防止強制/拒絕建議的設定錯誤

錯誤的安全性設定是安全性事件的主要原因。 資訊安全中心現在可以協助「避免」因特定建議而造成的新資源設定錯誤。

這項功能可協助保護您工作負載的安全,並穩定您的安全分數。

根據特定建議來強制執行安全設定的模式有兩種:

  • 使用 Azure 原則的 Deny 效果,以防止建立狀況不良的資源
  • 使用 [強制執行] 選項,以利用 Azure 原則的 DeployIfNotExist 效果,以及在建立資源時自動補救不符合規範的資源

這可以在 [資源詳細資料] 頁面頂端找到所選的安全性建議 (請參閱建議 with 拒絕/強制執行選項) 。

防止建立資源

  1. 開啟新資源必須滿足的建議,然後選取頁面頂端的 [ 拒絕 ] 按鈕。

    已反白顯示 [拒絕] 按鈕的建議頁面。

    [設定] 窗格隨即開啟,並列出範圍選項。

  2. 選取相關的訂用帳戶或管理群組來設定領域。

    提示

    您可以使用資料列結尾的三個點來變更單一訂用帳戶,或使用核取方塊來選取多個訂閱或群組,然後選取 [ 變更為拒絕]。

    設定 Azure 原則拒絕的範圍。

強制執行安全設定

  1. 開啟您將部署範本部署的建議,如果新資源無法滿足此部署,請選取頁面頂端的 [ 強制執行 ] 按鈕。

    反白顯示 [強制執行] 按鈕的建議頁面。

    [設定] 窗格隨即開啟,其中包含所有原則設定選項。

    強制執行設定選項。

  2. 設定範圍、指派名稱和其他相關選項。

  3. 選取 [檢閱 + 建立]。

具有拒絕/強制執行選項的建議

這些建議可與 拒絕 選項搭配使用:

  • [視需要啟用]Azure Cosmos DB 帳戶應使用客戶管理的金鑰來加密待用資料
  • [視需要啟用]Azure Machine Learning 工作區應以客戶管理的金鑰加密 (CMK)
  • [視需要啟用]認知服務帳戶應使用客戶管理的金鑰來啟用資料加密 (CMK)
  • [視需要啟用]容器登錄應使用客戶管理的金鑰進行加密 (CMK)
  • 應限制存取具防火牆與虛擬網路設定的儲存體帳戶
  • 應加密自動化帳戶變數
  • Azure Cache for Redis 應位於虛擬網路內
  • Azure Spring Cloud 應使用網路插入
  • 應強制執行容器 CPU 與記憶體限制
  • 容器映像只能從信任的登錄部署
  • 應避免權限提升的容器
  • 應避免容器共用敏感性主機命名空間
  • 容器只能在允許的連接埠上接聽
  • 應強制容器使用不可變 (唯讀) 的根檔案系統
  • Key Vault 金鑰應具有到期日
  • Key Vault 祕密應設定到期日
  • 金鑰保存庫應啟用清除保護
  • 金鑰保存庫應已啟用虛刪除
  • 應強制容器使用最低權限的 Linux 功能
  • 應該只允許對 Redis Cache 的安全連線
  • 應限制容器 AppArmor 設定檔的覆寫或停用
  • 應避免特殊權限容器
  • 應避免以根使用者的身分執行容器
  • 應啟用儲存體帳戶的安全傳輸
  • Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign
  • Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證
  • 服務只能在允許的連接埠上接聽
  • 應禁止儲存體帳戶公用存取
  • 儲存體帳戶應移轉至新的 Azure Resource Manager 資源
  • 儲存體帳戶應使用虛擬網路規則來限制網路存取
  • 應限制主機網路與連接埠的使用方式
  • Pod HostPath 磁碟區掛接的使用應該限制在一份已知清單,以限制節點從遭入侵的容器存取
  • 憑證儲存在 Azure Key Vault 中的有效期間不應超過 12 個月
  • 虛擬機器應移轉到新的 Azure Resource Manager 資源
  • 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF)
  • 應針對 Azure Front Door 服務服務啟用 Web 應用程式防火牆 (WAF)

這些建議可搭配 [ 強制 ] 選項使用:

  • 應啟用 SQL 伺服器上的稽核
  • 應該為虛擬機器啟用 Azure 備份
  • 適用於 SQL 的 Azure Defender 應在您的 SQL Server 上啟用
  • 您的叢集應安裝及啟用適用於 Kubernetes 的 Azure 原則附加元件
  • 應啟用 Azure 串流分析中的診斷記錄
  • 應啟用 Batch 帳戶中的診斷記錄
  • 應在 Data Lake Analytics 中啟用診斷記錄
  • 應啟用事件中樞內的診斷記錄
  • 應啟用 Key Vault 中的診斷記錄
  • 應在 Logic Apps 中啟用診斷記錄
  • 應在搜尋服務中啟用診斷記錄
  • 應在服務匯流排中啟用診斷記錄