Standardní hodnoty zabezpečení Azure pro Azure VMware Solution
Tento standardní plán zabezpečení používá pokyny z srovnávacího testu cloudového zabezpečení Microsoftu verze 1.0 na Azure VMware Solution. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro Azure VMware Solution.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na Azure VMware Solution, byly vyloučeny. Pokud chcete zjistit, jak Azure VMware Solution zcela namapovat na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure VMware Solution.
Profil zabezpečení
Profil zabezpečení shrnuje chování Azure VMware Solution s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Compute |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Přiřaďte k prostředku privátní IP adresy (tam, kde je to možné), pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku.
Poznámka: Privátní cloud Azure VMware Solution vyžaduje Virtual Network Azure. Vzhledem k tomu, že Azure VMware Solution nepodporuje místní vCenter Server, budete muset provést další kroky pro integraci s místním prostředím. Vyžaduje se také nastavení okruhu ExpressRoute a brány virtuální sítě.
Referenční informace: Kurz: Konfigurace sítě pro privátní cloud VMware v Azure
Podpora skupiny zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: I když je skupina zabezpečení sítě podporovaná, zvažte příchozí a výchozí přenos dat síťového připojení k ExpressRoute nebo jiným zabezpečeným sítím. Vyhněte se zveřejnění služeb pro správu, jako je například vCenter Server, na internetu.
NS-2: Zabezpečení cloudových služeb pomocí ovládacích prvků sítě
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres služby pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Azure VMware Solution síťových a vzájemně propojených konceptů
Správa identit
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.
IM-1: Použití centralizované identity a ověřovacího systému
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Metody místního ověřování pro přístup k rovině dat
Popis: Metody místního ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by se zakázat, kdykoli je to možné. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Informace o konfiguraci správy přístupu k identitám Azure VMware Solution najdete na následujícím odkazu.
Referenční informace: Identita a přístup k vCenter Serveru
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Přístup k AVS řídí VMware vSphere RBAC
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Integrace a úložiště přihlašovacích údajů služby a tajných kódů v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných uživatelů nebo uživatelů s oprávněními pro správu
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by se zakázat, kdykoli je to možné. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Zobrazte oprávnění udělená roli Azure VMware Solution CloudAdmin na Azure VMware Solution privátním cloudu vCenter. Podrobnosti najdete na odkazu.
Referenční informace: Identita a přístup k vCenter Serveru
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Azure RBAC se nepodporuje. Řešení Azure VMware využívá role RBAC vCenter, které zákazníkům umožňují integraci s Azure AD.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Ochrana dat
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Šifrování neaktivních uložených dat
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Na této funkci v současné době pracujeme, ale pro privátní verzi Preview nemáme termín ETA.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: V budoucnu budeme přidávat konkrétní funkce, které to podporují, ale prozatím ne.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Řešení Azure VMWare v současné době podporuje Azure Policy pro správu prostředků virtuálních počítačů úloh. Pokud se rozhodnete nasadit řešení Azure Arc Server for VMWare, bude k němu Azure Policy podpora.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pro virtuální počítač ve VMware použijte server s podporou Azure Arc, který Microsoft Defender pro cloud umožňuje poskytovat následující funkce:
- Monitorování integrity souborů
- Detekce útoku bez souborů
- Posouzení oprav operačního systému
- Posouzení chybných konfigurací zabezpečení
- Posouzení ochrany koncových bodů
Referenční informace: Integrace Microsoft Defender for Cloud s Azure VMware Solution
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Pro protokolování Azure VMware Solution. Povolte konfiguraci v syslogu VMware. Další podrobnosti najdete na odkazu: Konfigurace syslogů VMware pro Azure VMware Solution
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Backup a obnovení
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: K zálohování na úrovni virtuálního počítače použijte Azure Backup Server (jako součást Azure Backup). Azure Backup Server může ukládat zálohovaná data na: Disk: Pro krátkodobé úložiště Azure Backup Server zálohuje data do fondů disků. Cloud Azure: V případě krátkodobého i dlouhodobého úložiště mimo místní prostředí je možné data Azure Backup Serveru uložená ve fondech disků zálohovat do cloudu Microsoft Azure pomocí Azure Backup.
Referenční informace: Nastavení Azure Backup Serveru pro Azure VMware Solution
Funkce nativního zálohování služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Nasazení zotavení po havárii pomocí VMware Site Recovery Manageru
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure