Onjuiste configuraties voorkomen met afdwingen/weigeren

Onjuiste beveiligingsconfiguraties zijn een belangrijke oorzaak van beveiligingsincidenten. Security Center biedt nu de mogelijkheid om onjuiste configuratie van nieuwe resources met betrekking tot specifieke aanbevelingen te helpen voorkomen.

Deze functie kan u helpen uw workloads veilig te houden en uw beveiligingsscore stabiel te houden.

Het afdwingen van een veilige configuratie op basis van een specifieke aanbeveling wordt aangeboden in twee modi:

  • Met behulp van de optie Weigeren van Azure Policy, kunt u het maken van resources die niet in orde zijn, stoppen
  • Met de optie Afdwingen kunt u profiteren van het effect DeployIfNotExist van Azure Policy en niet-compatibele resources automatisch herstellen wanneer deze worden gemaakt

U vindt dit bovenaan de pagina met resourcedetails voor geselecteerde beveiligingsaanbevelingen (zie Aanbevelingen met opties voor weigeren/afdwingen).

Maken van resources voorkomen

  1. Open de aanbeveling waar uw nieuwe resources aan moeten voldoen en selecteer de knop Weigeren bovenaan de pagina.

    Aanbevelingspagina met de knop Weigeren gemarkeerd.

    Het configuratiedeelvenster wordt geopend met de bereikopties.

  2. Stel het bereik in door het relevante abonnement of de relevante beheergroep te selecteren.

    Tip

    U kunt de drie puntjes aan het einde van de rij gebruiken om één abonnement te wijzigen of de selectievakjes gebruiken om meerdere abonnementen of groepen te selecteren en vervolgens Wijzigen in Weigeren te selecteren.

    Het bereik instellen voor Azure Policy weigeren.

Een beveiligde configuratie afdwingen

  1. Open de aanbeveling voor het implementeren van een sjabloonimplementatie voor als nieuwe resources er niet aan voldoen en selecteer de knop Afdwingen boven aan de pagina.

    Aanbevelingspagina met de knop Afdwingen gemarkeerd.

    Het configuratiedeelvenster wordt geopend met alle beleidsconfiguratieopties.

    Configuratieopties afdwingen.

  2. Stel het bereik, de toewijzingsnaam en andere relevante opties in.

  3. Selecteer Controleren + maken.

Aanbevelingen met opties voor weigeren/afdwingen

Deze aanbevelingen kunnen worden gebruikt met de optie weigeren:

  • [Inschakelen indien nodig] Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
  • [Inschakelen indien nodig] Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
  • [Inschakelen indien nodig] Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK)
  • [Inschakelen indien nodig] Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
  • Toegang tot opslagaccounts met configuraties voor firewalls en virtuele netwerken moet worden beperkt
  • Automation-accountvariabelen moeten worden versleuteld
  • Azure Cache voor Redis moet zich in een virtueel netwerk bevinden
  • Azure Spring Cloud moet netwerkinjectie gebruiken
  • De CPU- en geheugenlimieten van containers moeten worden afgedwongen
  • Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers
  • Container met escalatie van bevoegdheden moet worden vermeden
  • Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
  • Containers mogen alleen op toegestane poorten luisteren
  • Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
  • Key Vault-sleutels moeten een vervaldatum hebben
  • Key Vault-geheimen moeten een vervaldatum hebben
  • Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizen
  • Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen
  • Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers
  • Alleen beveiligde verbindingen met uw Redis Cache moeten zijn ingeschakeld
  • Het overschrijven of uitschakelen van het AppArmor-profiel voor containers moet worden beperkt
  • Bevoegde containers moeten worden vermeden
  • Het uitvoeren van containers als hoofdgebruiker moet worden vermeden
  • Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld
  • Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign
  • Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie
  • Services mogen alleen op toegestane poorten luisteren
  • Openbare toegang tot een opslagaccount moet niet worden toegestaan
  • Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources
  • Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken
  • Het gebruik van hostnetwerken en -poorten moet worden beperkt
  • Het gebruik van HostPath-volumekoppelingen voor pods moet worden beperkt tot een bekende lijst om de toegang tot knooppunten te beperken voor de containers die zijn gecompromitteerd
  • De geldigheidsperiode van certificaten die in Azure Key Vault zijn opgeslagen, mag niet langer zijn dan twaalf maanden
  • Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources
  • Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway
  • Web Application Firewall (WAF) moet zijn ingeschakeld voor Azure Front Door Service service

Deze aanbevelingen kunnen worden gebruikt met de optie afdwingen:

  • Controle op SQL-servers moet zijn ingeschakeld
  • Azure Backup moet zijn ingeschakeld voor virtuele machines
  • Azure Defender voor SQL moet zijn ingeschakeld voor uw SQL-servers
  • De Azure Policy-invoegtoepassing voor Kubernetes moet op uw clusters zijn geïnstalleerd en ingeschakeld
  • Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld
  • Diagnostische logboeken in Batch-accounts moeten worden ingeschakeld
  • Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld
  • Diagnostische logboeken in Event Hub moeten zijn ingeschakeld
  • Diagnostische logboeken in Key Vault moeten zijn ingeschakeld
  • Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld
  • Diagnostische logboeken in zoekservices moeten zijn ingeschakeld
  • Diagnostische logboeken in Service Bus moeten zijn ingeschakeld