适用于 Linux 虚拟机的 Azure 安全基线

此安全基线会将 Azure 安全基准 1.0 版中的指导应用于 Linux 虚拟机。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控件”分组,这些控件按适用于 Linux 虚拟机的 Azure 安全基准和相关的指导定义。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将列在 Microsoft Defender for Cloud 仪表板的“法规合规性”部分中。

当某个部分具有相关的Azure Policy定义时,它们会列在此基线中,以帮助衡量 Azure 安全基准控件和建议的符合性。 某些建议可能需要付费的 Microsoft Defender 计划才能启用某些安全方案。

注意

已排除不适用于 Linux 虚拟机的控件以及建议逐字使用全局指导的控件。 若要查看 Linux 虚拟机如何完全映射到 Azure 安全基准,请参阅完整的 Linux 虚拟机安全基线映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

1.1:保护虚拟网络中的 Azure 资源

指导:创建 Azure 虚拟机 (VM) 时,必须创建虚拟网络 (VNet) 或使用现有 VNet,并使用子网来配置 VM。 确保所有部署的子网都应用了网络安全组,且具有特定于应用程序受信任端口和源的网络访问控制。

或者,如果拥有集中式防火墙的特定用例,则还可以使用 Azure 防火墙来满足这些要求。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在面向 Internet 的虚拟机上应用自适应网络强化建议 Microsoft Defender for Cloud 会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 AuditIfNotExists、Disabled 3.0.0
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
应禁用虚拟机上的 IP 转发 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 AuditIfNotExists、Disabled 3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 Microsoft Defender for Cloud 建议对潜在的网络实时 (JIT) 访问进行监视 AuditIfNotExists、Disabled 3.0.0
应关闭虚拟机上的管理端口 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 AuditIfNotExists、Disabled 3.0.0

1.2:监视并记录虚拟网络、子网和网络接口的配置与流量

指导:使用 Microsoft Defender for Cloud 来确定并遵循网络保护建议,以帮助保护 Azure 中的 Azure 虚拟机 (VM) 资源。 启用 NSG 流日志,并将日志发送到存储帐户,以针对 VM 进行异常活动流量审核。

责任:客户

1.3:保护关键 Web 应用程序

指导:如果使用虚拟机 (VM) 承载 Web 应用程序,请在 VM 子网中使用网络安全组 (NSG) 来限制允许进行通信的网络流量、端口和协议。 将 NSG 配置为仅允许所需流量进入应用程序时,请遵循最小特权网络方法。

还可以在关键 Web 应用程序前部署 Azure Web 应用程序防火墙 (WAF),以对传入的流量进行额外的检查。 启用 WAF 的诊断设置,并将日志引入存储帐户、事件中心或 Log Analytics 工作区。

责任:客户

1.4:拒绝与已知恶意的 IP 地址进行通信

指导:在虚拟网络上启用分布式拒绝服务 (DDoS) 标准保护,以防范 DDoS 攻击。 使用 Microsoft Defender for Cloud 集成式威胁情报功能监视与已知恶意 IP 地址的通信。 在每个虚拟网络段上配置 Azure 防火墙,启用威胁情报并将其配置为针对恶意网络流量执行“发出警报并拒绝”操作。

可以使用 Microsoft Defender for Cloud 的实时网络访问,将 Linux 虚拟机限制为在有限时间内向批准的 IP 地址公开。 此外,可以使用 Microsoft Defender for Cloud 的自适应网络强化功能,建议根据实际流量和威胁情报限制端口和源 IP 的 NSG 配置。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在面向 Internet 的虚拟机上应用自适应网络强化建议 Microsoft Defender for Cloud 会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 AuditIfNotExists、Disabled 3.0.0
应通过即时网络访问控制来保护虚拟机的管理端口 Microsoft Defender for Cloud 建议对潜在的网络实时 (JIT) 访问进行监视 AuditIfNotExists、Disabled 3.0.0

1.5:记录网络数据包

指导:你可以将 NSG 流日志记录到存储帐户中,以生成 Azure 虚拟机的流记录。 调查异常活动时,可以启用网络观察程序数据包捕获,以便可以检查网络流量中是否存在异常活动和意外活动。

责任:客户

1.6:部署基于网络的入侵检测/入侵防护系统 (IDS/IPS)

指导:通过将网络观察程序提供的数据包捕获与开源 IDS 工具相结合,可以针对各种威胁执行网络入侵检测。 此外,还可以在虚拟网络段上适当部署 Azure 防火墙,启用威胁情报并将其配置为针对恶意网络流量执行“发出警报并拒绝”操作。

责任:客户

1.7:管理发往 Web 应用程序的流量

指导:你可以为 Web 应用程序部署 Azure 应用程序网关,并为受信任的证书启用 HTTPS/SSL。 可以使用 Azure 应用程序网关为端口分配侦听器、创建规则并向后端池添加资源(例如 Linux 虚拟机),从而将应用程序 Web 流量定向到特定资源。

责任:客户

1.8:最大程度地降低网络安全规则的复杂性和管理开销

指导:在为 Azure 虚拟机配置的网络安全组或 Azure 防火墙中使用虚拟网络服务标记来定义网络访问控制。 创建安全规则时,可以使用服务标记代替特定的 IP 地址。 在规则的相应源或目标字段中指定服务标记名称(例如 ApiManagement),可以允许或拒绝相应服务的流量。 Microsoft 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。

责任:客户

1.9:维护网络设备的标准安全配置

指导:使用 Azure Policy 为 Azure 虚拟机 (VM) 定义和实现标准安全配置。 还可以使用 Azure 蓝图,通过在单个蓝图定义中打包关键环境项目(例如 Azure 资源管理器模板、角色分配和 Azure Policy 分配)来简化大规模的 Azure VM 部署。 可以将蓝图应用于订阅,并通过蓝图版本控制启用资源管理。

责任:客户

1.10:阐述流量配置规则

指导:可以将标记用于 NSG 以及与为 Azure 虚拟机配置的网络安全和流量流相关的其他资源。 对于单个 NSG 规则,请使用“说明”字段针对允许流量传入/传出网络的任何规则指定业务需求和/或持续时间。

责任:客户

1.11:使用自动化工具来监视网络资源配置和检测更改

指导:使用 Azure 活动日志来监视与虚拟机相关的网络资源配置的更改。 在 Azure Monitor 中创建警报,这些警报将在对关键网络设置或资源进行更改时触发。

使用 Azure Policy 来验证(和/或修正)与 Linux 虚拟机相关的网络资源的配置。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.0.0
添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol modify 1.0.0
部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol deployIfNotExists 1.0.1
Windows 计算机应符合“管理模板 - 网络”的要求 Windows 计算机应在“管理模板 - 网络”类别中使用指定的组策略设置,用于来宾登录、并发连接、网桥、ICS 和多播名称解析。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - Microsoft 网络服务器”的要求 Windows 计算机应在“安全选项 - Microsoft 网络服务器”类别中具有指定的组策略设置,以禁用 SMB v1 服务器。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 网络访问”的要求 Windows 计算机应在“安全选项 - 网络访问”类别中具有指定的组策略设置,以包含匿名用户、本地帐户的访问权限和对注册表的远程访问权限。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0
Windows 计算机应符合“安全选项 - 网络安全”的要求 Windows 计算机应在“安全选项 - 网络安全”类别中使用指定的组策略设置,以包含本地系统行为、PKU2U、LAN Manager、LDAP 客户端和 NTLM SSP。 此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 2.0.0

日志记录和监视

有关详细信息,请参阅 Azure 安全基线: 日志记录和监视

2.1:使用批准的时间同步源

指导:Microsoft 维护 Azure 资源的时间源,但是,你可以选择管理 Linux 虚拟机的时间同步设置。

责任:共享

2.2:配置中心安全日志管理

指导:Microsoft Defender for Cloud 为 Linux 虚拟机提供安全事件日志监视服务。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核其 Log Analytics 代理未按预期连接的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 auditIfNotExists 1.0.0
应在虚拟机规模集上安装 Log Analytics 代理 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 代理。 AuditIfNotExists、Disabled 1.0.0
应在虚拟机上安装 Log Analytics 代理 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 代理。 AuditIfNotExists、Disabled 1.0.0

2.3:为 Azure 资源启用审核日志记录

指导:活动日志可用于审核对虚拟机资源执行的操作。 活动日志包含资源的所有写入操作(PUT、POST、DELETE),但读取操作 (GET) 除外。 活动日志可用于在进行故障排除时查找错误,或监视组织中的用户如何对资源进行修改。

通过在虚拟机 (VM) 上部署诊断扩展,启用来宾 OS 诊断数据收集。 可以使用诊断扩展从 Azure 虚拟机收集诊断数据,例如应用程序日志或性能计数器。

若要获得虚拟机支持的应用程序和服务的高级可见性,可以同时启用 Azure Monitor(用于 VM)和 Application Insights。 借助 Application Insights,可以监视应用程序并捕获遥测数据(例如 HTTP 请求、异常等),因此可将 VM 和应用程序之间的问题关联起来。

此外,请允许 Azure Monitor 访问你的审核和活动日志,其中包括事件源、日期、用户、时间戳、源地址、目标地址和其他有用的元素。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用虚拟机规模集中的资源日志 建议启用日志,以便在出现某个事件或遭到入侵后需要进行调查时可以重新创建活动线索。 AuditIfNotExists、Disabled 2.0.1

2.4:从操作系统收集安全日志

指导:使用 Microsoft Defender for Cloud 为 Azure 虚拟机提供安全事件日志监视服务。 考虑到安全事件日志生成的数据量,默认情况下不会存储它。

如果组织想要保留来自虚拟机的安全事件日志数据,则可以将其存储在 Microsoft Defender for Cloud 内配置的所需数据集合层的 Log Analytics 工作区中。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核其 Log Analytics 代理未按预期连接的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果未安装代理,或者安装了代理,但 COM 对象 AgentConfigManager.MgmtSvcCfg 返回它已注册到策略参数中指定的 ID 以外的工作区,则计算机不合规。 auditIfNotExists 1.0.0
应在虚拟机规模集上安装 Log Analytics 代理 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 代理。 AuditIfNotExists、Disabled 1.0.0
应在虚拟机上安装 Log Analytics 代理 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 代理。 AuditIfNotExists、Disabled 1.0.0

2.5:配置安全日志存储保留期

指导:确保用于存储虚拟机日志的任何存储帐户或 Log Analytics 工作区都具有根据组织的符合性规定设置的日志保留期。

责任:客户

2.6:监视和查看日志

指导:启用 Log Analytics 代理(也称 Microsoft Monitoring Agent (MMA))或 OMS Linux 代理,并将其配置为将日志发送到 Log Analytics 工作区。 Linux 代理会将从各种源收集的数据发送到 Azure Monitor 中的 Log Analytics 工作区,并发送在监视解决方案中定义的任何特有的日志或指标。

分析和监视日志中的异常行为,并定期查看结果。 使用 Azure Monitor 查看日志并对日志数据执行查询。

或者,可以启用数据并将其载入 Microsoft Sentinel 或第三方 SIEM,以监视和查看日志。

责任:客户

2.7:针对异常活动启用警报

指导:使用 Microsoft Defender for Cloud 和配置的 Log Analytics 工作区,监视安全日志和事件中发现的 Azure 虚拟机异常活动并发出警报。

或者,可以启用数据并将其载入 Microsoft Sentinel 或第三方 SIEM,以针对异常活动设置警报。

责任:客户

2.8:集中管理反恶意软件日志记录

指导:你将需要使用第三方工具在 Linux OS 内进行反恶意软件漏洞检测。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
在 Microsoft Defender for Cloud 中监视缺失的 Endpoint Protection Microsoft Defender for Cloud 建议对未安装 Endpoint Protection 代理的服务器进行监视 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机规模集上安装终结点保护解决方案 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 AuditIfNotExists、Disabled 3.0.0
Microsoft Antimalware for Azure 应配置为自动更新保护签名 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 AuditIfNotExists、Disabled 1.0.0
在 Microsoft Defender for Cloud 中监视缺失的 Endpoint Protection Microsoft Defender for Cloud 建议对未安装 Endpoint Protection 代理的服务器进行监视 AuditIfNotExists、Disabled 3.0.0

2.9:启用 DNS 查询日志记录

指导:根据组织的需求,从 Azure 市场实现 DNS 日志记录解决方案的第三方解决方案。

责任:客户

2.10:启用命令行审核日志记录

指导:可以手动逐个节点配置控制台日志记录,并使用 syslog 来存储数据。 同时,使用 Azure Monitor 的 Log Analytics 工作区查看日志并对 Azure 虚拟机中的 syslog 数据执行查询。

责任:客户

标识和访问控制

有关详细信息,请参阅 Azure 安全基线: 标识和访问控制

3.1:维护管理帐户的清单

指导:虽然建议使用 Azure Active Directory (Azure AD) 管理用户访问,但 Azure 虚拟机可能有本地帐户。 通常应以最少使用量原则来查看和管理本地帐户及域帐户。 此外,对用于访问虚拟机资源的管理帐户使用 Azure Privileged Identity Management。

责任:客户

3.2:在适用的情况下更改默认密码

指导:Linux 虚拟机和 Azure Active Directory (Azure AD) 没有默认密码的概念。 客户对可能使用默认密码的第三方应用程序和市场服务负责。

责任:客户

3.3:使用专用管理帐户

指导:围绕可以访问虚拟机的专用管理帐户的使用,创建标准操作过程。 使用 Microsoft Defender for Cloud 的标识和访问管理功能监视管理帐户的数量。 用于访问 Azure 虚拟机资源的所有管理员帐户还可以由 Azure Privileged Identity Management (PIM) 进行管理。 Azure Privileged Identity Management 提供几个选项(如实时提升),要求在承担某个角色前进行多重身份验证,以及委派选项,以便权限仅适用于特定期限并需要审批者。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核缺少管理员组中任何指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组不包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 1.0.0
审核管理员组中具有额外帐户的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中未列出的成员,则计算机不合规。 auditIfNotExists 1.0.0
审核具有管理员组中指定成员的 Windows 计算机 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果本地管理员组包含策略参数中列出的一个或多个成员,则计算机不合规。 auditIfNotExists 1.0.0

3.4:使用 Azure Active Directory 单一登录 (SSO)

指导:客户应尽可能使用 Azure Active Directory (Azure AD) SSO,而不是为每个服务配置单个独立凭据。 使用 Microsoft Defender for Cloud 的标识和访问管理建议。

责任:客户

3.5:对所有基于 Azure Active Directory 的访问使用多重身份验证

指导:启用 Azure Active Directory (Azure AD) 多重身份验证,并遵循 Microsoft Defender for Cloud 标识和访问管理的建议。

责任:客户

3.6:使用由 Azure 管理的安全工作站执行管理任务

指导:使用配置了多重身份验证的 PAW(特权访问工作站)来登录和配置 Azure 资源。

责任:客户

3.7:记录来自管理帐户的可疑活动并对其发出警报

指导:当环境中出现可疑或不安全的活动时,可使用 Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 生成日志和警报。 使用 Azure AD 风险检测查看有关风险用户行为的警报和报告。 (可选)客户可以将 Microsoft Defender for Cloud 风险检测警报引入 Azure Monitor,并使用操作组配置自定义警报/通知。

责任:客户

3.8:仅从批准的位置管理 Azure 资源

指导:使用 Azure Active Directory (Azure AD) 条件访问策略和命名位置,允许仅从 IP 地址范围或国家/地区的特定逻辑分组进行访问。

责任:客户

3.9:使用 Azure Active Directory

指导:使用 Azure Active Directory (Azure AD) 作为中心身份验证和授权系统。 Azure AD 通过对静态数据和传输中数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行加盐、哈希处理和安全存储操作。 可以使用托管标识向支持 Azure AD 身份验证的任何服务(包括密钥保管库)进行身份验证,无需在代码中包含任何凭据。 在虚拟机上运行的代码可以使用其托管标识来请求支持 Azure AD 身份验证的服务的访问令牌。

责任:客户

3.10:定期审查和协调用户访问

指导:Azure Active Directory (Azure AD) 提供日志来帮助发现过时的帐户。 此外,使用 Azure AD 标识访问评审还可有效管理组成员身份、对企业应用程序的访问权限以及角色分配。 可以定期评审用户的访问权限,确保仅适当的用户持续拥有访问权限。 使用 Azure 虚拟机时,需要查看本地安全组和用户,以确保没有可能危及系统的非预期帐户。

责任:客户

3.11:监视尝试访问已停用凭据的行为

指导:配置 Azure Active Directory (Azure AD) 的诊断设置,以将审核日志和登录日志发送到 Log Analytics 工作区。 此外,使用 Azure Monitor 查看日志并对来自 Azure 虚拟机的 auth syslog 数据执行查询。

责任:客户

3.12:针对帐户登录行为偏差发出警报

指导:使用 Azure Active Directory (Azure AD) 的风险和标识保护功能配置,对检测到的与存储帐户资源相关的可疑操作配置自动响应。 应当通过 Microsoft Sentinel 启用自动响应,以实现组织的安全响应。

责任:客户

3.13:在支持方案期间为 Microsoft 提供对相关客户数据的访问权限

指导:如果第三方需要访问客户数据(例如在支持请求期间),请使用 Azure 虚拟机的客户密码箱来审核和批准/拒绝客户数据访问请求。

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

4.1:维护敏感信息的清单

指导:使用标记可以帮助跟踪存储或处理敏感信息的 Azure 虚拟机。

责任:客户

4.2:隔离存储或处理敏感信息的系统

指导:为开发、测试和生产实现单独的订阅和/或管理组。 资源应当按虚拟网络/子网进行分隔,相应地进行标记,并由网络安全组 (NSG) 或 Azure 防火墙提供保护。 对于存储或处理敏感数据的虚拟机,请实施相应的策略和过程,以在不使用这些虚拟机时将其关闭。

责任:客户

4.3:监视和阻止未经授权的敏感信息传输

指导:在网络边界实现第三方解决方案,用于监视敏感信息的未授权传输并阻止此类传输,同时向信息安全专业人员发出警报。

对于 Microsoft 管理的基础平台,Microsoft 会将所有客户内容视为敏感数据,并防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Microsoft 实施并维护了一套可靠的数据保护控制措施和功能。

责任:客户

4.4:加密传输中的所有敏感信息

指导:根据连接的性质(例如在 RDP 或 SSH 会话中连接到 VM 时),在运行 Linux 的虚拟机 (VM) 之间传输的数据会以多种形式进行加密。

Microsoft 使用传输层安全性 (TLS) 协议,在云服务和客户之间传输数据时对数据进行保护。

责任:共享

4.5:使用有效的发现工具识别敏感数据

指导:使用第三方主动发现工具来确定组织的技术系统(包括现场或远程服务提供商处的技术系统)存储、处理或传输的所有敏感信息,并更新组织的敏感信息清单。

责任:客户

4.6:使用 Azure RBAC 控制对资源的访问

指导:使用 Azure 基于角色的访问控制 (Azure RBAC),可以在团队中对职责进行分配,仅将执行作业所需的最低访问权限授予 VM 上的用户。 可以仅允许某些操作,而不是向 VM 上的每个人授予不受限制的权限。 可以使用 Azure CLI 或 Azure PowerShell 为 Azure 门户中的 VM 配置访问控制。

责任:客户

4.7:使用基于主机的数据丢失防护来强制实施访问控制

指导:实现第三方工具(例如基于主机的自动数据丢失预防解决方案),以强制执行访问控制来减轻数据泄露风险。

责任:客户

4.8:静态加密敏感信息

指导:使用服务器端加密或 Azure 磁盘加密 (ADE) 对 Linux 虚拟机 (VM) 上的虚拟磁盘进行静态加密。 Azure 磁盘加密利用 Linux 的 DM-Crypt 功能,通过来宾 VM 中的客户托管密钥对托管磁盘进行加密。 使用客户托管密钥的服务器端加密改进了 ADE,它通过加密存储服务中的数据使你可以为 VM 使用任何 OS 类型和映像。

责任:共享

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 Microsoft Defender for Cloud 建议对启用磁盘加密的虚拟机进行监视。 AuditIfNotExists、Disabled 2.0.1

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应当加密未附加的磁盘 此策略会审核未启用加密的所有未附加磁盘。 Audit、Disabled 1.0.0
虚拟机应加密临时磁盘、缓存以及计算资源和存储资源之间的数据流 Microsoft Defender for Cloud 建议对启用磁盘加密的虚拟机进行监视。 AuditIfNotExists、Disabled 2.0.1

4.9:记录对关键 Azure 资源的更改并对此类更改发出警报

指导:将 Azure Monitor 与 Azure 活动日志配合使用,以创建在虚拟机和相关资源发生更改时发出的警报。

责任:客户

漏洞管理

有关详细信息,请参阅 Azure 安全基线: 漏洞管理。

5.1:运行自动漏洞扫描工具

指导:你将需要使用第三方工具在 Linux OS 内进行反恶意软件漏洞检测。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Microsoft Defender for Cloud 的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Microsoft Defender for Cloud 的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0

5.2:部署自动操作系统修补管理解决方案

指导:使用 Azure 更新管理解决方案来管理虚拟机的更新和补丁。 更新管理依赖于本地配置的更新存储库来修补受支持的系统。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上安装系统更新 Microsoft Defender for Cloud 建议对服务器上缺失的安全系统更新进行监视 AuditIfNotExists、Disabled 4.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机规模集上安装系统更新 审核是否缺少系统安全更新和关键更新,为了确保 Windows 和 Linux 虚拟机规模集的安全,应安装这些更新。 AuditIfNotExists、Disabled 3.0.0
应在计算机上安装系统更新 Microsoft Defender for Cloud 建议对服务器上缺失的安全系统更新进行监视 AuditIfNotExists、Disabled 4.0.0

5.3:为第三方软件部署自动修补程序管理解决方案

指导:可以使用第三方补丁管理解决方案。 可以使用 Azure 更新管理解决方案来管理虚拟机的更新和补丁。 更新管理依赖于本地配置的更新存储库来修补受支持的系统。

责任:客户

5.4:比较连续进行的漏洞扫描

指导:以一致的间隔导出扫描结果,并比较结果以验证漏洞是否已修复。 使用 Microsoft Defender for Cloud 建议的漏洞管理建议时,客户可以转到所选解决方案的门户查看历史扫描数据。

责任:客户

5.5:使用风险评级过程来确定已发现漏洞的修正措施的优先级

指导:使用 Microsoft Defender for Cloud 提供的默认风险评级(安全分数)。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应修正容器安全配置中的漏洞 在已安装 Docker 的计算机上审核安全配置中的漏洞,这也是 Microsoft Defender for Cloud 中显示的建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 Microsoft Defender for Cloud 建议对不满足所配置基线的服务器进行监视 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应修正容器安全配置中的漏洞 在已安装 Docker 的计算机上审核安全配置中的漏洞,这也是 Microsoft Defender for Cloud 中显示的建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 Microsoft Defender for Cloud 建议对不满足所配置基线的服务器进行监视 AuditIfNotExists、Disabled 3.0.0
应修复虚拟机规模集上安全配置中的漏洞 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 AuditIfNotExists、Disabled 3.0.0

清单和资产管理

有关详细信息,请参阅 Azure 安全基线: 清单和资产管理

6.1:使用自动化资产发现解决方案

指导:使用 Azure Resource Graph 查询和发现订阅中的所有资源(包括虚拟机)。 确保你在租户中拥有适当的(读取)权限,并且可以枚举所有 Azure 订阅,以及订阅中的资源。

责任:客户

6.2:维护资产元数据

指导:将标记应用到 Azure资源,以便有条理地根据分类组织元数据。

责任:客户

6.3:删除未经授权的 Azure 资源

指导:使用标记、管理组和单独订阅(如果适用)来组织和跟踪虚拟机和相关资源。 定期核对清单,确保及时地从订阅中删除未经授权的资源。

责任:客户

6.4:定义并维护已批准的 Azure 资源的清单

指导:你应当为计算资源创建已批准的 Azure 资源和已批准的软件的清单。 还可以使用自适应应用程序控制(Microsoft Defender for Cloud 的一项功能)来帮助定义一组应用程序,其中这些应用程序获准在所配置的计算机组上运行。 此功能适用于 Azure 和非 Azure Windows(所有版本,不管是经典部署模型还是 Azure 资源管理器部署模型)和 Linux 计算机。

责任:客户

6.5:监视未批准的 Azure 资源

指导:在 Azure 策略中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型

  • 允许的资源类型

此外,请使用 Azure Resource Graph 来查询/发现订阅中的资源。 这可以在基于高安全性的环境(例如具有存储帐户的环境)中提供帮助。

责任:客户

6.6:监视计算资源中未批准的软件应用程序

指导:可以通过 Azure 自动化在工作负荷和资源的部署、操作和解除授权过程中进行完全的控制。 利用 Azure 虚拟机清单自动收集有关虚拟机上的所有软件的信息。 注意:可从 Azure 门户获得软件名称、版本、发布者和刷新时间。 若要获取对指标和其他信息的访问权限,客户需要启用来宾级别诊断,并可以将 syslog 信息发送到指定的存储帐户。

除使用更改跟踪来监视软件应用程序外,Microsoft Defender for Cloud 的自适应应用程序控制还可以使用机器学习来分析计算机上运行的应用程序,并通过此智能创建允许列表。 此功能大大简化了配置和维护应用程序允许列表策略的过程,从而避免在环境中使用不需要的软件。 你可以配置审核模式或强制模式。 审核模式只审核受保护 VM 上的活动。 强制模式强制执行规则,确保阻止不允许运行的应用程序。

责任:客户

6.7:删除未批准的 Azure 资源和软件应用程序

指导:可以通过 Azure 自动化在工作负荷和资源的部署、操作和解除授权过程中进行完全的控制。 可以使用更改跟踪来识别虚拟机上安装的所有软件。 可以实现自己的过程,也可以使用 Azure Automation State Configuration 来删除未经授权的软件。

责任:客户

6.8:仅使用已批准的应用程序

指导:使用 Microsoft Defender for Cloud 自适应应用程序控制来确保在 Azure 虚拟机上只执行已经过授权的软件,并阻止执行所有未经授权的软件。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

6.9:仅使用已批准的 Azure 服务

指导:在 Azure 策略中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型
  • 允许的资源类型

有关详细信息,请参阅以下资源:

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0

6.10:维护已获批软件的清单

指导:自适应应用程序控制是 Microsoft Defender for Cloud 提供的智能、自动化、端到端的解决方案,有助于控制可在 Azure 和非 Azure 计算机(Windows 和 Linux)上运行的应用程序。 如果此方案不满足组织的要求,则实现第三方解决方案。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

6.11:限制用户与 Azure 资源管理器进行交互的能力

指南:使用 Azure 条件访问可通过为“Microsoft Azure 管理”应用配置“阻止访问”,限制用户与 Azure 资源管理器进行交互的能力。

责任:客户

6.12:限制用户在计算资源中执行脚本的功能

指导:根据脚本的类型,可以使用特定于操作系统的配置或第三方资源来限制用户在 Azure 计算资源中执行脚本的能力。 还可以使用 Microsoft Defender for Cloud 自适应应用程序控制来确保在 Azure 虚拟机上只执行已经过授权的软件,并阻止执行所有未经授权的软件。

责任:客户

6.13:以物理或逻辑方式隔离高风险应用程序

指导:可以使用虚拟网络、子网、订阅、管理组隔离 Azure 环境中部署的高风险应用程序,并使用 Azure 防火墙、Web 应用程序防火墙 (WAF) 或网络安全组 (NSG) 对其进行充分保护。

责任:客户

安全配置

有关详细信息,请参阅 Azure 安全基线: 安全配置

7.1:为所有 Azure 资源建立安全配置

指导:使用 Azure Policy 或 Microsoft Defender for Cloud 来维护所有 Azure 资源的安全配置。 此外,Azure 资源管理器能够以 JavaScript 对象表示法 (JSON) 导出模板,应该对其进行检查,以确保配置满足/超出公司的安全要求。

责任:客户

7.2:建立安全的操作系统配置

指导:使用 Microsoft Defender for Cloud 建议 [修复虚拟机安全配置中的漏洞],维护所有计算资源中的安全配置。

责任:客户

7.3:维护安全的 Azure 资源配置

指导:使用 Azure 资源管理器模板和 Azure 策略安全地配置与虚拟机关联的 Azure 资源。 Azure 资源管理器模板是基于 JSON 的文件,用于与 Azure 资源一起部署虚拟机,并且需要维护自定义模板。 Microsoft 对基本模板进行维护。 使用 Azure Policy [拒绝] 和 [不存在时部署] 在 Azure 资源中强制实施安全设置。

责任:客户

7.4:维护安全的操作系统配置

指导:可通过多个选项维护用于部署的 Azure 虚拟机 (VM) 的安全配置:

1- Azure 资源管理器模板:这些是基于 JSON 的文件,用于从 Azure 门户部署 VM,并且需要维护自定义模板。 Microsoft 对基本模板进行维护。

2- 自定义虚拟硬盘 (VHD):在某些情况下,可能需要使用自定义 VHD 文件,例如在处理无法通过其他方式管理的复杂环境时。

3- Azure Automation State Configuration:部署基本 OS 后,可以将其用于更精细的设置控制,并通过自动化框架强制执行。

对于大部分方案,Microsoft 基本 VM 模板与 Azure Automation Desired State Configuration 相结合可以帮助满足和维护安全要求。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应修正容器安全配置中的漏洞 在已安装 Docker 的计算机上审核安全配置中的漏洞,这也是 Microsoft Defender for Cloud 中显示的建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 Microsoft Defender for Cloud 建议对不满足所配置基线的服务器进行监视 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应修正容器安全配置中的漏洞 在已安装 Docker 的计算机上审核安全配置中的漏洞,这也是 Microsoft Defender for Cloud 中显示的建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 Microsoft Defender for Cloud 建议对不满足所配置基线的服务器进行监视 AuditIfNotExists、Disabled 3.0.0
应修复虚拟机规模集上安全配置中的漏洞 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 AuditIfNotExists、Disabled 3.0.0

7.5:安全存储 Azure 资源的配置

指导:使用 Azure Repos 安全地存储和管理代码,例如自定义 Azure Policy 定义、Azure 资源管理器模板、Desired State Configuration 脚本和其他代码。 若要访问在 Azure DevOps 中管理的资源(例如代码、生成和工作跟踪),需要拥有这些特定资源的权限。 大多数权限通过内置安全组授予,如“权限和访问”中所述。 你可以向特定用户、内置安全组或者 Azure Active Directory (Azure AD)(如果与 Azure DevOps 集成)或 Active Directory(如果与 TFS 集成)中定义的组授予权限,或拒绝向其授予权限。

责任:客户

7.6:安全存储自定义操作系统映像

指导:如果使用自定义映像(例如虚拟硬盘),请使用 Azure RBAC 来确保仅授权用户才能访问映像。

责任:客户

7.7:部署 Azure 资源的配置管理工具

指导:利用 Azure Policy 发出警报、执行审核和强制执行虚拟机的系统配置。 另外,开发一个用于管理策略例外的流程和管道。

责任:客户

7.8:部署操作系统的配置管理工具

指导:Azure Automation State Configuration 是一个配置管理服务,适用于任何云或本地数据中心内的 Desired State Configuration (DSC) 节点。 它可让你从中心的安全位置快速轻松地扩展到数千台计算机。 可以轻松加入计算机、为其分配声明性配置并查看显示每台计算机是否符合指定的所需状态的报告。

责任:客户

7.9:为 Azure 资源实施自动配置监视

指导:利用 Microsoft Defender for Cloud 对 Azure 虚拟机执行基线扫描。 其他自动配置方法包括使用 Azure Automation State Configuration。

责任:客户

7.10:为操作系统实施自动配置监视

指导:Azure Automation State Configuration 是一个配置管理服务,适用于任何云或本地数据中心内的 Desired State Configuration (DSC) 节点。 它可让你从中心的安全位置快速轻松地扩展到数千台计算机。 可以轻松加入计算机、为其分配声明性配置并查看显示每台计算机是否符合指定的所需状态的报告。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应修正容器安全配置中的漏洞 在已安装 Docker 的计算机上审核安全配置中的漏洞,这也是 Microsoft Defender for Cloud 中显示的建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 Microsoft Defender for Cloud 建议对不满足所配置基线的服务器进行监视 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应修正容器安全配置中的漏洞 在已安装 Docker 的计算机上审核安全配置中的漏洞,这也是 Microsoft Defender for Cloud 中显示的建议。 AuditIfNotExists、Disabled 3.0.0
应修复计算机上安全配置中的漏洞 Microsoft Defender for Cloud 建议对不满足所配置基线的服务器进行监视 AuditIfNotExists、Disabled 3.0.0
应修复虚拟机规模集上安全配置中的漏洞 审核虚拟机规模集上的 OS 漏洞,以保护其免受攻击。 AuditIfNotExists、Disabled 3.0.0

7.11:安全管理 Azure 机密

指导:将托管服务标识与 Azure Key Vault 结合使用,以便简化和保护云应用程序的机密管理。

责任:客户

7.12:安全自动管理标识

指导:使用托管标识在 Azure Active Directory (Azure AD) 中为 Azure 服务提供一个自动托管的标识。 使用托管标识可以向支持 Azure AD 身份验证的任何服务(包括 Key Vault)进行身份验证,无需在代码中放入任何凭据。

责任:客户

7.13:消除意外的凭据透露

指南:实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如 Azure Key Vault。

责任:客户

恶意软件防护

有关详细信息,请参阅 Azure 安全基线: 恶意软件防护

8.1:使用集中管理的反恶意软件

指导:需要使用第三方工具在 Azure Linux 虚拟机中提供反恶意软件保护。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.ClassicCompute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
在 Microsoft Defender for Cloud 中监视缺失的 Endpoint Protection Microsoft Defender for Cloud 建议对未安装 Endpoint Protection 代理的服务器进行监视 AuditIfNotExists、Disabled 3.0.0

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机规模集上安装终结点保护解决方案 审核终结点保护解决方案在虚拟机规模集上的存在性和运行状况 ,以保护其免受威胁和漏洞的侵害。 AuditIfNotExists、Disabled 3.0.0
在 Microsoft Defender for Cloud 中监视缺失的 Endpoint Protection Microsoft Defender for Cloud 建议对未安装 Endpoint Protection 代理的服务器进行监视 AuditIfNotExists、Disabled 3.0.0

步骤 8.3:确保反恶意软件和签名已更新

指导:需要使用第三方工具在 Azure Linux 虚拟机中提供反恶意软件保护。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Microsoft Antimalware for Azure 应配置为自动更新保护签名 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 AuditIfNotExists、Disabled 1.0.0

数据恢复

有关详细信息,请参阅 Azure 安全基线: 数据恢复

9.1:确保定期执行自动备份

指导:启用 Azure 备份并为自动化备份配置 Azure 虚拟机 (VM) 以及所需的频率和保留期。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 2.0.0

9.2:执行完整系统备份,并备份客户管理的所有密钥

指导:使用 PowerShell 或 REST API 创建 Azure 虚拟机或附加到这些实例的托管磁盘的快照。 备份 Azure 密钥保管库中所有客户管理的密钥。

启用 Azure 备份和目标 Azure 虚拟机 (VM),以及所需的频率和保留期。 这包括完整的系统状态备份。 如果使用 Azure 磁盘加密,则 Azure VM 备份会自动处理客户管理密钥的备份。

责任:客户

Microsoft Defender for Cloud 监视:Azure 安全基准是 Microsoft Defender for Cloud 的默认策略计划,也是构筑各项 Microsoft Defender for Cloud 建议的基础。 Microsoft Defender for Cloud 会自动启用与此控制相关的 Azure Policy 定义。 与此控制相关的警报可能需要相关服务的 Microsoft Defender 计划。

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 2.0.0

9.3:验证所有备份,包括客户管理的密钥

指导:确保能够定期在 Azure 备份中执行内容数据还原。 如有必要,请在隔离的虚拟网络或订阅中对还原内容进行测试。 客户对还原备份的客户管理密钥进行测试。

如果你使用 Azure 磁盘加密,可以使用磁盘加密密钥还原 Azure VM。 使用磁盘加密时,可以使用磁盘加密密钥还原 Azure VM。

责任:客户

9.4:确保保护备份和客户管理的密钥

指导:使用 Azure 备份备份 Azure VM 时,将使用存储服务加密 (SSE) 对 VM 进行静态加密。 Azure 备份还可以备份使用 Azure 磁盘加密进行加密的 Azure VM。 Azure 磁盘加密还与 Azure Key Vault 密钥加密密钥 (KEK) 相集成。 在 Key Vault 中启用“软删除”,以防止意外删除或恶意删除密钥。

责任:客户

事件响应

有关详细信息,请参阅 Azure 安全基线: 事件响应

10.1:创建事件响应指导

指南:为组织制定事件响应指南。 确保在书面的事件响应计划中定义人员职责,以及事件处理/管理从检测到事件后审查的各个阶段。

责任:客户

10.2:创建事件评分和优先级设定过程

指导:Microsoft Defender for Cloud 可以为每个警报分配严重性,以帮助你优先处理应先调查的警报。 严重性取决于 Microsoft Defender for Cloud 在发出警报时所依据的检测结果或分析结果的置信度,以及导致发出警报的活动背后的恶意企图的置信度。 此外,使用标记清楚地标记订阅(例如生产、非生产)并创建命名系统来对 Azure 资源进行明确标识和分类,特别是处理敏感数据的资源。 你的责任是根据发生事件的 Azure 资源和环境的关键性确定修正警报的优先级。

责任:客户

10.3:测试安全响应过程

指南:定期执行演练来测试系统的事件响应功能,以帮助保护 Azure 资源。

责任:客户

10.4:提供安全事件联系人详细信息,并针对安全事件配置警报通知

指导:如果 Microsoft 安全响应中心 (MSRC) 发现数据被某方非法访问或未经授权访问,Microsoft 会使用安全事件联系信息联系用户。 事后审查事件,确保问题得到解决。

责任:客户

10.5:将安全警报整合到事件响应系统中

指导:使用连续导出功能导出 Microsoft Defender for Cloud 警报和建议,以帮助确定 Azure 资源的风险。 使用连续导出可以手动导出或者持续导出警报和建议。 可以使用 Microsoft Defender for Cloud 数据连接器将警报流式传输给 Microsoft Sentinel。

责任:客户

10.6:自动响应安全警报

指导:使用 Microsoft Defender for Cloud 的工作流自动化功能,通过“逻辑应用”自动触发对安全警报和建议的响应,以保护 Azure 资源。

责任:客户

渗透测试和红队练习

有关详细信息,请参阅 Azure 安全基线: 渗透测试和红队演练

11.1:定期对 Azure 资源执行渗透测试,确保修正所有发现的关键安全问题

指导:请遵循 Microsoft 互动规则,确保你的渗透测试不违反 Microsoft 政策。 使用 Microsoft 红队演练策略和执行,以及针对 Microsoft 托管云基础结构、服务和应用程序执行的现场渗透测试。

责任:共享

后续步骤