Biztonsági javaslatok
Ez a cikk felsorolja az összes biztonsági javaslatot, amely a Felhőhöz készült Microsoft Defender jelenhet meg. A környezetben megjelenő javaslatok a védeni kívánt erőforrásokon és a testre szabott konfiguráción alapulnak.
Javaslatok Felhőhöz készült Defender a Microsoft felhőbiztonsági teljesítménymutatóján alapulnak. A Microsoft felhőbiztonsági referenciamutatója a Microsoft által készített ajánlott biztonsági és megfelelőségi irányelvek halmaza. Ez a széles körben elismert referenciamutató a Center for Internet Security (CIS) és a National Institute of Standards and Technology (NIST) vezérlőire épül, a felhőközpontú biztonságra összpontosítva.
A javaslatokra válaszul végrehajtható műveletekről a Felhőhöz készült Defender vonatkozó javaslatok szervizelése című témakörben olvashat.
A biztonsági pontszám a végrehajtott biztonsági javaslatok számán alapul. Annak eldöntéséhez, hogy melyik javaslatokat kell először megoldani, tekintse meg az egyes javaslatok súlyosságát és a biztonságos pontszámra gyakorolt lehetséges hatását.
Tipp.
Ha egy javaslat leírása szerint nincs kapcsolódó szabályzat, akkor általában az az oka, hogy a javaslat egy másik javaslattól és szabályzatától függ.
Az ajánlott végpontvédelmi állapothibákat például a végpontvédelmi megoldás telepítésének ellenőrzésére szolgáló javaslat alapján kell elhárítani (végpontvédelmi megoldást kell telepíteni). Az alapul szolgáló javaslat rendelkezik szabályzattal. A szabályzatok csak az alapszintű ajánlásra való korlátozása leegyszerűsíti a szabályzatkezelést.
AppServices-javaslatok
Az API-alkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie
Leírás: A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. (Kapcsolódó szabályzat: Az API-alkalmazás csak HTTPS-en keresztül érhető el).
Súlyosság: Közepes
A CORS nem engedélyezheti minden erőforrás számára az API Apps elérését
Leírás: A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az API-alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az API-alkalmazás használatát. (Kapcsolódó szabályzat: A CORS nem engedélyezheti minden erőforrás számára az API-alkalmazás elérését).
Súlyosság: Alacsony
A CORS nem engedélyezheti minden erőforrás számára a függvényalkalmazások elérését
Leírás: A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. (Kapcsolódó szabályzat: A CORS nem engedélyezheti minden erőforrás számára a függvényalkalmazások elérését).
Súlyosság: Alacsony
A CORS nem engedélyezheti minden erőforrás számára a webalkalmazások elérését
Leírás: A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára a webalkalmazás elérését. Csak a szükséges tartományok használhatják a webalkalmazást. (Kapcsolódó szabályzat: A CORS nem engedélyezheti minden erőforrás számára a webalkalmazások elérését).
Súlyosság: Alacsony
Engedélyezni kell a diagnosztikai naplókat az App Service-ben
Leírás: Diagnosztikai naplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy a hálózat biztonsága sérül (nincs kapcsolódó szabályzat).
Súlyosság: Közepes
Győződjön meg arról, hogy az API-alkalmazás ügyféltanúsítványokkal rendelkezik, a bejövő ügyféltanúsítványok be vannak kapcsolva
Leírás: Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. (Kapcsolódó szabályzat: Győződjön meg arról, hogy az API-alkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke be van kapcsolva.
Súlyosság: Közepes
FTPS-t kell használni az API-alkalmazásokban
Leírás: Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében (kapcsolódó szabályzat: Az API-alkalmazásban csak FTPS szükséges).
Súlyosság: Magas
FTPS-t kell használni a függvényalkalmazásokban
Leírás: Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében (kapcsolódó szabályzat: Az FTPS-nek csak a függvényalkalmazásban kell lennie).
Súlyosság: Magas
FTPS-t kell használni a webalkalmazásokban
Leírás: Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében (kapcsolódó szabályzat: Az FTPS-t kötelező megadni a webalkalmazásban).
Súlyosság: Magas
A függvényalkalmazás csak HTTPS-en keresztül érhető el
Leírás: A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. (Kapcsolódó szabályzat: A függvényalkalmazás csak HTTPS-en keresztül érhető el.
Súlyosság: Közepes
A függvényalkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat)
Leírás: Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. (Kapcsolódó szabályzat: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" lehetőséget.
Súlyosság: Közepes
A Java-t frissíteni kell az API-alkalmazások legújabb verziójára
Leírás: A Java-hoz rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. Az API-alkalmazások legújabb Python-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha az API-alkalmazás részeként használják).
Súlyosság: Közepes
A felügyelt identitást api-alkalmazásokban kell használni
Leírás: A fokozott hitelesítési biztonság érdekében használjon felügyelt identitást. Az Azure-ban a felügyelt identitások nem igénylik, hogy a fejlesztőknek hitelesítő adatokat kell kezelniük az Azure AD-ben található Azure-erőforrás identitásának biztosításával és az Azure Active Directory-jogkivonatok (Azure AD) beszerzéséhez való használatával. (Kapcsolódó szabályzat: Felügyelt identitást kell használni az API-alkalmazásban).
Súlyosság: Közepes
A felügyelt identitást a függvényalkalmazásokban kell használni
Leírás: A fokozott hitelesítési biztonság érdekében használjon felügyelt identitást. Az Azure-ban a felügyelt identitások nem igénylik, hogy a fejlesztőknek hitelesítő adatokat kell kezelniük az Azure AD-ben található Azure-erőforrás identitásának biztosításával és az Azure Active Directory-jogkivonatok (Azure AD) beszerzéséhez való használatával. (Kapcsolódó szabályzat: A felügyelt identitást a függvényalkalmazásban kell használni.
Súlyosság: Közepes
A felügyelt identitást webalkalmazásokban kell használni
Leírás: A fokozott hitelesítési biztonság érdekében használjon felügyelt identitást. Az Azure-ban a felügyelt identitások nem igénylik, hogy a fejlesztőknek hitelesítő adatokat kell kezelniük az Azure AD-ben található Azure-erőforrás identitásának biztosításával és az Azure Active Directory-jogkivonatok (Azure AD) beszerzéséhez való használatával. (Kapcsolódó szabályzat: A felügyelt identitást a webalkalmazásban kell használni.
Súlyosság: Közepes
Engedélyezni kell a Microsoft Defender for App Service-t
Leírás: A Microsoft Defender for App Service a felhő skáláját és az Azure felhőszolgáltatóként való láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. Az App Service-hez készült Microsoft Defender felderítheti az alkalmazásai elleni támadásokat, és azonosíthatja a felmerülő támadásokat.
Fontos: A javaslat szervizelése díjjal jár az App Service-csomagok védelméért. Ha nem rendelkezik App Service-csomagtal ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen App Service-csomagot hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a webalkalmazások és API-k védelméről. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defender for App Service-t).
Súlyosság: Magas
A PHP-t frissíteni kell az API-alkalmazások legújabb verziójára
Leírás: Rendszeres időközönként újabb verziók jelennek meg a PHP-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. Az API-alkalmazások legújabb PHP-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "PHP-verzió" a legújabb, ha az API-alkalmazás részeként használják).
Súlyosság: Közepes
A Pythont frissíteni kell az API-alkalmazások legújabb verziójára
Leírás: A Python-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az API-alkalmazások legújabb Python-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Python-verzió" a legújabb, ha az API-alkalmazás részeként használják).
Súlyosság: Közepes
Az API-alkalmazás esetében ki kell kapcsolni a távoli hibakeresést
Leírás: A távoli hibakereséshez meg kell nyitni a bejövő portokat egy API-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. (Kapcsolódó szabályzat: Az API Apps esetében ki kell kapcsolni a távoli hibakeresést).
Súlyosság: Alacsony
A függvényalkalmazás esetében ki kell kapcsolni a távoli hibakeresést
Leírás: A távoli hibakereséshez meg kell nyitni a bejövő portokat egy Azure-függvényalkalmazásban. A távoli hibakeresést ki kell kapcsolni. (Kapcsolódó szabályzat: A függvényalkalmazások esetében ki kell kapcsolni a távoli hibakeresést.
Súlyosság: Alacsony
Webalkalmazások esetén ki kell kapcsolni a távoli hibakeresést
Leírás: A távoli hibakereséshez meg kell nyitni a bejövő portokat egy webalkalmazáson. A távoli hibakeresés jelenleg engedélyezve van. Ha már nem kell távoli hibakeresést használnia, ki kell kapcsolnia. (Kapcsolódó szabályzat: A távoli hibakeresést ki kell kapcsolni a webalkalmazások esetében).
Súlyosság: Alacsony
A TLS-t frissíteni kell az API-alkalmazások legújabb verziójára
Leírás: Frissítsen a legújabb TLS-verzióra. (Kapcsolódó szabályzat: Az API-alkalmazásban a legújabb TLS-verziót kell használni.
Súlyosság: Magas
A TLS-t frissíteni kell a függvényalkalmazások legújabb verziójára
Leírás: Frissítsen a legújabb TLS-verzióra. (Kapcsolódó szabályzat: A legújabb TLS-verziót kell használni a függvényalkalmazásban).
Súlyosság: Magas
A TLS-t frissíteni kell a webalkalmazások legújabb verziójára
Leírás: Frissítsen a legújabb TLS-verzióra. (Kapcsolódó szabályzat: A legújabb TLS-verziót kell használni a webalkalmazásban).
Súlyosság: Magas
A webalkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie
Leírás: A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. (Kapcsolódó szabályzat: A webalkalmazás csak HTTPS-en keresztül érhető el).
Súlyosság: Közepes
A webalkalmazásoknak SSL-tanúsítványt kell kérnie az összes bejövő kéréshez
Leírás: Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a WEB app "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be" értékre van állítva.
Súlyosság: Közepes
Számítási javaslatok
A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken
Leírás: Engedélyezze az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, ha más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében Felhőhöz készült Defender gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. (Kapcsolódó szabályzat: A gépeken engedélyezni kell a biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket.
Súlyosság: Magas
Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait
Leírás: Figyelheti a Felhőhöz készült Defender adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. Felhőhöz készült Defender gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. (Kapcsolódó szabályzat: Az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait frissíteni kell.
Súlyosság: Magas
A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek
Leírás: Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ a részletes lépésekről : SSH-kulcsok létrehozása és kezelése Linux rendszerű virtuális gépek azure-beli hitelesítéséhez. (Kapcsolódó szabályzat: Naplózhatja azokat a Linux-gépeket, amelyek nem használnak SSH-kulcsot hitelesítéshez).
Súlyosság: Közepes
Az Automation-fiók változóit titkosítani kell
Leírás: Fontos engedélyezni az Automation-fiók változóeszközeinek titkosítását bizalmas adatok tárolásakor. (Kapcsolódó szabályzat: Az Automation-fiók változóit titkosítani kell).
Súlyosság: Magas
Az Azure Backupot engedélyezni kell virtuális gépeken
Leírás: Az Azure-beli virtuális gépek adatainak védelme az Azure Backup használatával. Az Azure Backup egy azure-natív, költséghatékony adatvédelmi megoldás. Georedundáns helyreállítási tárolókban tárolt helyreállítási pontokat hoz létre. Helyreállítási pontról történő visszaállításkor visszaállíthatja a teljes virtuális gépet, vagy csak bizonyos fájlokat. (Kapcsolódó szabályzat: Az Azure Backupot engedélyezni kell a virtuális gépeken).
Súlyosság: Alacsony
A tároló gazdagépeket biztonságosan kell konfigurálni
Leírás: A biztonsági konfiguráció biztonsági réseinek elhárítása a Dockerrel telepített gépeken a támadások elleni védelem érdekében. (Kapcsolódó szabályzat: A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell.
Súlyosság: Magas
Engedélyezni kell a diagnosztikai naplókat az Azure Stream Analyticsben
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat az Azure Stream Analyticsben).
Súlyosság: Alacsony
Engedélyezni kell a Batch-fiókok diagnosztikai naplóit
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a Batch-fiókok diagnosztikai naplóit.
Súlyosság: Alacsony
Engedélyezni kell a diagnosztikai naplókat az Event Hubsban
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat az Event Hubsban.
Súlyosság: Alacsony
A Logic Apps diagnosztikai naplóit engedélyezni kell
Leírás: Ha meg szeretné győződni arról, hogy biztonsági incidens vagy a hálózat sérülése esetén újra létrehozhat tevékenységnaplókat vizsgálati célokra, engedélyezze a naplózást. Ha a diagnosztikai naplókat nem a Log Analytics-munkaterületre, az Azure Storage-fiókba vagy az Azure Event Hubsba küldi, győződjön meg arról, hogy a diagnosztikai beállításokat úgy konfigurálta, hogy platformmetrikákat és platformnaplókat küldjön a megfelelő célhelyekre. További információ a diagnosztikai beállítások létrehozásáról, amellyel platformnaplókat és metrikákat küldhet különböző célhelyekre. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat a Logic Appsben).
Súlyosság: Alacsony
Engedélyezni kell a diagnosztikai naplókat Search szolgáltatás
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat Search szolgáltatás).
Súlyosság: Alacsony
A Service Bus diagnosztikai naplóit engedélyezni kell
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat a Service Busban).
Súlyosság: Alacsony
Engedélyezni kell a diagnosztikai naplókat a virtuálisgép-méretezési csoportokban
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat a virtuálisgép-méretezési csoportokban).
Súlyosság: Magas
Végponti észlelés és reagálás konfigurációs problémákat meg kell oldani a virtuális gépeken
Leírás: A virtuális gépek legújabb fenyegetésekkel és biztonsági résekkel szembeni védelméhez oldja meg a telepített végpontészlelési és válaszmegoldás (Végponti észlelés és reagálás) összes azonosított konfigurációs problémáját.
Megjegyzés: Ez a javaslat jelenleg csak azokra az erőforrásokra vonatkozik, amelyeken engedélyezve van a Végponthoz készült Microsoft Defender (MDE).
Súlyosság: Alacsony
Végponti észlelés és reagálás megoldást telepíteni kell a virtuális gépekre
Leírás: A végpontészlelési és válaszmegoldás (Végponti észlelés és reagálás) virtuális gépekre történő telepítése fontos a speciális fenyegetések elleni védelemhez. Végponti észlelés és reagálás segít ezeknek a fenyegetéseknek a megelőzésében, észlelésében, kivizsgálásában és megválaszolásában. A Microsoft Defender for Servers Végponthoz készült Microsoft Defender üzembe helyezésére használható. Ha egy erőforrás "Nem kifogástalan" besorolású, az azt jelzi, hogy nincs támogatott Végponti észlelés és reagálás megoldás. Ha telepítve van egy Végponti észlelés és reagálás megoldás, de ez a javaslat nem deríthető fel, az kivételt képezhet. Végponti észlelés és reagálás megoldás nélkül a virtuális gépek fokozott veszélynek vannak kitéve.
Súlyosság: Magas
Meg kell oldani a virtuálisgép-méretezési csoportok végpontvédelmi állapotproblémáját
Leírás: A virtuálisgép-méretezési csoportok végpontvédelmi állapothibáinak elhárítása a fenyegetések és a biztonsági rések elleni védelem érdekében. (Kapcsolódó szabályzat: A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra).
Súlyosság: Alacsony
A végpontvédelmet telepíteni kell a virtuálisgép-méretezési csoportokra
Leírás: Telepítsen egy végpontvédelmi megoldást a virtuális gépek méretezési csoportjaira, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. (Kapcsolódó szabályzat: A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra).
Súlyosság: Magas
A fájlintegritási monitorozást engedélyezni kell a gépeken
Leírás: Felhőhöz készült Defender azonosította azokat a gépeket, amelyekből hiányzik egy fájlintegritási monitorozási megoldás. A kritikus fájlok, beállításkulcsok és egyebek módosításainak figyeléséhez engedélyezze a fájlintegritási monitorozást. Ha engedélyezve van a fájlintegritási monitorozási megoldás, hozzon létre adatgyűjtési szabályokat a figyelni kívánt fájlok meghatározásához. Szabályok definiálásához vagy a meglévő szabályokkal rendelkező gépeken módosított fájlok megtekintéséhez nyissa meg a fájlintegritási figyelési felügyeleti lapot. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A vendégigazolási bővítményt a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra kell telepíteni
Leírás: Telepítse a Vendégigazolási bővítményt a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra, hogy lehetővé tegye Felhőhöz készült Microsoft Defender a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik.
Fontos: A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást. További információ az Azure-beli virtuális gépek megbízható indításáról. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni
Leírás: Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy lehetővé tegye Felhőhöz készült Microsoft Defender a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indítást engedélyező Linux rendszerű virtuális gépekre vonatkozik.
Fontos: A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást. További információ az Azure-beli virtuális gépek megbízható indításáról. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A vendégigazolási bővítményt a támogatott Windows rendszerű virtuálisgép-méretezési csoportokra kell telepíteni
Leírás: Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy lehetővé tegye Felhőhöz készült Microsoft Defender a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett virtuálisgép-méretezési csoportokra vonatkozik.
Fontos: A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást. További információ az Azure-beli virtuális gépek megbízható indításáról. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni
Leírás: Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy lehetővé tegye Felhőhöz készült Microsoft Defender a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik.
Fontos: A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást. További információ az Azure-beli virtuális gépek megbízható indításáról. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A vendégkonfigurációs bővítményt telepíteni kell a gépekre
Leírás: A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítés után a vendégen belüli szabályzatok is elérhetők lesznek, például engedélyezni kell a Windows Exploit Guardot. (Kapcsolódó szabályzat: A virtuális gépeknek rendelkezniük kell a Vendégkonfiguráció bővítménysel).
Súlyosság: Közepes
Végpontvédelmi megoldás telepítése virtuális gépekre
Leírás: Telepítsen egy végpontvédelmi megoldást a virtuális gépekre, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. (Kapcsolódó szabályzat: A hiányzó Endpoint Protection monitorozása az Azure Security Centerben).
Súlyosság: Magas
A Linux rendszerű virtuális gépeknek a kernelmodulok aláírásának érvényesítését kell kikényszeríteni
Leírás: A rosszindulatú vagy jogosulatlan kód kernel módban történő végrehajtásának elkerülése érdekében kényszerítse ki a kernelmodulok aláírásának érvényesítését a támogatott Linux rendszerű virtuális gépeken. A kernelmodulok aláírásának ellenőrzése biztosítja, hogy csak megbízható kernelmodulok fussanak. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A Linux rendszerű virtuális gépeknek csak aláírt és megbízható rendszerindítási összetevőket kell használniuk
Leírás: Ha engedélyezve van a biztonságos rendszerindítás, minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel, kernelillesztő) megbízható közzétevőknek kell aláírnia. Felhőhöz készült Defender nem megbízható operációsrendszer-rendszerindítási összetevőket azonosított egy vagy több Linux-gépen. Ha meg szeretné védeni a gépeket a potenciálisan rosszindulatú összetevőktől, vegye fel őket az engedélyezési listára, vagy távolítsa el az azonosított összetevőket. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A Linux rendszerű virtuális gépeknek biztonságos rendszerindítást kell használniuk
Leírás: A kártevőalapú rootkitek és rendszerindító készletek telepítése elleni védelem érdekében engedélyezze a biztonságos rendszerindítást a támogatott Linux rendszerű virtuális gépeken. A Biztonságos rendszerindítás biztosítja, hogy csak aláírt operációs rendszerek és illesztőprogramok fussanak. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
Leírás: Felhőhöz készült Defender a Log Analytics-ügynök (más néven OMS) használatával gyűjt biztonsági eseményeket az Azure Arc-gépekről. Ha az ügynököt az összes Azure Arc-gépen szeretné üzembe helyezni, kövesse a szervizelési lépéseket. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra
Leírás: Felhőhöz készült Defender adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. Az adatok gyűjtése a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) használatával történik, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a munkaterületre. Ezt az eljárást akkor is követnie kell, ha a virtuális gépeket egy Azure által felügyelt szolgáltatás, például az Azure Kubernetes Service vagy az Azure Service Fabric használja. Nem konfigurálhatja az ügynök automatikus kiépítését az Azure-beli virtuálisgép-méretezési csoportokhoz. Ha az ügynököt virtuálisgép-méretezési csoportokon szeretné üzembe helyezni (beleértve az Azure által felügyelt szolgáltatások, például az Azure Kubernetes Service és az Azure Service Fabric által használtakat is), kövesse a szervizelési lépésekben leírt eljárást. (Kapcsolódó szabályzat: A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához.
Súlyosság: Magas
A Log Analytics-ügynököt telepíteni kell a virtuális gépekre
Leírás: Felhőhöz készült Defender adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. Az adatok gyűjtése a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) használatával történik, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Ez az ügynök akkor is szükséges, ha a virtuális gépeket egy Azure által felügyelt szolgáltatás, például az Azure Kubernetes Service vagy az Azure Service Fabric használja. Javasoljuk, hogy az ügynök automatikus üzembe helyezéséhez konfigurálja az automatikus kiépítést . Ha úgy dönt, hogy nem használja az automatikus kiépítést, manuálisan helyezze üzembe az ügynököt a virtuális gépeken a szervizelési lépések utasításait követve. (Kapcsolódó szabályzat: A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához.
Súlyosság: Magas
A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
Leírás: Felhőhöz készült Defender a Log Analytics-ügynök (más néven MMA) használatával gyűjt biztonsági eseményeket az Azure Arc-gépekről. Ha az ügynököt az összes Azure Arc-gépen szeretné üzembe helyezni, kövesse a szervizelési lépéseket. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A gépeket biztonságosan kell konfigurálni
Leírás: A biztonsági konfiguráció biztonsági réseinek elhárítása a gépeken a támadások elleni védelem érdekében. (Kapcsolódó szabályzat: A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell.
Súlyosság: Alacsony
A biztonsági konfigurációs frissítések alkalmazásához újra kell indítani a gépeket
Leírás: A biztonsági konfiguráció frissítéseinek alkalmazásához és a biztonsági rések elleni védelemhez indítsa újra a gépeket. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A gépeknek sebezhetőségi felmérési megoldással kell rendelkezniük
Leírás: Felhőhöz készült Defender rendszeresen ellenőrzi a csatlakoztatott gépeket, hogy biztonságirés-felmérési eszközöket futtasson. Használja ezt a javaslatot egy sebezhetőségi felmérési megoldás üzembe helyezéséhez. (Kapcsolódó szabályzat: A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken).
Súlyosság: Közepes
A gépeken meg kell oldani a biztonságirés-megállapításokat
Leírás: Oldja fel a virtuális gépek biztonságirés-felmérési megoldásainak eredményeit. (Kapcsolódó szabályzat: A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken).
Súlyosság: Alacsony
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie
Leírás: Felhőhöz készült Defender a hálózati biztonsági csoport felügyeleti portjainak néhány túlságosan megengedő bejövő szabályát azonosította. Engedélyezze az igény szerinti hozzáférés-vezérlést, hogy megvédje a virtuális gépet az internetes találgatásos támadásoktól. További információ az igény szerinti (JIT) virtuális gépek hozzáférésének megismeréséről. (Kapcsolódó szabályzat: A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie.
Súlyosság: Magas
Engedélyezni kell a Microsoft Defendert a kiszolgálókhoz
Leírás: A Kiszolgálókhoz készült Microsoft Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatok számára, és keményítési javaslatokat, valamint gyanús tevékenységekre vonatkozó riasztásokat hoz létre. Ezekkel az információkkal gyorsan elháríthatja a biztonsági problémákat, és javíthatja a kiszolgálók biztonságát.
Fontos: A javaslat szervizelése a kiszolgálók védelmének költségeit fogja eredményezni. Ha nem rendelkezik kiszolgálóval ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen kiszolgálót hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a Microsoft Defender kiszolgálókhoz való bevezetéséről. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defendert a kiszolgálókhoz).
Súlyosság: Magas
A Microsoft Defendert a munkaterületeken engedélyezni kell
Leírás: A Microsoft Defender kiszolgálói fenyegetésészlelést és speciális védelmet biztosít a Windows- és Linux-gépekhez. Ha ez a Defender-csomag engedélyezve van az előfizetésein, de a munkaterületeken nem, akkor a Microsoft Defender kiszolgálóinak teljes kapacitásáért kell fizetnie, de az előnyök némelyikét kihagyja. Ha engedélyezi a Microsoft Defendert egy munkaterület kiszolgálói számára, az adott munkaterületre jelentéssel rendelkező összes gép a Microsoft Defenderért lesz kiszámlázva a kiszolgálók számára – még akkor is, ha azok a Defender-csomagok engedélyezése nélküli előfizetésekben vannak. Ha nem engedélyezi a Microsoft Defendert az előfizetés kiszolgálói számára, ezek a gépek nem fogják tudni kihasználni az Azure-erőforrásokhoz való igény szerint elérhető virtuálisgép-hozzáférést, adaptív alkalmazásvezérlőket és hálózati észleléseket. További információ a Microsoft Defender kiszolgálókhoz való bevezetéséről. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken
Leírás: Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés csak a megbízható indításra engedélyezett Windows rendszerű virtuális gépekre vonatkozik.
Fontos: A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást. További információ az Azure-beli virtuális gépek megbízható indításáról. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie
Leírás: A Service Fabric három védelmi szintet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen. (Kapcsolódó szabályzat: A Service Fabric-fürtöknek a ClusterProtectionLevel tulajdonságot EncryptAndSign értékre kell állítaniuk.
Súlyosság: Magas
A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez
Leírás: Ügyfél-hitelesítés végrehajtása csak az Azure Active Directoryn keresztül a Service Fabricben (kapcsolódó szabályzat: A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez).
Súlyosság: Magas
A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell
Leírás: Telepítse a hiányzó rendszerbiztonsági és kritikus frissítéseket a Windows és Linux rendszerű virtuálisgép-méretezési csoportok biztonságossá tételéhez. (Kapcsolódó szabályzat: A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell).
Súlyosság: Magas
A rendszerfrissítéseket telepíteni kell a gépekre
Leírás: Telepítse a hiányzó rendszerbiztonságot és kritikus frissítéseket a Windows és Linux rendszerű virtuális gépek és számítógépek védelméhez (kapcsolódó szabályzat: A rendszerfrissítéseket telepíteni kell a gépekre).
Súlyosság: Magas
A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti)
Leírás: A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes kiugró javítás telepítéséhez és a gépek védelméhez kövesse a szervizelési lépéseket. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A virtuálisgép-méretezési csoportokat biztonságosan kell konfigurálni
Leírás: A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseinek elhárítása a támadások elleni védelem érdekében. (Kapcsolódó szabályzat: A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell.
Súlyosság: Magas
A virtuális gépek vendégigazolási állapotának kifogástalannak kell lennie
Leírás: A vendégigazolás úgy történik, hogy egy megbízható naplót (TCGLog) küld egy igazolási kiszolgálónak. A kiszolgáló ezeket a naplókat használja annak meghatározására, hogy a rendszerindító összetevők megbízhatóak-e. Ez az értékelés a rendszerindítási lánc sérüléseinek észlelésére szolgál, amely egy bootkit vagy rootkit fertőzés eredménye lehet. Ez az értékelés csak azokra a megbízható indítású virtuális gépekre vonatkozik, amelyeken telepítve van a vendégigazolási bővítmény. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni
Leírás: A Vendégkonfiguráció bővítményhez egy rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt a rendszer által hozzárendelt felügyelt identitással rendelkező Azure-beli virtuális gépeken kell üzembe helyezni).
Súlyosság: Közepes
A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni
Leírás: A (klasszikus) virtuális gépek elavultak, és ezeket a virtuális gépeket át kell telepíteni az Azure Resource Managerbe. Mivel az Azure Resource Manager már rendelkezik teljes IaaS-képességekkel és egyéb fejlődésekkel, 2020. február 28-án megszüntettük az IaaS virtuális gépek (VM-ek) Felügyeletét az Azure Service Manageren (ASM) keresztül. Ezt a funkciót 2023. március 1-jén teljesen kivonjuk.
Az összes érintett klasszikus virtuális gép megtekintéséhez mindenképpen válassza ki az összes Azure-előfizetését a "könyvtárak + előfizetések" lapon.
Rendelkezésre álló erőforrások és információk az eszközről és az áttelepítésről: A virtuális gépek (klasszikus) elavulásának áttekintése, lépésről lépésre a migrálás folyamata és az elérhető Microsoft-erőforrások.Az Azure Resource Manager migrálási eszközének részletei.Migrálás az Azure Resource Manager migrálási eszközére a PowerShell használatával. (Kapcsolódó szabályzat: A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni).
Súlyosság: Magas
A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat
Leírás: A virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva; az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem lesznek titkosítva a számítási és tárolási erőforrások között. A különböző lemeztitkosítási technológiák összehasonlítása az Azure-ban: https://aka.ms/diskencryptioncomparison. Az Összes adat titkosítása az Azure Disk Encryption használatával. Hagyja figyelmen kívül ezt a javaslatot, ha:
- A gazdaszámítógép titkosítási funkcióját vagy a 2-et használja. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel az Ön biztonsági követelményeinek. További információ az Azure Disk Storage kiszolgálóoldali titkosításáról. (Kapcsolódó szabályzat: Lemeztitkosítást kell alkalmazni a virtuális gépeken)
Súlyosság: Magas
A vTPM-et engedélyezni kell a támogatott virtuális gépeken
Leírás: Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és a TPM-et igénylő egyéb operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik.
Fontos: A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást. További információ az Azure-beli virtuális gépek megbízható indításáról. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A Linux rendszerű gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell (vendégkonfigurációval)
Leírás: A linuxos gépek biztonsági konfigurációjának biztonsági réseinek elhárítása a támadások elleni védelem érdekében. (Kapcsolódó szabályzat: A Linux rendszerű gépeknek meg kell felelniük az Azure biztonsági alapkonfiguráció követelményeinek.
Súlyosság: Alacsony
A Windows rendszerű gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell (vendégkonfigurációval)
Leírás: A windowsos gépek biztonsági konfigurációjának biztonsági réseinek elhárítása a támadások elleni védelem érdekében. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
A Windows Defender Exploit Guardot engedélyezni kell a gépeken
Leírás: A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). (Kapcsolódó szabályzat: Olyan Windows-gépek naplózása, amelyeken a Windows Defender Exploit Guard nincs engedélyezve).
Súlyosság: Közepes
A Windows-webkiszolgálókat biztonságos kommunikációs protokollok használatára kell konfigurálni
Leírás: Az interneten keresztül közölt adatok védelméhez a webkiszolgálóknak az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS biztonsági tanúsítványokkal védi a hálózaton keresztüli kommunikációt a gépek közötti kapcsolat titkosításához. (Kapcsolódó szabályzat: A biztonságos kommunikációs protokollokat nem használó Windows-webkiszolgálók naplózása).
Súlyosság: Magas
[Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot
Leírás: A virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva; az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem lesznek titkosítva a számítási és tárolási erőforrások között. Az összes adat titkosításához használja az Azure Disk Encryptiont vagy a EncryptionAtHostot. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. (Kapcsolódó szabályzat: [Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot.
Súlyosság: Magas
[Előzetes verzió]: A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot
Leírás: A virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva; az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem lesznek titkosítva a számítási és tárolási erőforrások között. Az összes adat titkosításához használja az Azure Disk Encryptiont vagy a EncryptionAtHostot. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. (Kapcsolódó szabályzat: [Előzetes verzió]: A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot.
Súlyosság: Magas
A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen
Leírás: A gazdagép titkosításának használatával lekérheti a virtuális gép és a virtuálisgép-méretezési csoport adatainak végpontok közötti titkosítását. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: Az Azure Portal használatával engedélyezheti a végpontok közötti titkosítást a gazdagép titkosításával. (Kapcsolódó szabályzat: A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen).
Súlyosság: Közepes
(Előzetes verzió) Az Azure Stack HCI-kiszolgálóknak meg kell felelniük a biztonságos magra vonatkozó követelményeknek
Leírás: Győződjön meg arról, hogy minden Azure Stack HCI-kiszolgáló megfelel a biztonságos magra vonatkozó követelményeknek. (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt telepíteni kell a gépekre – Microsoft Azure).
Súlyosság: Alacsony
(Előzetes verzió) Az Azure Stack HCI-kiszolgálóknak következetesen kényszerített alkalmazásvezérlési szabályzatokkal kell rendelkezniük
Leírás: Legalább alkalmazza a Microsoft WDAC alapszabályzatát kényszerített módban az összes Azure Stack HCI-kiszolgálón. Az alkalmazott Windows Defender alkalmazásvezérlő (WDAC) házirendnek konzisztensnek kell lennie az ugyanazon fürt kiszolgálói között. (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt telepíteni kell a gépekre – Microsoft Azure).
Súlyosság: Magas
(Előzetes verzió) Az Azure Stack HCI-rendszereknek titkosított kötetekkel kell rendelkezniük
Leírás: A BitLocker használatával titkosíthatja az operációs rendszert és az adatköteteket az Azure Stack HCI-rendszereken. (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt telepíteni kell a gépekre – Microsoft Azure).
Súlyosság: Magas
(Előzetes verzió) A gazdagép- és virtuálisgép-hálózatkezelést védeni kell az Azure Stack HCI-rendszereken
Leírás: Adatok védelme az Azure Stack HCI-gazdagép hálózatán és a virtuálisgép-hálózati kapcsolatokon. (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt telepíteni kell a gépekre – Microsoft Azure).
Súlyosság: Alacsony
Tárolójavaslatok
[Előzetes verzió] Az Azure Registry tárolórendszerképeinek feloldva kell lennie a biztonságirés-megállapításoknak
Leírás: Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést.
Súlyosság: Magas
Típus: Sebezhetőségi felmérés
[Előzetes verzió] Az Azure-ban futó tárolók biztonsági réseinek megoldására van szükség
Leírás: Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék-rendszerképekhez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez.
Súlyosság: Magas
Típus: Sebezhetőségi felmérés
(Szükség esetén engedélyezve) A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról: https://aka.ms/acr/CMK. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani.
Súlyosság: Alacsony
Típus: Vezérlősík
Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek
Leírás: A Kubernetes Azure Policy-bővítménye kibővíti a Gatekeeper v3-at, az Open Policy Agenthez (OPA) készült beléptető vezérlő webhookot, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Típus: Vezérlősík
Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek
Leírás: Az Azure Arc Defender bővítménye fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes vezérlősíkjának (fő) csomópontjáról, és elküldi azokat a felhőbeli Microsoft Defender for Kubernetes háttérrendszernek további elemzés céljából. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Típus: Vezérlősík
Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt
Leírás: A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender profilt az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági eseményadatok gyűjtéséhez. További információ a Microsoft Defender for Containers bemutatása című témakörben. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Típus: Vezérlősík
Az Azure Kubernetes Service-fürtöknek telepítve kell lenniük a Kubernetes Azure Policy bővítményével
Leírás: A KubernetesHez készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökön a nagy léptékű kényszerítéseket és védelmet. Felhőhöz készült Defender megköveteli a bővítményt a biztonsági képességek és a megfelelőség naplózásához és érvényesítéséhez a fürtökben. További információ. A Kubernetes 1.14.0-s vagy újabb verzióját igényli. (Kapcsolódó szabályzat: A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön.
Súlyosság: Magas
Típus: Vezérlősík
A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést
Leírás: Az Azure tárolóregisztrációs adatbázisai alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, csak meghatározott nyilvános IP-címekről vagy címtartományokból engedélyezze a hozzáférést. Ha a beállításjegyzék nem rendelkezik IP-/tűzfalszabálysal vagy konfigurált virtuális hálózatokkal, akkor az nem megfelelő erőforrásokban jelenik meg. További információ a Container Registry hálózati szabályairól itt és https://aka.ms/acr/portal/public-network itt https://aka.ms/acr/vnet. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést.
Súlyosság: Közepes
Típus: Vezérlősík
A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk
Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk.
Súlyosság: Közepes
Típus: Vezérlősík
A Kubernetes-szolgáltatások diagnosztikai naplóit engedélyezni kell
Leírás: Engedélyezze a diagnosztikai naplókat a Kubernetes-szolgáltatásokban, és őrizze meg őket akár egy évig. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra biztonsági incidensek esetén. (Nincs kapcsolódó szabályzat)
Súlyosság: Alacsony
Típus: Vezérlősík
A Kubernetes API-kiszolgálót korlátozott hozzáféréssel kell konfigurálni
Leírás: Annak érdekében, hogy csak az engedélyezett hálózatokból, gépekről vagy alhálózatokból származó alkalmazások férhessenek hozzá a fürthöz, korlátozza a Kubernetes API-kiszolgálóhoz való hozzáférést. A hozzáférést korlátozhatja az engedélyezett IP-tartományok meghatározásával, vagy az API-kiszolgálók privát fürtként való beállításával, ahogyan azt a Privát Azure Kubernetes Service-fürt létrehozása című témakörben leírtak ismertetik. (Kapcsolódó szabályzat: Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni.
Súlyosság: Magas
Típus: Vezérlősík
Szerepköralapú hozzáférés-vezérlést kell használni a Kubernetes Servicesben
Leírás: A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. (Kapcsolódó szabályzat: A szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni.
Súlyosság: Magas
Típus: Vezérlősík
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást
Leírás: A Microsoft Defender for Containers az Azure-, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. Ezen adatok alapján gyorsan elháríthatja a biztonsági problémákat, és javíthatja tárolói védelmét.
Fontos: A javaslat szervizelése díjakat eredményez a Kubernetes-fürtök védelméért. Ha nem rendelkezik Kubernetes-fürtökkel ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen Kubernetes-fürtöt hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a Microsoft Defender for Containers bemutatása című témakörben. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Típus: Vezérlősík
A tároló processzor- és memóriakorlátait kötelező megadni
Leírás: A processzor- és memóriakorlátok kényszerítése megakadályozza az erőforrás-kimerülési támadásokat (a szolgáltatásmegtagadási támadás egy formája).
Javasoljuk, hogy a tárolókra vonatkozó korlátokat állítson be annak érdekében, hogy a futtatókörnyezet megakadályozza, hogy a tároló a konfigurált erőforráskorlátnál többet használjon.
(Kapcsolódó szabályzat: Győződjön meg arról, hogy a tároló cpu- és memóriaerőforrás-korlátai nem lépik túl a Kubernetes-fürtben megadott korlátokat.
Súlyosság: Közepes
Típus: Kubernetes-adatsík
A tárolólemezképeket csak megbízható adatbázisból kell üzembe helyezni
Leírás: A Kubernetes-fürtön futó képeknek ismert és figyelt tárolórendszerkép-nyilvántartásokból kell származnia. A megbízható adatbázis-adatbázisok csökkentik a fürt expozíciós kockázatát azáltal, hogy korlátozzák az ismeretlen biztonsági rések, biztonsági problémák és rosszindulatú képek bevezetésének lehetőségét.
(Kapcsolódó szabályzat: Győződjön meg arról, hogy csak az engedélyezett tárolólemezképek használhatók a Kubernetes-fürtben).
Súlyosság: Magas
Típus: Kubernetes-adatsík
A jogosultságok eszkalálásával rendelkező tárolót kerülni kell
Leírás: A tárolók nem futtathatók jogosultság-eszkalációval a Kubernetes-fürtön való gyökerezéshez. Az AllowPrivilegeEscalation attribútum szabályozza, hogy egy folyamat több jogosultságot szerezhet-e, mint a szülőfolyamata. (Kapcsolódó szabályzat: A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását).
Súlyosság: Közepes
Típus: Kubernetes adatsík
Kerülni kell a bizalmas gazdagépnévtereket használó tárolókat
Leírás: A tárolón kívüli jogosultságok eszkalálása elleni védelem érdekében kerülje a podok hozzáférését a kubernetes-fürtök bizalmas gazdagép-névtereihez (gazdagépfolyamat-azonosító és gazdagép IPC-hez). (Kapcsolódó szabályzat: A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret.
Súlyosság: Közepes
Típus: Kubernetes adatsík
A tárolók csak engedélyezett AppArmor-profilokat használhatnak
Leírás: A Kubernetes-fürtökön futó tárolóknak csak az engedélyezett AppArmor-profilokra kell korlátozódnia. ; Az AppArmor (Application Armor) egy linuxos biztonsági modul, amely megvédi az operációs rendszert és annak alkalmazásait a biztonsági fenyegetésektől. A használatához a rendszergazda hozzárendel egy AppArmor biztonsági profilt minden programhoz. (Kapcsolódó szabályzat: A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak.
Súlyosság: Magas
Típus: Kubernetes adatsík
A tárolókhoz nem módosítható (írásvédett) gyökér fájlrendszert kell kényszeríteni
Leírás: A tárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk a Kubernetes-fürtben. A nem módosítható fájlrendszer megvédi a tárolókat a futtatáskor bekövetkező változásoktól, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz. (Kapcsolódó szabályzat: A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk.
Súlyosság: Közepes
Típus: Kubernetes adatsík
A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el
Leírás: A HTTPS használata biztosítja a hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információ: https://aka.ms/kubepolicydoc (Kapcsolódó szabályzat: HTTPS-bejövő forgalom kényszerítése a Kubernetes-fürtben).
Súlyosság: Magas
Típus: Kubernetes-adatsík
A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását
Leírás: Tiltsa le az API-hitelesítő adatok automatikus leválasztását, hogy megakadályozza, hogy egy potenciálisan sérült poderőforrás API-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. (Kapcsolódó szabályzat: A Kubernetes-fürtöknek le kell tiltania az automatikusan leválasztott API-hitelesítő adatokat).
Súlyosság: Magas
Típus: Kubernetes-adatsík
A Kubernetes-fürtök nem biztosíthatnak CAPSYSADMIN biztonsági képességeket
Leírás: A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Típus: Kubernetes adatsík
A Kubernetes-fürtök nem használhatják az alapértelmezett névteret
Leírás: A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. (Kapcsolódó szabályzat: A Kubernetes-fürtök nem használhatják az alapértelmezett névteret).
Súlyosság: Alacsony
Típus: Kubernetes adatsík
A legkevésbé kiemelt Linux-képességeket a tárolókhoz kell kikényszeríteni
Leírás: A tároló támadási felületének csökkentéséhez korlátozza a Linux-képességeket, és adjon bizonyos jogosultságokat a tárolóknak a gyökérfelhasználó összes jogosultságának megadása nélkül. Javasoljuk, hogy az összes képességet elvetje, majd adja hozzá a szükséges képességeket (kapcsolódó szabályzat: A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak).
Súlyosság: Közepes
Típus: Kubernetes adatsík
A kiemelt tárolókat kerülni kell
Leírás: A korlátlan gazdagéphozzáférés megakadályozása érdekében lehetőség szerint kerülje a kiemelt tárolókat.
A kiemelt tárolók a gazdagép összes gyökérképességével rendelkeznek. Ezek felhasználhatók belépési pontokként a támadásokhoz, és rosszindulatú kódok vagy kártevők terjesztésére a feltört alkalmazásokra, gazdagépekre és hálózatokra. (Kapcsolódó szabályzat: Ne engedélyezze a kiemelt tárolókat a Kubernetes-fürtben).
Súlyosság: Közepes
Típus: Kubernetes adatsík
Kerülni kell a tárolók gyökérfelhasználóként való futtatását
Leírás: A tárolók nem futtathatók gyökérfelhasználóként a Kubernetes-fürtben. A folyamat gyökérfelhasználóként való futtatása egy tárolóban gyökérként fut a gazdagépen. Ha biztonsági rés van, a támadó gyökerével rendelkezik a tárolóban, és a helytelen konfigurációk könnyebben kihasználhatóvá válnak. (Kapcsolódó szabályzat: A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futtathatók.
Súlyosság: Magas
Típus: Kubernetes-adatsík
A szolgáltatásoknak csak az engedélyezett portokon kell figyelnie
Leírás: A Kubernetes-fürt támadási felületének csökkentéséhez korlátozza a fürthöz való hozzáférést a szolgáltatások konfigurált portokhoz való hozzáférésének korlátozásával. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a szolgáltatások csak az engedélyezett portokon figyelnek a Kubernetes-fürtben).
Súlyosság: Közepes
Típus: Kubernetes adatsík
Korlátozni kell a gazdagépek hálózatának és portjainak használatát
Leírás: A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. A hostNetwork attribútummal létrehozott podok megosztják a csomópont hálózati területét. Annak érdekében, hogy a sérült tároló ne sniffing hálózati forgalmat, javasoljuk, hogy ne helyezze a podokat a gazdahálózatra. Ha tárolóportot kell elérhetővé tennie a csomópont hálózatán, és a Kubernetes-szolgáltatás csomópontportjának használata nem felel meg az igényeinek, egy másik lehetőség a tárolóhoz tartozó hostPort megadása a pod specifikációjában. (Kapcsolódó szabályzat: A Kubernetes-fürt podjainak csak jóváhagyott gazdagéphálózatot és porttartományt kell használniuk.
Súlyosság: Közepes
Típus: Kubernetes adatsík
A pod HostPath kötet-csatlakoztatásainak használatát egy ismert listára kell korlátozni, hogy a csomópontok hozzáférése korlátozva legyen a sérült tárolóktól
Leírás: Javasoljuk, hogy a Kubernetes-fürt pod HostPath-kötet-csatlakoztatásait a konfigurált engedélyezett gazdagépútvonalakra korlátozza. Ha biztonsági rés merül fel, a tárolócsomópont hozzáférését korlátozni kell a tárolókból. (Kapcsolódó szabályzat: A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak.
Súlyosság: Közepes
Típus: Kubernetes-adatsík
Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (a Qualys működteti)
Leírás: A tárolórendszerkép biztonsági réseinek felmérése biztonsági réseket keres a beállításjegyzékben, és részletes megállapításokat tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. (Kapcsolódó szabályzat: Az Azure Container Registry-rendszerképek biztonsági réseit orvosolni kell.
Súlyosság: Magas
Típus: Sebezhetőségi felmérés
Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés)
Fontos
Ez a javaslat egy nyugdíjazási útvonalon van. A helyére az [[Előzetes verzió] javaslat lép, amely szerint az Azure-beállításjegyzékben lévő tárolólemezképek biztonságirés-megállapításokat oldanak fel](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).
Leírás: A tárolórendszerkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. (Kapcsolódó szabályzat: Az Azure Container Registry-rendszerképek biztonsági réseit orvosolni kell.
Súlyosság: Magas
Típus: Sebezhetőségi felmérés
A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés)
Fontos
Ez a javaslat egy nyugdíjazási útvonalon van. Az [[Előzetes verzió] Azure-ban futó tárolók esetében a sebezhetőségi megállapítások feloldása folyamatban van](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).
Leírás: A tárolórendszerkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét.
Súlyosság: Magas
Típus: Sebezhetőségi felmérés
Adatjavaslatok
(Szükség esetén engedélyezve) Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról: https://aka.ms/cosmosdb-cmk. (Kapcsolódó szabályzat: Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához.
Súlyosság: Alacsony
(Szükség esetén engedélyezve) Az Azure Machine Tanulás-munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az Azure Machine-Tanulás munkaterületi adatok titkosításának kezelése ügyfél által felügyelt kulcsokkal (CMK). Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de a cmK-k általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról: https://aka.ms/azureml-workspaces-cmk. (Kapcsolódó szabályzat: Az Azure Machine Tanulás munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani.
Súlyosság: Alacsony
(Szükség esetén engedélyezve) A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal (CMK) történő adattitkosítást
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik a Cognitive Servicesben tárolt adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról: https://aka.ms/cosmosdb-cmk. (Kapcsolódó szabályzat: A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal történő adattitkosítást? (CMK))
Súlyosság: Alacsony
(Szükség esetén engedélyezve) A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. (Kapcsolódó szabályzat: Saját kulcsú adatvédelmet kell engedélyezni a MySQL-kiszolgálók számára).
Súlyosság: Alacsony
(Szükség esetén engedélyezve) A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. (Kapcsolódó szabályzat: Saját kulcsú adatvédelmet kell engedélyezni a PostgreSQL-kiszolgálók számára.
Súlyosság: Alacsony
(Szükség esetén engedélyezve) A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. (Kapcsolódó szabályzat: A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat).
Súlyosság: Alacsony
(Szükség esetén engedélyezve) Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. (Kapcsolódó szabályzat: Az SQL-kiszolgálóknak az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához).
Súlyosság: Alacsony
(Szükség esetén engedélyezve) A tárfiókoknak ügyfél által felügyelt kulcsot (CMK) kell használniuk a titkosításhoz
Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által felügyelt kulcsok (CMK-k) használatával nagyobb rugalmassággal védheti meg tárfiókját. CmK megadásakor a rendszer ezt a kulcsot használja az adatok titkosítását biztosító kulcshoz való hozzáférés védelmére és szabályozására. A CMK-k további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. (Kapcsolódó szabályzat: A tárfiókoknak az ügyfél által felügyelt kulcsot (CMK) kell használniuk a titkosításhoz.
Súlyosság: Alacsony
Minden speciális veszélyforrás-védelmi típust engedélyezni kell a felügyelt SQL-példány speciális adatbiztonsági beállításaiban
Leírás: Javasoljuk, hogy a felügyelt SQL-példányokon engedélyezze az összes speciális veszélyforrás-védelmi típust. Az összes típus engedélyezése védelmet nyújt az SQL-injektálással, az adatbázis sebezhetőségével és egyéb rendellenes tevékenységekkel szemben. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
Minden speciális fenyegetésvédelmi típust engedélyezni kell az SQL Server speciális adatbiztonsági beállításaiban
Leírás: Javasoljuk, hogy engedélyezze az SQL-kiszolgálókon az összes fejlett veszélyforrás-védelmi típust. Az összes típus engedélyezése védelmet nyújt az SQL-injektálással, az adatbázis sebezhetőségével és egyéb rendellenes tevékenységekkel szemben. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk
Leírás: Az Azure Virtual Network üzembe helyezése fokozott biztonságot, elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, nem internetezhető hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. (Kapcsolódó szabályzat: Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk).
Súlyosság: Közepes
Az alkalmazáskonfigurációnak privát hivatkozást kell használnia
Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. (Kapcsolódó szabályzat: Az alkalmazáskonfigurációnak privát hivatkozást kell használnia).
Súlyosság: Közepes
Az SQL-kiszolgálók naplózási megőrzését legalább 90 napra kell beállítani
Leírás: 90 napnál rövidebb naplózási megőrzési időszakkal konfigurált SQL-kiszolgálók naplózása. (Kapcsolódó szabályzat: Az SQL-kiszolgálókat 90 napos vagy annál magasabb naplózási megőrzési idővel kell konfigurálni.)
Súlyosság: Alacsony
Engedélyezni kell a naplózást az SQL Serveren
Leírás: Az SQL Server naplózásának engedélyezése az adatbázis-tevékenységek nyomon követéséhez a kiszolgáló összes adatbázisában, és mentheti őket egy naplóba. (Kapcsolódó szabályzat: Engedélyezni kell a naplózást az SQL Serveren).
Súlyosság: Alacsony
A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésekben
Leírás: A biztonsági rések és fenyegetések figyeléséhez Felhőhöz készült Microsoft Defender adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. (Kapcsolódó szabályzat: A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben).
Súlyosság: Alacsony
Az Azure Cache for Redisnek egy virtuális hálózaton belül kell lennie
Leírás: Az Azure Virtual Network (VNet) üzembe helyezése fokozott biztonságot és elkülönítést biztosít az Azure Cache for Redis számára, valamint alhálózatokat, hozzáférés-vezérlési szabályzatokat és egyéb funkciókat a hozzáférés további korlátozásához. Ha egy Azure Cache for Redis-példány virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el. (Kapcsolódó szabályzat: Az Azure Cache for Redisnek egy virtuális hálózaton belül kell lennie).
Súlyosság: Közepes
Az Azure Database for MySQL-nek rendelkeznie kell egy Azure Active Directory-rendszergazdával
Leírás: Azure AD-rendszergazda kiépítése az Azure Database for MySQL-hez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését (kapcsolódó szabályzat: Azure Active Directory-rendszergazdát kell kiépíteni a MySQL-kiszolgálókhoz).
Súlyosság: Közepes
Az Azure Database for PostgreSQL-nek rendelkeznie kell egy Azure Active Directory-rendszergazdával
Leírás: Azure AD-rendszergazda kiépítése az Azure Database for PostgreSQL-hez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások
(Kapcsolódó szabályzat: A PostgreSQL-kiszolgálókhoz Azure Active Directory-rendszergazdát kell kiépíteni.
Súlyosság: Közepes
Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk
Leírás: Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. (Kapcsolódó szabályzat: Az Azure Cosmos DB-fiókoknak tűzfalszabályokkal kell rendelkezniük).
Súlyosság: Közepes
Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk
Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/privateendpoints. (Kapcsolódó szabályzat: Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk).
Súlyosság: Közepes
Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk
Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít a témakörökhöz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/privateendpoints. (Kapcsolódó szabályzat: Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk).
Súlyosság: Közepes
Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk
Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure Machine Tanulás-munkaterületekhez, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/azureml-workspaces-privatelink. (Kapcsolódó szabályzat: Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk).
Súlyosság: Közepes
Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia
Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít a SignalR-erőforrásokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/asrs/privatelink. (Kapcsolódó szabályzat: Az Azure SignalR szolgáltatásnak privát kapcsolatot kell használnia).
Súlyosság: Közepes
Az Azure Spring Cloudnak hálózati injektálást kell használnia
Leírás: Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. (Kapcsolódó szabályzat: Az Azure Spring Cloudnak hálózati injektálást kell használnia).
Súlyosság: Közepes
Az SQL-kiszolgálóknak rendelkezniük kell egy Azure Active Directory-rendszergazdával
Leírás: Azure AD-rendszergazda kiépítése az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését. (Kapcsolódó szabályzat: Egy Azure Active Directory-rendszergazdát kell kiépíteni az SQL-kiszolgálókhoz).
Súlyosság: Magas
Az Azure Synapse-munkaterület hitelesítési módjának csak Az Azure Active Directorynak kell lennie
Leírás: Az Azure Synapse Workspace hitelesítési módjának csak Azure Active Directory-alapú hitelesítési módnak kell lennie, csak az Azure Active Directory hitelesítési módszerei javítják a biztonságot azáltal, hogy biztosítják, hogy a Synapse-munkaterületek kizárólag Azure AD-identitásokat igényeljenek a hitelesítéshez. További információ. (Kapcsolódó szabályzat: A Synapse-munkaterületek csak Azure Active Directory-identitásokat használhatnak a hitelesítéshez.
Súlyosság: Közepes
A Cognitive Services-fiókoknak engedélyeznie kell az adattitkosítást
Leírás: Ez a szabályzat naplóz minden olyan Cognitive Services-fiókot, amely nem használ adattitkosítást. A tárterülettel rendelkező összes Cognitive Services-fiók esetében engedélyeznie kell az adattitkosítást az ügyfél által felügyelt vagy a Microsoft által felügyelt kulccsal. (Kapcsolódó szabályzat: A Cognitive Services-fiókoknak engedélyeznie kell az adattitkosítást).
Súlyosság: Alacsony
A Cognitive Services-fiókoknak ügyfél által birtokolt tárterületet kell használniuk, vagy engedélyezni kell az adattitkosítást
Leírás: Ez a szabályzat naplóz minden olyan Cognitive Services-fiókot, amely nem használ ügyfél tulajdonában lévő tárolót vagy adattitkosítást. A tárterülettel rendelkező összes Cognitive Services-fiókhoz használjon ügyfél által birtokolt tárterületet, vagy engedélyezze az adattitkosítást. (Kapcsolódó szabályzat: A Cognitive Services-fiókoknak ügyfél által birtokolt tárolót kell használniuk, vagy engedélyezni kell az adattitkosítást.)
Súlyosság: Alacsony
Engedélyezni kell a diagnosztikai naplókat az Azure Data Lake Store-ban
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat az Azure Data Lake Store-ban.
Súlyosság: Alacsony
A Data Lake Analytics diagnosztikai naplóit engedélyezni kell
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: A Data Lake Analytics diagnosztikai naplóit engedélyezni kell.
Súlyosság: Alacsony
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését
Leírás: Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mail-értesítéseket a Felhőhöz készült Defender súlyossági riasztásaihoz. (Kapcsolódó szabályzat: Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését.
Súlyosság: Alacsony
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén
Leírás: Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak az előfizetésük esetleges biztonsági incidenséről, állítsa be az e-mail-értesítéseket az előfizetés-tulajdonosoknak a Felhőhöz készült Defender súlyossági riasztásaihoz. (Kapcsolódó szabályzat: Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztásokról.
Súlyosság: Közepes
Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében
Leírás: Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. (Kapcsolódó szabályzat: Az SSL-kapcsolat kényszerítése engedélyezve kell legyen a MySQL-adatbáziskiszolgálók esetében).
Súlyosság: Közepes
Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon
Leírás: Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. (Kapcsolódó szabályzat: Az SSL-kapcsolat kényszerítése engedélyezve kell legyen a PostgreSQL-adatbáziskiszolgálók esetében).
Súlyosság: Közepes
A függvényalkalmazásoknak meg kell oldaniuk a biztonságirés-megállapításokat
Leírás: A függvények futtatókörnyezeti biztonsági réseinek vizsgálata biztonsági réseket keres a függvényalkalmazásokban, és részletes megállapításokat tesz közzé. A biztonsági rések megoldása jelentősen javíthatja a kiszolgáló nélküli alkalmazások biztonsági helyzetét, és megvédheti őket a támadásoktól. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben
Leírás: Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban vannak tárolva, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőségeket biztosítson. A georedundáns tárolás biztonsági mentéshez való konfigurálása csak kiszolgáló létrehozásakor engedélyezett. (Kapcsolódó szabályzat: A georedundáns biztonsági mentést engedélyezni kell az Azure Database for MariaDB-ben.
Súlyosság: Alacsony
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben
Leírás: Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban vannak tárolva, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőségeket biztosítson. A georedundáns tárolás biztonsági mentéshez való konfigurálása csak kiszolgáló létrehozásakor engedélyezett. (Kapcsolódó szabályzat: A georedundáns biztonsági mentést engedélyezni kell az Azure Database for MySQL-hez).
Súlyosság: Alacsony
Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben
Leírás: Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban vannak tárolva, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőségeket biztosítson. A georedundáns tárolás biztonsági mentéshez való konfigurálása csak kiszolgáló létrehozásakor engedélyezett. (Kapcsolódó szabályzat: A georedundáns biztonsági mentést engedélyezni kell az Azure Database for PostgreSQL-hez.
Súlyosság: Alacsony
A GitHub-adattárakban engedélyezve kell lennie a kódvizsgálatnak
Leírás: A GitHub kódvizsgálatot használ a kód elemzéséhez, hogy biztonsági réseket és hibákat találjon a kódban. A kódvizsgálat használható a kódban meglévő problémák javításainak megkeresésére, osztályozására és rangsorolására. A kódvizsgálat azt is megakadályozhatja, hogy a fejlesztők új problémákat vezessenek be. A vizsgálatok ütemezhetők adott napokra és időpontokra, vagy a vizsgálat akkor aktiválható, ha egy adott esemény történik az adattárban, például leküldés. Ha a kódvizsgálat potenciális biztonsági rést vagy hibát talál a kódban, a GitHub riasztást jelenít meg az adattárban. A biztonsági rés olyan probléma a projekt kódjában, amely a projekt titkosságának, integritásának vagy rendelkezésre állásának sérülésére használható. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A GitHub-adattárakban engedélyezve kell lennie a Dependabot-vizsgálatnak
Leírás: A GitHub Dependabot-riasztásokat küld, amikor az adattárakat érintő kódfüggőségek biztonsági réseit észleli. A biztonsági rés olyan probléma a projekt kódjában, amely kihasználható a projekt vagy a kódját használó egyéb projektek bizalmasságának, integritásának vagy rendelkezésre állásának sérülésére. A biztonsági rések típusa, súlyossága és támadási módja eltérő. Ha a kód egy biztonsági sebezhetőséggel rendelkező csomagtól függ, ez a sebezhető függőség számos problémát okozhat. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A GitHub-adattárakban engedélyezve kell lennie a titkos kódok vizsgálatának
Leírás: A GitHub az ismert titkos kulcstípusok tárházait vizsgálja, hogy megelőzze a véletlenül az adattárakban lekötött titkos kódok csalárd használatát. A titkos kódok vizsgálata a GitHub-adattárban található összes ág teljes Git-előzményeit ellenőrzi. A titkos kulcsok közé tartoznak például a jogkivonatok és a titkos kulcsok, amelyeket a szolgáltató a hitelesítéshez kibocsáthat. Ha egy titkos kód be van jelentkezve egy adattárba, bárki, aki olvasási hozzáféréssel rendelkezik az adattárhoz, a titkos kód használatával hozzáférhet a külső szolgáltatáshoz ezekkel a jogosultságokkal. A titkos kulcsokat a projekt adattárán kívül, dedikált, biztonságos helyen kell tárolni. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Engedélyezni kell a Microsoft Defendert az Azure SQL Database-kiszolgálókhoz
Leírás: Az SQL-hez készült Microsoft Defender egy egységes csomag, amely fejlett SQL-biztonsági képességeket biztosít. Ez magában foglalja a lehetséges adatbázis-biztonsági rések feltárására és enyhítésére szolgáló funkciókat, észleli az adatbázist fenyegető rendellenes tevékenységeket, valamint a bizalmas adatok felderítését és besorolását. Fontos: A csomag védelmének díja a Defender-csomagok oldalán látható módon történik. Ha nem rendelkezik Azure SQL Database-kiszolgálóval ebben az előfizetésben, akkor nem számítunk fel díjat. Ha később azure SQL Database-kiszolgálókat hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak megkezdődik. Ismerje meg a régiónkénti díjszabás részleteit. További információ az SQL-hez készült Microsoft Defender bemutatása című témakörben. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat).
Súlyosság: Magas
Engedélyezni kell a Dns-hez készült Microsoft Defendert
Leírás: A Dns-hez készült Microsoft Defender további védelmi réteget biztosít a felhőbeli erőforrások számára az Azure-erőforrásokból származó ÖSSZES DNS-lekérdezés folyamatos monitorozásával. A Defender a DNS-hez riasztást küld a DNS-réteg gyanús tevékenységeiről. További információ a Microsoft Defender for DNS bemutatása című témakörben. A Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabás részleteiről Felhőhöz készült Defender díjszabási oldalán: Felhőhöz készült Defender Díjszabás. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Engedélyezni kell a Microsoft Defendert a nyílt forráskódú relációs adatbázisokhoz
Leírás: A Nyílt forráskódú relációs adatbázisokhoz készült Microsoft Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ a Microsoft Defender nyílt forráskódú relációs adatbázisokhoz való bevezetéséről.
Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. Ha nem rendelkezik nyílt forráskódú relációs adatbázisokkal ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen nyílt forráskódú relációs adatbázist hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Engedélyezni kell a Microsoft Defender for Resource Managert
Leírás: A Microsoft Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Felhőhöz készült Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ a Microsoft Defender for Resource Manager bemutatása című témakörben. A Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabás részleteiről Felhőhöz készült Defender díjszabási oldalán: Felhőhöz készült Defender Díjszabás. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A gépeken futó SQL-hez készült Microsoft Defendert engedélyezni kell a munkaterületeken
Leírás: A Microsoft Defender kiszolgálói fenyegetésészlelést és speciális védelmet biztosít a Windows- és Linux-gépekhez. Ha ez a Defender-csomag engedélyezve van az előfizetésein, de a munkaterületeken nem, akkor a Microsoft Defender kiszolgálóinak teljes kapacitásáért kell fizetnie, de az előnyök némelyikét kihagyja. Ha engedélyezi a Microsoft Defendert egy munkaterület kiszolgálói számára, az adott munkaterületre jelentéssel rendelkező összes gép a Microsoft Defenderért lesz kiszámlázva a kiszolgálók számára – még akkor is, ha azok a Defender-csomagok engedélyezése nélküli előfizetésekben vannak. Ha nem engedélyezi a Microsoft Defendert az előfizetés kiszolgálói számára, ezek a gépek nem fogják tudni kihasználni az Azure-erőforrásokhoz való igény szerint elérhető virtuálisgép-hozzáférést, adaptív alkalmazásvezérlőket és hálózati észleléseket. További információ a Microsoft Defender kiszolgálókhoz való bevezetéséről. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A gépeken futó SQL-kiszolgálókhoz készült Microsoft Defendert engedélyezni kell
Leírás: Az SQL-hez készült Microsoft Defender egy egységes csomag, amely fejlett SQL-biztonsági képességeket biztosít. Ez magában foglalja a lehetséges adatbázis-biztonsági rések feltárására és enyhítésére szolgáló funkciókat, észleli az adatbázist fenyegető rendellenes tevékenységeket, valamint a bizalmas adatok felderítését és besorolását.
Fontos: A javaslat szervizelése díjakat eredményez az SQL-kiszolgálók gépeken való védelméért. Ha ebben az előfizetésben nincsenek SQL-kiszolgálók a gépeken, a rendszer nem számol fel díjakat. Ha a jövőben bármilyen SQL-kiszolgálót hoz létre ezen az előfizetésen lévő gépeken, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a gépeken futó SQL-kiszolgálókhoz készült Microsoft Defenderről. (Kapcsolódó szabályzat: Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert).
Súlyosság: Magas
Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Azure SQL-kiszolgálókon
Leírás: Az SQL-hez készült Microsoft Defender egy egységes csomag, amely fejlett SQL-biztonsági képességeket biztosít. Feltárja és enyhíti az adatbázis esetleges biztonsági réseit, és észleli az adatbázist fenyegető rendellenes tevékenységeket. Az SQL-hez készült Microsoft Defender számlázása régiónkénti díjszabási adatok szerint történik. (Kapcsolódó szabályzat: A speciális adatbiztonságot engedélyezni kell az SQL-kiszolgálókon).
Súlyosság: Magas
Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett felügyelt SQL-példányokhoz
Leírás: Az SQL-hez készült Microsoft Defender egy egységes csomag, amely fejlett SQL-biztonsági képességeket biztosít. Feltárja és enyhíti az adatbázis esetleges biztonsági réseit, és észleli az adatbázist fenyegető rendellenes tevékenységeket. Az SQL-hez készült Microsoft Defender számlázása régiónkénti díjszabási adatok szerint történik. (Kapcsolódó szabályzat: A speciális adatbiztonságot engedélyezni kell a felügyelt SQL-példányon.
Súlyosság: Magas
Engedélyezni kell a Microsoft Defender for Storage használatát
Leírás: A Microsoft Defender for Storage szokatlan és potenciálisan káros kísérleteket észlel a tárfiókok elérésére vagy kihasználására. Fontos: A csomag védelmének díja a Defender-csomagok oldalán látható módon történik. Ha nem rendelkezik Azure Storage-fiókkal ebben az előfizetésben, akkor nem számítunk fel díjat. Ha később azure Storage-fiókokat hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak megkezdődik. Ismerje meg a régiónkénti díjszabás részleteit. További információ a Microsoft Defender for Storage bemutatása című témakörben. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defender for Storage használatát).
Súlyosság: Magas
Engedélyezve kell lennie a Network Watchernek
Leírás: A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyv szintjén az Azure-ban, az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálásához teljes körű hálózati szintű nézetben. A Network Watcherrel elérhető hálózati diagnosztikai és vizualizációs eszközök segítenek az Azure-beli hálózat megértésében, diagnosztizálásában és elemzésében. (Kapcsolódó szabályzat: A Network Watchert engedélyezni kell).
Súlyosság: Alacsony
Az előfizetések túlkiosztott identitásait meg kell vizsgálni az engedélykúszási index (PCI) csökkentése érdekében
Leírás: Az előfizetésben lévő túlkiosztott identitásokat meg kell vizsgálni a jogosultsági kúszóindex (PCI) csökkentése és az infrastruktúra védelme érdekében. Csökkentse a PCI-t a nem használt magas kockázatú engedélyhozzárendelések eltávolításával. A magas PCI a normál vagy a szükséges használatot meghaladó engedélyekkel rendelkező identitásokhoz kapcsolódó kockázatokat tükrözi (nincs kapcsolódó szabályzat).
Súlyosság: Közepes
Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben
Leírás: A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. (Kapcsolódó szabályzat: Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben.
Súlyosság: Közepes
A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz
Leírás: A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. (Kapcsolódó szabályzat: A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz.
Súlyosság: Közepes
A privát végpontot engedélyezni kell a MySQL-kiszolgálókon
Leírás: A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. (Kapcsolódó szabályzat: A privát végpontot engedélyezni kell a MySQL-kiszolgálók esetében).
Súlyosság: Közepes
A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz
Leírás: A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. (Kapcsolódó szabályzat: A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálók számára.
Súlyosság: Közepes
Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben
Leírás: A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. (Kapcsolódó szabályzat: Az Azure SQL Database nyilvános hálózati hozzáférését le kell tiltani).
Súlyosság: Közepes
A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében
Leírás: Tiltsa le a nyilvános hálózat hozzáférési tulajdonságát a biztonság javítása érdekében, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. (Kapcsolódó szabályzat: A MariaDB-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani.
Súlyosság: Közepes
A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon
Leírás: Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a biztonság javítása érdekében, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. (Kapcsolódó szabályzat: A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálók esetében).
Súlyosság: Közepes
A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében
Leírás: Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a biztonság javítása érdekében, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. (Kapcsolódó szabályzat: A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében).
Súlyosság: Közepes
A Redis Cache csak SSL-en keresztül engedélyezi a hozzáférést
Leírás: Csak SSL-kapcsolat engedélyezése a Redis Cache-hez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli, a lehallgatási és a munkamenet-eltérítési támadásoktól. (Kapcsolódó szabályzat: Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni).
Súlyosság: Magas
Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani
Leírás: Az SQL Sebezhetőségi felmérés biztonsági réseket keres az adatbázison, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. További információ (Kapcsolódó szabályzat: Az SQL-adatbázisok biztonsági réseit orvosolni kell).
Súlyosság: Magas
A felügyelt SQL-példányok biztonságirés-felmérésének konfigurálva kell lennie
Leírás: A sebezhetőségi felmérés felderítheti, nyomon követheti és segíthet a lehetséges adatbázis-biztonsági rések elhárításában. (Kapcsolódó szabályzat: A sebezhetőségi felmérést engedélyezni kell a felügyelt SQL-példányon.
Súlyosság: Magas
A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie
Leírás: Az SQL Sebezhetőségi felmérés biztonsági réseket keres az adatbázison, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. További információ (Kapcsolódó szabályzat: A gépen lévő SQL-kiszolgálók biztonsági réseit orvosolni kell).
Súlyosság: Magas
Az SQL-kiszolgálóknak rendelkezniük kell egy Azure Active Directory-rendszergazdával
Leírás: Azure AD-rendszergazda kiépítése az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését. (Kapcsolódó szabályzat: Egy Azure Active Directory-rendszergazdát kell kiépíteni az SQL-kiszolgálókhoz).
Súlyosság: Magas
Az SQL-kiszolgálók biztonságirés-felmérésének konfigurálva kell lennie
Leírás: A sebezhetőségi felmérés felderítheti, nyomon követheti és segíthet a lehetséges adatbázis-biztonsági rések elhárításában. (Kapcsolódó szabályzat: A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon).
Súlyosság: Magas
A tárfióknak privát kapcsolati kapcsolatot kell használnia
Leírás: A privát kapcsolatok biztonságos kommunikációt kényszerítenek ki a tárfiókhoz való privát kapcsolat biztosításával (kapcsolódó szabályzat: A tárfióknak privát kapcsolati kapcsolatot kell használnia).
Súlyosság: Közepes
A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba
Leírás: Az Azure Resource Manager új képességeinek kihasználásához migrálhatja a meglévő üzembe helyezéseket a klasszikus üzemi modellből. A Resource Manager olyan biztonsági fejlesztéseket tesz lehetővé, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, ARM-alapú üzembe helyezés és szabályozás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés, címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében. További információ (Kapcsolódó szabályzat: A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba).
Súlyosság: Alacsony
A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést
Leírás: Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. (Kapcsolódó szabályzat: A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést).
Súlyosság: Közepes
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén
Leírás: Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon Felhőhöz készült Defender. (Kapcsolódó szabályzat: Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén)
Súlyosság: Alacsony
transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell
Leírás: Engedélyezze a transzparens adattitkosítást az inaktív adatok védelméhez és a megfelelőségi követelmények teljesítéséhez (kapcsolódó szabályzat: engedélyezni kell az SQL-adatbázisokon transzparens adattitkosítás).
Súlyosság: Alacsony
A VM Image Builder-sablonoknak privát hivatkozást kell használniuk
Leírás: Olyan virtuálisgép-képszerkesztő-sablonok naplózása, amelyekhez nincs konfigurálva virtuális hálózat. Ha a virtuális hálózat nincs konfigurálva, a rendszer nyilvános IP-címet hoz létre és használ helyette, amely közvetlenül elérhetővé teheti az erőforrásokat az interneten, és növelheti a potenciális támadási felületet. (Kapcsolódó szabályzat: A VM Image Builder-sablonoknak privát hivatkozást kell használniuk).
Súlyosság: Közepes
A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez
Leírás: Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést ország/régió, IP-címtartomány és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. (Kapcsolódó szabályzat: A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez.
Súlyosság: Alacsony
Engedélyezni kell a webalkalmazási tűzfalat (WAF) az Azure Front Door Service szolgáltatásban
Leírás: Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést ország/régió, IP-címtartomány és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. (Kapcsolódó szabályzat: A webalkalmazási tűzfalat (WAF) engedélyezni kell az Azure Front Door Service?szolgáltatáshoz)
Súlyosság: Alacsony
A Cognitive Servicesnek privát hivatkozást kell használnia
Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról. (Kapcsolódó szabályzat: A Cognitive Servicesnek privát kapcsolatot kell használnia).
Súlyosság: Közepes
Az Azure Cosmos DB-nek le kell tiltania a nyilvános hálózati hozzáférést
Leírás: A nyilvános hálózati hozzáférés letiltása növeli a biztonságot, mert biztosítja, hogy a Cosmos DB-fiók ne legyen nyilvános interneten közzétéve. A privát végpontok létrehozása korlátozhatja a Cosmos DB-fiók expozícióját. További információ. (Kapcsolódó szabályzat: Az Azure Cosmos DB-nek le kell tiltania a nyilvános hálózati hozzáférést).
Súlyosság: Közepes
A Cosmos DB-fiókoknak privát hivatkozást kell használniuk
Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cosmos DB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról. (Kapcsolódó szabályzat: A Cosmos DB-fiókoknak privát hivatkozást kell használniuk).
Súlyosság: Közepes
Az Azure SQL Database-nek tLS 1.2-es vagy újabb verzióját kell futtatnia
Leírás: A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. (Kapcsolódó szabályzat: Az Azure SQL Database-nek a TLS 1.2-es vagy újabb verzióját kell futtatnia.
Súlyosság: Közepes
A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést
Leírás: A nyilvános hálózati hozzáférés (nyilvános végpont) letiltása a felügyelt Azure SQL-példányokon javítja a biztonságot azáltal, hogy biztosítja, hogy csak a virtuális hálózataikon belülről vagy privát végpontokon keresztül érhetők el. További információ a nyilvános hálózati hozzáférésről. (Kapcsolódó szabályzat: A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést).
Súlyosság: Közepes
A tárfiókok számára meg kell akadályozni a megosztott kulcs elérését
Leírás: Az Azure Active Directory (Azure AD) naplózási követelménye a tárfiókra vonatkozó kérések engedélyezéséhez. A kérések alapértelmezés szerint az Azure Active Directory hitelesítő adataival vagy a megosztott kulcs engedélyezéséhez használt fiókhozzáférési kulccsal engedélyezhetők. A két hitelesítési típus közül az Azure AD kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsokkal szemben, és ezt a Microsoft javasolja. (Kapcsolódó szabályzat: szabályzat)
Súlyosság: Közepes
Identitás- és hozzáférési javaslatok
Előfizetésekhez legfeljebb 3 tulajdonost kell kijelölni
Leírás: A feltört tulajdonosi fiókok megsértésének lehetőségének csökkentése érdekében javasoljuk, hogy a tulajdonosi fiókok számát legfeljebb 3-ra korlátozza (kapcsolódó szabályzat: Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni).
Súlyosság: Magas
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t
Leírás: Ha csak jelszavakat használ a felhasználók hitelesítéséhez, nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat több szolgáltatáshoz. A többtényezős hitelesítés (MFA) engedélyezésével nagyobb biztonságot nyújt a fiókjai számára, miközben továbbra is lehetővé teszi a felhasználók számára, hogy szinte minden alkalmazáson hitelesítsék magukat egyszeri bejelentkezéssel (SSO). A többtényezős hitelesítés olyan folyamat, amellyel a felhasználók a bejelentkezési folyamat során egy másik azonosítási formát kérnek. Előfordulhat például, hogy egy kódot a mobiljukra küldenek, vagy ujjlenyomat-vizsgálatot kérnek. Javasoljuk, hogy engedélyezze az MFA-t minden olyan fiókhoz, amely tulajdonosi engedélyekkel rendelkezik az Azure-erőforrásokhoz, hogy megelőzze a behatolást és a támadásokat. További részletek és gyakori kérdések itt érhetők el: Többtényezős hitelesítés (MFA) kényszerítése az előfizetéseken (nincs kapcsolódó szabályzat).
Súlyosság: Magas
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t
Leírás: Ha csak jelszavakat használ a felhasználók hitelesítéséhez, nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat több szolgáltatáshoz. A többtényezős hitelesítés (MFA) engedélyezésével nagyobb biztonságot nyújt a fiókjai számára, miközben továbbra is lehetővé teszi a felhasználók számára, hogy szinte minden alkalmazáson hitelesítsék magukat egyszeri bejelentkezéssel (SSO). A többtényezős hitelesítés olyan folyamat, amellyel a felhasználók a bejelentkezési folyamat során további azonosítási formát kérnek. Előfordulhat például, hogy egy kódot a mobiljukra küldenek, vagy ujjlenyomat-vizsgálatot kérnek. Javasoljuk, hogy engedélyezze az MFA-t minden olyan fiókhoz, amely olvasási engedélyekkel rendelkezik az Azure-erőforrásokon, hogy megelőzze a behatolást és a támadásokat. További részletek és gyakori kérdések itt érhetők el. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t
Leírás: Ha csak jelszavakat használ a felhasználók hitelesítéséhez, akkor nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat több szolgáltatáshoz. A többtényezős hitelesítés (MFA) engedélyezésével nagyobb biztonságot nyújt a fiókjai számára, miközben továbbra is lehetővé teszi a felhasználók számára, hogy szinte minden alkalmazáson hitelesítsék magukat egyszeri bejelentkezéssel (SSO). A többtényezős hitelesítés olyan folyamat, amellyel a felhasználók a bejelentkezési folyamat során további azonosítási formát kérnek. Előfordulhat például, hogy egy kódot a mobiljukra küldenek, vagy ujjlenyomat-vizsgálatot kérnek. Javasoljuk, hogy engedélyezze az MFA-t minden olyan fiókhoz, amely írási engedélyekkel rendelkezik az Azure-erőforrásokon, hogy megelőzze a behatolást és a támadásokat. További részletek és gyakori kérdések itt érhetők el: Többtényezős hitelesítés (MFA) kényszerítése az előfizetéseken (nincs kapcsolódó szabályzat).
Súlyosság: Magas
Az Azure Cosmos DB-fiókoknak az Azure Active Directoryt kell használniuk az egyetlen hitelesítési módszerként
Leírás: Az Azure-szolgáltatások hitelesítésének legjobb módja a szerepköralapú hozzáférés-vezérlés (RBAC) használata. Az RBAC lehetővé teszi a minimális jogosultsági elv fenntartását, és támogatja az engedélyek visszavonását, mint hatékony válaszmetódust a biztonsági rések esetén. Az Azure Cosmos DB-fiók konfigurálásával kényszerítheti az RBAC-t egyetlen hitelesítési módszerként. Ha a kényszerítés konfigurálva van, a rendszer minden más hozzáférési módszert (elsődleges/másodlagos kulcsokat és hozzáférési jogkivonatokat) megtagad. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani
Leírás: Az Active Directoryba való bejelentkezés során letiltott fiókokat el kell távolítani az Azure-erőforrásokból. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani
Leírás: Az Active Directoryba való bejelentkezés során letiltott fiókokat el kell távolítani az Azure-erőforrásokból. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Az elavult fiókokat el kell távolítani az előfizetésekből
Leírás: A bejelentkezéstől blokkolt felhasználói fiókokat el kell távolítani az előfizetésekből. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: Az elavult fiókokat el kell távolítani az előfizetésből).
Súlyosság: Magas
A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésekből
Leírás: A bejelentkezéstől blokkolt felhasználói fiókokat el kell távolítani az előfizetésekből. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből.
Súlyosság: Magas
Engedélyezni kell a diagnosztikai naplókat a Key Vaultban
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat a Key Vaultban).
Súlyosság: Alacsony
A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
Leírás: A különböző tartománynevekkel (külső fiókokkal) rendelkező tulajdonosi engedélyekkel rendelkező fiókokat el kell távolítani az előfizetésből. Ez megakadályozza a nem figyelt hozzáférést. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből).
Súlyosság: Magas
Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
Leírás: A különböző tartománynevekkel (külső fiókokkal) rendelkező olvasási engedélyekkel rendelkező fiókokat el kell távolítani az előfizetésből. Ez megakadályozza a nem figyelt hozzáférést. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből).
Súlyosság: Magas
Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
Leírás: A különböző tartománynevekkel (külső fiókokkal) rendelkező írási engedélyekkel rendelkező fiókokat el kell távolítani az előfizetésből. Ez megakadályozza a nem figyelt hozzáférést. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből).
Súlyosság: Magas
A tűzfalat engedélyezni kell a Key Vaultban
Leírás: A Key Vault tűzfala megakadályozza, hogy a jogosulatlan forgalom elérje a kulcstartót, és további védelmi réteget biztosít a titkos kódok számára. Engedélyezze a tűzfalat annak biztosításához, hogy csak az engedélyezett hálózatokból érkező forgalom férhessen hozzá a kulcstartóhoz. (Kapcsolódó szabályzat: A tűzfalat engedélyezni kell a Key Vaultban).
Súlyosság: Közepes
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani
Leírás: Az Azure Active Directory-bérlőn kívül kiépített tulajdonosi engedélyekkel rendelkező fiókokat (eltérő tartományneveket) el kell távolítani az Azure-erőforrásokból. A vendégfiókokat nem ugyanazokkal a szabványokkal kezelik, mint a vállalati bérlői identitások. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat
Leírás: Az Azure Active Directory-bérlőn kívül kiépített olvasási engedélyekkel rendelkező fiókokat (eltérő tartományneveket) el kell távolítani az Azure-erőforrásokból. A vendégfiókokat nem ugyanazokkal a szabványokkal kezelik, mint a vállalati bérlői identitások. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani
Leírás: Az Azure Active Directory-bérlőn kívül kiépített írási engedélyekkel rendelkező fiókokat (eltérő tartományneveket) el kell távolítani az Azure-erőforrásokból. A vendégfiókokat nem ugyanazokkal a szabványokkal kezelik, mint a vállalati bérlői identitások. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük
Leírás: A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumainak beállítása. (Kapcsolódó szabályzat: A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük).
Súlyosság: Magas
A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie
Leírás: A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumainak beállítása. (Kapcsolódó szabályzat: A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie).
Súlyosság: Magas
A kulcstartóknak engedélyezve kell lennie a kiürítés elleni védelemnek
Leírás: A kulcstartó rosszindulatú törlése tartós adatvesztéshez vezethet. A szervezet rosszindulatú bennfentesei potenciálisan törölhetik és törölhetik a kulcstartókat. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. (Kapcsolódó szabályzat: A kulcstartóknak engedélyezve kell lennie a kiürítés elleni védelemnek).
Súlyosság: Közepes
A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek
Leírás: A helyreállítható törlés nélküli kulcstartó törlése véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. (Kapcsolódó szabályzat: A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek).
Súlyosság: Magas
Az MFA-t engedélyezni kell az előfizetésekhez tulajdonosi engedélyekkel rendelkező fiókokon
Leírás: A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. (Kapcsolódó szabályzat: Az MFA-t engedélyezni kell az előfizetés tulajdonosi engedélyekkel rendelkező fiókjain.
Súlyosság: Magas
Az MFA-t engedélyezni kell az előfizetéseken olvasási engedélyekkel rendelkező fiókokon
Leírás: A többtényezős hitelesítést (MFA) engedélyezni kell minden olvasási jogosultsággal rendelkező előfizetési fiókhoz, hogy megelőzze a fiókok vagy erőforrások megsértését. (Kapcsolódó szabályzat: Az MFA-t engedélyezni kell az előfizetés olvasási engedélyekkel rendelkező fiókjain.
Súlyosság: Magas
Az MFA-t engedélyezni kell az előfizetéseken írási engedélyekkel rendelkező fiókokon
Leírás: A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. (Kapcsolódó szabályzat: Az MFA-nak engedélyeznie kell az előfizetés írási engedélyekkel rendelkező fiókjait.
Súlyosság: Magas
A Key Vaulthoz készült Microsoft Defendert engedélyezni kell
Leírás: Felhőhöz készült Microsoft Defender tartalmazza a Key Vaulthoz készült Microsoft Defendert, amely további biztonságiintelligencia-réteget biztosít. A Key Vaulthoz készült Microsoft Defender szokatlan és potenciálisan káros kísérleteket észlel a Key Vault-fiókok elérésére vagy kihasználására. Fontos: A csomag védelmének díja a Defender-csomagok oldalán látható módon történik. Ha nem rendelkezik kulcstartókkal ebben az előfizetésben, akkor nem számítunk fel díjat. Ha később kulcstartókat hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak megkezdődik. Ismerje meg a régiónkénti díjszabás részleteit. További információ a Key Vaulthoz készült Microsoft Defender bemutatása című témakörben. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defender for Key Vaultot).
Súlyosság: Magas
A privát végpontot a Key Vaulthoz kell konfigurálni
Leírás: A privát hivatkozás lehetővé teszi a Key Vault azure-erőforrásokhoz való csatlakoztatását anélkül, hogy forgalmat küldene a nyilvános interneten keresztül. A privát kapcsolat mélységi védelmet nyújt az adatszivárgás ellen. (Kapcsolódó szabályzat: A privát végpontot a Key Vaulthoz kell konfigurálni).
Súlyosság: Közepes
A tárfiók nyilvános hozzáférését le kell tiltani
Leírás: A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. (Kapcsolódó szabályzat: A tárfiók nyilvános hozzáférését le kell tiltani).
Súlyosság: Közepes
Egynél több tulajdonost kell hozzárendelni az előfizetésekhez
Leírás: Jelöljön ki egynél több előfizetés-tulajdonost, hogy rendszergazdai hozzáférési redundanciát biztosíthasson. (Kapcsolódó szabályzat: Az előfizetéshez egynél több tulajdonosnak kell tartoznia).
Súlyosság: Magas
Az Azure Key Vaultban tárolt tanúsítványok érvényességi időtartama nem haladhatja meg a 12 hónapot
Leírás: Győződjön meg arról, hogy a tanúsítványok érvényességi ideje nem haladja meg a 12 hónapot. (Kapcsolódó szabályzat: A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük.
Súlyosság: Közepes
Az Azure túlterjedt identitásainak csak a szükséges engedélyekkel kell rendelkezniük (előzetes verzió)
Leírás: A túlterjedt identitások vagy az engedélyezett identitások nem használják a megadott engedélyek nagy részét. Ezeknek az identitásoknak a rendszeres, megfelelő méretű engedélyei csökkentik az engedélyekkel való visszaélés kockázatát, akár véletlen, akár rosszindulatú. Ez a művelet csökkenti a potenciális robbanási sugarat egy biztonsági incidens során.
Súlyosság: Közepes
Az Azure-környezetben lévő szuper identitásokat el kell távolítani (előzetes verzió)
Leírás: A Super Identity bármilyen emberi vagy számítási feladat identitása, például felhasználók, szolgáltatásnevek és kiszolgáló nélküli függvények, amelyek rendszergazdai engedélyekkel rendelkeznek, és bármilyen műveletet végrehajthatnak az infrastruktúra bármely erőforrásán. A szuper identitások rendkívül nagy kockázatot jelentenek, mivel a rosszindulatú vagy véletlen engedélyekkel való visszaélés katasztrofális szolgáltatáskimaradást, szolgáltatáscsökkenést vagy adatszivárgást eredményezhet. A szuper identitások hatalmas fenyegetést jelentenek a felhőinfrastruktúra számára. A túl sok szuper identitás túlzott kockázatokat okozhat, és megnövelheti a robbanás sugarát a behatolás során.
Súlyosság: Közepes
Az Azure-környezetben nem használt identitásokat el kell távolítani (előzetes verzió)
Leírás: Az inaktív identitások azok az identitások, amelyek az elmúlt 90 napban nem hajtottak végre semmilyen műveletet az infrastruktúra-erőforrásokon. Az inaktív identitások jelentős kockázatot jelentenek a szervezet számára, mivel a támadók felhasználhatják őket a környezetbeli tevékenységek elérésére és végrehajtására.
Súlyosság: Közepes
IoT-javaslatok
Az alapértelmezett IP-szűrőházirend elutasítása
Leírás: Az IP-szűrő konfigurációjának meg kell határoznia az engedélyezett forgalomra vonatkozó szabályokat, és alapértelmezés szerint le kell tiltania az összes többi forgalmat (nincs kapcsolódó szabályzat).
Súlyosság: Közepes
Engedélyezni kell a diagnosztikai naplókat az IoT Hubon
Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat az IoT Hubon).
Súlyosság: Alacsony
Azonos hitelesítési hitelesítő adatok
Leírás: Azonos hitelesítési hitelesítő adatok a több eszköz által használt IoT Hubtal. Ez azt jelezheti, hogy egy jogszerű eszközt megszemélyesítő illegitim eszköz. Emellett az eszköz megszemélyesítésének kockázatát is felfedi egy támadó (nincs kapcsolódó szabályzat).
Súlyosság: Magas
IP-szűrési szabály nagy IP-címtartománya
Leírás: Az IP-szűrési szabály forrás IP-tartománya túl nagy. A túlzottan megengedő szabályok kártékony szándékolók számára tehetik elérhetővé az IoT Hubot (nincs kapcsolódó szabályzat).
Súlyosság: Közepes
Hálózatokra vonatkozó javaslatok
Korlátozni kell a tűzfallal és a virtuális hálózati konfigurációkkal rendelkező tárfiókokhoz való hozzáférést
Leírás: Tekintse át a hálózati hozzáférés beállításait a tárfiók tűzfalbeállításaiban. Javasoljuk a hálózati szabályok konfigurálását, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz. (Kapcsolódó szabályzat: A tárfiókok korlátozhatják a hálózati hozzáférést).
Súlyosság: Alacsony
Az adaptív hálózatmegerősítési javaslatokat az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni
Leírás: Felhőhöz készült Defender elemezte az alább felsorolt virtuális gépek internetes adatforgalmi kommunikációs mintáit, és megállapította, hogy a hozzájuk társított NSG-k meglévő szabályai túlságosan megengedőek, ami nagyobb potenciális támadási felületet eredményez. Ez általában akkor fordul elő, ha ez az IP-cím nem kommunikál rendszeresen ezzel az erőforrással. Másik lehetőségként az IP-címet rosszindulatúként jelölte meg Felhőhöz készült Defender fenyegetésfelderítési forrásai. További információ: Hálózati biztonsági helyzet javítása adaptív hálózatmegerősítéssel. (Kapcsolódó szabályzat: Az adaptív hálózatmegerősítési javaslatokat az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni.
Súlyosság: Magas
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon
Leírás: Felhőhöz készült Defender megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. (Kapcsolódó szabályzat: Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon.
Súlyosság: Magas
Engedélyezni kell az Azure DDoS Protection Standardot
Leírás: Felhőhöz készült Defender a DDoS védelmi szolgáltatás által nem védett Application Gateway-erőforrásokkal rendelkező virtuális hálózatokat észlelt. Ezek az erőforrások nyilvános IP-címeket tartalmaznak. A hálózati kötet- és protokolltámadások mérséklésének engedélyezése. (Kapcsolódó szabályzat: Engedélyezni kell az Azure DDoS Protection Standardot).
Súlyosság: Közepes
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
Leírás: A virtuális gép védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják a virtuális gép felé érkező hálózati forgalmat más példányokból, ugyanazon alhálózaton belül vagy azon kívül. Ahhoz, hogy a gép a lehető legnagyobb biztonságban legyen, korlátozni kell a virtuális gépek internethez való hozzáférését, és engedélyezni kell az NSG-t az alhálózaton. A "Magas" súlyosságú virtuális gépek internetes virtuális gépek. (Kapcsolódó szabályzat: Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni).
Súlyosság: Magas
Le kell tiltani az IP-továbbítást a virtuális gépen
Leírás: Felhőhöz készült Defender észlelte, hogy az IP-továbbítás engedélyezve van egyes virtuális gépeken. Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. (Kapcsolódó szabályzat: Le kell tiltani az IP-továbbítást a virtuális gépen).
Súlyosság: Közepes
A gépeknek olyan portokat kell bezárni, amelyek támadási vektorokat tehetnek elérhetővé
Leírás: Az Azure használati feltételei tiltják az Azure-szolgáltatások használatát olyan módon, amely bármilyen Microsoft-kiszolgálót vagy hálózatot károsíthat, letilthat, túlterhelhet vagy károsíthat. Ez a javaslat felsorolja azokat a közzétett portokat, amelyeket be kell zárni a folyamatos biztonság érdekében. Emellett az egyes portokat fenyegető potenciális veszélyeket is szemlélteti. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie
Leírás: Felhőhöz készült Defender a hálózati biztonsági csoport felügyeleti portjainak néhány túlságosan megengedő bejövő szabályát azonosította. Engedélyezze az igény szerinti hozzáférés-vezérlést, hogy megvédje a virtuális gépet az internetes találgatásos támadásoktól. További információ az igény szerinti (JIT) virtuális gépek hozzáférésének megismeréséről. (Kapcsolódó szabályzat: A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie.
Súlyosság: Magas
A felügyeleti portokat be kell zárni a virtuális gépeken
Leírás: A távoli felügyeleti portok megnyitásakor a virtuális gép magas szintű kockázatnak van kitéve az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. (Kapcsolódó szabályzat: A felügyeleti portokat be kell zárni a virtuális gépeken).
Súlyosság: Közepes
A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
Leírás: A nem internetkapcsolattal rendelkező virtuális gép védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják a virtuális gép felé érkező hálózati forgalmat más példányokból, függetlenül attól, hogy ugyanazon az alhálózaton vannak-e. Vegye figyelembe, hogy a gép lehető legnagyobb biztonsága érdekében korlátozni kell a virtuális gép internet-hozzáférését, és engedélyezni kell az NSG-t az alhálózaton. (Kapcsolódó szabályzat: A nem internetes virtuális gépeket hálózati biztonsági csoportokkal kell védeni.
Súlyosság: Alacsony
Engedélyezni kell a tárfiókokba való biztonságos átvitelt
Leírás: A biztonságos átvitel olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli támadástól, a lehallgatástól és a munkamenet-eltérítéstől. (Kapcsolódó szabályzat: Engedélyezni kell a tárfiókokba való biztonságos átvitelt).
Súlyosság: Magas
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani
Leírás: Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. Ha egy NSG alhálózathoz van társítva, az ACL-szabályok az alhálózat összes virtuálisgép-példányára és integrált szolgáltatására vonatkoznak, de nem vonatkoznak az alhálózaton belüli belső forgalomra. Az ugyanazon alhálózat erőforrásainak egymástól való védelméhez engedélyezze az NSG-t közvetlenül az erőforrásokon is. Vegye figyelembe, hogy a következő alhálózattípusok nem alkalmazhatók: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Kapcsolódó szabályzat: Az alhálózatokat hálózati biztonsági csoporthoz kell társítani.
Súlyosság: Alacsony
A virtuális hálózatokat az Azure Firewallnak kell védenie
Leírás: Egyes virtuális hálózatok nem tűzfallal vannak védve. Az Azure Firewall használatával korlátozhatja a virtuális hálózatokhoz való hozzáférést, és megakadályozhatja a potenciális fenyegetéseket. (Kapcsolódó szabályzat: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani.
Súlyosság: Alacsony
API-javaslatok
Engedélyezni kell a Microsoft Defender for API-kat
Leírás > kapcsolódó szabályzat: Engedélyezze a Defender for API-k tervének, hogy felderítse és megvédje az API-erőforrásokat a támadások és a biztonsági konfigurációk ellen. További információ
Súlyosság: Magas
Az Azure API Management API-kat fel kell venni a Defender for API-kba
Leírás > kapcsolódó szabályzat: Az API-knak a Defender api-khoz való előkészítése számítási és memóriakihasználtságot igényel az Azure API Management szolgáltatásban. Monitorozza az Azure API Management szolgáltatás teljesítményét az API-k előkészítése során, és szükség szerint skálázza fel az Azure API Management-erőforrásokat.
Súlyosság: Magas
A nem használt API-végpontokat le kell tiltani és el kell távolítani az Azure API Management szolgáltatásból
Leírás és kapcsolódó szabályzat: Ajánlott biztonsági eljárásként azokat az API-végpontokat, amelyek 30 napja nem fogadták a forgalmat, használaton kívülinek minősülnek, és el kell távolítani őket az Azure API Management szolgáltatásból. A nem használt API-végpontok megtartása biztonsági kockázatot jelenthet. Ezek olyan API-k lehetnek, amelyeket el kellett volna hagyni az Azure API Management szolgáltatásból, de véletlenül aktívak maradtak. Az ilyen API-k általában nem kapják meg a legfrissebb biztonsági lefedettséget.
Súlyosság: Alacsony
Az Azure API Management API-végpontjait hitelesíteni kell
Leírás > kapcsolódó szabályzat: Az Azure API Managementben közzétett API-végpontoknak hitelesítést kell kikényszeríteni a biztonsági kockázat minimalizálása érdekében. A hitelesítési mechanizmusok néha helytelenül vannak implementálva, vagy hiányoznak. Így a támadók kihasználhatják a megvalósítás hibáit, és hozzáférhetnek az adatokhoz. Az Azure API Managementben közzétett API-k esetében ez a javaslat az Azure API Management-előfizetési kulcsok meglétének ellenőrzésén keresztül értékeli a hitelesítést az olyan API-khoz vagy termékekhez, amelyekhez előfizetés szükséges, valamint a JWT- és ügyféltanúsítványok és Microsoft Entra-jogkivonatok érvényesítésére vonatkozó szabályzatok végrehajtásával. Ha ezen hitelesítési mechanizmusok egyike sem fut az API-hívás során, az API megkapja ezt a javaslatot.
Súlyosság: Magas
API-kezelési javaslatok
Az API Management-előfizetések nem tartozhatnak az összes API-ra
Leírás > kapcsolódó szabályzat: Az API Management-előfizetéseket termékre vagy egyéni API-ra kell korlátozni az összes API helyett, ami túlzott adatexpozíciót eredményezhet.
Súlyosság: Közepes
Az API-háttérrendszerekhez intézett API Management-hívások nem kerülhetik meg a tanúsítvány ujjlenyomatát vagy a névérvényesítést
Leírás > kapcsolódó szabályzat: Az API Managementnek ellenőriznie kell a háttérkiszolgáló tanúsítványát az összes API-híváshoz. Engedélyezze az SSL-tanúsítvány ujjlenyomatát és a névérvényesítést az API biztonságának javítása érdekében.
Súlyosság: Közepes
Az API Management közvetlen felügyeleti végpontja nem engedélyezhető
Leírás és kapcsolódó szabályzat: Az Azure API Management közvetlen felügyeleti REST API-ja átadja az Azure Resource Manager szerepköralapú hozzáférés-vezérlési, engedélyezési és szabályozási mechanizmusait, ezáltal növelve a szolgáltatás sebezhetőségét.
Súlyosság: Alacsony
Az API Management API-knak csak titkosított protokollokat kell használniuk
Leírás > kapcsolódó szabályzat: Az API-knak csak titkosított protokollokon, például HTTPS-n vagy WSS-n keresztül kell elérhetőnek lenniük. Ne használjon nem biztonságos protokollokat, például HTTP-t vagy WS-t az átvitt adatok biztonsága érdekében.
Súlyosság: Magas
Az API Management titkos kód elnevezett értékeit az Azure Key Vaultban kell tárolni
Leírás > kapcsolódó szabályzat: Az elnevezett értékek név- és értékpárok gyűjteményei az egyes API Management-szolgáltatásokban. A titkos értékek titkosított szövegként tárolhatók az API Managementben (egyéni titkos kódok), vagy az Azure Key Vault titkos kulcsokra való hivatkozásával. Az Azure Key Vault titkos kódnevű értékeinek hivatkozása az API Management és a titkos kódok biztonságának javítása érdekében. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsforgatási szabályzatokat.
Súlyosság: Közepes
Az API Managementnek le kell tiltania a szolgáltatáskonfigurációs végpontokhoz való nyilvános hálózati hozzáférést
Leírás > kapcsolódó szabályzat: Az API Management-szolgáltatások biztonságának javítása érdekében korlátozza a szolgáltatáskonfigurációs végpontokhoz, például a közvetlen hozzáférés-kezelési API-hoz, a Git konfigurációkezelési végponthoz vagy a saját üzemeltetésű átjárók konfigurációs végpontjaihoz való kapcsolódást.
Súlyosság: Közepes
Az API Management minimális API-verzióját 2019-12-01-es vagy újabb verzióra kell állítani
Leírás és kapcsolódó szabályzat: A szolgáltatás titkos kulcsainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani.
Súlyosság: Közepes
Hitelesíteni kell az API-háttérrendszerekre irányuló API Management-hívásokat
Leírás > kapcsolódó szabályzat: Az API Managementből a háttérrendszerekbe irányuló hívásoknak valamilyen hitelesítést kell használniuk, akár tanúsítványokon vagy hitelesítő adatokon keresztül. Nem vonatkozik a Service Fabric-háttérrendszerekre.
Súlyosság: Közepes
AI-javaslatok
Engedélyezni kell az Azure Machine Tanulás-munkaterületek erőforrásnaplóit (előzetes verzió)
Leírás > kapcsolódó szabályzat: Az erőforrásnaplók lehetővé teszik a tevékenységnaplók újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült.
Súlyosság: Közepes
Az Azure Machine Tanulás-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést (előzetes verzió)
Leírás > kapcsolódó szabályzat: A nyilvános hálózati hozzáférés letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a gépi Tanulás munkaterületek ne legyenek közzétéve a nyilvános interneten. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: Privát végpont konfigurálása Azure Machine Tanulás-munkaterülethez.
Súlyosság: Közepes
Az Azure Machine Tanulás Computesnek virtuális hálózaton kell lennie (előzetes verzió)
Leírás és kapcsolódó szabályzat: Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Machine Tanulás számítási fürtök és példányok, valamint az alhálózatok, a hozzáférés-vezérlési szabályzatok és egyéb funkciók számára a hozzáférés további korlátozásához. Ha egy számítás virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el.
Súlyosság: Közepes
Az Azure Machine Tanulás Computes esetében le kell tiltani a helyi hitelesítési módszereket (előzetes verzió)
Leírás > kapcsolódó szabályzat: A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a gépi Tanulás számításhoz kizárólag Azure Active Directory-identitások szükségesek a hitelesítéshez. További információ: Azure Policy Regulatory Compliance Controls for Azure Machine Tanulás.
Súlyosság: Közepes
Az Azure Machine Tanulás számítási példányokat újra létre kell hozni a legújabb szoftverfrissítések beszerzéséhez (előzetes verzió)
Leírás és kapcsolódó szabályzat: Győződjön meg arról, hogy az Azure Machine Tanulás számítási példányok a legújabb elérhető operációs rendszeren futnak. A biztonság javul, a biztonsági rések pedig a legújabb biztonsági javítások futtatásával csökkenthetők. További információ: Az Azure Machine Tanulás biztonsági réseinek kezelése.
Súlyosság: Közepes
Engedélyezni kell az Azure Databricks-munkaterületek erőforrásnaplóit (előzetes verzió)
Leírás > kapcsolódó szabályzat: Az erőforrásnaplók lehetővé teszik a tevékenységnaplók újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült.
Súlyosság: Közepes
Az Azure Databricks-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést (előzetes verzió)
Leírás > kapcsolódó szabályzat: A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az erőforrás ne legyen közzétéve a nyilvános interneten. Az erőforrások expozícióját privát végpontok létrehozásával szabályozhatja. További információ: Azure Private Link engedélyezése.
Súlyosság: Közepes
Az Azure Databricks-fürtöknek le kell tiltania a nyilvános IP-címet (előzetes verzió)
Leírás és kapcsolódó szabályzat: A fürtök nyilvános IP-címének letiltása az Azure Databricks-munkaterületeken javítja a biztonságot azáltal, hogy biztosítja, hogy a fürtök ne legyenek közzétéve a nyilvános interneten. További információ: Biztonságos fürtkapcsolat.
Súlyosság: Közepes
Az Azure Databricks-munkaterületeknek virtuális hálózaton kell lenniük (előzetes verzió)
Leírás és kapcsolódó szabályzat: Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Databricks-munkaterületekhez, valamint alhálózatokhoz, hozzáférés-vezérlési szabályzatokhoz és egyéb funkciókhoz a hozzáférés további korlátozásához. További információ: Azure Databricks üzembe helyezése az Azure-beli virtuális hálózaton.
Súlyosság: Közepes
Az Azure Databricks-munkaterületeknek privát hivatkozást kell használniuk (előzetes verzió)
Leírás > kapcsolódó szabályzat: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Databricks-munkaterületekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: Munkaterület és privát végpontok létrehozása az Azure Portal felhasználói felületén.
Súlyosság: Közepes
Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést
Leírás: A hálózati hozzáférés korlátozásával biztosíthatja, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI-szolgáltatás erőforrásához.
Súlyosság: Közepes
Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést)
Leírás: A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ.
Súlyosság: Közepes
Engedélyezni kell a diagnosztikai naplókat az Azure AI-szolgáltatások erőforrásaiban
Leírás: Naplók engedélyezése az Azure AI-szolgáltatások erőforrásaihoz. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, biztonsági incidens vagy a hálózat biztonsága esetén.
Súlyosság: Alacsony
Elavult javaslatok
Korlátozni kell az App Serviceshez való hozzáférést
Leírás > kapcsolódó szabályzat: Korlátozza az App Serviceshez való hozzáférést a hálózati konfiguráció módosításával, hogy megtagadja a bejövő forgalmat a túl széles tartományokból. (Kapcsolódó szabályzat: [Előzetes verzió]: Korlátozni kell az App Services elérését).
Súlyosság: Magas
Az IaaS NSG-n futó webalkalmazásokra vonatkozó szabályokat meg kell keményíteni
Leírás > kapcsolódó szabályzat: A webalkalmazásokat futtató virtuális gépek hálózati biztonsági csoportjának (NSG) megerősítése olyan NSG-szabályokkal, amelyek túlságosan megengedőek a webalkalmazás-portok tekintetében. (Kapcsolódó szabályzat: Az IaaS-en futó webalkalmazásokra vonatkozó NSG-szabályokat meg kell keményíteni).
Súlyosság: Magas
A pod biztonsági szabályzatait úgy kell definiálni, hogy a szükségtelen alkalmazásjogjogok (előzetes verzió) eltávolításával csökkentse a támadási vektort
Leírás > kapcsolódó szabályzat: Pod biztonsági szabályzatok definiálása a támadási vektor csökkentéséhez a szükségtelen alkalmazásjogjogok eltávolításával. Ajánlott podbiztonsági szabályzatokat konfigurálni, hogy a podok csak azokhoz az erőforrásokhoz férhessenek hozzá, amelyekhez hozzáférésük van. (Kapcsolódó szabályzat: [Előzetes verzió]: A pod biztonsági szabályzatainak definiálva kell lenniük a Kubernetes Servicesben).
Súlyosság: Közepes
Az Azure Security Center for IoT biztonsági modul telepítése az IoT-eszközök jobb láthatósága érdekében
Leírás és kapcsolódó szabályzat: Telepítse az Azure Security Center for IoT biztonsági modult, hogy jobban megismerje az IoT-eszközöket.
Súlyosság: Alacsony
A rendszerfrissítések alkalmazásához újra kell indítani a gépeket
Leírás > kapcsolódó szabályzat: Indítsa újra a gépeket a rendszerfrissítések alkalmazásához, és védje a gépet a biztonsági résektől. (Kapcsolódó szabályzat: A rendszerfrissítéseket telepíteni kell a gépekre).
Súlyosság: Közepes
A monitorozási ügynököt telepíteni kell a gépekre
Leírás > kapcsolódó szabályzat: Ez a művelet egy figyelési ügynököt telepít a kijelölt virtuális gépekre. Válassza ki azt a munkaterületet, a amelybe az ügynöknek jelentést szeretne tenni. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A Java-t frissíteni kell a webalkalmazások legújabb verziójára
Leírás > kapcsolódó szabályzat: A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. A legújabb Java-verzió webalkalmazásokhoz való használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha a webalkalmazás részeként használják).
Súlyosság: Közepes
A Pythont a függvényalkalmazások legújabb verziójára kell frissíteni
Leírás > kapcsolódó szabályzat: A Python-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. A függvényalkalmazások legújabb Python-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Python-verzió" a legújabb, ha a függvényalkalmazás részeként használják).
Súlyosság: Közepes
A Pythont a webalkalmazások legújabb verziójára kell frissíteni
Leírás > kapcsolódó szabályzat: A Python-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. A legújabb Python-verzió webalkalmazásokhoz való használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Python-verzió" a legújabb, ha a webalkalmazás részeként használják).
Súlyosság: Közepes
A Java-t frissíteni kell a függvényalkalmazások legújabb verziójára
Leírás > kapcsolódó szabályzat: A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. A függvényalkalmazások legújabb Java-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha a függvényalkalmazás részeként használják).
Súlyosság: Közepes
A PHP-t frissíteni kell a webalkalmazások legújabb verziójára
Leírás > kapcsolódó szabályzat: Rendszeresen újabb verziók jelennek meg a PHP-szoftverekhez biztonsági hibák vagy további funkciók belefoglalása miatt. A webalkalmazások legújabb PHP-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "PHP-verzió" a legújabb, ha a WEBalkalmazás részeként használják).
Súlyosság: Közepes
Meg kell oldani a végpontvédelmi állapottal kapcsolatos problémákat a gépeken
Leírás: A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Tekintse meg a Felhőhöz készült Defender által támogatott végpontvédelmi megoldások dokumentációját és a végpontvédelmi értékeléseket. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A végpontvédelmet telepíteni kell a gépekre
Leírás: A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. További információ a gépek végpontvédelmének kiértékeléséről az Endpoint Protection felmérésében, valamint a Felhőhöz készült Microsoft Defender vonatkozó javaslatokban. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A Cognitive Services-fiókok nyilvános hálózati hozzáférését le kell tiltani
Leírás: Ez a szabályzat naplóz minden Cognitive Services-fiókot a környezetében, és engedélyezve van a nyilvános hálózati hozzáférés. A nyilvános hálózati hozzáférést le kell tiltani, hogy csak a privát végpontokról érkező kapcsolatok legyenek engedélyezve. (Kapcsolódó szabályzat: A Cognitive Services-fiókok nyilvános hálózati hozzáférését le kell tiltani.
Súlyosság: Közepes