Onjuiste configuraties voorkomen met afdwingen/weigeren

Onjuiste beveiligingsconfiguraties zijn een belangrijke oorzaak van beveiligingsincidenten. Defender voor Cloud kan helpen bij het voorkomen van onjuiste configuraties van nieuwe resources met betrekking tot specifieke aanbevelingen.

Deze functie kan u helpen uw workloads veilig te houden en uw beveiligingsscore stabiel te houden.

Het afdwingen van een veilige configuratie op basis van een specifieke aanbeveling wordt aangeboden in twee modi:

  • Met behulp van de optie Weigeren van Azure Policy, kunt u het maken van resources die niet in orde zijn, stoppen
  • Met de optie Afdwingen kunt u profiteren van het effect DeployIfNotExist van Azure Policy en automatisch niet-compatibele resources herstellen bij het maken

Deze vindt u boven aan de pagina met resourcedetails voor geselecteerde beveiligingsaanvelingen (zie Aanbevelingen met opties voor weigeren/afdwingen).

Maken van resources voorkomen

  1. Open de aanbeveling waaraan uw nieuwe resources moeten voldoen en selecteer de knop Weigeren boven aan de pagina.

    Recommendation page with Deny button highlighted.

    Het configuratiedeelvenster wordt geopend met de bereikopties.

  2. Stel het bereik in door het relevante abonnement of de betreffende beheergroep te selecteren.

    Tip

    U kunt de drie puntjes aan het einde van de rij gebruiken om één abonnement te wijzigen of de selectievakjes gebruiken om meerdere abonnementen of groepen te selecteren en vervolgens Wijzigen in weigeren te selecteren.

    Setting the scope for Azure Policy deny.

Een beveiligde configuratie afdwingen

  1. Open de aanbeveling waarvoor u een sjabloonimplementatie implementeert als nieuwe resources er niet aan voldoen en selecteer de knop Afdwingen boven aan de pagina.

    Recommendation page with Enforce button highlighted.

    Het configuratiedeelvenster wordt geopend met alle beleidsconfiguratieopties.

    Enforce configuration options.

  2. Stel het bereik, de toewijzingsnaam en andere relevante opties in.

  3. Selecteer Controleren + maken.

Aanbevelingen met opties voor weigeren/afdwingen

Deze aanbevelingen kunnen worden gebruikt met de optie weigeren :

  • [Inschakelen indien nodig] Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
  • [Inschakelen indien nodig] Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
  • [Inschakelen indien nodig] Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK)
  • [Inschakelen indien nodig] Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
  • Toegang tot opslagaccounts met configuraties voor firewalls en virtuele netwerken moet worden beperkt
  • Automation-accountvariabelen moeten worden versleuteld
  • Azure Cache voor Redis moet zich in een virtueel netwerk bevinden
  • Azure Spring Cloud moet netwerkinjectie gebruiken
  • De CPU- en geheugenlimieten van containers moeten worden afgedwongen
  • Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers
  • Container met escalatie van bevoegdheden moet worden vermeden
  • Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
  • Containers mogen alleen op toegestane poorten luisteren (afgeschaft)
  • Containers mogen alleen toegestane AppArmor-profielen gebruiken
  • Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
  • Key Vault-sleutels moeten een vervaldatum hebben
  • Key Vault-geheimen moeten een vervaldatum hebben
  • Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizen
  • Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen
  • Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers
  • Bevoegde containers moeten worden vermeden
  • Redis Cache mag alleen toegang toestaan via SSL
  • Het uitvoeren van containers als hoofdgebruiker moet worden vermeden
  • Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld
  • Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign
  • Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie
  • Services mogen alleen op toegestane poorten luisteren
  • Openbare toegang tot een opslagaccount moet niet worden toegestaan
  • Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources
  • Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken
  • Het gebruik van hostnetwerken en -poorten moet worden beperkt
  • Het gebruik van HostPath-volumekoppelingen voor pods moet worden beperkt tot een bekende lijst om de toegang tot knooppunten te beperken voor de containers die zijn gecompromitteerd
  • De geldigheidsperiode van certificaten die in Azure Key Vault zijn opgeslagen, mag niet langer zijn dan twaalf maanden
  • Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources
  • Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway
  • Web Application Firewall (WAF) moet zijn ingeschakeld voor azure Front Door Service

Deze aanbevelingen kunnen worden gebruikt met de optie afdwingen :

  • Controle op SQL-servers moet zijn ingeschakeld
  • Kubernetes-clusters met Azure Arc moeten de extensie van Microsoft Defender voor Cloud hebben geïnstalleerd
  • Azure Backup moet zijn ingeschakeld voor virtuele machines
  • Microsoft Defender voor App Service moet zijn ingeschakeld
  • Microsoft Defender voor containerregisters moet zijn ingeschakeld
  • Microsoft Defender voor DNS moet zijn ingeschakeld
  • Microsoft Defender voor Key Vault moet zijn ingeschakeld
  • Microsoft Defender voor Kubernetes moet zijn ingeschakeld
  • Microsoft Defender voor Resource Manager moet zijn ingeschakeld
  • Microsoft Defender voor Servers moet zijn ingeschakeld
  • Microsoft Defender voor Azure SQL Database-servers moet zijn ingeschakeld
  • Microsoft Defender voor SQL-servers op computers moeten zijn ingeschakeld
  • Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers
  • Microsoft Defender voor Storage moet zijn ingeschakeld
  • De Azure Policy-invoegtoepassing voor Kubernetes moet op uw clusters zijn geïnstalleerd en ingeschakeld
  • Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld
  • Diagnostische logboeken in Batch-accounts moeten worden ingeschakeld
  • Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld
  • Diagnostische logboeken in Event Hub moeten zijn ingeschakeld
  • Diagnostische logboeken in Key Vault moeten zijn ingeschakeld
  • Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld
  • Diagnostische logboeken in zoekservices moeten zijn ingeschakeld
  • Diagnostische logboeken in Service Bus moeten zijn ingeschakeld