Azure-säkerhetsbaslinje för Site Recovery

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Site Recovery. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Site Recovery.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen för Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Site Recovery, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Om du vill se hur Site Recovery helt mappar till Azure Security Benchmark kan du läsa den fullständiga mappningsfilen för Site Recovery säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: Microsoft Azure Site Recovery stöder inte distribution direkt till ett virtuellt nätverk. Så du kan inte använda vissa nätverksfunktioner med erbjudandets resurser, till exempel:

  • Nätverkssäkerhetsgrupper (NSG:er).
  • Routningstabeller.
  • Andra nätverksberoende enheter, till exempel en Azure Firewall.

För virtuella Azure-datorer som behöver kommunicera med Site Recovery tillåter du utgående åtkomst till port 443 för åtkomst till vissa regionala fullständigt kvalificerade domännamn (FQDN) eller när du använder tjänsttaggar.

Ansvar: Kund

NS-2: Koppla samman privata nätverk

Vägledning: Använda Azure ExpressRoute eller Ett virtuellt privat Azure-nätverk (VPN) och skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar går inte via det offentliga Internet. Jämfört med vanliga Internetanslutningar erbjuder ExpressRoute-anslutningar:

  • Mer tillförlitlighet
  • Snabbare hastigheter
  • Lägre svarstider

För punkt-till-plats-VPN och plats-till-plats-VPN ansluter du lokala enheter eller nätverk till ett virtuellt nätverk. Använd valfri kombination av dessa VPN-alternativ och ExpressRoute.

Om du vill ansluta två eller flera virtuella nätverk i Azure tillsammans använder du peering för virtuella nätverk. Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat. Nätverkstrafiken sparas i Azure-stamnätverket.

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: Använd Azure Private Link och aktivera privat åtkomst till Recovery Services-valv från dina virtuella nätverk utan att korsa Internet. Privat åtkomst är ett annat djupskyddsmått att använda med den autentisering och trafiksäkerhet som Azure-tjänster erbjuder. Site Recovery har inte möjlighet att konfigurera Virtual Network tjänstslutpunkter. Det är en PaaS-tjänst (plattform som en tjänst för flera klientorganisationer).

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Azure Virtual Network-tjänsttaggar och definiera nätverksåtkomstkontroller för NSG:er eller Azure Firewall som har konfigurerats för dina Site Recovery resurser. Använd tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Genom att ange tjänsttaggens namn "AzureSiteRecovery" i lämplig regels käll- eller målfält tillåter eller nekar du trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som tjänsttaggen omfattar. Tjänsttaggen uppdateras automatiskt när adresserna ändras.

Ansvar: Kund

NS-7: Secure Domain Name Service (DNS)

Vägledning: Site Recovery exponerar inte dess underliggande DNS-konfigurationer. Microsoft underhåller dessa inställningar.

Ansvar: Microsoft

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: Site Recovery använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsofts molnresurser, till exempel:

    • Azure Portal
    • Infrastruktur som en tjänst (IaaS)
    • PaaS
    • SaaS-program (Programvara som en tjänst)
  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser. Se till att skydda Azure AD hög prioritet i organisationens molnsäkerhetspraxis. Azure AD tillhandahåller en identitetssäkerhetspoäng som hjälper dig att utvärdera din identitetssäkerhetsstatus mot Microsofts rekommendationer för bästa praxis. Med hjälp av poängen mäter du hur nära konfigurationen matchar rekommendationer för bästa praxis. Gör sedan förbättringar i din säkerhetsstatus. Obs! Azure AD stöder externa identiteter. Så att användare utan ett Microsoft-konto kan logga in på sina program och resurser med sin externa identitet. Site Recovery innehåller tre inbyggda roller för att styra Site Recovery hanteringsåtgärder:

  • SiteRecovery-deltagare

  • SiteRecovery-operator

  • SiteRecovery Reader

Mer information finns i följande artiklar:

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: Site Recovery stöder hanterade identiteter för sina Azure-resurser. I stället för att skapa tjänstens huvudnamn för att komma åt andra resurser använder du hanterade identiteter med Site Recovery. Site Recovery kan autentiseras internt mot de Azure-tjänster och resurser som stöder Azure AD autentisering. Den autentiseras via en fördefinierad regel för åtkomstbeviljande utan att använda autentiseringsuppgifter som är hårdkodade i källkods- eller konfigurationsfiler.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Site Recovery använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för att:

  • Azure-resurser
  • Molnprogram
  • Lokala program

De identiteter som kan använda Azure AD för att autentisera till Site Recovery omfattar:

  • Företagsidentiteter, till exempel anställda.
  • Externa identiteter, till exempel:
    • Partner
    • Leverantörer
    • Leverantörs-

Med den här hanteringen kan enkel inloggning (SSO) hantera och skydda åtkomsten till organisationens data och resurser. Enkel inloggning gäller lokalt och i molnet. För sömlös, säker åtkomst och bättre synlighet och kontroll ansluter du till Azure AD alla dina:

  • Användare
  • Program
  • Enheter

Mer information finns i följande artikel:

Ansvar: Kund

IM-7: Eliminera oavsiktlig exponering av autentiseringsuppgifter

Vägledning: Implementera Azure DevOps Credential Scanner för att identifiera autentiseringsuppgifter i dina Azure Resource Manager-mallar för Site Recovery. Genomsökning av autentiseringsuppgifter uppmuntrar också till att flytta identifierade autentiseringsuppgifter till säkrare platser, till exempel Azure Key Vault. För GitHub använder du funktionen för intern genomsökning av hemligheter. Den här funktionen identifierar autentiseringsuppgifter eller andra former av hemligheter i koden.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: De mest kritiska inbyggda rollerna för Azure AD är global administratör och privilegierad rolladministratör. Användare som har tilldelats dessa två roller kan delegera administratörsroller:- Global administratör eller Företagsadministratör. Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD. Dessa användare har också åtkomst till tjänster som använder Azure AD identiteter.- Privilegierad rolladministratör. Användare med den här rollen kan hantera rolltilldelningar i Azure AD eller inom Azure AD Privileged Identity Management (PIM). Den här rollen möjliggör också hantering av alla aspekter av PIM och administrativa enheter. Obs! Om du använder anpassade roller med vissa privilegierade behörigheter kan det finnas andra viktiga roller som du behöver styra. Du kanske också vill tillämpa liknande kontroller på administratörskontot för kritiska affärstillgångar. Begränsa antalet konton eller roller med hög behörighet. Skydda dessa konton på en förhöjd nivå. Direkt eller indirekt kan användare med den här behörigheten läsa och ändra varje resurs i din Azure-miljö. Använd Azure AD PIM och aktivera jit-privilegierad åtkomst (just-in-time) till Azure-resurser och Azure AD. JIT beviljar tillfälliga behörigheter att endast utföra privilegierade uppgifter när användarna behöver det. När det finns misstänkt eller osäker aktivitet i din Azure AD organisation kan PIM också generera säkerhetsaviseringar.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: Site Recovery använder Azure AD-konton och Azure RBAC för att bevilja behörigheter till sina resurser. Granska konton och åtkomsttilldelningar regelbundet för att säkerställa att användarkontona och deras åtkomst är giltiga. Använd Azure AD och åtkomstgranskningar för att granska:

  • Gruppmedlemskap
  • Åtkomst till företagsprogram
  • Rolltilldelningar

Azure AD rapportering kan tillhandahålla loggar som hjälper dig att identifiera inaktuella konton. För att underlätta granskningsprocessen använder du även Azure AD PIM för att skapa rapportarbetsflöde för åtkomstgranskningar.

Du kan också konfigurera Azure PIM för aviseringar när ett stort antal administratörskonton skapas. Eller konfigurera den för att identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Hantera dessa användare separat.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller, till exempel:

  • Administratörer
  • Utvecklare
  • Kritiska tjänstoperatorer

Använd mycket säkra användararbetsstationer eller Azure Bastion för administrativa uppgifter. Om du vill distribuera en säker och hanterad användararbetsstation använder du:

  • Azure AD
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

Du kan hantera de skyddade arbetsstationerna centralt för att framtvinga en säker konfiguration, som omfattar:

  • Stark autentisering.
  • Baslinjer för programvara och maskinvara.
  • Begränsad logisk åtkomst och nätverksåtkomst.

Mer information finns i följande artiklar:

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: Site Recovery är integrerat med Azure RBAC för att hantera dess resurser. Med Azure RBAC kan du hantera Åtkomst till Azure-resurser via rolltilldelningar. Tilldela följande roller till:

  • Användare
  • Grupper
  • Tjänstens huvudnamn
  • Hanterade identiteter

Det finns fördefinierade inbyggda roller för vissa resurser. Du kan inventera eller köra frågor mot dessa roller via verktyg, till exempel:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Begränsa alltid de behörigheter som du tilldelar till resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar JIT-metoden för Azure AD PIM och bör granskas regelbundet.

Site Recovery integreras med Azure RBAC för att tillåta användning av inbyggda och anpassade roller, vilket gör att du kan hantera åtkomst till resurser. Använd inbyggda roller för att bevilja behörigheter. Skapa endast anpassade roller när det behövs.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Vägledning: Site Recovery inte har funktioner för att klassificera data. Du kan organisera dina data själv genom att:

  • Använda olika Recovery Services-valv.
  • Koppla taggar till dessa valv enligt deras innehåll.

Mer information finns i följande artikel:

Ansvar: Kund

DP-2: Skydda känsliga data

Vägledning: Skydda känsliga data genom att begränsa åtkomsten med hjälp av:

  • Azure RBAC.
  • Nätverksbaserade åtkomstkontroller.
  • Specifika kontroller i Azure-tjänster, till exempel kryptering i SQL och andra databaser. För att säkerställa konsekvent åtkomstkontroll justerar du alla typer av åtkomstkontroll till din företagsstrategi för segmentering. Informera även företagets segmenteringsstrategi med platsen för känsliga eller affärskritiska data och system.

För den underliggande Microsoft-hanterade plattformen behandlar Microsoft allt kundinnehåll som känsligt. Den skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure förblir säkra implementerar Microsoft vissa standardkontroller och funktioner för dataskydd.

Ansvar: Delad

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontrollerna skyddar du data under överföring mot "out of band"-attacker, till exempel trafikinsamling. Använd kryptering, så att angripare inte enkelt kan läsa eller ändra data.

Site Recovery stöder datakryptering under överföring med TLS (Transport Layer Security) v1.2 eller senare.

Kryptering är valfritt för trafik i privata nätverk, men det är viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du Secure Shell (SSH) för Linux i stället för ett okrypterat protokoll. Eller använd RDP (Remote Desktop Protocol) och TLS för Windows. Inaktivera sedan:

  • Föråldrade versioner av:
    • Secure Sockets Layer (SSL)
    • TLS
    • SSH
  • Svaga chiffer

Som standard tillhandahåller Azure kryptering för data som överförs mellan Azure-datacenter.

Ansvar: Kund

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar Site Recovery vilande data för att skydda mot "out of band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Den här metoden hjälper till att se till att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data kan du implementera mer kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard. Azure tillhandahåller dock alternativ för att hantera dina egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster.

Ansvar: Kund

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Bevilja säkerhetsteam säkerhetsläsarbehörigheter i din Azure-klientorganisation och dina prenumerationer. Sedan kan teamen övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Beroende på hur du strukturerar säkerhetsteamets ansvarsområden kan ett centralt säkerhetsteam eller ett lokalt team ansvara för att övervaka säkerhetsrisker. Aggregera säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare i stort sett för en hel klientorganisation (rothanteringsgrupp). Eller omfång för hanteringsgrupper eller specifika prenumerationer.

Obs! För att få insyn i arbetsbelastningar och tjänster kan extra behörigheter vara nödvändiga.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteamen har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel Site Recovery. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker. Inventeringen är också en indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam. Tilldela teamet läsbehörighet till alla Azure App Configuration resurser. Du kan förenkla dessa åtgärder med hjälp av en enda rolltilldelning på hög nivå i din prenumeration.

Om du vill organisera i en taxonomi logiskt tillämpar du taggar på:

  • Azure-resurser
  • Resursgrupper
  • Prenumerationer

Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använda Azure Policy, granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Använd även Azure Monitor för att skapa regler som utlöser aviseringar när en tjänst som inte har godkänts identifieras.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd Microsoft Defender för molnets inbyggda funktioner för hotidentifiering. Aktivera Microsoft Defender för dina Site Recovery resurser. Microsoft Defender för Site Recovery tillhandahåller ytterligare ett lager med säkerhetsinformation. Den identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina Site Recovery resurser.

Site Recovery genererar aktivitets- och resursloggar. Med dessa loggar kan du granska åtgärder mot Azure-resurser och identifiera hot. Vidarebefordra loggar från Site Recovery till din SIEM, som du kan använda för att konfigurera anpassade hotidentifieringar. Övervaka olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få högkvalitativa aviseringar, för att minska falska positiva identifieringar för analytiker att sortera igenom. Du kan källaviseringar från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure AD innehåller följande användarloggar:

  • Inloggningar. Inloggningsrapporten innehåller information om användningen av hanterade program och användarinloggningsaktiviteter.

  • Granskningsloggar. Granskningsloggar ger spårning genom loggar för alla ändringar som olika funktioner gör i Azure AD. Exempel är ändringar som görs i alla resurser inom Azure AD, till exempel att lägga till eller ta bort:

    • Användare
    • Appar
    • Grupper
    • Roller
    • Principer
  • Riskfyllda inloggningar. En riskabel inloggning anger ett inloggningsförsök som kan ha gjorts av någon som inte är användarkontots legitima ägare.

  • Användare som flaggats för risk. En riskfylld användare anger ett användarkonto som kan ha komprometterats.

Du kan visa loggarna i Azure AD rapportering. För mer avancerade användningsfall för övervakning och analys kan du integrera loggarna med:

  • Azure Monitor
  • Microsoft Sentinel
  • Andra SIEM/övervakningsverktyg

Microsoft Defender för molnet kan också avisera om vissa misstänkta aktiviteter. Dessa aktiviteter omfattar ett överdrivet antal misslyckade autentiseringsförsök eller inaktuella konton i prenumerationen. Förutom den grundläggande säkerhetshygienövervakningen kan Microsoft Defender för molnets hotskyddsmodul också samla in mer djupgående säkerhetsaviseringar från:

  • Enskilda Azure-beräkningsresurser (virtuella datorer, containrar och apptjänster)
  • Dataresurser (SQL DB och lagring)
  • Azure-tjänstlager

Med den här funktionen har du insyn i kontoavvikelser i de enskilda resurserna.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar innehåller alla skrivåtgärder (PUT, POST och DELETE) för dina Site Recovery resurser. Aktivitetsloggar är automatiskt tillgängliga, men de innehåller inte läsåtgärder (GET). Använd aktivitetsloggar för att hitta ett fel vid felsökning. Eller använd loggarna för att övervaka hur en användare i din organisation ändrade en resurs.

Aktivera Azure-resursloggar för Site Recovery. Med Microsoft Defender för molnet och Azure Policy aktiverar du resursloggar och loggdatainsamling. Dessa loggar kan vara viktiga för att undersöka senare säkerhetsincidenter och utföra kriminaltekniska övningar.

Ansvar: Kund

LT-5: Central hantering och analys av säkerhetsloggar

Vägledning: Centralisera loggningslagring och analys för att aktivera korrelation. Tilldela för varje loggkälla:

  • Dataägare
  • Vägledning för åtkomst
  • Lagringsplats
  • Verktyg som används för att bearbeta och komma åt data
  • Krav för datakvarhållning

Integrera Azure-aktivitetsloggar i din centrala loggning. Mata in loggar via Azure Monitor för att aggregera säkerhetsdata som genereras av:

  • Slutpunktsenheter
  • Nätverksresurser
  • Andra säkerhetssystem

I Azure Monitor använder du Log Analytics-arbetsytor för att fråga och göra analyser. Använd sedan Azure Storage-konton för långsiktig lagring och arkivering.

Aktivera och registrera även data till Microsoft Sentinel eller en SIEM från tredje part. Många organisationer väljer att använda Microsoft Sentinel för "frekventa" data som används ofta. Dessa organisationer kan sedan välja Azure Storage för "kalla" data som används mindre ofta.

Ansvar: Kund

LT-6: Konfigurera kvarhållning av loggar

Vägledning: För lagringskonton eller Log Analytics-arbetsytor som används för att lagra Site Recovery loggar anger du loggkvarhållningsperioden till organisationens efterlevnadsregler.

I Azure Monitor anger du kvarhållningsperioden för Log Analytics-arbetsytan till organisationens efterlevnadsregler. För långsiktig lagring och arkivering använder du konton i:

  • Azure Storage
  • Azure Data Lake Storage
  • Log Analytics-arbetsyta

Mer information finns i följande artiklar:

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Site Recovery stöder inte konfiguration av dina egna tidssynkroniseringskällor. Site Recovery-tjänsten förlitar sig på Microsofts tidssynkroniseringskällor. Den exponeras inte för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Site Recovery stöder tjänstspecifika principer. Dessa principer är tillgängliga i Microsoft Defender för molnet för att granska och framtvinga konfigurationer av dina Azure-resurser. Du kan ändra konfigurationerna i Microsoft Defender för molnet eller Azure Policy initiativ.

Om du vill övervaka och framtvinga säkra konfigurationer av ditt Recovery Services-valv tilldelar du inbyggda och anpassade Azure Policy definitioner. Uppfyller inte inbyggda definitioner dina krav? Använd sedan Azure Policy alias i namnområdet "Microsoft.RecoveryServices". Med dessa alias kan du skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Recovery Services-valv.

Med hjälp av en Azure Blueprints-definition automatiserar du distributionen och konfigurationen av tjänster och programmiljöer, inklusive:

  • Azure Resource Manager-mallar
  • Azure RBAC-kontroller
  • Principer

Mer information finns i följande artiklar:

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: med Site Recovery kan du övervaka och framtvinga dess konfigurationer med hjälp av Azure Policy. Konfigurationerna innehåller inställningar för:

  • Valv, inklusive användning av privata slutpunkter för dina valv.
  • Dr-erbjudanden (Haveriberedskap) för Azure-arbetsbelastningar.
  • Diagnostikdistributioner.

Övervaka och framtvinga säkra konfigurationer av Recovery Services-valvet. Tilldela inbyggda och anpassade Azure Policy definitioner. Uppfyller inte inbyggda definitioner dina krav? Använd sedan Azure Policy alias i namnområdet "Microsoft.RecoveryServices" och skapa anpassade principer för att granska eller framtvinga konfigurationen av dina Recovery Services-valv.

Använd Microsoft Defender för molnet för att övervaka konfigurationsbaslinjen. Använd Azure Policy definitioner för Neka och DeployIfNotExists och framtvinga säker konfiguration mellan Azure-beräkningsresurser, inklusive:

  • Virtuella datorer
  • Containrar
  • Andra

Mer information finns i följande artiklar:

Ansvar: Kund

PV-6: Gör sårbarhetsbedömningar för programvara

Vägledning: Microsoft utför sårbarhetshantering på de underliggande system som stöder Site Recovery.

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Site Recovery ger inte möjlighet att stödja programreparation automatiskt. För den underliggande plattformen som stöder Azure Backup hanterar Microsoft:

  • Sårbarheter
  • Utvärderingar
  • Reparationer

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför vid behov intrångstestning eller aktiviteter för röda team på dina Azure-resurser. Se till att alla kritiska säkerhetsresultat åtgärdas. Om du vill se till att intrångstesterna inte bryter mot Microsofts principer följer du Microsoft Cloud Penetration Testing Rules of Engagement. Använd Microsofts strategi och körning av red teamindelning och intrångstester för livewebbplatser mot Microsoft-hanterad:

  • Molninfrastruktur
  • Tjänster
  • Program

Mer information finns i följande artiklar:

Ansvar: Kund

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-2: Kryptera säkerhetskopieringsdata

Vägledning: Site Recovery stöder kryptering i vila för arbetsbelastningsdata. För molnarbetsbelastningar krypteras data i vila som standard med hjälp av Kryptering av lagringstjänst och Microsoft-hanterade nycklar. För att uppfylla regelkraven tillhandahåller Site Recovery även alternativ för att hantera dina egna nycklar (kundhanterade nycklar).

Ansvar: Kund

Microsoft Defender för molnövervakning: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och är grunden för Microsoft Defender för molnets rekommendationer. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar som rör den här kontrollen kan kräva en Microsoft Defender-plan för relaterade tjänster.

Azure Policy inbyggda definitioner – Microsoft.RecoveryServices:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Azure Backup ska aktiveras för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, Inaktiverad 2.0.0

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Site Recovery ger återställningsfunktioner för beräkningsarbetsbelastningar. Men det stöder inte någon säkerhetskopiering av data för sig själv. Kunder kan kryptera sina lagrade data med hjälp av en kundhanterad nyckel. När du använder kundhanterade nycklar kontrollerar du att du kan återställa dem. Aktivera även mjuk borttagning med varje Key Vault som lagrar dina nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Ha åtgärder på plats för att förhindra och återställa från förlust av nycklar. Om du vill skydda nycklar mot oavsiktlig eller skadlig borttagning aktiverar du skydd mot mjuk borttagning och rensning i Key Vault.

Ansvar: Kund

Nästa steg