Базовый план обеспечения безопасности Azure для пакетной службы

Этот базовый план безопасности применяет руководство от Azure Security Benchmark версии 2.0 к пакетной службе Azure. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и соответствующем руководстве, применимом к пакетной службе.

Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если раздел содержит соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к пакетной службе, и те, для которых рекомендуется глобальное руководство, были исключены. Сведения о полном сопоставлении пакетной службы с Azure Security Benchmark см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Руководство. Разверните пулы пакетной службы Azure в виртуальной сети. Пул можно подготавливать в подсети виртуальной сети Azure. Это действие позволяет вычислительным узлам пула безопасно взаимодействовать с другими виртуальными машинами или локальной сетью. Вы развертываете пул в виртуальной сети? Затем вы можете управлять группой безопасности сети (NSG), которая используется для защиты сетевых интерфейсов (NIC) отдельных узлов и подсети. Настройте NSG, чтобы разрешить трафик только от доверенных IP-адресов или расположений в Интернете.

Отключите общедоступные конечные точки RDP и SSH через порт 3389 (Windows) или 22 (Linux). После этого внешние источники не смогут подключиться к вычислительным узлам пакетной службы или обнаружить удаленный доступ к ним. Настройте эти порты для доступа с помощью механизмов JIT в назначенных группах безопасности сети.

Требуется ли поддержка задач с несколькими экземплярами с определенными средами выполнения MPI? В Linux может потребоваться включить правила порта 22. Однако разрешение передачи трафика через эти порты не является обязательным для использования вычислительных узлов пула.

Ответственность: Customer

NS-2: совместное подключение частных сетей

Руководство. Так как пакетная служба Azure может быть развернута непосредственно в виртуальных сетях, имеется множество способов включения доступа к ресурсам службы из других сетей.

С помощью Azure ExpressRoute или виртуальной частной сети Azure (VPN) можно создать частные подключения между центрами обработки данных Azure и локальной инфраструктурой среды. Эти подключения находятся в среде совместного размещения для сети, в которой размещаются ресурсы пакетной службы. Подключение ExpressRoute не проходит через общедоступный Интернет. По сравнению с типичным подключением к Интернету подключение ExpressRoute предлагает следующее:

  • повышенная надежность;
  • более высокая скорость;
  • более низкие задержки.

В случае VPN "точка — сеть" и VPN типа "сеть — сеть" локальные устройства или сети можно подключить к виртуальной сети с помощью любого сочетания параметров VPN и Azure ExpressRoute.

Для подключения двух или более виртуальных сетей в Azure используйте пиринг между виртуальными сетями или Приватный канал. Трафик между одноранговыми виртуальными сетями является частным и не выходит за пределы магистральной сети Azure.

Ответственность: Customer

NS-3: установка доступа к частной сети для служб Azure

Руководство. Ограничить доступ к узлам и снизить возможность обнаружения узлов из Интернета можно путем подготовки пула без общедоступных IP-адресов. Чтобы вычислительные узлы пула могли безопасно взаимодействовать с другими виртуальными машинами или с локальной сетью, можно подготовить пул к работе в подсети виртуальной сети Azure. С помощью Приватного канала Azure можно разрешить частный доступ к пакетной службе из ваших виртуальных сетей без перехода в Интернет. Служба Приватного канала Azure защищена. Она принимает подключения только от проверенных и авторизованных частных конечных точек. Настройка частных конечных точек для пакетной службы Azure является более безопасной и не ограничивает возможности предложения.

Ответственность: Customer

NS-4: защита приложений и служб от внешних сетевых атак

Руководство. Ресурсы Azure защищены от сетевых атак извне, таких как:

  • распределенные атаки типа "отказ в обслуживании" (DDoS);
  • атаки на конкретные приложения;
  • нежелательный, потенциально вредоносный интернет-трафик.

С помощью Брандмауэра Azure можно защитить приложения и службы в своих виртуальных сетях. Избегайте потенциально вредоносного трафика, поступающего из Интернета и других внешних расположений. Защитите свои ресурсы от атак DDoS, включив в виртуальных сетях Azure стандартную защиту от атак DDoS. Используйте Microsoft Defender для облака для обнаружения рисков, связанных с неправильной настройкой сетевых ресурсов.

Ответственность: Совмещаемая блокировка

NS-6: упрощение правил безопасности сети

Руководство. В пакетной службе Azure используйте встроенные теги службы виртуальной сети Azure для определения элементов управления доступом к сети. Элементы управления доступом к сети применяются к группам безопасности сети или Брандмауэрам Azure, настроенным для ресурсов пакетной службы.

В развертываниях, выделенных для пакетной службы Azure, необходимо создать правила безопасности сети для трафика управления? Затем используйте тег службы BatchNodeManagement вместо конкретных IP-адресов. При доступе к службам Azure с общедоступными конечными точками также обеспечьте сетевую изоляцию и защитите ресурсы Azure от общего Интернета.

Указав имя тега службы в источнике или назначении правила, можно разрешить или запретить трафик для соответствующей службы. Корпорация Майкрософт управляет префиксами адресов, которые входят в тег службы, и автоматически обновляет этот тег при изменении адресов.

Группы безопасности сети помогают определять правила входящего и исходящего трафика. Используйте теги для групп безопасности сети или другой связанной сетевой безопасности и потока трафика, связанного с пулами пакетной службы Azure. В пакетных службах Azure используются IP-протоколы IPv4 и Pv6.

Ответственность: Customer

NS-7: безопасная служба доменных имен (DNS)

Руководство. Если в качестве полномочной службы DNS используется Azure DNS, защитите зоны и записи DNS от случайного или вредоносного изменения через Azure RBAC и блокировки ресурсов. Можно также использовать журналы действий Azure для наблюдения за тем, как пользователь организации изменяет ресурс. Или журналы могут помочь найти ошибку при устранении неполадок. При использовании частных конечных точек с пакетной службой Azure рекомендуется интегрировать частную конечную точку с частной зоной DNS. Вы также можете использовать собственные DNS-серверы или создать записи DNS с использованием файлов узлов на своих виртуальных машинах.

Ответственность: Customer

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-1. Стандартизация Azure Active Directory как центральной системы идентификации и проверки подлинности

Руководство. Azure Active Directory (Azure AD) используется в качестве системы проверки подлинности и авторизации пакетной службы по умолчанию. Стандартизируйте Azure AD для управления идентификацией и доступом в организации. При доступе к учетным записям пакетной службы поддерживается два метода аутентификации: общий ключ и каталог Azure Active Directory (Azure AD). Настоятельно рекомендуем использовать Azure AD для проверки подлинности учетных записей пакетной службы. Для некоторых из возможностей пакетной службы этот метод проверки подлинности обязателен, включая многие возможности безопасности.

Защита Azure AD должна иметь высокий приоритет среди мер и мероприятий организации по обеспечению безопасности в облачной среде. Оценка безопасности удостоверений Azure AD позволяет сравнить состояние безопасности удостоверений с рекомендациями Майкрософт. Чтобы улучшить состояние безопасности, используйте оценку, чтобы понять, насколько точно ваша конфигурация соответствует рекомендациям.

Ответственность: Customer

IM-2: безопасное и автоматическое управление удостоверениями приложений

Руководство. Пакетная служба Azure поддерживает управляемые удостоверения для своих ресурсов Azure. Вместо создания субъектов-служб для доступа к другим ресурсам используйте управляемые удостоверения с пакетной службой. Пакетная служба может выполнять проверку подлинности в службах или ресурсах Azure, поддерживающих проверку подлинности Azure AD. Она выполняется с помощью предварительно определенного правила предоставления доступа без использования учетных данных, жестко закодированных в файлах исходного кода или в файлах конфигурации.

Пакетная служба рекомендует использовать Azure AD для создания субъекта-службы с ограниченными разрешениями на уровне ресурса. Настройте этот субъект-службу с учетными данными сертификата и вернитесь с переходом к секретам клиента. В обоих случаях можно использовать Azure Key Vault с удостоверениями, управляемыми Azure. Затем среда выполнения (например, пул пакетной службы Azure) может получать учетные данные из хранилища ключей.

Ответственность: Customer

IM-6: ограничение доступа к ресурсам Azure на основе условий

Руководство. Чтобы ограничить управление ресурсами пакетной службы Azure, используйте условный доступ Azure AD для более детализированного контроля доступа на основе определяемых пользователем условий. Например, может потребоваться выполнить вход пользователей из определенных диапазонов IP-адресов, чтобы использовать MFA. Можно также использовать управление сеансом с детализированной проверкой подлинности, задействовав политику условного доступа Azure AD для различных вариантов использования. Этот условный доступ не применяется к общим ключам, которые используются для проверки подлинности клиента для учетных записей пакетной службы. Рекомендуется использовать Azure AD вместо этих ключей.

Ответственность: Customer

IM-7: исключение непреднамеренного раскрытия учетных данных

Руководство. Пакетная служба Azure позволяет клиентам выполнять код, потенциально имеющий удостоверения или секреты. Рекомендуется реализовать сканер учетных данных для обнаружения этих данных в коде пакетной службы Azure или конфигурациях. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Для GitHub можно использовать возможность проверки собственных секретов, которая обнаруживает учетные данные или другие формы секретов в коде.

Ответственность: Customer

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-1. Защита и ограничение пользователей с высоким уровнем привилегий

Руководство. Интегрируйте проверку подлинности для приложений пакетной службы с Azure AD. Создание политик и процедур, использующих выделенные административные роли и разрешения.

Учетной записи пользователя, запускающей задачи, можно присвоить уровень, указывающий, выполняется ли задача с повышенным уровнем доступа. Автоматическая и именованная учетная запись пользователя могут выполнять задачи с повышенными правами доступа. Ниже приведены два варианта уровня прав.

  • NonAdmin: задача выполняется от имени стандартного пользователя, без повышения прав доступа. Уровнем прав по умолчанию для учетной записи пользователя пакетной службы всегда является NonAdmin.

  • Admin: задача запускается от имени пользователя с повышенными правами доступа и получает все разрешения администратора.

Определите область повышения прав задачи пакетной службы Azure соответствующим образом. По возможности старайтесь не использовать постоянные разрешения уровня администратора.

Ответственность: Customer

PA-3. Регулярная проверка и согласование доступа пользователей

Руководство. Пакетная служба Azure использует Azure AD для обеспечения проверки подлинности для управления ресурсами. Чтобы убедиться, что учетные записи и их доступ действительны, изучите учетные записи пользователей и регулярно выполняйте доступ к назначениям. Azure AD и проверки доступа можно использовать для просмотра указанных ниже данных.

  • Членство в группах
  • Доступ к корпоративным приложениям.
  • Назначения ролей

Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Вы также можете использовать функции Azure AD Privileged Identity Management (PIM) для создания рабочих процессов получения отчета о проверке доступа, который улучшит процесс проверки.

Вы можете настроить Azure AD PIM, чтобы получать оповещения при создании чрезмерного числа учетных записей администратора. Или настройте Azure AD PIM для определения устаревших или неправильно настроенных учетных записей администратора.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD (например, общие ключи пакетной службы Azure). Вместо этого используйте Azure AD везде, где это возможно, так как вам потребуется отдельно управлять этими ключами при использовании.

Ответственность: Customer

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Руководство. Пакетная служба Azure интегрирована с Azure RBAC для управления ресурсами. С помощью Azure RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Эти роли можно назначить приведенным ниже объектам.

  • Пользователи
  • Группы
  • Субъекты-службы
  • Управляемые удостоверения

Для некоторых ресурсов существуют предварительно определенные встроенные роли. Эти роли можно включить в инвентаризацию или запросить с помощью таких средств, как:

  • Azure CLI
  • Azure PowerShell
  • Портал Azure

Привилегии, назначаемые для ресурсов в Azure RBAC, всегда должны ограничиваться только строго необходимым для той или иной роли. Эти привилегии дополняют собой JIT-подход Azure AD Privileged Identity Management (PIM). Их необходимо периодически проверять.

Используйте встроенные роли, чтобы предоставить разрешения для ресурсов пакетной службы Azure. С помощью пакетной службы Azure пользователи могут создавать настраиваемые роли RBAC Azure, основанные на пакетных операциях, в соответствии с потребностями вашего разрешения. Вместо создания настраиваемых ролей используйте встроенные роли, когда это возможно.

Ответственность: Customer

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Руководство. Пакетная служба не поддерживает клиентское хранилище. Чтобы получить доступ к данным клиента, связанным с ресурсами пакетной службы Azure, корпорация Майкрософт может работать с клиентами в сценариях поддержки для утверждения с помощью других методов.

Ответственность: Customer

Защита данных

Дополнительные сведения см. в статье Azure Security Benchmark: защита данных.

DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним меток

Руководство. Возможно, у вас есть учетные записи службы хранилища Azure, связанные с пулами пакетной службы Azure. Если эти учетные записи содержат данные о заданиях и задачах с конфиденциальной информацией, пометьте их как конфиденциальные с помощью тегов. Защитите эти учетные записи с помощью рекомендаций Azure.

Указанные ниже возможности еще не доступны для службы хранилища Azure или ресурсов вычислений.

  • Идентификация данных
  • Классификация
  • Защита от потери

Установите стороннее решение для этих возможностей, если это необходимо для обеспечения соответствия требованиям.

Если корпорация Майкрософт управляет базовой платформой пакетной службы Azure, она рассматривает все содержимое арендатора как конфиденциальное. Корпорация Майкрософт делает все возможное, чтобы значительно увеличить степень защиты от потери данных и их раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

DP-2. Защита конфиденциальных данных

Руководство. Пакетная служба Azure позволяет клиентам управлять содержимым выходных данных заданий и задач. Защитите конфиденциальные данные, ограничив доступ с помощью Azure RBAC. Пакетная служба поддерживает Azure RBAC для управления доступом к указанным ниже типам ресурсов.

  • Учетные записи
  • Задания
  • Задания
  • Пулы

Чтобы обеспечить постоянное управление доступом, все его типы должны быть согласованы с вашей корпоративной стратегией сегментации. Корпоративная стратегия сегментации должна содержать информацию о расположении конфиденциальных или критически важных для бизнеса данных и систем. Реализуйте отдельные подписки или группы управления для указанных ниже этапов.

  • Разработка
  • Тест
  • Производство

Разделите пулы пакетной службы Azure различными виртуальными сетями. Пометьте соответствующими тегами эти виртуальные сети и защитите их с помощью группы безопасности сети (NSG). Сохраняйте данные пакетной службы Azure в защищенной учетной записи службы хранилища Azure.

Корпорация Майкрософт рассматривает все содержимое клиента на управляемой ею базовой платформе как конфиденциальное. и предоставляет защиту от потери и раскрытия клиентских данных. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт имеет несколько средств управления и возможностей защиты данных по умолчанию.

Ответственность: Customer

DP-3. Мониторинг несанкционированной передачи конфиденциальных данных

Руководство. Возможно, у вас есть учетные записи службы хранилища Azure, связанные с пулами пакетной службы Azure. Если эти учетные записи содержат конфиденциальную информацию, пометьте ее как конфиденциальную с помощью тегов. Защитите эти учетные записи с помощью рекомендаций Azure.

Указанные ниже возможности еще не доступны для службы хранилища Azure или ресурсов вычислений.

  • Идентификация данных
  • Классификация
  • Предотвращение

Установите стороннее решение, если это необходимо для обеспечения соответствия требованиям.

Если корпорация Майкрософт управляет базовой платформой, она рассматривает все содержимое арендатора как конфиденциальное. Корпорация Майкрософт делает все возможное, чтобы значительно увеличить степень защиты от потери данных и их раскрытия. Чтобы обеспечить безопасность данных клиентов в Azure, корпорация Майкрософт поддерживает набор надежных элементов управления и возможностей защиты данных.

Ответственность: Совмещаемая блокировка

DP-4: шифрование конфиденциальной информации во время передачи

Инструкции. Шифруйте всю конфиденциальную информацию при передаче. Ресурсы Microsoft Azure будут согласовывать протокол TLS 1.2 по умолчанию. Убедитесь, что все клиенты, подключающиеся к пулам пакетной службы Azure или хранилищам данных (учетным записям службы хранилища Azure), могут согласовать подключение по TLS 1.2 или более поздней версии.

Убедитесь также, что для доступа к учетной записи хранения, содержащей данные пакетной службы Azure, требуется протокол HTTPS.

Ответственность: Совмещаемая блокировка

DP-5. Шифрование конфиденциальных неактивных данных

Руководство. В дополнение к средствам управления доступом пакетная служба шифрует неактивные данные, чтобы защитить их от "внешних" атак (например, доступ к базовому хранилищу) с помощью шифрования. Это гарантирует, что злоумышленники не смогут легко считывать или изменять данные.

По умолчанию Azure обеспечивает шифрование неактивных данных. Для строго конфиденциальных данных можно реализовать дополнительное шифрование при хранении во всех ресурсах Azure, где это возможно. Azure управляет ключами шифрования по умолчанию. Но при этом в Azure доступны возможности для управления собственными ключами пользователей (ключи, управляемые клиентом) для определенных служб Azure в соответствии с нормативными требованиями.

Ответственность: Customer

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-2. Предоставление группе безопасности доступа к данным инвентаризации и метаданным ресурсов

Руководство. Предоставьте доступ группам безопасности к постоянно обновляемой инвентаризации ресурсов в Azure, например пакетной службы. Группы безопасности нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков для организаций. Эти команды также используют их в качестве входных данных для непрерывного улучшения безопасности.

Создайте группу Azure AD, которая будет охватывать уполномоченных специалистов отдела безопасности организации. Назначьте доступ на чтение группе для всех ресурсов пакетной службы. Этот процесс можно упростить путем одного высокоуровневого назначения ролей в рамках подписки. Примените теги к ресурсам пакетной службы Azure, чтобы добавить необходимые метаданные для организации. Теги помогают логически организовать ресурсы пакетной службы в таксономии. На уровне учетной записи пакетной службы можно добавить теги для важных метаданных безопасности. Однако пулы или другие ресурсы пакетной службы не получат эти теги.

Ответственность: Customer

AM-3: использование только утвержденных служб Azure

Руководство. Используйте Политику Azure для аудита и ограничения круга служб (например, пакетная служба Azure), которые пользователи могут предоставлять в вашей среде. Используйте Azure Resource Graph для запроса и обнаружения ресурсов в своих подписках. Создайте с помощью Azure Monitor правила, в соответствии с которыми при обнаружении неутвержденной службы будут выдаваться оповещения.

Ответственность: Customer

AM-6: использование в вычислительных ресурсах только утвержденных приложений

Руководство. С помощью пакетной службы Azure пользователи могут устанавливать программное обеспечение на свои вычислительные узлы. В настоящее время пакетная служба не может ограничивать или создавать "список разрешений" программного обеспечения, которое можно запускать на его узлах. Вы можете управлять программным обеспечением и устанавливать его в пакетной службе с помощью портала Azure или API-интерфейсов управления пакетной службы. Чтобы предотвратить установку вредоносных или опасных приложений, клиент должен определить соответствующий доступ через Azure RBAC, чтобы ограничить круг пользователей, которые могут обновлять узлы пакетной службы.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Руководство. Пересылка журналов диагностики и действий из пакетной службы Azure в решение SIEM. Вы можете использовать SIEM для настройки настраиваемых инструментов обнаружения угроз. Обязательно следите за потенциальными угрозами и аномалиями, относящимися к различным типам ресурсов Azure. Получайте высококачественные оповещения, чтобы сократить число ложноположительных результатов, получаемых аналитиками. Источником предупреждений могут быть данные журналов, агенты или другие данные.

Microsoft Defender для облака не предоставляет оценки уязвимостей для ресурсов пакетной службы Azure с помощью Microsoft Defender. Он предоставляет рекомендации на основе безопасности для пакетной службы.

Ответственность: Customer

LT-4: включение ведения журнала для ресурсов Azure

Руководство. Автоматически доступные журналы действий содержат все операции записи (PUT, POST и DELETE) для ресурсов пакетной службы Azure. Однако они не содержат операции чтения (GET). Чтобы найти ошибку при устранении неполадок, можно использовать журналы действий. Вы также можете использовать журналы для наблюдения за тем, как пользователь организации изменяет ресурс.

Включите журналы ресурсов Azure для пакетной службы Azure для следующих типов журналов: ServiceLog и AllMetrics. С помощью этих журналов можно исследовать инциденты безопасности и выполнять криминалистические упражнения. Явно включите эти журналы для каждой учетной записи пакетной службы, которую требуется отслеживать. Или же вы можете использовать Политику Azure, чтобы включить сбор данных журналов ресурсов и журналов в большом масштабе.

Организуйте мониторинг на уровне ресурсов пакетной службы Azure, применяя API-интерфейсы этой службы для отслеживания и запроса состояний ресурсов, таких как указанные ниже.

  • Задания
  • Задания
  • Узлы
  • Пулы

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Batch:

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
В учетных записях пакетной службы должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0

LT-6: Настройка хранения журналов

Руководство. У вас есть учетные записи хранения или рабочие области Log Analytics, которые используются для хранения журналов пакетной службы Azure? Затем установите период хранения журнала в соответствии с нормативными требованиями организации.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Руководство. Пакетная служба не поддерживает настройку собственных источников синхронизации времени.

Пакетная служба полагается на источники синхронизации времени корпорации Майкрософт. Она не предоставляется клиентам для настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Руководство. Для аудита и принудительного применения конфигураций ресурсов пакетной службы используйте Microsoft Defender для облака, чтобы настроить встроенную Политику Azure для пакетной службы Azure.

В сценариях, где нет встроенных определений политик, можно использовать псевдонимы Политики Azure в пространстве имен Microsoft.Batch. Используйте эти псевдонимы для создания настраиваемых политик для аудита. Или используйте псевдонимы для принудительного применения конфигурации учетных записей и пулов пакетной службы Azure.

Вы можете использовать Azure Blueprints для автоматизации развертывания и настройки служб и сред приложений. В одном определении схемы можно автоматизировать:

  • шаблоны Azure Resources Manager;
  • элементов управления Azure RBAC.
  • Политики

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Руководство. Чтобы применить параметры безопасности для ресурсов Azure, связанных с учетной записью и пулами пакетной службы, используйте встроенные определения Политики Azure для [Deny] и [DeployIfNotExists]. К ним могут относиться:

  • виртуальные сети;
  • подсети;
  • Брандмауэры Azure
  • Учетные записи хранения Azure

Для создания настраиваемых политик можно использовать псевдонимы Политики Azure из следующих пространств имен:

  • Microsoft.Batch

  • Microsoft.Storage;

  • Microsoft.Network.

Дополнительные сведения см. в следующих статьях:

Ответственность: Customer

PV-3: настройка безопасных конфигураций вычислительных ресурсов

Руководство. Клиенты могут использовать настраиваемые образы операционной системы для пакетной службы Azure. Пакетная служба позволяет пользователям устанавливать и загружать произвольное программное обеспечение на свои вычислительные узлы.

При использовании конфигурации виртуальной машины для пакетной службы Azure пулы используют настраиваемые образы, которые защищены для потребностей вашей организации. Для управления жизненным циклом пулы хранят образы в общей коллекции образов. Вы можете настроить безопасный процесс сборки образа с помощью средств автоматизации Azure, таких как Конструктор образов Azure.

Ответственность: Customer

PV-4: сохранение безопасных конфигураций для вычислительных ресурсов

Руководство. Клиенты могут использовать настраиваемые образы операционной системы для пакетной службы. Пакетная служба Azure позволяет пользователям устанавливать и загружать произвольное программное обеспечение на свои вычислительные узлы.

Создайте политику, которая требует, чтобы пулы пакетной службы Azure использовали только утвержденные защищенные образы. Это действие поддерживает безопасное настроенное вычисление ресурсов в пакетной службе Azure. Чтобы выполнить поиск неутвержденных или неправильно настроенных ресурсов пакетной службы Azure, можно также применить API Azure или Azure CLI для runbook в службе автоматизации Azure.

Ответственность: Customer

PV-5: безопасное хранение пользовательских операционных систем и образов контейнеров

Руководство. Если вы работаете с настраиваемыми образами для пулов пакетной службы Azure, используйте Azure RBAC, чтобы доступ к образам был только у полномочных пользователей. Сохраняйте образы контейнеров в Реестре контейнеров Azure. Используйте Azure RBAC, чтобы убедиться, что доступ имеют только полномочные пользователи.

Ответственность: Customer

PV-6. Выполнение оценки уязвимостей программного обеспечения

Руководство. Управление всеми используемыми решениями для контроля уязвимостей для узлов пулов пакетной службы Azure входит в вашу зону ответственности. Пакетная служба Azure не предоставляет возможностей для собственной оценки уязвимостей.

У вас есть подписка на Rapid7, Qualys или другую платформу управления уязвимостями? Агенты оценки уязвимостей можно установить вручную на узлах пула пакетной службы. Затем можно управлять узлами на соответствующем портале.

Ответственность: Customer

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Руководство. Акцентируйте внимание на использовании общей программы оценки рисков (например, общая система оценки уязвимости) или оценки рисков по умолчанию, предоставляемой сторонним средством сканирования. Затем настройте среду с помощью контекста, чтобы решить, какие приложения:

  • имеют повышенную угрозу безопасности;
  • требуют много времени доступности.

В настоящее время пакетная служба Azure не имеет собственного клиентского сканирования уязвимостей. Для базовой платформы, на которой размещается пакетная служба, корпорация Майкрософт обеспечивает исправление уязвимостей. Для программного обеспечения, выполняемого поверх пакетной службы, можно применить API Azure или Azure CLI в повторяющемся модуле runbook службы автоматизации Azure. Это действие сканирует и обновляет потенциально уязвимое программное обеспечение, которое выполняется на узлах пакетной службы Azure.

Ответственность: Совмещаемая блокировка

Безопасность конечной точки

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность конечных точек.

ES-2. Защита от вредоносных программ с помощью современного программного обеспечения с централизованным управлением

Руководство. На узлах пакетной службы Azure может выполняться любой исполняемый файл или скрипт, поддерживаемый его операционной системой. Для операционных систем Windows используйте Защитник Windows на отдельных узлах пула пакетной службы Azure. Для Linux предоставьте собственную антивредоносную программу.

Ответственность: Совмещаемая блокировка

ES-3. Своевременное обновление программного обеспечения для защиты от вредоносных программ и сигнатур

Руководство. Обеспечьте быстрое и согласованное обновление сигнатур для защиты от вредоносных программ. Чтобы гарантировать, что на всех конечных точках применены актуальные сигнатуры, следуйте рекомендациям в разделе "Вычисления & и приложения" Microsoft Defender для облака. На узлах пакетной службы Azure может выполняться любой исполняемый файл или скрипт, поддерживаемый его операционной системой. Для операционных систем Windows используйте Защитник Windows на отдельных узлах пула пакетной службы Azure, а также включите автоматическое обновление. По умолчанию Microsoft Antimalware будет автоматически устанавливать новые сигнатуры и обновления подсистемы. Для Linux используйте стороннее решение для защиты от вредоносных программ.

Ответственность: Customer

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

Руководство. Если для хранилища данных пула пакетной службы Azure используется учетная запись службы хранилища Azure, выберите соответствующий параметр избыточности:

  • локально избыточное хранилище (LRS);
  • хранилище, избыточное между зонами (ZRS);
  • Геоизбыточное хранилище (GRS)
  • геоизбыточное хранилище с доступом на чтение (RA-GRS).

Регулярно создавайте резервную копию учетной записи хранения в хранилище Azure Backup.

Ответственность: Customer

BR-2: шифрование данных резервного копирования

Руководство. При использовании учетной записи службы хранилища Azure для хранилища данных пула пакетной службы Azure учетная запись автоматически шифруется при хранении с помощью ключей, управляемых корпорацией Майкрософт. Если организация имеет нормативную потребность в использовании собственных ключей, управляемых клиентом, для шифрования хранилища пакетной службы Azure, Azure сохраняет эти ключи в Azure Key Vault.

Ответственность: Customer

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Руководство. Если вы управляете собственными ключами для учетных записей службы хранилища Azure (или любых других ресурсов), связанных с экземпляром пакетной службы Azure, регулярно проверяйте восстанавливаемость резервных копий ключей.

Ответственность: Customer

BR-4: снижение риска потери ключей

Инструкции. Если Azure Key Vault используется для хранения ключей, связанных с учетными записями хранения пула пакетной службы Azure, включите обратимое удаление в Azure Key Vault, чтобы защитить ключи от случайного или злонамеренного удаления.

Ответственность: Customer

Следующие шаги