Biztonsági javaslatok

Cikk
04/01/2024

Ez a cikk felsorolja az összes biztonsági javaslatot, amely a Felhőhöz készült Microsoft Defender jelenhet meg. A környezetben megjelenő javaslatok a védeni kívánt erőforrásokon és a testre szabott konfiguráción alapulnak.

Javaslatok Felhőhöz készült Defender a Microsoft felhőbiztonsági teljesítménymutatóján alapulnak. A Microsoft felhőbiztonsági referenciamutatója a Microsoft által készített ajánlott biztonsági és megfelelőségi irányelvek halmaza. Ez a széles körben elismert referenciamutató a Center for Internet Security (CIS) és a National Institute of Standards and Technology (NIST) vezérlőire épül, a felhőközpontú biztonságra összpontosítva.

A javaslatokra válaszul végrehajtható műveletekről a Felhőhöz készült Defender vonatkozó javaslatok szervizelése című témakörben olvashat.

A biztonsági pontszám a végrehajtott biztonsági javaslatok számán alapul. Annak eldöntéséhez, hogy melyik javaslatokat kell először megoldani, tekintse meg az egyes javaslatok súlyosságát és a biztonságos pontszámra gyakorolt lehetséges hatását.

Tipp.

Ha egy javaslat leírása szerint nincs kapcsolódó szabályzat, akkor általában az az oka, hogy a javaslat egy másik javaslattól és szabályzatától függ.

Az ajánlott végpontvédelmi állapothibákat például a végpontvédelmi megoldás telepítésének ellenőrzésére szolgáló javaslat alapján kell elhárítani (végpontvédelmi megoldást kell telepíteni). Az alapul szolgáló javaslat rendelkezik szabályzattal. A szabályzatok csak az alapszintű ajánlásra való korlátozása leegyszerűsíti a szabályzatkezelést.

AppServices-javaslatok

Az API-alkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie

Leírás: A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. (Kapcsolódó szabályzat: Az API-alkalmazás csak HTTPS-en keresztül érhető el).

Súlyosság: Közepes

A CORS nem engedélyezheti minden erőforrás számára az API Apps elérését

Leírás: A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az API-alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az API-alkalmazás használatát. (Kapcsolódó szabályzat: A CORS nem engedélyezheti minden erőforrás számára az API-alkalmazás elérését).

Súlyosság: Alacsony

A CORS nem engedélyezheti minden erőforrás számára a függvényalkalmazások elérését

Leírás: A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. (Kapcsolódó szabályzat: A CORS nem engedélyezheti minden erőforrás számára a függvényalkalmazások elérését).

Súlyosság: Alacsony

A CORS nem engedélyezheti minden erőforrás számára a webalkalmazások elérését

Leírás: A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára a webalkalmazás elérését. Csak a szükséges tartományok használhatják a webalkalmazást. (Kapcsolódó szabályzat: A CORS nem engedélyezheti minden erőforrás számára a webalkalmazások elérését).

Súlyosság: Alacsony

Engedélyezni kell a diagnosztikai naplókat az App Service-ben

Leírás: Diagnosztikai naplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy a hálózat biztonsága sérül (nincs kapcsolódó szabályzat).

Súlyosság: Közepes

Győződjön meg arról, hogy az API-alkalmazás ügyféltanúsítványokkal rendelkezik, a bejövő ügyféltanúsítványok be vannak kapcsolva

Leírás: Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. (Kapcsolódó szabályzat: Győződjön meg arról, hogy az API-alkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke be van kapcsolva.

Súlyosság: Közepes

FTPS-t kell használni az API-alkalmazásokban

Leírás: Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében (kapcsolódó szabályzat: Az API-alkalmazásban csak FTPS szükséges).

Súlyosság: Magas

FTPS-t kell használni a függvényalkalmazásokban

Leírás: Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében (kapcsolódó szabályzat: Az FTPS-nek csak a függvényalkalmazásban kell lennie).

Súlyosság: Magas

FTPS-t kell használni a webalkalmazásokban

Leírás: Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében (kapcsolódó szabályzat: Az FTPS-t kötelező megadni a webalkalmazásban).

Súlyosság: Magas

A függvényalkalmazás csak HTTPS-en keresztül érhető el

Leírás: A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. (Kapcsolódó szabályzat: A függvényalkalmazás csak HTTPS-en keresztül érhető el.

Súlyosság: Közepes

A függvényalkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat)

Leírás: Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. (Kapcsolódó szabályzat: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" lehetőséget.

Súlyosság: Közepes

A Java-t frissíteni kell az API-alkalmazások legújabb verziójára

Leírás: A Java-hoz rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. Az API-alkalmazások legújabb Python-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha az API-alkalmazás részeként használják).

Súlyosság: Közepes

A felügyelt identitást api-alkalmazásokban kell használni

Leírás: A fokozott hitelesítési biztonság érdekében használjon felügyelt identitást. Az Azure-ban a felügyelt identitások nem igénylik, hogy a fejlesztőknek hitelesítő adatokat kell kezelniük az Azure AD-ben található Azure-erőforrás identitásának biztosításával és az Azure Active Directory-jogkivonatok (Azure AD) beszerzéséhez való használatával. (Kapcsolódó szabályzat: Felügyelt identitást kell használni az API-alkalmazásban).

Súlyosság: Közepes

A felügyelt identitást a függvényalkalmazásokban kell használni

Leírás: A fokozott hitelesítési biztonság érdekében használjon felügyelt identitást. Az Azure-ban a felügyelt identitások nem igénylik, hogy a fejlesztőknek hitelesítő adatokat kell kezelniük az Azure AD-ben található Azure-erőforrás identitásának biztosításával és az Azure Active Directory-jogkivonatok (Azure AD) beszerzéséhez való használatával. (Kapcsolódó szabályzat: A felügyelt identitást a függvényalkalmazásban kell használni.

Súlyosság: Közepes

A felügyelt identitást webalkalmazásokban kell használni

Leírás: A fokozott hitelesítési biztonság érdekében használjon felügyelt identitást. Az Azure-ban a felügyelt identitások nem igénylik, hogy a fejlesztőknek hitelesítő adatokat kell kezelniük az Azure AD-ben található Azure-erőforrás identitásának biztosításával és az Azure Active Directory-jogkivonatok (Azure AD) beszerzéséhez való használatával. (Kapcsolódó szabályzat: A felügyelt identitást a webalkalmazásban kell használni.

Súlyosság: Közepes

Engedélyezni kell a Microsoft Defender for App Service-t

Leírás: A Microsoft Defender for App Service a felhő skáláját és az Azure felhőszolgáltatóként való láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. Az App Service-hez készült Microsoft Defender felderítheti az alkalmazásai elleni támadásokat, és azonosíthatja a felmerülő támadásokat.

Fontos: A javaslat szervizelése díjjal jár az App Service-csomagok védelméért. Ha nem rendelkezik App Service-csomagtal ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen App Service-csomagot hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a webalkalmazások és API-k védelméről. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defender for App Service-t).

Súlyosság: Magas

A PHP-t frissíteni kell az API-alkalmazások legújabb verziójára

Leírás: Rendszeres időközönként újabb verziók jelennek meg a PHP-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. Az API-alkalmazások legújabb PHP-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "PHP-verzió" a legújabb, ha az API-alkalmazás részeként használják).

Súlyosság: Közepes

A Pythont frissíteni kell az API-alkalmazások legújabb verziójára

Leírás: A Python-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az API-alkalmazások legújabb Python-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Python-verzió" a legújabb, ha az API-alkalmazás részeként használják).

Súlyosság: Közepes

Az API-alkalmazás esetében ki kell kapcsolni a távoli hibakeresést

Leírás: A távoli hibakereséshez meg kell nyitni a bejövő portokat egy API-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. (Kapcsolódó szabályzat: Az API Apps esetében ki kell kapcsolni a távoli hibakeresést).

Súlyosság: Alacsony

A függvényalkalmazás esetében ki kell kapcsolni a távoli hibakeresést

Leírás: A távoli hibakereséshez meg kell nyitni a bejövő portokat egy Azure-függvényalkalmazásban. A távoli hibakeresést ki kell kapcsolni. (Kapcsolódó szabályzat: A függvényalkalmazások esetében ki kell kapcsolni a távoli hibakeresést.

Súlyosság: Alacsony

Webalkalmazások esetén ki kell kapcsolni a távoli hibakeresést

Leírás: A távoli hibakereséshez meg kell nyitni a bejövő portokat egy webalkalmazáson. A távoli hibakeresés jelenleg engedélyezve van. Ha már nem kell távoli hibakeresést használnia, ki kell kapcsolnia. (Kapcsolódó szabályzat: A távoli hibakeresést ki kell kapcsolni a webalkalmazások esetében).

Súlyosság: Alacsony

A TLS-t frissíteni kell az API-alkalmazások legújabb verziójára

Leírás: Frissítsen a legújabb TLS-verzióra. (Kapcsolódó szabályzat: Az API-alkalmazásban a legújabb TLS-verziót kell használni.

Súlyosság: Magas

A TLS-t frissíteni kell a függvényalkalmazások legújabb verziójára

Leírás: Frissítsen a legújabb TLS-verzióra. (Kapcsolódó szabályzat: A legújabb TLS-verziót kell használni a függvényalkalmazásban).

Súlyosság: Magas

A TLS-t frissíteni kell a webalkalmazások legújabb verziójára

Leírás: Frissítsen a legújabb TLS-verzióra. (Kapcsolódó szabályzat: A legújabb TLS-verziót kell használni a webalkalmazásban).

Súlyosság: Magas

A webalkalmazásnak csak HTTPS-en keresztül kell elérhetőnek lennie

Leírás: A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. (Kapcsolódó szabályzat: A webalkalmazás csak HTTPS-en keresztül érhető el).

Súlyosság: Közepes

A webalkalmazásoknak SSL-tanúsítványt kell kérnie az összes bejövő kéréshez

Leírás: Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a WEB app "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be" értékre van állítva.

Súlyosság: Közepes

Számítási javaslatok

A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken

Leírás: Engedélyezze az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, ha más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében Felhőhöz készült Defender gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. (Kapcsolódó szabályzat: A gépeken engedélyezni kell a biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket.

Súlyosság: Magas

Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait

Leírás: Figyelheti a Felhőhöz készült Defender adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. Felhőhöz készült Defender gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. (Kapcsolódó szabályzat: Az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait frissíteni kell.

Súlyosság: Magas

A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek

Leírás: Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ a részletes lépésekről : SSH-kulcsok létrehozása és kezelése Linux rendszerű virtuális gépek azure-beli hitelesítéséhez. (Kapcsolódó szabályzat: Naplózhatja azokat a Linux-gépeket, amelyek nem használnak SSH-kulcsot hitelesítéshez).

Súlyosság: Közepes

Az Automation-fiók változóit titkosítani kell

Leírás: Fontos engedélyezni az Automation-fiók változóeszközeinek titkosítását bizalmas adatok tárolásakor. (Kapcsolódó szabályzat: Az Automation-fiók változóit titkosítani kell).

Súlyosság: Magas

Az Azure Backupot engedélyezni kell virtuális gépeken

Leírás: Az Azure-beli virtuális gépek adatainak védelme az Azure Backup használatával. Az Azure Backup egy azure-natív, költséghatékony adatvédelmi megoldás. Georedundáns helyreállítási tárolókban tárolt helyreállítási pontokat hoz létre. Helyreállítási pontról történő visszaállításkor visszaállíthatja a teljes virtuális gépet, vagy csak bizonyos fájlokat. (Kapcsolódó szabályzat: Az Azure Backupot engedélyezni kell a virtuális gépeken).

Súlyosság: Alacsony

A tároló gazdagépeket biztonságosan kell konfigurálni

Leírás: A biztonsági konfiguráció biztonsági réseinek elhárítása a Dockerrel telepített gépeken a támadások elleni védelem érdekében. (Kapcsolódó szabályzat: A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell.

Súlyosság: Magas

Engedélyezni kell a diagnosztikai naplókat az Azure Stream Analyticsben

Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat az Azure Stream Analyticsben).

Súlyosság: Alacsony

Engedélyezni kell a Batch-fiókok diagnosztikai naplóit

Súlyosság: Alacsony

Engedélyezni kell a diagnosztikai naplókat az Event Hubsban

Súlyosság: Alacsony

A Logic Apps diagnosztikai naplóit engedélyezni kell

Leírás: Ha meg szeretné győződni arról, hogy biztonsági incidens vagy a hálózat sérülése esetén újra létrehozhat tevékenységnaplókat vizsgálati célokra, engedélyezze a naplózást. Ha a diagnosztikai naplókat nem a Log Analytics-munkaterületre, az Azure Storage-fiókba vagy az Azure Event Hubsba küldi, győződjön meg arról, hogy a diagnosztikai beállításokat úgy konfigurálta, hogy platformmetrikákat és platformnaplókat küldjön a megfelelő célhelyekre. További információ a diagnosztikai beállítások létrehozásáról, amellyel platformnaplókat és metrikákat küldhet különböző célhelyekre. (Kapcsolódó szabályzat: Engedélyezni kell a diagnosztikai naplókat a Logic Appsben).

Súlyosság: Alacsony

Engedélyezni kell a diagnosztikai naplókat Search szolgáltatás

Súlyosság: Alacsony

A Service Bus diagnosztikai naplóit engedélyezni kell

Súlyosság: Alacsony

Engedélyezni kell a diagnosztikai naplókat a virtuálisgép-méretezési csoportokban

Súlyosság: Magas

Végponti észlelés és reagálás konfigurációs problémákat meg kell oldani a virtuális gépeken

Leírás: A virtuális gépek legújabb fenyegetésekkel és biztonsági résekkel szembeni védelméhez oldja meg a telepített végpontészlelési és válaszmegoldás (Végponti észlelés és reagálás) összes azonosított konfigurációs problémáját.
Megjegyzés: Ez a javaslat jelenleg csak azokra az erőforrásokra vonatkozik, amelyeken engedélyezve van a Végponthoz készült Microsoft Defender (MDE).

Súlyosság: Alacsony

Végponti észlelés és reagálás megoldást telepíteni kell a virtuális gépekre

Leírás: A végpontészlelési és válaszmegoldás (Végponti észlelés és reagálás) virtuális gépekre történő telepítése fontos a speciális fenyegetések elleni védelemhez. Végponti észlelés és reagálás segít ezeknek a fenyegetéseknek a megelőzésében, észlelésében, kivizsgálásában és megválaszolásában. A Microsoft Defender for Servers Végponthoz készült Microsoft Defender üzembe helyezésére használható. Ha egy erőforrás "Nem kifogástalan" besorolású, az azt jelzi, hogy nincs támogatott Végponti észlelés és reagálás megoldás. Ha telepítve van egy Végponti észlelés és reagálás megoldás, de ez a javaslat nem deríthető fel, az kivételt képezhet. Végponti észlelés és reagálás megoldás nélkül a virtuális gépek fokozott veszélynek vannak kitéve.

Súlyosság: Magas

Meg kell oldani a virtuálisgép-méretezési csoportok végpontvédelmi állapotproblémáját

Leírás: A virtuálisgép-méretezési csoportok végpontvédelmi állapothibáinak elhárítása a fenyegetések és a biztonsági rések elleni védelem érdekében. (Kapcsolódó szabályzat: A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra).

Súlyosság: Alacsony

A végpontvédelmet telepíteni kell a virtuálisgép-méretezési csoportokra

Leírás: Telepítsen egy végpontvédelmi megoldást a virtuális gépek méretezési csoportjaira, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. (Kapcsolódó szabályzat: A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra).

Súlyosság: Magas

A fájlintegritási monitorozást engedélyezni kell a gépeken

Leírás: Felhőhöz készült Defender azonosította azokat a gépeket, amelyekből hiányzik egy fájlintegritási monitorozási megoldás. A kritikus fájlok, beállításkulcsok és egyebek módosításainak figyeléséhez engedélyezze a fájlintegritási monitorozást. Ha engedélyezve van a fájlintegritási monitorozási megoldás, hozzon létre adatgyűjtési szabályokat a figyelni kívánt fájlok meghatározásához. Szabályok definiálásához vagy a meglévő szabályokkal rendelkező gépeken módosított fájlok megtekintéséhez nyissa meg a fájlintegritási figyelési felügyeleti lapot. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A vendégigazolási bővítményt a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra kell telepíteni

Leírás: Telepítse a Vendégigazolási bővítményt a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra, hogy lehetővé tegye Felhőhöz készült Microsoft Defender a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik.

Fontos: A megbízható indításhoz új virtuális gépekre van szükség. Az eredetileg anélkül létrehozott meglévő virtuális gépeken nem engedélyezheti a megbízható indítást. További információ az Azure-beli virtuális gépek megbízható indításáról. (Nincs kapcsolódó szabályzat)

Súlyosság: Alacsony

A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni

Leírás: Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy lehetővé tegye Felhőhöz készült Microsoft Defender a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indítást engedélyező Linux rendszerű virtuális gépekre vonatkozik.

Súlyosság: Alacsony

A vendégigazolási bővítményt a támogatott Windows rendszerű virtuálisgép-méretezési csoportokra kell telepíteni

Leírás: Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy lehetővé tegye Felhőhöz készült Microsoft Defender a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett virtuálisgép-méretezési csoportokra vonatkozik.

Súlyosság: Alacsony

A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni

Leírás: Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy lehetővé tegye Felhőhöz készült Microsoft Defender a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik.

Súlyosság: Alacsony

A vendégkonfigurációs bővítményt telepíteni kell a gépekre

Leírás: A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítés után a vendégen belüli szabályzatok is elérhetők lesznek, például engedélyezni kell a Windows Exploit Guardot. (Kapcsolódó szabályzat: A virtuális gépeknek rendelkezniük kell a Vendégkonfiguráció bővítménysel).

Súlyosság: Közepes

Végpontvédelmi megoldás telepítése virtuális gépekre

Leírás: Telepítsen egy végpontvédelmi megoldást a virtuális gépekre, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. (Kapcsolódó szabályzat: A hiányzó Endpoint Protection monitorozása az Azure Security Centerben).

Súlyosság: Magas

A Linux rendszerű virtuális gépeknek a kernelmodulok aláírásának érvényesítését kell kikényszeríteni

Leírás: A rosszindulatú vagy jogosulatlan kód kernel módban történő végrehajtásának elkerülése érdekében kényszerítse ki a kernelmodulok aláírásának érvényesítését a támogatott Linux rendszerű virtuális gépeken. A kernelmodulok aláírásának ellenőrzése biztosítja, hogy csak megbízható kernelmodulok fussanak. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. (Nincs kapcsolódó szabályzat)

Súlyosság: Alacsony

A Linux rendszerű virtuális gépeknek csak aláírt és megbízható rendszerindítási összetevőket kell használniuk

Leírás: Ha engedélyezve van a biztonságos rendszerindítás, minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel, kernelillesztő) megbízható közzétevőknek kell aláírnia. Felhőhöz készült Defender nem megbízható operációsrendszer-rendszerindítási összetevőket azonosított egy vagy több Linux-gépen. Ha meg szeretné védeni a gépeket a potenciálisan rosszindulatú összetevőktől, vegye fel őket az engedélyezési listára, vagy távolítsa el az azonosított összetevőket. (Nincs kapcsolódó szabályzat)

Súlyosság: Alacsony

A Linux rendszerű virtuális gépeknek biztonságos rendszerindítást kell használniuk

Leírás: A kártevőalapú rootkitek és rendszerindító készletek telepítése elleni védelem érdekében engedélyezze a biztonságos rendszerindítást a támogatott Linux rendszerű virtuális gépeken. A Biztonságos rendszerindítás biztosítja, hogy csak aláírt operációs rendszerek és illesztőprogramok fussanak. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. (Nincs kapcsolódó szabályzat)

Súlyosság: Alacsony

A Log Analytics-ügynököt Linux-alapú Azure Arc-kompatibilis gépekre kell telepíteni

Leírás: Felhőhöz készült Defender a Log Analytics-ügynök (más néven OMS) használatával gyűjt biztonsági eseményeket az Azure Arc-gépekről. Ha az ügynököt az összes Azure Arc-gépen szeretné üzembe helyezni, kövesse a szervizelési lépéseket. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra

Leírás: Felhőhöz készült Defender adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. Az adatok gyűjtése a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) használatával történik, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a munkaterületre. Ezt az eljárást akkor is követnie kell, ha a virtuális gépeket egy Azure által felügyelt szolgáltatás, például az Azure Kubernetes Service vagy az Azure Service Fabric használja. Nem konfigurálhatja az ügynök automatikus kiépítését az Azure-beli virtuálisgép-méretezési csoportokhoz. Ha az ügynököt virtuálisgép-méretezési csoportokon szeretné üzembe helyezni (beleértve az Azure által felügyelt szolgáltatások, például az Azure Kubernetes Service és az Azure Service Fabric által használtakat is), kövesse a szervizelési lépésekben leírt eljárást. (Kapcsolódó szabályzat: A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához.

Súlyosság: Magas

A Log Analytics-ügynököt telepíteni kell a virtuális gépekre

Leírás: Felhőhöz készült Defender adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. Az adatok gyűjtése a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) használatával történik, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Ez az ügynök akkor is szükséges, ha a virtuális gépeket egy Azure által felügyelt szolgáltatás, például az Azure Kubernetes Service vagy az Azure Service Fabric használja. Javasoljuk, hogy az ügynök automatikus üzembe helyezéséhez konfigurálja az automatikus kiépítést . Ha úgy dönt, hogy nem használja az automatikus kiépítést, manuálisan helyezze üzembe az ügynököt a virtuális gépeken a szervizelési lépések utasításait követve. (Kapcsolódó szabályzat: A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához.

Súlyosság: Magas

A Log Analytics-ügynököt Windows-alapú Azure Arc-kompatibilis gépekre kell telepíteni

Leírás: Felhőhöz készült Defender a Log Analytics-ügynök (más néven MMA) használatával gyűjt biztonsági eseményeket az Azure Arc-gépekről. Ha az ügynököt az összes Azure Arc-gépen szeretné üzembe helyezni, kövesse a szervizelési lépéseket. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A gépeket biztonságosan kell konfigurálni

Leírás: A biztonsági konfiguráció biztonsági réseinek elhárítása a gépeken a támadások elleni védelem érdekében. (Kapcsolódó szabályzat: A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell.

Súlyosság: Alacsony

A biztonsági konfigurációs frissítések alkalmazásához újra kell indítani a gépeket

Leírás: A biztonsági konfiguráció frissítéseinek alkalmazásához és a biztonsági rések elleni védelemhez indítsa újra a gépeket. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. (Nincs kapcsolódó szabályzat)

Súlyosság: Alacsony

A gépeknek sebezhetőségi felmérési megoldással kell rendelkezniük

Leírás: Felhőhöz készült Defender rendszeresen ellenőrzi a csatlakoztatott gépeket, hogy biztonságirés-felmérési eszközöket futtasson. Használja ezt a javaslatot egy sebezhetőségi felmérési megoldás üzembe helyezéséhez. (Kapcsolódó szabályzat: A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken).

Súlyosság: Közepes

A gépeken meg kell oldani a biztonságirés-megállapításokat

Leírás: Oldja fel a virtuális gépek biztonságirés-felmérési megoldásainak eredményeit. (Kapcsolódó szabályzat: A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken).

Súlyosság: Alacsony

A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie

Leírás: Felhőhöz készült Defender a hálózati biztonsági csoport felügyeleti portjainak néhány túlságosan megengedő bejövő szabályát azonosította. Engedélyezze az igény szerinti hozzáférés-vezérlést, hogy megvédje a virtuális gépet az internetes találgatásos támadásoktól. További információ az igény szerinti (JIT) virtuális gépek hozzáférésének megismeréséről. (Kapcsolódó szabályzat: A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie.

Súlyosság: Magas

Engedélyezni kell a Microsoft Defendert a kiszolgálókhoz

Leírás: A Kiszolgálókhoz készült Microsoft Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatok számára, és keményítési javaslatokat, valamint gyanús tevékenységekre vonatkozó riasztásokat hoz létre. Ezekkel az információkkal gyorsan elháríthatja a biztonsági problémákat, és javíthatja a kiszolgálók biztonságát.

Fontos: A javaslat szervizelése a kiszolgálók védelmének költségeit fogja eredményezni. Ha nem rendelkezik kiszolgálóval ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen kiszolgálót hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a Microsoft Defender kiszolgálókhoz való bevezetéséről. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defendert a kiszolgálókhoz).

Súlyosság: Magas

A Microsoft Defendert a munkaterületeken engedélyezni kell

Leírás: A Microsoft Defender kiszolgálói fenyegetésészlelést és speciális védelmet biztosít a Windows- és Linux-gépekhez. Ha ez a Defender-csomag engedélyezve van az előfizetésein, de a munkaterületeken nem, akkor a Microsoft Defender kiszolgálóinak teljes kapacitásáért kell fizetnie, de az előnyök némelyikét kihagyja. Ha engedélyezi a Microsoft Defendert egy munkaterület kiszolgálói számára, az adott munkaterületre jelentéssel rendelkező összes gép a Microsoft Defenderért lesz kiszámlázva a kiszolgálók számára – még akkor is, ha azok a Defender-csomagok engedélyezése nélküli előfizetésekben vannak. Ha nem engedélyezi a Microsoft Defendert az előfizetés kiszolgálói számára, ezek a gépek nem fogják tudni kihasználni az Azure-erőforrásokhoz való igény szerint elérhető virtuálisgép-hozzáférést, adaptív alkalmazásvezérlőket és hálózati észleléseket. További információ a Microsoft Defender kiszolgálókhoz való bevezetéséről. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken

Leírás: Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés csak a megbízható indításra engedélyezett Windows rendszerű virtuális gépekre vonatkozik.

Súlyosság: Alacsony

A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie

Leírás: A Service Fabric három védelmi szintet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen. (Kapcsolódó szabályzat: A Service Fabric-fürtöknek a ClusterProtectionLevel tulajdonságot EncryptAndSign értékre kell állítaniuk.

Súlyosság: Magas

A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez

Leírás: Ügyfél-hitelesítés végrehajtása csak az Azure Active Directoryn keresztül a Service Fabricben (kapcsolódó szabályzat: A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez).

Súlyosság: Magas

A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell

Leírás: Telepítse a hiányzó rendszerbiztonsági és kritikus frissítéseket a Windows és Linux rendszerű virtuálisgép-méretezési csoportok biztonságossá tételéhez. (Kapcsolódó szabályzat: A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell).

Súlyosság: Magas

A rendszerfrissítéseket telepíteni kell a gépekre

Leírás: Telepítse a hiányzó rendszerbiztonságot és kritikus frissítéseket a Windows és Linux rendszerű virtuális gépek és számítógépek védelméhez (kapcsolódó szabályzat: A rendszerfrissítéseket telepíteni kell a gépekre).

Súlyosság: Magas

A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti)

Leírás: A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes kiugró javítás telepítéséhez és a gépek védelméhez kövesse a szervizelési lépéseket. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A virtuálisgép-méretezési csoportokat biztonságosan kell konfigurálni

Leírás: A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseinek elhárítása a támadások elleni védelem érdekében. (Kapcsolódó szabályzat: A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell.

Súlyosság: Magas

A virtuális gépek vendégigazolási állapotának kifogástalannak kell lennie

Leírás: A vendégigazolás úgy történik, hogy egy megbízható naplót (TCGLog) küld egy igazolási kiszolgálónak. A kiszolgáló ezeket a naplókat használja annak meghatározására, hogy a rendszerindító összetevők megbízhatóak-e. Ez az értékelés a rendszerindítási lánc sérüléseinek észlelésére szolgál, amely egy bootkit vagy rootkit fertőzés eredménye lehet. Ez az értékelés csak azokra a megbízható indítású virtuális gépekre vonatkozik, amelyeken telepítve van a vendégigazolási bővítmény. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni

Leírás: A Vendégkonfiguráció bővítményhez egy rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt a rendszer által hozzárendelt felügyelt identitással rendelkező Azure-beli virtuális gépeken kell üzembe helyezni).

Súlyosság: Közepes

A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni

Leírás: A (klasszikus) virtuális gépek elavultak, és ezeket a virtuális gépeket át kell telepíteni az Azure Resource Managerbe. Mivel az Azure Resource Manager már rendelkezik teljes IaaS-képességekkel és egyéb fejlődésekkel, 2020. február 28-án megszüntettük az IaaS virtuális gépek (VM-ek) Felügyeletét az Azure Service Manageren (ASM) keresztül. Ezt a funkciót 2023. március 1-jén teljesen kivonjuk.

Az összes érintett klasszikus virtuális gép megtekintéséhez mindenképpen válassza ki az összes Azure-előfizetését a "könyvtárak + előfizetések" lapon.

Rendelkezésre álló erőforrások és információk az eszközről és az áttelepítésről: A virtuális gépek (klasszikus) elavulásának áttekintése, lépésről lépésre a migrálás folyamata és az elérhető Microsoft-erőforrások.Az Azure Resource Manager migrálási eszközének részletei.Migrálás az Azure Resource Manager migrálási eszközére a PowerShell használatával. (Kapcsolódó szabályzat: A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni).

Súlyosság: Magas

A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat

A gazdaszámítógép titkosítási funkcióját vagy a 2-et használja. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel az Ön biztonsági követelményeinek. További információ az Azure Disk Storage kiszolgálóoldali titkosításáról. (Kapcsolódó szabályzat: Lemeztitkosítást kell alkalmazni a virtuális gépeken)

Súlyosság: Magas

A vTPM-et engedélyezni kell a támogatott virtuális gépeken

Leírás: Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és a TPM-et igénylő egyéb operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik.

Súlyosság: Alacsony

A Linux rendszerű gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell (vendégkonfigurációval)

Leírás: A linuxos gépek biztonsági konfigurációjának biztonsági réseinek elhárítása a támadások elleni védelem érdekében. (Kapcsolódó szabályzat: A Linux rendszerű gépeknek meg kell felelniük az Azure biztonsági alapkonfiguráció követelményeinek.

Súlyosság: Alacsony

A Windows rendszerű gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell (vendégkonfigurációval)

Leírás: A windowsos gépek biztonsági konfigurációjának biztonsági réseinek elhárítása a támadások elleni védelem érdekében. (Nincs kapcsolódó szabályzat)

Súlyosság: Alacsony

A Windows Defender Exploit Guardot engedélyezni kell a gépeken

Leírás: A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). (Kapcsolódó szabályzat: Olyan Windows-gépek naplózása, amelyeken a Windows Defender Exploit Guard nincs engedélyezve).

Súlyosság: Közepes

A Windows-webkiszolgálókat biztonságos kommunikációs protokollok használatára kell konfigurálni

Leírás: Az interneten keresztül közölt adatok védelméhez a webkiszolgálóknak az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS biztonsági tanúsítványokkal védi a hálózaton keresztüli kommunikációt a gépek közötti kapcsolat titkosításához. (Kapcsolódó szabályzat: A biztonságos kommunikációs protokollokat nem használó Windows-webkiszolgálók naplózása).

Súlyosság: Magas

[Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot

Leírás: A virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva; az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem lesznek titkosítva a számítási és tárolási erőforrások között. Az összes adat titkosításához használja az Azure Disk Encryptiont vagy a EncryptionAtHostot. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. (Kapcsolódó szabályzat: [Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot.

Súlyosság: Magas

[Előzetes verzió]: A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot

Leírás: A virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva; az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem lesznek titkosítva a számítási és tárolási erőforrások között. Az összes adat titkosításához használja az Azure Disk Encryptiont vagy a EncryptionAtHostot. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. (Kapcsolódó szabályzat: [Előzetes verzió]: A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot.

Súlyosság: Magas

A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen

Leírás: A gazdagép titkosításának használatával lekérheti a virtuális gép és a virtuálisgép-méretezési csoport adatainak végpontok közötti titkosítását. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: Az Azure Portal használatával engedélyezheti a végpontok közötti titkosítást a gazdagép titkosításával. (Kapcsolódó szabályzat: A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen).

Súlyosság: Közepes

(Előzetes verzió) Az Azure Stack HCI-kiszolgálóknak meg kell felelniük a biztonságos magra vonatkozó követelményeknek

Leírás: Győződjön meg arról, hogy minden Azure Stack HCI-kiszolgáló megfelel a biztonságos magra vonatkozó követelményeknek. (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt telepíteni kell a gépekre – Microsoft Azure).

Súlyosság: Alacsony

(Előzetes verzió) Az Azure Stack HCI-kiszolgálóknak következetesen kényszerített alkalmazásvezérlési szabályzatokkal kell rendelkezniük

Leírás: Legalább alkalmazza a Microsoft WDAC alapszabályzatát kényszerített módban az összes Azure Stack HCI-kiszolgálón. Az alkalmazott Windows Defender alkalmazásvezérlő (WDAC) házirendnek konzisztensnek kell lennie az ugyanazon fürt kiszolgálói között. (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt telepíteni kell a gépekre – Microsoft Azure).

Súlyosság: Magas

(Előzetes verzió) Az Azure Stack HCI-rendszereknek titkosított kötetekkel kell rendelkezniük

Leírás: A BitLocker használatával titkosíthatja az operációs rendszert és az adatköteteket az Azure Stack HCI-rendszereken. (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt telepíteni kell a gépekre – Microsoft Azure).

Súlyosság: Magas

(Előzetes verzió) A gazdagép- és virtuálisgép-hálózatkezelést védeni kell az Azure Stack HCI-rendszereken

Leírás: Adatok védelme az Azure Stack HCI-gazdagép hálózatán és a virtuálisgép-hálózati kapcsolatokon. (Kapcsolódó szabályzat: A vendégkonfigurációs bővítményt telepíteni kell a gépekre – Microsoft Azure).

Súlyosság: Alacsony

Tárolójavaslatok

[Előzetes verzió] Az Azure Registry tárolórendszerképeinek feloldva kell lennie a biztonságirés-megállapításoknak

Leírás: Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

[Előzetes verzió] Az Azure-ban futó tárolók biztonsági réseinek megoldására van szükség

Leírás: Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék-rendszerképekhez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

(Szükség esetén engedélyezve) A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról: https://aka.ms/acr/CMK. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal (CMK) kell titkosítani.

Súlyosság: Alacsony

Típus: Vezérlősík

Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek

Leírás: A Kubernetes Azure Policy-bővítménye kibővíti a Gatekeeper v3-at, az Open Policy Agenthez (OPA) készült beléptető vezérlő webhookot, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Vezérlősík

Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek

Leírás: Az Azure Arc Defender bővítménye fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes vezérlősíkjának (fő) csomópontjáról, és elküldi azokat a felhőbeli Microsoft Defender for Kubernetes háttérrendszernek további elemzés céljából. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Vezérlősík

Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt

Leírás: A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender profilt az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági eseményadatok gyűjtéséhez. További információ a Microsoft Defender for Containers bemutatása című témakörben. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Vezérlősík

Az Azure Kubernetes Service-fürtöknek telepítve kell lenniük a Kubernetes Azure Policy bővítményével

Leírás: A KubernetesHez készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökön a nagy léptékű kényszerítéseket és védelmet. Felhőhöz készült Defender megköveteli a bővítményt a biztonsági képességek és a megfelelőség naplózásához és érvényesítéséhez a fürtökben. További információ. A Kubernetes 1.14.0-s vagy újabb verzióját igényli. (Kapcsolódó szabályzat: A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön.

Súlyosság: Magas

Típus: Vezérlősík

A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést

Leírás: Az Azure tárolóregisztrációs adatbázisai alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, csak meghatározott nyilvános IP-címekről vagy címtartományokból engedélyezze a hozzáférést. Ha a beállításjegyzék nem rendelkezik IP-/tűzfalszabálysal vagy konfigurált virtuális hálózatokkal, akkor az nem megfelelő erőforrásokban jelenik meg. További információ a Container Registry hálózati szabályairól itt és https://aka.ms/acr/portal/public-network itt https://aka.ms/acr/vnet. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést.

Súlyosság: Közepes

Típus: Vezérlősík

A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. (Kapcsolódó szabályzat: A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk.

Súlyosság: Közepes

Típus: Vezérlősík

A Kubernetes-szolgáltatások diagnosztikai naplóit engedélyezni kell

Leírás: Engedélyezze a diagnosztikai naplókat a Kubernetes-szolgáltatásokban, és őrizze meg őket akár egy évig. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra biztonsági incidensek esetén. (Nincs kapcsolódó szabályzat)

Súlyosság: Alacsony

Típus: Vezérlősík

A Kubernetes API-kiszolgálót korlátozott hozzáféréssel kell konfigurálni

Leírás: Annak érdekében, hogy csak az engedélyezett hálózatokból, gépekről vagy alhálózatokból származó alkalmazások férhessenek hozzá a fürthöz, korlátozza a Kubernetes API-kiszolgálóhoz való hozzáférést. A hozzáférést korlátozhatja az engedélyezett IP-tartományok meghatározásával, vagy az API-kiszolgálók privát fürtként való beállításával, ahogyan azt a Privát Azure Kubernetes Service-fürt létrehozása című témakörben leírtak ismertetik. (Kapcsolódó szabályzat: Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni.

Súlyosság: Magas

Típus: Vezérlősík

Szerepköralapú hozzáférés-vezérlést kell használni a Kubernetes Servicesben

Leírás: A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. (Kapcsolódó szabályzat: A szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni.

Súlyosság: Magas

Típus: Vezérlősík

Engedélyezni kell a Microsoft Defender for Containers szolgáltatást

Leírás: A Microsoft Defender for Containers az Azure-, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. Ezen adatok alapján gyorsan elháríthatja a biztonsági problémákat, és javíthatja tárolói védelmét.

Fontos: A javaslat szervizelése díjakat eredményez a Kubernetes-fürtök védelméért. Ha nem rendelkezik Kubernetes-fürtökkel ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen Kubernetes-fürtöt hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a Microsoft Defender for Containers bemutatása című témakörben. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Vezérlősík

A tároló processzor- és memóriakorlátait kötelező megadni

Leírás: A processzor- és memóriakorlátok kényszerítése megakadályozza az erőforrás-kimerülési támadásokat (a szolgáltatásmegtagadási támadás egy formája).

Javasoljuk, hogy a tárolókra vonatkozó korlátokat állítson be annak érdekében, hogy a futtatókörnyezet megakadályozza, hogy a tároló a konfigurált erőforráskorlátnál többet használjon.

(Kapcsolódó szabályzat: Győződjön meg arról, hogy a tároló cpu- és memóriaerőforrás-korlátai nem lépik túl a Kubernetes-fürtben megadott korlátokat.

Súlyosság: Közepes

Típus: Kubernetes-adatsík

A tárolólemezképeket csak megbízható adatbázisból kell üzembe helyezni

Leírás: A Kubernetes-fürtön futó képeknek ismert és figyelt tárolórendszerkép-nyilvántartásokból kell származnia. A megbízható adatbázis-adatbázisok csökkentik a fürt expozíciós kockázatát azáltal, hogy korlátozzák az ismeretlen biztonsági rések, biztonsági problémák és rosszindulatú képek bevezetésének lehetőségét.

(Kapcsolódó szabályzat: Győződjön meg arról, hogy csak az engedélyezett tárolólemezképek használhatók a Kubernetes-fürtben).

Súlyosság: Magas

Típus: Kubernetes-adatsík

A jogosultságok eszkalálásával rendelkező tárolót kerülni kell

Leírás: A tárolók nem futtathatók jogosultság-eszkalációval a Kubernetes-fürtön való gyökerezéshez. Az AllowPrivilegeEscalation attribútum szabályozza, hogy egy folyamat több jogosultságot szerezhet-e, mint a szülőfolyamata. (Kapcsolódó szabályzat: A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását).

Súlyosság: Közepes

Típus: Kubernetes adatsík

Leírás: A tárolón kívüli jogosultságok eszkalálása elleni védelem érdekében kerülje a podok hozzáférését a kubernetes-fürtök bizalmas gazdagép-névtereihez (gazdagépfolyamat-azonosító és gazdagép IPC-hez). (Kapcsolódó szabályzat: A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret.

Súlyosság: Közepes

Típus: Kubernetes adatsík

A tárolók csak engedélyezett AppArmor-profilokat használhatnak

Leírás: A Kubernetes-fürtökön futó tárolóknak csak az engedélyezett AppArmor-profilokra kell korlátozódnia. ; Az AppArmor (Application Armor) egy linuxos biztonsági modul, amely megvédi az operációs rendszert és annak alkalmazásait a biztonsági fenyegetésektől. A használatához a rendszergazda hozzárendel egy AppArmor biztonsági profilt minden programhoz. (Kapcsolódó szabályzat: A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak.

Súlyosság: Magas

Típus: Kubernetes adatsík

A tárolókhoz nem módosítható (írásvédett) gyökér fájlrendszert kell kényszeríteni

Leírás: A tárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk a Kubernetes-fürtben. A nem módosítható fájlrendszer megvédi a tárolókat a futtatáskor bekövetkező változásoktól, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz. (Kapcsolódó szabályzat: A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk.

Súlyosság: Közepes

Típus: Kubernetes adatsík

A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el

Leírás: A HTTPS használata biztosítja a hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információ: https://aka.ms/kubepolicydoc (Kapcsolódó szabályzat: HTTPS-bejövő forgalom kényszerítése a Kubernetes-fürtben).

Súlyosság: Magas

Típus: Kubernetes-adatsík

A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását

Leírás: Tiltsa le az API-hitelesítő adatok automatikus leválasztását, hogy megakadályozza, hogy egy potenciálisan sérült poderőforrás API-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. (Kapcsolódó szabályzat: A Kubernetes-fürtöknek le kell tiltania az automatikusan leválasztott API-hitelesítő adatokat).

Súlyosság: Magas

Típus: Kubernetes-adatsík

A Kubernetes-fürtök nem biztosíthatnak CAPSYSADMIN biztonsági képességeket

Leírás: A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Típus: Kubernetes adatsík

A Kubernetes-fürtök nem használhatják az alapértelmezett névteret

Leírás: A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. (Kapcsolódó szabályzat: A Kubernetes-fürtök nem használhatják az alapértelmezett névteret).

Súlyosság: Alacsony

Típus: Kubernetes adatsík

A legkevésbé kiemelt Linux-képességeket a tárolókhoz kell kikényszeríteni

Leírás: A tároló támadási felületének csökkentéséhez korlátozza a Linux-képességeket, és adjon bizonyos jogosultságokat a tárolóknak a gyökérfelhasználó összes jogosultságának megadása nélkül. Javasoljuk, hogy az összes képességet elvetje, majd adja hozzá a szükséges képességeket (kapcsolódó szabályzat: A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak).

Súlyosság: Közepes

Típus: Kubernetes adatsík

A kiemelt tárolókat kerülni kell

Leírás: A korlátlan gazdagéphozzáférés megakadályozása érdekében lehetőség szerint kerülje a kiemelt tárolókat.

A kiemelt tárolók a gazdagép összes gyökérképességével rendelkeznek. Ezek felhasználhatók belépési pontokként a támadásokhoz, és rosszindulatú kódok vagy kártevők terjesztésére a feltört alkalmazásokra, gazdagépekre és hálózatokra. (Kapcsolódó szabályzat: Ne engedélyezze a kiemelt tárolókat a Kubernetes-fürtben).

Súlyosság: Közepes

Típus: Kubernetes adatsík

Kerülni kell a tárolók gyökérfelhasználóként való futtatását

Leírás: A tárolók nem futtathatók gyökérfelhasználóként a Kubernetes-fürtben. A folyamat gyökérfelhasználóként való futtatása egy tárolóban gyökérként fut a gazdagépen. Ha biztonsági rés van, a támadó gyökerével rendelkezik a tárolóban, és a helytelen konfigurációk könnyebben kihasználhatóvá válnak. (Kapcsolódó szabályzat: A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futtathatók.

Súlyosság: Magas

Típus: Kubernetes-adatsík

A szolgáltatásoknak csak az engedélyezett portokon kell figyelnie

Leírás: A Kubernetes-fürt támadási felületének csökkentéséhez korlátozza a fürthöz való hozzáférést a szolgáltatások konfigurált portokhoz való hozzáférésének korlátozásával. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a szolgáltatások csak az engedélyezett portokon figyelnek a Kubernetes-fürtben).

Súlyosság: Közepes

Típus: Kubernetes adatsík

Korlátozni kell a gazdagépek hálózatának és portjainak használatát

Leírás: A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. A hostNetwork attribútummal létrehozott podok megosztják a csomópont hálózati területét. Annak érdekében, hogy a sérült tároló ne sniffing hálózati forgalmat, javasoljuk, hogy ne helyezze a podokat a gazdahálózatra. Ha tárolóportot kell elérhetővé tennie a csomópont hálózatán, és a Kubernetes-szolgáltatás csomópontportjának használata nem felel meg az igényeinek, egy másik lehetőség a tárolóhoz tartozó hostPort megadása a pod specifikációjában. (Kapcsolódó szabályzat: A Kubernetes-fürt podjainak csak jóváhagyott gazdagéphálózatot és porttartományt kell használniuk.

Súlyosság: Közepes

Típus: Kubernetes adatsík

A pod HostPath kötet-csatlakoztatásainak használatát egy ismert listára kell korlátozni, hogy a csomópontok hozzáférése korlátozva legyen a sérült tárolóktól

Leírás: Javasoljuk, hogy a Kubernetes-fürt pod HostPath-kötet-csatlakoztatásait a konfigurált engedélyezett gazdagépútvonalakra korlátozza. Ha biztonsági rés merül fel, a tárolócsomópont hozzáférését korlátozni kell a tárolókból. (Kapcsolódó szabályzat: A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak.

Súlyosság: Közepes

Típus: Kubernetes-adatsík

Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (a Qualys működteti)

Leírás: A tárolórendszerkép biztonsági réseinek felmérése biztonsági réseket keres a beállításjegyzékben, és részletes megállapításokat tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. (Kapcsolódó szabályzat: Az Azure Container Registry-rendszerképek biztonsági réseit orvosolni kell.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés)

Fontos

Ez a javaslat egy nyugdíjazási útvonalon van. A helyére az [[Előzetes verzió] javaslat lép, amely szerint az Azure-beállításjegyzékben lévő tárolólemezképek biztonságirés-megállapításokat oldanak fel](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).

Leírás: A tárolórendszerkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. (Kapcsolódó szabályzat: Az Azure Container Registry-rendszerképek biztonsági réseit orvosolni kell.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés)

Fontos

Ez a javaslat egy nyugdíjazási útvonalon van. Az [[Előzetes verzió] Azure-ban futó tárolók esetében a sebezhetőségi megállapítások feloldása folyamatban van](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).

Leírás: A tárolórendszerkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét.

Súlyosság: Magas

Típus: Sebezhetőségi felmérés

Adatjavaslatok

(Szükség esetén engedélyezve) Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról: https://aka.ms/cosmosdb-cmk. (Kapcsolódó szabályzat: Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához.

Súlyosság: Alacsony

(Szükség esetén engedélyezve) Az Azure Machine Tanulás-munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az Azure Machine-Tanulás munkaterületi adatok titkosításának kezelése ügyfél által felügyelt kulcsokkal (CMK). Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de a cmK-k általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról: https://aka.ms/azureml-workspaces-cmk. (Kapcsolódó szabályzat: Az Azure Machine Tanulás munkaterületeket ügyfél által felügyelt kulccsal (CMK) kell titkosítani.

Súlyosság: Alacsony

(Szükség esetén engedélyezve) A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal (CMK) történő adattitkosítást

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik a Cognitive Servicesben tárolt adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a CMK-titkosításról: https://aka.ms/cosmosdb-cmk. (Kapcsolódó szabályzat: A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal történő adattitkosítást? (CMK))

Súlyosság: Alacsony

(Szükség esetén engedélyezve) A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. (Kapcsolódó szabályzat: Saját kulcsú adatvédelmet kell engedélyezni a MySQL-kiszolgálók számára).

Súlyosság: Alacsony

(Szükség esetén engedélyezve) A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. (Kapcsolódó szabályzat: Saját kulcsú adatvédelmet kell engedélyezni a PostgreSQL-kiszolgálók számára.

Súlyosság: Alacsony

(Szükség esetén engedélyezve) A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. (Kapcsolódó szabályzat: A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat).

Súlyosság: Alacsony

(Szükség esetén engedélyezve) Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. (Kapcsolódó szabályzat: Az SQL-kiszolgálóknak az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához).

Súlyosság: Alacsony

(Szükség esetén engedélyezve) A tárfiókoknak ügyfél által felügyelt kulcsot (CMK) kell használniuk a titkosításhoz

Leírás: a Javaslatok az ügyfél által kezelt kulcsok inaktív adatok titkosításához való használata alapértelmezés szerint nem értékelhető, de elérhető az alkalmazható forgatókönyvekhez. Az adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, ezért az ügyfél által felügyelt kulcsok használata csak akkor alkalmazható, ha megfelelőségi vagy korlátozó szabályzati követelmények kötelezik. A javaslat engedélyezéséhez keresse meg a vonatkozó hatókörhöz tartozó biztonsági szabályzatot, és frissítse a megfelelő szabályzat Effektus paraméterét az ügyfél által felügyelt kulcsok naplózásához vagy érvényesítéséhez. További információ a Biztonsági szabályzatok kezelése című témakörben. Az ügyfél által felügyelt kulcsok (CMK-k) használatával nagyobb rugalmassággal védheti meg tárfiókját. CmK megadásakor a rendszer ezt a kulcsot használja az adatok titkosítását biztosító kulcshoz való hozzáférés védelmére és szabályozására. A CMK-k további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. (Kapcsolódó szabályzat: A tárfiókoknak az ügyfél által felügyelt kulcsot (CMK) kell használniuk a titkosításhoz.

Súlyosság: Alacsony

Minden speciális veszélyforrás-védelmi típust engedélyezni kell a felügyelt SQL-példány speciális adatbiztonsági beállításaiban

Leírás: Javasoljuk, hogy a felügyelt SQL-példányokon engedélyezze az összes speciális veszélyforrás-védelmi típust. Az összes típus engedélyezése védelmet nyújt az SQL-injektálással, az adatbázis sebezhetőségével és egyéb rendellenes tevékenységekkel szemben. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

Minden speciális fenyegetésvédelmi típust engedélyezni kell az SQL Server speciális adatbiztonsági beállításaiban

Leírás: Javasoljuk, hogy engedélyezze az SQL-kiszolgálókon az összes fejlett veszélyforrás-védelmi típust. Az összes típus engedélyezése védelmet nyújt az SQL-injektálással, az adatbázis sebezhetőségével és egyéb rendellenes tevékenységekkel szemben. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk

Leírás: Az Azure Virtual Network üzembe helyezése fokozott biztonságot, elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, nem internetezhető hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. (Kapcsolódó szabályzat: Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk).

Súlyosság: Közepes

Az alkalmazáskonfigurációnak privát hivatkozást kell használnia

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. (Kapcsolódó szabályzat: Az alkalmazáskonfigurációnak privát hivatkozást kell használnia).

Súlyosság: Közepes

Az SQL-kiszolgálók naplózási megőrzését legalább 90 napra kell beállítani

Leírás: 90 napnál rövidebb naplózási megőrzési időszakkal konfigurált SQL-kiszolgálók naplózása. (Kapcsolódó szabályzat: Az SQL-kiszolgálókat 90 napos vagy annál magasabb naplózási megőrzési idővel kell konfigurálni.)

Súlyosság: Alacsony

Engedélyezni kell a naplózást az SQL Serveren

Leírás: Az SQL Server naplózásának engedélyezése az adatbázis-tevékenységek nyomon követéséhez a kiszolgáló összes adatbázisában, és mentheti őket egy naplóba. (Kapcsolódó szabályzat: Engedélyezni kell a naplózást az SQL Serveren).

Súlyosság: Alacsony

A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésekben

Leírás: A biztonsági rések és fenyegetések figyeléséhez Felhőhöz készült Microsoft Defender adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. (Kapcsolódó szabályzat: A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben).

Súlyosság: Alacsony

Az Azure Cache for Redisnek egy virtuális hálózaton belül kell lennie

Leírás: Az Azure Virtual Network (VNet) üzembe helyezése fokozott biztonságot és elkülönítést biztosít az Azure Cache for Redis számára, valamint alhálózatokat, hozzáférés-vezérlési szabályzatokat és egyéb funkciókat a hozzáférés további korlátozásához. Ha egy Azure Cache for Redis-példány virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el. (Kapcsolódó szabályzat: Az Azure Cache for Redisnek egy virtuális hálózaton belül kell lennie).

Súlyosság: Közepes

Az Azure Database for MySQL-nek rendelkeznie kell egy Azure Active Directory-rendszergazdával

Leírás: Azure AD-rendszergazda kiépítése az Azure Database for MySQL-hez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését (kapcsolódó szabályzat: Azure Active Directory-rendszergazdát kell kiépíteni a MySQL-kiszolgálókhoz).

Súlyosság: Közepes

Az Azure Database for PostgreSQL-nek rendelkeznie kell egy Azure Active Directory-rendszergazdával

Leírás: Azure AD-rendszergazda kiépítése az Azure Database for PostgreSQL-hez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások
(Kapcsolódó szabályzat: A PostgreSQL-kiszolgálókhoz Azure Active Directory-rendszergazdát kell kiépíteni.

Súlyosság: Közepes

Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk

Leírás: Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. (Kapcsolódó szabályzat: Az Azure Cosmos DB-fiókoknak tűzfalszabályokkal kell rendelkezniük).

Súlyosság: Közepes

Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/privateendpoints. (Kapcsolódó szabályzat: Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk).

Súlyosság: Közepes

Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít a témakörökhöz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/privateendpoints. (Kapcsolódó szabályzat: Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk).

Súlyosság: Közepes

Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure Machine Tanulás-munkaterületekhez, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/azureml-workspaces-privatelink. (Kapcsolódó szabályzat: Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk).

Súlyosság: Közepes

Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít a SignalR-erőforrásokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/asrs/privatelink. (Kapcsolódó szabályzat: Az Azure SignalR szolgáltatásnak privát kapcsolatot kell használnia).

Súlyosság: Közepes

Az Azure Spring Cloudnak hálózati injektálást kell használnia

Leírás: Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. (Kapcsolódó szabályzat: Az Azure Spring Cloudnak hálózati injektálást kell használnia).

Súlyosság: Közepes

Az SQL-kiszolgálóknak rendelkezniük kell egy Azure Active Directory-rendszergazdával

Leírás: Azure AD-rendszergazda kiépítése az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését. (Kapcsolódó szabályzat: Egy Azure Active Directory-rendszergazdát kell kiépíteni az SQL-kiszolgálókhoz).

Súlyosság: Magas

Az Azure Synapse-munkaterület hitelesítési módjának csak Az Azure Active Directorynak kell lennie

Leírás: Az Azure Synapse Workspace hitelesítési módjának csak Azure Active Directory-alapú hitelesítési módnak kell lennie, csak az Azure Active Directory hitelesítési módszerei javítják a biztonságot azáltal, hogy biztosítják, hogy a Synapse-munkaterületek kizárólag Azure AD-identitásokat igényeljenek a hitelesítéshez. További információ. (Kapcsolódó szabályzat: A Synapse-munkaterületek csak Azure Active Directory-identitásokat használhatnak a hitelesítéshez.

Súlyosság: Közepes

A Cognitive Services-fiókoknak engedélyeznie kell az adattitkosítást

Leírás: Ez a szabályzat naplóz minden olyan Cognitive Services-fiókot, amely nem használ adattitkosítást. A tárterülettel rendelkező összes Cognitive Services-fiók esetében engedélyeznie kell az adattitkosítást az ügyfél által felügyelt vagy a Microsoft által felügyelt kulccsal. (Kapcsolódó szabályzat: A Cognitive Services-fiókoknak engedélyeznie kell az adattitkosítást).

Súlyosság: Alacsony

A Cognitive Services-fiókoknak ügyfél által birtokolt tárterületet kell használniuk, vagy engedélyezni kell az adattitkosítást

Leírás: Ez a szabályzat naplóz minden olyan Cognitive Services-fiókot, amely nem használ ügyfél tulajdonában lévő tárolót vagy adattitkosítást. A tárterülettel rendelkező összes Cognitive Services-fiókhoz használjon ügyfél által birtokolt tárterületet, vagy engedélyezze az adattitkosítást. (Kapcsolódó szabályzat: A Cognitive Services-fiókoknak ügyfél által birtokolt tárolót kell használniuk, vagy engedélyezni kell az adattitkosítást.)

Súlyosság: Alacsony

Engedélyezni kell a diagnosztikai naplókat az Azure Data Lake Store-ban

Súlyosság: Alacsony

A Data Lake Analytics diagnosztikai naplóit engedélyezni kell

Leírás: A naplók engedélyezése és megőrzése akár egy évig is. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. (Kapcsolódó szabályzat: A Data Lake Analytics diagnosztikai naplóit engedélyezni kell.

Súlyosság: Alacsony

Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését

Leírás: Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mail-értesítéseket a Felhőhöz készült Defender súlyossági riasztásaihoz. (Kapcsolódó szabályzat: Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését.

Súlyosság: Alacsony

Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén

Leírás: Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak az előfizetésük esetleges biztonsági incidenséről, állítsa be az e-mail-értesítéseket az előfizetés-tulajdonosoknak a Felhőhöz készült Defender súlyossági riasztásaihoz. (Kapcsolódó szabályzat: Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztásokról.

Súlyosság: Közepes

Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében

Leírás: Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. (Kapcsolódó szabályzat: Az SSL-kapcsolat kényszerítése engedélyezve kell legyen a MySQL-adatbáziskiszolgálók esetében).

Súlyosság: Közepes

Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon

Leírás: Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. (Kapcsolódó szabályzat: Az SSL-kapcsolat kényszerítése engedélyezve kell legyen a PostgreSQL-adatbáziskiszolgálók esetében).

Súlyosság: Közepes

A függvényalkalmazásoknak meg kell oldaniuk a biztonságirés-megállapításokat

Leírás: A függvények futtatókörnyezeti biztonsági réseinek vizsgálata biztonsági réseket keres a függvényalkalmazásokban, és részletes megállapításokat tesz közzé. A biztonsági rések megoldása jelentősen javíthatja a kiszolgáló nélküli alkalmazások biztonsági helyzetét, és megvédheti őket a támadásoktól. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben

Leírás: Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban vannak tárolva, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőségeket biztosítson. A georedundáns tárolás biztonsági mentéshez való konfigurálása csak kiszolgáló létrehozásakor engedélyezett. (Kapcsolódó szabályzat: A georedundáns biztonsági mentést engedélyezni kell az Azure Database for MariaDB-ben.

Súlyosság: Alacsony

Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben

Leírás: Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban vannak tárolva, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőségeket biztosítson. A georedundáns tárolás biztonsági mentéshez való konfigurálása csak kiszolgáló létrehozásakor engedélyezett. (Kapcsolódó szabályzat: A georedundáns biztonsági mentést engedélyezni kell az Azure Database for MySQL-hez).

Súlyosság: Alacsony

Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben

Leírás: Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban vannak tárolva, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőségeket biztosítson. A georedundáns tárolás biztonsági mentéshez való konfigurálása csak kiszolgáló létrehozásakor engedélyezett. (Kapcsolódó szabályzat: A georedundáns biztonsági mentést engedélyezni kell az Azure Database for PostgreSQL-hez.

Súlyosság: Alacsony

A GitHub-adattárakban engedélyezve kell lennie a kódvizsgálatnak

Leírás: A GitHub kódvizsgálatot használ a kód elemzéséhez, hogy biztonsági réseket és hibákat találjon a kódban. A kódvizsgálat használható a kódban meglévő problémák javításainak megkeresésére, osztályozására és rangsorolására. A kódvizsgálat azt is megakadályozhatja, hogy a fejlesztők új problémákat vezessenek be. A vizsgálatok ütemezhetők adott napokra és időpontokra, vagy a vizsgálat akkor aktiválható, ha egy adott esemény történik az adattárban, például leküldés. Ha a kódvizsgálat potenciális biztonsági rést vagy hibát talál a kódban, a GitHub riasztást jelenít meg az adattárban. A biztonsági rés olyan probléma a projekt kódjában, amely a projekt titkosságának, integritásának vagy rendelkezésre állásának sérülésére használható. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A GitHub-adattárakban engedélyezve kell lennie a Dependabot-vizsgálatnak

Leírás: A GitHub Dependabot-riasztásokat küld, amikor az adattárakat érintő kódfüggőségek biztonsági réseit észleli. A biztonsági rés olyan probléma a projekt kódjában, amely kihasználható a projekt vagy a kódját használó egyéb projektek bizalmasságának, integritásának vagy rendelkezésre állásának sérülésére. A biztonsági rések típusa, súlyossága és támadási módja eltérő. Ha a kód egy biztonsági sebezhetőséggel rendelkező csomagtól függ, ez a sebezhető függőség számos problémát okozhat. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A GitHub-adattárakban engedélyezve kell lennie a titkos kódok vizsgálatának

Leírás: A GitHub az ismert titkos kulcstípusok tárházait vizsgálja, hogy megelőzze a véletlenül az adattárakban lekötött titkos kódok csalárd használatát. A titkos kódok vizsgálata a GitHub-adattárban található összes ág teljes Git-előzményeit ellenőrzi. A titkos kulcsok közé tartoznak például a jogkivonatok és a titkos kulcsok, amelyeket a szolgáltató a hitelesítéshez kibocsáthat. Ha egy titkos kód be van jelentkezve egy adattárba, bárki, aki olvasási hozzáféréssel rendelkezik az adattárhoz, a titkos kód használatával hozzáférhet a külső szolgáltatáshoz ezekkel a jogosultságokkal. A titkos kulcsokat a projekt adattárán kívül, dedikált, biztonságos helyen kell tárolni. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Engedélyezni kell a Microsoft Defendert az Azure SQL Database-kiszolgálókhoz

Leírás: Az SQL-hez készült Microsoft Defender egy egységes csomag, amely fejlett SQL-biztonsági képességeket biztosít. Ez magában foglalja a lehetséges adatbázis-biztonsági rések feltárására és enyhítésére szolgáló funkciókat, észleli az adatbázist fenyegető rendellenes tevékenységeket, valamint a bizalmas adatok felderítését és besorolását. Fontos: A csomag védelmének díja a Defender-csomagok oldalán látható módon történik. Ha nem rendelkezik Azure SQL Database-kiszolgálóval ebben az előfizetésben, akkor nem számítunk fel díjat. Ha később azure SQL Database-kiszolgálókat hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak megkezdődik. Ismerje meg a régiónkénti díjszabás részleteit. További információ az SQL-hez készült Microsoft Defender bemutatása című témakörben. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat).

Súlyosság: Magas

Engedélyezni kell a Dns-hez készült Microsoft Defendert

Leírás: A Dns-hez készült Microsoft Defender további védelmi réteget biztosít a felhőbeli erőforrások számára az Azure-erőforrásokból származó ÖSSZES DNS-lekérdezés folyamatos monitorozásával. A Defender a DNS-hez riasztást küld a DNS-réteg gyanús tevékenységeiről. További információ a Microsoft Defender for DNS bemutatása című témakörben. A Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabás részleteiről Felhőhöz készült Defender díjszabási oldalán: Felhőhöz készült Defender Díjszabás. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Engedélyezni kell a Microsoft Defendert a nyílt forráskódú relációs adatbázisokhoz

Leírás: A Nyílt forráskódú relációs adatbázisokhoz készült Microsoft Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ a Microsoft Defender nyílt forráskódú relációs adatbázisokhoz való bevezetéséről.

Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. Ha nem rendelkezik nyílt forráskódú relációs adatbázisokkal ebben az előfizetésben, a rendszer nem számít fel díjat. Ha a jövőben bármilyen nyílt forráskódú relációs adatbázist hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Engedélyezni kell a Microsoft Defender for Resource Managert

Leírás: A Microsoft Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Felhőhöz készült Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ a Microsoft Defender for Resource Manager bemutatása című témakörben. A Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabás részleteiről Felhőhöz készült Defender díjszabási oldalán: Felhőhöz készült Defender Díjszabás. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A gépeken futó SQL-hez készült Microsoft Defendert engedélyezni kell a munkaterületeken

Súlyosság: Közepes

A gépeken futó SQL-kiszolgálókhoz készült Microsoft Defendert engedélyezni kell

Fontos: A javaslat szervizelése díjakat eredményez az SQL-kiszolgálók gépeken való védelméért. Ha ebben az előfizetésben nincsenek SQL-kiszolgálók a gépeken, a rendszer nem számol fel díjakat. Ha a jövőben bármilyen SQL-kiszolgálót hoz létre ezen az előfizetésen lévő gépeken, azok automatikusan védettek lesznek, és a díjak ekkor kezdődnek. További információ a gépeken futó SQL-kiszolgálókhoz készült Microsoft Defenderről. (Kapcsolódó szabályzat: Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert).

Súlyosság: Magas

Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Azure SQL-kiszolgálókon

Leírás: Az SQL-hez készült Microsoft Defender egy egységes csomag, amely fejlett SQL-biztonsági képességeket biztosít. Feltárja és enyhíti az adatbázis esetleges biztonsági réseit, és észleli az adatbázist fenyegető rendellenes tevékenységeket. Az SQL-hez készült Microsoft Defender számlázása régiónkénti díjszabási adatok szerint történik. (Kapcsolódó szabályzat: A speciális adatbiztonságot engedélyezni kell az SQL-kiszolgálókon).

Súlyosság: Magas

Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett felügyelt SQL-példányokhoz

Súlyosság: Magas

Engedélyezni kell a Microsoft Defender for Storage használatát

Leírás: A Microsoft Defender for Storage szokatlan és potenciálisan káros kísérleteket észlel a tárfiókok elérésére vagy kihasználására. Fontos: A csomag védelmének díja a Defender-csomagok oldalán látható módon történik. Ha nem rendelkezik Azure Storage-fiókkal ebben az előfizetésben, akkor nem számítunk fel díjat. Ha később azure Storage-fiókokat hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak megkezdődik. Ismerje meg a régiónkénti díjszabás részleteit. További információ a Microsoft Defender for Storage bemutatása című témakörben. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defender for Storage használatát).

Súlyosság: Magas

Engedélyezve kell lennie a Network Watchernek

Leírás: A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyv szintjén az Azure-ban, az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálásához teljes körű hálózati szintű nézetben. A Network Watcherrel elérhető hálózati diagnosztikai és vizualizációs eszközök segítenek az Azure-beli hálózat megértésében, diagnosztizálásában és elemzésében. (Kapcsolódó szabályzat: A Network Watchert engedélyezni kell).

Súlyosság: Alacsony

Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben

Leírás: A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. (Kapcsolódó szabályzat: Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben.

Súlyosság: Közepes

A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz

Leírás: A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. (Kapcsolódó szabályzat: A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz.

Súlyosság: Közepes

A privát végpontot engedélyezni kell a MySQL-kiszolgálókon

Leírás: A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. (Kapcsolódó szabályzat: A privát végpontot engedélyezni kell a MySQL-kiszolgálók esetében).

Súlyosság: Közepes

A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz

Leírás: A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. (Kapcsolódó szabályzat: A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálók számára.

Súlyosság: Közepes

Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben

Leírás: A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. (Kapcsolódó szabályzat: Az Azure SQL Database nyilvános hálózati hozzáférését le kell tiltani).

Súlyosság: Közepes

A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében

Leírás: Tiltsa le a nyilvános hálózat hozzáférési tulajdonságát a biztonság javítása érdekében, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. (Kapcsolódó szabályzat: A MariaDB-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani.

Súlyosság: Közepes

A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon

Leírás: Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a biztonság javítása érdekében, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. (Kapcsolódó szabályzat: A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálók esetében).

Súlyosság: Közepes

A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében

Leírás: Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a biztonság javítása érdekében, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. (Kapcsolódó szabályzat: A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében).

Súlyosság: Közepes

A Redis Cache csak SSL-en keresztül engedélyezi a hozzáférést

Leírás: Csak SSL-kapcsolat engedélyezése a Redis Cache-hez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli, a lehallgatási és a munkamenet-eltérítési támadásoktól. (Kapcsolódó szabályzat: Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni).

Súlyosság: Magas

Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani

Leírás: Az SQL Sebezhetőségi felmérés biztonsági réseket keres az adatbázison, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. További információ (Kapcsolódó szabályzat: Az SQL-adatbázisok biztonsági réseit orvosolni kell).

Súlyosság: Magas

A felügyelt SQL-példányok biztonságirés-felmérésének konfigurálva kell lennie

Leírás: A sebezhetőségi felmérés felderítheti, nyomon követheti és segíthet a lehetséges adatbázis-biztonsági rések elhárításában. (Kapcsolódó szabályzat: A sebezhetőségi felmérést engedélyezni kell a felügyelt SQL-példányon.

Súlyosság: Magas

A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie

Leírás: Az SQL Sebezhetőségi felmérés biztonsági réseket keres az adatbázison, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. További információ (Kapcsolódó szabályzat: A gépen lévő SQL-kiszolgálók biztonsági réseit orvosolni kell).

Súlyosság: Magas

Az SQL-kiszolgálóknak rendelkezniük kell egy Azure Active Directory-rendszergazdával

Súlyosság: Magas

Az SQL-kiszolgálók biztonságirés-felmérésének konfigurálva kell lennie

Súlyosság: Magas

A tárfióknak privát kapcsolati kapcsolatot kell használnia

Leírás: A privát kapcsolatok biztonságos kommunikációt kényszerítenek ki a tárfiókhoz való privát kapcsolat biztosításával (kapcsolódó szabályzat: A tárfióknak privát kapcsolati kapcsolatot kell használnia).

Súlyosság: Közepes

A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba

Leírás: Az Azure Resource Manager új képességeinek kihasználásához migrálhatja a meglévő üzembe helyezéseket a klasszikus üzemi modellből. A Resource Manager olyan biztonsági fejlesztéseket tesz lehetővé, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, ARM-alapú üzembe helyezés és szabályozás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés, címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében. További információ (Kapcsolódó szabályzat: A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba).

Súlyosság: Alacsony

A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést

Leírás: Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. (Kapcsolódó szabályzat: A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést).

Súlyosság: Közepes

Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén

Leírás: Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon Felhőhöz készült Defender. (Kapcsolódó szabályzat: Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén)

Súlyosság: Alacsony

transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell

Leírás: Engedélyezze a transzparens adattitkosítást az inaktív adatok védelméhez és a megfelelőségi követelmények teljesítéséhez (kapcsolódó szabályzat: engedélyezni kell az SQL-adatbázisokon transzparens adattitkosítás).

Súlyosság: Alacsony

A VM Image Builder-sablonoknak privát hivatkozást kell használniuk

Leírás: Olyan virtuálisgép-képszerkesztő-sablonok naplózása, amelyekhez nincs konfigurálva virtuális hálózat. Ha a virtuális hálózat nincs konfigurálva, a rendszer nyilvános IP-címet hoz létre és használ helyette, amely közvetlenül elérhetővé teheti az erőforrásokat az interneten, és növelheti a potenciális támadási felületet. (Kapcsolódó szabályzat: A VM Image Builder-sablonoknak privát hivatkozást kell használniuk).

Súlyosság: Közepes

A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez

Leírás: Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést ország/régió, IP-címtartomány és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. (Kapcsolódó szabályzat: A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez.

Súlyosság: Alacsony

Engedélyezni kell a webalkalmazási tűzfalat (WAF) az Azure Front Door Service szolgáltatásban

Súlyosság: Alacsony

A Cognitive Servicesnek privát hivatkozást kell használnia

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról. (Kapcsolódó szabályzat: A Cognitive Servicesnek privát kapcsolatot kell használnia).

Súlyosság: Közepes

Az Azure Cosmos DB-nek le kell tiltania a nyilvános hálózati hozzáférést

Leírás: A nyilvános hálózati hozzáférés letiltása növeli a biztonságot, mert biztosítja, hogy a Cosmos DB-fiók ne legyen nyilvános interneten közzétéve. A privát végpontok létrehozása korlátozhatja a Cosmos DB-fiók expozícióját. További információ. (Kapcsolódó szabályzat: Az Azure Cosmos DB-nek le kell tiltania a nyilvános hálózati hozzáférést).

Súlyosság: Közepes

A Cosmos DB-fiókoknak privát hivatkozást kell használniuk

Leírás: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cosmos DB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról. (Kapcsolódó szabályzat: A Cosmos DB-fiókoknak privát hivatkozást kell használniuk).

Súlyosság: Közepes

Az Azure SQL Database-nek tLS 1.2-es vagy újabb verzióját kell futtatnia

Leírás: A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. (Kapcsolódó szabályzat: Az Azure SQL Database-nek a TLS 1.2-es vagy újabb verzióját kell futtatnia.

Súlyosság: Közepes

A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést

Leírás: A nyilvános hálózati hozzáférés (nyilvános végpont) letiltása a felügyelt Azure SQL-példányokon javítja a biztonságot azáltal, hogy biztosítja, hogy csak a virtuális hálózataikon belülről vagy privát végpontokon keresztül érhetők el. További információ a nyilvános hálózati hozzáférésről. (Kapcsolódó szabályzat: A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést).

Súlyosság: Közepes

A tárfiókok számára meg kell akadályozni a megosztott kulcs elérését

Leírás: Az Azure Active Directory (Azure AD) naplózási követelménye a tárfiókra vonatkozó kérések engedélyezéséhez. A kérések alapértelmezés szerint az Azure Active Directory hitelesítő adataival vagy a megosztott kulcs engedélyezéséhez használt fiókhozzáférési kulccsal engedélyezhetők. A két hitelesítési típus közül az Azure AD kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsokkal szemben, és ezt a Microsoft javasolja. (Kapcsolódó szabályzat: szabályzat)

Súlyosság: Közepes

Identitás- és hozzáférési javaslatok

Előfizetésekhez legfeljebb 3 tulajdonost kell kijelölni

Leírás: A feltört tulajdonosi fiókok megsértésének lehetőségének csökkentése érdekében javasoljuk, hogy a tulajdonosi fiókok számát legfeljebb 3-ra korlátozza (kapcsolódó szabályzat: Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni).

Súlyosság: Magas

Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t

Leírás: Ha csak jelszavakat használ a felhasználók hitelesítéséhez, nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat több szolgáltatáshoz. A többtényezős hitelesítés (MFA) engedélyezésével nagyobb biztonságot nyújt a fiókjai számára, miközben továbbra is lehetővé teszi a felhasználók számára, hogy szinte minden alkalmazáson hitelesítsék magukat egyszeri bejelentkezéssel (SSO). A többtényezős hitelesítés olyan folyamat, amellyel a felhasználók a bejelentkezési folyamat során egy másik azonosítási formát kérnek. Előfordulhat például, hogy egy kódot a mobiljukra küldenek, vagy ujjlenyomat-vizsgálatot kérnek. Javasoljuk, hogy engedélyezze az MFA-t minden olyan fiókhoz, amely tulajdonosi engedélyekkel rendelkezik az Azure-erőforrásokhoz, hogy megelőzze a behatolást és a támadásokat. További részletek és gyakori kérdések itt érhetők el: Többtényezős hitelesítés (MFA) kényszerítése az előfizetéseken (nincs kapcsolódó szabályzat).

Súlyosság: Magas

Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t

Leírás: Ha csak jelszavakat használ a felhasználók hitelesítéséhez, nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat több szolgáltatáshoz. A többtényezős hitelesítés (MFA) engedélyezésével nagyobb biztonságot nyújt a fiókjai számára, miközben továbbra is lehetővé teszi a felhasználók számára, hogy szinte minden alkalmazáson hitelesítsék magukat egyszeri bejelentkezéssel (SSO). A többtényezős hitelesítés olyan folyamat, amellyel a felhasználók a bejelentkezési folyamat során további azonosítási formát kérnek. Előfordulhat például, hogy egy kódot a mobiljukra küldenek, vagy ujjlenyomat-vizsgálatot kérnek. Javasoljuk, hogy engedélyezze az MFA-t minden olyan fiókhoz, amely olvasási engedélyekkel rendelkezik az Azure-erőforrásokon, hogy megelőzze a behatolást és a támadásokat. További részletek és gyakori kérdések itt érhetők el. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t

Leírás: Ha csak jelszavakat használ a felhasználók hitelesítéséhez, akkor nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat több szolgáltatáshoz. A többtényezős hitelesítés (MFA) engedélyezésével nagyobb biztonságot nyújt a fiókjai számára, miközben továbbra is lehetővé teszi a felhasználók számára, hogy szinte minden alkalmazáson hitelesítsék magukat egyszeri bejelentkezéssel (SSO). A többtényezős hitelesítés olyan folyamat, amellyel a felhasználók a bejelentkezési folyamat során további azonosítási formát kérnek. Előfordulhat például, hogy egy kódot a mobiljukra küldenek, vagy ujjlenyomat-vizsgálatot kérnek. Javasoljuk, hogy engedélyezze az MFA-t minden olyan fiókhoz, amely írási engedélyekkel rendelkezik az Azure-erőforrásokon, hogy megelőzze a behatolást és a támadásokat. További részletek és gyakori kérdések itt érhetők el: Többtényezős hitelesítés (MFA) kényszerítése az előfizetéseken (nincs kapcsolódó szabályzat).

Súlyosság: Magas

Az Azure Cosmos DB-fiókoknak az Azure Active Directoryt kell használniuk az egyetlen hitelesítési módszerként

Leírás: Az Azure-szolgáltatások hitelesítésének legjobb módja a szerepköralapú hozzáférés-vezérlés (RBAC) használata. Az RBAC lehetővé teszi a minimális jogosultsági elv fenntartását, és támogatja az engedélyek visszavonását, mint hatékony válaszmetódust a biztonsági rések esetén. Az Azure Cosmos DB-fiók konfigurálásával kényszerítheti az RBAC-t egyetlen hitelesítési módszerként. Ha a kényszerítés konfigurálva van, a rendszer minden más hozzáférési módszert (elsődleges/másodlagos kulcsokat és hozzáférési jogkivonatokat) megtagad. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani

Leírás: Az Active Directoryba való bejelentkezés során letiltott fiókokat el kell távolítani az Azure-erőforrásokból. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani

Súlyosság: Magas

Az elavult fiókokat el kell távolítani az előfizetésekből

Leírás: A bejelentkezéstől blokkolt felhasználói fiókokat el kell távolítani az előfizetésekből. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: Az elavult fiókokat el kell távolítani az előfizetésből).

Súlyosság: Magas

A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésekből

Leírás: A bejelentkezéstől blokkolt felhasználói fiókokat el kell távolítani az előfizetésekből. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből.

Súlyosság: Magas

Engedélyezni kell a diagnosztikai naplókat a Key Vaultban

Súlyosság: Alacsony

A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből

Leírás: A különböző tartománynevekkel (külső fiókokkal) rendelkező tulajdonosi engedélyekkel rendelkező fiókokat el kell távolítani az előfizetésből. Ez megakadályozza a nem figyelt hozzáférést. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből).

Súlyosság: Magas

Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből

Leírás: A különböző tartománynevekkel (külső fiókokkal) rendelkező olvasási engedélyekkel rendelkező fiókokat el kell távolítani az előfizetésből. Ez megakadályozza a nem figyelt hozzáférést. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből).

Súlyosság: Magas

Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésekből

Leírás: A különböző tartománynevekkel (külső fiókokkal) rendelkező írási engedélyekkel rendelkező fiókokat el kell távolítani az előfizetésből. Ez megakadályozza a nem figyelt hozzáférést. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Kapcsolódó szabályzat: Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből).

Súlyosság: Magas

A tűzfalat engedélyezni kell a Key Vaultban

Leírás: A Key Vault tűzfala megakadályozza, hogy a jogosulatlan forgalom elérje a kulcstartót, és további védelmi réteget biztosít a titkos kódok számára. Engedélyezze a tűzfalat annak biztosításához, hogy csak az engedélyezett hálózatokból érkező forgalom férhessen hozzá a kulcstartóhoz. (Kapcsolódó szabályzat: A tűzfalat engedélyezni kell a Key Vaultban).

Súlyosság: Közepes

Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani

Leírás: Az Azure Active Directory-bérlőn kívül kiépített tulajdonosi engedélyekkel rendelkező fiókokat (eltérő tartományneveket) el kell távolítani az Azure-erőforrásokból. A vendégfiókokat nem ugyanazokkal a szabványokkal kezelik, mint a vállalati bérlői identitások. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat

Leírás: Az Azure Active Directory-bérlőn kívül kiépített olvasási engedélyekkel rendelkező fiókokat (eltérő tartományneveket) el kell távolítani az Azure-erőforrásokból. A vendégfiókokat nem ugyanazokkal a szabványokkal kezelik, mint a vállalati bérlői identitások. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani

Leírás: Az Azure Active Directory-bérlőn kívül kiépített írási engedélyekkel rendelkező fiókokat (eltérő tartományneveket) el kell távolítani az Azure-erőforrásokból. A vendégfiókokat nem ugyanazokkal a szabványokkal kezelik, mint a vállalati bérlői identitások. Ezek a fiókok célpontok lehetnek a támadók számára, akik észlelés nélkül szeretnének hozzáférni az adatokhoz. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük

Leírás: A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumainak beállítása. (Kapcsolódó szabályzat: A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük).

Súlyosság: Magas

A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie

Leírás: A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumainak beállítása. (Kapcsolódó szabályzat: A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie).

Súlyosság: Magas

A kulcstartóknak engedélyezve kell lennie a kiürítés elleni védelemnek

Leírás: A kulcstartó rosszindulatú törlése tartós adatvesztéshez vezethet. A szervezet rosszindulatú bennfentesei potenciálisan törölhetik és törölhetik a kulcstartókat. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. (Kapcsolódó szabályzat: A kulcstartóknak engedélyezve kell lennie a kiürítés elleni védelemnek).

Súlyosság: Közepes

A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek

Leírás: A helyreállítható törlés nélküli kulcstartó törlése véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. (Kapcsolódó szabályzat: A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek).

Súlyosság: Magas

Az MFA-t engedélyezni kell az előfizetésekhez tulajdonosi engedélyekkel rendelkező fiókokon

Leírás: A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. (Kapcsolódó szabályzat: Az MFA-t engedélyezni kell az előfizetés tulajdonosi engedélyekkel rendelkező fiókjain.

Súlyosság: Magas

Az MFA-t engedélyezni kell az előfizetéseken olvasási engedélyekkel rendelkező fiókokon

Leírás: A többtényezős hitelesítést (MFA) engedélyezni kell minden olvasási jogosultsággal rendelkező előfizetési fiókhoz, hogy megelőzze a fiókok vagy erőforrások megsértését. (Kapcsolódó szabályzat: Az MFA-t engedélyezni kell az előfizetés olvasási engedélyekkel rendelkező fiókjain.

Súlyosság: Magas

Az MFA-t engedélyezni kell az előfizetéseken írási engedélyekkel rendelkező fiókokon

Leírás: A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. (Kapcsolódó szabályzat: Az MFA-nak engedélyeznie kell az előfizetés írási engedélyekkel rendelkező fiókjait.

Súlyosság: Magas

A Key Vaulthoz készült Microsoft Defendert engedélyezni kell

Leírás: Felhőhöz készült Microsoft Defender tartalmazza a Key Vaulthoz készült Microsoft Defendert, amely további biztonságiintelligencia-réteget biztosít. A Key Vaulthoz készült Microsoft Defender szokatlan és potenciálisan káros kísérleteket észlel a Key Vault-fiókok elérésére vagy kihasználására. Fontos: A csomag védelmének díja a Defender-csomagok oldalán látható módon történik. Ha nem rendelkezik kulcstartókkal ebben az előfizetésben, akkor nem számítunk fel díjat. Ha később kulcstartókat hoz létre ezen az előfizetésen, azok automatikusan védettek lesznek, és a díjak megkezdődik. Ismerje meg a régiónkénti díjszabás részleteit. További információ a Key Vaulthoz készült Microsoft Defender bemutatása című témakörben. (Kapcsolódó szabályzat: Engedélyezni kell az Azure Defender for Key Vaultot).

Súlyosság: Magas

A privát végpontot a Key Vaulthoz kell konfigurálni

Leírás: A privát hivatkozás lehetővé teszi a Key Vault azure-erőforrásokhoz való csatlakoztatását anélkül, hogy forgalmat küldene a nyilvános interneten keresztül. A privát kapcsolat mélységi védelmet nyújt az adatszivárgás ellen. (Kapcsolódó szabályzat: A privát végpontot a Key Vaulthoz kell konfigurálni).

Súlyosság: Közepes

A tárfiók nyilvános hozzáférését le kell tiltani

Leírás: A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. (Kapcsolódó szabályzat: A tárfiók nyilvános hozzáférését le kell tiltani).

Súlyosság: Közepes

Egynél több tulajdonost kell hozzárendelni az előfizetésekhez

Leírás: Jelöljön ki egynél több előfizetés-tulajdonost, hogy rendszergazdai hozzáférési redundanciát biztosíthasson. (Kapcsolódó szabályzat: Az előfizetéshez egynél több tulajdonosnak kell tartoznia).

Súlyosság: Magas

Az Azure Key Vaultban tárolt tanúsítványok érvényességi időtartama nem haladhatja meg a 12 hónapot

Leírás: Győződjön meg arról, hogy a tanúsítványok érvényességi ideje nem haladja meg a 12 hónapot. (Kapcsolódó szabályzat: A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük.

Súlyosság: Közepes

Az Azure túlterjedt identitásainak csak a szükséges engedélyekkel kell rendelkezniük (előzetes verzió)

Leírás: A túlterjedt identitások vagy az engedélyezett identitások nem használják a megadott engedélyek nagy részét. Ezeknek az identitásoknak a rendszeres, megfelelő méretű engedélyei csökkentik az engedélyekkel való visszaélés kockázatát, akár véletlen, akár rosszindulatú. Ez a művelet csökkenti a potenciális robbanási sugarat egy biztonsági incidens során.

Súlyosság: Közepes

Az Azure-környezetben lévő szuper identitásokat el kell távolítani (előzetes verzió)

Leírás: A Super Identity bármilyen emberi vagy számítási feladat identitása, például felhasználók, szolgáltatásnevek és kiszolgáló nélküli függvények, amelyek rendszergazdai engedélyekkel rendelkeznek, és bármilyen műveletet végrehajthatnak az infrastruktúra bármely erőforrásán. A szuper identitások rendkívül nagy kockázatot jelentenek, mivel a rosszindulatú vagy véletlen engedélyekkel való visszaélés katasztrofális szolgáltatáskimaradást, szolgáltatáscsökkenést vagy adatszivárgást eredményezhet. A szuper identitások hatalmas fenyegetést jelentenek a felhőinfrastruktúra számára. A túl sok szuper identitás túlzott kockázatokat okozhat, és megnövelheti a robbanás sugarát a behatolás során.

Súlyosság: Közepes

Az Azure-környezetben nem használt identitásokat el kell távolítani (előzetes verzió)

Leírás: Az inaktív identitások azok az identitások, amelyek az elmúlt 90 napban nem hajtottak végre semmilyen műveletet az infrastruktúra-erőforrásokon. Az inaktív identitások jelentős kockázatot jelentenek a szervezet számára, mivel a támadók felhasználhatják őket a környezetbeli tevékenységek elérésére és végrehajtására.

Súlyosság: Közepes

IoT-javaslatok

Az alapértelmezett IP-szűrőházirend elutasítása

Leírás: Az IP-szűrő konfigurációjának meg kell határoznia az engedélyezett forgalomra vonatkozó szabályokat, és alapértelmezés szerint le kell tiltania az összes többi forgalmat (nincs kapcsolódó szabályzat).

Súlyosság: Közepes

Engedélyezni kell a diagnosztikai naplókat az IoT Hubon

Súlyosság: Alacsony

Azonos hitelesítési hitelesítő adatok

Leírás: Azonos hitelesítési hitelesítő adatok a több eszköz által használt IoT Hubtal. Ez azt jelezheti, hogy egy jogszerű eszközt megszemélyesítő illegitim eszköz. Emellett az eszköz megszemélyesítésének kockázatát is felfedi egy támadó (nincs kapcsolódó szabályzat).

Súlyosság: Magas

IP-szűrési szabály nagy IP-címtartománya

Leírás: Az IP-szűrési szabály forrás IP-tartománya túl nagy. A túlzottan megengedő szabályok kártékony szándékolók számára tehetik elérhetővé az IoT Hubot (nincs kapcsolódó szabályzat).

Súlyosság: Közepes

Hálózatokra vonatkozó javaslatok

Korlátozni kell a tűzfallal és a virtuális hálózati konfigurációkkal rendelkező tárfiókokhoz való hozzáférést

Leírás: Tekintse át a hálózati hozzáférés beállításait a tárfiók tűzfalbeállításaiban. Javasoljuk a hálózati szabályok konfigurálását, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz. (Kapcsolódó szabályzat: A tárfiókok korlátozhatják a hálózati hozzáférést).

Súlyosság: Alacsony

Az adaptív hálózatmegerősítési javaslatokat az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni

Leírás: Felhőhöz készült Defender elemezte az alább felsorolt virtuális gépek internetes adatforgalmi kommunikációs mintáit, és megállapította, hogy a hozzájuk társított NSG-k meglévő szabályai túlságosan megengedőek, ami nagyobb potenciális támadási felületet eredményez. Ez általában akkor fordul elő, ha ez az IP-cím nem kommunikál rendszeresen ezzel az erőforrással. Másik lehetőségként az IP-címet rosszindulatúként jelölte meg Felhőhöz készült Defender fenyegetésfelderítési forrásai. További információ: Hálózati biztonsági helyzet javítása adaptív hálózatmegerősítéssel. (Kapcsolódó szabályzat: Az adaptív hálózatmegerősítési javaslatokat az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni.

Súlyosság: Magas

Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon

Leírás: Felhőhöz készült Defender megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. (Kapcsolódó szabályzat: Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon.

Súlyosság: Magas

Engedélyezni kell az Azure DDoS Protection Standardot

Leírás: Felhőhöz készült Defender a DDoS védelmi szolgáltatás által nem védett Application Gateway-erőforrásokkal rendelkező virtuális hálózatokat észlelt. Ezek az erőforrások nyilvános IP-címeket tartalmaznak. A hálózati kötet- és protokolltámadások mérséklésének engedélyezése. (Kapcsolódó szabályzat: Engedélyezni kell az Azure DDoS Protection Standardot).

Súlyosság: Közepes

Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni

Leírás: A virtuális gép védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják a virtuális gép felé érkező hálózati forgalmat más példányokból, ugyanazon alhálózaton belül vagy azon kívül. Ahhoz, hogy a gép a lehető legnagyobb biztonságban legyen, korlátozni kell a virtuális gépek internethez való hozzáférését, és engedélyezni kell az NSG-t az alhálózaton. A "Magas" súlyosságú virtuális gépek internetes virtuális gépek. (Kapcsolódó szabályzat: Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni).

Súlyosság: Magas

Le kell tiltani az IP-továbbítást a virtuális gépen

Leírás: Felhőhöz készült Defender észlelte, hogy az IP-továbbítás engedélyezve van egyes virtuális gépeken. Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. (Kapcsolódó szabályzat: Le kell tiltani az IP-továbbítást a virtuális gépen).

Súlyosság: Közepes

A gépeknek olyan portokat kell bezárni, amelyek támadási vektorokat tehetnek elérhetővé

Leírás: Az Azure használati feltételei tiltják az Azure-szolgáltatások használatát olyan módon, amely bármilyen Microsoft-kiszolgálót vagy hálózatot károsíthat, letilthat, túlterhelhet vagy károsíthat. Ez a javaslat felsorolja azokat a közzétett portokat, amelyeket be kell zárni a folyamatos biztonság érdekében. Emellett az egyes portokat fenyegető potenciális veszélyeket is szemlélteti. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie

Súlyosság: Magas

A felügyeleti portokat be kell zárni a virtuális gépeken

Leírás: A távoli felügyeleti portok megnyitásakor a virtuális gép magas szintű kockázatnak van kitéve az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. (Kapcsolódó szabályzat: A felügyeleti portokat be kell zárni a virtuális gépeken).

Súlyosság: Közepes

A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni

Leírás: A nem internetkapcsolattal rendelkező virtuális gép védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják a virtuális gép felé érkező hálózati forgalmat más példányokból, függetlenül attól, hogy ugyanazon az alhálózaton vannak-e. Vegye figyelembe, hogy a gép lehető legnagyobb biztonsága érdekében korlátozni kell a virtuális gép internet-hozzáférését, és engedélyezni kell az NSG-t az alhálózaton. (Kapcsolódó szabályzat: A nem internetes virtuális gépeket hálózati biztonsági csoportokkal kell védeni.

Súlyosság: Alacsony

Engedélyezni kell a tárfiókokba való biztonságos átvitelt

Leírás: A biztonságos átvitel olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli támadástól, a lehallgatástól és a munkamenet-eltérítéstől. (Kapcsolódó szabályzat: Engedélyezni kell a tárfiókokba való biztonságos átvitelt).

Súlyosság: Magas

Az alhálózatokat hálózati biztonsági csoporthoz kell társítani

Leírás: Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. Ha egy NSG alhálózathoz van társítva, az ACL-szabályok az alhálózat összes virtuálisgép-példányára és integrált szolgáltatására vonatkoznak, de nem vonatkoznak az alhálózaton belüli belső forgalomra. Az ugyanazon alhálózat erőforrásainak egymástól való védelméhez engedélyezze az NSG-t közvetlenül az erőforrásokon is. Vegye figyelembe, hogy a következő alhálózattípusok nem alkalmazhatók: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Kapcsolódó szabályzat: Az alhálózatokat hálózati biztonsági csoporthoz kell társítani.

Súlyosság: Alacsony

A virtuális hálózatokat az Azure Firewallnak kell védenie

Leírás: Egyes virtuális hálózatok nem tűzfallal vannak védve. Az Azure Firewall használatával korlátozhatja a virtuális hálózatokhoz való hozzáférést, és megakadályozhatja a potenciális fenyegetéseket. (Kapcsolódó szabályzat: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani.

Súlyosság: Alacsony

API-javaslatok

Engedélyezni kell a Microsoft Defender for API-kat

Leírás > kapcsolódó szabályzat: Engedélyezze a Defender for API-k tervének, hogy felderítse és megvédje az API-erőforrásokat a támadások és a biztonsági konfigurációk ellen. További információ

Súlyosság: Magas

Az Azure API Management API-kat fel kell venni a Defender for API-kba

Leírás > kapcsolódó szabályzat: Az API-knak a Defender api-khoz való előkészítése számítási és memóriakihasználtságot igényel az Azure API Management szolgáltatásban. Monitorozza az Azure API Management szolgáltatás teljesítményét az API-k előkészítése során, és szükség szerint skálázza fel az Azure API Management-erőforrásokat.

Súlyosság: Magas

A nem használt API-végpontokat le kell tiltani és el kell távolítani az Azure API Management szolgáltatásból

Leírás és kapcsolódó szabályzat: Ajánlott biztonsági eljárásként azokat az API-végpontokat, amelyek 30 napja nem fogadták a forgalmat, használaton kívülinek minősülnek, és el kell távolítani őket az Azure API Management szolgáltatásból. A nem használt API-végpontok megtartása biztonsági kockázatot jelenthet. Ezek olyan API-k lehetnek, amelyeket el kellett volna hagyni az Azure API Management szolgáltatásból, de véletlenül aktívak maradtak. Az ilyen API-k általában nem kapják meg a legfrissebb biztonsági lefedettséget.

Súlyosság: Alacsony

Az Azure API Management API-végpontjait hitelesíteni kell

Leírás > kapcsolódó szabályzat: Az Azure API Managementben közzétett API-végpontoknak hitelesítést kell kikényszeríteni a biztonsági kockázat minimalizálása érdekében. A hitelesítési mechanizmusok néha helytelenül vannak implementálva, vagy hiányoznak. Így a támadók kihasználhatják a megvalósítás hibáit, és hozzáférhetnek az adatokhoz. Az Azure API Managementben közzétett API-k esetében ez a javaslat az Azure API Management-előfizetési kulcsok meglétének ellenőrzésén keresztül értékeli a hitelesítést az olyan API-khoz vagy termékekhez, amelyekhez előfizetés szükséges, valamint a JWT- és ügyféltanúsítványok és Microsoft Entra-jogkivonatok érvényesítésére vonatkozó szabályzatok végrehajtásával. Ha ezen hitelesítési mechanizmusok egyike sem fut az API-hívás során, az API megkapja ezt a javaslatot.

Súlyosság: Magas

API-kezelési javaslatok

Az API Management-előfizetések nem tartozhatnak az összes API-ra

Leírás > kapcsolódó szabályzat: Az API Management-előfizetéseket termékre vagy egyéni API-ra kell korlátozni az összes API helyett, ami túlzott adatexpozíciót eredményezhet.

Súlyosság: Közepes

Az API-háttérrendszerekhez intézett API Management-hívások nem kerülhetik meg a tanúsítvány ujjlenyomatát vagy a névérvényesítést

Leírás > kapcsolódó szabályzat: Az API Managementnek ellenőriznie kell a háttérkiszolgáló tanúsítványát az összes API-híváshoz. Engedélyezze az SSL-tanúsítvány ujjlenyomatát és a névérvényesítést az API biztonságának javítása érdekében.

Súlyosság: Közepes

Az API Management közvetlen felügyeleti végpontja nem engedélyezhető

Leírás és kapcsolódó szabályzat: Az Azure API Management közvetlen felügyeleti REST API-ja átadja az Azure Resource Manager szerepköralapú hozzáférés-vezérlési, engedélyezési és szabályozási mechanizmusait, ezáltal növelve a szolgáltatás sebezhetőségét.

Súlyosság: Alacsony

Az API Management API-knak csak titkosított protokollokat kell használniuk

Leírás > kapcsolódó szabályzat: Az API-knak csak titkosított protokollokon, például HTTPS-n vagy WSS-n keresztül kell elérhetőnek lenniük. Ne használjon nem biztonságos protokollokat, például HTTP-t vagy WS-t az átvitt adatok biztonsága érdekében.

Súlyosság: Magas

Az API Management titkos kód elnevezett értékeit az Azure Key Vaultban kell tárolni

Leírás > kapcsolódó szabályzat: Az elnevezett értékek név- és értékpárok gyűjteményei az egyes API Management-szolgáltatásokban. A titkos értékek titkosított szövegként tárolhatók az API Managementben (egyéni titkos kódok), vagy az Azure Key Vault titkos kulcsokra való hivatkozásával. Az Azure Key Vault titkos kódnevű értékeinek hivatkozása az API Management és a titkos kódok biztonságának javítása érdekében. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsforgatási szabályzatokat.

Súlyosság: Közepes

Az API Managementnek le kell tiltania a szolgáltatáskonfigurációs végpontokhoz való nyilvános hálózati hozzáférést

Leírás > kapcsolódó szabályzat: Az API Management-szolgáltatások biztonságának javítása érdekében korlátozza a szolgáltatáskonfigurációs végpontokhoz, például a közvetlen hozzáférés-kezelési API-hoz, a Git konfigurációkezelési végponthoz vagy a saját üzemeltetésű átjárók konfigurációs végpontjaihoz való kapcsolódást.

Súlyosság: Közepes

Az API Management minimális API-verzióját 2019-12-01-es vagy újabb verzióra kell állítani

Leírás és kapcsolódó szabályzat: A szolgáltatás titkos kulcsainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani.

Súlyosság: Közepes

Hitelesíteni kell az API-háttérrendszerekre irányuló API Management-hívásokat

Leírás > kapcsolódó szabályzat: Az API Managementből a háttérrendszerekbe irányuló hívásoknak valamilyen hitelesítést kell használniuk, akár tanúsítványokon vagy hitelesítő adatokon keresztül. Nem vonatkozik a Service Fabric-háttérrendszerekre.

Súlyosság: Közepes

AI-javaslatok

Engedélyezni kell az Azure Machine Tanulás-munkaterületek erőforrásnaplóit (előzetes verzió)

Leírás > kapcsolódó szabályzat: Az erőforrásnaplók lehetővé teszik a tevékenységnaplók újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült.

Súlyosság: Közepes

Az Azure Machine Tanulás-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést (előzetes verzió)

Leírás > kapcsolódó szabályzat: A nyilvános hálózati hozzáférés letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a gépi Tanulás munkaterületek ne legyenek közzétéve a nyilvános interneten. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: Privát végpont konfigurálása Azure Machine Tanulás-munkaterülethez.

Súlyosság: Közepes

Az Azure Machine Tanulás Computesnek virtuális hálózaton kell lennie (előzetes verzió)

Leírás és kapcsolódó szabályzat: Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Machine Tanulás számítási fürtök és példányok, valamint az alhálózatok, a hozzáférés-vezérlési szabályzatok és egyéb funkciók számára a hozzáférés további korlátozásához. Ha egy számítás virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el.

Súlyosság: Közepes

Az Azure Machine Tanulás Computes esetében le kell tiltani a helyi hitelesítési módszereket (előzetes verzió)

Leírás > kapcsolódó szabályzat: A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a gépi Tanulás számításhoz kizárólag Azure Active Directory-identitások szükségesek a hitelesítéshez. További információ: Azure Policy Regulatory Compliance Controls for Azure Machine Tanulás.

Súlyosság: Közepes

Az Azure Machine Tanulás számítási példányokat újra létre kell hozni a legújabb szoftverfrissítések beszerzéséhez (előzetes verzió)

Leírás és kapcsolódó szabályzat: Győződjön meg arról, hogy az Azure Machine Tanulás számítási példányok a legújabb elérhető operációs rendszeren futnak. A biztonság javul, a biztonsági rések pedig a legújabb biztonsági javítások futtatásával csökkenthetők. További információ: Az Azure Machine Tanulás biztonsági réseinek kezelése.

Súlyosság: Közepes

Engedélyezni kell az Azure Databricks-munkaterületek erőforrásnaplóit (előzetes verzió)

Súlyosság: Közepes

Az Azure Databricks-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést (előzetes verzió)

Leírás > kapcsolódó szabályzat: A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az erőforrás ne legyen közzétéve a nyilvános interneten. Az erőforrások expozícióját privát végpontok létrehozásával szabályozhatja. További információ: Azure Private Link engedélyezése.

Súlyosság: Közepes

Az Azure Databricks-fürtöknek le kell tiltania a nyilvános IP-címet (előzetes verzió)

Leírás és kapcsolódó szabályzat: A fürtök nyilvános IP-címének letiltása az Azure Databricks-munkaterületeken javítja a biztonságot azáltal, hogy biztosítja, hogy a fürtök ne legyenek közzétéve a nyilvános interneten. További információ: Biztonságos fürtkapcsolat.

Súlyosság: Közepes

Az Azure Databricks-munkaterületeknek virtuális hálózaton kell lenniük (előzetes verzió)

Leírás és kapcsolódó szabályzat: Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Databricks-munkaterületekhez, valamint alhálózatokhoz, hozzáférés-vezérlési szabályzatokhoz és egyéb funkciókhoz a hozzáférés további korlátozásához. További információ: Azure Databricks üzembe helyezése az Azure-beli virtuális hálózaton.

Súlyosság: Közepes

Az Azure Databricks-munkaterületeknek privát hivatkozást kell használniuk (előzetes verzió)

Leírás > kapcsolódó szabályzat: Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Databricks-munkaterületekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: Munkaterület és privát végpontok létrehozása az Azure Portal felhasználói felületén.

Súlyosság: Közepes

Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést

Leírás: A hálózati hozzáférés korlátozásával biztosíthatja, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI-szolgáltatás erőforrásához.

Súlyosság: Közepes

Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést)

Leírás: A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ.

Súlyosság: Közepes

Elavult javaslatok

Az előfizetések túlkiosztott identitásait meg kell vizsgálni az engedélykúszási index (PCI) csökkentése érdekében

Leírás: Az előfizetésben lévő túlkiosztott identitásokat meg kell vizsgálni a jogosultsági kúszóindex (PCI) csökkentése és az infrastruktúra védelme érdekében. Csökkentse a PCI-t a nem használt magas kockázatú engedélyhozzárendelések eltávolításával. A magas PCI a normál vagy a szükséges használatot meghaladó engedélyekkel rendelkező identitásokhoz kapcsolódó kockázatokat tükrözi (nincs kapcsolódó szabályzat).

Súlyosság: Közepes

A fiókokban a túlzottan kiépített identitásokat meg kell vizsgálni az engedélykúszási index (PCI) csökkentése érdekében

Leírás: A fiókok túlzottan kiosztott identitásait meg kell vizsgálni a jogosultsági kúszóindex (PCI) csökkentése és az infrastruktúra védelme érdekében. Csökkentse a PCI-t a nem használt magas kockázatú engedélyhozzárendelések eltávolításával. A magas PCI a normál vagy a szükséges használatot meghaladó engedélyekkel rendelkező identitásokhoz kapcsolódó kockázatokat tükrözi.

Súlyosság: Közepes

Korlátozni kell az App Serviceshez való hozzáférést

Leírás > kapcsolódó szabályzat: Korlátozza az App Serviceshez való hozzáférést a hálózati konfiguráció módosításával, hogy megtagadja a bejövő forgalmat a túl széles tartományokból. (Kapcsolódó szabályzat: [Előzetes verzió]: Korlátozni kell az App Services elérését).

Súlyosság: Magas

Az IaaS NSG-n futó webalkalmazásokra vonatkozó szabályokat meg kell keményíteni

Leírás > kapcsolódó szabályzat: A webalkalmazásokat futtató virtuális gépek hálózati biztonsági csoportjának (NSG) megerősítése olyan NSG-szabályokkal, amelyek túlságosan megengedőek a webalkalmazás-portok tekintetében. (Kapcsolódó szabályzat: Az IaaS-en futó webalkalmazásokra vonatkozó NSG-szabályokat meg kell keményíteni).

Súlyosság: Magas

A pod biztonsági szabályzatait úgy kell definiálni, hogy a szükségtelen alkalmazásjogjogok (előzetes verzió) eltávolításával csökkentse a támadási vektort

Leírás > kapcsolódó szabályzat: Pod biztonsági szabályzatok definiálása a támadási vektor csökkentéséhez a szükségtelen alkalmazásjogjogok eltávolításával. Ajánlott podbiztonsági szabályzatokat konfigurálni, hogy a podok csak azokhoz az erőforrásokhoz férhessenek hozzá, amelyekhez hozzáférésük van. (Kapcsolódó szabályzat: [Előzetes verzió]: A pod biztonsági szabályzatainak definiálva kell lenniük a Kubernetes Servicesben).

Súlyosság: Közepes

Az Azure Security Center for IoT biztonsági modul telepítése az IoT-eszközök jobb láthatósága érdekében

Leírás és kapcsolódó szabályzat: Telepítse az Azure Security Center for IoT biztonsági modult, hogy jobban megismerje az IoT-eszközöket.

Súlyosság: Alacsony

A rendszerfrissítések alkalmazásához újra kell indítani a gépeket

Leírás > kapcsolódó szabályzat: Indítsa újra a gépeket a rendszerfrissítések alkalmazásához, és védje a gépet a biztonsági résektől. (Kapcsolódó szabályzat: A rendszerfrissítéseket telepíteni kell a gépekre).

Súlyosság: Közepes

A monitorozási ügynököt telepíteni kell a gépekre

Leírás > kapcsolódó szabályzat: Ez a művelet egy figyelési ügynököt telepít a kijelölt virtuális gépekre. Válassza ki azt a munkaterületet, a amelybe az ügynöknek jelentést szeretne tenni. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A Java-t frissíteni kell a webalkalmazások legújabb verziójára

Leírás > kapcsolódó szabályzat: A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. A legújabb Java-verzió webalkalmazásokhoz való használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha a webalkalmazás részeként használják).

Súlyosság: Közepes

A Pythont a függvényalkalmazások legújabb verziójára kell frissíteni

Leírás > kapcsolódó szabályzat: A Python-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. A függvényalkalmazások legújabb Python-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Python-verzió" a legújabb, ha a függvényalkalmazás részeként használják).

Súlyosság: Közepes

A Pythont a webalkalmazások legújabb verziójára kell frissíteni

Leírás > kapcsolódó szabályzat: A Python-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. A legújabb Python-verzió webalkalmazásokhoz való használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Python-verzió" a legújabb, ha a webalkalmazás részeként használják).

Súlyosság: Közepes

A Java-t frissíteni kell a függvényalkalmazások legújabb verziójára

Leírás > kapcsolódó szabályzat: A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. A függvényalkalmazások legújabb Java-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha a függvényalkalmazás részeként használják).

Súlyosság: Közepes

A PHP-t frissíteni kell a webalkalmazások legújabb verziójára

Leírás > kapcsolódó szabályzat: Rendszeresen újabb verziók jelennek meg a PHP-szoftverekhez biztonsági hibák vagy további funkciók belefoglalása miatt. A webalkalmazások legújabb PHP-verziójának használata ajánlott a legújabb verzió biztonsági javításai és/vagy új funkcióinak kihasználása érdekében. (Kapcsolódó szabályzat: Győződjön meg arról, hogy a "PHP-verzió" a legújabb, ha a WEBalkalmazás részeként használják).

Súlyosság: Közepes

Meg kell oldani a végpontvédelmi állapottal kapcsolatos problémákat a gépeken

Leírás: A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Tekintse meg a Felhőhöz készült Defender által támogatott végpontvédelmi megoldások dokumentációját és a végpontvédelmi értékeléseket. (Nincs kapcsolódó szabályzat)

Súlyosság: Közepes

A végpontvédelmet telepíteni kell a gépekre

Leírás: A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. További információ a gépek végpontvédelmének kiértékeléséről az Endpoint Protection felmérésében, valamint a Felhőhöz készült Microsoft Defender vonatkozó javaslatokban. (Nincs kapcsolódó szabályzat)

Súlyosság: Magas

A Cognitive Services-fiókok nyilvános hálózati hozzáférését le kell tiltani

Leírás: Ez a szabályzat naplóz minden Cognitive Services-fiókot a környezetében, és engedélyezve van a nyilvános hálózati hozzáférés. A nyilvános hálózati hozzáférést le kell tiltani, hogy csak a privát végpontokról érkező kapcsolatok legyenek engedélyezve. (Kapcsolódó szabályzat: A Cognitive Services-fiókok nyilvános hálózati hozzáférését le kell tiltani.

Súlyosság: Közepes