Базовые показатели безопасности Azure для Виртуальные машины — Linux Виртуальные машины
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Виртуальные машины — Linux Виртуальные машины. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Виртуальные машины — Linux Виртуальные машины.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции, неприменимые к Виртуальные машины — Виртуальные машины Linux исключены. Чтобы узнать, как Виртуальные машины — Linux Виртуальные машины полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления Виртуальные машины — Linux Виртуальные машины базовых показателей безопасности.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении Виртуальные машины — Linux Виртуальные машины, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Вычисления |
| Клиент может получить доступ к HOST/ОС | Полный доступ |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Виртуальные сети и виртуальные машины в Azure
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте группы безопасности сети (NSG) для ограничения или отслеживания трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
При создании виртуальной машины Azure необходимо создать виртуальную сеть или использовать существующую виртуальную сеть и настроить виртуальную машину с подсетью. Убедитесь, что все развернутые подсети содержат группу безопасности сети, к которой относятся элементы управления доступом к сети, относящиеся к доверенным портам и источникам приложений.
Справочник. Группы безопасности сети
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В ОС Linux можно установить такие службы, как iptables или firewalld, и обеспечить фильтрацию сети для отключения общего доступа.
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Вход на виртуальную машину Linux в Azure с помощью Azure AD и OpenSSH
Локальные методы проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Учетная запись локального администратора создается по умолчанию во время первоначального развертывания виртуальной машины. Избегайте использования локальных методов проверки подлинности или учетных записей. Их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Управляемое удостоверение традиционно используется виртуальной машиной Linux для проверки подлинности в других службах. Если виртуальная машина Linux поддерживает проверку подлинности Azure AD, то может поддерживаться управляемое удостоверение.
Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут выполнять проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Субъекты-службы могут использоваться приложениями, работающими на виртуальной машине Linux.
Руководство по конфигурации. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. См. дополнительные сведения: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Используйте Azure AD в качестве основной платформы проверки подлинности и центра сертификации для SSH на виртуальной машине Linux с помощью Azure AD и проверки подлинности на основе сертификата OpenSSH. Эта функция позволяет организациям управлять доступом к виртуальным машинам с помощью управления на основе ролей (RBAC) Azure и политик условного доступа.
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокирование рискованного поведения при входе или требование устройств, управляемых организацией, для определенных приложений.
Справочник. Вход на виртуальную машину Linux в Azure с помощью Azure AD и OpenSSH
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Учетные данные и секреты службы поддерживают интеграцию и хранение в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. В плоскости данных или операционной системе службы могут вызывать Key Vault Azure для учетных данных или секретов.
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, а не встраиваются в файлы кода или конфигурации.
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access( Привилегированный доступ).
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Компоненты
Локальные учетные записи Администратор
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справка. Краткое руководство. Создание виртуальной машины Linux в портал Azure
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Используйте Azure AD в качестве основной платформы проверки подлинности и центра сертификации для SSH-доступа к виртуальной машине Linux с помощью проверки подлинности на основе Azure AD и сертификата OpenSSH. Эта функция позволяет организациям управлять доступом к виртуальным машинам с помощью управления на основе ролей (RBAC) Azure и политик условного доступа.
Руководство по настройке. С помощью RBAC укажите, кто может входить в виртуальную машину как обычный пользователь или с правами администратора. По мере присоединения пользователей к вашей группе можно обновлять политику Azure RBAC для виртуальной машины, предоставляя соответствующий доступ. Когда сотрудники уходят из вашей организации, а их учетная запись пользователя отключается или удаляется из Azure AD, они теряют доступ к вашим ресурсам.
Справка. Вход на виртуальную машину Linux в Azure с помощью Azure AD и OpenSSH
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Компоненты
Обнаружение и классификация конфиденциальных данных
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Шифрование данных при передаче
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Некоторые протоколы связи, такие как SSH, шифруются по умолчанию. Однако другие службы, такие как HTTP, должны быть настроены для использования TLS для шифрования.
Руководство по настройке. Включите безопасную передачу в службах, где есть встроенная функция шифрования данных при передаче. Примените протокол HTTPS для любых веб-приложений и служб и убедитесь, что используется ПРОТОКОЛ TLS версии 1.2 или более поздней. Устаревшие версии, такие как SSL 3.0, TLS версии 1.0, должны быть отключены. Для удаленного управления Виртуальные машины вместо незашифрованного протокола используйте SSH (для Linux) или RDP/TLS (для Windows).
Справка. Шифрование при передаче на виртуальных машинах
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Для защиты конфиденциальности информации, передаваемых через Интернет, компьютеры должны использовать последнюю версию стандартного отраслевого криптографического протокола TLS. ПРОТОКОЛ TLS защищает обмен данными по сети, шифруя подключение между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. По умолчанию управляемые диски используют ключи шифрования, управляемые платформой. Все управляемые диски, снимки, образы и данные, сохраняемые на существующие управляемые диски, автоматически шифруются как неактивные данные с использованием ключей, управляемых платформой.
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Шифрование хранилища дисков Azure на стороне сервера — ключи, управляемые платформой
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и поток данных между вычислениями и хранилищем не шифруются. Пропустите эту рекомендацию, если: 1. вы используете шифрования на узле или 2. шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Виртуальные машины Linux должны включать шифрование дисков Azure или EncryptionAtHost. | По умолчанию диски операционной системы и данных виртуальной машины шифруются при хранении с помощью ключей, управляемых платформой; Временные диски и кэши данных не шифруются, а данные не шифруются при переключениях между вычислительными ресурсами и ресурсами хранилища. Используйте шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Посетите страницу https://aka.ms/diskencryptioncomparison , чтобы сравнить предложения по шифрованию. Эта политика требует развертывания двух предварительных требований в область назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Вы можете управлять шифрованием на уровне каждого управляемого диска с помощью собственных ключей. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Ключи CMK обеспечивают большую гибкость при администрировании операций управления доступом.
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Виртуальные диски на Виртуальные машины шифруются при хранении с помощью шифрования на стороне сервера или шифрования дисков Azure (ADE). Шифрование дисков Azure использует функцию DM-Crypt в Linux для шифрования управляемых дисков с помощью управляемых клиентом ключей в гостевой виртуальной машине. Шифрование на стороне сервера с использованием управляемых клиентом ключей улучшает работу шифрования дисков Azure, позволяя использовать любые типы ОС и образы для виртуальных машин путем шифрования данных в службе хранилища.
Справочник. Шифрование хранилища дисков Azure на стороне сервера— ключи, управляемые клиентом
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и вашей службе по определенному расписанию или при прекращении или компрометации ключа. Если необходимо использовать ключ, управляемый клиентом (CMK), на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы соблюдаете рекомендации по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно использовать собственный ключ (BYOK) в службе (например, импортировать ключи, защищенные HSM, из локальных модулей HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
Справочник. Создание и настройка хранилища ключей для шифрования дисков Azure
DP-7: безопасное управление сертификатами
Компоненты
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Политика Azure можно использовать для определения требуемого поведения для виртуальных машин Windows и Linux в вашей организации. С помощью политик организация может применять различные соглашения и правила на предприятии, а также определять и реализовывать стандартные конфигурации безопасности для azure Виртуальные машины. Обязательные для выполнения стандарты поведения помогают снизить риск, что способствует успешной деятельности организации.
Справка. Политика Azure встроенных определений для Azure Виртуальные машины
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
AM-5: использование только утвержденных приложений на виртуальной машине
Компоненты
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облачных адаптивных элементов управления приложениями, чтобы обнаруживать приложения, работающие на виртуальных машинах, и создавать список разрешений приложений, чтобы указать, какие утвержденные приложения могут выполняться в среде виртуальной машины.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для предложения услуг и продуктов
Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Defender для серверов расширяет защиту компьютеров Windows и Linux, работающих в Azure. Defender для серверов интегрируется с Microsoft Defender для конечной точки для обеспечения обнаружения и реагирования на конечные точки (EDR), а также предоставляет множество дополнительных функций защиты от угроз, таких как базовые показатели безопасности и оценки на уровне ОС, сканирование оценки уязвимостей, адаптивные элементы управления приложениями (AAC), мониторинг целостности файлов (FIM) и многое другое.
Справочник. Планирование развертывания Defender для серверов
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4. Включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Azure Monitor начинает автоматически собирать данные метрик для узла виртуальной машины при создании виртуальной машины. Однако для сбора журналов и данных о производительности из гостевой операционной системы виртуальной машины необходимо установить агент Azure Monitor. Вы можете установить агент и настроить сбор с помощью аналитики виртуальных машин или путем создания правила сбора данных .
Справочник. Обзор агента Log Analytics
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление состоянием и уязвимостями.
PV-3: определение и задание безопасных конфигураций вычислительных ресурсов
Компоненты
Служба автоматизации Azure — State Configuration
Описание: служба автоматизации Azure State Configuration можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте служба автоматизации Azure State Configuration для поддержания конфигурации безопасности операционной системы.
Справочник. Настройка виртуальной машины с помощью Desired State Configuration
агент гостевой конфигурации Политика Azure
Описание. Политика Azure агент гостевой конфигурации можно установить или развернуть в качестве расширения для вычислительных ресурсов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях: Политика Azure гостевой конфигурации теперь называется Конфигурация компьютера автоматического управления Azure.
Руководство по настройке. Используйте Microsoft Defender для облака и агента гостевой конфигурации Политика Azure для регулярной оценки и устранения отклонений конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и т. д.
Справочник. Общие сведения о функции конфигурации компьютера в службе "Автоматическое управление Azure"
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование предоставленных пользователем образов виртуальных машин или предварительно созданных образов из Marketplace с предварительно примененными определенными базовыми конфигурациями. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемую защищенную конфигурацию в шаблоне образа виртуальной машины.
Справочник. Руководство. Создание пользовательского образа виртуальной машины Azure с помощью Azure CLI
PV-4: проведение аудита и реализация безопасных конфигураций вычислительных ресурсов
Компоненты
Доверенный запуск виртуальной машины
Описание. Доверенный запуск защищает от сложных и постоянных атак, сочетая такие технологии инфраструктуры, как безопасная загрузка, vTPM и мониторинг целостности. Каждая технология обеспечивает следующий уровень защиты от сложных угроз. Доверенный запуск позволяет безопасно развертывать виртуальные машины с проверенными загрузчиками, ядрами ОС и драйверами, а также безопасно защищать ключи, сертификаты и секреты на виртуальных машинах. Доверенный запуск также предоставляет аналитические сведения и уверенность в целостности всей цепочки загрузки, а также гарантирует, что рабочие нагрузки являются доверенными и проверяемыми. Доверенный запуск интегрируется с Microsoft Defender для облака, чтобы обеспечить правильную настройку виртуальных машин путем удаленного аттестации виртуальной машины, загруженной в работоспособном режиме. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Примечание о функции. Доверенный запуск доступен для виртуальных машин поколения 2. Для доверенного запуска требуется создание новых виртуальных машин. Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.
Руководство по настройке. Доверенный запуск может быть включен во время развертывания виртуальной машины. Включите все три параметра: безопасную загрузку, vTPM и мониторинг целостности загрузки, чтобы обеспечить наилучшее состояние безопасности виртуальной машины. Обратите внимание, что существует несколько предварительных требований, включая подключение подписки к Microsoft Defender для облака, назначение определенных инициатив Политика Azure и настройку политик брандмауэра.
Справочник. Развертывание виртуальной машины с включенным доверенным запуском
PV-5: выполнение оценок уязвимостей
Компоненты
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может быть проверена на наличие уязвимостей с помощью Microsoft Defender для облака или других встроенных Microsoft Defender служб оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, Служба приложений, SQL и DNS). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Следуйте рекомендациям Microsoft Defender для облака по выполнению оценки уязвимостей на виртуальных машинах Azure.
Справочник. Планирование развертывания Defender для серверов
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: быстрое и автоматическое исправление уязвимостей
Компоненты
Управление обновлениями в службе автоматизации Azure
Описание. Служба может использовать управление обновлениями служба автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте управление обновлениями служба автоматизации Azure или стороннее решение, чтобы убедиться, что на виртуальных машинах Linux установлены самые последние обновления для системы безопасности.
Справочник. Управление обновлениями и исправлениями для виртуальных машин
Гостевая служба исправлений Azure
Описание. Служба может использовать гостевые исправления Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Службы могут использовать различные механизмы обновления, такие как автоматическое обновление образа ОС и автоматическое исправление гостевой системы. Эти возможности рекомендуется использовать для применения последних обновлений системы безопасности и критических обновлений к гостевой ОС виртуальной машины, следуя принципам безопасного развертывания.
Автоматическая установка исправлений для гостей позволяет автоматически оценивать и обновлять виртуальные машины Azure для обеспечения соответствия требованиям к безопасности с помощью критических обновлений и обновлений для системы безопасности, выпущенных каждый месяц. Обновления применяются в часы непиковой нагрузки, включая виртуальные машины в группе доступности. Эта возможность доступна для гибкой оркестрации VMSS с будущей поддержкой в стратегии универсальной оркестрации.
Если вы запускаете рабочую нагрузку без отслеживания состояния, автоматическое обновление образа ОС идеально подходит для применения последнего обновления для универсальной системы VMSS. Благодаря возможности отката эти обновления совместимы с Marketplace или пользовательскими образами. Поддержка последовательного обновления в будущем в стратегии гибкой оркестрации.
Справочник. Автоматическое исправление гостевой виртуальной машины для виртуальных машин Azure
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 4.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. На компьютерах (под управлением Центра обновления) должны быть установлены обновления системы | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
безопасность конечных точек.
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Endpoint Security( Безопасность конечных точек).
ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)
Компоненты
Решение EDR
Описание. В конечной точке можно развернуть функцию обнаружения конечных точек и реагирования (EDR), например Azure Defender для серверов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Azure Defender для серверов (с интегрированными Microsoft Defender для конечной точки) предоставляет возможность EDR для предотвращения, обнаружения, исследования и реагирования на расширенные угрозы. Используйте Microsoft Defender для облака, чтобы развернуть Microsoft Defender для серверов на конечной точке и интегрировать оповещения в решение SIEM, например Azure Sentinel.
Справочник. Планирование развертывания Defender для серверов
ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами
Компоненты
Решение для защиты от вредоносных программ
Описание. Функция защиты от вредоносных программ, например антивирусная программа Microsoft Defender, Microsoft Defender для конечной точки можно развернуть в конечной точке. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Для Linux клиенты могут выбрать установку Microsoft Defender для конечной точки для Linux. Кроме того, клиенты также могут устанавливать сторонние продукты для защиты от вредоносных программ.
Справочные материалы: Microsoft Defender для конечной точки в Linux
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны здесь: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек документально представлена здесь: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны здесь: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек документально представлена здесь: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур
Компоненты
Мониторинг работоспособности решения для защиты от вредоносных программ
Описание. Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности платформы, подсистемы и автоматических обновлений подписей. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Аналитика безопасности и обновления продуктов применяются к Defender для конечной точки, которую можно установить на виртуальных машинах Linux.
Руководство по настройке. Настройте решение для защиты от вредоносных программ, чтобы обеспечить быстрое и согласованное обновление платформы, подсистемы и сигнатур, а также отслеживание их состояния.
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны здесь: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек документально представлена здесь: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны здесь: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек документально представлена здесь: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Включите Azure Backup и целевые Виртуальные машины Azure , а также требуемую частоту и сроки хранения. Сюда входит полное резервное копирование состояния системы. При использовании шифрования дисков Azure служба резервного копирования виртуальных машин Azure обрабатывает резервные копии ключей, управляемых клиентом, автоматически. Для Виртуальные машины Azure можно использовать Политика Azure для включения автоматического резервного копирования.
Справочник. Параметры резервного копирования и восстановления для виртуальных машин в Azure
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.