Ulepszony bezpieczny wynik w Azure Security CenterEnhanced secure score in Azure Security Center

Wprowadzenie do zabezpieczenia ocenyIntroduction to secure score

Azure Security Center ma dwa główne cele: aby pomóc Ci zrozumieć bieżącą sytuację bezpieczeństwa i pomóc efektywnie i efektywnie ulepszyć zabezpieczenia.Azure Security Center has two main goals: to help you understand your current security situation, and to help you efficiently and effectively improve your security. Centralny aspekt Security Center, który umożliwia osiągnięcie tych celów, jest bezpiecznym wynikiem.The central aspect of Security Center that enables you to achieve those goals is secure score.

Security Center stale ocenia zasoby, subskrypcje i organizację pod kątem problemów z zabezpieczeniami.Security Center continually assesses your resources, subscriptions, and organization for security issues. Następnie agreguje wszystkie wyniki w postaci pojedynczego wyniku, dzięki czemu można szybko powiedzieć, że aktualna sytuacja zabezpieczeń: wyższy wynik, tym niższy poziom ryzyka.It then aggregates all the findings into a single score so that you can tell, at a glance, your current security situation: the higher the score, the lower the identified risk level.

Na stronie "zabezpieczenia oceny" Security Center należą:The secure score page of Security Center includes:

  • Wynik — wynik zabezpieczony jest pokazywany jako wartość procentowa, ale wartości bazowe są również jasne:The score - The secure score is shown as a percentage value, but the underlying values are also clear:

    W przypadku wartości procentowej z liczbami, które są czysteSecure score shown as a percentage value with the underlying numbers clear too

  • Kontrolki zabezpieczeń — każda kontrolka jest logiczną grupą powiązanych zaleceń dotyczących zabezpieczeń i odzwierciedla zagrożone powierzchnie ataków.Security controls - Each control is a logical group of related security recommendations, and reflects your vulnerable attack surfaces. Kontrolka jest zestawem zaleceń dotyczących zabezpieczeń, z instrukcjami, które ułatwiają zaimplementowanie tych zaleceń.A control is a set of security recommendations, with instructions that help you implement those recommendations. Wynik jest ulepszany tylko wtedy, gdy koryguje wszystkie zalecenia dotyczące pojedynczego zasobu w formancie.Your score only improves when you remediate all of the recommendations for a single resource within a control.

    Aby od razu sprawdzić, jak dobrze organizacja zabezpiecza poszczególne osoby atakujące, zapoznaj się z wynikami każdej kontroli zabezpieczeń.To immediately see how well your organization is securing each individual attack surface, review the scores for each security control.

    Aby uzyskać więcej informacji, zobacz jak poniżej jest obliczany bezpieczny wynik .For more information, see How your secure score is calculated below.

Porada

Wcześniejsze wersje Security Center przyznanych punktów na poziomie zalecenia: po skorygowaniu zalecenia dotyczącego pojedynczego zasobu Ulepszono bezpieczny wynik.Earlier versions of Security Center awarded points at the recommendation level: when you remediated a recommendation for a single resource, your secure score improved. Dzisiaj wynik poprawia się tylko wtedy, gdy korygujesz wszystkie zalecenia dotyczące pojedynczego zasobu w formancie.Today, your score only improves if you remediate all of the recommendations for a single resource within a control. Dzięki temu wynik jest ulepszany tylko wtedy, gdy Ulepszono zabezpieczenia zasobu.So your score only improves when you've improved the security of a resource.

Uzyskiwanie dostępu do Twojego bezpiecznego wynikuAccessing your secure score

Możesz znaleźć ogólny, bezpieczny wynik, a także ocenę dla każdej subskrypcji, za pomocą Azure Portal lub programowo za pomocą interfejsu API REST Azure Security Center.You can find your overall secure score, as well as your score per subscription, through the Azure portal or programatically with the Azure Security Center REST API.

Uzyskiwanie bezpiecznego wyniku z portaluGetting your secure score from the portal

Security Center wyświetla wyniki w portalu w widocznym miejscu: jest to pierwsza czynność wyświetlana na stronie Przegląd.Security Center displays your score prominently in the portal: it's the first thing shown in the Overview page. Jeśli klikniesz pozycję przez użytkownika na stronie dedykowany zabezpieczony wskaźnik, zobaczysz wynik podzielony przez subskrypcję.If you click through to the dedicated secure score page, you'll see the score broken down by subscription. Kliknij jedną subskrypcję, aby wyświetlić szczegółową listę zaleceń z priorytetami i potencjalny wpływ, który korygowaniem ich na ocenę subskrypcji.Click a single subscription to see the detailed list of prioritized recommendations and the potential impact that remediating them will have on the subscription's score.

Ogólny bezpieczny wynik, jak pokazano w portalu

Uzyskiwanie bezpiecznego wyniku z interfejsu API RESTGetting your secure score from the REST API

Możesz uzyskać dostęp do oceny za pośrednictwem interfejsu API bezpiecznego oceny (obecnie w wersji zapoznawczej).You can access your score via the secure score API (currently in preview). Metody interfejsu API zapewniają elastyczność umożliwiającą wykonywanie zapytań dotyczących danych i Tworzenie własnego mechanizmu raportowania z bezpiecznymi wynikami w czasie.The API methods provide the flexibility to query the data and build your own reporting mechanism of your secure scores over time. Na przykład możesz użyć interfejsu API Secure Scores , aby uzyskać ocenę dla określonej subskrypcji.For example, you can use the Secure Scores API to get the score for a specific subscription. Ponadto można użyć interfejsu API kontroli zabezpieczeń, aby wyświetlić listę kontrolek bezpieczeństwa i bieżący wynik subskrypcji.In addition, you can use the Secure Score Controls API to list the security controls and the current score of your subscriptions.

Pobieranie pojedynczego, bezpiecznego wyniku za pośrednictwem interfejsu API

Przykłady narzędzi wbudowanych w interfejsie API oceny zabezpieczeń znajdują się w obszarze "bezpieczeństwo" w naszej społeczności usługi GitHub.For examples of tools built on top of the secure score API, see the secure score area of our GitHub community.

Jak jest obliczany bezpieczny wynikHow your secure score is calculated

Udział każdej kontroli zabezpieczeń w odniesieniu do ogólnej bezpiecznego wyniku jest widoczny na stronie zalecenia.The contribution of each security control towards the overall secure score is shown clearly on the recommendations page.

Ulepszony bezpieczny wynik wprowadza kontrolę zabezpieczeńThe enhanced secure score introduces security controls

Aby uzyskać wszystkie możliwe punkty kontroli zabezpieczeń, wszystkie zasoby muszą być zgodne ze wszystkimi zaleceniami dotyczącymi zabezpieczeń w ramach kontroli zabezpieczeń.To get all the possible points for a security control, all your resources must comply with all of the security recommendations within the security control. Na przykład Security Center ma wiele zaleceń dotyczących zabezpieczania portów zarządzania.For example, Security Center has multiple recommendations regarding how to secure your management ports. W przeszłości można było skorygować niektóre z tych powiązanych i zależnych zaleceń, pozostawiając inne nierozwiązane i bezpieczny wynik.In the past, you could remediate some of those related and interdependent recommendations while leaving others unsolved, and your secure score would improve. Po zapoznaniu się z obiektywem, można łatwo zatwierdzić, że nie zabezpieczeń zostały ulepszone do momentu ich rozwiązania.When looked at objectively, it's easy to argue that your security hadn't improved until you had resolved them all. Teraz należy skorygować wszystkie te elementy, aby wprowadzić różnicę dla bezpiecznego wyniku.Now, you must remediate them all to make a difference to your secure score.

Na przykład kontrola zabezpieczeń o nazwie "Zastosuj aktualizacje systemu" ma maksymalny wynik sześciu punktów, który można zobaczyć w etykietce narzędzia dla potencjalnej podwyżki wartości formantu:For example, the security control called "Apply system updates" has a maximum score of six points, which you can see in the tooltip on the potential increase value of the control:

Kontrola zabezpieczeń "Zastosuj aktualizacje systemu"The security control "Apply system updates"

Maksymalny wynik tej kontrolki, zastosowanie aktualizacji systemu, to zawsze 6.The maximum score for this control, Apply system updates, is always 6. W tym przykładzie wykorzystano 50 zasobów.In this example, there are 50 resources. Dzięki temu Podzielmy maksymalny wynik o 50, a wynikiem jest to, że każdy zasób składa się z 0,12 punktów.So we divide the max score by 50, and the result is that every resource contributes 0.12 points.

  • Potencjalny wzrost (0,12 x 8 niezdrowych zasobów = 0,96) — pozostałe punkty dostępne dla Ciebie w obrębie formantu.Potential increase (0.12 x 8 unhealthy resources = 0.96) - The remaining points available to you within the control. W przypadku skorygowania wszystkich zaleceń w tym formancie wynik zostanie zwiększony o 2% (w tym przypadku 0,96 punktów zaokrąglonych do 1 punktu).If you remediate all the recommendations in this control, your score will increase by 2% (in this case, 0.96 points rounded up to 1 point).
  • Bieżący wynik (0,12 x 42 w dobrej kondycji = 5,04) — bieżący wynik dla tego formantu.Current score (0.12 x 42 healthy resources = 5.04) - The current score for this control. Każda kontrolka przyczynia się do osiągnięcia łącznego wyniku.Each control contributes towards the total score. W tym przykładzie Kontrola ma wpływ na 5,04 punktów na bieżącą łączną sumę.In this example, the control is contributing 5.04 points to current secure total.
  • Maksymalny wynik — Maksymalna liczba punktów, które można uzyskać, wykonując wszystkie zalecenia w formancie.Max score - The maximum number of points you can gain by completing all recommendations within a control. Maksymalna ocena dla kontrolki wskazuje względne znaczenie tego formantu.The maximum score for a control indicates the relative significance of that control. Użyj wartości maksymalnego wyniku, aby klasyfikacja te problemy, aby działały w pierwszej kolejności.Use the max score values to triage the issues to work on first.

Obliczenia — zrozumienie ocenyCalculations - understanding your score

MetrykaMetric Formuła i przykładFormula and example
Bieżący wynik kontroli zabezpieczeńSecurity control's current score
Równanie obliczania bieżącego wyniku kontroli zabezpieczeńEquation for calculating a security control's current score

Każda indywidualna kontrola zabezpieczeń przyczynia się do osiągnięcia oceny zabezpieczeń.Each individual security control contributes towards the Security Score. Każdy zasób, na który ma wpływ zalecenie w ramach kontroli, przyczynia się do bieżącego wyniku kontrolki.Each resource affected by a recommendation within the control, contributes towards the control's current score. Bieżący wynik dla każdej kontrolki jest miarą stanu zasobów w kontrolce.The current score for each control is a measure of the status of the resources within the control.
Etykietki narzędzi pokazujące wartości używane podczas obliczania bieżącego wyniku kontroli zabezpieczeńTooltips showing the values used when calculating the security control's current score
W tym przykładzie maksymalny wynik 6 zostałby podzielony przez 78, ponieważ to jest suma zasobów w dobrej kondycji i w nieprawidłowych Stanach.In this example, the max score of 6 would be divided by 78 because that's the sum of the healthy and unhealthy resources.
6/78 = 0,07696 / 78 = 0.0769
Mnożenie tego przez liczbę zasobów w dobrej kondycji (4) skutkuje bieżącym wynikiem:Multiplying that by the number of healthy resources (4) results in the current score:
0,0769 * 4 = 0,310.0769 * 4 = 0.31

Wskaźnik bezpieczeństwaSecure score
Subskrypcja pojedynczaSingle subscription

Równanie do obliczania bieżącego wyniku bezpiecznego

Jeden bezpieczny wynik subskrypcji z włączonymi wszystkimi kontrolkami
W tym przykładzie istnieje jedna subskrypcja z wszystkimi dostępnymi wszystkimi kontrolami zabezpieczeń (potencjalną maksymalną wartością wyniku 60 punktów).In this example, there is a single subscription with all security controls available (a potential maximum score of 60 points). Wynik pokazuje 28 punktów z możliwego 60, a pozostałe 32 punkty są odzwierciedlone w postaci "potencjalne zwiększenie wyniku" w zakresie kontroli zabezpieczeń.The score shows 28 points out of a possible 60 and the remaining 32 points are reflected in the "Potential score increase" figures of the security controls.
Lista kontrolek i zwiększenie potencjalnego wyniku
Wskaźnik bezpieczeństwaSecure score
Wiele subskrypcjiMultiple subscriptions

Bieżące wyniki dla wszystkich zasobów we wszystkich subskrypcjach są dodawane, a obliczenia są takie same jak w przypadku pojedynczej subskrypcjiThe current scores for all resources across all subscriptions are added and the calculation is then the same as for a single subscription

Podczas przeglądania wielu subskrypcji, funkcja Secure Score szacuje wszystkie zasoby we wszystkich włączonych zasadach i grupuje ich łączny wpływ na maksymalny wynik kontroli zabezpieczeń.When viewing multiple subscriptions, secure score evaluates all resources within all enabled policies and groups their combined impact on each security control's maximum score.
Zabezpieczony wynik dla wielu subskrypcji z włączonymi wszystkimi kontrolkamiSecure score for multiple subscriptions with all controls enabled
Połączony wynik nie jest średni; jest to raczej oceniane stan stanu wszystkich zasobów we wszystkich subskrypcjach.The combined score is not an average; rather it's the evaluated posture of the status of all resources across all subscriptions.
Tutaj, jeśli przejdziesz do strony rekomendacje i dodasz dostępne punkty, zobaczysz, że jest to różnica między bieżącym wynikiem (24) i maksymalnym dostępnym wynikiem (60).Here too, if you go to the recommendations page and add up the potential points available, you will find that it's the difference between the current score (24) and the maximum score available (60).

Ulepszanie bezpiecznego wynikuImproving your secure score

Aby ulepszyć bezpieczny wynik, skoryguj zalecenia dotyczące zabezpieczeń z listy rekomendacji.To improve your secure score, remediate security recommendations from your recommendations list. Wszystkie zalecenia można skorygować ręcznie dla każdego zasobu lub przy użyciu szybkiej poprawki .You can remediate each recommendation manually for each resource, or by using the Quick Fix! Opcja (jeśli jest dostępna) w celu szybkiego zastosowania skorygowania zalecenia do grupy zasobów.option (when available) to apply a remediation for a recommendation to a group of resources quickly. Aby uzyskać więcej informacji, zobacz temat korygowanie zaleceń.For more information, see Remediate recommendations.

Ważne

Tylko wbudowane zalecenia mają wpływ na bezpieczny wynik.Only built-in recommendations have an impact on the secure score.

Kontrola zabezpieczeń i ich zaleceniaSecurity controls and their recommendations

W poniższej tabeli wymieniono kontrolki zabezpieczeń w Azure Security Center.The table below lists the security controls in Azure Security Center. Dla każdej kontrolki można zobaczyć maksymalną liczbę punktów, które można dodać do swojego bezpiecznego wyniku, jeśli korygujesz wszystkie zalecenia wymienione w formancie dla wszystkich zasobów.For each control, you can see the maximum number of points you can add to your secure score if you remediate all of the recommendations listed in the control, for all of your resources.

Kontrola zabezpieczeń, Ocena i opisSecurity control, score, and description
ZaleceniaRecommendations

Włącz usługę MFA (max Score 10)

Enable MFA (max score 10)

Jeśli do uwierzytelnienia użytkownika używasz tylko hasła, spowoduje to pozostawienie otwartego wektora ataku.
If you only use a password to authenticate a user, it leaves an attack vector open. Jeśli hasło jest słabe lub zostało ujawnione w innym miejscu, czy użytkownik może zalogować się przy użyciu nazwy użytkownika i hasła?If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password?
Gdy usługa MFA jest włączona, Twoje konta są bezpieczniejsze i użytkownicy nadal mogą uwierzytelniać się w prawie każdej aplikacji z logowaniem jednokrotnym (SSO).With MFA enabled, your accounts are more secure, and users can still authenticate to almost any application with single sign-on (SSO).
-Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela w ramach subskrypcji- MFA should be enabled on accounts with owner permissions on your subscription
-W ramach usługi MFA należy włączyć konta z uprawnieniami do zapisu w Twojej subskrypcji- MFA should be enabled accounts with write permissions on your subscription

Secure Management Ports (max Score 8)

Secure management ports (max score 8)

Wymuszanie ataków na docelowe porty zarządzania w celu uzyskania dostępu do maszyny wirtualnej.
Brute force attacks target management ports to gain access to a VM. Ponieważ porty nie zawsze muszą być otwarte, jedną strategią zaradczą jest ograniczenie ekspozycji na porty przy użyciu kontroli dostępu do sieci just in Time, sieciowych grup zabezpieczeń i zarządzania portami maszyn wirtualnych.Since the ports don’t always need to be open, one mitigation strategy is to reduce exposure to the ports using just-in-time network access controls, network security groups, and virtual machine port management.
Ponieważ wiele organizacji IT nie blokuje komunikacji SSH z sieci, osoby atakujące mogą tworzyć zaszyfrowane tunele, które umożliwiają portom RDP w zainfekowanych systemach komunikowanie się z poleceniu atakującego w celu kontroli serwerów.Since many IT organizations don't block SSH communications outbound from their network, attackers can create encrypted tunnels that allow RDP ports on infected systems to communicate back to the attacker command to control servers. Osoby atakujące mogą korzystać z podsystemu Windows Remote Management w celu późniejszego przechodzenia przez środowisko i korzystania z skradzionych poświadczeń w celu uzyskania dostępu do innych zasobów w sieci.Attackers can use the Windows Remote Management subsystem to move laterally across your environment and use stolen credentials to access other resources on a network.
-Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu just in Time do sieci- Management ports of virtual machines should be protected with just-in-time network access control
-Maszyny wirtualne powinny być skojarzone z sieciową grupą zabezpieczeń- Virtual machines should be associated with a Network Security Group
-Porty zarządzania powinny być zamknięte na maszynach wirtualnych- Management ports should be closed on your virtual machines

Zastosuj aktualizacje systemu (wynik maksymalny 6)

Apply system updates (max score 6)

Aktualizacje systemu zapewniają organizacjom możliwość utrzymania sprawności działania, zmniejszania luk w zabezpieczeniach i zapewnienia bardziej stabilnego środowiska dla użytkowników końcowych.
System updates provide organizations with the ability to maintain operational efficiency, reduce security vulnerabilities, and provide a more stable environment for end users. Niestosowanie aktualizacji pozostawia Niepoprawione luki w zabezpieczeniach i wyniki w środowiskach, które są podatne na ataki.Not applying updates leaves unpatched vulnerabilities and results in environments that are susceptible to attacks. Luki w zabezpieczeniach można wykorzystać i prowadzić do utraty danych, eksfiltracji danych, oprogramowania wymuszającego okup i nadużycia zasobów.These vulnerabilities can be exploited and lead to data loss, data exfiltration, ransomware, and resource abuse. Aby wdrożyć aktualizacje systemu, można użyć rozwiązania Update Management do zarządzania poprawkami i aktualizacjami dla maszyn wirtualnych.To deploy system updates, you can use the Update Management solution to manage patches and updates for your virtual machines. Zarządzanie aktualizacjami to proces kontroli nad wdrażaniem i konserwacją wydań oprogramowania.Update management is the process of controlling the deployment and maintenance of software releases.
-Na maszynach należy rozwiązać problemy z kondycją agenta monitorowania- Monitoring agent health issues should be resolved on your machines
-Agent monitorowania powinien być zainstalowany w zestawach skalowania maszyn wirtualnych- Monitoring agent should be installed on virtual machine scale sets
-Agent monitorowania powinien być zainstalowany na swoich maszynach- Monitoring agent should be installed on your machines
-Należy zaktualizować wersję systemu operacyjnego dla ról usługi w chmurze- OS version should be updated for your cloud service roles
-Należy zainstalować aktualizacje systemu dla zestawów skalowania maszyn wirtualnych- System updates on virtual machine scale sets should be installed
-Aktualizacje systemu powinny być zainstalowane na maszynach- System updates should be installed on your machines
-Aby zastosować aktualizacje systemu, należy ponownie uruchomić maszyny.- Your machines should be restarted to apply system updates
-Usługi Kubernetes należy uaktualnić do niezagrożonej wersji Kubernetes- Kubernetes Services should be upgraded to a non-vulnerable Kubernetes version
-Agent monitorowania powinien być zainstalowany na maszynach wirtualnych- Monitoring agent should be installed on your virtual machines
-Agenta Log Analytics należy zainstalować na komputerach z systemem Windows Azure ARC (wersja zapoznawcza)- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
-Agent Log Analytics powinien być zainstalowany na komputerach z systemem Linux Azure ARC (wersja zapoznawcza)- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)

Koryguj luki w zabezpieczeniach (maksymalny wynik 6)

Remediate vulnerabilities (max score 6)

Luka w zabezpieczeniach jest przyczyną, że aktor zagrożeń może wykorzystać, aby naruszyć poufność, dostępność lub integralność zasobu.
A vulnerability is a weakness that a threat actor could leverage, to compromise the confidentiality, availability, or integrity of a resource. Zarządzanie lukami zmniejsza narażenie na awarie organizacji, zwiększa ochronę obszaru punktu końcowego, podnosi odporność organizacji i zmniejsza podatność na ataki zasobów.Managing vulnerabilities reduces organizational exposure, hardens endpoint surface area, increases organizational resilience, and reduces the attack surface of your resources. Zarządzanie zagrożeniami i lukami w zabezpieczeniach zapewnia wgląd w oprogramowanie i konfiguracje zabezpieczeń oraz zapewnia zalecenia dotyczące środków zaradczych.Threat and Vulnerability Management provides visibility into software and security misconfigurations and provide recommendations for mitigations.
-Zaawansowana ochrona danych powinna być włączona na SQL Database- Advanced data security should be enabled on SQL Database
-Luki w zabezpieczeniach Azure Container Registry obrazów należy skorygować- Vulnerabilities in Azure Container Registry images should be remediated
-Luki w zabezpieczeniach baz danych SQL należy skorygować- Vulnerabilities on your SQL databases should be remediated
-Usterki należy skorygować przez rozwiązanie do oceny luk w zabezpieczeniach- Vulnerabilities should be remediated by a Vulnerability Assessment solution
-Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniu zarządzanym SQL- Vulnerability assessment should be enabled on SQL Managed Instance
-Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL- Vulnerability assessment should be enabled on your SQL servers
-Rozwiązanie do oceny luk w zabezpieczeniach powinno być zainstalowane na maszynach wirtualnych- Vulnerability assessment solution should be installed on your virtual machines

Włącz szyfrowanie w spoczynku (maksymalny wynik 4)

Enable encryption at rest (max score 4)

Szyfrowanie w spoczynku zapewnia ochronę danych przechowywanych danych.
Encryption at rest provides data protection for stored data. Ataki na dane przechowywane w spoczynku obejmują próby uzyskania fizycznego dostępu do sprzętu, na którym dane są zapisywane.Attacks against data at rest include attempts to gain physical access to the hardware on which the data is stored. Platformy Azure używają szyfrowania symetrycznego do szyfrowania i odszyfrowywania dużych ilości danych przechowywanych w stanie spoczynku.Azures use symmetric encryption to encrypt and decrypt large amounts of data at rest. Symetryczny klucz szyfrowania jest używany do szyfrowania danych podczas zapisywania w magazynie.A symmetric encryption key is used to encrypt data as it is written to storage. Ten klucz szyfrowania jest również używany do odszyfrowywania tych danych, ponieważ jest readied do użycia w pamięci.That encryption key is also used to decrypt that data as it is readied for use in memory. Klucze muszą być przechowywane w bezpiecznej lokalizacji z kontrolą dostępu opartą na tożsamości i zasadami inspekcji.Keys must be stored in a secure location with identity-based access control and audit policies. Jedna taka bezpieczna lokalizacja jest Azure Key Vault.One such secure location is Azure Key Vault. Jeśli osoba atakująca uzyska zaszyfrowane dane, ale nie klucze szyfrowania, osoba atakująca nie może uzyskać dostępu do danych bez przerywania szyfrowania.If an attacker obtains the encrypted data but not the encryption keys, the attacker can't access the data without breaking the encryption.
-Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych- Disk encryption should be applied on virtual machines
-Transparent Data Encryption na SQL Database powinna być włączona- Transparent Data Encryption on SQL Database should be enabled
-Zmienne konta usługi Automation powinny być szyfrowane- Automation account variables should be encrypted
-W klastrach Service Fabric Właściwość ClusterProtectionLevel ma ustawioną wartość EncryptAndSign- Service Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign
-Funkcja ochrony programu SQL Server TDE powinna być szyfrowana przy użyciu własnego klucza- SQL server TDE protector should be encrypted with your own key

Szyfruj dane podczas przesyłania (max Score 4)

Encrypt data in transit (max score 4)

Dane są przesyłane podczas przesyłania między składnikami, lokalizacjami lub programami.
Data is “in transit” when it's transmitted between components, locations, or programs. Organizacje, które nie chronią danych podczas przesyłania, są podatne na ataki typu man-in-the-Middle, podsłuchiwanie i przejmowanie sesji.Organizations that fail to protect data in transit are susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. Protokoły SSL/TLS powinny być używane do wymiany danych, a sieć VPN jest zalecana.SSL/TLS protocols should be used to exchange data and a VPN is recommended. Podczas wysyłania zaszyfrowanych danych między maszyną wirtualną platformy Azure i lokalizacją lokalną za pośrednictwem Internetu można użyć bramy sieci wirtualnej, takiej jak Azure VPN Gateway , aby wysyłać zaszyfrowany ruch sieciowy.When sending encrypted data between an Azure virtual machine and an on-premise location, over the internet, you can use a virtual network gateway such as Azure VPN Gateway to send encrypted traffic.
-Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS- API App should only be accessible over HTTPS
-aplikacja funkcji powinna być dostępna tylko za pośrednictwem protokołu HTTPS- Function App should only be accessible over HTTPS
-Należy włączyć tylko bezpieczne połączenia z Redis Cache- Only secure connections to your Redis Cache should be enabled
-Należy włączyć bezpieczny transfer do kont magazynu- Secure transfer to storage accounts should be enabled
-Aplikacja sieci Web powinna być dostępna tylko za pośrednictwem protokołu HTTPS- Web Application should only be accessible over HTTPS

Zarządzanie dostępem i uprawnieniami (maksymalny wynik 4)

Manage access and permissions (max score 4)

Podstawową częścią programu zabezpieczeń jest zapewnienie, że użytkownicy mają wymagany dostęp do wykonywania swoich zadań, ale nie więcej niż to: model dostępu o najniższych uprawnieniach.
A core part of a security program is ensuring your users have the necessary access to do their jobs but no more than that: the least privilege access model.
Kontroluj dostęp do zasobów przez tworzenie przypisań ról z kontrolą dostępu opartą na rolach (RBAC).Control access to your resources by creating role assignments with role-based access control (RBAC). Przypisanie roli składa się z trzech elementów:A role assignment consists of three elements:
- Podmiot zabezpieczeń: obiekt, do którego użytkownik żąda dostępu- Security principal: the object the user is requesting access to
- Definicja roli: ich uprawnienia- Role definition: their permissions
- Zakres: zestaw zasobów, do których mają zastosowanie uprawnienia- Scope: the set of resources to which the permissions apply
-Przestarzałe konta powinny zostać usunięte z subskrypcji (wersja zapoznawcza)- Deprecated accounts should be removed from your subscription (Preview)
-Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji (wersja zapoznawcza)- Deprecated accounts with owner permissions should be removed from your subscription (Preview)
-Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji (wersja zapoznawcza)- External accounts with owner permissions should be removed from your subscription (Preview)
-Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji (wersja zapoznawcza)- External accounts with write permissions should be removed from your subscription (Preview)
-Do subskrypcji powinien być przypisany więcej niż jeden właściciel- There should be more than one owner assigned to your subscription
-Access Control oparte na rolach (RBAC) powinny być używane w usługach Kubernetes Services (wersja zapoznawcza)- Role-Based Access Control (RBAC) should be used on Kubernetes Services (Preview)
-W klastrach Service Fabric należy używać tylko Azure Active Directory do uwierzytelniania klientów- Service Fabric clusters should only use Azure Active Directory for client authentication

Skoryguj konfiguracje zabezpieczeń (maksymalny wynik 4)

Remediate security configurations (max score 4)

Nieprawidłowo skonfigurowane zasoby IT mają większe ryzyko ataku.
Misconfigured IT assets have a higher risk of being attacked. Podstawowe akcje związane z ograniczaniem funkcjonalności są często zapominane, gdy zasoby są wdrażane, a terminy ostateczne muszą zostać spełnione.Basic hardening actions are often forgotten when assets are being deployed and deadlines must be met. Konfiguracje zabezpieczeń mogą znajdować się na dowolnym poziomie infrastruktury: od systemów operacyjnych i urządzeń sieciowych do zasobów chmury.Security misconfigurations can be at any level in the infrastructure: from the operating systems and network appliances, to cloud resources.
Azure Security Center ciągle porównuje konfigurację zasobów z wymaganiami dotyczącymi standardów branżowych, regulacji i testów porównawczych.Azure Security Center continually compares the configuration of your resources with requirements in industry standards, regulations, and benchmarks. Po skonfigurowaniu odpowiednich "pakietów zgodności" (standardy i linie bazowe), które są przeznaczone dla organizacji, wszelkie luki spowodują zaleceń w zakresie zabezpieczeń, które obejmują CCEID oraz wyjaśnienie potencjalnego wpływu na bezpieczeństwo.When you've configured the relevant "compliance packages" (standards and baselines) that matter to your organization, any gaps will result in security recommendations that include the CCEID and an explanation of the potential security impact.
Często używane pakiety to testy zabezpieczeń platformy Azure i usługi CIS Microsoft Azure w wersji testowej 1.1.0Commonly used packages are Azure Security Benchmark and CIS Microsoft Azure Foundations Benchmark version 1.1.0
-Zasady zabezpieczeń pod muszą być zdefiniowane w usługach Kubernetes Services- Pod Security Policies should be defined on Kubernetes Services
-Luki w zabezpieczeniach w konfiguracjach zabezpieczeń kontenerów należy skorygować- Vulnerabilities in container security configurations should be remediated
-Luki w zabezpieczeniach konfiguracji zabezpieczeń na maszynach należy skorygować- Vulnerabilities in security configuration on your machines should be remediated
-Luki w zabezpieczeniach konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych należy skorygować- Vulnerabilities in security configuration on your virtual machine scale sets should be remediated
-Agent monitorowania powinien być zainstalowany na maszynach wirtualnych- Monitoring agent should be installed on your virtual machines
-Agent monitorowania powinien być zainstalowany na swoich maszynach- Monitoring agent should be installed on your machines
-Agenta Log Analytics należy zainstalować na komputerach z systemem Windows Azure ARC (wersja zapoznawcza)- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
-Agent Log Analytics powinien być zainstalowany na komputerach z systemem Linux Azure ARC (wersja zapoznawcza)- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
-Agent monitorowania powinien być zainstalowany w zestawach skalowania maszyn wirtualnych- Monitoring agent should be installed on virtual machine scale sets
-Na maszynach należy rozwiązać problemy z kondycją agenta monitorowania- Monitoring agent health issues should be resolved on your machines

Ogranicz nieautoryzowany dostęp do sieci (maksymalny wynik 4)

Restrict unauthorized network access (max score 4)

Punkty końcowe w organizacji zapewniają bezpośrednie połączenie z sieci wirtualnej z obsługiwanymi usługami platformy Azure.
Endpoints within an organization provide a direct connection from your virtual network to supported Azure services. Maszyny wirtualne w podsieci mogą komunikować się ze wszystkimi zasobami.Virtual machines in a subnet can communicate with all resources. Aby ograniczyć komunikację do i z zasobów w podsieci, Utwórz sieciową grupę zabezpieczeń i skojarz ją z podsiecią.To limit communication to and from resources within a subnet, create a network security group and associate it to the subnet. Organizacje mogą ograniczać i chronić przed nieautoryzowanym ruchem, tworząc reguły ruchu przychodzącego i wychodzącego.Organizations can limit and protect against unauthorized traffic by creating inbound and outbound rules.
-Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone- IP forwarding on your virtual machine should be disabled
-Dozwolone zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services (wersja zapoznawcza)- Authorized IP ranges should be defined on Kubernetes Services (Preview)
-PRZESTARZAŁE Dostęp do App Services powinien być ograniczony (wersja zapoznawcza)- (DEPRECATED) Access to App Services should be restricted (Preview)
-PRZESTARZAŁE Reguły dla aplikacji sieci Web na IaaS sieciowych grup zabezpieczeń powinny być zaostrzone- (DEPRECATED) The rules for web applications on IaaS NSGs should be hardened
-Maszyny wirtualne powinny być skojarzone z sieciową grupą zabezpieczeń- Virtual machines should be associated with a Network Security Group
-Mechanizm CORS nie powinien zezwalać wszystkim zasobom na dostęp do aplikacji interfejsu API- CORS should not allow every resource to access your API App
-Mechanizm CORS nie powinien zezwalać wszystkim zasobom na dostęp do aplikacja funkcji- CORS should not allow every resource to access your Function App
-Mechanizm CORS nie powinien zezwalać wszystkim zasobom na dostęp do aplikacji sieci Web- CORS should not allow every resource to access your Web Application
-Debugowanie zdalne powinno być wyłączone dla aplikacji interfejsu API- Remote debugging should be turned off for API App
-Zdalne debugowanie powinno zostać wyłączone dla aplikacja funkcji- Remote debugging should be turned off for Function App
-Zdalne debugowanie powinno zostać wyłączone dla aplikacji sieci Web- Remote debugging should be turned off for Web Application
-Dostęp powinien być ograniczony do ograniczeń sieciowych grup zabezpieczeń z maszynami wirtualnymi z Internetu- Access should be restricted for permissive Network Security Groups with Internet-facing VMs
-Reguły sieciowej grupy zabezpieczeń dla maszyn wirtualnych mających dostęp do Internetu powinny być zaostrzone- Network Security Group Rules for Internet facing virtual machines should be hardened

Zastosuj adaptacyjną kontrolę aplikacji (maksymalny wynik 3)

Apply adaptive application control (max score 3)

Adaptacyjna kontrola aplikacji (AAC) to inteligentne, zautomatyzowane i kompleksowe rozwiązanie, które umożliwia kontrolowanie, które aplikacje mogą być uruchamiane na maszynach Azure i poza platformą Azure.
Adaptive application control (AAC) is an intelligent, automated, end-to-end solution, which allows you to control which applications can run on your Azure and non-Azure machines. Pomaga również w zabezpieczaniu maszyn przed złośliwym oprogramowaniem.It also helps to harden your machines against malware.
Security Center używa usługi Machine Learning, aby utworzyć listę znanych bezpiecznych aplikacji dla grupy komputerów.Security Center uses machine learning to create a list of known-safe applications for a group of machines.
To innowacyjne podejście do zatwierdzonej listy aplikacji zapewnia korzyści związane z bezpieczeństwem bez złożoności zarządzania.This innovative approach to approved application listing provides the security benefits without the management complexity.
AAC jest szczególnie istotny dla serwerów utworzonych specjalnie dla celów, które muszą uruchamiać określony zestaw aplikacji.AAC is particularly relevant for purpose-built servers that need to run a specific set of applications.
-Na maszynach wirtualnych należy włączyć adaptacyjne kontrolki aplikacji- Adaptive Application Controls should be enabled on virtual machines
-Agent monitorowania powinien być zainstalowany na maszynach wirtualnych- Monitoring agent should be installed on your virtual machines
-Agent monitorowania powinien być zainstalowany na swoich maszynach- Monitoring agent should be installed on your machines
-Agenta Log Analytics należy zainstalować na komputerach z systemem Windows Azure ARC (wersja zapoznawcza)- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
-Agent Log Analytics powinien być zainstalowany na komputerach z systemem Linux Azure ARC (wersja zapoznawcza)- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
-Na maszynach należy rozwiązać problemy z kondycją agenta monitorowania- Monitoring agent health issues should be resolved on your machines

Zastosuj klasyfikację danych (max Score 2)

Apply data classification (max score 2)

Klasyfikowanie danych organizacji według czułości i wpływu na działalność biznesową umożliwia określenie i przypisanie wartości do danych oraz zapewnia strategię i podstawę zarządzania.
Classifying your organization's data by sensitivity and business impact allows you to determine and assign value to the data, and provides the strategy and basis for governance.
Azure Information Protection może pomóc w klasyfikacji danych.Azure Information Protection can assist with data classification. Używa zasad szyfrowania, tożsamości i autoryzacji do ochrony danych i ograniczania dostępu do danych.It uses encryption, identity, and authorization policies to protect data and restrict data access. Niektóre klasyfikacje, które są używane przez firmę Microsoft, są inne niż firmowe, publiczne, ogólne, poufne i wysoce poufne.Some classifications that Microsoft uses are Non-business, Public, General, Confidential, and Highly Confidential.
-Poufne dane w bazach danych SQL powinny zostać sklasyfikowane (wersja zapoznawcza)- Sensitive data in your SQL databases should be classified (Preview)

Ochrona aplikacji przed atakami DDoS (maksymalny wynik 2)

Protect applications against DDoS attacks (max score 2)

Rozproszone ataki typu "odmowa usługi" (DDoS) powodują Przeciążenie zasobów i renderowanie aplikacji jako nieużytecznych.
Distributed denial-of-service (DDoS) attacks overwhelm resources and render applications unusable. Użyj Azure DDoS Protection Standard , aby chronić organizację przed trzema głównymi atakami DDoS:Use Azure DDoS Protection Standard to defend your organization from the three main types of DDoS attacks:
- Ataki w postaci zalewania sieci z dozwolonym ruchem.- Volumetric attacks flood the network with legitimate traffic. DDoS Protection Standard ogranicza te ataki przez ich automatyczne przeabsorbowanie lub szybkie przejmowanie.DDoS Protection Standard mitigates these attacks by absorbing or scrubbing them automatically.
- Ataki protokołu powodują, że element docelowy jest niedostępny, wykorzystując słabe luki w stosie protokołu warstwy 3 i 4.- Protocol attacks render a target inaccessible, by exploiting weaknesses in the layer 3 and layer 4 protocol stack. DDoS Protection Standard ogranicza te ataki, blokując złośliwy ruch.DDoS Protection Standard mitigates these attacks by blocking malicious traffic.
- Warstwa zasobów (aplikacji) atakują docelowe pakiety aplikacji sieci Web.- Resource (application) layer attacks target web application packets. Obrony przed tym typem za pomocą zapory aplikacji sieci Web i standardu DDoS Protection.Defend against this type with a web application firewall and DDoS Protection Standard.
-Należy włączyć Standard DDoS Protection- DDoS Protection Standard should be enabled

Włącz program Endpoint Protection (maksymalny wynik 2)

Enable endpoint protection (max score 2)

Aby zapewnić ochronę punktów końcowych przed złośliwym oprogramowaniem, czujniki behawioralne zbierają i przetwarzają dane z systemów operacyjnych punktów końcowych i wysyłają te dane do chmury prywatnej na potrzeby analizy.
To ensure your endpoints are protected from malware, behavioral sensors collect and process data from your endpoints' operating systems and send this data to the private cloud for analysis. Analiza zabezpieczeń wykorzystuje duże ilości danych, uczenie maszynowe i inne źródła, aby zalecać reagowanie na zagrożenia.Security analytics leverage big-data, machine-learning, and other sources to recommend responses to threats. Na przykład usługa Microsoft Defender ATP używa analizy zagrożeń, aby identyfikować metody ataków i generować alerty zabezpieczeń.For example, Microsoft Defender ATP uses threat intelligence to identify attack methods and generate security alerts.
Security Center obsługuje następujące rozwiązania programu Endpoint Protection: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v 12.1.1.1100, McAfee v10 for Windows, McAfee v10 dla systemów Linux i Sophos V9 dla systemu Linux.Security Center supports the following endpoint protection solutions: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 for Windows, McAfee v10 for Linux and Sophos v9 for Linux. Jeśli Security Center wykryje dowolne z tych rozwiązań, zalecenie instalacji programu Endpoint Protection nie będzie już wyświetlane.If Security Center detects any of these solutions, the recommendation to install endpoint protection will no longer appear.
-Błędy kondycji programu Endpoint Protection należy skorygować w przypadku zestawów skalowania maszyn wirtualnych- Endpoint protection health failures should be remediated on virtual machine scale sets
-Na maszynach należy rozwiązać problemy dotyczące kondycji programu Endpoint Protection- Endpoint protection health issues should be resolved on your machines
-Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych- Endpoint protection solution should be installed on virtual machine scale sets
-Zainstaluj rozwiązanie Endpoint Protection na maszynach wirtualnych- Install endpoint protection solution on virtual machines
-Na maszynach należy rozwiązać problemy z kondycją agenta monitorowania- Monitoring agent health issues should be resolved on your machines
-Agent monitorowania powinien być zainstalowany w zestawach skalowania maszyn wirtualnych- Monitoring agent should be installed on virtual machine scale sets
-Agent monitorowania powinien być zainstalowany na swoich maszynach- Monitoring agent should be installed on your machines
-Agent monitorowania powinien być zainstalowany na maszynach wirtualnych- Monitoring agent should be installed on your virtual machines
-Agenta Log Analytics należy zainstalować na komputerach z systemem Windows Azure ARC (wersja zapoznawcza)- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
-Agent Log Analytics powinien być zainstalowany na komputerach z systemem Linux Azure ARC (wersja zapoznawcza)- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
-Zainstaluj rozwiązanie Endpoint Protection na swoich maszynach- Install endpoint protection solution on your machines

Włącz inspekcję i rejestrowanie (maksymalny wynik 1)

Enable auditing and logging (max score 1)

Dane rejestrowania zawierają informacje o wcześniejszych problemach, które uniemożliwiają potencjalną pracę, mogą zwiększyć wydajność aplikacji i umożliwia automatyzację działań, które w przeciwnym razie byłyby ręczne.
Logging data provides insights into past problems, prevents potential ones, can improve application performance, and provides the ability to automate actions that would otherwise be manual.
- Dzienniki kontroli i zarządzania zawierają informacje dotyczące Azure Resource Manager operacji.- Control and management logs provide information about Azure Resource Manager operations.
- Dzienniki płaszczyzny danych zawierają informacje o zdarzeniach wywoływanych w ramach użycia zasobów platformy Azure.- Data plane logs provide information about events raised as part of Azure resource usage.
- Przetwarzane zdarzenia zawierają informacje o przetworzonych zdarzeniach/alertach, które zostały przetworzone.- Processed events provide information about analyzed events/alerts that have been processed.
-Inspekcja w programie SQL Server powinna być włączona- Auditing on SQL server should be enabled
-Dzienniki diagnostyczne w App Services powinny być włączone- Diagnostic logs in App Services should be enabled
-Dzienniki diagnostyczne w Azure Data Lake Store powinny być włączone- Diagnostic logs in Azure Data Lake Store should be enabled
-Dzienniki diagnostyczne w Azure Stream Analytics powinny być włączone- Diagnostic logs in Azure Stream Analytics should be enabled
-Należy włączyć dzienniki diagnostyczne na kontach wsadowych- Diagnostic logs in Batch accounts should be enabled
-Dzienniki diagnostyczne w Data Lake Analytics powinny być włączone- Diagnostic logs in Data Lake Analytics should be enabled
-Dzienniki diagnostyczne w centrum zdarzeń powinny być włączone- Diagnostic logs in Event Hub should be enabled
-Dzienniki diagnostyczne w IoT Hub powinny być włączone- Diagnostic logs in IoT Hub should be enabled
-Dzienniki diagnostyczne w Key Vault powinny być włączone- Diagnostic logs in Key Vault should be enabled
-Dzienniki diagnostyczne w Logic Apps powinny być włączone- Diagnostic logs in Logic Apps should be enabled
-Dzienniki diagnostyczne w usłudze wyszukiwania powinny być włączone- Diagnostic logs in Search service should be enabled
-Dzienniki diagnostyczne w Service Bus powinny być włączone- Diagnostic logs in Service Bus should be enabled
-Dzienniki diagnostyczne w Virtual Machine Scale Sets powinny być włączone- Diagnostic logs in Virtual Machine Scale Sets should be enabled
-Reguły alertów metryk powinny być skonfigurowane na kontach wsadowych- Metric alert rules should be configured on Batch accounts
-Ustawienia inspekcji SQL powinny mieć skonfigurowane grupy akcji do przechwytywania działań krytycznych- SQL Auditing settings should have Action-Groups configured to capture critical activities
-Serwery SQL powinny być skonfigurowane z okresem przechowywania inspekcji większym niż 90 dni.- SQL servers should be configured with auditing retention days greater than 90 days.

Włącz zaawansowaną ochronę przed zagrożeniami (maksymalny wynik 0)

Enable advanced threat protection (max score 0)

Ochrona przed zagrożeniami w Azure Security Center zapewnia kompleksową ochronę środowiska.
Azure Security Center's threat protection provides comprehensive defenses for your environment. Gdy Security Center wykryje zagrożenie w dowolnym obszarze środowiska, generuje alert.When Security Center detects a threat in any area of your environment, it generates an alert. Te alerty opisują szczegóły zasobów, których to dotyczy, sugerowane kroki zaradcze, a w niektórych przypadkach opcja wyzwalająca aplikację logiki w odpowiedzi.These alerts describe details of the affected resources, suggested remediation steps, and in some cases an option to trigger a logic app in response.
Każdy pakiet ochrony przed zagrożeniami jest oddzielną, opcjonalną ofertą, którą można włączyć przy użyciu odpowiedniego zalecenia w tej kontroli zabezpieczeń.Each threat protection bundle is a separate, optional offering which you can enable using the relevant recommendation in this security control.
Dowiedz się więcej o ochronie przed zagrożeniami w programie Security Center.Learn more about threat protection in Security Center.
-Zaawansowane zabezpieczenia danych powinny być włączone na serwerach Azure SQL Database- Advanced data security should be enabled on Azure SQL Database servers
-Zaawansowane zabezpieczenia danych powinny być włączone na serwerach SQL na maszynach- Advanced data security should be enabled on SQL servers on machines
-Zaawansowana ochrona przed zagrożeniami powinna być włączona na Virtual Machines- Advanced threat protection should be enabled on Virtual Machines
-Zaawansowana ochrona przed zagrożeniami powinna być włączona w planach Azure App Service- Advanced threat protection should be enabled on Azure App Service plans
-Zaawansowana ochrona przed zagrożeniami powinna być włączona na kontach usługi Azure Storage- Advanced threat protection should be enabled on Azure Storage accounts
-Zaawansowana ochrona przed zagrożeniami powinna być włączona w klastrach usługi Azure Kubernetes- Advanced threat protection should be enabled on Azure Kubernetes Service clusters
-Zaawansowana ochrona przed zagrożeniami powinna być włączona w rejestrach Azure Container Registry- Advanced threat protection should be enabled on Azure Container Registry registries
-Zaawansowana ochrona przed zagrożeniami powinna być włączona w magazynach Azure Key Vault- Advanced threat protection should be enabled on Azure Key Vault vaults

Implementowanie najlepszych rozwiązań w zakresie zabezpieczeń (maksymalny wynik 0)

Implement security best practices (max score 0)

Nowoczesne praktyki bezpieczeństwa "założono naruszenie" sieci obwodowej.
Modern security practices “assume breach” of the network perimeter. Z tego powodu wiele najlepszych rozwiązań związanych z tym formantem koncentruje się na zarządzaniu tożsamościami.For that reason, many of the best practices in this control focus on managing identities.
Utrata kluczy i poświadczeń jest typowym problemem.Losing keys and credentials is a common problem. Azure Key Vault chroni klucze i wpisy tajne, szyfrując klucze, pliki PFX i hasła.Azure Key Vault protects keys and secrets by encrypting keys, .pfx files, and passwords.
Wirtualne sieci prywatne (VPN) są bezpiecznym sposobem uzyskiwania dostępu do maszyn wirtualnych.Virtual private networks (VPNs) are a secure way to access your virtual machines. Jeśli sieci VPN nie są dostępne, użyj skomplikowanych hasła i uwierzytelniania dwuskładnikowego, takiego jak Azure Multi-Factor Authentication.If VPNs aren't available, use complex passphrases and two-factor authentication such as Azure Multi-Factor Authentication. Uwierzytelnianie dwuskładnikowe eliminuje słabe znaczenie związane z używaniem tylko nazw użytkowników i haseł.Two-factor authentication avoids the weaknesses inherent in relying only on usernames and passwords.
Korzystanie z mocnych platform uwierzytelniania i autoryzacji to inne najlepsze rozwiązanie.Using strong authentication and authorization platforms is another best practice. Korzystanie z tożsamości federacyjnych umożliwia organizacjom delegowanie zarządzania autoryzowanymi tożsamościami.Using federated identities allows organizations to delegate management of authorized identities. Jest to również ważne, gdy pracownicy są przerwani, a ich dostęp musi zostać odwołany.This is also important when employees are terminated, and their access needs to be revoked.
-Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli- A maximum of 3 owners should be designated for your subscription
-Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji- External accounts with read permissions should be removed from your subscription
-Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w ramach subskrypcji- MFA should be enabled on accounts with read permissions on your subscription
-Dostęp do kont magazynu z konfiguracją zapory i sieci wirtualnej należy ograniczyć- Access to storage accounts with firewall and virtual network configurations should be restricted
-Wszystkie reguły autoryzacji z wyjątkiem RootManageSharedAccessKey powinny zostać usunięte z przestrzeni nazw centrum zdarzeń- All authorization rules except RootManageSharedAccessKey should be removed from Event Hub namespace
-Dla serwerów SQL powinien zostać zainicjowany administrator Azure Active Directory- An Azure Active Directory administrator should be provisioned for SQL servers
-Zaawansowana ochrona danych powinna być włączona w wystąpieniach zarządzanych- Advanced data security should be enabled on your managed instances
-Należy zdefiniować reguły autoryzacji w wystąpieniu centrum zdarzeń- Authorization rules on the Event Hub instance should be defined
-Konta magazynu należy migrować do nowych zasobów Azure Resource Manager- Storage accounts should be migrated to new Azure Resource Manager resources
-Maszyny wirtualne należy migrować do nowych zasobów Azure Resource Manager- Virtual machines should be migrated to new Azure Resource Manager resources
-Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń- Subnets should be associated with a Network Security Group
-Przeglądania Funkcja Windows Exploit Guard powinna być włączona- [Preview] Windows exploit guard should be enabled
-Przeglądania Należy zainstalować agenta konfiguracji gościa- [Preview] Guest configuration agent should be installed
-Maszyny wirtualne, które nie są dostępne w Internecie, powinny być chronione przy użyciu sieciowych grup zabezpieczeń- Non-internet-facing virtual machines should be protected with network security groups

Bezpieczna ocena — często zadawane pytaniaSecure score FAQ

Dlaczego mój bezpieczny wskaźnik został usunięty?Why has my secure score gone down?

Security Center przełączono do rozszerzonego bezpiecznego wyniku, który obejmuje zmiany w sposobie obliczania wyniku.Security Center has switched to an enhanced secure score which includes changes in the way the score is calculated. Teraz należy rozwiązać wszystkie zalecenia dotyczące zasobu, aby otrzymywać punkty.Now, you must solve all recommendation for a resource to receive points. Wyniki również zostały zmienione na skalę 0-10.The scores also changed to a scale of 0-10.

Czy w ramach kontroli zabezpieczeń są adresowane tylko trzy z czterech zaleceń, czy mój bezpieczny wynik zmieni się?If I address only three out of four recommendations in a security control, will my secure score change?

Nie.No. Nie ulegnie zmianie, dopóki nie zostaną skorygowane wszystkie zalecenia dotyczące pojedynczego zasobu.It won't change until you remediate all of the recommendations for a single resource. Aby uzyskać maksymalny wynik kontrolki, należy skorygować wszystkie zalecenia dla wszystkich zasobów.To get the maximum score for a control, you must remediate all recommendations, for all resources.

Czy poprzednie środowisko bezpiecznego wyniku jest nadal dostępne?Is the previous experience of the secure score still available?

Nie.No. Przez czas, gdy są uruchamiane obok siebie, aby ułatwić przejście.For a while they ran side by side to ease the transition. Poprzedni model został już uznany za przestarzały.The previous model has now been deprecated.

Jeśli zalecenie nie dotyczy mnie i nie zostało wyłączone w zasadach, czy moja kontrola zabezpieczeń zostanie zrealizowana, a my zabezpieczony?If a recommendation isn't applicable to me, and I disable it in the policy, will my security control be fulfilled and my secure score updated?

Tak.Yes. Zalecamy wyłączenie zaleceń, gdy nie są one stosowane w danym środowisku.We recommend disabling recommendations when they're inapplicable in your environment. Aby uzyskać instrukcje dotyczące sposobu wyłączania określonego zalecenia, zobacz temat wyłączanie zasad zabezpieczeń.For instructions on how to disable a specific recommendation, see Disable security policies.

Jeśli kontrola zabezpieczeń oferuje mi zero punktów na rzecz mojego bezpiecznego oceny, należy ją zignorować?If a security control offers me zero points towards my secure score, should I ignore it?

W niektórych przypadkach zobaczysz maksymalny wynik kontrolki większy od zera, ale wpływ wynosi zero.In some cases, you'll see a control max score greater than zero, but the impact is zero. Gdy przyrostowy wynik naprawiania zasobów jest nieznaczny, jest on zaokrąglony do zera.When the incremental score for fixing resources is negligible, it's rounded to zero. Nie należy ignorować tych zaleceń, ponieważ nadal wprowadzają ulepszenia zabezpieczeń.Don't ignore these recommendations as they still bring security improvements. Jedynym wyjątkiem jest "dodatkowa kontrola najlepszych rozwiązań".The only exception is the "Additional Best Practice" control. Korygowaniem te zalecenia nie spowodują zwiększenia wyniku, ale zwiększy swoje ogólne zabezpieczenia.Remediating these recommendations won't increase your score, but it will enhance your overall security.

Następne krokiNext steps

Ten artykuł zawiera opis bezpiecznego wyniku i kontroli zabezpieczeń, które wprowadza.This article described the secure score and the security controls it introduces. W przypadku pokrewnego materiału zapoznaj się z następującymi artykułami:For related material, see the following articles: