Azure-säkerhetsbaslinje för Service Bus

Den här säkerhetsbaslinjen använder vägledning från Azure Security Benchmark version 2.0 till Service Bus. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Service Bus.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Service Bus, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Service Bus mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Service Bus-säkerhetsbaslinjen.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Microsoft Azure Service Bus stöder inte distribution direkt till ett virtuellt nätverk. Du kan inte använda vissa nätverksfunktioner med erbjudandets resurser, till exempel:

  • Nätverkssäkerhetsgrupper (NSG:er).
  • Routningstabeller.
  • Andra nätverksberoende enheter, till exempel en Azure Firewall.

Använd Microsoft Sentinel för att identifiera användningen av äldre osäkra protokoll, till exempel:

  • Secure Sockets Layer (SSL) och TLS version 1 (TLSv1).
  • Server Message Block (SMB) version 1 (SMBv1).
  • LAN Manager (LM) och NT LAN Manager (NTLM) version 1 (NTLMv1).
  • wDigest.
  • Osignerade LDAP-bindningar (Lightweight Directory Access Protocol).
  • Svaga chiffer i Kerberos.

Mer information finns i följande artiklar:

Ansvar: Microsoft

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Använd Azure Private Link och aktivera privat åtkomst till Service Bus från dina virtuella nätverk utan att korsa Internet.

Privat åtkomst är ett annat djupgående skydd för den autentisering och trafiksäkerhet som Azure-tjänster erbjuder.

Använd tjänstslutpunkter för virtuella Azure-nätverk och ge säker åtkomst till Service Bus. Åtkomsten går via en optimerad väg över Azure-stamnätverket utan att korsa Internet.

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd tjänsttaggar för virtuella Azure-nätverk, definiera på NSG:er eller Azure Firewall de nätverksåtkomstkontroller som har konfigurerats för dina Service Bus-resurser. När du skapar säkerhetsregler använder du tjänsttaggar i stället för specifika IP-adresser. Genom att ange namnet på tjänsttaggen i käll- eller målfältet för lämplig regel kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som tjänsttaggen omfattar. Tjänsttaggen uppdateras automatiskt när adresserna ändras.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Följ metodtipsen för DNS-säkerhet för att minimera vanliga attacker, till exempel:

  • Dangling DNS
  • DNS-förstärkningsattacker
  • DNS-förgiftning och förfalskning

Vill du använda Azure DNS som din auktoritativa DNS-tjänst? Skydda sedan DNS-zoner och -poster från oavsiktliga eller skadliga ändringar med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC) och resurslås.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Service Bus använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser, till exempel:

    • Azure Portal
    • Azure Storage
    • Azure Virtual Machine (Linux och Windows)
    • Azure Key Vault
    • Plattform som en tjänst (PaaS)
    • SaaS-program (Programvara som en tjänst)
  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Se till att skydda Azure AD hög prioritet i organisationens molnsäkerhetspraxis. För att hjälpa dig att utvärdera identitetssäkerhetsstatus mot Microsofts rekommendationer för bästa praxis tillhandahåller Azure AD en identitetssäkerhetspoäng. Använd poängen för att mäta hur nära konfigurationen matchar rekommendationer för bästa praxis. Sedan gör du förbättringar i din säkerhetsstatus.

Obs! Azure AD stöder externa identiteter. Användare utan Ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet.

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Service Bus stöder hanterade identiteter för sina Azure-resurser. I stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser använder du hanterade identiteter med Service Bus. Service Bus kan autentiseras internt mot De Azure-tjänster och resurser som stöder Azure AD autentisering. Den autentiseras via en fördefinierad regel för åtkomstbeviljande utan att använda autentiseringsuppgifter som är hårdkodade i källkods- eller konfigurationsfiler.

Vill du konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgå till klienthemligheter? Använd sedan Azure AD för att skapa ett huvudnamn för tjänsten med begränsade behörigheter på resursnivå. I båda fallen kan du använda Key Vault med Azure-hanterade identiteter. Körningsmiljön (till exempel en Azure-funktion) kan sedan hämta autentiseringsuppgifterna från nyckelvalvet.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Service Bus använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för att:

  • Azure-resurser
  • Molnprogram
  • Lokala program

Den här hanteringen gäller företagsidentiteter, till exempel anställda. Den gäller även för externa identiteter, inklusive:

  • Partner
  • Leverantörer
  • Leverantörs-

Med identitets- och åtkomsthantering kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser. SSO-hantering sker lokalt och i molnet. För sömlös, säker åtkomst och bättre synlighet och kontroll ansluter du till Azure AD alla dina:

  • Användare
  • Program
  • Enheter

Mer information finns i följande artiklar:

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: Ej tillämpligt; Service Bus använder inte administrativa konton.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: För att regelbundet säkerställa att användarkontona och deras åtkomst är giltiga använder Service Bus Azure AD konton för att:

  • Hantera dess resurser.
  • Granska användarkonton.
  • Åtkomsttilldelningar.

Använd Azure AD och åtkomstgranskningar för att granska:

  • Gruppmedlemskap
  • Åtkomst till företagsprogram
  • Rolltilldelningar

Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. För att underlätta granskningsprocessen använder du även Azure AD Privileged Identity Management (PIM) för att skapa arbetsflöden för åtkomstgranskningsrapporter.

Du kan också konfigurera Azure AD PIM för att:

  • Varna dig när ett stort antal administratörskonton skapas.
  • Identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Hantera dessa användare separat.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller, till exempel:

  • Administratör
  • Utvecklare
  • Kritisk tjänstoperator

Använd mycket säkra användararbetsstationer eller Azure Bastion för administrativa uppgifter. Om du vill distribuera en säker och hanterad användararbetsstation använder du en eller flera av:

  • Azure AD
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

Du kan hantera de skyddade arbetsstationerna centralt för att framtvinga säker konfiguration, inklusive:

  • Stark autentisering
  • Programvaru- och maskinvarubaslinjer
  • Begränsad logisk åtkomst och nätverksåtkomst

Mer information finns i följande artiklar:

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Service Bus är integrerat med Azure RBAC för att hantera dess resurser. Med Azure RBAC kan du hantera Åtkomst till Azure-resurser via rolltilldelningar. Tilldela dessa roller till:

  • Användare
  • Grupper
  • Tjänstens huvudnamn
  • Hanterade identiteter

Det finns fördefinierade inbyggda roller för vissa resurser. Inventera eller fråga dessa roller via verktyg, till exempel:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Begränsa alltid de behörigheter som du tilldelar resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar jit-metoden (just-in-time) för Azure AD PIM, och den bör granskas regelbundet.

Använd inbyggda roller för att bevilja behörigheter. Skapa bara anpassade roller när det behövs.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-3: Övervaka obehörig överföring av känsliga data

Vägledning: Övervaka för obehörig överföring av data till platser som ligger utanför företagets synlighet och kontroll. Den här metoden omfattar vanligtvis övervakning av avvikande aktiviteter (stora eller ovanliga överföringar), vilket kan tyda på obehörig dataexfiltrering.

Microsoft Defender för Storage och Microsoft Defender för SQL kan avisera om en avvikande överföring av information, vilket kan tyda på obehöriga överföringar av känslig information.

Azure Information Protection tillhandahåller övervakningsfunktioner för information som har klassificerats och märkts.

Om det behövs för efterlevnad av dataförlustskydd (DLP) använder du en värdbaserad DLP-lösning. Den här lösningen framtvingar detektivkontroller eller förebyggande kontroller för att förhindra dataexfiltrering.

Ansvar: Kund

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Service Bus vilande data. Den här metoden skyddar mot "out of band"-attacker som använder kryptering, till exempel åtkomst till den underliggande lagringen. Då kan angripare inte enkelt läsa eller ändra data.

Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data kan du implementera extra kryptering i vila på alla Azure-resurser där det är tillgängligt. För att vissa Azure-tjänster ska uppfylla regelkraven hanterar Azure dina krypteringsnycklar som standard. Men Azure tillhandahåller också alternativ för att hantera dina egna nycklar (kundhanterade nycklar).

Ansvar: Kund

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Ge säkerhetsteamen behörigheter för säkerhetsläsaren i din Azure-klientorganisation och dina prenumerationer. Sedan kan dina team övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur du strukturerar säkerhetsteamets ansvarsområden kan ett centralt säkerhetsteam eller ett lokalt team ansvara för att övervaka säkerhetsrisker. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare i stort sett för en hel klientorganisation (rothanteringsgrupp). Eller omfångsbegränsa dessa behörigheter till hanteringsgrupper eller specifika prenumerationer.

Obs! Extra behörigheter kan behövas för att få insyn i arbetsbelastningar och tjänster.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Ge säkerhetsteam åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Service Bus. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker. Inventeringen är också en indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. Tilldela läsbehörighet till teamet för alla Service Bus-resurser. För att förenkla den här processen kan du använda en enda rolltilldelning på hög nivå i din prenumeration.

Om du vill organisera i en taxonomi logiskt använder du taggar för din Azure:

  • Resurser
  • Resursgrupper
  • Prenumerationer

Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Använd Inventering av virtuella Azure-datorer för att automatisera insamlingen av information om programvara på virtuella datorer. Objekt som är tillgängliga från Azure Portal inkluderar:

  • Programvarunamn
  • Version
  • Publisher
  • Uppdateringstid

Aktivera diagnostik på gästnivå för att få åtkomst till installationsdatum och annan information. Ta sedan windows-händelseloggarna till en Log Analytics-arbetsyta.

Med Service Bus kan du inte köra ett program eller installera programvara på dess resurser.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använda Azure Policy, granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. När en tjänst som inte har godkänts identifieras använder du Övervaka för att skapa regler för att utlösa aviseringar.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd den inbyggda hotidentifieringsfunktionen i Microsoft Defender för molnet och aktivera Microsoft Defender för dina Service Bus-resurser. Microsoft Defender för Service Bus tillhandahåller ytterligare ett lager med säkerhetsinformation. Den identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina Service Bus-resurser.

Vidarebefordra alla loggar från Service Bus till SIEM, som du kan använda för att konfigurera anpassade hotidentifieringar. Övervaka olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar, vilket minskar antalet falska positiva identifieringar för analytiker att sortera igenom. Du kan källaviseringar från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure AD innehåller följande användarloggar:

  • Inloggningar. Inloggningsrapporten innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.

  • Granskningsloggar. Granskningsloggar ger spårbarhet för alla ändringar som olika funktioner gör i Azure AD. Exempel är ändringar som görs i alla resurser inom Azure AD, till exempel att lägga till eller ta bort:

    • Användare
    • Appar
    • Grupper
    • Roller
    • Principer
  • Riskfyllda inloggningar. En riskabel inloggning anger ett inloggningsförsök som kan ha gjorts av någon som inte är användarkontots legitima ägare.

  • Användare som flaggats för risk. En riskfylld användare anger ett användarkonto som kan ha komprometterats.

Du kan visa loggarna i Azure AD rapportering. För mer avancerade användningsfall för övervakning och analys kan du integrera loggarna med:

  • Övervaka
  • Microsoft Sentinel
  • Andra SIEM/övervakningsverktyg

Microsoft Defender för molnet kan också utlösa aviseringar om vissa misstänkta aktiviteter. Dessa aktiviteter omfattar ett överdrivet antal misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen. Förutom den grundläggande övervakningen av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul även samla in mer djupgående säkerhetsaviseringar från:

  • Enskilda Azure-beräkningsresurser (virtuella datorer, containrar eller App Service)
  • Dataresurser (SQL DB och lagring)
  • Azure-tjänstlager

Med den här funktionen kan du se kontoavvikelser i enskilda resurser.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Service Bus är inte avsett att distribueras till virtuella nätverk. Du kan inte:

  • Aktivera NSG-flödesloggning.
  • Dirigera trafik genom en brandvägg.
  • Gör infångade paket.

Aktivera och samla in för säkerhetsanalys:

  • NSG-resursloggar
  • NSG flödesloggar
  • Azure Firewall loggar
  • Web Application Firewall-loggar (WAF)

Säkerhetsanalysen stöder:

  • Incidentundersökningar
  • Jakt på hot
  • Generering av säkerhetsaviseringar

Skicka flödesloggarna till en Log Analytics-arbetsyta i Monitor. Använd sedan Trafikanalys för att ge insikter.

Service Bus loggar all nätverkstrafik som bearbetas för kundåtkomst. Aktivera nätverksflödesfunktionen i dina distribuerade erbjudanderesurser.

Service Bus skapar eller bearbetar inte DNS-frågeloggar.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar innehåller alla skrivåtgärder (PUT, POST och DELETE) för dina Service Bus-resurser. Aktivitetsloggar är automatiskt tillgängliga, men de innehåller inte läsåtgärder (GET). Använd aktivitetsloggar för att hitta ett fel vid felsökning. Eller använd loggarna för att övervaka hur en användare i din organisation ändrade en resurs.

Aktivera Azure-resursloggar för Service Bus. Om du vill aktivera resursloggar och insamling av loggdata använder du Microsoft Defender för molnet och Azure Policy. Dessa loggar kan vara kritiska när du undersöker säkerhetsincidenter och utför kriminaltekniska övningar.

Service Bus skapar även säkerhetsgranskningsloggar för de lokala administratörskontona. Aktivera dessa granskningsloggar för lokala administratörer.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.ServiceBus:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring och analys för att aktivera korrelation. För varje loggkälla ser du till att du tilldelar:

  • Dataägare
  • Vägledning för åtkomst
  • Lagringsplats
  • Vilka verktyg används för att bearbeta och komma åt data
  • Krav för datakvarhållning

Integrera Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Övervaka för att aggregera säkerhetsdata som genereras av:

  • Slutpunktsenheter
  • Nätverksresurser
  • Andra säkerhetssystem

I Övervaka använder du Log Analytics-arbetsytor för att köra frågor mot och utföra analyser. Använd lagringskonton för långsiktig och arkiveringslagring.

Aktivera och publicera även data till Microsoft Sentinel eller en SIEM från tredje part.

Många organisationer väljer att använda Microsoft Sentinel för "heta" data som används ofta. Organisationerna väljer sedan Lagring för "kalla" data som används mindre ofta.

För program som kan köras på Service Bus vidarebefordrar du alla säkerhetsrelaterade loggar till DIN SIEM för centraliserad hantering.

Ansvar: Kund

LT-6: Konfigurera kvarhållning av loggar

Vägledning: Har du lagringskonton eller Log Analytics-arbetsytor som används för att lagra Service Bus-loggar? Ange sedan loggkvarhållningsperioden med hjälp av organisationens efterlevnadsregler.

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Ej tillämpligt; Service Bus stöder inte konfiguration av dina egna tidssynkroniseringskällor.

Service Bus-tjänsten är beroende av Microsofts tidssynkroniseringskällor. Den exponeras inte för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Använd Azure Blueprints och automatisera distributionen och konfigurationen av tjänster och programmiljöer i en enda skissdefinition, inklusive:

  • Azure Resource Manager-mallar (ARM-mallar)
  • Azure RBAC-kontroller
  • Principer

Mer information finns i följande artiklar:

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Använd Microsoft Defender för molnet för att övervaka din konfigurationsbaslinje. Använd principdefinitionerna "Neka" och "DeployIfNotExists" med hjälp av Azure Policy och framtvinga säker konfiguration mellan Azure-beräkningsresurser, inklusive:

  • Virtuella datorer
  • Containrar
  • Andra beräkningsresurser

Mer information finns i följande artiklar:

Ansvar: Kund

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Ej tillämpligt; den här rekommendationen är avsedd för beräkningsresurser.

Ansvar: Kund

PV-6: Gör sårbarhetsbedömningar för programvara

Vägledning: Microsoft utför sårbarhetshantering på de underliggande system som stöder Service Bus.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester eller red team-aktiviteter på dina Azure-resurser efter behov. Se till att alla viktiga säkerhetsresultat åtgärdas.

Se till att intrångstesterna inte bryter mot Microsofts principer genom att följa Microsoft Cloud Penetration Testing Rules of Engagement. Använd Microsofts strategi och utförande av red teamindelning och intrångstester för livewebbplatser mot Microsoft-hanterade:

  • Molninfrastruktur
  • Tjänster
  • Program

Mer information finns i följande artiklar:

Ansvar: Kund

Slutpunktssäkerhet

Mer information finns i Azure Security Benchmark: Endpoint Security.

ES-2: Använd centralt hanterad modern programvara mot skadlig kod

Vägledning: Microsofts program mot skadlig kod är aktiverat på den underliggande värden som stöder Azure-tjänster (till exempel Azure App Service). Det körs inte på kundinnehåll.

Ansvar: Microsoft

ES-3: Se till att program mot skadlig kod och signaturer uppdateras

Vägledning: Uppdatera signaturer för program mot skadlig kod snabbt och konsekvent.

För att säkerställa att alla slutpunkter är uppdaterade med de senaste signaturerna följer du rekommendationerna i Microsoft Defender för molnet: "Compute & Apps".

För Windows installerar Microsoft Antimalware automatiskt de senaste signaturerna och motoruppdateringarna som standard. Om du arbetar i en Linux-miljö använder du en tredjepartslösning för program mot skadlig kod.

Läs mer i följande referenser:

Ansvar: Microsoft

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Vägledning: Konfigurera geo-haveriberedskap för Azure Service Bus. Vad händer när hela Azure-regioner eller datacenter (om inga tillgänglighetszoner används) drabbas av driftstopp? Databehandlingen måste sedan fortsätta att fungera i en annan region eller ett annat datacenter. Geo-haveriberedskap och geo-replikering är viktiga funktioner för alla företag. Azure Service Bus stöder både geo-haveriberedskap och geo-replikering på namnområdesnivå.

Ansvar: Kund

BR-2: Kryptera säkerhetskopierade data

Vägledning: Service Bus tillhandahåller kryptering av vilande data med Azure Storage Service Encryption (Azure SSE). Service Bus förlitar sig på Lagring för att lagra data. Som standard krypteras alla data som lagras med Storage med hjälp av Microsoft-hanterade nycklar. Om du använder Key Vault för att lagra kundhanterade nycklar gör du automatiska säkerhetskopieringar av dina nycklar regelbundet.

Säkerställ regelbundna automatiska säkerhetskopieringar av dina Key Vault hemligheter med kommandot Backup-AzKeyVaultSecret PowerShell.

Ansvar: Delad

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Kontrollera regelbundet att du kan återställa säkerhetskopierade kundhanterade nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Ha åtgärder på plats för att förhindra och återställa från förlust av nycklar. Om du vill skydda nycklar mot oavsiktlig eller skadlig borttagning aktiverar du skydd mot mjuk borttagning och rensning i Key Vault.

Ansvar: Kund

Nästa steg