适用于 Azure 数据工厂的 Azure 安全基线

此安全基线将 Azure 安全基准版本 2.0 中的指南应用于 Azure 数据工厂。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控制”分组,这些控制根据适用于 Azure 数据工厂的 Azure 安全基准和相关指南定义。

当某个功能具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Azure 数据工厂的控件以及建议逐字使用全局指导的控件。 若要了解 Azure 数据工厂如何完全映射到 Azure 安全基准,请参阅完整的 Azure 数据工厂安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

NS-1:实现内部流量的安全性

指导:部署数据工厂资源时,创建或使用现有虚拟网络。 确保所有 Azure 虚拟网络都遵循与业务风险相匹配的企业分段原则。 将任何可能给组织带来更高风险的系统隔离在其自己的虚拟网络中。 使用网络安全组 (NSG) 或 Azure 防火墙,充分保护系统的安全。

使用 Microsoft Defender for Cloud 自适应网络强化功能建议网络安全组配置。 配置应根据对外部网络流量规则的引用来限制端口和源 IP。

Azure-SSIS 集成运行时支持在客户虚拟网络上注入虚拟网络。 它遵守客户在其虚拟网络中设置的所有网络安全组和防火墙规则。 创建 Azure-SSIS Integration Runtime (IR) 时,可选择将其加入虚拟网络。 其允许 Azure 数据工厂创建特定网络资源,如网络安全组和负载均衡器。 你还能够提供自己的静态公共 IP 地址,或让 Azure 数据工厂为你创建一个。 在 Azure 数据工厂自动创建的网络安全组上,端口 3389 默认对所有流量开放。 将此端口锁定,确保只有管理员才有访问权限。

可以在客户虚拟网络的 IaaS VM 上设置自承载集成运行时 (IR)。 网络流量还由客户的网络安全组和防火墙设置控制。

根据应用程序和企业分段策略,应基于网络安全组规则限制或允许内部资源之间的流量传递。 对于定义明确的特定应用程序(如三层应用)来说,这可能是高度安全的“默认拒绝”规则集。

责任:客户

NS-3:建立对 Azure 服务的专用网络访问

指导:使用 Azure 专用链接,无需通过 Internet 即可从虚拟网络对数据工厂进行专用访问。 专用访问可以为 Azure 身份验证和流量安全性增加深度防护措施。

你可以在 Azure 数据工厂托管的虚拟网络中配置专用终结点,以便以非公开方式连接到数据存储。

数据工厂不提供配置虚拟网络服务终结点的功能。

创建 Azure-SSIS Integration Runtime (IR) 时,可选择将其加入虚拟网络。 其允许 Azure 数据工厂创建特定网络资源,如网络安全组和负载均衡器。 你还能够提供自己的静态公共 IP 地址,或让 Azure 数据工厂为你创建一个。 在 Azure 数据工厂自动创建的网络安全组上,端口 3389 默认对所有流量开放。 将此端口锁定,确保只有管理员才有访问权限。 你可以在虚拟网络的本地计算机或 Azure VM 上部署自承载集成运行时。 确保虚拟网络子网部署已将网络安全组配置为仅允许进行管理访问。 根据每个 IR 节点的 Windows 防火墙规则,Azure-SSIS IR 默认禁止端口 3389 出站,以便提供保护。 可将 NSG 与子网关联并设置严格规则来保护虚拟网络配置的资源。

责任:客户

NS-4:保护应用程序和服务不受外部网络攻击

指导:保护数据工厂资源免受来自外部网络的攻击,其中包括:

  • 分布式拒绝服务 (DDoS) 攻击。

  • 特定于应用程序的攻击。

  • 未经请求的潜在恶意 Internet 流量。

使用 Azure 防火墙保护应用程序和服务免受来自 Internet 和其他外部位置的潜在恶意流量的侵害。 通过在 Azure 虚拟网络上启用 DDoS 标准保护,保护资产免受 DDoS 攻击。 使用 Microsoft Defender for Cloud 检测错误配置网络相关资源带来的风险。

数据工厂并非用于运行 Web 应用程序。 而且,不需要配置任何其他设置或部署任何额外的网络服务来保护其免受针对 Web 应用程序的外部网络攻击。

责任:客户

NS-6:简化网络安全规则

指导:在网络安全组或 Azure 防火墙中使用 Azure 虚拟网络服务标记来定义数据工厂资源的网络访问控制。 创建安全规则时,可以使用服务标记代替特定的 IP 地址。 在相应的规则源或目标字段中指定服务标记名称,以允许或拒绝该服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并在地址更改时自动更新服务标记。

Azure 集成运行时的 IP 范围将在服务标记下列出。 其适用于数据移动(复制)、外部和管道活动,但不能用于执行数据流。

责任:客户

NS-7:安全域名服务 (DNS)

指导:按照 DNS 安全性的最佳做法操作,以防范常见攻击,例如:

  • 无关联 DNS

  • DNS 放大攻击

  • DNS 中毒和欺骗

将 Azure DNS 用作 DNS 服务时,请确保使用 Azure 基于角色的访问控制 (RBAC) 和资源锁,防止 DNS 区域和记录被意外修改或恶意修改。

在数据工厂中使用托管虚拟网络时,需要更新 DNS 才可通过专用终结点建立连接。 此更新由 Microsoft 管理。 客户可以在数据工厂的托管虚拟网络中创建专用终结点时指定 DNS 条目。

责任:客户

标识管理

有关详细信息,请参阅 Azure 安全基准:标识管理

IM-1:将 Azure Active Directory 标准化为中央标识和身份验证系统

指导:数据工厂使用 Azure AD 作为其默认标识和访问管理服务。 使 Azure AD 标准化,以便控制组织在以下资源中的标识和访问管理:

  • Microsoft Cloud 资源。 资源包括:

    • Azure 门户

    • Azure 存储

    • Azure Linux 和 Windows VM

    • Azure Key Vault

    • 平台即服务 (PaaS)

    • 服务即软件 (SaaS) 应用程序

  • 你的组织的资源,例如 Azure 上的应用程序,或公司网络资源。

在组织的云安全做法中,应将保护 Azure AD 列为高优先级事项。 Azure AD 提供标识安全分数,可帮助你将标识安全状况与 Microsoft 的最佳做法建议进行比较。 使用评分来估计你的配置与最佳做法建议的匹配程度,并改善你的安全状况。

注意:Azure AD 支持外部标识,允许没有 Microsoft 帐户的用户使用其外部标识登录到其应用程序和资源。

“数据工厂参与者”角色中的成员身份允许用户执行以下操作:

  • 创建、编辑和删除数据工厂和子资源,例如:

    • 数据集

    • 链接服务

    • 管道

    • 触发器

    • 集成运行时

  • 部署资源管理器模板。 资源管理器部署是数据工厂在 Azure 门户中使用的部署方法。

  • 管理数据工厂的 App Insights 警报。

  • 创建支持票证。

如果在 Azure 虚拟机上运行自承载集成运行时,可以使用托管标识对支持 Azure AD 身份验证的任何服务(包括 Key Vault)进行身份验证,无需使用代码中的任何凭据。 在虚拟机上运行的代码可以使用托管标识来请求支持 Azure AD 身份验证的服务的访问令牌。

数据工厂允许使用托管标识、服务原则对支持 AAD 身份验证的数据存储和计算进行身份验证。

责任:客户

IM-2:安全且自动地管理应用程序标识

指导:数据工厂支持其 Azure 资源的托管标识。 将托管标识与数据工厂一起使用,而非创建服务主体来访问其他资源。 数据工厂可以对支持 Azure AD 身份验证的 Azure 服务和资源进行本机身份验证。 通过预定义的访问授权规则支持进行身份验证。 该身份验证不使用源代码或配置文件中硬编码的凭据。

数据工厂建议使用 Azure AD 在资源级别创建具有受限权限的服务主体,以使用证书凭据配置服务主体,并回退到客户端密码。 在这两种情况下,都可以将 Azure Key Vault 与 Azure 托管标识结合使用,以便运行时环境(例如 Azure 函数)可以从密钥保管库中检索凭据。

责任:客户

IM-3:使用 Azure AD 单一登录 (SSO) 进行应用程序访问

指导:数据工厂使用 Azure AD 标识和访问管理处理 Azure 资源、云应用程序和本地应用程序。 标识包括企业标识(如员工标识)和外部标识(如合作伙伴、供应商和提供商标识)。

Azure AD 通过单一登录 (SSO) 来管理并安全访问组织存储在本地和云中的数据和资源。

将所有用户、应用程序和设备连接到 Azure AD。 Azure AD 提供无缝、安全的访问,以及更高的可见性和控制能力。

责任:客户

IM-7:消除意外的凭据透露

指导:数据工厂允许客户部署和运行代码或配置,或保留可能包含标识或机密的数据。 使用凭据扫描程序在代码、配置或数据中发现这些凭据。 凭据扫描程序建议将发现的凭据转移到安全位置,如 Azure Key Vault。

对于 GitHub,你可以使用本机机密扫描功能来识别代码中的凭据或其他机密。

如果使用数据工厂的基于可视 UI 的创作工具,则链接服务中存储的所有凭据和机密都将由该服务直接加密,或者可以使用密钥保管库通过运行时进行引用。 因此,JSON 代码中不会显示此类凭据。 这些凭据绝对无法通过代码或可视化 UI 进行检索。

责任:客户

特权访问

有关详细信息,请参阅 Azure 安全基准:特权访问

PA-1:保护和限制具有较高权限的用户

指导:最重要的内置 Azure AD 角色是全局管理员和特权角色管理员。 具有这两种角色的用户可以委托管理员角色。

  • 全局管理员或公司管理员有权访问使用 Azure AD 标识的所有 Azure AD 管理功能和服务。

  • 特权角色管理员可以管理 Azure AD 和 Azure AD Privileged Identity Management (PIM) 中的角色分配。 此角色可以管理 PIM 和管理单元的各个方面。

注意:如果使用的是分配了某些特权的自定义角色,则可能有其他关键角色需要进行管理。 你可能还要对关键业务资产的管理员帐户应用类似控制。

限制具有较高权限的帐户或角色的数量,并提升这些帐户的保护级别。 具有较高权限的用户可以直接或间接读取和修改所有 Azure 资源。

可使用 Azure AD PIM 启用对 Azure 资源和 Azure AD 的实时 (JIT) 特权访问。 JIT 仅在用户需要执行特权任务时授予临时权限。 PIM 还可对 Azure AD 组织中的可疑或不安全的活动生成安全警报。

数据工厂参与者属于 Azure AD 内置角色,可提供对数据工厂实例的完全访问权限。 要提供较低特权或限制用户使用数据工厂中的某些功能,请考虑创建“自定义角色”。

如果在 Azure VM 上运行自承载集成运行时,还可以将 VM 加入 Microsoft Sentinel。 Microsoft Sentinel 是一种可缩放的云原生、SIEM 和 SOAR 解决方案。 Microsoft Sentinel 跨企业提供智能安全分析和威胁情报。 它为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。

责任:客户

PA-3:定期审查和协调用户访问权限

指导:数据工厂使用 Azure AD 帐户管理其资源。 请定期审查用户帐户和访问权限分配,确保帐户及其访问权限有效。 可使用 Azure AD 访问评审来审查组成员资格、企业应用程序的访问权限和角色分配。

Azure AD 报告提供日志来帮助发现过时的帐户。 还可以在 Azure AD PIM 中创建访问评审报告工作流,以简化审查过程。

如果在 Azure VM 中运行自承载集成运行时,则需要查看本地安全组和用户。 请确保没有任何意外的帐户会损害系统。

可以通过配置 Azure AD PIM,以便在管理员帐户过多时发出警报。 PIM 可以标识过时或配置不当的管理员帐户。

注意:某些 Azure 服务支持不通过 Azure AD 管理的本地用户和角色。 请单独管理这些用户。

Azure 数据工厂的角色和权限:/azure/data-factory/concepts-roles-permissions

责任:客户

PA-6:使用特权访问工作站

指导:安全的独立工作站对于确保敏感角色(如管理员、开发人员和关键服务操作员)的安全性至关重要。 使用高度安全的用户工作站和 Azure Bastion 执行管理任务。

使用 Azure AD、Microsoft Defender ATP 或 Microsoft Intune 来部署安全的托管用户工作站,以便执行管理任务。 可以集中管理安全工作站,以强制执行安全配置,其中包括:

  • 强身份验证

  • 软件和硬件基线

  • 受限制的逻辑和网络访问

有关详细信息,请参阅以下资源:

责任:客户

PA-7:遵循 Just Enough Administration(最小特权原则)

指导:数据工厂通过与 Azure RBAC 集成来管理其资源。 凭借 RBAC,可通过角色分配来管理 Azure 资源访问。 可以将角色分配给用户、组、服务主体和托管标识。 某些资源具有预定义的内置角色。 可以使用工具(例如 Azure CLI、Azure PowerShell 或 Azure 门户)来清点或查询这些角色。

将通过 Azure RBAC 分配给资源的特权限制为角色所需的特权。 此做法是对 Azure AD PIM 实时 (JIT) 方法的补充。 定期审查角色和分配。

使用内置角色授予权限。 仅在必要时创建自定义角色。

可以在 Azure AD 中创建一个对数据工厂具有更严格访问权限的自定义角色。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

DP-2:保护敏感数据

指导:使用 Azure RBAC、基于网络的访问控制和 Azure 服务中的特定控件来限制访问,以此保护敏感数据。 例如,在 SQL 和其他数据库中使用加密。

为保持一致性,根据企业分段策略调整各种类型的访问控制。 根据敏感的或业务关键型的数据和系统的位置确定企业分段策略。

Microsoft 将 Microsoft 托管的基础平台中的所有客户内容视为敏感内容。 Microsoft 对客户数据采取保护措施,以防丢失和泄露。 为确保 Azure 客户数据始终安全,Microsoft 采用默认的数据保护控制机制和功能。

责任:客户

DP-4:加密传输中的敏感信息

指导:要对访问控制进行补充,可保护传输中的数据免受“带外”攻击(例如流量捕获)。 使用加密可确保攻击者无法轻易读取或修改数据。

数据工厂支持通过传输层安全性 (TLS) 1.2 或更高版本来加密传输中数据。

此要求对于专用网络上的流量来说是可选的,但对于外部和公用网络上的流量来说是至关重要的。 对于 HTTP 流量,需确保连接到 Azure 资源的所有客户端都可以使用 TLS 1.2 版或更高版本。

对于远程管理,需使用安全外壳 (SSH)(适用于 Linux)或远程桌面协议 (RDP) 和 TLS(适用于 Windows)。 不能使用未加密的协议。 禁用弱密码和已过时的 SSL、TLS 和 SSH 版本及协议。

默认情况下,Azure 会对 Azure 数据中心之间传输中的数据加密。

责任:客户

DP-5:加密静态敏感数据

指导:为了对访问控制进行补充,数据工厂将使用加密保护静态数据,以防其遭受“带外”攻击(例如访问底层存储)。 加密可帮助确保攻击者无法轻易读取或修改数据。

默认情况下,Azure 为静态数据提供加密。 对于高度敏感的数据,可以对可用的 Azure 资源进行进一步静态加密。 Azure 默认管理加密密钥,但某些 Azure 服务会提供客户管理的密钥选项。

责任:客户

资产管理

有关详细信息,请参阅 Azure 安全基准:资产管理

AM-1:确保安全团队可以了解与资产相关的风险

指导:确保在 Azure 租户和订阅中向安全团队授予安全读取者权限,以使他们可以使用 Microsoft Defender for Cloud 监视安全风险。

监视安全风险可能是中心安全团队或本地团队的责任,具体取决于团队责任划分方式。 一律在组织内集中聚合安全见解和风险。

可以将安全读取者权限广泛应用于整个租户的根管理组,也可以将权限范围限制为特定管理组或订阅。

注意:如果要了解工作负载和服务,可能需要更多权限。

责任:客户

AM-2:确保安全团队有权访问资产清单和元数据

指导:确保安全团队有权访问 Azure 上持续更新的资产清单,如数据工厂。 安全团队通常需要此清单,以评估其组织遇到新兴风险的可能性,并据此不断提高安全性。 创建一个 Azure AD 组以包含组织的授权安全团队,并向他们分配对所有数据工厂资源的读取访问权限,这可以通过在订阅中分配单个高级角色来简化。

将标记应用到 Azure 资源、资源组和订阅,以便有条理地将它们组织成分类。 每个标记均由名称和值对组成。 例如,可以对生产中的所有资源应用名称“Environment”和值“Production”。

使用 Azure 虚拟机清单自动收集虚拟机上软件的相关信息。 可从 Azure 门户获得软件名称、版本、发布者和刷新时间。 要访问安装日期和其他信息,请启用来宾级诊断,并将 Windows 事件日志导入 Log Analytics 工作区。

数据工厂不允许在其资源上运行应用程序或安装软件。 描述产品/服务中允许或支持此功能的任何其他功能(如果适用)。

责任:客户

AM-3:仅使用已批准的 Azure 服务

指导:请使用 Azure Policy 来审核和限制用户可以在你的环境中预配哪些服务。 使用 Azure Resource Graph 在订阅中查询和发现资源。 也可以使用 Azure Monitor 创建规则,以在检测到未经批准的服务时触发警报。

责任:客户

AM-6:仅使用计算资源中经过批准的应用程序

指导:如果在 Azure VM 中运行自承载集成运行时,Azure 自动化将在下列操作期间提供完全控制:

  • 部署

  • Operations

  • 停用工作负载和资源

可以使用更改跟踪来识别虚拟机上安装的所有软件。 可以实现自己的过程,也可以使用 Azure Automation State Configuration 来删除未经授权的软件。

注意:仅在自承载集成运行时于 Azure 虚拟机上运行时,才使用已批准的应用程序。

责任:客户

日志记录和威胁检测

有关详细信息,请参阅 Azure 安全基准:日志记录和威胁检测

LT-1:为 Azure 资源启用威胁检测

指导:使用 Microsoft Defender for Cloud 的内置威胁检测功能。 为数据工厂资源启用 Microsoft Defender。 Microsoft Defender for Data Factory 提供额外的安全情报层。 Microsoft Defender 会检测以非寻常和可能有害方式访问或恶意利用 Azure 数据工厂资源的企图。

将任何日志从数据工厂转发到 SIEM。 使用日志设置自定义威胁检测。 确保正在监视不同类型的 Azure 资产,以发现潜在的威胁和异常情况。 专注于获取高质量警报以减少误报,便于分析人员进行分类整理。 警报可能源自日志数据、代理或其他数据。

责任:客户

LT-2:启用 Azure 标识和访问管理的威胁检测

指导:Azure AD 提供以下用户日志。 可以在 Azure AD 报告中查看这些日志。 对于更复杂的监视和分析用例,可以将日志与 Azure Monitor、Microsoft Sentinel 或其他 SIEM 和监视工具集成。

  • 登录 - 有关托管应用程序使用情况和用户登录活动的信息。

  • 审核日志 - 通过日志对通过 Azure AD 的各种功能所做一切更改提供可跟踪性。 审核日志包含对 Azure AD 中的任何资源所做的更改。 这些更改包括添加或删除用户、应用、组、角色和策略。

  • 风险登录 - 指可能有非合法用户帐户所有者尝试登录。

  • 标记为风险用户 - 指可能已泄露的用户帐户。

Microsoft Defender for Cloud 还可对身份验证尝试失败次数过多等特定可疑活动触发警报。 订阅中已弃用的帐户也可能触发警报。

除了基本的安全运行监视以外,Microsoft Defender for Cloud 的威胁防护模块还可以从以下资源中收集更多深层安全警报:

  • 单独的 Azure 计算资源,如 VM、容器和应用服务。

  • 数据资源,如 Azure SQL 数据库和 Azure 存储。

  • Azure 服务层。

通过此功能可了解各个资源中的帐户异常情况。

责任:客户

LT-3:为 Azure 网络活动启用日志记录

指导:启用并收集这些日志进行安全分析:

  • NSG 资源日志

  • NSG 流日志

  • Azure 防火墙日志

  • Web 应用程序防火墙 (WAF) 日志

日志支持事件调查、威胁搜寻和安全警报生成。 可将流日志发送到 Azure Monitor Log Analytics 工作区,并使用流量分析提供见解。

数据工厂不生成或处理 DNS 查询日志

责任:客户

LT-4:为 Azure 资源启用日志记录

指导:系统自动提供活动日志。 这些日志包含对 Azure 机器学习资源执行的所有 PUT、POST 和 DELETE 操作,但不包含 GET 操作。 可以在排除故障时使用活动日志来查找错误,或监视组织中的用户如何修改资源。

为数据工厂启用 Azure 资源日志。 可以使用 Microsoft Defender for Cloud 和 Azure Policy 启用资源日志和日志数据收集。 这些日志对于调查安全事件和练习取证可能起到重要作用。

责任:客户

LT-5:集中管理和分析安全日志

指导:通过 Azure Monitor 引入日志来聚合 Azure 数据工厂生成的安全数据。 在 Azure Monitor 中,可以查询配置为接收 Azure 数据工厂活动日志的 Log Analytics 工作区。 将 Azure 存储帐户用于长期存档日志存储或事件中心,以便将数据导出到其他系统。

或者,可以启用 Microsoft Sentinel 或第三方 SIEM,并在其中加入数据。 你还可以将 Azure 数据工厂与 Git 集成以使用多个源代码管理优点,例如能够跟踪和审核更改,以及能够恢复可引入 bug 的更改。

责任:客户

LT-6:配置日志存储保留期

指导:启用 Azure 数据工厂的诊断设置。 如果将日志存储在 Log Analytics 工作区中,请根据组织的合规性规则来设置 Log Analytics 工作区保持期。 将 Azure 存储帐户用于长期存档存储。如何在 Azure 数据工厂中启用诊断日志:/azure/data-factory/monitor-using-azure-monitor#configure-diagnostic-settings-and-workspace 如何设置 Log Analytics 工作区的日志保留参数:/azure/azure-monitor/platform/manage-cost-storage#change-the-data-retention-period

责任:客户

LT-7:使用批准的时间同步源

指导:不适用。 数据工厂不支持配置你自己的时间同步源。

数据工厂服务依赖于 Microsoft 时间同步源,不会向客户公开以允许其进行配置。

责任:Microsoft

安全状况和漏洞管理

有关详细信息,请参阅 Azure 安全基准:安全状况和漏洞管理

PV-1:为所有 Azure 服务建立安全配置

指导:使用 Azure Policy 为 Azure 数据工厂定义和实施标准安全配置。 使用“Microsoft.DataFactory”命名空间中的 Azure Policy 别名来创建自定义策略。 配置策略,以审核或强制实施 Azure 数据工厂实例的网络配置。

责任:客户

PV-2:为所有 Azure 服务维护安全配置

指导:使用 Azure Policy“[拒绝]”和“[不存在则部署]”来对 Azure HDInsight 群集和相关资源强制实施安全设置。

责任:客户

PV-3:为计算资源建立安全配置

指导:使用 Microsoft Defender for Cloud 和 Azure Policy 为 Azure VM 和容器上运行的所有自承载集成运行时建立安全配置。

责任:客户

PV-4:为计算资源维护安全配置

指导:如果在 Azure VM 中运行自承载集成运行时,可通过以下几个选项来维护用于部署的虚拟机安全配置:

  • Azure 资源管理器模板:基于 JSON 的文件,用于从 Azure 门户部署虚拟机。自定义模板将需要进行维护。 基本模板由 Microsoft 进行维护。
  • 自定义虚拟硬盘 (VHD):在某些情况下,可能需要使用自定义 VHD 文件,例如在处理无法通过其他方式管理的复杂环境时。

Azure 自动化 State Configuration:部署基本 OS 后,它可用于更精细地控制设置,并通过自动化框架强制执行。 结合 Azure 自动化状态配置,Microsoft VM 模板可帮助满足和维护安全要求。

责任:客户

PV-6:执行软件漏洞评估

指导:不适用。 Microsoft 对支持数据工厂的基础系统执行漏洞管理。

责任:Microsoft

PV-7:快速自动修正软件漏洞

指导:如果在 Azure VM 中运行自承载集成运行时,请使用 Azure 更新管理解决方案来管理 VM 的更新和补丁。 更新管理依赖于本地配置的更新存储库来修补受支持的 Windows 系统。 可以使用 System Center Updates Publisher 等工具将自定义更新发布到 Windows Server Update Services (WSUS) 中。 在这种情况下,允许更新管理使用第三方软件来修补使用 Configuration Manager 作为其更新存储库的计算机。

如果在 Azure VM 中运行自承载集成运行时,则可以使用本机漏洞扫描程序。 Microsoft Defender for Cloud 随附的漏洞扫描程序由 Qualys 提供支持。 Qualys 扫描程序是用于实时识别 Azure 虚拟机中漏洞的主要工具。

当 Microsoft Defender for Cloud 识别到漏洞时,它会提供发现和相关信息作为建议。 相关信息包括修正步骤、相关 CVE、CVSS 分数,等等。 你可以查看一个或多个订阅或特定 VM 的已识别的漏洞。

责任:客户

PV-8:执行定期攻击模拟

指导:根据需要,对 Azure 资源执行渗透测试和红队活动,确保修正所有关键的安全发现结果。

按照 Microsoft Cloud 渗透测试参与规则操作,以确保渗透测试不违反 Microsoft 策略。 采用并执行 Microsoft 的红队演练策略。 对 Microsoft 托管的云基础结构、服务和应用程序进行实时站点渗透测试。

责任:客户

终结点安全性

有关详细信息,请参阅 Azure 安全基线:终结点安全性

ES-2:使用集中管理的新式反恶意软件

指导:如果在 Azure 虚拟机中运行自承载集成运行时,则可以使用适用于 Azure Windows 虚拟机的 Microsoft Antimalware 来持续监视和保护资源。

责任:客户

ES-3:确保反恶意软件和签名已更新

指导:在 Azure VM 中部署自承载集成运行时后,Microsoft Antimalware for Azure 会默认自动安装最新的签名、平台和引擎更新。 请遵循 Microsoft Defender for Cloud 中的建议(“计算和应用”),确保所有终结点都具有最新的签名。 通过与 Azure 安全中心集成的 Microsoft Defender 高级威胁防护服务,可以进一步更安全地保护 Windows OS,以限制病毒或恶意软件攻击造成的相关风险。

责任:客户

备份和恢复

有关详细信息,请参阅 Azure 安全基准:备份和恢复

BR-1:确保定期执行自动备份

指导:如果在虚拟机上运行自承载集成运行时,请启用 Azure 备份,并配置虚拟机以及自动备份所需的频率和保持期。 要备份 Azure 数据工厂上的所有代码,请使用数据工厂中的源代码管理功能。

责任:共享

BR-2:加密备份数据

指导:如果在 Azure VM 上运行自承载集成运行时,请启用 Azure 备份,并确定目标 Azure VM 以及所需的频率和保持期。 可以使用 Azure Key Vault 中客户管理的密钥来备份这些虚拟机。

责任:共享

BR-3:验证所有备份,包括客户管理的密钥

指导:如果在 Azure VM 上运行自承载集成运行时,请确保能够定期对 Azure 备份中的内容执行数据还原。 如有必要,测试将内容还原到隔离网络。 对备份的客户管理的密钥定期进行还原测试。

责任:共享

BR-4:减少密钥丢失风险

指导:确保已采取措施来防止丢失用于加密 Azure 数据工厂元数据的密钥,以及恢复丢失的密钥。 在存储数据工厂加密密钥的 Azure Key Vault 中启用软删除和清除保护,以防止密钥被意外或恶意删除。

责任:共享

后续步骤