Aanbevelingen voor beveiliging

Artikel
04/01/2024

In dit artikel worden alle beveiligingsaanaanvelingen vermeld die u in Microsoft Defender voor Cloud kunt zien. De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.

Aanbevelingen in Defender voor Cloud zijn gebaseerd op de Microsoft-cloudbeveiligingsbenchmark. De Microsoft-cloudbeveiligingsbenchmark is de door Microsoft geschreven set richtlijnen voor aanbevolen procedures voor beveiliging en naleving. Deze breed gerespecteerde benchmark bouwt voort op controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.

Uw beveiligingsscore is gebaseerd op het aantal beveiligingsaan aanbevelingen dat u hebt voltooid. Als u wilt bepalen welke aanbevelingen u het eerst wilt oplossen, bekijkt u de ernst van elke aanbeveling en de mogelijke impact ervan op uw beveiligingsscore.

Tip

Als de beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling en het bijbehorende beleid.

De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er zelfs een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van het beleid tot alleen de basisaanbeveling vereenvoudigt het beheer van beleid.

Aanbevelingen voor AppServices

API-app mag alleen toegankelijk zijn via HTTPS

Beschrijving: Het gebruik van HTTPS zorgt voor server-/serviceverificatie en beveiligt gegevens die worden verzonden tegen aanvallen via de netwerklaag. (Gerelateerd beleid: API-app mag alleen toegankelijk zijn via HTTPS).

Ernst: gemiddeld

CORS mag niet toestaan dat elke resource toegang heeft tot API-apps

Beschrijving: CORS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw API-app. Sta alleen de vereiste domeinen toe om met uw API-app te communiceren. (Gerelateerd beleid: CORS mag niet toestaan dat elke resource toegang heeft tot uw API-app).

Ernst: Laag

CORS mag niet toestaan dat elke resource toegang heeft tot functie-apps

Beschrijving: CORS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw functie-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. (Gerelateerd beleid: CORS mag niet toestaan dat elke resource toegang heeft tot uw functie-apps).

Ernst: Laag

CORS mag niet toestaan dat elke resource toegang heeft tot webtoepassingen

Beschrijving: CORS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw webtoepassing. Sta alleen de vereiste domeinen toe om met uw web-app te communiceren. (Gerelateerd beleid: CORS mag niet toestaan dat elke resource toegang heeft tot uw webtoepassingen).

Ernst: Laag

Diagnostische logboeken in App Service moeten zijn ingeschakeld

Beschrijving: Het inschakelen van diagnostische logboeken in de app controleren. Hiermee kunt u activiteitentrails opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast (geen gerelateerd beleid).

Ernst: gemiddeld

Controleren of voor de API-app clientcertificaten inkomende clientcertificaten zijn ingesteld op Aan

Beschrijving: Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. (Gerelateerd beleid: Zorg ervoor dat voor de API-app clientcertificaten (inkomende clientcertificaten) zijn ingesteld op 'Aan').

Ernst: gemiddeld

FTPS moet vereist zijn in API-apps

Beschrijving: FTPS-afdwinging inschakelen voor verbeterde beveiliging (gerelateerd beleid: FTPS mag alleen vereist zijn in uw API-app).

Ernst: Hoog

FTPS moet vereist zijn in functie-apps

Beschrijving: FTPS-afdwinging inschakelen voor verbeterde beveiliging (gerelateerd beleid: FTPS mag alleen vereist zijn in uw functie-app).

Ernst: Hoog

FTPS moet vereist zijn in web-apps

Beschrijving: FTPS-afdwinging inschakelen voor verbeterde beveiliging (gerelateerd beleid: FTPS moet vereist zijn in uw web-app).

Ernst: Hoog

Function-app mag alleen toegankelijk zijn via HTTPS

Ernst: gemiddeld

Voor functie-apps moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld

Beschrijving: Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. (Gerelateerd beleid: Voor functie-apps moet clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld.

Ernst: gemiddeld

Java moet worden bijgewerkt naar de nieuwste versie voor API-apps

Beschrijving: Periodiek worden nieuwere versies uitgebracht voor Java vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste Python-versie voor API-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-app).

Ernst: gemiddeld

Beheerde identiteit moet worden gebruikt in API-apps

Beschrijving: Gebruik een beheerde identiteit voor verbeterde verificatiebeveiliging. In Azure elimineren beheerde identiteiten de noodzaak voor ontwikkelaars om referenties te beheren door een identiteit voor de Azure-resource in Azure AD op te geven en deze te gebruiken voor het verkrijgen van Azure AD-tokens (Azure Active Directory). (Gerelateerd beleid: Beheerde identiteit moet worden gebruikt in uw API-app).

Ernst: gemiddeld

Beheerde identiteit moet worden gebruikt in functie-apps

Ernst: gemiddeld

Beheerde identiteit moet worden gebruikt in web-apps

Ernst: gemiddeld

Microsoft Defender voor App Service moet zijn ingeschakeld

Beschrijving: Microsoft Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende web-app-aanvallen. Microsoft Defender voor App Service kan aanvallen op uw toepassingen detecteren en opkomende aanvallen identificeren.

Belangrijk: Als u deze aanbeveling herstelt, worden er kosten in rekening gebracht voor het beveiligen van uw App Service-plannen. Als u geen App Service-abonnementen in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst App Service-abonnementen maakt voor dit abonnement, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie vindt u in Uw web-apps en API's beveiligen. (Gerelateerd beleid: Azure Defender voor App Service moet zijn ingeschakeld).

Ernst: Hoog

PHP moet worden bijgewerkt naar de nieuwste versie voor API-apps

Beschrijving: Periodiek worden nieuwere versies uitgebracht voor PHP-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste PHP-versie voor API-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de PHP-versie de meest recente is, als deze wordt gebruikt als onderdeel van de API-app).

Ernst: gemiddeld

Python moet worden bijgewerkt naar de nieuwste versie voor API-apps

Beschrijving: Periodiek worden nieuwere versies uitgebracht voor Python-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste Python-versie voor API-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de Python-versie de meest recente is, als deze wordt gebruikt als onderdeel van de API-app).

Ernst: gemiddeld

Externe foutopsporing moet worden uitgeschakeld voor API-app

Beschrijving: Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een API-app. Externe foutopsporing moet worden uitgeschakeld. (Gerelateerd beleid: Externe foutopsporing moet worden uitgeschakeld voor API-apps).

Ernst: Laag

Externe foutopsporing moet worden uitgeschakeld voor functie-app

Beschrijving: Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een Azure Function-app. Externe foutopsporing moet worden uitgeschakeld. (Gerelateerd beleid: Externe foutopsporing moet worden uitgeschakeld voor Functie-apps).

Ernst: Laag

Externe foutopsporing moet worden uitgeschakeld voor webtoepassingen

Beschrijving: Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een webtoepassing. Externe foutopsporing is momenteel uitgeschakeld. Als u externe foutopsporing niet meer nodig hebt, dient u dit uit te schakelen. (Gerelateerd beleid: Externe foutopsporing moet worden uitgeschakeld voor webtoepassingen).

Ernst: Laag

TLS moet worden bijgewerkt naar de nieuwste versie voor API-apps

Beschrijving: Voer een upgrade uit naar de nieuwste TLS-versie. (Gerelateerd beleid: De nieuwste TLS-versie moet worden gebruikt in uw API-app).

Ernst: Hoog

TLS moet worden bijgewerkt naar de nieuwste versie voor functie-apps

Beschrijving: Voer een upgrade uit naar de nieuwste TLS-versie. (Gerelateerd beleid: De nieuwste TLS-versie moet worden gebruikt in uw functie-app).

Ernst: Hoog

TLS moet worden bijgewerkt naar de nieuwste versie voor web-apps

Beschrijving: Voer een upgrade uit naar de nieuwste TLS-versie. (Gerelateerd beleid: De nieuwste TLS-versie moet worden gebruikt in uw web-app).

Ernst: Hoog

Webtoepassing mag alleen toegankelijk zijn via HTTPS

Ernst: gemiddeld

Web-apps moeten een SSL-certificaat aanvragen voor alle binnenkomende aanvragen

Beschrijving: Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. (Gerelateerd beleid: Zorg ervoor dat de WEB-app 'Clientcertificaten (inkomende clientcertificaten)' heeft ingesteld op 'Aan').

Ernst: gemiddeld

Aanbevelingen voor rekenkracht

Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers

Beschrijving: Schakel toepassingsbesturingselementen in om de lijst met bekende veilige toepassingen op uw computers te definiëren en waarschuw u wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Defender voor Cloud machine learning om de toepassingen te analyseren die op elke machine worden uitgevoerd en om de lijst met bekende veilige toepassingen voor te stellen. (Gerelateerd beleid: Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten zijn ingeschakeld op uw computers).

Ernst: Hoog

De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt

Beschrijving: Controleren op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Defender voor Cloud. Defender voor Cloud machine learning gebruikt om de actieve processen op uw machines te analyseren en een lijst met bekende veilige toepassingen voor te stellen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. (Gerelateerd beleid: Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt.

Ernst: Hoog

Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist

Beschrijving: Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie vindt u in gedetailleerde stappen: SSH-sleutels maken en beheren voor verificatie bij een Virtuele Linux-machine in Azure. (Gerelateerd beleid: Linux-machines controleren die geen SSH-sleutel gebruiken voor verificatie).

Ernst: gemiddeld

Automation-accountvariabelen moeten worden versleuteld

Beschrijving: Het is belangrijk om versleuteling van variabele activa van automation-accounts in te schakelen bij het opslaan van gevoelige gegevens. (Gerelateerd beleid: Automation-accountvariabelen moeten worden versleuteld).

Ernst: Hoog

Azure Backup moet zijn ingeschakeld voor virtuele machines

Beschrijving: Beveilig de gegevens op uw virtuele Azure-machines met Azure Backup. Azure Backup is een Azure-systeemeigen, voordelige oplossing voor gegevensbescherming. Het maakt herstelpunten die worden opgeslagen in geografisch redundante Recovery Services-kluizen. Wanneer u vanaf een herstelpunt herstelt, kunt u de hele VM of specifieke bestanden herstellen. (Gerelateerd beleid: Azure Backup moet zijn ingeschakeld voor virtuele machines).

Ernst: Laag

Containerhosts moeten veilig worden geconfigureerd

Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in containerbeveiligingsconfiguraties moeten worden hersteld).

Ernst: Hoog

Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld

Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in Batch-accounts moeten worden ingeschakeld

Ernst: Laag

Diagnostische logboeken in Event Hubs moeten zijn ingeschakeld

Ernst: Laag

Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld

Beschrijving: Schakel logboekregistratie in om ervoor te zorgen dat u activiteitentrails kunt maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of uw netwerk is aangetast. Als uw diagnostische logboeken niet worden verzonden naar een Log Analytics-werkruimte, Azure Storage-account of Azure Event Hubs, moet u ervoor zorgen dat u diagnostische instellingen hebt geconfigureerd om metrische platformgegevens en platformlogboeken naar de relevante bestemmingen te verzenden. Meer informatie vindt u in Diagnostische instellingen voor het verzenden van platformlogboeken en metrische gegevens naar verschillende bestemmingen. (Gerelateerd beleid: Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld).

Ernst: Laag

Diagnostische logboeken in zoekservices moeten zijn ingeschakeld

Ernst: Laag

Diagnostische logboeken in Service Bus moeten zijn ingeschakeld

Ernst: Laag

Diagnostische logboeken in Microsoft Azure Virtual Machine Scale Sets moeten zijn ingeschakeld

Ernst: Hoog

EDR-configuratieproblemen moeten worden opgelost op virtuele machines

Beschrijving: Los alle geïdentificeerde configuratieproblemen met de geïnstalleerde EDR-oplossing (Endpoint Detection and Response) op om virtuele machines te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen.
Opmerking: Deze aanbeveling is momenteel alleen van toepassing op resources waarvoor MDE (Microsoft Defender voor Eindpunt) is ingeschakeld.

Ernst: Laag

De EDR-oplossing moet worden geïnstalleerd op virtuele machines

Beschrijving: Het installeren van een EDR-oplossing (Endpoint Detection and Response) op virtuele machines is belangrijk voor bescherming tegen geavanceerde bedreigingen. EDR's helpen bij het voorkomen, detecteren, onderzoeken en reageren op deze bedreigingen. Microsoft Defender voor Servers kan worden gebruikt om Microsoft Defender voor Eindpunt te implementeren. Als een resource is geclassificeerd als 'Niet in orde', geeft dit aan dat er geen ondersteunde EDR-oplossing is. Als een EDR-oplossing is geïnstalleerd maar niet kan worden gedetecteerd door deze aanbeveling, kan deze worden uitgesloten. Zonder een EDR-oplossing lopen de virtuele machines risico op geavanceerde bedreigingen.

Ernst: Hoog

Statusproblemen met Endpoint Protection in virtuele-machineschaalsets moeten worden opgelost

Beschrijving: Herstel statusfouten in eindpuntbeveiliging op uw virtuele-machineschaalsets om deze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets).

Ernst: Laag

Endpoint Protection moet worden geïnstalleerd op virtuele-machineschaalsets

Beschrijving: Installeer een oplossing voor eindpuntbeveiliging op uw virtuele-machineschaalsets om deze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets).

Ernst: Hoog

Bewaking van bestandsintegriteit moet zijn ingeschakeld op computers

Beschrijving: Defender voor Cloud heeft machines geïdentificeerd die een bewakingsoplossing voor bestandsintegriteit missen. Als u wijzigingen in kritieke bestanden, registersleutels en meer op uw servers wilt bewaken, schakelt u bewaking van bestandsintegriteit in. Wanneer de bewakingsoplossing voor bestandsintegriteit is ingeschakeld, maakt u regels voor gegevensverzameling om de bestanden te definiëren die moeten worden bewaakt. Als u regels wilt definiëren of de bestanden wilt zien die zijn gewijzigd op computers met bestaande regels, gaat u naar de beheerpagina voor bewaking van bestandsintegriteit. (Geen gerelateerd beleid)

Ernst: Hoog

De gastattestextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machineschaalsets

Beschrijving: Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets van Linux, zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele Linux-machineschaalsets met vertrouwde startmogelijkheden.

Belangrijk: Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze. Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)

Ernst: Laag

De Gastat attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines

Beschrijving: Installeer de extensie gastverklaring op ondersteunde virtuele Linux-machines om Microsoft Defender voor Cloud proactief te bevestigen en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele Linux-machines met vertrouwde startmogelijkheden.

Ernst: Laag

De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele-machineschaalsets van Windows

Beschrijving: Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets, zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele-machineschaalsets met vertrouwde startmogelijkheden.

Ernst: Laag

De Gast attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Windows-machines

Beschrijving: Installeer de extensie gastverklaring op ondersteunde virtuele machines zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden.

Ernst: Laag

De extensie voor gastconfiguratie moet worden geïnstalleerd op computers

Beschrijving: Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra dit is geïnstalleerd, is beleid voor in-guest beschikbaar, zoals Windows Exploit Guard, moet zijn ingeschakeld. (Gerelateerd beleid: Virtuele machines moeten de extensie Gastconfiguratie hebben).

Ernst: gemiddeld

Oplossing voor eindpuntbeveiliging installeren op virtuele machines

Beschrijving: Installeer een oplossing voor eindpuntbeveiliging op uw virtuele machines om deze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Ontbrekende Endpoint Protection bewaken in Azure Security Center).

Ernst: Hoog

Virtuele Linux-machines moeten validatie van kernelmodulehandtekening afdwingen

Beschrijving: Om te helpen beperken tegen de uitvoering van schadelijke of niet-geautoriseerde code in de kernelmodus, dwingt u validatie van kernelmodulehandtekening af op ondersteunde virtuele Linux-machines. Validatie van kernelmodulehandtekening zorgt ervoor dat alleen vertrouwde kernelmodules mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)

Ernst: Laag

Virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken

Beschrijving: Als Beveiligd opstarten is ingeschakeld, moeten alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. (Geen gerelateerd beleid)

Ernst: Laag

Virtuele Linux-machines moeten beveiligd opstarten gebruiken

Beschrijving: Schakel Secure Boot in op ondersteunde virtuele Linux-machines om te beschermen tegen de installatie van op malware gebaseerde rootkits en opstartkits. Beveiligd opstarten zorgt ervoor dat alleen ondertekende besturingssystemen en stuurprogramma's mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)

Ernst: Laag

De Log Analytics-agent moet worden geïnstalleerd op Linux-computers met Azure Arc

Beschrijving: Defender voor Cloud de Log Analytics-agent (ook wel BEKEND als OMS) gebruikt om beveiligingsevenementen van uw Azure Arc-machines te verzamelen. Als u de agent op al uw Azure Arc-computers wilt implementeren, volgt u de herstelstappen. (Geen gerelateerd beleid)

Ernst: Hoog

De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsets

Beschrijving: Defender voor Cloud verzamelt gegevens van uw virtuele Azure-machines (VM's) om te controleren op beveiligingsproblemen en bedreigingen. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens voor analyse naar uw werkruimte kopieert. U moet deze procedure ook volgen als uw VM's worden gebruikt door een door Azure beheerde service, zoals Azure Kubernetes Service of Azure Service Fabric. U kunt het automatisch inrichten van de agent voor virtuele-machineschaalsets van Azure niet configureren. Volg de procedure in de herstelstappen om de agent te implementeren in virtuele-machineschaalsets (inclusief de services die worden gebruikt door Azure beheerde services, zoals de Azure Kubernetes Service en Azure Service Fabric). (Gerelateerd beleid: De Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor bewaking van Azure Security Center).

Ernst: Hoog

De Log Analytics-agent moet worden geïnstalleerd op virtuele machines

Beschrijving: Defender voor Cloud verzamelt gegevens van uw virtuele Azure-machines (VM's) om te controleren op beveiligingsproblemen en bedreigingen. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens voor analyse naar uw Log Analytics-werkruimte kopieert. Deze agent is ook vereist als uw VM's worden gebruikt door een door Azure beheerde service, zoals Azure Kubernetes Service of Azure Service Fabric. U wordt aangeraden automatische inrichting te configureren om de agent automatisch te implementeren. Als u ervoor kiest geen automatische inrichting te gebruiken, implementeert u de agent handmatig op uw virtuele machines met behulp van de instructies in de herstelstappen. (Gerelateerd beleid: De Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor bewaking van Azure Security Center).

Ernst: Hoog

De Log Analytics-agent moet worden geïnstalleerd op Windows-computers met Azure Arc

Beschrijving: Defender voor Cloud de Log Analytics-agent (ook wel bekend als MMA) gebruikt om beveiligingsevenementen van uw Azure Arc-machines te verzamelen. Als u de agent op al uw Azure Arc-computers wilt implementeren, volgt u de herstelstappen. (Geen gerelateerd beleid)

Ernst: Hoog

Machines moeten veilig worden geconfigureerd

Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw computers om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld.

Ernst: Laag

Machines moeten opnieuw worden opgestart om beveiligingsupdates toe te passen

Beschrijving: Als u beveiligingsupdates wilt toepassen en bescherming wilt bieden tegen beveiligingsproblemen, start u uw computers opnieuw op. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)

Ernst: Laag

Machines moeten een oplossing voor evaluatie van beveiligingsproblemen hebben

Beschrijving: Defender voor Cloud controleert regelmatig uw verbonden machines om ervoor te zorgen dat ze hulpprogramma's voor evaluatie van beveiligingsproblemen uitvoeren. Gebruik deze aanbeveling om een oplossing voor evaluatie van beveiligingsproblemen te implementeren. (Gerelateerd beleid: Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines).

Ernst: gemiddeld

Op computers moeten de resultaten van beveiligingsproblemen zijn opgelost

Beschrijving: Los de bevindingen van de oplossingen voor evaluatie van beveiligingsproblemen op uw virtuele machines op. (Gerelateerd beleid: Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines).

Ernst: Laag

Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer

Beschrijving: Defender voor Cloud heeft een aantal te ruime regels voor inkomend verkeer voor beheerpoorten in uw netwerkbeveiligingsgroep geïdentificeerd. Schakel Just-In-Time-toegangsbeheer in om uw VM te beschermen tegen beveiligingsaanvallen van internet. Meer informatie over Just-In-Time -VM-toegang (JIT). (Gerelateerd beleid: Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer).

Ernst: Hoog

Microsoft Defender voor servers moet zijn ingeschakeld

Beschrijving: Microsoft Defender voor servers biedt realtime bedreigingsbeveiliging voor uw serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw servers te verbeteren.

Belangrijk: Als u deze aanbeveling herstelt, worden er kosten in rekening gebracht voor het beveiligen van uw servers. Als u geen servers voor dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst servers voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten vanaf dat moment berekend. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Gerelateerd beleid: Azure Defender voor servers moet zijn ingeschakeld).

Ernst: Hoog

Microsoft Defender voor servers moet zijn ingeschakeld voor werkruimten

Beschrijving: Microsoft Defender voor servers biedt detectie van bedreigingen en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor servers, maar mist u enkele van de voordelen. Wanneer u Microsoft Defender voor servers in een werkruimte inschakelt, worden alle computers die aan die werkruimte rapporteren gefactureerd voor Microsoft Defender voor servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender ook inschakelt voor servers in het abonnement, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Geen gerelateerd beleid)

Ernst: gemiddeld

Beveiligd opstarten moet zijn ingeschakeld op ondersteunde virtuele Windows-machines

Beschrijving: Schakel Beveiligd opstarten in op ondersteunde virtuele Windows-machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Windows-machines met vertrouwde startmogelijkheden.

Ernst: Laag

Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign

Beschrijving: Service Fabric biedt drie beveiligingsniveaus (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten met behulp van een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend. (Gerelateerd beleid: Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign).

Ernst: Hoog

Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie

Beschrijving: Voer alleen clientverificatie uit via Azure Active Directory in Service Fabric (gerelateerd beleid: Service Fabric-clusters mogen alleen Azure Active Directory gebruiken voor clientverificatie).

Ernst: Hoog

Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd

Beschrijving: Installeer ontbrekende systeembeveiliging en essentiële updates om uw virtuele-machineschaalsets van Windows en Linux te beveiligen. (Gerelateerd beleid: Systeemupdates voor virtuele-machineschaalsets moeten worden geïnstalleerd).

Ernst: Hoog

Systeemupdates moeten op uw computers worden geïnstalleerd

Beschrijving: Installeer ontbrekende systeembeveiliging en essentiële updates om uw virtuele Windows- en Linux-machines en -computers te beveiligen (gerelateerd beleid: Systeemupdates moeten worden geïnstalleerd op uw machines).

Ernst: Hoog

Er moeten systeemupdates worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center)

Beschrijving: Er ontbreken systeem-, beveiligings- en essentiële updates op uw computers. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. (Geen gerelateerd beleid)

Ernst: Hoog

Virtuele-machineschaalsets moeten veilig worden geconfigureerd

Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw virtuele-machineschaalsets om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in de beveiligingsconfiguratie op uw virtuele-machineschaalsets moeten worden hersteld.

Ernst: Hoog

Status van gastverklaring van virtuele machines moet in orde zijn

Beschrijving: Guest Attestation wordt uitgevoerd door een vertrouwd logboek (TCGLog) naar een attestation-server te verzenden. De server gebruikt deze logboeken om te bepalen of opstartonderdelen betrouwbaar zijn. Deze evaluatie is bedoeld om inbreuk op de opstartketen te detecteren, wat het gevolg kan zijn van een bootkit- of rootkit-infectie. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden waarop de extensie Guest Attestation is geïnstalleerd. (Geen gerelateerd beleid)

Ernst: gemiddeld

De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit

Beschrijving: Voor de extensie voor gastconfiguratie is een door het systeem toegewezen beheerde identiteit vereist. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie (gerelateerd beleid: Extensie voor gastconfiguratie moet worden geïmplementeerd op virtuele Azure-machines met door het systeem toegewezen beheerde identiteit).

Ernst: gemiddeld

Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources

Beschrijving: Virtuele machines (klassiek) zijn afgeschaft en deze VM's moeten worden gemigreerd naar Azure Resource Manager. Omdat Azure Resource Manager nu over volledige IaaS-mogelijkheden en andere geavanceerde functies beschikt, is het beheer van virtuele IaaS-machines (VM's) via Azure Service Manager (ASM) op 28 februari 2020 afgeschaft. Deze functie wordt volledig buiten gebruik gesteld op 1 maart 2023.

Als u alle betrokken klassieke VM's wilt weergeven, moet u alle Azure-abonnementen selecteren op het tabblad Mappen en abonnementen.

Beschikbare resources en informatie over dit hulpprogramma en deze migratie: Overzicht van afschaffing van virtuele machines (klassiek), stapsgewijs proces voor migratie en beschikbare Microsoft-resources.Details over migratie naar Azure Resource Manager-migratieprogramma.Migreren naar azure Resource Manager-migratieprogramma met behulp van PowerShell. (Gerelateerd beleid: Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources).

Ernst: Hoog

Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen

Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Zie voor een vergelijking van verschillende schijfversleutelingstechnologieën in Azure https://aka.ms/diskencryptioncomparison. Gebruik Azure Disk Encryption om al deze gegevens te versleutelen. Negeer deze aanbeveling als:

U gebruikt de functie versleuteling op host of 2. Versleuteling van Managed Disks aan de serverzijde voldoet aan uw beveiligingsvereisten. Meer informatie over versleuteling aan de serverzijde van Azure Disk Storage. (Gerelateerd beleid: Schijfversleuteling moet worden toegepast op virtuele machines)

Ernst: Hoog

vTPM moet zijn ingeschakeld op ondersteunde virtuele machines

Beschrijving: Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstarten en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden.

Ernst: Laag

Beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)

Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Linux-machines moeten voldoen aan de vereisten voor de Azure-beveiligingsbasislijn).

Ernst: Laag

Beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)

Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers om ze te beschermen tegen aanvallen. (Geen gerelateerd beleid)

Ernst: Laag

Windows Defender Exploit Guard moet zijn ingeschakeld op computers

Beschrijving: Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). (Gerelateerd beleid: Windows-machines controleren waarop Windows Defender Exploit Guard niet is ingeschakeld).

Ernst: gemiddeld

Windows-webservers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen

Beschrijving: Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen machines te versleutelen. (Gerelateerd beleid: Windows-webservers controleren die geen beveiligde communicatieprotocollen gebruiken).

Ernst: Hoog

[Preview]: Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen

Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. (Gerelateerd beleid: [Preview]: Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen.

Ernst: Hoog

[Preview]: Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen

Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. (Gerelateerd beleid: [Preview]: Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen.

Ernst: Hoog

Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host

Beschrijving: Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie vindt u in Azure Portal om end-to-end-versleuteling in te schakelen met behulp van versleuteling op de host. (Gerelateerd beleid: Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host).

Ernst: gemiddeld

(Preview) Azure Stack HCI-servers moeten voldoen aan vereisten voor beveiligde kernen

Beschrijving: Zorg ervoor dat alle Azure Stack HCI-servers voldoen aan de vereisten voor beveiligde kernen. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).

Ernst: Laag

(Preview) Azure Stack HCI-servers moeten consistent beleid voor toepassingsbeheer hebben afgedwongen

Beschrijving: Pas minimaal het Microsoft WDAC-basisbeleid toe in de afgedwongen modus op alle Azure Stack HCI-servers. Toegepaste WDAC-beleidsregels (Windows Defender Application Control) moeten consistent zijn op alle servers in hetzelfde cluster. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).

Ernst: Hoog

(Preview) Azure Stack HCI-systemen moeten versleutelde volumes hebben

Beschrijving: Gebruik BitLocker om het besturingssysteem en gegevensvolumes op Azure Stack HCI-systemen te versleutelen. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).

Ernst: Hoog

(Preview) Host- en VM-netwerken moeten worden beveiligd op Azure Stack HCI-systemen

Beschrijving: Gegevens beveiligen op het netwerk van de Azure Stack HCI-host en op netwerkverbindingen van virtuele machines. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).

Ernst: Laag

Containeraanbevelingen

[Preview] Containerinstallatiekopieën in Het Azure-register moeten gevonden beveiligingsproblemen hebben opgelost

Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

[Preview] Containers die worden uitgevoerd in Azure, moeten gevonden beveiligingsproblemen hebben opgelost

Beschrijving: Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de installatiekopieën te koppelen die worden gebruikt en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.

Ernst: Hoog

Type: Evaluatie van beveiligingsproblemen

(Inschakelen indien nodig) Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)

Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/acr/CMK. (Gerelateerd beleid: Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK).

Ernst: Laag

Type: Besturingsvlak

Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd

Beschrijving: Azure Policy-extensie voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Besturingsvlak

Voor Kubernetes-clusters met Azure Arc moet de Defender-extensie zijn geïnstalleerd

Beschrijving: Defender's extensie voor Azure Arc biedt bedreigingsbeveiliging voor uw Kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten van het besturingsvlak (master) in het cluster en verzendt deze naar de back-end van Microsoft Defender voor Kubernetes in de cloud voor verdere analyse. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Besturingsvlak

Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld

Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u het Profiel SecurityProfile.AzureDefender inschakelt in uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie vindt u in Inleiding tot Microsoft Defender for Containers. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Besturingsvlak

Voor Azure Kubernetes Service-clusters moet de Azure Policy-invoegtoepassing voor Kubernetes zijn geïnstalleerd

Beschrijving: Azure Policy-invoegtoepassing voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. Defender voor Cloud vereist dat de invoegtoepassing beveiligingsmogelijkheden en naleving binnen uw clusters controleert en afdwingt. Meer informatie. Vereist Kubernetes v1.14.0 of hoger. (Gerelateerd beleid: De Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters.

Ernst: Hoog

Type: Besturingsvlak

Containerregisters mogen geen onbeperkte netwerktoegang toestaan

Beschrijving: Azure-containerregisters accepteren standaard verbindingen via internet vanaf hosts op elk netwerk. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/portal/public-network en hier https://aka.ms/acr/vnet. (Gerelateerd beleid: Containerregisters mogen geen onbeperkte netwerktoegang toestaan).

Ernst: gemiddeld

Type: Besturingsvlak

Containerregisters moeten een privékoppeling gebruiken

Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw containerregisters in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. (Gerelateerd beleid: Containerregisters moeten gebruikmaken van private link).

Ernst: gemiddeld

Type: Besturingsvlak

Diagnostische logboeken in Kubernetes-services moeten zijn ingeschakeld

Beschrijving: Schakel diagnostische logboeken in uw Kubernetes-services in en bewaar ze maximaal een jaar. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt. (Geen gerelateerd beleid)

Ernst: Laag

Type: Besturingsvlak

Kubernetes-API-server moet worden geconfigureerd met beperkte toegang

Beschrijving: Als u ervoor wilt zorgen dat alleen toepassingen van toegestane netwerken, machines of subnetten toegang hebben tot uw cluster, beperkt u de toegang tot uw Kubernetes-API-server. U kunt de toegang beperken door geautoriseerde IP-bereiken te definiëren of door uw API-servers in te stellen als privéclusters, zoals wordt uitgelegd in Een privé-Azure Kubernetes Service-cluster maken. (Gerelateerd beleid: Geautoriseerde IP-bereiken moeten worden gedefinieerd in Kubernetes Services).

Ernst: Hoog

Type: Besturingsvlak

Op rollen gebaseerd toegangsbeheer moet worden gebruikt voor Kubernetes Services

Beschrijving: Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. (Gerelateerd beleid: Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services.

Ernst: Hoog

Type: Besturingsvlak

Microsoft Defender voor containers moet zijn ingeschakeld

Beschrijving: Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multicloud Kubernetes-omgevingen. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.

Belangrijk: Als u deze aanbeveling herstelt, worden kosten in rekening gebracht voor het beveiligen van uw Kubernetes-clusters. Als u geen Kubernetes-clusters voor dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst Kubernetes-clusters voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie vindt u in Inleiding tot Microsoft Defender for Containers. (Geen gerelateerd beleid)

Ernst: Hoog

Type: Besturingsvlak

De CPU- en geheugenlimieten van containers moeten worden afgedwongen

Beschrijving: Het afdwingen van CPU- en geheugenlimieten voorkomt aanvallen op resources (een vorm van Denial of Service-aanval).

We raden u aan limieten voor containers in te stellen om ervoor te zorgen dat de container niet meer dan de geconfigureerde resourcelimiet gebruikt.

(Gerelateerd beleid: Zorg ervoor dat de limieten voor cpu- en geheugenresources van containers niet groter zijn dan de opgegeven limieten in het Kubernetes-cluster.

Ernst: gemiddeld