vlastních pravidel RBAC Auditujte předdefinované role, jako je Vlastník, Přispívatel, Čtenář, místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.0

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Azure Resource Manager nepodporuje customer lockbox. Pokud chcete získat přístup k zákaznickým datům přidruženým k prostředkům Azure Resource Manager, může Microsoft spolupracovat se zákazníky ve scénářích podpory ke schválení prostřednictvím jiných metod.

Odpovědnost: Zákazník

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmy zabezpečení mají přístup k nepřetržitě aktualizovanému inventáři prostředků v Azure, jako je Azure Resource Manager. Týmy zabezpečení často potřebují tento inventář k vyhodnocení potenciální expozice jejich organizace vznikajícím rizikům a jako vstup do průběžných vylepšení zabezpečení. Vytvořte skupinu Azure AD, která bude obsahovat autorizovaný bezpečnostní tým vaší organizace a přiřadí přístup ke čtení všem prostředkům azure Resource Manager. Proces můžete zjednodušit s jedním přiřazením role vysoké úrovně ve vašem předplatném.

Pomocí značek u prostředků Azure, skupin prostředků a předplatných je logicky uspořádejte do taxonomie. Každá značka se skládá z dvojice názvů a hodnot. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-1: Povolení detekce hrozeb pro prostředky Azure

Pokyny: Přeposílejte všechny protokoly Azure Resource Manager do systému SIEM. Pomocí siEM můžete nastavit vlastní detekce hrozeb.

Nezapomeňte monitorovat různé typy prostředků Azure pro potenciální hrozby a anomálie. Zaměřte se na získávání vysoce kvalitních upozornění, abyste snížili falešně pozitivní výsledky pro analytiky, aby je mohli řadit. Výstrahy můžete zdrojovat z dat protokolu, agentů nebo jiných dat.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Resources:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
Měl by být povolený Program Microsoft Defender pro App Service Microsoft Defender for App Service využívá škálu cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Program Microsoft Defender pro Azure SQL Databázové servery. Microsoft Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Měla by být povolená služba Microsoft Defender pro registry kontejnerů. Microsoft Defender pro registry kontejnerů poskytuje kontrolu ohrožení zabezpečení všech obrázků načítaných během posledních 30 dnů, nasdílených do registru nebo importovaných a zveřejňuje podrobné zjištění na obrázek. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Program Microsoft Defender pro DNS. Microsoft Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z prostředků Azure. Microsoft Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS. Přečtěte si další informace o možnostech Programu Microsoft Defender pro DNS na adrese https://aka.ms/defender-for-dns . Povolení tohoto plánu v programu Microsoft Defender má za následek poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0-preview
Měl by být povolený Program Microsoft Defender pro Key Vault Microsoft Defender for Key Vault poskytuje další vrstvu ochrany a bezpečnostních funkcí tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Microsoft Defender pro Kubernetes. Microsoft Defender for Kubernetes poskytuje ochranu před hrozbami v reálném čase pro kontejnerizovaná prostředí a generuje výstrahy pro podezřelé aktivity. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Program Microsoft Defender pro Resource Manager. Microsoft Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Microsoft Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech programu Microsoft Defender pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolení tohoto plánu v programu Microsoft Defender má za následek poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro servery. Microsoft Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a výstrahy týkající se podezřelých aktivit. AuditIfNotExists, Zakázáno 1.0.3
Microsoft Defender pro sql servery na počítačích by měl být povolený. Microsoft Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Měl by být povolený Microsoft Defender for Storage. Microsoft Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure AD poskytuje následující protokoly uživatelů. Protokoly můžete zobrazit v sestavách Azure AD. Můžete integrovat se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikované případy použití monitorování a analýz.

  • Přihlášení – Poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.

  • Protokoly auditu – Poskytuje sledovatelnost prostřednictvím protokolů pro všechny změny provedené různými funkcemi Azure AD. Protokoly auditu zahrnují změny provedené u libovolného prostředku v rámci Azure AD. Mezi změny patří přidávání nebo odebírání uživatelů, aplikací, skupin, rolí a zásad.

  • Rizikové přihlášení – indikátor pokusů o přihlášení od někoho, kdo nemusí být oprávněným vlastníkem uživatelského účtu.

  • Uživatelé označení příznakem rizika – indikátor uživatelského účtu, který mohl být ohrožen.

Microsoft Defender for Cloud může také aktivovat upozornění na podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření nebo o zastaralé účty.

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.Resources:

Název
(Azure Portal)
Description Efekty Verze
(GitHub)
Měl by být povolený Program Microsoft Defender pro App Service Microsoft Defender for App Service využívá škálu cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Program Microsoft Defender pro Azure SQL Databázové servery. Microsoft Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, Zakázáno 1.0.2
Měla by být povolená služba Microsoft Defender pro registry kontejnerů. Microsoft Defender pro registry kontejnerů poskytuje kontrolu ohrožení zabezpečení všech obrázků načítaných během posledních 30 dnů, nasdílených do registru nebo importovaných a zveřejňuje podrobné zjištění na obrázek. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Program Microsoft Defender pro DNS. Microsoft Defender for DNS poskytuje další vrstvu ochrany cloudových prostředků nepřetržitým monitorováním všech dotazů DNS z prostředků Azure. Microsoft Defender vás upozorní na podezřelou aktivitu ve vrstvě DNS. Přečtěte si další informace o možnostech Programu Microsoft Defender pro DNS na adrese https://aka.ms/defender-for-dns . Povolení tohoto plánu v programu Microsoft Defender má za následek poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0-preview
Měl by být povolený Program Microsoft Defender pro Key Vault Microsoft Defender for Key Vault poskytuje další vrstvu ochrany a bezpečnostních funkcí tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Microsoft Defender pro Kubernetes. Microsoft Defender for Kubernetes poskytuje ochranu před hrozbami v reálném čase pro kontejnerizovaná prostředí a generuje výstrahy pro podezřelé aktivity. AuditIfNotExists, Zakázáno 1.0.3
Měl by být povolený Program Microsoft Defender pro Resource Manager. Microsoft Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Microsoft Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech programu Microsoft Defender pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolení tohoto plánu v programu Microsoft Defender má za následek poplatky. Přečtěte si informace o cenových podrobnostech v jednotlivých oblastech na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Zakázáno 1.0.0
Měl by být povolený Program Microsoft Defender pro servery. Microsoft Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by měl být povolený Microsoft Defender pro SQL servery. Microsoft Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Měla by být povolená služba Microsoft Defender for Storage. Microsoft Defender for Storage poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro vaše prostředky Azure Resource Manager kromě operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Azure Resource Manager aktuálně nevytáčí protokoly prostředků Azure.

Odpovědnost: Sdílené

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů aktivit Azure Resource Manager mají nastavené období uchovávání protokolů podle předpisů vaší organizace.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Azure Resource Manager nepodporuje konfiguraci vlastních zdrojů synchronizace času.

Služba Azure Resource Manager spoléhá na zdroje synchronizace času Microsoftu a není pro zákazníky vystavená ke konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí. Jedna definice podrobného plánu může zahrnovat šablony Azure Resources Manageru, role Azure RBAC a přiřazení Azure Policy.

Pomocí aliasů Azure Policy můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace prostředků Azure. Můžete také použít předdefinované definice Azure Policy.

Azure Resource Manager má možnost exportovat šablonu ve formátu JSON (JavaScript Object Notation), která by se měla zkontrolovat, aby konfigurace splňovaly požadavky na zabezpečení pro vaši organizaci.

Doporučení z Microsoft Defenderu pro cloud můžete použít také jako standardní hodnoty zabezpečené konfigurace pro vaše prostředky Azure.

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pomocí Microsoft Defenderu pro cloud můžete monitorovat standardní hodnoty konfigurace a vynucovat použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečené konfigurace napříč výpočetními prostředky Azure, včetně virtuálních počítačů, kontejnerů a dalších.

Kromě toho jako správce možná budete muset uzamknout předplatné, skupinu prostředků nebo prostředek, aby ostatní uživatelé ve vaší organizaci omylem odstranili nebo upravili důležité prostředky. Zámek můžete nastavit na úroveň CanNotDelete nebo ReadOnly.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Microsoft provádí správu ohrožení zabezpečení v podkladových systémech, které podporují Azure Resource Manager.

Odpovědnost: Microsoft

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Microsoft provádí zjištěnou správu v podkladových systémech, které podporují Azure Resource Manager.

Odpovědnost: Microsoft

PV-8: Provádění pravidelné simulace útoku

Pokyny: Proveďte testování průniku nebo červené týmové aktivity na vašich prostředcích Azure podle potřeby a zajistěte nápravu všech kritických zjištění zabezpečení.

Postupujte podle pravidel zapojení Microsoft Cloud Penetrační testování, abyste zajistili, že testy průniku nesplňují zásady Microsoftu. Použijte strategii a provádění Red Teaming od Microsoftu. Proveďte testování průniku živého webu s využitím cloudové infrastruktury, služeb a aplikací spravovaných Microsoftem.

Odpovědnost: Sdílené

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Pokyny: Export šablony Azure Resource Manager nejde použít k zachycení dat v REST. Pro konfigurace prostředků doporučujeme vytvořit infrastrukturu ze zdrojových šablon a v případě potřeby znovu nasadit z tohoto zdroje pravdy. Export šablony může pomoct tento proces spustit, ale není dostatečně robustní pro zotavení po havárii.

Odpovědnost: Zákazník

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Ujistěte se, že máte možnost pravidelně provádět nasazování šablon Azure Resource Manager do izolovaného předplatného v případě potřeby prostřednictvím rozhraní API, rozhraní příkazového řádku nebo Azure Portal.

Odpovědnost: Zákazník

Další kroky