Az Azure biztonsági alapkonfigurációja Virtual Machines – Linux Virtual Machines
Ez a biztonsági alapkonfiguráció a Microsoft felhőalapú biztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Virtual Machines – Linux Virtual Machines. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Virtual Machines – Linux Virtual Machines vonatkozó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
A Virtual Machines nem alkalmazható funkciók – a Linux Virtual Machines ki lettek zárva. A Virtual Machines – Linux Virtual Machines teljesen megfelel a Microsoft felhőbiztonsági teljesítménytesztjének, tekintse meg a teljes Virtual Machines – Linux Virtual Machines biztonsági alapkonfiguráció-leképezési fájlt.
Biztonsági profil
A biztonsági profil összefoglalja a Virtual Machines – Linux Virtual Machines nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Compute |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Teljes hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Igaz |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Virtuális hálózatok és virtuális gépek az Azure-ban
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
Azure-beli virtuális gép (VM) létrehozásakor létre kell hoznia egy virtuális hálózatot, vagy egy meglévő virtuális hálózatot kell használnia, és alhálózattal kell konfigurálnia a virtuális gépet. Győződjön meg arról, hogy az összes üzembe helyezett alhálózaton egy hálózati biztonsági csoport van alkalmazva, amely az alkalmazásokra vonatkozó, megbízható portokra és forrásokra vonatkozó hálózati hozzáférés-vezérléssel rendelkezik.
Referencia: Hálózati biztonsági csoportok
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományokból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Letiltva | 3.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adaptív hálózatmegerősítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépekre | Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a lehetséges támadási felületet | AuditIfNotExists, Letiltva | 3.0.0 |
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az olyan szolgáltatások, mint az iptables vagy a tűzfalak telepíthetők a Linux operációs rendszerben, és hálózati szűrést biztosítanak a nyilvános hozzáférés letiltásához.
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.
Referencia: Bejelentkezés Linux rendszerű virtuális gépre az Azure-ban a Azure AD és az OpenSSH használatával
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: A rendszer alapértelmezés szerint helyi rendszergazdai fiókot hoz létre a virtuális gép kezdeti telepítése során. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A Linux rendszerű virtuális gépek hagyományosan használják a felügyelt identitást más szolgáltatásokban való hitelesítéshez. Ha a Linux rendszerű virtuális gép támogatja Azure AD hitelesítést, akkor a felügyelt identitás is támogatott lehet.
Konfigurációs útmutató: Lehetőség szerint azure-beli felügyelt identitásokat használjon szolgáltatásnevek helyett, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: A linuxos virtuális gépen futó alkalmazások szolgáltatásneveket használhatnak.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatókörébe tartozó Azure-beli virtuális gépek nem lesznek megfelelőek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs rendszer által hozzárendelt felügyelt identitásuk. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Adatsík feltételes hozzáférése
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: A Azure AD alapvető hitelesítési platformként és hitelesítésszolgáltatóként használjon SSH-t linuxos virtuális gépre Azure AD és OpenSSH-tanúsítványalapú hitelesítéssel. Ez a funkció lehetővé teszi a szervezetek számára, hogy azure-beli szerepköralapú hozzáférés-vezérléssel (RBAC) és feltételes hozzáférési szabályzatokkal kezeljék a virtuális gépekhez való hozzáférést.
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
Referencia: Bejelentkezés Linux rendszerű virtuális gépre az Azure-ban a Azure AD és az OpenSSH használatával
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Az adatsíkon vagy az operációs rendszeren belül a szolgáltatások meghívhatják az Azure Key Vault hitelesítő adatokat vagy titkos kódokat.
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták őket.
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Rövid útmutató: Linux rendszerű virtuális gép létrehozása a Azure Portal
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: A Azure AD alapvető hitelesítési platformként és hitelesítésszolgáltatóként használva SSH-t készíthet Linux rendszerű virtuális gépre Azure AD és OpenSSH-tanúsítványalapú hitelesítéssel. Ez a funkció lehetővé teszi a szervezetek számára, hogy azure-beli szerepköralapú hozzáférés-vezérléssel (RBAC) és feltételes hozzáférési szabályzatokkal kezeljék a virtuális gépekhez való hozzáférést.
Konfigurációs útmutató: Az RBAC-vel megadhatja, hogy ki jelentkezhet be a virtuális gépre normál felhasználóként vagy rendszergazdai jogosultságokkal. Amikor a felhasználók csatlakoznak a csapathoz, frissítheti a virtuális gép Azure RBAC-szabályzatát, hogy a megfelelő hozzáférést biztosítsa. Amikor az alkalmazottak elhagyják a szervezetet, és a felhasználói fiókjuk le van tiltva vagy eltávolítva Azure AD, már nem férnek hozzá az erőforrásokhoz.
Referencia: Jelentkezzen be egy Linux rendszerű virtuális gépre az Azure-ban a Azure AD és az OpenSSH használatával
PA-8: A felhőszolgáltató támogatásának hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: A Customer Lockbox használható a Microsoft támogatási hozzáféréséhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélzárolás segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, osztályozása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok átvitelének figyelésére (az ügyfél tartalmaiban). További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Bizonyos kommunikációs protokollok, például az SSH alapértelmezés szerint titkosítva vannak. Más szolgáltatásokat, például a HTTP-t azonban úgy kell konfigurálni, hogy tLS-t használjon a titkosításhoz.
Konfigurációs útmutató: Biztonságos átvitel engedélyezése olyan szolgáltatásokban, amelyekben beépített natív adatok vannak az átviteltitkosítási szolgáltatásban. A HTTPS kényszerítése bármely webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távoli felügyeletéhez használjon SSH-t (Linuxhoz) vagy RDP/TLS-t (Windowshoz) titkosítatlan protokoll helyett.
Referencia: Átvitel közbeni titkosítás virtuális gépeken
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül továbbított információk védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Letiltva | 4.1.1 |
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: A felügyelt lemezek alapértelmezés szerint platform által felügyelt titkosítási kulcsokat használnak. A meglévő felügyelt lemezekre írt felügyelt lemezek, pillanatképek, képek és adatok automatikusan titkosítva lesznek a platform által felügyelt kulcsokkal.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Az Azure Disk Storage kiszolgálóoldali titkosítása – Platform által felügyelt kulcsok
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeknek titkosítanak ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat a számítási és tárolási erőforrások között | A virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak, platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tárolás között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. Managed Disks kiszolgálóoldali titkosítás megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Letiltva | 2.0.3 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak, platform által felügyelt kulcsokkal; Az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nem titkosítva lesznek a számítási és tárolási erőforrások között. Az Összes adat titkosítása az Azure Disk Encryption vagy a EncryptionAtHost használatával. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ehhez a szabályzathoz két előfeltételt kell üzembe helyezni a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. | AuditIfNotExists, Letiltva | 1.2.0-preview |
DP-5: Szükség esetén használja az ügyfél által felügyelt kulcsbeállítást az inaktív adatok titkosításában
Funkciók
Inaktív adatok titkosítása a CMK használatával
Leírás: Az ügyfél által felügyelt kulcsokat használó inaktív adatok titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A titkosítást az egyes felügyelt lemezek szintjén, saját kulcsokkal kezelheti. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. A felhasználó által kezelt kulcsokkal rugalmasabban kezelhető a hozzáférés-vezérlés.
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.
A Virtual Machines (VM) virtuális lemezei inaktív állapotban vannak titkosítva kiszolgálóoldali vagy Azure-beli lemeztitkosítással (ADE). Az Azure Disk Encryption a Linux DM-Crypt funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal történő titkosítására a vendég virtuális gépen. Az ügyfél által felügyelt kulcsokkal történő kiszolgálóoldali titkosítás javul az ADE-n azáltal, hogy lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez a Storage szolgáltatás adatainak titkosításával.
Referencia: Az Azure Disk Storage kiszolgálóoldali titkosítása – Ügyfél által felügyelt kulcsok
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.
Referencia: Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Azure Policy segítségével meghatározhatja a szervezet Windows rendszerű és Linux rendszerű virtuális gépeinek kívánt viselkedését. A szabályzatok használatával a szervezetek különböző konvenciókat és szabályokat kényszeríthetnek ki a vállalat egészében, és szabványos biztonsági konfigurációkat definiálhatnak és implementálhatnak az Azure Virtual Machines számára. A kívánt viselkedés kényszerítése segíthet csökkenteni a kockázatokat, miközben hozzájárul a szervezet sikeréhez.
Referencia: Azure Policy beépített definíciók az Azure Virtual Machines
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeket új Azure-Resource Manager-erőforrásokba kell migrálni | Új Azure-Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager alapú üzembe helyezés és szabályozás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése | Naplózás, megtagadás, letiltva | 1.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeket új Azure-Resource Manager-erőforrásokba kell migrálni | Új Azure-Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager alapú üzembe helyezés és szabályozás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése | Naplózás, megtagadás, letiltva | 1.0.0 |
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
Funkciók
Microsoft Defender a felhőhöz – Adaptív alkalmazásvezérlők
Leírás: A szolgáltatás korlátozhatja, hogy milyen ügyfélalkalmazások futnak a virtuális gépen a Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud adaptív alkalmazásvezérlőinek használatával felderítheti a virtuális gépeken (VM-en) futó alkalmazásokat, és létrehozhat egy alkalmazás engedélyezési listát, amely lehetővé teszi, hogy a jóváhagyott alkalmazások a virtuálisgép-környezetben fussanak.
Referencia: Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezze az alkalmazásvezérlőknek, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Letiltva | 3.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezze az alkalmazásvezérlőknek, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Letiltva | 3.0.0 |
Naplózás és fenyegetésészlelés
További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Funkciók
Microsoft Defender szolgáltatáshoz/termékajánlathoz
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Defender for Servers kiterjeszti a védelmet az Azure-ban futó Windows- és Linux-gépekre. A Defender for Servers integrálva van a Végponthoz készült Microsoft Defender a végpontészlelés és -válasz (EDR) biztosításához, valamint számos további veszélyforrás-védelmi funkciót is biztosít, például a biztonsági alapkonfigurációkat és az operációs rendszerszintű értékeléseket, a sebezhetőségi felmérést, az adaptív alkalmazásvezérlőket (AAC), a fájlintegritási monitorozást (FIM) és egyebeket.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Windows Defender Biztonsági rés kiaknázása elleni védelmet engedélyezni kell a gépeken | Windows Defender Exploit Guard a Azure Policy vendégkonfigurációs ügynököt használja. A Exploit Guard négy olyan összetevővel rendelkezik, amelyek célja az eszközök számos támadási vektor elleni zárolása és a rosszindulatú támadások során gyakran használt blokkolási viselkedések blokkolása, miközben lehetővé teszi a vállalatok számára a biztonsági kockázatok és a hatékonysági követelmények kiegyensúlyozását (csak Windows rendszeren). | AuditIfNotExists, Letiltva | 2.0.0 |
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Funkciók
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Monitor a virtuális gép létrehozásakor automatikusan megkezdi a metrikaadatok gyűjtését a virtuális gép gazdagépe számára. Ahhoz azonban, hogy naplókat és teljesítményadatokat gyűjtsön a virtuális gép vendég operációs rendszeréből, telepítenie kell az Azure Monitor-ügynököt. Az ügynököt telepítheti és konfigurálhatja a gyűjteményt a virtuálisgép-elemzések használatával vagy egy adatgyűjtési szabály létrehozásával .
Referencia: A Log Analytics-ügynök áttekintése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft függőségi ügynökével gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat biztosíthasson, mint a forgalomvizualizáció a hálózati térképen, a hálózatmegszűrési javaslatok és a konkrét hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-preview |
Állapot- és biztonságirés-kezelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: A helyzet és a biztonságirés-kezelés.
PV-3: Biztonságos konfigurációk meghatározása és létrehozása a számítási erőforrásokhoz
Funkciók
Azure Automation State Configuration
Leírás: Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartására használható. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Használja a Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartásához.
Referencia: Virtuális gép konfigurálása Desired State Configuration
Azure Policy vendégkonfigurációs ügynök
Leírás: Azure Policy vendégkonfigurációs ügynök telepíthető vagy telepíthető a számítási erőforrások bővítményeként. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: Azure Policy vendégkonfiguráció neve mostantól Azure Automanage Machine Configuration.
Konfigurációs útmutató: A felhőhöz készült Microsoft Defender és Azure Policy vendégkonfigurációs ügynök használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrások konfigurációs eltéréseit, beleértve a virtuális gépeket, a tárolókat és másokat.
Referencia: Az Azure Automanage gépkonfigurációs funkciójának ismertetése
Egyéni virtuálisgép-rendszerképek
Leírás: A szolgáltatás támogatja a felhasználó által megadott virtuálisgép-rendszerképek vagy a piactérről előre létrehozott rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Használjon egy megbízható szállító, például a Microsoft által előre konfigurált, rögzített rendszerképet, vagy hozzon létre egy kívánt biztonságos konfigurációs alapkonfigurációt a virtuálisgép-rendszerképsablonban.
Referencia: Oktatóanyag: Azure-beli virtuális gép egyéni rendszerképének létrehozása az Azure CLI-vel
PV-4: A számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése
Funkciók
Virtuális gép megbízható indítása
Leírás: A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen olyan infrastruktúra-technológiák kombinálásával, mint a biztonságos rendszerindítás, a vTPM és az integritásfigyelés. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen. A megbízható indítás lehetővé teszi a virtuális gépek biztonságos üzembe helyezését ellenőrzött rendszertöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal, valamint biztonságosan védi a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken. A megbízható indítás emellett betekintést nyújt a teljes rendszerindítási lánc integritásába, és biztosítja a számítási feladatok megbízhatóságát és ellenőrizhetőségét. A megbízható indítás integrálva van a Microsoft Defender for Cloud szolgáltatással, hogy a virtuális gépek megfelelően legyenek konfigurálva, a virtuális gép megfelelő rendszerindításának távoli igazolásával. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzése: A megbízható indítás a 2. generációs virtuális gépekhez érhető el. A megbízható indításhoz új virtuális gépek létrehozása szükséges. Nem engedélyezheti a megbízható indítást az eredetileg nélküle létrehozott meglévő virtuális gépeken.
Konfigurációs útmutató: A virtuális gép üzembe helyezése során engedélyezhető a megbízható indítás. Mindhárom engedélyezése – Biztonságos rendszerindítás, vTPM és integritásos rendszerindítás monitorozása a virtuális gép legjobb biztonsági állapotának biztosítása érdekében. Vegye figyelembe, hogy van néhány előfeltétel, például az előfizetés előkészítése a Microsoft Defender for Cloudhoz, bizonyos Azure Policy kezdeményezések hozzárendelése és tűzfalszabályzatok konfigurálása.
Referencia: Virtuális gép üzembe helyezése engedélyezett megbízható indítással
PV-5: Sebezhetőségi felmérések végrehajtása
Funkciók
Sebezhetőségi felmérés Microsoft Defender használatával
Leírás: A szolgáltatás a felhőhöz készült Microsoft Defender vagy más Microsoft Defender-szolgáltatások beágyazott sebezhetőségi felmérési funkciójának (beleértve a kiszolgáló, a tárolóregisztrációs adatbázis, a App Service, az SQL és a DNS Microsoft Defender) használatával vizsgálható meg. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure-beli virtuális gépek biztonságirés-felméréseinek elvégzéséhez.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázat és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonságirés-vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázat és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonságirés-vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: A biztonsági rések gyors és automatikus elhárítása
Funkciók
Azure Automation – Frissítéskezelés
Leírás: A szolgáltatás Azure Automation Update Management használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Linux rendszerű virtuális gépeken.
Referencia: A virtuális gépek frissítéseinek és javításainak kezelése
Azure-vendégjavító szolgáltatás
Leírás: A szolgáltatás az Azure Guest Patching használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A szolgáltatások különböző frissítési mechanizmusokat használhatnak, például az automatikus operációs rendszer rendszerképének frissítését és az automatikus vendég-javítást. Javasoljuk, hogy a legújabb biztonsági és kritikus frissítéseket alkalmazza a virtuális gép vendég operációs rendszerére a biztonságos üzembe helyezés alapelveit követve.
Az automatikus vendégjavítás lehetővé teszi az Azure-beli virtuális gépek automatikus felmérését és frissítését, hogy fenntartsa a havonta kiadott kritikus és biztonsági frissítéseknek való megfelelést. Frissítések a rendszer csúcsidőn kívül alkalmazza, beleértve a rendelkezésre állási csoporton belüli virtuális gépeket is. Ez a képesség elérhető a rugalmas VMSS vezényléshez, és a jövőben támogatja az egységes vezénylés ütemtervét.
Ha állapot nélküli számítási feladatot futtat, az automatikus operációsrendszer-rendszerkép-frissítések ideálisak a VMSS Uniform legújabb frissítésének alkalmazásához. A visszaállítási funkcióval ezek a frissítések kompatibilisek a Marketplace-szel vagy az egyéni rendszerképekkel. A jövőbeli működés közbeni frissítés támogatása a rugalmas vezénylés ütemtervében.
Referencia: Azure-beli virtuális gépek automatikus virtuálisgép-vendégjavítása
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A rendszerfrissítéseket telepíteni kell a gépeken | A kiszolgálókon hiányzó biztonságirendszer-frissítéseket a Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 4.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Centerrel) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus biztonsági javításokat. Az ilyen lyukakat gyakran használják ki a kártevők támadásai, ezért elengedhetetlen a szoftver frissítésének fenntartása. A kimagasló javítások telepítéséhez és a gépek védelméhez kövesse a javítási lépéseket. | AuditIfNotExists, Disabled | 1.0.0-preview |
Végpontbiztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Végpontbiztonság.
ES-1: Végpontészlelés és -válasz (EDR) használata
Funkciók
EDR-megoldás
Leírás: A végpontészlelés és -válasz (EDR) szolgáltatás, például a kiszolgálókhoz készült Azure Defender üzembe helyezhető a végponton. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A kiszolgálókhoz készült Azure Defender (Végponthoz készült Microsoft Defender integrált) EDR-képességet biztosít a speciális fenyegetések megelőzésére, észlelésére, kivizsgálására és elhárítására. A Microsoft Defender for Cloud használatával üzembe helyezheti az Azure Defender for Serverst a végponthoz, és integrálhatja a riasztásokat a SIEM-megoldásba, például az Azure Sentinelbe.
Referencia: A Defender for Servers üzembe helyezésének megtervezése
ES-2: Modern kártevőirtó szoftverek használata
Funkciók
Kártevőirtó megoldás
Leírás: Kártevőirtó funkció, például Microsoft Defender víruskereső, Végponthoz készült Microsoft Defender üzembe helyezhető a végponton. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Linux esetén az ügyfelek választhatnak a linuxos Végponthoz készült Microsoft Defender telepítéséről. Alternatív megoldásként az ügyfelek dönthetnek úgy is, hogy külső kártevőirtó termékeket telepítenek.
Referencia: Végponthoz készült Microsoft Defender Linuxon
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Letiltva | 1.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Letiltva | 1.0.0 |
ES-3: Győződjön meg arról, hogy a kártevőirtó szoftverek és az aláírások frissülnek
Funkciók
Kártevőirtó megoldás állapotmonitorozása
Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform-, motor- és automatikus aláírásfrissítésekhez. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkció megjegyzései: A biztonsági intelligencia és a termékfrissítések a Végponthoz készült Defenderre vonatkoznak, amely telepíthető a Linux rendszerű virtuális gépekre.
Konfigurációs útmutató: Konfigurálja a kártevőirtó megoldást annak érdekében, hogy a platform, a motor és az aláírások gyorsan és következetesen frissüljenek, és állapotuk monitorozásra kerüljön.
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.ClassicCompute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Letiltva | 1.0.0 |
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi felmérést itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Letiltva | 1.0.0 |
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Engedélyezze Azure Backup és célként az Azure Virtual Machines (VM), valamint a kívánt gyakoriságot és megőrzési időtartamot. Ez magában foglalja a teljes rendszerállapot-biztonsági mentést is. Ha Azure-beli lemeztitkosítást használ, az Azure-beli virtuális gépek biztonsági mentése automatikusan kezeli az ügyfél által felügyelt kulcsok biztonsági mentését. Az Azure Virtual Machines Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.
Referencia: Biztonsági mentési és visszaállítási lehetőségek az Azure-beli virtuális gépekhez
Microsoft Defender felhőmonitorozáshoz
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Azure Portal) |
Description | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Backup engedélyezni kell a Virtual Machines | A Azure Backup engedélyezésével gondoskodjon az Azure Virtual Machines védelméről. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Letiltva | 3.0.0 |
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről