適用于 Azure DevTest Labs 的 Azure 安全性基準
此安全性基準會從Microsoft 雲端安全性基準 1.0 版套用指引至Azure DevTest Labs。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性效能評定所定義的安全性控制項,以及適用于Azure DevTest Labs的相關指引分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義將會列在 Cloud 入口網站Microsoft Defender頁面的法規合規性一節中。
當功能有相關的Azure 原則定義時,這些定義會列在此基準中,以協助您測量 Microsoft 雲端安全性基準控制措施和建議的合規性。 某些建議可能需要付費Microsoft Defender方案,才能啟用特定安全性案例。
注意
已排除不適用於Azure DevTest Labs的功能。 若要查看Azure DevTest Labs如何完全對應至 Microsoft 雲端安全性效能評定,請參閱完整的Azure DevTest Labs安全性基準對應檔案。
安全性設定檔
安全性設定檔摘要說明Azure DevTest Labs的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | 計算、開發人員工具、整合 |
| 客戶可以存取 HOST / OS | 完整存取 |
| 服務可以部署到客戶的虛擬網路 | 對 |
| 儲存待用客戶內容 | False |
網路安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
功能
虛擬網路整合
描述:服務支援部署到客戶的私人虛擬網路 (VNet) 。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
網路安全性群組支援
描述:服務網路流量會遵守其子網上的網路安全性群組規則指派。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用網路安全性群組 (NSG) 來限制或監視埠、通訊協定、來源 IP 位址或目的地 IP 位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。
NS-2:使用網路控制保護雲端服務
功能
停用公用網路存取
描述:服務支援透過使用服務層級 IP ACL 篩選規則來停用公用網路存取, (非 NSG 或Azure 防火牆) 或使用 [停用公用網路存取] 切換開關。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用服務層級 IP ACL 篩選規則或切換交換器來存取公用網路,停用公用網路存取。
身分識別管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
功能
資料平面存取所需的 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行資料平面存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:Azure DevTest Labs支援其 Azure 資源的受控識別,以及透過金鑰保存庫進行秘密管理。 DevTest Labs 可以原生使用 Azure AD 驗證來驗證支援 Azure 服務和資源。 當使用者與 DevTest Lab 互動或建立 DevTest Lab 或實驗室內支援的任何資源時,可透過 Azure 入口網站使用 SDK 或 REST API 支援此功能。
在 Azure DevTest Labs 的實驗室虛擬機器上啟用使用者指派的受控識別
設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的資料平面存取。
參考:Azure DevTest Labs REST API
資料平面存取的本機驗證方法
描述:支援資料平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:VM 的預設驗證是 RDP/SSH (本機驗證) 。 請避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
IM-3:安全且自動地管理應用程式身分識別
功能
受控識別
描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:雖然我們不提供服務的資料平面,但我們的資源支援受控識別。
設定指引:盡可能使用 Azure 受控識別,而不是服務主體,它可以向支援 Azure Active Directory 的 Azure 服務和資源進行驗證, (Azure AD) 驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。
參考: 在 DevTest Labs 中的實驗室虛擬機器上啟用使用者指派的受控識別
服務主體
描述:資料平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:使用者可以自行設定服務主體來存取實驗室資源。
設定指引:這項功能設定沒有目前的 Microsoft 指引。 請檢閱並判斷您的組織是否想要設定此安全性功能。
IM-7:根據條件限制資源存取
功能
資料平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制資料平面存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:Azure DevTest Labs可讓使用者在自己的訂用帳戶中管理及部署 Azure 虛擬機器,而且視客戶案例而定,這些虛擬機器可以視需要支援條件式存取。
設定指引:在工作負載中定義 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或授與來自特定位置的存取權、封鎖具風險的登入行為,或要求特定應用程式的組織管理的裝置。
IM-8:限制認證和祕密的公開
功能
Azure Key Vault 中服務認證和秘密支援整合和儲存
描述:資料平面支援原生使用 Azure 金鑰保存庫認證和秘密存放區。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:DevTest 實驗室秘密會安全地儲存在客戶訂用帳戶上的 Azure 金鑰保存庫中。 我們的服務會使用此服務來與實驗室內的任何 Azure 資源互動。
您可以在實驗室虛擬機器上啟用受控識別,以及向實驗室內容中的資源進行驗證。
設定指引:確定秘密和認證會儲存在 Azure 金鑰保存庫等安全位置,而不是將它們內嵌到程式碼或組態檔中。
參考:在 Azure DevTest Labs 中的實驗室虛擬機器上啟用使用者指派的受控識別
特殊權限存取
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:特殊許可權存取。
PA-1:劃分和限制高度權限/系統管理使用者
功能
本機管理員帳戶
描述:服務具有本機系統管理帳戶的概念。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
功能注意事項:實驗室電腦使用者可以是 VM 的本機管理員。
設定指引:不支援此功能來保護此服務。
PA-7:遵循剛好足夠的系統管理 (最低權限) 原則
功能
適用于資料平面的 Azure RBAC
描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務資料平面動作的存取權。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:Azure DevTest Labs已透過內建角色整合所有資源的 Azure RBAC 支援。
設定指引:使用 Azure 角色型存取控制 (Azure RBAC) ,透過內建角色指派來管理 Azure 資源存取。 Azure RBAC 角色可以指派給使用者、群組、服務主體和受控識別。
參考: DevTest Labs 使用者
PA-8:判斷雲端提供者支援的存取程序
功能
客戶加密箱
描述:客戶加密箱可用於 Microsoft 支援存取。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
資料保護
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護。
DP-1:探索、分類及標記敏感性資料
功能
敏感性資料探索和分類
描述:Azure Purview 或 Azure 資訊保護) 之類的工具 (可用於服務中的資料探索和分類。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-2:監視以敏感性資料為目標的異常和威脅
功能
資料外泄/外泄防護
描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感性資料移動 (。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-3:加密傳輸中的敏感性資料
功能
傳輸中資料加密
描述:服務支援資料平面的資料傳輸中加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:預設部署上啟用此設定時不需要其他設定。
DP-4:預設啟用待用資料加密
功能
使用平臺金鑰進行待用加密的資料
描述:支援使用平臺金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 管理的金鑰進行加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能附注:在 DevTest Labs 中,所有建立為實驗室一部分的 OS 磁片和資料磁片都會使用平臺管理的金鑰進行加密。
設定指引:預設部署上啟用此設定時不需要其他設定。
DP-6:使用安全金鑰管理程序
功能
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶金鑰、秘密或憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure 金鑰保存庫來建立及控制加密金鑰的生命週期,包括金鑰產生、散發和儲存體。 根據定義的排程或金鑰淘汰或入侵時,輪替和撤銷 Azure 中的金鑰金鑰保存庫和服務。 如果您需要在工作負載、服務或應用層級中使用客戶管理的金鑰 (CMK) ,請確定您遵循金鑰管理的最佳做法:使用金鑰階層在金鑰保存庫中產生個別的資料加密金鑰 (DEK) 與金鑰加密金鑰 (KEK) 。 請確定金鑰已向 Azure 金鑰保存庫註冊,並透過服務或應用程式的金鑰識別碼加以參考。 如果您需要將自己的金鑰 (BYOK) 帶入服務 (,例如將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
參考:將秘密儲存在金鑰保存庫中,Azure DevTest Labs
DP-7:使用安全的憑證管理程序
功能
Azure Key Vault 中的憑證管理
描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:Azure DevTest Labs可讓使用者在自己的訂用帳戶中管理及部署 Azure 虛擬機器,而且這些虛擬機器視客戶案例而定,可以在 Azure 金鑰保存庫 中支援憑證管理。
設定指引:使用 Azure 金鑰保存庫來建立和控制憑證生命週期,包括建立、匯入、輪替、撤銷、儲存體和清除憑證。 請確定憑證產生遵循定義的標準,而不使用任何不安全的屬性,例如:金鑰大小不足、有效期間過長、不安全的密碼編譯。 在 Azure 金鑰保存庫 和 Azure 服務中設定憑證的自動輪替,如果根據定義的排程或憑證到期時支援) ,則設定 Azure 服務 (。 如果應用程式中不支援自動輪替,請確定它們仍會使用 Azure 金鑰保存庫 和應用程式中的手動方法來輪替。
資產管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準測試:資產管理。
AM-2:僅使用核准的服務
功能
Azure 原則支援
描述:服務組態可以透過Azure 原則進行監視和強制執行。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:支援 Azure 原則,並可針對我們的服務所建立的資源進行設定,但服務中沒有明確的安全性原則設定。
設定指引:使用 Microsoft Defender for Cloud 來設定Azure 原則稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用Azure 原則 [deny] 和 [如果不存在] 效果來強制執行跨 Azure 資源的安全設定。
AM-5:僅在虛擬機器中使用核准的應用程式
功能
雲端Microsoft Defender - 自適性應用程式控制
描述:服務可以使用雲端Microsoft Defender中的自適性應用程式控制,限制在虛擬機器上執行的客戶應用程式。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用雲端自適性應用程式控制Microsoft Defender來探索在虛擬機器上執行的應用程式 (VM) ,並產生應用程式允許清單,以要求哪些核准的應用程式可以在 VM 環境中執行。
態勢與弱點管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:狀態和弱點管理。
PV-3:定義和建立計算資源的安全設定
功能
Azure 自動化狀態設定
描述:Azure 自動化 狀態設定可用來維護作業系統的安全性設定。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:使用者無法存取 DevTest Labs 服務主機 VM,但我們的服務可讓使用者在自己的訂用帳戶中管理和部署 Azure 虛擬機器,而 DSC (Desired State Configuration) 適用于這些機器。
設定指引:使用Azure 自動化 狀態設定維護作業系統的安全性設定。
Azure 原則客體設定代理程式
描述:Azure 原則客體設定代理程式可以安裝或部署為計算資源的擴充功能。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能附注:使用者無法存取 DevTest Labs 服務主機 VM,但我們的服務可讓使用者在自己的訂用帳戶中管理和部署 Azure 虛擬機器,並Azure 原則客體設定代理程式適用于這些機器。
設定指引:針對雲端和Azure 原則客體設定代理程式使用Microsoft Defender,定期評估及補救 Azure 計算資源上的設定偏差,包括 VM、容器及其他。
自訂 VM 映射
描述:服務支援使用使用者提供的 VM 映射或市集中預先建置的映射,並預先套用特定基準組態。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考:在 Azure DevTest Labs 中設定Azure Marketplace映射設定
PV-5:執行弱點評定
功能
使用 Microsoft Defender 的弱點評估
描述:您可以使用雲端Microsoft Defender或其他Microsoft Defender服務內嵌弱點評估功能來掃描弱點掃描, (包括伺服器、容器登錄、App Service、SQL 和 DNS) Microsoft Defender。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:建立 DevTest Labs 時,實驗室中可能會有基礎計算資源。 有一個工具可用來評估我們的服務外部的弱點評估,可用於這些資源。
設定指引:遵循雲端Microsoft Defender的建議,在您的 Azure 虛擬機器、容器映射和 SQL 伺服器上執行弱點評估。
PV-6:快速自動補救弱點
功能
Azure 自動化更新管理
描述:服務可以使用Azure 自動化更新管理來自動部署修補程式和更新。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:使用者無法存取 DevTest Labs 服務主機 VM,但我們的服務可讓使用者在自己的訂用帳戶中管理及部署 Azure 虛擬機器,而自動化更新管理可以針對這些機器獨立管理。
設定指引:使用Azure 自動化更新管理或協力廠商解決方案,以確保 Windows 和 Linux VM 上已安裝最新的安全性更新。 對於 Windows VM,請確定已啟用 Windows Update,並設定為自動更新。
端點安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:端點安全性。
ES-2:使用新式反惡意程式碼軟體
功能
反惡意程式碼解決方案
描述:Microsoft Defender防毒軟體等反惡意程式碼功能,可在端點上部署適用於端點的 Microsoft Defender。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:使用者無法存取 DevTest Labs 服務主機 VM,但我們的服務可讓使用者在自己的訂用帳戶中管理及部署 Azure 虛擬機器,強烈建議在這些機器中使用反惡意程式碼解決方案。
設定指引:針對Windows Server 2016及更新版本,預設會安裝防毒軟體Microsoft Defender。 針對 Windows Server 2012 R2 和更新版本,客戶可以安裝 SCEP (System Center Endpoint Protection) 。 針對 Linux,客戶可以選擇安裝適用于 Linux 的 Microsoft Defender。 或者,客戶也可以選擇安裝協力廠商反惡意程式碼產品。
ES-3:確定反惡意程式碼軟體和簽章已更新
功能
反惡意程式碼解決方案健全狀況監視
描述:反惡意程式碼解決方案提供平臺、引擎和自動簽章更新的健康狀態監視。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:使用者無法存取 DevTest Labs 服務主機 VM,但我們的服務可讓使用者在自己的訂用帳戶中管理及部署 Azure 虛擬機器,強烈建議針對這些機器使用反惡意程式碼解決方案健全狀況監視。
設定指引:設定反惡意程式碼解決方案,以確保平臺、引擎和簽章會快速且一致地更新,並可監視其狀態。
備份與復原
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:備份和復原。
BR-1:確保定期自動備份
功能
Azure 備份
描述:服務可由Azure 備份服務備份。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:Azure DevTest Labs未明確提供Azure 備份的支援,但可由客戶針對我們的服務所部署的計算 VM 進行設定。
設定指引:啟用Azure 備份並設定備份來源 (,例如 Azure 虛擬機器、SQL Server、HANA 資料庫或檔案共用,) 所需的頻率和所需的保留期間。 針對 Azure 虛擬機器,您可以使用Azure 原則來啟用自動備份。
服務原生備份功能
描述:若未使用 Azure 備份) ,服務支援其本身的原生備份功能 (。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
後續步驟
- 請參閱 Microsoft 雲端安全性基準測試概觀
- 深入了解 Azure 資訊安全性基準