Biztonsági helyzet Felhőhöz készült Microsoft Defender

A biztonsági pontszám áttekintése

A Felhőhöz készült Microsoft Defender két fő célt szolgál:

  • a jelenlegi biztonsági helyzet megértéséhez
  • hatékonyan és hatékonyan javíthatja a biztonságot

A Felhőhöz készült Defender központi funkciója, amely lehetővé teszi a célok elérését, a biztonsági pontszám.

Felhőhöz készült Defender folyamatosan felméri a felhők közötti erőforrások biztonsági problémáit. Ezután az összes megállapítást egyetlen pontszámba összesíti, így egy pillantással megállapíthatja az aktuális biztonsági helyzetet: minél magasabb a pontszám, annál alacsonyabb az azonosított kockázati szint.

  • A Azure Portal oldalakon a biztonsági pontszám százalékértékként jelenik meg, és a mögöttes értékek is egyértelműen megjelennek:

    Overall secure score as shown in the portal.

  • Az Azure-mobilalkalmazásban a biztonsági pontszám százalékértékként jelenik meg, és a biztonsági pontszámra koppintva megtekintheti a pontszámot magyarázó részleteket:

    Overall secure score as shown in the Azure mobile app.

A biztonság növelése érdekében tekintse át Felhőhöz készült Defender javaslatok oldalát, és javítsa ki a javaslatot az egyes problémákra vonatkozó javítási utasítások végrehajtásával. Javaslatok biztonsági vezérlőkbe vannak csoportosítva. Minden vezérlő a kapcsolódó biztonsági javaslatok logikai csoportja, és a sebezhető támadási felületeket tükrözi. A pontszám csak akkor javul, ha egy vezérlőn belül egyetlen erőforrásra vonatkozó összes javaslatot kijavít. Annak megtekintéséhez, hogy a szervezet mennyire biztosítja az egyes támadási felületeket, tekintse át az egyes biztonsági vezérlők pontszámait.

További információ: A biztonsági pontszám kiszámítása az alábbiakban.

A biztonsági helyzet kezelése

A Biztonsági állapot lapon láthatja a teljes előfizetés biztonsági pontszámát, valamint az előfizetésben lévő összes környezetet. Alapértelmezés szerint minden környezet megjelenik.

Screenshot of the security posture page.

Lapszakasz Description
Screenshot showing the different environment options. Válassza ki a környezetet a biztonsági pontszám és a részletek megtekintéséhez. Egyszerre több környezet is kijelölhető. A lap az itt megadott beállítástól függően változik.
Screenshot of the environment section of the security posture page. A teljes pontszámot befolyásoló előfizetések, fiókok és projektek teljes számát jeleníti meg. Azt is megmutatja, hogy hány nem kifogástalan erőforrás van, és hány javaslat létezik a környezetekben.

Az oldal alsó felében megtekintheti és kezelheti az egyes előfizetéseket, fiókokat és projekteket az egyes biztonsági pontszámok, a nem megfelelő állapotú erőforrások száma és a javaslatok megtekintésével.

Ezt a szakaszt környezet szerint csoportosíthatja a Csoportosítás környezet szerint jelölőnégyzet bejelölésével.

Screenshot of the bottom half of the security posture page.

A biztonsági pontszám kiszámításának menete

Az egyes biztonsági vezérlőknek az általános biztonsági pontszámhoz való hozzájárulását a javaslatok oldalon tekintheti meg.

Microsoft Defender for Cloud's security controls and their impact on your secure score

A biztonsági vezérlő összes lehetséges pontjának lekéréséhez minden erőforrásnak meg kell felelnie a biztonsági vezérlő összes biztonsági javaslatának. Felhőhöz készült Defender például több javaslattal is rendelkezik a felügyeleti portok védelmére vonatkozóan. A biztonsági pontszámhoz képest minden javítást el kell végeznie.

Példa egy vezérlőelem pontszámára

Screenshot showing how to apply system updates security control.

Ebben a példában:

  • Biztonsági rések elleni védelem – Ez a vezérlő több javaslatot is csoportosít az ismert biztonsági rések felderítésével és megoldásával kapcsolatban.

  • Maximális pontszám -

A maximális pontszám, amelyet egy vezérlőn belül az összes javaslat elvégzésével szerezhet. A vezérlőelemek maximális pontszáma a vezérlő relatív jelentőségét jelzi, és minden környezetben rögzített. A maximális pontszámértékeket használva osztályazhatja a problémákat, hogy először működjön.
Az összes vezérlő és a maximális pontszámok listáját a Biztonsági vezérlők és azok javaslatai című témakörben találja.

  • Aktuális pontszám -

    A vezérlő aktuális pontszáma.
    Aktuális pontszám=[Pontszám erőforrásonként]*[Kifogástalan állapotú erőforrások száma].

    Minden vezérlő hozzájárul a teljes pontszámhoz. Ebben a példában a vezérlő 2,00 ponttal járul hozzá az aktuális teljes biztonsági pontszámhoz.

  • Lehetséges pontszámnövelés -

    A vezérlőn belül elérhető fennmaradó pontok. Ha a vezérlő összes javaslatát kijavítja, a pontszám 9%-kal nő.

    Lehetséges pontszámnövelés=[Erőforrásonkénti pontszám]*[Nem kifogástalan erőforrások száma] vagy 0,1714 x 30 nem kifogástalan erőforrás = 5,14.

  • Elemzések -

    További részleteket nyújt az egyes javaslatokról. Ezek a következőek lehetnek:

    • Előzetes verzióra vonatkozó javaslat – Ez a javaslat mindaddig nem befolyásolja a biztonsági pontszámot, amíg az általánosan elérhető nem lesz.

    • Javítás – A javaslat részleteit tartalmazó lapon a "Javítás" lehetőség használható a probléma megoldásához.

    • Kényszerítés – A javaslat részleteit tartalmazó lapon automatikusan üzembe helyezhet egy szabályzatot a probléma megoldásához, amikor valaki nem megfelelő erőforrást hoz létre.

    • Megtagadás – A javaslat részleteit tartalmazó lapon megakadályozhatja, hogy új erőforrásokat hoz létre ezzel a problémával.

Számítások – a pontszám megértése

Metric Képlet és példa
A biztonsági vezérlő aktuális pontszáma
Equation for calculating a security control's score.

Minden egyes biztonsági vezérlő hozzájárul a biztonsági pontszámhoz. A vezérlőn belüli javaslat által érintett minden erőforrás hozzájárul a vezérlő aktuális pontszámához. Az egyes vezérlők aktuális pontszáma a vezérlőn belüli erőforrások állapotának mértéke.
Tooltips showing the values used when calculating the security control's current score
Ebben a példában a 6-os maximális pontszám 78-tal lenne elosztva, mert ez az egészséges és nem kifogástalan erőforrások összege.
6 / 78 = 0,0769
Ha megszorozza ezt az állapotú erőforrások számával (4) az aktuális pontszámot eredményezi:
0,0769 * 4 = 0,31

Biztonsági pontszám
Egyetlen előfizetés vagy összekötő

Equation for calculating a subscription's secure score

Single subscription secure score with all controls enabled
Ebben a példában egyetlen előfizetés vagy összekötő áll rendelkezésre az összes elérhető biztonsági vezérlővel (ez a maximális pontszám 60 pont). A pontszám egy lehetséges 60-ból 28 pontot mutat, a fennmaradó 32 pontot pedig a biztonsági vezérlők "Lehetséges pontszámnövelés" adatai tükrözik.
List of controls and the potential score increase
Ez az egyenlet ugyanaz az egyenlet egy összekötőhöz, amelynél csak a szó-előfizetést váltja fel az összekötő szó.
Biztonsági pontszám
Több előfizetés és összekötő

Equation for calculating the secure score for multiple subscriptions.

Több előfizetés és összekötő összesített pontszámának kiszámításakor Felhőhöz készült Defender az egyes előfizetések és összekötők súlyozását tartalmazza. Az előfizetések és összekötők relatív súlyát Felhőhöz készült Defender határozza meg olyan tényezők alapján, mint az erőforrások száma.
Az egyes előfizetések, dn-összekötők aktuális pontszámának kiszámítása ugyanúgy történik, mint egyetlen előfizetésnél vagy összekötőnél, de a súlyozás az egyenletben látható módon lesz alkalmazva.
Több előfizetés és összekötő megtekintésekor a biztonsági pontszám kiértékeli az összes engedélyezett szabályzatban lévő összes erőforrást, és csoportosítja az egyes biztonsági vezérlők maximális pontszámára gyakorolt együttes hatásukat.
Secure score for multiple subscriptions with all controls enabled
A kombinált pontszám nem átlag; inkább az összes előfizetés és összekötő összes erőforrásának állapotának kiértékelt állapota.

Itt is, ha a javaslatok oldalra lép, és összeadja az elérhető lehetséges pontokat, azt fogja tapasztalni, hogy ez a különbség az aktuális pontszám (22) és a maximális elérhető pontszám (58) között.

Milyen javaslatokat tartalmaz a biztonsági pontszám kiszámítása?

Csak a beépített javaslatok befolyásolják a biztonsági pontszámot.

Javaslatok előzetes verzióként megjelöltek nem szerepelnek a biztonsági pontszám számításaiban. A javítást továbbra is ott kell elvégezni, ahol csak lehetséges, hogy az előzetes verzió időszakának végén hozzájáruljanak a pontszámhoz.

Példa egy előzetes verzióra vonatkozó javaslatra:

Recommendation with the preview flag.

Biztonsági pontszám javítása

A biztonsági pontszám javításához javítsa ki a biztonsági javaslatokat a javaslatok listájából. Az egyes erőforrásokra vonatkozó javaslatokat manuálisan is kijavíthatja, vagy a Javítás lehetőséggel (ha elérhető) gyorsan megoldhat egy problémát több erőforráson. További információ: Javaslatok szervizelése.

A vonatkozó javaslatok kényszerítési és elutasítási beállításait is konfigurálhatja, hogy javítsa a pontszámot, és győződjön meg arról, hogy a felhasználók nem hoznak létre olyan erőforrásokat, amelyek negatívan befolyásolják a pontszámot. További információ a téves konfigurációk megelőzéséről kényszerítési/megtagadási javaslatokkal.

Biztonsági vezérlők és javaslatuk

Az alábbi táblázat az Felhőhöz készült Microsoft Defender biztonsági vezérlőinek listáját tartalmazza. Az egyes vezérlők esetében láthatja, hogy legfeljebb hány pontot adhat hozzá a biztonsági pontszámhoz, ha az összes erőforrásra vonatkozóan kijavítja a vezérlőben felsorolt összes javaslatot.

A Felhőhöz készült Defender által biztosított biztonsági javaslatok az egyes szervezetek környezetében elérhető erőforrásokhoz igazodnak. A javaslatok további testreszabásához letilthatja a szabályzatokat , és egyes erőforrásokat mentesíthet a javaslatok alól .

Azt javasoljuk, hogy minden szervezet gondosan tekintse át a hozzájuk rendelt Azure Policy kezdeményezéseket.

Tipp

A kezdeményezések áttekintéséről és szerkesztéséről további információt a Biztonsági szabályzatok használata című témakörben talál.

Bár Felhőhöz készült Defender alapértelmezett biztonsági kezdeményezése iparági ajánlott eljárásokon és szabványokon alapul, vannak olyan forgatókönyvek, amelyekben az alább felsorolt beépített javaslatok nem feltétlenül felelnek meg teljesen a szervezetnek. Néha szükség van az alapértelmezett kezdeményezés módosítására – a biztonság veszélyeztetése nélkül – annak érdekében, hogy az megfeleljen a szervezet saját szabályzatainak, iparági szabványainak, szabályozási szabványainak és teljesítménytesztjeinek.

Biztonsági pontszám Biztonsági vezérlő és leírás Javaslatok
10 MFA engedélyezése – Felhőhöz készült Defender nagy értéket helyez el a többtényezős hitelesítésen (MFA). Ezekkel a javaslatokkal biztosíthatja az előfizetések felhasználóinak védelmét.
Az MFA engedélyezésének és a javaslatoknak való megfelelésnek három módja van: alapértelmezett biztonsági beállítások, felhasználónkénti hozzárendelés, feltételes hozzáférési szabályzat. További információ ezekről a lehetőségekről az MFA-kényszerítés kezelése az előfizetéseken.
– Az MFA-t engedélyezni kell az előfizetéseken tulajdonosi engedélyekkel rendelkező fiókokon
– Az MFA-t engedélyezni kell az előfizetéseken írási engedélyekkel rendelkező fiókokon
8 Biztonságos felügyeleti portok – A találgatásos támadások gyakran felügyeleti portokat céloznak meg. Ezekkel a javaslatokkal csökkentheti a kitettségét olyan eszközökkel, mint a virtuális gépek igény szerint történő elérése és a hálózati biztonsági csoportok. – Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
– A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni
– A felügyeleti portokat be kell zárni a virtuális gépeken
6 Rendszerfrissítések alkalmazása – A frissítések alkalmazásának elmaradása nem támogatott biztonsági réseket és támadásra érzékeny környezeteket eredményez. Ezekkel a javaslatokkal fenntarthatja a működési hatékonyságot, csökkentheti a biztonsági réseket, és stabilabb környezetet biztosíthat a végfelhasználók számára. A rendszerfrissítések központi telepítéséhez az Update Management megoldással kezelheti a gépek javításait és frissítéseit . – A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A Log Analytics-ügynököt virtuálisgép-méretezési csoportokra kell telepíteni
– A Log Analytics-ügynököt virtuális gépekre kell telepíteni
– A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– Telepíteni kell a virtuálisgép-méretezési csoportok rendszerfrissítéseit
– A rendszerfrissítéseket telepíteni kell a gépekre
– A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti)
6 Biztonsági rések elhárítása – Felhőhöz készült Defender több sebezhetőség-felmérési ellenőrző eszközt is tartalmaz a gépek, adatbázisok és tárolóregisztrációs adatbázisok ellenőrzéséhez, hogy vannak-e olyan gyengeségek, amelyeket a fenyegetéselhárítók kihasználhatnak. Ezekkel a javaslatokkal engedélyezheti ezeket a szkennereket, és áttekintheti az eredményeket.
További információ a gépek, AZ SQL-kiszolgálók és a tárolóregisztrációs adatbázisok vizsgálatáról.
– Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Azure Kubernetes Service fürtökön telepítve kell lennie a Kubernetes Azure Policy bővítményének
– A tárolólemezképeket csak megbízható beállításjegyzékekből kell üzembe helyezni
– A tárolóregisztrációs adatbázis lemezképeinek biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– A függvényalkalmazások biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– A Kubernetes-fürtöknek meg kell akadályoznia a sebezhető rendszerképek üzembe helyezését
– A gépeknek biztonságirés-felmérési megoldással kell rendelkezniük
– A gépek biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– A tárolólemezképek futtatásához meg kell oldani a biztonságirés-megállapításokat
4 Biztonsági konfigurációk szervizelése – A helytelenül konfigurált informatikai eszközök nagyobb kockázatot jelentenek a támadásoknak. Ezekkel a javaslatokkal megerősítheti az azonosított helytelen konfigurációkat az infrastruktúrában. – Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Azure Kubernetes Service fürtökön telepítve kell lennie a Kubernetes Azure Policy bővítményének
– A tárolók csak engedélyezett AppArmor-profilokat használhatnak
– A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A Log Analytics-ügynököt virtuálisgép-méretezési csoportokra kell telepíteni
– A Log Analytics-ügynököt virtuális gépekre kell telepíteni
– A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A gépeket biztonságosan kell konfigurálni
– Podbiztonsági szabályzatokat kell meghatározni a Kubernetes Servicesben (elavult)
– Az SQL-adatbázisok biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– A felügyelt SQL-példányok sebezhetőségi felmérésének konfigurálva kell lennie
– A gépeken futó SQL-kiszolgálók biztonsági résekkel kapcsolatos megállapításait meg kell oldani
– Az SQL-kiszolgálók biztonságirés-felmérésének konfigurálva kell lennie
– A virtuálisgép-méretezési csoportokat biztonságosan kell konfigurálni
– A Linux rendszerű gépek biztonsági konfigurációjának biztonsági réseit ki kell javítva (a vendégkonfiguráció működteti)
– A Windows gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell (vendégkonfigurációval)
4 Hozzáférés és engedélyek kezelése – A biztonsági program egyik alapvető része biztosítja, hogy a felhasználók rendelkezzenek a munkájuk elvégzéséhez szükséges hozzáféréssel, de ennél nem többel: a legalacsonyabb jogosultsági hozzáférési modellel. Ezekkel a javaslatokkal kezelheti identitás- és hozzáférési követelményeit. – A Linux rendszerű gépeken történő hitelesítéshez SSH-kulcsok szükségesek
– Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Azure Kubernetes Service fürtökön telepítve kell lennie a Kubernetes Azure Policy bővítményének
– A jogosultságok eszkalálásával rendelkező tárolót el kell kerülni
– A bizalmas gazdagép-névtereket használó tárolókat el kell kerülni
– Az elavult fiókokat el kell távolítani az előfizetésekből
– Az elavult fiókokat el kell távolítani az Azure-erőforrásokból
– A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésekből
– A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az Azure-erőforrásokból
– A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
– A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az Azure-erőforrásokból
– Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
– Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az Azure-erőforrásokból
– A függvényalkalmazásokban engedélyezni kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat)
– A vendégkonfigurációs bővítményt telepíteni kell a gépekre
– A nem módosítható (csak olvasható) gyökér fájlrendszert kötelezővé kell tenni a tárolókhoz
– A legkevésbé emelt szintű Linux-képességeket kell kikényszeríteni a tárolókhoz
– A felügyelt identitást api-alkalmazásokban kell használni
– A felügyelt identitást függvényalkalmazásokban kell használni
– A felügyelt identitást webalkalmazásokban kell használni
– A rendszerjogosított tárolókat el kell kerülni
– Role-Based Access Control kell használni a Kubernetes Servicesben
– A tárolók gyökérszintű felhasználóként való futtatását el kell kerülni
– Service Fabric fürtök csak Azure Active Directory használhatnak az ügyfél-hitelesítéshez
– Storage fiók nyilvános hozzáférését meg kell tiltani
– A pod HostPath-kötetcsatlakoztatásainak használatát egy ismert listára kell korlátozni a sérült tárolók csomópont-hozzáférésének korlátozásához
– A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni
4 Inaktív adatok titkosításának engedélyezése – Ezekkel a javaslatokkal elháríthatja a tárolt adatok védelmével kapcsolatos helytelen konfigurációkat. – Service Fabric fürtök clusterProtectionLevel tulajdonságának EncryptAndSign értékűnek kell lennie
– engedélyezni kell az SQL-adatbázisokon transzparens adattitkosítás
– A virtuális gépeknek titkosítaniuk kell a számítási és Storage erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat
4 Átvitel alatt álló adatok titkosítása – Ezekkel a javaslatokkal biztosíthatja az összetevők, helyek vagy programok között mozgó adatok védelmét. Ezek az adatok a közbeékelt támadásokra, a lehallgatásra és a munkamenet-eltérítésre is érzékenyek. – Az API-alkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie
– Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálókon
– Engedélyezni kell az SSL-kapcsolat kényszerítése a PostgreSQL-adatbáziskiszolgálókon
– AZ FTPS-nek kötelezőnek kell lennie az API-alkalmazásokban
– FTPS-t kell használni a függvényalkalmazásokban
– A webalkalmazásokban FTPS-nek kell lennie
– A függvényalkalmazásnak csak HTTPS-en keresztül szabad elérhetőnek lennie
– A Redis Cache csak SSL-en keresztül engedélyezi a hozzáférést
– Engedélyezni kell a tárfiókokba történő biztonságos átvitelt
– A TLS-t frissíteni kell az API-alkalmazások legújabb verziójára
– A TLS-t frissíteni kell a függvényalkalmazások legújabb verziójára
– A TLS-t a webalkalmazások legújabb verziójára kell frissíteni
– A webalkalmazás csak HTTPS-kapcsolaton keresztül érhető el
4 A jogosulatlan hálózati hozzáférés korlátozása – Az Azure olyan eszközökkel rendelkezik, amelyek biztosítják, hogy a hálózaton keresztüli hozzáférések megfeleljenek a legmagasabb biztonsági követelményeknek.
Ezekkel a javaslatokkal kezelheti Felhőhöz készült Defender adaptív hálózatkonfigurálási beállításait, meggyőződhet arról, hogy minden releváns PaaS-szolgáltatáshoz konfigurálta a Azure Private Link, engedélyezte a Azure Firewall a virtuális hálózatokon, és így tovább.
– Adaptív hálózatmegszűkítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken
– Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon
– App Configuration privát kapcsolatot kell használnia
– Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Azure Cache for Redis virtuális hálózaton belül kell lennie
– Azure Event Grid tartományoknak privát kapcsolatot kell használniuk
– Azure Event Grid témaköröknek privát kapcsolatot kell használniuk
– Azure Kubernetes Service fürtökön telepítve kell lennie a Kubernetes Azure Policy bővítményének
– Azure Machine Learning munkaterületeknek privát kapcsolatot kell használniuk
- Azure SignalR Service privát kapcsolatot kell használnia
– Az Azure Spring Cloudnak hálózati injektálást kell használnia
– A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést
– A tárolóregisztrációs adatbázisoknak privát kapcsolatot kell használniuk
– A tárolóknak csak az engedélyezett portokon kell figyelnie (elavult)
– A CORS nem engedélyezheti minden erőforrás számára az API Apps elérését
– A CORS nem engedélyezheti minden erőforrás számára a függvényalkalmazások elérését
– A CORS nem engedélyezheti minden erőforrás számára a webalkalmazások elérését
– A tűzfalat engedélyezni kell a Key Vault
– Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
– Le kell tiltani az IP-továbbítást a virtuális gépen
– A Kubernetes API-kiszolgálót korlátozott hozzáféréssel kell konfigurálni
– A privát végpontot konfigurálni kell a Key Vault
– A privát végpontot engedélyezni kell MariaDB-kiszolgálókon
– A privát végpontot engedélyezni kell a MySQL-kiszolgálókon
– A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókon
– A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében
– A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon
– A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálókon
– A szolgáltatásoknak csak az engedélyezett portokon kell figyelnie
– Storage fióknak privát kapcsolati kapcsolatot kell használnia
– Storage fiókoknak virtuális hálózati szabályokkal kell korlátozniuk a hálózati hozzáférést
– Korlátozni kell a gazdagépek hálózatának és portjainak használatát
– A virtuális hálózatokat Azure Firewall kell védeni
– A VM Image Builder-sablonoknak privát kapcsolatot kell használniuk
3 Adaptív alkalmazásvezérlés alkalmazása – Az adaptív alkalmazásvezérlés egy intelligens, automatizált, végpontok közötti megoldás, amellyel szabályozható, hogy mely alkalmazások futtathatók a gépeken. Emellett segít a gépek kártevők elleni megkeményítésében. – A biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket engedélyezni kell a gépeken
– Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait
– A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A Log Analytics-ügynököt virtuális gépekre kell telepíteni
– A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
2 Alkalmazások védelme az Azure fejlett hálózatkezelési megoldásaival - – Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Azure Policy bővítménynek
– Engedélyezni kell az Azure DDoS Protection Standardot
– Azure Kubernetes Service fürtökön telepítve kell lennie a Kubernetes Azure Policy bővítményének
– A tároló processzor- és memóriakorlátait kötelezően be kell léptetni
– Web Application Firewall (WAF) engedélyezve kell lennie Application Gateway
– Web Application Firewall (WAF) engedélyezve kell lennie az Azure Front Door Service-ben
2 Végpontvédelem engedélyezése – Felhőhöz készült Defender ellenőrzi a szervezet végpontjait, hogy vannak-e aktív fenyegetésészlelési és -válaszmegoldások, például Végponthoz készült Microsoft Defender vagy a listában szereplő főbb megoldások.
Ha nem található végpontészlelési és -válasz (EDR) megoldás, ezekkel a javaslatokkal üzembe helyezheti a Végponthoz készült Microsoft Defender (a kiszolgálókhoz készült Microsoft Defender részeként).
A vezérlő egyéb javaslatai segítenek a Log Analytics-ügynök üzembe helyezésében és a fájlintegritási monitorozás konfigurálásában.
– Meg kell oldani az Endpoint Protection állapotproblémáinak elhárítását a gépeken
– Meg kell oldani az Endpoint Protection állapotproblémáinak elhárítását a gépeken
– Meg kell oldani a virtuálisgép-méretezési csoportok végpontvédelmi állapotproblémáját
– Az Endpoint Protectiont telepíteni kell a gépekre
– Az Endpoint Protectiont telepíteni kell a gépekre
– Az Endpoint Protectiont virtuálisgép-méretezési csoportokra kell telepíteni
– Végpontvédelmi megoldás telepítése virtuális gépekre
– A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni
– A Log Analytics-ügynököt virtuálisgép-méretezési csoportokra kell telepíteni
– A Log Analytics-ügynököt virtuális gépekre kell telepíteni
– A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni
1 Naplózás és naplózás engedélyezése – A részletes naplók kulcsfontosságú részét képezik az incidensvizsgálatoknak és sok más hibaelhárítási műveletnek. A vezérlő javaslatai arra összpontosítanak, hogy adott esetben engedélyezze a diagnosztikai naplókat. – Engedélyezni kell az SQL Server naplózását
– Engedélyezni kell App Service diagnosztikai naplóit
– Engedélyezni kell a diagnosztikai naplókat az Azure Data Lake Store-ban
– Engedélyezni kell a diagnosztikai naplókat az Azure Stream Analyticsben
– Engedélyezni kell a Diagnosztikai naplókat a Batch-fiókokban
– Engedélyezni kell a diagnosztikai naplókat Data Lake Analytics
– Engedélyezni kell a diagnosztikai naplókat az Event Hubban
– Engedélyezni kell Key Vault diagnosztikai naplóit
– Engedélyezni kell a Kubernetes-szolgáltatások diagnosztikai naplóit
– Engedélyezni kell a diagnosztikai naplókat a Logic Appsben
– Engedélyezni kell a keresési szolgáltatások diagnosztikai naplóit
– Engedélyezni kell a diagnosztikai naplókat Service Bus
– Engedélyezni kell Virtual Machine Scale Sets diagnosztikai naplóit
0 Fokozott biztonsági funkciók engedélyezése – Ezekkel a javaslatokkal engedélyezheti bármelyik továbbfejlesztett biztonsági szolgáltatáscsomagot. – Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek
– Azure Kubernetes Service fürtökben engedélyezni kell a Defender-profilt
– A fájlintegritási monitorozást engedélyezni kell a kiszolgálókon
– Engedélyezni kell a Microsoft Defender for App Service-t
– Engedélyezni kell a Microsoft Defendert Azure SQL Database-kiszolgálókhoz
– Engedélyezni kell a Microsoft Defender for Containers szolgáltatást
– Engedélyezni kell a DNS-hez készült Microsoft Defendert
– Engedélyezni kell a Microsoft Defender for Key Vault-t
– Engedélyezni kell a Microsoft Defendert a nyílt forráskódú relációs adatbázisokhoz
– Engedélyezni kell a Microsoft Defender for Resource Manager
– Engedélyezni kell a Microsoft Defendert a kiszolgálókhoz
– A Microsoft Defender for Serverst engedélyezni kell a munkaterületeken
– A gépeken futó SQL-hez készült Microsoft Defendert engedélyezni kell a munkaterületeken
– Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Microsoft Defendert
– Engedélyezni kell a Microsoft Defender for Storage-t
0 Ajánlott biztonsági eljárások megvalósítása – Ez a vezérlő nincs hatással a biztonsági pontszámra. Ezért ez olyan javaslatok gyűjteménye, amelyeket fontos teljesíteni a szervezet biztonsága érdekében, de úgy érezzük, hogy nem kellene részt vennie az összesített pontszám értékelésében. – [Szükség esetén engedélyezve] Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához
– [Szükség esetén engedélyezve] Azure Machine Learning munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani
- [Szükség esetén engedélyezve] A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal (CMK) történő adattitkosítást
- [Szükség esetén engedélyezve] A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani
– [Szükség esetén engedélyezve] A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
- [Szükség esetén engedélyezve] A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához
– [Szükség esetén engedélyezve] A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
– [Szükség esetén engedélyezve] Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat
- [Szükség esetén engedélyezve] Storage fiókoknak ügyfél által felügyelt kulcsot (CMK) kell használniuk a titkosításhoz
- Legfeljebb 3 tulajdonost kell kijelölni az előfizetésekhez
– A tűzfallal és virtuális hálózati konfigurációkkal rendelkező tárfiókokhoz való hozzáférést korlátozni kell
– Minden speciális veszélyforrás-védelmi típust engedélyezni kell a felügyelt SQL-példány speciális adatbiztonsági beállításaiban
– Minden speciális fenyegetésvédelmi típust engedélyezni kell az SQL Server speciális adatbiztonsági beállításaiban
– API Management szolgáltatásoknak virtuális hálózatot kell használniuk
– Az SQL-kiszolgálók naplózásának megőrzését legalább 90 napra kell beállítani
– A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésekben
– Az Automation-fiók változóit titkosítani kell
– Azure Backup engedélyezni kell a virtuális gépeken
– Az Azure Cosmos DB-fiókoknak tűzfalszabályokkal kell rendelkezniük
– A Cognitive Services-fiókoknak engedélyeznie kell az adattitkosítást
– A Cognitive Services-fiókoknak korlátozniuk kell a hálózati hozzáférést
– A Cognitive Services-fiókoknak ügyfél által birtokolt tárolót kell használniuk, vagy engedélyezni kell az adattitkosítást
– A tároló gazdagépeket biztonságosan kell konfigurálni
– Az alapértelmezett IP-szűrési szabályzatnak megtagadásnak kell lennie
– Engedélyezni kell a diagnosztikai naplókat IoT Hub
– Engedélyezni kell a nagy súlyosságú riasztások e-mailes értesítését
– Engedélyezni kell az előfizetés tulajdonosának küldött e-mailes értesítést a nagy súlyosságú riasztásokról
– Győződjön meg arról, hogy az API-alkalmazás ügyféltanúsítványok bejövő ügyféltanúsítványai be vannak kapcsolva
– Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből
– Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az Azure-erőforrásokból
– A georedundáns biztonsági mentést engedélyezni kell Azure Database for MariaDB
– A georedundáns biztonsági mentést engedélyezni kell Azure Database for MySQL
– A georedundáns biztonsági mentést engedélyezni kell Azure Database for PostgreSQL
– A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra
– A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni
– A vendégigazolási bővítményt a támogatott Windows virtuálisgép-méretezési csoportokra kell telepíteni
– A vendégigazolási bővítményt a támogatott Windows virtuális gépekre kell telepíteni
– A vendégkonfigurációs bővítményt telepíteni kell a gépekre
– Azonos hitelesítési hitelesítő adatok
- IP-szűrési szabály nagy IP-címtartománya
– A Java-t frissíteni kell az API-alkalmazások legújabb verziójára
– A Java-t frissíteni kell a függvényalkalmazások legújabb verziójára
– A Java-t frissíteni kell a webalkalmazások legújabb verziójára
- Key Vault kulcsoknak lejárati dátummal kell rendelkezniük
- Key Vault titkos kód lejárati dátummal kell rendelkeznie
– A kulcstartóknak engedélyezniük kell a végleges törlés elleni védelmet
– A kulcstartók helyreállítható törlésének engedélyezve kell lennie
– A Kubernetes-fürtöknek csak HTTPS-en keresztül kell elérhetőnek lenniük
– A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását
– A Kubernetes-fürtök nem biztosíthatnak CAPSYSADMIN biztonsági képességeket
– A Kubernetes-fürtök nem használhatják az alapértelmezett névteret
– Linux rendszerű virtuális gépeknek kötelezően érvényesítenie kell a kernelmodul aláírásának érvényesítését
– A Linux rendszerű virtuális gépek csak aláírt és megbízható rendszerindítási összetevőket használhatnak
– A Linux rendszerű virtuális gépeknek biztonságos rendszerindítást kell használniuk
– A biztonsági konfigurációs frissítések alkalmazásához újra kell indítani a gépeket
– A gépeknek lezárt portokkal kell rendelkezniük, amelyek támadási vektorokat tehetnek elérhetővé
– Az MFA-t engedélyezni kell az előfizetésekre vonatkozó olvasási engedélyekkel rendelkező fiókokon
– Az MFA-t engedélyezni kell az Azure-erőforrások olvasási engedélyeivel rendelkező fiókokon
– Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Azure SQL kiszolgálókon
– Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett felügyelt SQL-példányokhoz
- Network Watcher engedélyezni kell
– A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni
– A PHP-t frissíteni kell az API-alkalmazások legújabb verziójára
– A PHP-t a webalkalmazások legújabb verziójára kell frissíteni
– Engedélyezni kell a privát végpontkapcsolatokat a Azure SQL Database
– Le kell tiltani a nyilvános hálózati hozzáférést a Azure SQL Database
– A nyilvános hálózati hozzáférést le kell tiltani a Cognitive Services-fiókok esetében
– Python frissíteni kell az API-alkalmazások legújabb verziójára
– Python a függvényalkalmazások legújabb verziójára kell frissíteni
– Python a webalkalmazások legújabb verziójára kell frissíteni
– A távoli hibakeresést ki kell kapcsolni az API-alkalmazás esetében
– A távoli hibakeresést ki kell kapcsolni a függvényalkalmazás esetében
– Webalkalmazások esetén ki kell kapcsolni a távoli hibakeresést
– A biztonságos rendszerindítást engedélyezni kell a támogatott Windows virtuális gépeken
– Az SQL-kiszolgálóknak rendelkezniük kell egy kiépített Azure Active Directory rendszergazdával
– Storage fiókokat új Azure-Resource Manager-erőforrásokba kell migrálni
– Az alhálózatokat hálózati biztonsági csoporthoz kell társítani
– Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén
– Egynél több tulajdonost kell hozzárendelni az előfizetésekhez
– Az Azure Key Vault tárolt tanúsítványok érvényességi időtartama nem haladhatja meg a 12 hónapot
– A virtuális gépek vendégigazolási állapotának kifogástalannak kell lennie
– A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni
– A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni
– a vTPM-et engedélyezni kell a támogatott virtuális gépeken
– A webalkalmazásoknak ssl-tanúsítványt kell kérnie az összes bejövő kéréshez
– Windows Defender Exploit Guardot engedélyezni kell a gépeken
– Windows webkiszolgálót biztonságos kommunikációs protokollok használatára kell konfigurálni

Gyakori kérdések – Biztonsági pontszám

Ha egy biztonsági vezérlő négy javaslatából csak hárommal foglalkozom, megváltozik a biztonsági pontszámom?

Nem. Csak akkor változik, ha egyetlen erőforrásra vonatkozó összes javaslatot kijavítja. Egy vezérlő maximális pontszámának eléréséhez minden erőforrásra vonatkozó javaslatokat ki kell szervizelnie.

Ha egy javaslat nem vonatkozik rám, és letiltom a szabályzatban, teljesül a biztonsági vezérlőm, és frissül a biztonsági pontszámom?

Igen. Javasoljuk, hogy tiltsa le a javaslatokat, ha azok nem alkalmazhatók az Ön környezetében. Egy adott javaslat letiltására vonatkozó utasításokért tekintse meg a biztonsági szabályzatok letiltását ismertető cikket.

Ha egy biztonsági vezérlő nulla pontot ajánl a biztonsági pontszámom felé, figyelmen kívül kell hagynom?

Bizonyos esetekben a vezérlők maximális pontszáma nullánál nagyobb lesz, de a hatás nulla. Ha az erőforrások javításának növekményes pontszáma elhanyagolható, a függvény nullára kerekítve lesz. Ne hagyja figyelmen kívül ezeket a javaslatokat, mert továbbra is biztonsági fejlesztéseket hajtanak végre. Az egyetlen kivétel a "További ajánlott eljárás" vezérlő. A javaslatok javítása nem növeli a pontszámot, de növeli a teljes biztonságot.

Következő lépések

Ez a cikk a biztonsági pontszámot és a belefoglalt biztonsági vezérlőket ismertette.

A kapcsolódó anyagokért tekintse meg a következő cikkeket: