Az Azure biztonsági alapkonfigurációja Azure DevTest Labs
Ez a biztonsági alapkonfiguráció a Microsoft felhőalapú biztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Azure DevTest Labs. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Azure DevTest Labs vonatkozó kapcsolódó útmutató alapján van csoportosítva.
Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.
Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.
Megjegyzés
A Azure DevTest Labs nem alkalmazható funkciók ki lettek zárva. Annak megtekintéséhez, hogy Azure DevTest Labs teljesen megfelel-e a Microsoft felhőbiztonsági teljesítménytesztjének, tekintse meg a teljes Azure DevTest Labs biztonsági alapkonfiguráció-leképezési fájlt.
Biztonsági profil
A biztonsági profil összefoglalja a Azure DevTest Labs nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Product Category (Termék kategóriája) | Számítás, fejlesztői eszközök, integráció |
| Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez | Teljes hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Igaz |
| Az ügyféltartalmakat inaktív állapotban tárolja | Hamis |
Hálózati biztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.
NS-1: Hálózati szegmentálási határok létrehozása
Funkciók
Virtuális hálózat integrációja
Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Virtuális hálózat konfigurálása a DevTest Labshoz
Hálózati biztonsági csoport támogatása
Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Funkciók
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatásszintű IP ACL-szűrési szabály vagy a nyilvános hálózati hozzáféréshez szükséges összesítő kapcsoló használatával.
Referencia: Hálózati elkülönítésű DevTest Labs létrehozása
Identitáskezelés
További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.
IM-1: Központosított identitás- és hitelesítési rendszer használata
Funkciók
Azure AD adatsík-hozzáféréshez szükséges hitelesítés
Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Azure DevTest Labs támogatja az Azure-erőforrások felügyelt identitásait, valamint a kulcstartón keresztüli titkos kódok kezelését. A DevTest Labs natív módon használhatja Azure AD hitelesítést az azt támogató Azure-szolgáltatásokhoz és erőforrásokhoz. Ezt vagy az Azure Portal támogatja az SDK-k vagy a REST API használatával, amikor a felhasználó interakcióba lép, vagy létrehoz egy DevTest Labot vagy a tesztkörnyezetben támogatott erőforrásokat.
Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.
Referencia: Azure DevTest Labs REST API
Helyi hitelesítési módszerek az adatsík-hozzáféréshez
Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például egy helyi felhasználónév és jelszó. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkció megjegyzései: A virtuális gépek alapértelmezett hitelesítése a helyi hitelesítés (RDP/SSH). Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ahol csak lehetséges, ezeket le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése
Funkciók
Felügyelt identitások
Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Bár szolgáltatásunkhoz nem biztosítunk adatsíkot, erőforrásaink támogatják a felügyelt identitásokat.
Konfigurációs útmutató: Lehetőség szerint azure-beli felügyelt identitásokat használjon szolgáltatásnevek helyett, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait teljes mértékben felügyeli, rotálta és védi a platform, így elkerülheti a kódban vagy konfigurációs fájlokban található, nem rögzített hitelesítő adatokat.
Egyszerű szolgáltatások
Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: A felhasználók saját maguk is konfigurálhatják a szolgáltatásneveket a tesztkörnyezet erőforrásainak eléréséhez.
Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet szeretné-e konfigurálni ezt a biztonsági funkciót.
IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján
Funkciók
Adatsík feltételes hozzáférése
Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Azure DevTest Labs lehetővé teszi a felhasználók számára, hogy az Azure-beli virtuális gépeket saját előfizetéseikben kezeljék és helyezzék üzembe, és ezek a virtuális gépek szükség esetén támogathatják a feltételes hozzáférést az ügyfél forgatókönyvétől függően.
Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.
IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása
Funkciók
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault
Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A DevTest Lab titkos kódjai biztonságosan tárolódnak egy Azure-Key Vault az ügyfél-előfizetésben. Szolgáltatásunk ezt használja a tesztkörnyezetben található Azure-erőforrásokkal való interakcióhoz.
Engedélyezheti a felügyelt identitásokat a tesztkörnyezeti virtuális gépeken, valamint hitelesítheti magát az erőforrásokban a tesztkörnyezetben.
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazták őket.
Emelt szintű hozzáférés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.
PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása
Funkciók
Helyi Rendszergazda fiókok
Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Szolgáltatásjegyzetek: A tesztkörnyezeti gépek felhasználói virtuális gépek helyi Rendszergazda lehetnek.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Funkciók
Azure RBAC adatsíkhoz
Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Azure DevTest Labs beépített szerepkörökkel integrált Azure RBAC-támogatást biztosít minden erőforrásunkhoz.
Konfigurációs útmutató: Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) kezelheti az Azure-erőforrások hozzáférését beépített szerepkör-hozzárendelésekkel. Az Azure RBAC-szerepkörök felhasználókhoz, csoportokhoz, szolgáltatásnevekhez és felügyelt identitásokhoz rendelhetők.
Referencia: DevTest Labs-felhasználók
PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása
Funkciók
Ügyfélszéf
Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Adatvédelem
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.
DP-1: Bizalmas adatok felderítése, besorolása és címkézése
Funkciók
Bizalmas adatok felderítése és besorolása
Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) adatfelderítéshez és -besoroláshoz használhatók a szolgáltatásban. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Funkciók
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok átvitelének figyelésére (az ügyfél tartalmaiban). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
DP-3: Bizalmas adatok titkosítása átvitel közben
Funkciók
Adatok átviteltitkosítás közben
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: A DevTest Labs átviteli forgatókönyvének ismertetése
DP-4: Alapértelmezés szerint engedélyezi az inaktív adatok titkosítását
Funkciók
Inaktív adatok titkosítása platformkulcsokkal
Leírás: A platformkulcsokat használó inaktív adatok titkosítása támogatott, az inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Funkciójegyzetek: A DevTest Labsban a tesztkörnyezet részeként létrehozott összes operációsrendszer-lemez és adatlemez platform által felügyelt kulcsokkal van titkosítva.
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
DP-6: Biztonságos kulcskezelési folyamat használata
Funkciók
Kulcskezelés az Azure Key Vault
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok elforgatása és visszavonása az Azure Key Vault és a szolgáltatásban egy meghatározott ütemezés alapján, illetve kulcsok kivonása vagy biztonsága esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulcsával (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozás és kulcsátvitel végrehajtásához.
Referencia: Titkos kulcsok tárolása egy kulcstartóban a Azure DevTest Labs
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Funkciók
Tanúsítványkezelés az Azure Key Vault
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Azure DevTest Labs lehetővé teszi, hogy a felhasználók az Azure-beli virtuális gépeket a saját előfizetéseikben felügyeljék és helyezzék üzembe, és ezek a virtuális gépek szükség esetén támogathatják a tanúsítványkezelést egy Azure-Key Vault az ügyfél forgatókönyvétől függően.
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását, importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a megadott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vault és az Azure-szolgáltatásban (ha támogatott) egy meghatározott ütemezés vagy tanúsítvány lejárata alapján. Ha az alkalmazás nem támogatja az automatikus forgatást, győződjön meg arról, hogy az azure-Key Vault és az alkalmazásban manuális módszerekkel is elforgatja őket.
Eszközkezelés
További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.
AM-2: Csak jóváhagyott szolgáltatások használata
Funkciók
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatás megjegyzései: Az Azure-szabályzatok támogatottak, és konfigurálhatók a szolgáltatás által létrehozott erőforrásokhoz, de a szolgáltatás nem tartalmaz explicit biztonsági szabályzatokat.
Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.
AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen
Funkciók
Microsoft Defender felhőhöz – Adaptív alkalmazásvezérlők
Leírás: A szolgáltatás korlátozhatja, hogy az ügyfélalkalmazások mit futnak a virtuális gépen a Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Konfigurációs útmutató: A Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel felderítheti a virtuális gépeken futó alkalmazásokat, és létrehozhat egy engedélyezési listát, amely meghatározza, hogy mely jóváhagyott alkalmazások futtathatók a virtuálisgép-környezetben.
Állapot- és biztonságirés-kezelés
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: A helyzet és a biztonságirés-kezelés.
PV-3: Biztonságos konfigurációk meghatározása és létrehozása a számítási erőforrásokhoz
Funkciók
Azure Automation State Configuration
Leírás: Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartására használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A felhasználók nem férnek hozzá a DevTest Labs Service gazdagép virtuális gépéhez, de szolgáltatásunk lehetővé teszi a felhasználók számára az Azure-Virtual Machines kezelését és üzembe helyezését a saját előfizetéseikben, és a DSC (Desired State Configuration) vonatkozik ezekre a gépekre.
Konfigurációs útmutató: Használja a Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartásához.
Azure Policy vendégkonfigurációs ügynök
Leírás: Azure Policy vendégkonfigurációs ügynök telepíthető vagy telepíthető a számítási erőforrások bővítményeként. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Szolgáltatásjegyzetek: A felhasználók nem férnek hozzá a DevTest Labs Service gazdagép virtuális gépéhez, de szolgáltatásunk lehetővé teszi a felhasználók számára az Azure-Virtual Machines kezelését és üzembe helyezését a saját előfizetéseikben, és Azure Policy vendégkonfigurációs ügynök vonatkozik ezekre a gépekre.
Konfigurációs útmutató: A felhőhöz készült Microsoft Defender és Azure Policy vendégkonfigurációs ügynök használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrások konfigurációs eltéréseit, beleértve a virtuális gépeket, a tárolókat és másokat.
Egyéni virtuálisgép-rendszerképek
Leírás: A szolgáltatás támogatja a felhasználó által megadott virtuálisgép-rendszerképek vagy a piactérről előre létrehozott rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Igaz | Microsoft |
Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.
Referencia: Azure Marketplace képbeállítások konfigurálása Azure DevTest Labs
PV-5: Sebezhetőségi felmérések végrehajtása
Funkciók
Sebezhetőségi felmérés Microsoft Defender használatával
Leírás: A szolgáltatás a felhőhöz készült Microsoft Defender vagy más Microsoft Defender-szolgáltatások beágyazott sebezhetőségi felmérési funkciójának (beleértve a kiszolgáló, a tárolóregisztrációs adatbázis, a App Service, az SQL és a DNS Microsoft Defender) használatával vizsgálható meg. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: DevTest Labs létrehozásakor a tesztkörnyezet részeként alapul szolgáló számítási erőforrások is lehetnek. A szolgáltatáson kívüli biztonságirés-felméréshez vannak olyan eszközök, amelyek ezen erőforrásokon használhatók.
Konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure-beli virtuális gépek, tárolólemezképek és SQL-kiszolgálók biztonságirés-felméréséhez.
PV-6: A biztonsági rések gyors és automatikus elhárítása
Funkciók
Azure Automation – Frissítéskezelés
Leírás: A szolgáltatás Azure Automation Update Management használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A felhasználók nem férnek hozzá a DevTest Labs Service gazdagép virtuális gépéhez, de szolgáltatásunk lehetővé teszi a felhasználók számára az Azure-Virtual Machines kezelését és üzembe helyezését a saját előfizetésükben, és az Automation Update Management önállóan felügyelhető ezekhez a gépekhez.
Konfigurációs útmutató: Az Azure Automation Update Management vagy egy külső megoldás használatával biztosíthatja, hogy a legújabb biztonsági frissítések telepítve legyenek a Windows és Linux rendszerű virtuális gépeken. Windows rendszerű virtuális gépek esetén győződjön meg arról, hogy a Windows Update engedélyezve van, és automatikus frissítésre van beállítva.
Végpontbiztonság
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Végpontbiztonság.
ES-2: Modern kártevőirtó szoftverek használata
Funkciók
Kártevőirtó megoldás
Leírás: Kártevőirtó funkció, például Microsoft Defender víruskereső, Végponthoz készült Microsoft Defender telepíthető a végponton. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A felhasználók nem férnek hozzá a DevTest Labs Service gazdagép virtuális gépéhez, de szolgáltatásunk lehetővé teszi a felhasználók számára az Azure-Virtual Machines kezelését és üzembe helyezését a saját előfizetéseikben, és erősen ajánlott kártevőirtó megoldás használata ezekben a gépeken.
Konfigurációs útmutató: A Windows Server 2016 és újabb verziók esetében a Microsoft Defender alapértelmezés szerint telepítve van a víruskeresőhöz. Windows Server 2012 R2 és újabb rendszerek esetén az ügyfelek telepíthetik az SCEP-t (System Center Endpoint Protection). Linux esetén az ügyfelek választhatnak a Linuxhoz készült Microsoft Defender telepítéséhez. Alternatív megoldásként az ügyfelek dönthetnek úgy is, hogy külső kártevőirtó termékeket telepítenek.
ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása
Funkciók
Kártevőirtó megoldás állapotmonitorozása
Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform-, motor- és automatikus aláírásfrissítésekhez. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: A felhasználók nem férnek hozzá a DevTest Labs Service gazdagép virtuális gépéhez, de szolgáltatásunk lehetővé teszi a felhasználók számára az Azure Virtual Machines kezelését és üzembe helyezését a saját előfizetéseikben, és erősen ajánlott kártevőirtó megoldás állapotmonitorozását használni ezekhez a gépekhez.
Konfigurációs útmutató: Konfigurálja a kártevőirtó megoldást annak érdekében, hogy a platform, a motor és az aláírások gyorsan és következetesen frissüljenek, és állapotuk monitorozásra kerüljön.
Biztonsági másolat és helyreállítás
További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Funkciók
Azure Backup
Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Igaz | Hamis | Ügyfél |
Funkciójegyzetek: Azure DevTest Labs kifejezetten nem támogatják a Azure Backup, de az ügyfél konfigurálhatja a szolgáltatás által üzembe helyezett számítási virtuális gépekhez.
Konfigurációs útmutató: Engedélyezze Azure Backup, és konfigurálja a biztonsági mentési forrást (például Az Azure Virtual Machines, SQL Server, HANA-adatbázisok vagy fájlmegosztások) a kívánt gyakorisággal és a kívánt megőrzési időtartammal. Az Azure Virtual Machines Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.
Szolgáltatás natív biztonsági mentési képessége
Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Hamis | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapterveiről