Базовый план безопасности Azure для Azure Resource Manager

Этот базовый план безопасности применяет рекомендации из Azure Security Benchmark версии 2.0 к Microsoft Azure Resource Manager. Azure Security Benchmark содержит рекомендации по обеспечению безопасности облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в Azure Security Benchmark и в соответствующем руководстве, применимом к Azure Resource Manager.

Эти базовые показатели безопасности и рекомендации можно отслеживать с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" панели мониторинга Microsoft Defender для облака.

Если в разделе есть соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям Azure Security Benchmark. Для реализации определенных сценариев безопасности некоторые рекомендации могут потребовать платного плана Microsoft Defender.

Примечание

Элементы управления, неприменимые к Azure Resource Manager, и те, для которых рекомендуется полное глобальное руководство, были исключены. Полные сведения о сопоставлении Azure Resource Manager с Azure Security Benchmark см. в этом файле.

Безопасность сети

Дополнительные сведения см. в статье Azure Security Benchmark: безопасность сети.

NS-1: реализация безопасности для внутреннего трафика

Руководство. Azure Resource Manager — это служба развертывания и управления. Она не поддерживает развертывание непосредственно в виртуальную сеть. Azure Resource Manager не может использовать сетевые возможности, такие как группы безопасности сети, таблицы маршрутизации или зависимые от сети устройства, такие как Брандмауэр Azure.

При подключении к Azure Resource Manager рекомендуется использовать протокол TLS версии 1.2 или более поздней.

Примечание. Служба поддерживает TLS версии 1.1 для обеспечения обратной совместимости.

Обмен данными с Azure Resource Manager должен вестись через порт 443.

Ответственность: Customer

NS-3: установка доступа к частной сети для служб Azure

Руководство. Используйте Приватный канал Azure для разрешения частного доступа к Azure Resource Manager из ваших виртуальных сетей без перехода в Интернет. Частный доступ — это дополнительная мера эшелонированной защиты для проверки подлинности Azure и безопасности трафика.

Приватные каналы для Azure Resource Manager находятся на стадии закрытой предварительной версии.

Azure Resource Manager не предоставляет возможности настройки конечных точек службы для виртуальной сети.

Ответственность: Customer

NS-4: защита приложений и служб от внешних сетевых атак

Руководство. Azure Resource Manager — это служба развертывания и управления, и корпорация Майкрософт обеспечивает защиту ее конечных точек от сетевых атак извне. Azure Resource Manager не поддерживает развертывание непосредственно в виртуальной сети. Resource Manager не может применять традиционные сетевые функции для предотвращения атак типа "отказ в обслуживании" (DDoS) с использованием собственных возможностей сети Azure, таких как Защита от атак DDoS ценовой категории "Стандартный".

Платформа Azure Resource Manager не предназначена для запуска веб-приложений. Кроме того, она не требует настройки дополнительных параметров или развертывания дополнительных сетевых служб для защиты от внешних сетевых атак, нацеленных на веб-приложения.

Ответственность: Microsoft

NS-6: упрощение правил безопасности сети

Руководство. Используйте теги службы виртуальной сети Azure для определения элементов управления доступом к сети для ресурсов Azure Resource Manager в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Укажите имя тега соответствующей службы в исходном поле правила или поле назначения правила, чтобы разрешить или запретить трафик. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов.

С помощью тега службы AzureResourceManager можно настроить сетевые правила для групп безопасности сети или Брандмауэра Azure.

Ответственность: Совмещаемая блокировка

NS-7: безопасная служба доменных имен (DNS)

Руководство. Azure Resource Manager не предоставляет свои базовые конфигурации DNS. Поддержка этих параметров обеспечивается корпорацией Майкрософт.

Ответственность: Microsoft

Управление удостоверениями

Дополнительные сведения см. в статье Azure Security Benchmark: управление удостоверениями.

IM-7: исключение непреднамеренного раскрытия учетных данных

Руководство. Azure Resource Manager позволяет клиентам развертывать ресурсы с помощью шаблонов "инфраструктура как код" (IaC), которые могут содержать секреты. Рекомендуется реализовать средство проверки учетных данных для репозиториев, в которых размещаются шаблоны ARM. Это поможет находить учетные данные в коде и удалять их. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.

Для GitHub можно использовать возможность проверки собственных секретов, которая обнаруживает учетные данные или другие секреты в коде.

Ответственность: Совмещаемая блокировка

Привилегированный доступ

Дополнительные сведения см. в статье Azure Security Benchmark: привилегированный доступ.

PA-3. Регулярная проверка и согласование доступа пользователей

Руководство. Azure Resource Manager использует учетные записи Azure AD для управления ресурсами и проверки учетных записей пользователей. Azure AD регулярно обращается к назначениям, чтобы гарантировать допустимость учетных записей и назначенных им прав доступа. Используя проверку доступа средствами Azure AD, можно проверять членство в группах, доступ к корпоративным приложениям и назначение ролей. Облегчить поиск устаревших учетных записей могут журналы, предоставляемые функциями создания отчетов в Azure AD. Используйте Azure AD Privileged Identity Management для создания рабочего процесса получения отчета о проверке доступа, который упростит процесс проверки.

Azure Resource Manager поддерживает следующие встроенные роли Azure RBAC:

  • Участник. Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC, управлять назначениями в Azure Blueprints и предоставлять общий доступ к галереям изображений.

  • Владелец. Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC).

  • Читатель. Дает возможность просматривать все ресурсы, но не позволяет вносить изменения.

  • Администратор доступа пользователей. Может управлять доступом пользователей к ресурсам Azure.

Кроме того, Azure Privileged Identity Management можно настроить для выдачи оповещения в случае создания чрезмерного количества учетных записей администраторов и для определения устаревших или неправильно настроенных учетных записей администраторов.

Примечание. Некоторые службы Azure поддерживают локальных пользователей и роли, которые не управляются с помощью Azure AD. Управляйте этими пользователями по отдельности.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Resources

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Устаревшие учетные записи должны быть удалены из подписки Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 3.0.0
Устаревшие учетные записи с разрешениями владельца должны быть удалены из подписки Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 3.0.0
Внешние учетные записи с разрешениями владельца должны быть удалены из подписки Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 3.0.0
Внешние учетные записи с разрешениями на чтение должны быть удалены из подписки Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 3.0.0
Внешние учетные записи с разрешениями на запись должны быть удалены из подписки Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 3.0.0

PA-6: использование рабочих станций с привилегированным доступом

Рекомендации. Защищенные изолированные рабочие станции критически важны для защиты привилегированных ролей, таких как администраторы, разработчики и критические операторы обслуживания. Для выполнения административных задач используйте надежно защищенные рабочие станции и (или) Бастион Azure. Чтобы развернуть защищенную и управляемую рабочую станцию для административных задач, используйте Azure AD, Расширенную защиту от угроз (ATP) в Microsoft Defender и (или) Microsoft Intune. Защищенными рабочими станциями можно управлять централизованно для безопасной настройки, включая строгую проверку подлинности, базовые параметры программного обеспечения и оборудования, ограниченный логический и сетевой доступ.

Ответственность: Customer

PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)

Руководство. Платформа Azure Resource Manager интегрирована с Azure RBAC для управления ресурсами. Azure RBAC позволяет управлять доступом к ресурсам Azure посредством назначения ролей. Вы можете назначать роли пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов существуют предварительно определенные встроенные роли. Эти роли могут быть инвентаризированы или запрошены с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure. Привилегии, назначаемые ресурсам через Azure RBAC, должны всегда ограничиваться возможностями, которые необходимы ролям. Этот подход дополняет JIT-подход Azure AD PIM. Его следует периодически проверять.

Используйте встроенные роли для выделения привилегии. Создавать настраиваемые роли можно только при необходимости.

  • Участник. Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в Azure RBAC, управлять назначениями в Azure Blueprints и предоставлять общий доступ к галереям изображений.

  • Владелец. Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC).

  • Читатель. Дает возможность просматривать все ресурсы, но не позволяет вносить изменения.

  • Администратор доступа пользователей. Может управлять доступом пользователей к ресурсам Azure.

Дополнительная информация:

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Authorization

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Аудит использования настраиваемых правил RBAC Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Audit, Disabled 1.0.0

PA-8: выбор процесса утверждения для службы поддержки Майкрософт

Руководство. Azure Resource Manager не поддерживает клиентское хранилище. Чтобы получить доступ к данным клиента, связанным с ресурсами Azure Resource Manager, корпорация Майкрософт может работать с клиентами в сценариях поддержки для утверждения с помощью других методов.

Ответственность: Customer

управление ресурсами.

Дополнительные сведения см. в статье Azure Security Benchmark: управление ресурсами.

AM-2: убедитесь, что группа безопасности имеет доступ к инвентаризации и метаданным активов.

Руководство. Убедитесь в том, что группы безопасности обладают доступом к постоянно обновляемому списку ресурсов в Azure, в том числе Azure Resource Manager. Группы безопасности часто нуждаются в этих сведениях, чтобы оценить потенциальную угрозу новых рисков, а также для использования их в качестве входных данных для непрерывного улучшения безопасности. Создайте группу Azure AD, которая будет содержать авторизованную группу безопасности организации, и назначьте ей доступ для чтения ко всем ресурсам Azure Resource Manager. Этот процесс можно упростить путем одного высокоуровневого назначения ролей в рамках подписки.

К ресурсам Azure, группам ресурсов и подпискам можно применять теги, чтобы логически классифицировать их на основе метаданных. Каждый тег состоит из пары "имя — значение". Например, имя Environment и значение Production можно применить ко всем ресурсам в рабочей среде.

Ответственность: Customer

Ведение журналов и обнаружение угроз

Дополнительные сведения см. в статье Azure Security Benchmark: ведение журнала и обнаружение угроз.

LT-1. Включение обнаружения угроз для ресурсов Azure

Руководство. Пересылайте журналы Azure Resource Manager в систему SIEM. Вы можете использовать SIEM для настройки пользовательских инструментов обнаружения угроз.

Обязательно следите за потенциальными угрозами и аномалиями, относящимися к разным типам ресурсов Azure. Уделите особое внимание высокому качеству предупреждений, чтобы уменьшить количество ложноположительных результатов, которые приходится отбрасывать аналитикам. Вы можете получать оповещения на основе данных журналов и других данных, а также оповещения от агентов.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Resources

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Необходимо включить Microsoft Defender для Службы приложений Microsoft Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Microsoft Defender для серверов базы данных SQL Azure Microsoft Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Необходимо включить Microsoft Defender для реестров контейнеров Microsoft Defender для реестров контейнеров выполняет поиск уязвимостей всех образов, отправленных за последние 30 дней, помещенных в реестр или импортированных, и выводит подробные результаты для каждого образа. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Microsoft Defender для DNS Microsoft Defender для DNS обеспечивает дополнительный уровень защиты облачных ресурсов благодаря постоянному мониторингу всех запросов DNS, поступающих от ресурсов Azure. Microsoft Defender предупреждает вас о подозрительных действиях на уровне DNS. Дополнительные сведения о возможностях Microsoft Defender для DNS: https://aka.ms/defender-for-dns. Включение этого плана Microsoft Defender подразумевает определенные расходы. Сведения о ценах в разных регионах см. на странице цен для Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
Необходимо включить Microsoft Defender для Key Vault Microsoft Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Microsoft Defender для Kubernetes Microsoft Defender для Kubernetes обеспечивает защиту контейнерных сред от угроз в реальном времени и создает оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Microsoft Defender для Resource Manager Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации. Microsoft Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Microsoft Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Microsoft Defender подразумевает определенные расходы. Сведения о ценах в разных регионах см. на странице цен для Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для серверов. Microsoft Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Azure Defender для серверов SQL Server на компьютерах Microsoft Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для службы хранилища обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или их использования. AuditIfNotExists, Disabled 1.0.3

LT-2. Включение функции обнаружения угроз для управления удостоверениями и доступом в Azure

Руководство. Azure AD предоставляет следующие журналы пользователей. Вы можете просматривать журналы в отчетах Azure AD. Можно выполнить интеграцию с Azure Monitor, Microsoft Sentinel и другими средствами SIEM и мониторинга, чтобы обеспечить соответствие требованиям для более сложных сценариев мониторинга и аналитики.

  • События входа предоставляют информацию об использовании управляемых приложений и действиях входа пользователей.

  • Журналы аудита обеспечивают трассировку по всем журналам любых изменений, внесенных компонентами Azure AD. Журналы аудита включают изменения, внесенные в любой ресурс в Azure AD. К изменениям относятся добавление и удаление пользователей, приложений, групп, ролей и политик.

  • Рискованные события входа: индикатор попыток входа, предпринятых пользователем, который не является законным владельцем учетной записи.

  • Пользователь, находящийся в группе риска: это показатель того, что безопасность учетной записи пользователя, возможно, была нарушена.

Microsoft Defender для облака также может оповещать вас о подозрительных действиях, таких как чрезмерное число неудачных попыток проверки подлинности, или об устаревших учетных записях.

Ответственность: Customer

Мониторинг в Microsoft Defender для облака.Azure Security Benchmark — это инициатива политики по умолчанию для Microsoft Defender для облака, которая является основой для рекомендаций по Microsoft Defender для облака. Определения Политики Azure, связанные с этим элементом управления безопасностью, включаются в Microsoft Defender для облака автоматически. Для оповещений, связанных с этим элементом управления безопасностью, может потребоваться план Microsoft Defender для соответствующих служб.

Встроенные определения Политики Azure — Microsoft.Resources

Имя
(портал Azure)
Описание Действие Версия
(GitHub)
Необходимо включить Microsoft Defender для Службы приложений Microsoft Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Microsoft Defender для серверов базы данных SQL Azure Microsoft Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Необходимо включить Microsoft Defender для реестров контейнеров Microsoft Defender для реестров контейнеров выполняет поиск уязвимостей всех образов, отправленных за последние 30 дней, помещенных в реестр или импортированных, и выводит подробные результаты для каждого образа. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Microsoft Defender для DNS Microsoft Defender для DNS обеспечивает дополнительный уровень защиты облачных ресурсов благодаря постоянному мониторингу всех запросов DNS, поступающих от ресурсов Azure. Microsoft Defender предупреждает вас о подозрительных действиях на уровне DNS. Дополнительные сведения о возможностях Microsoft Defender для DNS: https://aka.ms/defender-for-dns. Включение этого плана Microsoft Defender подразумевает определенные расходы. Сведения о ценах в разных регионах см. на странице цен для Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0 (предварительная версия)
Необходимо включить Microsoft Defender для Key Vault Microsoft Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Microsoft Defender для Kubernetes Microsoft Defender для Kubernetes обеспечивает защиту контейнерных сред от угроз в реальном времени и создает оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Microsoft Defender для Resource Manager Microsoft Defender для Resource Manager автоматически отслеживает операции управления ресурсами в вашей организации. Microsoft Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Microsoft Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Microsoft Defender подразумевает определенные расходы. Сведения о ценах в разных регионах см. на странице цен для Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для серверов. Microsoft Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Необходимо включить Azure Defender для серверов SQL Server на компьютерах Microsoft Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для службы хранилища обнаруживает необычные и потенциально опасные попытки доступа к учетным записям хранения или их использования. AuditIfNotExists, Disabled 1.0.3

LT-4: включение ведения журнала для ресурсов Azure

Руководство. Создаваемые автоматически журналы действий содержат все операции записи (PUT, POST, DELETE) для ресурсов Azure Resource Manager, за исключением операций чтения (GET). Журналы действий можно использовать для поиска ошибки при устранении неполадок, а также для наблюдения за тем, как пользователь организации изменяет ресурс.

В настоящее время Azure Resource Manager не создает журналы ресурсов Azure.

Ответственность: Совмещаемая блокировка

LT-6: Настройка хранения журналов

Руководство. Убедитесь в том, что для всех учетных записей хранения или рабочих областей Log Analytics, используемых для хранения журналов Azure Resource Manager, установлен период хранения, соответствующий нормативным требованиям вашей организации.

Ответственность: Customer

LT-7. Использование утвержденных источников синхронизации времени

Руководство. Azure Resource Manager не поддерживает настройку собственных источников синхронизации времени.

Служба Azure Resource Manager использует источники синхронизации времени от корпорации Майкрософт и не предоставляет клиентам возможностей для их настройки.

Ответственность: Microsoft

Управление состоянием защиты и уязвимостью

Дополнительные сведения см. в статье Azure Security Benchmark: управление состоянием защиты и уязвимостью.

PV-1: Настройка безопасных конфигураций для служб Azure

Руководство. Azure Blueprints позволяет автоматизировать развертывание и настройку служб и сред приложений. Одно определение схемы может включать шаблоны Azure Resource Manager, роли Azure RBAC и назначения Политики Azure.

Используйте псевдонимы Политики Azure для создания настраиваемых политик, предназначенных для аудита или принудительного применения конфигурации ресурсов Azure. Вы также можете использовать встроенные определения Политики Azure.

С помощью Azure Resource Manager можно экспортировать шаблон в нотацию объектов JavaScript (JSON). При этом следует убедиться, что конфигурации соответствуют требованиям безопасности организации.

Вы также можете использовать рекомендации в Microsoft Defender для облака в качестве конфигурационной базы безопасности для ресурсов Azure.

Ответственность: Customer

PV-2: создание устойчивых безопасных конфигураций для служб Azure

Руководство. Используйте Microsoft Defender для облака для мониторинга конфигурационной базы и принудительного применения политики Azure [отказывать] и [развернуть, если не существует] для обеспечения безопасной конфигурации для различных вычислительных ресурсов Azure, в том числе виртуальных машин, контейнеров и т. д.

Кроме того, администратору иногда требуется заблокировать подписку, ресурс или группу ресурсов, чтобы другие пользователи в организации не могли случайно удалить или изменить критически важные ресурсы. Можно установить уровень блокировки CanNotDelete или ReadOnly.

Ответственность: Customer

PV-6: выполнение оценок уязвимостей программного обеспечения

Руководство. Корпорация Майкрософт управляет уязвимостями для базовых систем, на которых основан Azure Resource Manager.

Ответственность: Microsoft

PV-7. Быстрое и автоматическое устранение уязвимости программного обеспечения

Руководство. Корпорация Майкрософт управляет обнаружением для базовых систем, на которых основан Azure Resource Manager.

Ответственность: Microsoft

PV-8: регулярное моделирование атак

Руководство. При необходимости выполните тест на проникновение или попытки нарушения безопасности "красной командой" ресурсов Azure и убедитесь, что исправлены всех критические точки безопасности.

Следуйте правилам взаимодействия выполнения тестов на проникновение в Microsoft Cloud, чтобы тесты на проникновение не нарушали политику Майкрософт. Используйте стратегию Red Teaming и процедуру выполнения Майкрософт. Выполняйте тестирование на проникновение в реальном времени, используя облачную инфраструктуру, службы и приложения, управляемые корпорацией Майкрософт.

Ответственность: Совмещаемая блокировка

Архивация и восстановление

Дополнительные сведения см. в статье Azure Security Benchmark: резервное копирование и восстановление.

BR-1: обеспечение регулярного автоматического резервного копирования

Руководство. Экспорт шаблона Azure Resource Manager невозможно использовать для записи неактивных данных. Для конфигураций ресурсов рекомендуется создать инфраструктуру из исходных шаблонов и при необходимости выполнять повторное развертывание из этого "источника истины". Экспорт шаблона может помочь в запуске этого процесса, но он недостаточно надежен для аварийного восстановления.

Ответственность: Customer

BR-3: проверка всех резервных копий, включая ключи, управляемый клиентом

Руководство. Убедитесь в том, что у вас есть возможность периодически выполнять развертывание шаблонов Azure Resource Manager в изолированной подписке, если это необходимо, с помощью API, интерфейса командной строки или портала Azure.

Ответственность: Customer

Следующие шаги