Azure biztonsági alapkonfiguráció a Batchhez

Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 2.0-s verziójának útmutatását alkalmazza a Azure Batch. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure biztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Batchre vonatkozó kapcsolódó útmutatók szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Batchre nem alkalmazható vezérlők, valamint azok, amelyek esetében a globális útmutatást kimondottan javasolták, ki lettek zárva. Ha meg szeretné tudni, hogy a Batch hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a Batch biztonsági alapkonfigurációjának teljes leképezési fájlát.

Hálózati biztonság

További információ: Azure Security Benchmark: Hálózati biztonság.

NS-1: Belső forgalom biztonságának megvalósítása

Útmutató: Azure Batch-készletek üzembe helyezése virtuális hálózaton belül. A készletet kiépítheti egy Azure-beli virtuális hálózat alhálózatán. Ezzel a művelettel a készlet számítási csomópontjai biztonságosan kommunikálhatnak más virtuális gépekkel vagy egy helyszíni hálózattal. Virtuális hálózaton belül helyezi üzembe a készletet? Ezután szabályozhatja az egyes csomópontok hálózati adaptereinek (NIC) és alhálózatának védelméhez használt hálózati biztonsági csoportot (NSG-t). Konfigurálja úgy az NSG-t, hogy csak megbízható IP-címekről vagy internetes helyekről érkező forgalmat engedélyezzen.

Tiltsa le a nyilvánosan közzétett RDP-/SSH-végpontokat a 3389-ös (Windows) vagy a 22-s (Linux) porton. Ezután a külső források nem tudnak csatlakozni a Batch számítási csomópontjaihoz, és nem deríthetnek fel távoli hozzáférést. Konfigurálja ezeket a portokat a hozzáféréshez igény szerint használható mechanizmusokkal a hozzárendelt hálózati biztonsági csoportokon.

Támogatásra van szüksége bizonyos MPI-futtatókörnyezetekkel rendelkező többpéldányos feladatokhoz? Linuxon előfordulhat, hogy engedélyeznie kell a 22-s port szabályait. A forgalom engedélyezése ezeken a portokon azonban nem feltétlenül szükséges ahhoz, hogy a készlet számítási csomópontjai használhatóak legyenek.

Felelősség: Ügyfél

NS-2: Privát hálózatok összekapcsolása

Útmutató: Mivel Azure Batch közvetlenül virtuális hálózatokon is üzembe helyezheti, számos módon engedélyezheti a Batch-erőforrások más hálózatokból való elérését.

Az Azure ExpressRoute vagy az Azure-beli virtuális magánhálózat (VPN) használatával privát kapcsolatokat hozhat létre az Azure-adatközpontok és a helyszíni infrastruktúra között. Ezek a kapcsolatok közös elhelyezési környezetben vannak a Batch-erőforrásokat üzemeltető hálózattal. Az ExpressRoute-kapcsolat nem halad át a nyilvános interneten. A tipikus internetkapcsolathoz képest az ExpressRoute-kapcsolatok a következőket kínálják:

  • Nagyobb megbízhatóság
  • Gyorsabb sebesség
  • Alacsonyabb késések

Pont–hely VPN és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat ezen VPN-lehetőségek és az Azure ExpressRoute bármilyen kombinációjával csatlakoztathatja egy virtuális hálózathoz.

Két vagy több Azure-beli virtuális hálózat összekapcsolásához használjon virtuális hálózatok közötti társviszony-létesítést vagy Private Link. A virtuális társhálózatok közötti hálózati forgalom privát, és az Azure gerinchálózatán marad.

Felelősség: Ügyfél

NS-3: Privát hálózati hozzáférés létesítése Azure-szolgáltatásokhoz

Útmutató: A készlet nyilvános IP-címek nélküli kiépítésével korlátozhatja a csomópontokhoz való hozzáférést, és csökkentheti a csomópontok internetről való felderíthetőségét. Ha a készletet egy Azure-beli virtuális hálózat alhálózatán építi ki, a számítási csomópontok biztonságosan kommunikálhatnak más virtuális gépekkel vagy egy helyszíni hálózattal. A Azure Private Link lehetővé teszi a Batch privát elérését a virtuális hálózatokról anélkül, hogy átküldi az internetet. A Azure Private Link szolgáltatás biztonságos. Csak hitelesített és engedélyezett privát végpontokról fogad kapcsolatokat. A privát végpontok konfigurálása a Azure Batch számára biztonságosabb, és nem korlátozza az ajánlat képességeit.

Felelősség: Ügyfél

NS-4: Alkalmazások és szolgáltatások védelme külső hálózati támadások ellen

Útmutató: Az Azure-erőforrások védve vannak a külső hálózati támadásokkal szemben, például:

  • Elosztott szolgáltatásmegtagadásos (DDoS-) támadások.
  • Alkalmazásspecifikus támadások.
  • Kéretlen, potenciálisan rosszindulatú internetes forgalom.

A Azure Firewall biztosíthatja a virtuális hálózatokban lévő alkalmazások és szolgáltatások védelmét. Kerülje az internetről és más külső helyekről érkező potenciálisan rosszindulatú forgalmat. Az adategységek DDoS-támadásokkal szembeni védelméhez engedélyezze a DDoS szabványos védelmét az Azure-beli virtuális hálózatokon. A Microsoft Defender for Cloud használatával észlelheti a hálózattal kapcsolatos erőforrások helytelen konfigurációs kockázatait.

Felelősség: Megosztott

NS-6: A hálózati biztonsági szabályok egyszerűsítése

Útmutató: Az Azure Batch a beépített Azure Virtual Network-szolgáltatáscímkék használatával határozhatja meg a hálózati hozzáférés-vezérlést. A hálózati hozzáférés-vezérlés a Batch-erőforrásokhoz konfigurált NSG-kre vagy Azure-tűzfalakra vonatkozik.

A Azure Batch dedikált üzemelő példányokon hálózati biztonsági szabályokat kell létrehoznia a felügyeleti forgalomhoz? Ezután használja a BatchNodeManagement szolgáltatáscímkét adott IP-címek helyett. Miközben nyilvános végpontokkal rendelkező Azure-szolgáltatásokat ér el, a hálózat elkülönítését is elérheti. Az Azure-erőforrások védelme az általános internetről.

Ha megadja a szolgáltatáscímke nevét egy szabály forrásában vagy célhelyén, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által lefedett címelőtagokat. A címek változásakor automatikusan frissíti a szolgáltatáscímkét.

Az NSG-k segítenek meghatározni a bejövő és kimenő forgalmi szabályokat. Használjon címkéket NSG-khez vagy más, az Azure Batch-készletekhez társított hálózati biztonsághoz és forgalomhoz. Az Azure Batch-szolgáltatásokban használt IP-protokollok az IPv4 és a Pv6.

Felelősség: Ügyfél

NS-7: Biztonságos tartománynév-szolgáltatás (DNS)

Útmutató: Ha az Azure DNS-t használja mérvadó DNS-szolgáltatásként, az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) és erőforrás-zárolásokkal megvédheti a DNS-zónákat és -rekordokat a véletlen vagy rosszindulatú módosításoktól. Az Azure-tevékenységnaplók figyelése segítségével megtudhatja, hogyan módosította a szervezet egy felhasználója az erőforrásokat. Vagy a naplók segíthetnek megtalálni a hibát a hibaelhárítás során. Ha privát végpontokat használ Azure Batch, javasoljuk, hogy integrálja a privát végpontot egy privát DNS-zónával. Használhatja saját DNS-kiszolgálóit, vagy létrehozhat DNS-rekordokat a virtuális gépek gazdafájljaival.

Felelősség: Ügyfél

Identitáskezelés

További információ: Azure Security Benchmark: Identitáskezelés.

IM-1: Az Azure Active Directory, mint központi identitáskezelő és hitelesítési rendszer szabványosítása

Útmutató: Az Azure Active Directory (Azure AD) a Batch alapértelmezett hitelesítési és engedélyezési rendszere. Szabványosítsa Azure AD a szervezet identitás- és hozzáférés-kezelésének szabályozásához. A Batch-fiók hozzáférése két hitelesítési módszert támogat: a megosztott kulcsot és az Azure Active Directoryt (Azure AD). Erősen ajánlott a Azure AD használata a Batch-fiók hitelesítéséhez. Egyes Batch-képességekhez szükség van erre a hitelesítési módszerre, beleértve a biztonsággal kapcsolatos számos funkciót is.

A Azure AD biztonságossá tétele magas prioritást élvez a szervezet felhőbiztonsági gyakorlatában. Az Azure AD identitásbiztonsági pontszámával összehasonlíthatja az identitásbiztonsági helyzetet a Microsoft ajánlott eljárásaival. A biztonsági helyzet javításához használja a pontszámot annak felmérésére, hogy a konfiguráció mennyire felel meg az ajánlott eljárásokra vonatkozó javaslatoknak.

Felelősség: Ügyfél

IM-2: Alkalmazásidentitások biztonságos és automatikus kezelése

Útmutató: Azure Batch támogatja az Azure-erőforrások felügyelt identitásait. Ahelyett, hogy szolgáltatásneveket hoz létre más erőforrások eléréséhez, használhat felügyelt identitásokat a Batch szolgáltatással. A Batch natív hitelesítést végezhet az Azure AD hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. Ez a hitelesítés egy előre definiált hozzáférési engedélyezési szabályon megy keresztül anélkül, hogy a forráskódban vagy konfigurációs fájlokban rögzített hitelesítő adatokat használ.

A Batch azt javasolja, hogy Azure AD használatával hozzon létre korlátozott engedélyekkel rendelkező szolgáltatásnevet az erőforrás szintjén. Konfigurálja ezt a szolgáltatásnevet tanúsítvány-hitelesítő adatokkal, és térjen vissza az ügyfél titkos kulcsaihoz. Az Azure Key Vault mindkét esetben használható azure-beli felügyelt identitásokkal. Ezután a futtatókörnyezet (például egy Azure Batch-készlet) lekérheti a hitelesítő adatokat a kulcstartóból.

Felelősség: Ügyfél

IM-6: Azure-erőforrásokhoz való hozzáférés korlátozása feltételek alapján

Útmutató: A Azure Batch-erőforrások felügyeletének korlátozásához Azure AD feltételes hozzáférést használva részletesebb hozzáférés-vezérlést alkalmazhat a felhasználó által megadott feltételek alapján. Előfordulhat például, hogy az MFA használatához bizonyos IP-címtartományokból származó felhasználói bejelentkezéseket szeretne megkövetelni. A különböző használati esetekhez részletes hitelesítési munkamenet-kezelést is használhat Azure AD feltételes hozzáférési szabályzattal. Ez a feltételes hozzáférés nem vonatkozik a Batch-fiókok ügyfél-hitelesítéséhez használt megosztott kulcsokra. A kulcsok helyett Azure AD használata ajánlott.

Felelősség: Ügyfél

IM-7: Hitelesítő adatok nem szándékos elérhetővé tételének kizárása

Útmutató: Azure Batch lehetővé teszi az ügyfelek számára, hogy identitásokkal vagy titkos kódokkal futtatjanak kódot. A hitelesítő adatok Azure Batch kódban vagy a konfigurációkban való azonosításához ajánlott implementálni a Credential Scannert. A Credential Scanner emellett ösztönzi a felderített hitelesítő adatok biztonságosabb helyekre, például az Azure Key Vault-ba való áthelyezését.

A GitHub esetében a natív titkoskód-vizsgálati funkcióval azonosíthatja a hitelesítő adatokat vagy a titkos kódok más formáit a kódban.

Felelősség: Ügyfél

Emelt szintű hozzáférés

További információ: Azure Security Benchmark: Emelt jogosultságú hozzáférés.

PA-1: Emelt jogosultságú felhasználók védelme és korlátozása

Útmutató: Azure Batch alkalmazások hitelesítésének integrálása Azure AD. Dedikált rendszergazdai szerepköröket és engedélyeket használó szabályzatok és eljárások létrehozása.

A feladatokat futtató felhasználói fiók beállítható olyan szintre, amely jelzi, hogy egy tevékenység emelt szintű hozzáféréssel fut-e. Az automatikus felhasználói fiók és a nevesített felhasználói fiók is futtatható emelt szintű hozzáféréssel. A jogosultságszint-emelési szint két lehetősége:

  • NonAdmin: A feladat általános jogú felhasználóként fut emelt szintű hozzáférés nélkül. A Batch felhasználói fiókok alapértelmezett jogosultságszintje mindig NonAdmin.

  • Rendszergazda: A feladat emelt szintű hozzáféréssel rendelkező felhasználóként fut, és teljes rendszergazdai engedélyekkel működik.

A Azure Batch tevékenységszint-emelések megfelelő hatóköre. Lehetőség szerint ne használjon állandó Rendszergazda szintű engedélyeket.

Felelősség: Ügyfél

PA-3: Felhasználói hozzáférés rendszerességének áttekintése és egyeztetése

Útmutató: Azure Batch Azure AD használ az erőforrások kezeléséhez szükséges hitelesítés biztosításához. A fiókok és hozzáférésük érvényességének ellenőrzéséhez tekintse át a felhasználói fiókokat, és rendszeresen hozzáférjen a hozzárendelésekhez. A Azure AD és a hozzáférési felülvizsgálatokkal áttekintheti:

  • Csoporttagságok
  • Hozzáférés vállalati alkalmazásokhoz
  • Szerepkör-hozzárendelések

Azure AD jelentéskészítés naplókat biztosíthat az elavult fiókok felderítéséhez. A felülvizsgálati folyamat továbbfejlesztéséhez a Azure AD Privileged Identity Management (PIM) használatával is létrehozhat jelentési munkafolyamatokat a hozzáférési felülvizsgálathoz.

Konfigurálhatja Azure AD PIM-et, hogy riasztást küldjön, ha túl sok rendszergazdai fiók jön létre. Vagy konfigurálhatja úgy is, hogy azonosítsa az elavult vagy helytelenül konfigurált rendszergazdai fiókokat.

Megjegyzés: Egyes Azure-szolgáltatások támogatják a helyi felhasználókat és szerepköröket, amelyeket nem Azure AD kezelnek, például Azure Batch megosztott kulcsokat. Ehelyett használja Azure AD, amikor csak lehetséges, mert ezeket a kulcsokat külön kell kezelnie használat esetén.

Felelősség: Ügyfél

PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése

Útmutató: Azure Batch integrálva van az Azure RBAC-vel az erőforrásainak kezelése érdekében. Az Azure RBAC-vel szerepkör-hozzárendelésekkel kezelheti az Azure-erőforrások hozzáférését. Ezeket a szerepköröket a következőkhöz rendelheti hozzá:

  • Felhasználók
  • Csoportok
  • Szolgáltatásnevek
  • Felügyelt identitások

Bizonyos erőforrásokhoz előre definiált beépített szerepkörök tartoznak. Ezek a szerepkörök leltározhatók vagy lekérdezhetők az alábbi eszközökkel:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Az Erőforrásokhoz az Azure RBAC-vel hozzárendelt jogosultságokat mindig a szerepkörök által megkövetelt jogosultságokra kell korlátozni. Ezek a jogosultságok kiegészítik a Azure AD Privileged Identity Management (PIM) igény szerinti (JIT) megközelítését, és időnként felül kell vizsgálni őket.

A beépített szerepkörök használatával engedélyeket adhat a Azure Batch-erőforrásoknak. A Azure Batch segítségével a felhasználók egyéni Azure RBAC-szerepköröket hozhatnak létre, amelyek Batch-műveleteken alapulnak az engedélyigényeknek megfelelően. Egyéni szerepkörök létrehozása helyett használja a beépített szerepköröket, amikor csak lehetséges.

Felelősség: Ügyfél

PA-8: Jóváhagyási folyamat kiválasztása a Microsoft támogatásához

Útmutató: A Batch nem támogatja az ügyfélszéfet. Az Azure Batch-erőforrásokhoz társított ügyféladatok eléréséhez a Microsoft más módszerekkel is együttműködhet az ügyfelekkel támogatási forgatókönyvekben jóváhagyás céljából.

Felelősség: Ügyfél

Adatvédelem

További információ: Azure Security Benchmark: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Útmutató: Előfordulhat, hogy Azure Batch készletekhez társított Azure Storage-fiókokkal rendelkezik. Ha ezek a fiókok bizalmas információkat tartalmazó feladat- és feladatkimenetet tartalmaznak, címkékkel jelölje meg őket bizalmasként. Biztonságossá teheti ezeket a fiókokat az Azure ajánlott eljárásaival.

A következő funkciók még nem érhetők el az Azure Storage-hoz vagy számítási erőforrásokhoz:

  • Adatazonosítás
  • Osztályozás
  • Veszteségmegelőzés

Implementáljon egy harmadik féltől származó megoldást ezekhez a funkciókhoz, ha az megfelelőségi okokból szükséges.

Ha a Microsoft kezeli a mögöttes Azure Batch platformot, az összes ügyféltartalmat bizalmasként kezeli. A Microsoft hosszú ideig őrzi az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságban legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket biztosít.

Felelősség: Megosztott

DP-2: A bizalmas adatok védelme

Útmutató: Azure Batch lehetővé teszi az ügyfelek számára a feladat- és feladatkimeneti tartalmak kezelését. Bizalmas adatok védelme az Azure RBAC-vel való hozzáférés korlátozásával. A Batch támogatja az Azure RBAC-t az alábbi erőforrástípusokhoz való hozzáférés kezeléséhez:

  • Fiókok
  • Feladatok
  • Feladatok
  • Készletek

A hozzáférés-vezérlés konzisztensebbé tétele érdekében minden típusú hozzáférés-vezérlést a vállalati szegmentálási stratégiához kell igazítania. Tervezze meg a vállalati szegmentálási stratégiát a bizalmas vagy üzleti szempontból kritikus fontosságú adatok és rendszerek helyének használatával. Hozzon létre külön előfizetéseket vagy felügyeleti csoportokat a következő célokra:

  • Fejlesztés
  • Tesztelés
  • Production

Különítse el a Azure Batch-készleteket különböző virtuális hálózatok szerint. Megfelelően címkézze fel ezeket a virtuális hálózatokat, és biztonságossá tegye őket egy hálózati biztonsági csoporttal (NSG). Tartalmazza a Azure Batch adatait egy biztonságos Azure Storage-fiókban.

A mögöttes (Microsoft által felügyelt) platform esetében a Microsoft minden ügyféltartalmat bizalmasként kezel. Védi az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságban legyenek, a Microsoft rendelkezik néhány alapértelmezett adatvédelmi vezérlővel és képességekkel.

Felelősség: Ügyfél

DP-3: Bizalmas adatok jogosulatlan átvitelének monitorozása

Útmutató: Előfordulhat, hogy a Azure Batch-készletekhez társított Azure Storage-fiókokkal rendelkezik. Ha ezek a fiókok bizalmas adatokat tartalmaznak, címkékkel jelölje meg őket bizalmasként. Biztonságossá teheti ezeket a fiókokat az Azure ajánlott eljárásaival.

A következő funkciók még nem érhetők el az Azure Storage-hoz vagy számítási erőforrásokhoz:

  • Adatazonosítás
  • Osztályozás
  • Megelőzés

Szükség esetén implementáljon egy harmadik féltől származó megoldást a megfelelőség érdekében.

Ha a Microsoft egy mögöttes platformot kezel, az összes ügyféltartalmat bizalmasként kezeli. A Microsoft hosszú ideig őrzi az ügyfelek adatvesztését és kitettségét. Annak érdekében, hogy az Azure-beli ügyféladatok biztonságban legyenek, a Microsoft robusztus adatvédelmi vezérlőket és képességeket biztosít.

Felelősség: Megosztott

DP-4: Bizalmas információk átvitel közbeni titkosítása

Útmutató: Az átvitel alatt lévő összes bizalmas információ titkosítása. A Microsoft Azure-erőforrások alapértelmezés szerint egyeztetik a Transport Layer Security (TLS) 1.2-es verziót. Ha az ügyfelek a Azure Batch készletekhez vagy adattárakhoz (Azure Storage-fiókokhoz) csatlakoznak, győződjön meg arról, hogy képesek a TLS 1.2-s vagy újabb verziójának egyeztetésére.

Győződjön meg arról is, hogy a HTTPS szükséges a Azure Batch adatokat tartalmazó tárfiók eléréséhez.

Felelősség: Megosztott

DP-5: Inaktív bizalmas adatok titkosítása

Útmutató: A hozzáférés-vezérlés kiegészítéseként a Batch titkosítja az inaktív adatokat, amely titkosítással védi a sávon kívüli támadásokat (például a mögöttes tárolóhoz való hozzáférést). Ez a gyakorlat segít biztosítani, hogy a támadók ne tudják könnyen olvasni vagy módosítani az adatokat.

Az Azure alapértelmezés szerint titkosítást biztosít az inaktív adatokhoz. A rendkívül bizalmas adatok esetében további titkosítást alkalmazhat inaktív állapotban az összes Azure-erőforráson, ahol elérhető. Az Azure alapértelmezés szerint kezeli a titkosítási kulcsokat. A szabályozási követelmények teljesítése érdekében az Azure bizonyos Azure-szolgáltatásokhoz saját kulcsokat (ügyfél által felügyelt kulcsokat) is kezelhet.

Felelősség: Ügyfél

Asset Management (Eszközkezelés)

További információ: Azure Security Benchmark: Összetevők kezelése.

AM-2: Győződjön meg arról, hogy a biztonsági csapat hozzáfér az eszközleltárhoz és a metaadatokhoz

Útmutató: A biztonsági csapatok hozzáférhetnek az Azure-beli eszközök folyamatosan frissített leltárához, például a Batchhez. A biztonsági csapatoknak szüksége van erre a leltárra annak kiértékeléséhez, hogy szervezetük milyen potenciálisan ki van téve a felmerülő kockázatoknak. Ezek a csapatok a leltárt is használják a folyamatos biztonsági fejlesztések bemeneteként.

Hozzon létre egy Azure AD csoportot, amely tartalmazza a szervezet engedélyezett biztonsági csapatát. Olvasási hozzáférés hozzárendelése a csoporthoz az összes Batch-erőforráshoz. Az előfizetésen belül egyszerűbbé teheti egyetlen magas szintű szerepkör-hozzárendeléshez való hozzáférést. Címkék alkalmazása Azure Batch erőforrásokra a szervezet számára szükséges metaadatok hozzáadásához. A címkék segítenek logikailag rendszerezni a Batch-erőforrásokat egy osztályozás szerint. A Batch-fiók szintjén metaadatcímkéket adhat hozzá a fontos biztonsági metaadatokhoz. A készletek vagy más kötegelt erőforrások azonban nem öröklik ezeket a címkéket.

Felelősség: Ügyfél

AM-3: Csak jóváhagyott Azure-szolgáltatások használata

Útmutató: A Azure Policy naplózhatja és korlátozhatja, hogy mely szolgáltatások (például Azure Batch) felhasználói építhetnek ki a környezetben. Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetésükön belüli erőforrásokat. Az Azure Monitorral szabályokat hozhat létre riasztások aktiválásához, ha nem jóváhagyott szolgáltatást észlel.

Felelősség: Ügyfél

AM-6: Csak jóváhagyott alkalmazások használata számítási erőforrásokban

Útmutató: A Azure Batch a felhasználók szoftvereket telepíthetnek a számítási csomópontjaikra. A Batch jelenleg nem tudja korlátozni vagy létrehozni a csomópontjaikon futtatható szoftverek engedélyezési listáját. A szoftvereket a Azure Portal vagy a Batch Management API-kkal kezelheti és telepítheti a Batchben. A rosszindulatú vagy veszélyes alkalmazások telepítésének megakadályozása érdekében az ügyfélnek meg kell határoznia a megfelelő hozzáférést az Azure RBAC-n keresztül annak korlátozásához, hogy ki frissítheti a Batch-csomópontokat.

Felelősség: Ügyfél

Naplózás és fenyegetésészlelés

További információ: Azure Security Benchmark: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelés engedélyezése Azure-erőforrásokhoz

Útmutató: Továbbítja az Azure Batch diagnosztikai és tevékenységnaplóit a SIEM-megoldásnak. A SIEM használatával egyéni fenyegetésészleléseket állíthat be. Az Azure-eszközök különböző típusainak figyelése lehetséges fenyegetések és anomáliák esetén. Kiváló minőségű riasztásokat kaphat az elemzők téves pozitív adatainak csökkentéséhez. A riasztások naplóadatokból, ügynökökből vagy más adatokból is származhatnak.

A Microsoft Defender for Cloud nem nyújt biztonságirés-felmérést Azure Batch erőforrásokhoz a Microsoft Defenderen keresztül. Biztonsági javaslatokat ad a Batchhez.

Felelősség: Ügyfél

LT-4: Naplózás engedélyezése Azure-erőforrásokhoz

Útmutató: Az automatikusan elérhető tevékenységnaplók a Azure Batch-erőforrások összes írási műveletét (PUT, POST és DELETE) tartalmazzák. A naplók nem tartalmaznak olvasási műveleteket (GET). A hibaelhárítás során a tevékenységnaplók segítségével kereshet hibát. Vagy a naplók segíthetnek annak monitorozásában, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.

Engedélyezze az Azure-erőforrásnaplókat Azure Batch a következő naplótípusokhoz: ServiceLog és AllMetrics. Ezekkel a naplókkal kivizsgálhatja a biztonsági incidenseket, és törvényszéki gyakorlatokat végezhet. Explicit módon engedélyezze ezeket a naplókat minden figyelni kívánt Batch-fiókhoz. Vagy a Azure Policy használatával engedélyezheti az erőforrásnaplók és a naplóadatok nagy léptékben történő gyűjtését.

Azure Batch erőforrásszintű monitorozáshoz használja a Azure Batch API-kat az erőforrások állapotának figyeléséhez vagy lekérdezéséhez, beleértve a következőket:

  • Feladatok
  • Feladatok
  • Csomópontok
  • Készletek

További információért tekintse át a következő cikkeket:

Felelősség: Ügyfél

Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.

Azure Policy beépített definíciók – Microsoft.Batch:

Name (Név)
(Azure Portal)
Description Effektus(ok) Verzió
(GitHub)
Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor AuditIfNotExists, Disabled 5.0.0

LT-6: Tárolt naplók megőrzésének konfigurálása

Útmutató: Rendelkezik olyan tárfiókokkal vagy Log Analytics-munkaterületekkel, amelyek Azure Batch naplók tárolására szolgálnak? Ezután állítsa be a naplómegőrzési időszakot a szervezet megfelelőségi előírásainak megfelelően.

Felelősség: Ügyfél

LT-7: Jóváhagyott időszinkronizálási források használata

Útmutató: A Batch nem támogatja a saját időszinkronizálási források konfigurálását.

A Batch szolgáltatás a Microsoft időszinkronizálási forrásaira támaszkodik. A konfiguráció nem érhető el az ügyfelek számára.

Felelősség: Microsoft

A biztonsági állapot és a biztonsági rések kezelése

További információ: Azure Security Benchmark: A biztonsági állapot és a biztonsági rések kezelése.

PV-1: Biztonságos konfigurációk kialakítása Azure-szolgáltatásokhoz

Útmutató: A Batch-erőforrások konfigurációinak naplózásához és kikényszerítéséhez a Microsoft Defender for Cloud használatával konfigurálhatja a beépített Azure Policy Azure Batch.

Minden olyan forgatókönyv esetében, ahol nem léteznek beépített szabályzatdefiníciók, használhatja Azure Policy aliasokat a "Microsoft.Batch" névtérben. Ezekkel az aliasokkal egyéni szabályzatokat hozhat létre a naplózáshoz. Vagy használja az aliasokat a Azure Batch-fiókok és -készletek konfigurációjának kikényszerítéséhez.

Az Azure Blueprints használatával automatizálhatja a szolgáltatások és alkalmazáskörnyezetek üzembe helyezését és konfigurálását. Egyetlen tervdefinícióban automatizálhatja a következőt:

  • Azure Resources Manager-sablonok
  • Azure RBAC-vezérlők
  • Szabályzatok

További információért olvassa el a következő cikkeket:

Felelősség: Ügyfél

PV-2: Biztonságos konfigurációk fenntartása Azure-szolgáltatásokhoz

Útmutató: A Batch-fiókhoz és -készletekhez kapcsolódó Azure-erőforrások biztonsági beállításainak érvényesítéséhez használja a ([Deny] és a [DeployIfNotExists] Azure Policy beépített definícióit. Ezek az erőforrások a következők lehetnek:

  • Virtuális hálózatok
  • Alhálózatok
  • Azure-tűzfalak
  • Azure Storage-fiókok

Egyéni szabályzatok létrehozásához Azure Policy alábbi névterekből származó aliasokat is használhat:

  • Microsoft.Batch

  • Microsoft.Storage

  • Microsoft.Network

További információért olvassa el a következő cikkeket:

Felelősség: Ügyfél

PV-3: Számítási erőforrások biztonságos konfigurációinak létrehozása

Útmutató: Az ügyfelek egyéni operációsrendszer-lemezképeket használhatnak Azure Batch. A Batch lehetővé teszi, hogy a felhasználók tetszőleges szoftvereket telepítsenek és töltsenek be a számítási csomópontjaikra.

Ha a virtuálisgép-konfigurációt használja a Azure Batch, a készletek olyan egyéni rendszerképeket használnak, amelyek a szervezet igényeinek megfelelően vannak megerősítve. Az életciklus-felügyelethez a készletek egy megosztott rendszerkép-katalógusban tárolják a rendszerképeket. Az Azure Automation-eszközök, például az Azure Image Builder használatával biztonságos rendszerkép-létrehozási folyamatot állíthat be.

Felelősség: Ügyfél

PV-4: A számítási erőforrások biztonságos konfigurációinak fenntartása

Útmutató: Az ügyfelek egyéni operációsrendszer-lemezképeket használhatnak a Batchhez. Azure Batch lehetővé teszi, hogy a felhasználók tetszőleges szoftvereket telepítsenek és töltsenek be a számítási csomópontjaikra.

Hozzon létre egy szabályzatot, amely megköveteli, hogy a Azure Batch-készletek csak a jóváhagyott biztonságos lemezképeket használják. Ez a művelet fenntartja a biztonságosan konfigurált számítási erőforrásokat Azure Batch. A nem jóváhagyott vagy helytelenül konfigurált Azure Batch erőforrások kereséséhez az Azure API-t vagy az Azure CLI-t is alkalmazhatja egy ismétlődő Azure Automation runbookra.

Felelősség: Ügyfél

PV-5: Egyéni operációsrendszer-lemezképek és tárolólemezképek biztonságos tárolása

Útmutató: Ha egyéni rendszerképeket használ a Azure Batch-készletekhez, az Azure RBAC használatával győződjön meg arról, hogy csak a jogosult felhasználók férhetnek hozzá a rendszerképekhez. Tárolórendszerképek tárolása Azure Container Registry. Az Azure RBAC használatával biztosíthatja, hogy csak a jogosult felhasználók rendelkezzenek hozzáféréssel.

Felelősség: Ügyfél

PV-6: Szoftveres sebezhetőségi felmérések elvégzése

Útmutató: A készletcsomópontok Azure Batch az Ön feladata a használt biztonságirés-kezelési megoldások kezelése. Azure Batch nem biztosít képességeket a natív sebezhetőségi felméréshez.

Rendelkezik a Rapid7, a Qualys vagy egy másik biztonságirés-kezelési platform előfizetésével? Manuálisan is telepíthet sebezhetőség-felmérési ügynököket a Batch-készlet csomópontjaira. Ezután kezelje a csomópontokat a megfelelő portálon keresztül.

Felelősség: Ügyfél

PV-7: Szoftveres biztonsági rések gyors és automatikus javítása

Útmutató: Helyezze a hangsúlyt egy gyakori kockázatpontozó program (például a gyakori biztonságirés-pontozási rendszer) vagy a külső vizsgálati eszköz által biztosított alapértelmezett kockázati minősítések használatára. Ezután szabja testre a környezetet a környezet alapján annak eldöntéséhez, hogy mely alkalmazások:

  • Magas biztonsági kockázat
  • Magas üzemidőt igényel

Azure Batch jelenleg nem rendelkezik natív, ügyféloldali biztonságirés-vizsgálattal. A Batchet üzemeltető mögöttes platform esetében a Microsoft gondoskodik a biztonsági rések elhárításáról. A Batch-en futó szoftverek esetében az Azure API-t vagy az Azure CLI-t alkalmazhatja egy ismétlődő Azure Automation runbookra. Ez a művelet megvizsgálja és frissíti a Azure Batch csomópontokon futó, potenciálisan sebezhető szoftvereket.

Felelősség: Megosztott

Végpontbiztonság

További információ: Azure Security Benchmark: Endpoint Security.

ES-2: Központilag felügyelt modern kártevőirtó szoftverek használata

Útmutató: Azure Batch csomópontok bármilyen végrehajtható vagy szkriptet futtathatnak, amelyet a csomópont operációsrendszer-környezete támogat. Windows operációs rendszerek esetén használja a Windows Defender az egyes Azure Batch készletcsomópontokon. Linux esetén biztosítson saját kártevőirtó megoldást.

Felelősség: Megosztott

ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Útmutató: Győződjön meg arról, hogy a kártevőirtó-aláírásokat gyorsan és következetesen frissíti. Kövesse a Microsoft Defender for Cloud "Compute & Apps" szolgáltatásának ajánlásait, hogy az összes végpont frissüljön a legújabb aláírásokkal. Azure Batch csomópontok bármilyen végrehajtható vagy szkriptet futtathatnak, amelyet a csomópont operációsrendszer-környezete támogat. Windows operációs rendszerek esetén használja az Windows Defender az egyes Azure Batch készletcsomópontokon, és kapcsolja be az automatikus frissítéseket. Microsoft Antimalware alapértelmezés szerint automatikusan telepíti a legújabb aláírásokat és motorfrissítéseket. Linux esetén használjon külső kártevőirtó megoldást.

Felelősség: Ügyfél

Biztonsági másolat és helyreállítás

További információ: Azure Security Benchmark: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Útmutató: Ha Azure Storage-fiókot használ a Azure Batch-készlet adattárához, válassza a megfelelő redundanciabeállítást:

  • Helyileg redundáns tárolás (LRS)
  • Zónaredundáns tárolás (ZRS)
  • Georedundáns tárolás (GRS)
  • Írásvédett georedundáns tárolás (RA-GRS)

Rendszeresen készítsen biztonsági másolatot a tárfiókról egy Azure Backup-tárolóban.

Felelősség: Ügyfél

BR-2: Biztonsági mentési adatok titkosítása

Útmutató: Ha Azure Storage-fiókot használ a Azure Batch-készlet adattárához, a rendszer automatikusan titkosítja a fiókot inaktív állapotban a Microsoft által felügyelt kulcsokkal. Ha egy szervezetnek szabályozási igény van arra, hogy saját, ügyfél által felügyelt kulcsokat használjon Azure Batch storage titkosításához, az Azure ezeket a kulcsokat egy Azure-Key Vault tárolja.

Felelősség: Ügyfél

BR-3: Az összes biztonsági másolat és az ügyfelek által kezelt kulcsok ellenőrzése

Útmutató: Ha saját kulcsokat kezel az Azure Storage-fiókokhoz (vagy bármely más, a Azure Batch implementációjához kapcsolódó erőforráshoz), rendszeresen tesztelje a biztonsági mentési kulcsok visszaállítását.

Felelősség: Ügyfél

BR-4: A kulcsok elvesztésével járó kockázat csökkentése

Útmutató: Ha az Azure Key Vault Azure Batch Pool Storage-fiókokkal kapcsolatos kulcsok tárolására használja, engedélyezze az Azure Key Vault Soft-Delete, hogy megvédje a kulcsokat a véletlen vagy rosszindulatú törlés ellen.

Felelősség: Ügyfél

Következő lépések