Базовый план обеспечения безопасности Azure для пакетной службы
Этот базовый план безопасности применяет рекомендации из microsoft cloud security benchmark версии 1.0 к пакетной службе. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к пакетной службе.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если функция имеет релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание
Функции , неприменимые к пакетной службе, были исключены. Чтобы узнать, как пакетная служба полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности пакетной службы.
Профиль безопасности
Профиль безопасности обобщает поведение пакетной службы с высокой степенью влияния, что может привести к повышению безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Вычисления |
| Клиент может получить доступ к HOST или ОС | Только для чтения |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | Неверно |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Развертывание пулов пакетная служба Azure в виртуальной сети. Рассмотрите возможность подготовки пула без общедоступных IP-адресов, чтобы ограничить доступ к узлам в частной сети и снизить возможность обнаружения узлов из Интернета.
Справка. Создание пула пакетная служба Azure в виртуальной сети
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. По умолчанию пакетная служба добавляет группы безопасности сети (NSG) на уровне сетевых интерфейсов, подключенных к вычислительным узлам.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справка. Создание пула пакетная служба Azure в виртуальной сети
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Приватный канал Azure
Описание: возможность фильтрации ip-адресов службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Развертывание частных конечных точек для учетных записей пакетная служба Azure. Это ограничивает доступ к учетным записям пакетной службы к виртуальной сети, в которой они находятся, или к любой пиринговой виртуальной сети.
Справочник. Использование частных конечных точек с учетными записями пакетная служба Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации ACL ip-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Отключите доступ из общедоступной сети к учетным записям пакетной службы, установив для параметра "Доступ к общедоступной сети" значение "Отключено".
Справка. Отключение доступа к общедоступной сети
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных вместо использования общих ключей.
Справка. Проверка подлинности с помощью Azure AD
Локальные методы проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Ограничьте использование локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справка. Проверка подлинности с помощью общего ключа
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Справочник. Настройка управляемых удостоверений в пулах пакетной службы
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Дополнительное руководство. Для проверки подлинности приложения, которое выполняется автоматически, можно использовать субъект-службу. После регистрации приложения создайте соответствующие конфигурации на портале Azure для субъекта-службы, например запрос секрета для приложения и назначение ролей Azure RBAC.
Справка. Проверка подлинности решений пакетной службы с помощью Azure Active Directory
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. пакетная служба Azure поддерживает Azure RBAC для управления доступом к следующим типам ресурсов: учетные записи, задания, задачи и пулы.
Справка.Назначение Azure RBAC приложению
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Шифрование данных при передаче
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Некоторые сведения, указанные в API пакетной службы, такие как сертификаты учетных записей, метаданные заданий и задач, а также командные строки задач, автоматически шифруются при хранении пакетной службой. По умолчанию эти данные шифруются с помощью ключей, управляемых платформой пакетной службы платформы Azure, которые уникальны для каждой из учетных записей пакетной службы.
Эти данные также можно зашифровать с помощью ключей, управляемых клиентом. Для создания и хранения ключа используется Azure Key Vault, причем идентификатор ключа регистрируется в вашей учетной записи пакетной службы.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью управляемых клиентом ключей поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Справочник. Настройка ключей, управляемых клиентом
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей, секретов или сертификатов клиента. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и службе по определенному расписанию или при прекращении использования или компрометации ключа. Если необходимо использовать управляемый клиентом ключ (CMK) на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы следуете рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импортировать ключи, защищенные устройством HSM, из локальных устройств HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
Примечание. Клиент должен согласиться на использование управляемых клиентом ключей, иначе по умолчанию служба будет использовать ключи платформы, управляемые корпорацией Майкрософт.
DP-7: безопасное управление сертификатами
Компоненты
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию azure Key Vault для любых сертификатов клиента. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом сертификата, включая создание, импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификата соответствует определенным стандартам без использования небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасное шифрование. Настройте автоматическую смену сертификата в Azure Key Vault и службе Azure (если она поддерживается) по определенному расписанию или при истечении срока действия сертификата. Если автоматическая смена не поддерживается в приложении, убедитесь, что они по-прежнему сменяются с помощью ручных методов в Azure Key Vault и приложении.
Справочник. Использование сертификатов и безопасный доступ к azure Key Vault с помощью пакетной службы
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облака, чтобы настроить Политика Azure для аудита и принудительного применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует] для обеспечения безопасной конфигурации в ресурсах Azure.
В любых сценариях, где встроенные определения политик не существуют, можно использовать псевдонимы Политика Azure в пространстве имен Microsoft.Batch для создания пользовательских политик.
Справка. Политика Azure встроенных определений для пакетная служба Azure
AM-5: использование только утвержденных приложений на виртуальной машине
Компоненты
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для предложения услуг и продуктов
Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4: включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Включите журналы ресурсов Azure для пакетная служба Azure для следующих типов журналов: ServiceLog и AllMetrics.
Справочник. Метрики, оповещения и журналы пакетной службы для оценки и мониторинга диагностики
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление состоянием и уязвимостями.
PV-3: определение и задание безопасных конфигураций вычислительных ресурсов
Компоненты
Служба автоматизации Azure — State Configuration
Описание: служба автоматизации Azure State Configuration можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
агент гостевой конфигурации Политика Azure
Описание: Политика Azure агента гостевой конфигурации можно установить или развернуть в качестве расширения для вычислительных ресурсов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование пользовательских образов виртуальных машин или готовых образов из Marketplace с предварительно примененными определенными базовыми конфигурациями. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Руководство по настройке. По возможности используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемый базовый план безопасной конфигурации в шаблоне образа виртуальной машины.
Клиенты также могут использовать пользовательские образы операционной системы для пакетная служба Azure. При использовании конфигурации виртуальной машины для пакетная служба Azure убедитесь, что пользовательские образы защищены в соответствии с потребностями вашей организации. Для управления жизненным циклом пулы хранят образы в общей коллекции образов. Вы можете настроить безопасный процесс сборки образа с помощью средств автоматизации Azure, таких как Конструктор образов Azure.
Справочник. Создание настраиваемого пула образов с помощью управляемого образа
Пользовательские образы контейнеров
Описание. Служба поддерживает использование пользовательских образов контейнеров или готовых образов из Marketplace с предварительно примененными определенными базовыми конфигурациями. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Совмещаемая блокировка |
Руководство по настройке. При использовании пула пакетной службы для выполнения задач в контейнерах, совместимых с Docker, на узлах используйте предварительно настроенные защищенные образы контейнеров от доверенного поставщика, например Майкрософт, или создайте требуемый базовый план безопасной конфигурации в шаблоне образа контейнера.
Справочник. Запуск приложений-контейнеров в пакетная служба Azure
PV-5: выполнение оценок уязвимостей
Компоненты
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может проверяться на наличие уязвимостей с помощью Microsoft Defender для облака или других встроенных возможностей оценки уязвимостей служб Microsoft Defender (включая Microsoft Defender для сервера, реестра контейнеров, Служба приложений, SQL и DNS). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PV-6: быстрое и автоматическое исправление уязвимостей
Компоненты
Управление обновлениями в службе автоматизации Azure
Описание. Служба может использовать управление обновлениями служба автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
безопасность конечных точек.
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Endpoint security ( Безопасность конечных точек).
ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)
Компоненты
Решение EDR
Описание. Функция обнаружения и реагирования на конечные точки (EDR), например Azure Defender для серверов, может быть развернута в конечной точке. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами
Компоненты
Решение для защиты от вредоносных программ
Описание. Функция защиты от вредоносных программ, например антивирусная программа Microsoft Defender, Microsoft Defender для конечной точки можно развернуть в конечной точке. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур
Компоненты
Мониторинг работоспособности решения для защиты от вредоносных программ
Описание. Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности для обновлений платформы, подсистемы и автоматических сигнатур. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Производительность производительности облачной безопасности Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственную возможность резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.