Az Azure biztonsági alapkonfigurációja Virtual Machine Scale Sets
Ez a biztonsági alapkonfiguráció az Azure Security Benchmark 1.0-s verziójának útmutatását alkalmazza Virtual Machine Scale Sets. Az Azure Security Benchmark ajánlásokat ad arra nézve, hogy hogyan tehetők biztonságossá a felhőalapú megoldások az Azure-ban. A tartalom az Azure Biztonsági teljesítményteszt által meghatározott biztonsági vezérlők és a Virtual Machine Scale Sets vonatkozó kapcsolódó útmutatók szerint van csoportosítva.
Ezt a biztonsági alapkonfigurációt és javaslatait a Microsoft Defender for Cloud használatával figyelheti. Azure Policy definíciók a Microsoft Defender for Cloud irányítópultjának Jogszabályi megfelelőség szakaszában jelennek meg.
Ha egy szakasz releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, így könnyebben felmérheti az Azure Biztonsági teljesítményteszt vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés
A Virtual Machine Scale Sets nem alkalmazható vezérlők, illetve amelyekért a Microsoft a felelős, ki lettek zárva. Annak megtekintéséhez, hogy Virtual Machine Scale Sets hogyan képezi le teljesen az Azure Security Benchmarkot, tekintse meg a teljes Virtual Machine Scale Sets biztonsági alapkonfiguráció-leképezési fájlt.
Hálózati biztonság
További információ: Azure Security Benchmark: Hálózati biztonság.
1.1: Azure-erőforrások védelme virtuális hálózatokon belül
Útmutató: Azure-beli virtuális gép (VM) létrehozásakor létre kell hoznia egy virtuális hálózatot, vagy egy meglévő virtuális hálózatot kell használnia, és alhálózattal kell konfigurálnia a virtuális gépet. Győződjön meg arról, hogy minden üzembe helyezett alhálózathoz hálózati biztonsági csoport van alkalmazva az alkalmazások megbízható portjaira és forrásaira jellemző hálózati hozzáférés-vezérléssel.
Másik lehetőségként, ha egy központosított tűzfal egy adott használati esettel rendelkezik, Azure Firewall is használható ezekre a követelményekre.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adaptív hálózatmegszűkítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken | A Microsoft Defender for Cloud elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoportra vonatkozó szabályokra, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Letiltva | 3.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek hálózati biztonsági csoportokkal (NSG-vel) való korlátozásával megvédheti virtuális gépeit a lehetséges fenyegetésektől. További információ a forgalom NSG-kkel való szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Letiltva | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése egy virtuális gép hálózati adapterén lehetővé teszi, hogy a gép fogadja a más célhelyekre címzett forgalmat. Az IP-továbbítás ritkán szükséges (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Letiltva | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni | A Microsoft Defender for Cloud javaslatként figyeli a lehetséges igény szerinti hálózati (JIT-) hozzáférést | AuditIfNotExists, Letiltva | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások találgatásos hitelesítő adatokkal próbálnak rendszergazdai hozzáférést szerezni a géphez. | AuditIfNotExists, Letiltva | 3.0.0 |
1.2: A virtuális hálózatok, alhálózatok és hálózati adapterek konfigurációjának és forgalmának monitorozása és naplózása
Útmutató: A Microsoft Defender for Cloud használatával azonosíthatja és követheti a hálózatvédelmi javaslatokat az Azure-beli azure-beli virtuális gépek erőforrásainak biztonságossá tételéhez. Engedélyezze az NSG-forgalomnaplókat, és küldjön naplókat egy tárfiókba a virtuális gépek forgalomnaplózásához szokatlan tevékenységek esetén.
Felelősség: Ügyfél
1.3: Kritikus fontosságú webalkalmazások védelme
Útmutató: Ha a virtuálisgép-méretezési csoportot (VMSS) webalkalmazások üzemeltetésére használja, használjon hálózati biztonsági csoportot (NSG-t) a VMSS alhálózatán annak korlátozásához, hogy milyen hálózati forgalom, portok és protokollok kommunikálhatnak. Az NSG-k konfigurálásakor kövesse a legkevésbé kiemelt hálózati megközelítést, hogy csak az alkalmazás felé irányuló szükséges forgalmat engedélyezze.
Az Azure Web Application Firewall (WAF) kritikus webalkalmazások előtt is üzembe helyezheti a bejövő forgalom további ellenőrzéséhez. Engedélyezze a diagnosztikai beállítást a WAF számára, és a naplókat betöltse egy tárfiókba, eseményközpontba vagy Log Analytics-munkaterületre.
Azure-beli virtuálisgép-méretezési csoportok hálózatkezelése
Alkalmazásátjáró létrehozása Web Application Firewall a Azure Portal használatával
Felelősség: Ügyfél
1.4: Az ismert kártékony IP-címekkel folytatott kommunikáció megtagadása
Útmutató: Engedélyezze az elosztott szolgáltatásmegtagadási (DDoS) standard védelmet a virtuális hálózatokon a DDoS-támadások elleni védelem érdekében. A Microsoft Defender for Cloud Integrated Threat Intelligence használatával figyelheti az ismert rosszindulatú IP-címekkel folytatott kommunikációt. Konfigurálja a Azure Firewall az egyes Virtual Network szegmenseken, és engedélyezze a fenyegetésfelderítést, és konfigurálja a "Riasztás és megtagadás" beállítást a rosszindulatú hálózati forgalomhoz.
A Microsoft Defender for Cloud Just In Time Network-hozzáférésével korlátozott ideig korlátozhatja a Windows Virtual Machines engedélyezett IP-címeknek való kitettségét. Emellett a Microsoft Defender for Cloud Adaptive Network Hardening használatával olyan NSG-konfigurációkat javasolhat, amelyek a tényleges forgalom és a fenyegetésfelderítés alapján korlátozzák a portokat és a forrás IP-címeket.
A Microsoft Defender for Cloud Integrated Threat Intelligence ismertetése
A Microsoft Defender for Cloud Adaptive Network Hardening ismertetése
A Microsoft Defender for Cloud Just In Time Network Access Control ismertetése
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adaptív hálózatmegszűkítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken | A Microsoft Defender for Cloud elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoportra vonatkozó szabályokra, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Letiltva | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni | A Microsoft Defender for Cloud javaslatként figyeli a lehetséges igény szerinti hálózati (JIT-) hozzáférést | AuditIfNotExists, Letiltva | 3.0.0 |
1.5: Hálózati csomagok rögzítése
Útmutató: Az NSG-forgalom naplóit egy tárfiókba rögzítve folyamatrekordokat hozhat létre az Azure Virtual Machines számára. A rendellenes tevékenységek vizsgálatakor engedélyezheti Network Watcher csomagrögzítést, hogy a hálózati forgalom áttekinthető legyen szokatlan és váratlan tevékenységek esetén.
Felelősség: Ügyfél
1.6: Hálózati behatolásészlelési/behatolás-megelőzési rendszerek (IDS/IPS) üzembe helyezése
Útmutató: A Network Watcher által biztosított csomagrögzítések és egy nyílt forráskódú IDS-eszköz kombinálásával számos fenyegetés esetén végezhet hálózati behatolásészlelést. Emellett szükség szerint üzembe helyezhet Azure Firewall a Virtual Network szegmenseken, és a fenyegetésfelderítés engedélyezve van, és "Riasztás és megtagadás" beállítással van konfigurálva a rosszindulatú hálózati forgalomhoz.
Felelősség: Ügyfél
1.7: Webalkalmazások felé történő forgalom kezelése
Útmutató: Ha virtuálisgép-méretezési csoportot (VMSS) használ a webalkalmazások üzemeltetéséhez, Azure Application Gateway telepíthet olyan webalkalmazásokhoz, amelyeken engedélyezve van a HTTPS/SSL a megbízható tanúsítványokhoz. A Azure Application Gateway az alkalmazás webes forgalmát adott erőforrásokhoz irányítja: figyelőket rendel portokhoz, szabályokat hoz létre, és erőforrásokat ad hozzá egy háttérkészlethez, például a VMSS-hez stb.
Application Gateway-re hivatkozó méretezési csoport létrehozása
A 7. rétegbeli terheléselosztás megismerése az Azure webalkalmazás-átjárókkal
Felelősség: Ügyfél
1.8: A hálózati biztonsági szabályok összetettségének és adminisztratív terhelésének minimalizálása
Útmutató: A Virtual Network szolgáltatáscímkék használatával meghatározhatja a hálózati hozzáférés-vezérlőket az Azure-beli virtuális gépekhez konfigurált hálózati biztonsági csoportokon vagy Azure Firewall. Biztonsági szabályok létrehozása során szolgáltatáscímkéket használhat bizonyos IP-címek helyett. Ha megadja a szolgáltatáscímke nevét (például ApiManagement) egy szabály megfelelő forrás- vagy célmezőjében, engedélyezheti vagy letilthatja a megfelelő szolgáltatás forgalmát. A Microsoft kezeli a szolgáltatáscímke által magában foglalt címelőtagokat, és automatikusan frissíti a szolgáltatáscímkét a címek változásakor.
Felelősség: Ügyfél
1.9: Standard biztonsági konfigurációk karbantartása hálózati eszközökhöz
Útmutató: Standard biztonsági konfigurációk definiálása és implementálása az Azure Virtual Machine Scale Sets Azure Policy használatával. Az Azure Blueprints használatával egyszerűbbé teheti a nagyméretű Azure-beli virtuális gépek üzembe helyezését, ha egyetlen tervdefinícióban csomagolja be a kulcsfontosságú környezeti összetevőket, például az Azure Resource Manager-sablonokat, szerepkör-hozzárendeléseket és Azure Policy-hozzárendeléseket. A tervet alkalmazhatja az előfizetésekre, és a tervverziókon keresztül engedélyezheti az erőforrás-kezelést.
Felelősség: Ügyfél
1.10: Forgalomkonfigurációs szabályok dokumentálása
Útmutató: Használhat címkéket hálózati biztonsági csoportokhoz (NSG) és a Windows rendszerű virtuális gépekhez konfigurált hálózati biztonsághoz és forgalomhoz kapcsolódó egyéb erőforrásokhoz. Az egyes NSG-szabályok esetében a "Leírás" mezőben adhatja meg az üzleti szükségletet és/vagy időtartamot minden olyan szabály esetében, amely engedélyezi a hálózatra irányuló vagy onnan érkező forgalmat.
Felelősség: Ügyfél
1.11: Automatizált eszközök használata a hálózati erőforrások konfigurációinak monitorozásához és a változások észleléséhez
Útmutató: Az Azure-tevékenységnapló használatával monitorozza az Azure-beli virtuálisgép-méretezési csoporthoz kapcsolódó hálózati erőforrás-konfigurációk változásait. Hozzon létre riasztásokat az Azure Monitorban, amelyek a kritikus hálózati beállítások vagy erőforrások módosításakor aktiválódik.
A Azure Policy használatával ellenőrizheti (és/vagy kijavíthatja) a virtuálisgép-méretezési csoporthoz kapcsolódó hálózati erőforrás konfigurációit.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás az összes vendégkonfigurációs hozzárendelés előfeltétele, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. A vendégkonfigurációval kapcsolatos további információkért látogasson el ide https://aka.ms/gcpol. | módosítás | 1.0.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és amelyek legalább egy felhasználó által hozzárendelt identitással rendelkeznek, de nem rendelkeznek rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás az összes vendégkonfigurációs hozzárendelés előfeltétele, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. A vendégkonfigurációval kapcsolatos további információkért látogasson el ide https://aka.ms/gcpol. | módosítás | 1.0.0 |
| A windowsos vendégkonfigurációs bővítmény üzembe helyezése vendégkonfiguráció-hozzárendelések engedélyezéséhez Windows rendszerű virtuális gépeken | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. A vendégkonfigurációval kapcsolatos további információkért látogasson el ide https://aka.ms/gcpol. | deployIfNotExists | 1.0.1 |
| A Windows rendszerű gépeknek meg kell felelniük a "Felügyeleti sablonok – Hálózat" követelményeknek | A Windows rendszerű gépeken a "Felügyeleti sablonok – Hálózat" kategóriában megadott Csoportházirend beállításoknak kell rendelkezniük a vendég bejelentkezésekhez, az egyidejű kapcsolatokhoz, a hálózati hídhoz, az ICS-hez és a csoportos küldési névfeloldáshoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei telepítve lettek a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Microsoft Hálózati kiszolgáló" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott Csoportházirend beállításokat a "Biztonsági beállítások – Microsoft Hálózati kiszolgáló" kategóriában az SMB v1-kiszolgáló letiltására. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei telepítve lettek a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott Csoportházirend beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában a névtelen felhasználók, a helyi fiókok és a beállításjegyzékhez való távoli hozzáférés hozzáadásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei telepítve lettek a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott Csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei telepítve lettek a szabályzat-hozzárendelés hatókörében. További részletekért lásd: https://aka.ms/gcpol. | AuditIfNotExists, Letiltva | 2.0.0 |
Naplózás és monitorozás
További információ: Azure Security Benchmark: Naplózás és monitorozás.
2.1: Jóváhagyott időszinkronizálási források használata
Útmutató: A Microsoft fenntartja az Azure-erőforrások időforrásait, ön azonban kezelheti a Virtual Machines időszinkronizálási beállításait.
Időszinkronizálás konfigurálása Azure Windows számítási erőforrásokhoz
Időszinkronizálás konfigurálása Azure Linux számítási erőforrásokhoz
Felelősség: Megosztott
2.2: Központi biztonsági naplókezelés konfigurálása
Útmutató: A tevékenységnaplók a virtuálisgép-méretezési csoport erőforrásain végrehajtott műveletek és műveletek naplózására használhatók. A tevékenységnapló az összes írási műveletet (PUT, POST, DELETE) tartalmazza az erőforrásokhoz, kivéve az olvasási műveleteket (GET). A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.
Engedélyezheti és felügyelheti az Azure-tevékenységnaplókból vagy virtuálisgép-erőforrásokból előállított naplóadatokat a Microsoft Sentinel vagy egy külső SIEM számára a központi biztonsági naplók kezeléséhez.
A Microsoft Defender for Cloud használatával biztonsági eseménynapló-monitorozást biztosíthat az Azure Virtual Machines számára. A biztonsági eseménynapló által generált adatmennyiség miatt a rendszer alapértelmezés szerint nem tárolja azokat.
Ha a szervezet meg szeretné őrizni a virtuális gép biztonsági eseménynapló-adatait, azokat egy Log Analytics-munkaterületen tárolhatja a Microsoft Defender for Cloudban konfigurált kívánt adatgyűjtési szinten.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azon Windows-gépek naplózása, amelyeken a Log Analytics-ügynök nem a várt módon csatlakozik | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha az ügynök nincs telepítve, vagy ha telepítve van, de az AgentConfigManager.MgmtSvcCfg COM-objektum azt adja vissza, hogy a szabályzatparaméterben megadott azonosítótól eltérő munkaterületen van regisztrálva. | auditIfNotExists | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a Virtual Machine Scale Sets | Ez a szabályzat naplózza a Windows-/Linux-Virtual Machine Scale Sets, ha a Log Analytics-ügynök nincs telepítve. | AuditIfNotExists, Letiltva | 1.0.0 |
| A Log Analytics-ügynököt virtuális gépekre kell telepíteni | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-ügynök nincs telepítve. | AuditIfNotExists, Letiltva | 1.0.0 |
2.3: Naplózás engedélyezése Azure-erőforrásokhoz
Útmutató: A tevékenységnaplók a virtuálisgép-méretezési csoport erőforrásain végrehajtott műveletek és műveletek naplózására használhatók. A tevékenységnapló az összes írási műveletet (PUT, POST, DELETE) tartalmazza az erőforrásokhoz, kivéve az olvasási műveleteket (GET). A tevékenységnaplók segítségével hibákat kereshet a hibaelhárítás során, vagy figyelheti, hogy a szervezet egy felhasználója hogyan módosított egy erőforrást.
Engedélyezze a vendég operációs rendszer diagnosztikai adatainak gyűjtését a diagnosztikai bővítmény üzembe helyezésével a Virtual Machines (VM). A diagnosztikai bővítmény használatával diagnosztikai adatokat gyűjthet, például alkalmazásnaplókat vagy teljesítményszámlálókat egy Azure-beli virtuális gépről.
Az Azure-beli virtuálisgép-méretezési csoport által támogatott alkalmazások és szolgáltatások fejlett láthatósága érdekében engedélyezheti a Azure Monitor for VMs és az Application Insights szolgáltatást is. Az Application Insights segítségével monitorozhatja az alkalmazást, és rögzíthet telemetriát, például HTTP-kéréseket, kivételeket stb., így korrelálhatja a virtuális gépek és az alkalmazás közötti problémákat.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a Virtual Machine Scale Sets erőforrásnaplóit | Javasoljuk, hogy engedélyezze a naplókat, hogy újra létre lehessen hozni a tevékenységnaplót, ha incidens vagy biztonsági sérülés esetén vizsgálatra van szükség. | AuditIfNotExists, Letiltva | 2.0.1 |
2.4: Biztonsági naplók gyűjtése operációs rendszerekről
Útmutató: A Microsoft Defender for Cloud használatával biztonsági eseménynapló-monitorozást biztosíthat az Azure Virtual Machines számára. A biztonsági eseménynapló által generált adatmennyiség miatt a rendszer alapértelmezés szerint nem tárolja azokat.
Ha a szervezet meg szeretné őrizni a virtuális gép biztonsági eseménynapló-adatait, azokat egy Log Analytics-munkaterületen tárolhatja a Microsoft Defender for Cloudban konfigurált kívánt adatgyűjtési szinten.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azon Windows-gépek naplózása, amelyeken a Log Analytics-ügynök nem a várt módon csatlakozik | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha az ügynök nincs telepítve, vagy ha telepítve van, de az AgentConfigManager.MgmtSvcCfg COM-objektum azt adja vissza, hogy a szabályzatparaméterben megadott azonosítótól eltérő munkaterületen van regisztrálva. | auditIfNotExists | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a Virtual Machine Scale Sets | Ez a szabályzat naplózza a Windows-/Linux-Virtual Machine Scale Sets, ha a Log Analytics-ügynök nincs telepítve. | AuditIfNotExists, Letiltva | 1.0.0 |
| A Log Analytics-ügynököt virtuális gépekre kell telepíteni | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-ügynök nincs telepítve. | AuditIfNotExists, Letiltva | 1.0.0 |
2.5: A biztonsági naplók tárhelymegőrzésének konfigurálása
Útmutató: Győződjön meg arról, hogy a virtuálisgép-naplók tárolására használt tárfiókok vagy Log Analytics-munkaterületek esetében a szervezet megfelelőségi előírásainak megfelelően beállított naplómegőrzési időszak van beállítva.
Felelősség: Ügyfél
2.6: Naplók figyelése és áttekintése
Útmutató: Naplók elemzése és monitorozása rendellenes viselkedés esetén, valamint az eredmények rendszeres áttekintése. Az Azure Monitor használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre a naplóadatokon.
Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek a naplók figyeléséhez és áttekintéséhez.
Felelősség: Ügyfél
2.7: Rendellenes tevékenységekre vonatkozó riasztások engedélyezése
Útmutató: Az Azure Virtual Machines biztonsági naplóiban és eseményeiben található rendellenes tevékenységek monitorozásához és riasztásához használja a Log Analytics-munkaterülettel konfigurált Microsoft Defender for Cloudot.
Másik lehetőségként engedélyezheti és továbbíthatja az adatokat a Microsoft Sentinelnek vagy egy külső SIEM-nek, hogy riasztásokat állítson be rendellenes tevékenységekhez.
Felelősség: Ügyfél
2.8: A kártevőirtó naplózás központosítása
Útmutató: A Microsoft Anti-malware for Azure Cloud Services és Virtual Machines használatával konfigurálhatja a Windows rendszerű virtuális gépeket az események Azure Storage-fiókba való naplózására. Konfiguráljon egy Log Analytics-munkaterületet, hogy betöltse az eseményeket a tárfiókokból, és szükség esetén riasztásokat hozzon létre. Kövesse a Microsoft Defender for Cloud javaslatait: "Compute & Apps". Linux rendszerű virtuális gépek esetén egy külső gyártótól származó eszközre lesz szüksége a kártevőirtó biztonsági rések észleléséhez.
A Microsoft Anti-malware konfigurálása Cloud Services és Virtual Machines
Útmutatás Linux-kiszolgálók a Microsoft Defender for Cloudhoz való előkészítéséhez
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Endpoint Protection-megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuálisgép-méretezési csoportokon található végpontvédelmi megoldás meglétének és állapotának naplózása a fenyegetések és biztonsági rések elleni védelem érdekében. | AuditIfNotExists, Letiltva | 3.0.0 |
| Microsoft Antimalware az Azure-hoz úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat | Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva Microsoft Antimalware védelmi aláírások automatikus frissítésével. | AuditIfNotExists, Letiltva | 1.0.0 |
| Hiányzó Endpoint Protection monitorozása a Microsoft Defender for Cloudban | A Microsoft Defender for Cloud javaslatként figyeli a telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat | AuditIfNotExists, Letiltva | 3.0.0 |
2.9: DNS-lekérdezések naplózásának engedélyezése
Útmutató: A szervezet igényeinek megfelelően implementáljon egy külső megoldást a Azure Marketplace DNS-naplózási megoldásához.
Felelősség: Ügyfél
2.10: Parancssori naplózás engedélyezése
Útmutató: A Microsoft Defender for Cloud biztonsági eseménynapló-monitorozást biztosít az Azure Virtual Machines (VM) számára. A Microsoft Defender for Cloud kiépítheti a Microsoft Monitoring Agentet az összes támogatott Azure-beli virtuális gépre és minden olyan újra, amely akkor jön létre, ha az automatikus kiépítés engedélyezve van, VAGY manuálisan is telepítheti az ügynököt. Az ügynök engedélyezi a 4688-ás folyamatlétrehozás eseményt és a CommandLine mezőt a 4688-os eseményen belül. A virtuális gépen létrehozott új folyamatokat az EventLog rögzíti, és a Microsoft Defender for Cloud észlelési szolgáltatásai figyelik.
Linux rendszerű virtuális gépek esetében manuálisan konfigurálhatja a konzolnaplózást csomópontonként, és syslogok használatával tárolhatja az adatokat. Emellett az Azure Monitor Log Analytics-munkaterületét használva áttekintheti a naplókat, és lekérdezéseket hajthat végre az Azure-beli virtuális gépek syslog-adatain.
Felelősség: Ügyfél
Identitás- és hozzáférés-vezérlés
További információ: Azure Security Benchmark: Identity és Access Control.
3.1: A felügyeleti fiókok leltárának karbantartása
Útmutató: Bár az Azure Active Directory (Azure AD) az ajánlott módszer a felhasználói hozzáférés felügyeletére, az Azure Virtual Machines rendelkezhet helyi fiókokkal. A helyi és a tartományi fiókokat is felül kell vizsgálni és kezelni kell, általában minimális erőforrásigény mellett. Emellett az Azure Privileged Identity Management a virtuális gépek erőforrásainak eléréséhez használt rendszergazdai fiókokhoz is használhatja.
Felelősség: Ügyfél
3.2: Az alapértelmezett jelszavak módosítása, ha vannak
Útmutató: Az Azure-beli virtuálisgép-méretezési csoport és az Azure Active Directory (Azure AD) nem rendelkezik az alapértelmezett jelszavak fogalmával. Az alapértelmezett jelszavakat használó, harmadik féltől származó alkalmazásokért és Marketplace-szolgáltatásokért felelős ügyfél.
Felelősség: Ügyfél
3.3: Dedikált rendszergazdai fiókok használata
Útmutató: Hozzon létre szabványos üzemeltetési eljárásokat a virtuális gépekhez hozzáféréssel rendelkező dedikált rendszergazdai fiókok használatával kapcsolatban. A Microsoft Defender for Cloud identitás- és hozzáférés-kezelés használatával monitorozza a felügyeleti fiókok számát. Az Azure-beli virtuális gépek erőforrásainak eléréséhez használt rendszergazdai fiókokat az Azure Privileged Identity Management (PIM) is kezelheti. Az Azure Privileged Identity Management számos lehetőséget kínál, például a Csak időben jogosultságszint-emelést, a többtényezős hitelesítést a szerepkör feltételezése előtt, valamint a delegálási beállításokat, hogy az engedélyek csak adott időkeretekhez legyenek elérhetők, és jóváhagyót igényelhessenek.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Rendszergazdák csoportban megadott tagok közül hiányzó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelők, ha a helyi Rendszergazdák csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. | auditIfNotExists | 1.0.0 |
| További fiókokkal rendelkező Windows-gépek naplózása a Rendszergazdák csoportban | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazdák csoport olyan tagokat tartalmaz, amelyek nem szerepelnek a szabályzatparaméterben. | auditIfNotExists | 1.0.0 |
| A Rendszergazdák csoportban megadott tagokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelők, ha a helyi Rendszergazdák csoport tartalmaz egy vagy több tagot a szabályzatparaméterben. | auditIfNotExists | 1.0.0 |
3.4: Az Azure Active Directory egyszeri bejelentkezés (SSO) használata
Útmutató: Ahol csak lehetséges, az egyszeri bejelentkezést használja az Azure Active Directoryval (Azure AD) ahelyett, hogy szolgáltatásonként konfigurálja az önálló hitelesítő adatokat. Használja a Microsoft Defender felhőalapú identitás- és hozzáférés-kezelési javaslatait.
Felelősség: Ügyfél
3.5: Többtényezős hitelesítés használata minden Azure Active Directory-alapú hozzáféréshez
Útmutató: Engedélyezze az Azure Active Directory (Azure AD) többtényezős hitelesítését, és kövesse a Microsoft Defender felhőbeli identitás- és hozzáférés-kezelési javaslatait.
Felelősség: Ügyfél
3.6: Biztonságos, Azure által felügyelt munkaállomások használata felügyeleti feladatokhoz
Útmutató: Emelt hozzáférési szintű munkaállomások (emelt szintű hozzáférésű munkaállomások) használata az Azure-erőforrásokba való bejelentkezéshez és konfiguráláshoz konfigurált többtényezős hitelesítéssel.
Felelősség: Ügyfél
3.7: Naplózás és riasztás a felügyeleti fiókokból származó gyanús tevékenységekről
Útmutató: Az Azure Active Directory (Azure AD) Privileged Identity Management (PIM) használatával naplókat és riasztásokat generálhat, ha gyanús vagy nem biztonságos tevékenység történik a környezetben. A Azure AD Kockázatészlelés funkcióval riasztásokat és jelentéseket tekinthet meg a kockázatos felhasználók viselkedéséről. Igény szerint az ügyfél betöltheti a Microsoft Defender for Cloud Risk Detection riasztásokat az Azure Monitorba, és egyéni riasztásokat/értesítéseket konfigurálhat a műveletcsoportok használatával.
A Microsoft Defender for Cloud kockázatészleléseinek (gyanús tevékenységek) ismertetése
Műveletcsoportok konfigurálása egyéni riasztásokhoz és értesítésekhez
Felelősség: Ügyfél
3.8: Azure-erőforrások kezelése csak jóváhagyott helyekről
Útmutató: Az Azure Active Directory (Azure AD) feltételes hozzáférési szabályzatainak és nevesített helyeinek használatával csak az IP-címtartományok vagy országok/régiók meghatározott logikai csoportjaiból engedélyezheti a hozzáférést.
Felelősség: Ügyfél
3.9: Az Azure Active Directory használata
Útmutató: Az Azure Active Directory (Azure AD) használata központi hitelesítési és engedélyezési rendszerként. Azure AD az inaktív és az átvitel alatt lévő adatok erős titkosításával védi az adatokat. Azure AD emellett sókat, kivonatokat és biztonságosan tárolja a felhasználói hitelesítő adatokat. A felügyelt identitások használatával bármely olyan szolgáltatásban hitelesítheti magát, amely támogatja a Azure AD hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezik. A virtuális gépen futó kód a felügyelt identitásával hozzáférési jogkivonatokat kérhet az Azure AD hitelesítést támogató szolgáltatásokhoz.
Felelősség: Ügyfél
3.10: A felhasználói hozzáférés rendszeres áttekintése és egyeztetése
Útmutató: Az Azure Active Directory (Azure AD) naplókat biztosít az elavult fiókok felderítéséhez. Emellett Azure AD identitás-hozzáférési felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket. A felhasználók hozzáférése rendszeresen felülvizsgálható, hogy csak a megfelelő felhasználók rendelkezzenek további hozzáféréssel. Az Azure-beli virtuális gépek használatakor át kell tekintenie a helyi biztonsági csoportokat és felhasználókat, hogy biztosan ne legyenek váratlan fiókok, amelyek veszélyeztethetik a rendszert.
Felelősség: Ügyfél
3.11: Az inaktivált hitelesítő adatok elérésére tett kísérletek figyelése
Útmutató: Az Azure Active Directory (Azure AD) diagnosztikai beállításainak konfigurálása az auditnaplók és bejelentkezési naplók Log Analytics-munkaterületre való küldéséhez. Emellett az Azure Monitor használatával áttekintheti a naplókat, és lekérdezéseket hajthat végre az Azure-beli virtuális gépek naplóadatain.
Felelősség: Ügyfél
3.12: Riasztás a fiók bejelentkezési viselkedésének eltéréséről
Útmutató: Az Azure Active Directory (Azure AD) kockázat- és identitásvédelmi funkcióival automatikus válaszokat konfigurálhat a tárfiók erőforrásaival kapcsolatos gyanús műveletekre. A szervezet biztonsági válaszainak implementálásához engedélyeznie kell az automatizált válaszokat a Microsoft Sentinelen keresztül.
Felelősség: Ügyfél
3.13: Hozzáférés biztosítása a Microsoft számára a megfelelő ügyféladatokhoz a támogatási forgatókönyvek során
Útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ügyféladatokhoz (például egy támogatási kérelem során), használja az Azure-beli virtuális gépekhez készült Ügyfélszéfet az ügyféladatok hozzáférési kérelmeinek áttekintéséhez és jóváhagyásához vagy elutasításához.
Felelősség: Ügyfél
Adatvédelem
További információ: Azure Security Benchmark: Adatvédelem.
4.1: Bizalmas információk leltárának karbantartása
Útmutató: Címkék használata a bizalmas adatokat tároló vagy feldolgozó Azure-beli virtuális gépek nyomon követéséhez.
Felelősség: Ügyfél
4.2: A bizalmas adatokat tartalmazó vagy feldolgozó rendszerek elkülönítése
Útmutató: Különálló előfizetések és/vagy felügyeleti csoportok implementálása fejlesztéshez, teszteléshez és éles környezethez. Az erőforrásokat virtuális hálózattal/alhálózattal kell elválasztani, megfelelően fel kell címkézni, és egy hálózati biztonsági csoporton (NSG-n) vagy egy Azure Firewall kell biztosítani. A bizalmas adatok Virtual Machines tárolásához vagy feldolgozásához alkalmazzon szabályzatokat és eljárásokat, amelyek kikapcsolják azokat, ha nincsenek használatban.
Felelősség: Ügyfél
4.3: Bizalmas adatok jogosulatlan átvitelének figyelése és letiltása
Útmutató: Harmadik féltől származó megoldás implementálása a hálózat peremhálózatán, amely figyeli a bizalmas adatok jogosulatlan átvitelét, és blokkolja az ilyen átviteleket, miközben riasztást küld az információbiztonsági szakembereknek.
A Microsoft által felügyelt mögöttes platform esetében a Microsoft minden ügyféltartalmat érzékenynek tekint az ügyfelek adatvesztése és kitettsége elleni védelem érdekében. Annak érdekében, hogy az Azure-on belüli ügyféladatok biztonságosak maradjanak, a Microsoft hatékony adatvédelmi vezérlőket és képességeket vezetett be és tart fenn.
Felelősség: Ügyfél
4.4: Az átvitel alatt lévő összes bizalmas információ titkosítása
Útmutató: A Windowst futtató Virtual Machines (VM) felé, onnan kiindulva és között áthaladó adatok a kapcsolat jellegétől függően többféleképpen titkosíthatók, például amikor RDP- vagy SSH-munkamenetben csatlakoznak egy virtuális géphez.
A Microsoft a Transport Layer Security (TLS) protokollt használja az adatok védelmére a felhőszolgáltatások és az ügyfelek közötti utazás során.
Felelősség: Megosztott
4.5: Aktív felderítési eszköz használata a bizalmas adatok azonosításához
Útmutató: Külső gyártótól származó aktív felderítési eszköz használatával azonosíthatja a szervezet technológiai rendszerei által tárolt, feldolgozott vagy továbbított összes bizalmas információt, beleértve a helyszínen vagy egy távoli szolgáltatónál található adatokat is, és frissítheti a szervezet bizalmas információinak leltárát.
Felelősség: Ügyfél
4.6: Az Azure RBAC használata az erőforrásokhoz való hozzáférés szabályozásához
Útmutató: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával elkülönítheti a feladatokat a csapaton belül, és csak annyi hozzáférést adhat a virtuális gép felhasználóinak, amennyi a feladataik elvégzéséhez szükséges. Ahelyett, hogy mindenki számára korlátlan engedélyeket ad a virtuális géphez, csak bizonyos műveleteket engedélyezhet. A Azure Portal virtuális gép hozzáférés-vezérlését az Azure CLI vagy Azure PowerShell használatával konfigurálhatja.
Felelősség: Ügyfél
4.7: Gazdagépalapú adatveszteség-megelőzés használata a hozzáférés-vezérlés kényszerítéséhez
Útmutató: Implementáljon egy külső eszközt, például egy automatizált, gazdagépalapú adatveszteség-megelőzési megoldást a hozzáférés-vezérlés kikényszerítéséhez az adatszivárgások kockázatának csökkentése érdekében.
Felelősség: Ügyfél
4.8: Bizalmas adatok titkosítása inaktív állapotban
Útmutató: A Virtual Machines (VM) virtuális lemezei inaktív állapotban kiszolgálóoldali vagy Azure-lemeztitkosítással (ADE) vannak titkosítva. Az Azure Disk Encryption a Linux DM-Crypt funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal történő titkosítására a vendég virtuális gépen. A kiszolgálóoldali titkosítás az ügyfél által felügyelt kulcsokkal javítja az ADE-t, mivel lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez a Storage szolgáltatásban lévő adatok titkosításával.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A nem csatlakoztatott lemezeket titkosítani kell | Ez a szabályzat a titkosítás engedélyezése nélkül naplóz minden nem csatlakoztatott lemezt. | Naplózás, letiltva | 1.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | A Microsoft Defender for Cloud javaslatként figyeli az engedélyezett lemeztitkosítással nem rendelkező virtuális gépeket. | AuditIfNotExists, Letiltva | 2.0.1 |
4.9: Naplózás és riasztás a kritikus Fontosságú Azure-erőforrások változásairól
Útmutató: Az Azure Monitor és az Azure-tevékenységnapló együttes használatával riasztásokat hozhat létre a virtuálisgép-méretezési csoportok és a kapcsolódó erőforrások módosításairól.
Felelősség: Ügyfél
Biztonságirés-kezelés
További információkért lásd az Azure Biztonsági teljesítményteszt: Sebezhetőségi felügyelet című témakört.
5.1: Automatizált biztonságirés-ellenőrző eszközök futtatása
Útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure Virtual Machines biztonságirés-felméréseinek elvégzésére vonatkozóan. A virtuális gépek sebezhetőségi felméréséhez használja az Azure Security ajánlott vagy külső megoldását.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | Naplóz virtuális gépeket annak észleléséhez, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. A Microsoft Defender for Cloud standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Letiltva | 3.0.0 |
5.2: Automatizált operációsrendszer-javításkezelési megoldás üzembe helyezése
Útmutató: Az operációs rendszer automatikus frissítésének engedélyezése támogatott operációsrendszer-verziókhoz vagy Shared Image Gallery tárolt egyéni lemezképekhez.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Telepíteni kell a virtuálisgép-méretezési csoportok rendszerfrissítéseit | Ellenőrizze, hogy vannak-e hiányzó rendszerbiztonsági frissítések és kritikus frissítések, amelyeket telepíteni kell a Windows és Linux rendszerű virtuálisgép-méretezési csoportok biztonságossá tételéhez. | AuditIfNotExists, Letiltva | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépeken | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit a Microsoft Defender for Cloud figyeli javaslatként | AuditIfNotExists, Disabled | 4.0.0 |
5.3: Automatizált javításkezelési megoldás üzembe helyezése külső szoftvercímekhez
Útmutató: Az Azure Virtual Machine Scale Sets (VMSS) használhatja az operációs rendszer rendszerképének automatikus frissítését. A VMSS mögöttes virtuális gépeihez használhatja az Azure Desired State Configuration (DSC) bővítményt. A DSC segítségével konfigurálhatók a virtuális gépek, amikor azok online állapotba kerülnek, így a kívánt szoftvert futtatják.
Felelősség: Ügyfél
5.4: A biztonsági rések back-to-back vizsgálatainak összehasonlítása
Útmutató: Konzisztens időközönként exportálja a vizsgálati eredményeket, és összehasonlítja az eredményeket annak ellenőrzéséhez, hogy a biztonsági rések javítva lettek-e. A Microsoft Defender for Cloud által javasolt biztonságirés-kezelési javaslat használatakor az ügyfél a kiválasztott megoldás portáljára váltva megtekintheti az előzményvizsgálati adatokat.
Felelősség: Ügyfél
5.5: Kockázatbesorolási folyamat használata a felderített biztonsági rések elhárításának rangsorolásához
Útmutató: Használja a Microsoft Defender for Cloud által biztosított alapértelmezett kockázati minősítéseket (biztonsági pontszámot).
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell | A Biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg a Microsoft Defender for Cloudban. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | A microsoft defender for Cloud javaslatként figyeli azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | A virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseinek naplózása a támadások elleni védelem érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
Leltár-és eszközfelügyelet
További információ: Azure Security Benchmark: Inventory and Asset Management.
6.1: Automatizált eszközfelderítési megoldás használata
Útmutató: Az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetéseken belüli összes erőforrást (beleértve a virtuális gépeket is). Győződjön meg arról, hogy megfelelő (olvasási) engedélyekkel rendelkezik a bérlőben, és képes az összes Azure-előfizetés és az előfizetésen belüli erőforrások számbavételére.
Felelősség: Ügyfél
6.2: Eszköz metaadatainak karbantartása
Útmutató: Címkék alkalmazása Azure-erőforrásokra, amelyek metaadatokat adnak a logikai rendszerezéshez egy osztályozás szerint.
Felelősség: Ügyfél
6.3: Jogosulatlan Azure-erőforrások törlése
Útmutató: Címkézéssel, felügyeleti csoportokkal és adott esetben különálló előfizetésekkel rendszerezheti és nyomon követheti Virtual Machines méretezési csoportokat és a kapcsolódó erőforrásokat. Rendszeresen egyeztetheti a leltárt, és biztosíthatja, hogy a jogosulatlan erőforrások időben törlődjenek az előfizetésből.
Felelősség: Ügyfél
6.4: A jóváhagyott Azure-erőforrások leltárának meghatározása és karbantartása
Útmutató: Hozzon létre egy leltárt a jóváhagyott Azure-erőforrásokról és a jóváhagyott szoftverekről a számítási erőforrásokhoz a szervezeti igényeknek megfelelően.
Felelősség: Ügyfél
6.5: Nem jóváhagyott Azure-erőforrások monitorozása
Útmutató: Az Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:
Nem engedélyezett erőforrástípusok
Engedélyezett erőforrástípusok
Emellett az Azure Resource Graph használatával lekérdezheti és felderítheti az előfizetés(ek)ben lévő erőforrásokat. Ez segíthet a magas biztonságú környezetekben, például a Storage-fiókokkal rendelkezőkben.
Felelősség: Ügyfél
6.6: Nem jóváhagyott szoftveralkalmazások monitorozása a számítási erőforrásokon belül
Útmutató: Azure Automation teljes körű ellenőrzést biztosít a számítási feladatok és erőforrások üzembe helyezése, üzemeltetése és leszerelése során. Az Azure Virtual Machine Inventory használatával automatizálhatja a Virtual Machines összes szoftverével kapcsolatos információk gyűjtését. Megjegyzés: A szoftvernév, a verzió, a közzétevő és a frissítés ideje a Azure Portal érhető el. A telepítési dátumhoz és egyéb információkhoz való hozzáféréshez az ügyfélnek engedélyeznie kell a vendégszintű diagnosztikát, és be kell állítania a Windows-eseménynaplókat egy Log Analytics-munkaterületre.
Az adaptív alkalmazásvezérlők jelenleg nem érhetők el Virtual Machine Scale Sets.
Felelősség: Ügyfél
6.7: Nem jóváhagyott Azure-erőforrások és szoftveralkalmazások eltávolítása
Útmutató: Azure Automation teljes körű ellenőrzést biztosít a számítási feladatok és erőforrások üzembe helyezése, üzemeltetése és leszerelése során. A Change Tracking segítségével azonosíthatja a Virtual Machines telepített összes szoftvert. Implementálhatja a saját folyamatát, vagy használhatja a Azure Automation State Configuration a jogosulatlan szoftverek eltávolítására.
Felelősség: Ügyfél
6.8: Csak jóváhagyott alkalmazások használata
Útmutató: Jelenleg az adaptív alkalmazásvezérlők nem érhetők el Virtual Machine Scale Sets. Harmadik féltől származó szoftverek használatával szabályozhatja a használatot csak a jóváhagyott alkalmazások esetében.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Az alkalmazásvezérlők lehetővé teszik a gépeken futó ismert biztonságos alkalmazások listájának meghatározását, és riasztást küldenek, ha más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Letiltva | 3.0.0 |
6.9: Csak jóváhagyott Azure-szolgáltatások használata
Útmutató: Az Azure Policy használatával korlátozásokat alkalmazhat az ügyfél-előfizetés(ek)ben létrehozható erőforrások típusára az alábbi beépített szabályzatdefiníciók használatával:
Nem engedélyezett erőforrástípusok
Engedélyezett erőforrástípusok
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, kulcstartó-hozzáférés a titkos kódokhoz, Azure AD-alapú hitelesítés, valamint címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése | Naplózás, megtagadás, letiltva | 1.0.0 |
6.10: A jóváhagyott szoftvercímek leltárának karbantartása
Útmutató: Jelenleg az adaptív alkalmazásvezérlők nem érhetők el Virtual Machine Scale Sets. Külső megoldás implementálása, ha ez nem felel meg a szervezet követelményeinek.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Az alkalmazásvezérlők lehetővé teszik a gépeken futó ismert biztonságos alkalmazások listájának meghatározását, és riasztást küldenek, ha más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Letiltva | 3.0.0 |
6.11: A felhasználók azure-Resource Manager való interakciójának korlátozása
Útmutató: Az Azure Feltételes hozzáférés használatával korlátozhatja a felhasználók azure-Resource Manager való interakcióját a "Hozzáférés letiltása" konfigurálásával a "Microsoft Azure Management" alkalmazáshoz.
Felelősség: Ügyfél
6.12: A felhasználók szkriptek számítási erőforrásokon belüli végrehajtásának korlátozása
Útmutató: A szkriptek típusától függően operációsrendszer-specifikus konfigurációkat vagy külső erőforrásokat használhat, hogy korlátozza a felhasználók azon képességét, hogy szkripteket hajtsanak végre az Azure számítási erőforrásain belül.
Felelősség: Ügyfél
6.13: A magas kockázatú alkalmazások fizikai vagy logikai elkülönítése
Útmutató: Az Azure-környezetben üzembe helyezett magas kockázatú alkalmazások elkülöníthetők virtuális hálózat, alhálózat, előfizetések, felügyeleti csoportok stb. használatával, és megfelelően védhetők Azure Firewall, Web Application Firewall (WAF) vagy hálózati biztonsági csoporttal (NSG).
Felelősség: Ügyfél
Biztonságos konfiguráció
További információ: Az Azure biztonsági teljesítménytesztje: Biztonságos konfiguráció.
7.1: Biztonságos konfigurációk létrehozása az összes Azure-erőforráshoz
Útmutató: A Azure Policy vagy a Microsoft Defender for Cloud használatával minden Azure-erőforrás biztonsági konfigurációit fenntarthatja. Emellett az Azure Resource Manager képes exportálni a sablont JavaScript Object Notation (JSON) formátumban, amelyet felül kell vizsgálni annak biztosítása érdekében, hogy a konfigurációk megfeleljenek a vállalat biztonsági követelményeinek.
Felelősség: Ügyfél
7.2: Biztonságos operációsrendszer-konfigurációk létrehozása
Útmutató: A Microsoft Defender for Cloud javaslat segítségével elháríthatja a biztonsági réseket a Virtual Machines biztonsági konfigurációiban az összes számítási erőforrás biztonsági konfigurációjának fenntartásához.
Felelősség: Ügyfél
7.3: Biztonságos Azure-erőforráskonfigurációk fenntartása
Útmutató: Azure Resource Manager-sablonok és Azure-szabályzatok használatával biztonságosan konfigurálhatja a Virtual Machines méretezési csoportokkal társított Azure-erőforrásokat. Az Azure Resource Manager-sablonok JSON-alapú fájlok, amelyeket a virtuális gépek üzembe helyezéséhez használnak az Azure-erőforrások mellett, és az egyéni sablonokat is fenn kell tartani. A Microsoft elvégzi a karbantartást az alapsablonokon. Az Azure Policy [deny] és a [deploy if not exist] használatával biztonságos beállításokat kényszeríthet ki az Azure-erőforrásokban.
Felelősség: Ügyfél
7.4: Biztonságos operációsrendszer-konfigurációk fenntartása
Útmutató: Az Üzembe helyezéshez az Azure Virtual Machines (VM) biztonságos konfigurációjának fenntartására több lehetőség is rendelkezésre áll:
Azure Resource Manager-sablonok: Ezek olyan JSON-alapú fájlok, amelyeket a virtuális gépek üzembe helyezéséhez használnak a Azure Portal, és az egyéni sablonokat meg kell őrizni. A Microsoft elvégzi a karbantartást az alapsablonokon.
Egyéni virtuális merevlemez (VHD): Bizonyos esetekben szükség lehet egyéni VHD-fájlokra, például olyan összetett környezetek kezelésekor, amelyek más módon nem kezelhetők.
Azure Automation State Configuration: Az alap operációs rendszer üzembe helyezése után ez használható a beállítások részletesebb vezérléséhez, és az Automation-keretrendszeren keresztül kényszeríthető ki.
A legtöbb esetben a Microsoft alapszintű virtuálisgép-sablonjai és a Azure Automation Desired State Configuration együttesen segíthetnek a biztonsági követelmények teljesítésében és fenntartásában.
Felelősség: Megosztott
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell | A Biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg a Microsoft Defender for Cloudban. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | A microsoft defender for Cloud javaslatként figyeli azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | A virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseinek naplózása a támadások elleni védelem érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
7.5: Azure-erőforrások konfigurációjának biztonságos tárolása
Útmutató: Az Azure DevOps használatával biztonságosan tárolhatja és kezelheti a kódot, például egyéni Azure-szabályzatokat, Azure-Resource Manager-sablonokat, Desired State Configuration szkripteket stb. Az Azure DevOpsban kezelt erőforrások, például a kód, a buildek és a munkakövetés eléréséhez engedélyekkel kell rendelkeznie az adott erőforrásokhoz. A legtöbb engedély a beépített biztonsági csoportokon keresztül adható meg az Engedélyek és hozzáférés szakaszban leírtak szerint. Az Azure DevOpsba integrálva adott felhasználóknak, beépített biztonsági csoportoknak vagy Azure Active Directoryban (Azure AD) definiált csoportoknak, illetve TFS-sel integrált Active Directorynak adhat vagy tagadhat meg engedélyeket.
Felelősség: Ügyfél
7.6: Egyéni operációsrendszer-lemezképek biztonságos tárolása
Útmutató: Ha egyéni rendszerképeket (pl. virtuális merevlemezt) használ, az Azure szerepköralapú hozzáférés-vezérlésével biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá a képekhez.
Felelősség: Ügyfél
7.7: Konfigurációkezelési eszközök üzembe helyezése Azure-erőforrásokhoz
Útmutató: A Azure Policy használatával riasztást, naplózást és rendszerkonfigurációk kikényszerítését végezheti el a virtuális gépeken. Emellett dolgozzon ki egy folyamatot és egy folyamatot a szabályzatkivételeket kezelő folyamathoz.
Felelősség: Ügyfél
7.8: Konfigurációkezelő eszközök telepítése operációs rendszerekhez
Útmutató: Azure Automation State Configuration egy konfigurációkezelési szolgáltatás Desired State Configuration (DSC) csomópontokhoz bármely felhőbeli vagy helyszíni adatközpontban. Ez lehetővé teszi a skálázhatóságot több ezer gép között gyorsan és egyszerűen egy központi, biztonságos helyről. Könnyedén előkészítheti a gépeket, deklaratív konfigurációkat rendelhet hozzájuk, és megtekintheti az egyes gépeknek a megadott állapotnak való megfelelőségét bemutató jelentéseket.
Felelősség: Ügyfél
7.9: Azure-erőforrások automatizált konfigurációs monitorozásának implementálása
Útmutató: A Microsoft Defender for Cloud használatával alapkonfiguráció-vizsgálatokat végezhet az Azure-beli virtuális gépeken. Az automatizált konfiguráció további módszerei közé tartozik a Azure Automation State Configuration használata.
Felelősség: Ügyfél
7.10: Automatizált konfigurációfigyelés implementálása operációs rendszerekhez
Útmutató: Azure Automation State Configuration egy konfigurációkezelési szolgáltatás Desired State Configuration (DSC) csomópontokhoz bármely felhőbeli vagy helyszíni adatközpontban. Ez lehetővé teszi a skálázhatóságot több ezer gép között gyorsan és egyszerűen egy központi, biztonságos helyről. Könnyedén előkészítheti a gépeket, deklaratív konfigurációkat rendelhet hozzájuk, és megtekintheti az egyes gépeknek a megadott állapotnak való megfelelőségét bemutató jelentéseket.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeménye, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. Az ezzel a vezérlővel kapcsolatos riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell | A Biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg a Microsoft Defender for Cloudban. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | A microsoft defender for Cloud javaslatként figyeli azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | A virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseinek naplózása a támadások elleni védelem érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
7.11: Azure-titkos kódok biztonságos kezelése
Útmutató: A felügyeltszolgáltatás-identitás és az Azure Key Vault együttes használatával egyszerűsítheti és biztonságossá teheti a felhőalkalmazások titkos kódkezelését.
Felelősség: Ügyfél
7.12: Identitások biztonságos és automatikus kezelése
Útmutató: A felügyelt identitások használatával automatikusan felügyelt identitást biztosíthat az Azure-szolgáltatásoknak az Azure Active Directoryban (Azure AD). A felügyelt identitások lehetővé teszik a hitelesítést bármely olyan szolgáltatásban, amely támogatja a Azure AD hitelesítést, beleértve a Key Vault is, anélkül, hogy a kódban hitelesítő adatokkal rendelkezne.
Felelősség: Ügyfél
7.13: A nem szándékos hitelesítő adatok expozíciójának megszüntetése
Útmutató: Hitelesítőadat-ellenőrző implementálása a hitelesítő adatok kódon belüli azonosításához. A Credential Scanner a felfedezett hitelesítő adatok biztonságosabb helyre, például az Azure Key Vaultba való áthelyezésére is javaslatot tesz.
Felelősség: Ügyfél
Kártevők elleni védelem
További információ: Azure Security Benchmark: Malware Defense.
8.1: Központilag felügyelt kártevőirtó szoftverek használata
Útmutató: Az azure-beli Windows rendszerű virtuális gépekhez készült Microsoft Antimalware használatával folyamatosan figyelheti és megvédheti erőforrásait. Egy harmadik féltől származó eszközre lesz szüksége a kártevők elleni védelemhez az Azure Linux rendszerű virtuális gépeken.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Endpoint Protection-megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuálisgép-méretezési csoportokon található végpontvédelmi megoldás meglétének és állapotának naplózása a fenyegetések és biztonsági rések elleni védelem érdekében. | AuditIfNotExists, Letiltva | 3.0.0 |
| Hiányzó Endpoint Protection monitorozása a Microsoft Defender for Cloudban | A Microsoft Defender for Cloud javaslatként figyeli a telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat | AuditIfNotExists, Letiltva | 3.0.0 |
8.3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása
Útmutató: A Windows rendszerű virtuális gépeken üzembe helyezett Microsoft Antimalware az Azure-hoz alapértelmezés szerint automatikusan telepíti a legújabb aláírás-, platform- és motorfrissítéseket. Kövesse a Microsoft Defender for Cloud javaslatait: "Compute & Apps", hogy az összes végpont naprakész legyen a legújabb aláírásokkal. A Windows operációs rendszer további biztonsági megoldásokkal is védhető, hogy korlátozza a vírus- vagy kártevőalapú támadások kockázatát a Microsoft Defender Advanced Threat Protection szolgáltatással, amely integrálható a Microsoft Defender for Cloud szolgáltatással.
Egy harmadik féltől származó eszközre lesz szüksége a kártevők elleni védelemhez az Azure Linux rendszerű virtuális gépeken.
Microsoft Antimalware üzembe helyezése azure Cloud Services és Virtual Machines
Microsoft Antimalware konfigurálása Cloud Services és Virtual Machines
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Description | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Antimalware az Azure-hoz úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat | Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva Microsoft Antimalware védelmi aláírások automatikus frissítésével. | AuditIfNotExists, Letiltva | 1.0.0 |
Adat-helyreállítás
További információ: Azure Security Benchmark: Data Recovery.
9.1: Rendszeres automatikus biztonsági mentések biztosítása
Útmutató: Pillanatkép készítése a példányhoz csatlakoztatott Azure-beli virtuálisgép-méretezési csoport példányáról vagy felügyelt lemezéről PowerShell vagy REST API-k használatával. A biztonsági mentési szkripteket rendszeres időközönként Azure Automation is végrehajthatja.
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Backup engedélyezni kell a Virtual Machines | Az Azure Virtual Machines védelmének biztosítása a Azure Backup engedélyezésével. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Letiltva | 2.0.0 |
9.2: A rendszer teljes biztonsági mentése és az ügyfél által felügyelt kulcsok biztonsági mentése
Útmutató: Pillanatképek készítése az Azure-beli virtuális gépekről vagy az ezekhez a példányokhoz csatolt felügyelt lemezekről a PowerShell vagy REST API-k használatával. Az Azure Key Vault ügyfél által felügyelt kulcsok biztonsági mentése.
Engedélyezze Azure Backup és célKént az Azure Virtual Machines (VM), valamint a kívánt gyakoriságot és megőrzési időtartamot. Ez magában foglalja a rendszerállapot teljes biztonsági mentését. Ha Azure-beli lemeztitkosítást használ, az Azure-beli virtuális gép biztonsági mentése automatikusan kezeli az ügyfél által felügyelt kulcsok biztonsági mentését.
Biztonsági mentés titkosítást használó Azure-beli virtuális gépeken
Az Azure-beli virtuális gépek biztonsági mentésének áttekintése
Pillanatkép készítése a virtuálisgép-méretezési csoport példányáról és a felügyelt lemezről
Felelősség: Ügyfél
Microsoft Defender a felhőhöz: Az Azure Security Benchmark a Microsoft Defender for Cloud alapértelmezett szabályzatkezdeményozása, amely a Microsoft Defender for Cloud ajánlásainak alapja. A vezérlőhöz kapcsolódó Azure Policy definíciókat a Microsoft Defender for Cloud automatikusan engedélyezi. A vezérlőhöz kapcsolódó riasztásokhoz Microsoft Defender-csomagra lehet szükség a kapcsolódó szolgáltatásokhoz.
Azure Policy beépített definíciók – Microsoft.Compute:
| Name (Név) (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Backup engedélyezni kell a Virtual Machines | Az Azure Virtual Machines védelmének biztosítása a Azure Backup engedélyezésével. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Letiltva | 2.0.0 |
9.3: Az összes biztonsági mentés ellenőrzése, beleértve az ügyfél által felügyelt kulcsokat is
Útmutató: A felügyelt lemez adat-visszaállításának rendszeres végrehajtásának biztosítása Azure Backup belül. Ha szükséges, tesztelje a tartalom visszaállítását egy elkülönített virtuális hálózatra vagy előfizetésre. Az ügyfél teszteli az ügyfél által felügyelt biztonsági mentési kulcsok visszaállítását.
Ha Azure-beli lemeztitkosítást használ, a lemeztitkosítási kulcsokkal visszaállíthatja a virtuálisgép-méretezési csoportokat. Lemeztitkosítás használatakor visszaállíthatja az Azure-beli virtuális gépet a lemeztitkosítási kulcsokkal.
Biztonsági mentés titkosítást használó Azure-beli virtuális gépeken
Lemez visszaállítása és helyreállított virtuális gép létrehozása az Azure-ban
Lemeztitkosítás engedélyezése az Azure Virtual Machine Scale Sets
Felelősség: Ügyfél
9.4: A biztonsági másolatok és az ügyfél által kezelt kulcsok védelmének biztosítása
Útmutató: Felügyelt lemez törlés elleni védelmének engedélyezése zárolásokkal. Engedélyezze Soft-Delete és törölje a védelmet Key Vault a kulcsok véletlen vagy rosszindulatú törlés elleni védelméhez.
Erőforrások zárolása a váratlan módosítások megelőzése érdekében
Az Azure Key Vault helyreállítható törlés és végleges törlés elleni védelem áttekintése
Felelősség: Ügyfél
Incidensmegoldás
További információ: Azure Security Benchmark: Incidensek kezelése.
10.1: Incidensmegoldási útmutató létrehozása
Útmutató: Alakítson ki incidenskezelési útmutatót a vállalat számára. Gondoskodjon írásos incidenskezelési tervekről, amelyek definiálják az összes résztvevő szerepkörét, valamint az incidenskezelés fázisait az észleléstől az incidens utáni értékelésig.
Felelősség: Ügyfél
10.2: Incidenspontozási és rangsorolási eljárás létrehozása
Útmutató: A Microsoft Defender for Cloud minden riasztáshoz hozzárendel egy súlyosságot, így könnyebben rangsorolhatja, hogy mely riasztásokat kell először megvizsgálni. A súlyosság azon alapul, hogy a Microsoft Defender for Cloud mennyire bízik a riasztás keresésében vagy metrikájában, valamint azon megbízhatósági szinten, hogy a riasztáshoz vezető tevékenység mögött rosszindulatú szándék áll.
Emellett egyértelműen jelöljön meg előfizetéseket (például éles környezetben, nem prod) címkék használatával, és hozzon létre egy elnevezési rendszert az Azure-erőforrások egyértelmű azonosításához és kategorizálásához, különösen a bizalmas adatokat feldolgozók számára. Az Ön felelőssége, hogy rangsorolja a riasztások megoldását azon Azure-erőforrások és -környezetek kritikussága alapján, ahol az incidens történt.
Felelősség: Ügyfél
10.3: Biztonsági reagálási eljárások tesztelése
Útmutató: Gyakorlatok végrehajtása a rendszerek incidensmegoldási képességeinek rendszeres teszteléséhez az Azure-erőforrások védelme érdekében. Azonosítsa a gyenge pontokat és réseket, és szükség esetén dolgozza át a tervet.
Felelősség: Ügyfél
10.4: Biztonsági incidens kapcsolattartási adatainak megadása és riasztási értesítések konfigurálása biztonsági incidensekhez
Útmutató: A Biztonsági incidensek kapcsolattartási adatait a Microsoft arra használja fel, hogy kapcsolatba lépjen Önnel, ha a Microsoft Security Response Center (MSRC) észleli, hogy adatait egy jogellenes vagy jogosulatlan fél férte hozzá. A problémák megoldásának biztosítása érdekében tekintse át az incidenseket.
Felelősség: Ügyfél
10.5: Biztonsági riasztások beépítése az incidensmegoldási rendszerbe
Útmutató: Exportálja a Microsoft Defender for Cloud riasztásait és javaslatait a Folyamatos exportálás funkcióval az Azure-erőforrásokra vonatkozó kockázatok azonosításához. A folyamatos exportálás lehetővé teszi a riasztások és javaslatok manuális vagy folyamatos exportálását. A Microsoft Defender for Cloud adatösszekötőjével streamelheti a riasztásokat a Microsoft Sentinelnek.
Felelősség: Ügyfél
10.6: A biztonsági riasztásokra adott válasz automatizálása
Útmutató: A Microsoft Defender for Cloud munkafolyamat-automatizálási funkciójával automatikusan aktiválhat válaszokat a "Logic Apps" használatával a biztonsági riasztásokra és javaslatokra vonatkozóan az Azure-erőforrások védelme érdekében.
Felelősség: Ügyfél
Behatolási tesztek és Red Team-gyakorlatok
További információ: Azure Security Benchmark: Behatolási tesztek és piros csapat gyakorlatok.
11.1: Az Azure-erőforrások rendszeres behatolástesztelése és az összes kritikus biztonsági megállapítás szervizelése
Útmutató: Kövesse a Microsoft előjegyzési szabályait annak ellenőrzéséhez, hogy a behatolási tesztek nem sértik-e a Microsoft szabályzatait. Használja a Microsoft stratégiáját és a Red Teaming és az élő webhely behatolási tesztelését a Microsoft által felügyelt felhőinfrastruktúrán, szolgáltatásokon és alkalmazásokon.
Felelősség: Megosztott
Következő lépések
- Az Azure Security Benchmark v2 áttekintésének megtekintése
- További tudnivalók az Azure biztonsági alapterveiről