Standardní hodnoty zabezpečení Azure pro virtuální počítače – Virtuální počítače s Linuxem
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na virtuální počítače s Linuxem. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle bezpečnostních prvků definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny souvisejícími s virtuálními počítači – Virtuální počítače s Linuxem.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice služby Azure Policy, jsou uvedeny v tomto základním přehledu, aby vám pomohly měřit dodržování předpisů podle kontrolních mechanismů a doporučení srovnávacích testů zabezpečení cloudu Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
funkce nejsou použitelné pro virtuální počítače – virtuální počítače s Linuxem byly vyloučeny. Pokud chcete zjistit, jak se Virtual Machines – Linux Virtual Machines zcela mapuje na referenční standard zabezpečení Microsoft cloudu, podívejte se na úplný soubor mapování základního zabezpečení virtuálních počítačů s Linuxem.
Profil zabezpečení
Profil zabezpečení shrnuje vysoce rizikové chování virtuálních počítačů s Linuxem, což může zvýšit úvahy o zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Vypočítat |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Úplný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Pravdivý |
| Ukládá zákaznický obsah v klidu. | Pravda |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu:zabezpečení sítě .
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční : virtuální sítě a virtuální počítače v Azure
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje pravidla přidělená skupinami zabezpečení sítě v jejích podsítích. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG pro omezení otevřených portů vaší služby (například zabránění přístupu portů pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a služby Azure Load Balancers.
Při vytváření virtuálního počítače Azure musíte vytvořit virtuální síť nebo použít existující virtuální síť a nakonfigurovat virtuální počítač s podsítí. Ujistěte se, že všechny nasazené podsítě mají použitou skupinu zabezpečení sítě s ovládacími prvky přístupu k síti specifickými pro důvěryhodné porty a zdroje aplikací.
Referenční : skupiny zabezpečení sítě
Monitorování Microsoft Defenderu pro Cloud
předdefinované definice azure Policy – Microsoft.ClassicCompute:
| Jméno (Azure portal) |
Popis | Efekt(y) | Verze (GitHub) |
|---|---|---|---|
| Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači | Služba Azure Security Center zjistila, že některá z příchozích pravidel ve skupinách zabezpečení sítě jsou příliš volná. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
Předdefinované definice Azure Policy – Microsoft.Compute:
| Jméno (Azure portal) |
Popis | Efekt/Efekty | Verze (GitHub) |
|---|---|---|---|
| doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích | Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupiny zabezpečení sítě, která snižují potenciální prostor pro útoky. | AuditIfNotExists, zakázáno | 3.0.0 |
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Služby, jako jsou iptables nebo brána firewall, mohou být nainstalovány v operačním systému Linux a poskytují filtrování sítě pro zakázání veřejného přístupu.
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Vyžadováno ověřování Azure AD pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Použití Azure Active Directory (Azure AD) jako výchozí metody ověřování k řízení přístupu k rovině dat.
Referenční : Přihlášení k virtuálnímu počítači s Linuxem v Azure pomocí Azure AD a OpenSSH
Místní metody ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
poznámky k funkcím: Při počátečním nasazení virtuálního počítače se ve výchozím nastavení vytvoří účet místního správce. Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím: Spravovaná identita se tradičně využívá virtuálním počítačem s Linuxem k ověření v jiných službách. Pokud virtuální počítač s Linuxem podporuje ověřování Azure AD, může být podporovaná spravovaná identita.
pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Pověření spravované identity jsou plně řízena, pravidelně obměňována a chráněna platformou, čímž se vyhnete pevnému zakódování pověření ve zdrojovém kódu nebo konfiguračních souborech.
Principál služby
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím: Instanční objekty můžou používat aplikace spuštěné na virtuálním počítači s Linuxem.
pokyny ke konfiguraci: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Monitorování Microsoft Defenderu pro cloud
předdefinované definice azure Policy – Microsoft.Compute:
| Jméno (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete v https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
IM-7: Omezení přístupu k prostředkům na základě podmínek
Vlastnosti
Podmíněný přístup pro rovinu dat
Popis: Přístup roviny dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím : Použijte Azure AD jako základní ověřovací platformu a certifikační autoritu pro připojení SSH k virtuálnímu počítači s Linuxem pomocí azure AD a ověřování založeného na certifikátech OpenSSH. Tato funkce umožňuje organizacím spravovat přístup k virtuálním počítačům pomocí řízení přístupu na základě role v Azure (RBAC) a zásad podmíněného přístupu.
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup k Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční: Přihlášení k Linuxové virtuální počítači v Azure pomocí Azure AD a OpenSSH
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Vlastnosti
Integrace přihlašovacích údajů a tajemství a jejich úložiště v Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro přihlašovací údaje a úložiště tajných kódů. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím: Služby mohou v rovině dat nebo operačním systému volat Azure Key Vault pro přihlašovací údaje nebo tajemství.
pokyny ke konfiguraci: Ujistěte se, že tajné kódy a přihlašovací údaje jsou uložené v zabezpečených umístěních, jako je Azure Key Vault, a nemusíte je vkládat do kódu nebo konfiguračních souborů.
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Funkce
Účty místního správce
Popis: Služba má koncept lokálního administrativního účtu. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční : Rychlý start : Vytvoření virtuálního počítače s Linuxem na webu Azure Portal
PA-7: Dodržujte princip minimální správy (princip minimálních oprávnění).
Vlastnosti
Azure RBAC pro datovou rovinu
Popis: Azure Role-Based Řízení přístupu (Azure RBAC) se dá použít ke správě přístupu k akcím na datové úrovni služby. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím : Použijte Azure AD jako základní ověřovací platformu a certifikační autoritu pro připojení SSH k virtuálnímu počítači s Linuxem pomocí azure AD a ověřování založeného na certifikátech OpenSSH. Tato funkce umožňuje organizacím spravovat přístup k virtuálním počítačům pomocí řízení přístupu na základě role v Azure (RBAC) a zásad podmíněného přístupu.
pokyny ke konfiguraci: Pomocí RBAC určete, kdo se může k virtuálnímu počítači přihlásit jako běžný uživatel nebo s oprávněními správce. Když se uživatelé připojí k vašemu týmu, můžete aktualizovat zásady Azure RBAC pro virtuální počítač, aby podle potřeby udělily přístup. Když zaměstnanci opustí vaši organizaci a jejich uživatelské účty jsou zakázané nebo odebrané z Azure AD, už nemají přístup k vašim prostředkům.
Reference: Přihlásit se k virtuálnímu počítači s Linuxem v Azure pomocí Azure AD a OpenSSH
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup podpory Microsoftu. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte všechny žádosti o přístup k datům Microsoftu.
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Vlastnosti
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-3: Šifrování citlivých dat během přenosu
Vlastnosti
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím: Některé komunikační protokoly, jako je SSH, jsou ve výchozím nastavení šifrované. Jiné služby, jako je http, ale musí být nakonfigurované tak, aby pro šifrování používaly protokol TLS.
Pokyny ke konfiguraci: Povolení zabezpečeného přenosu ve službách, kde je integrovaná nativní funkce šifrování přenosu dat. Vynucujte HTTPS u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0, tls v1.0 by měly být zakázané. Pro vzdálenou správu virtuálních počítačů použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu.
Referenční: šifrování během přenosu ve virtuálních počítačích
Monitorování Microsoft Defenderu pro cloud
Předdefinované definice Azure Policy – Microsoft.Compute:
| Jméno (Azure Portal) |
Popis | Účinky | Verze (GitHub) |
|---|---|---|---|
| počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Vlastnosti
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Microsoft |
poznámky k funkcím: Spravované disky ve výchozím nastavení používají šifrovací klíče spravované platformou. Všechny spravované disky, snímky, obrazy a data zapsaná do stávajících spravovaných disků jsou automaticky šifrována v klidovém stavu klíči spravovanými platformou.
pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
referenční : šifrování Azure Disk Storage na straně serveru – klíče spravované platformou
Monitorování Microsoft Defenderu pro Cloud
předdefinované definice azure Policy – Microsoft.ClassicCompute:
| Jméno (Azure portal) |
Popis | Účinky | Verze (GitHub) |
|---|---|---|---|
| virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště | Ve výchozím nastavení jsou operační systém a datové disky virtuálního počítače zašifrovány v klidovém režimu pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na spravovaných discích splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Předdefinované definice Azure Policy – Microsoft.Compute:
| Jméno (Azure portal) |
Popis | Efekty | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost. | Standardně jsou operační systém a datové disky virtuálního počítače šifrovány v klidovém stavu pomocí klíčů spravovaných platformou; dočasné disky a datové mezipaměti nejsou šifrovány a data nejsou šifrována při přenosu mezi výpočetními a úložnými prostředky. K šifrování všech těchto dat použijte Azure Disk Encryption nebo EncryptionAtHost. Pokud chcete porovnat nabídky šifrování, navštivte https://aka.ms/diskencryptioncomparison. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete v https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.2.0-preview |
DP-5: Při šifrování dat v klidu použijte možnost klíče spravovaného zákazníkem, když je to vyžadováno
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím: Můžete se rozhodnout spravovat šifrování na úrovni každého spravovaného disku s vlastními klíči. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Klíče spravované zákazníkem nabízejí větší flexibilitu při správě řízení přístupu.
pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Virtuální disky na virtuálních počítačích se šifrují v klidovém stavu pomocí šifrování na straně serveru nebo šifrování disků Azure (ADE). Azure Disk Encryption využívá funkci DM-Crypt Linuxu k šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem v rámci virtuálního počítače hosta. Šifrování na straně serveru s klíči spravovanými zákazníkem zlepšuje ADE tím, že umožňuje používat pro virtuální počítače všechny typy a image operačního systému šifrováním dat ve službě Storage.
Referenční : šifrování úložiště Azure Disk na straně serveru – klíče spravované zákazníkem
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pomocí služby Azure Key Vault můžete vytvářet a řídit životní cyklus šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované a odkazované prostřednictvím ID klíčů služby nebo aplikace ve službě Azure Key Vault. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.
Referenční : Vytvoření a konfigurace trezoru klíčů pro službu Azure Disk Encryption
DP-7: Použití zabezpečeného procesu správy certifikátů
Vlastnosti
Správa certifikátů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Falešný | Nejde použít | Nejde použít |
pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa prostředků
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby.
Vlastnosti
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Azure Policy se dá použít k definování požadovaného chování virtuálních počítačů s Windows a virtuálních počítačů s Linuxem ve vaší organizaci. Pomocí zásad může organizace vynucovat různé konvence a pravidla v celém podniku a definovat a implementovat standardní konfigurace zabezpečení pro Azure Virtual Machines. Vynucení požadovaného chování může pomoct zmírnit riziko a zároveň přispět k úspěchu organizace.
Referenční : předdefinované definice služby Azure Policy pro službu Azure Virtual Machines
Monitorování Microsoft Defenderu pro cloud
Předdefinované definice Azure Policy – Microsoft.ClassicCompute:
| Jméno (Azure Portal) |
Popis | Účinek/Efekty | Verze (GitHub) |
|---|---|---|---|
| virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Azure Policy předdefinované definice – Microsoft.Compute:
| Jméno (Azure portal) |
Popis | Efekty | Verze (GitHub) |
|---|---|---|---|
| virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
AM-5: Použití pouze schválených aplikací na virtuálním počítači
Funkce
Microsoft Defender pro cloud – Adaptivní řízení aplikací
Popis: Služba může omezit, které zákaznické aplikace běží na virtuálním počítači pomocí adaptivního řízení aplikací v programu Microsoft Defender for Cloud. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Pomocí adaptivního řízení aplikací v programu Microsoft Defender for Cloud můžete zjišťovat aplikace spuštěné na virtuálních počítačích a generovat seznam povolených aplikací, aby bylo možné určit, které schválené aplikace se můžou spouštět v prostředí virtuálního počítače.
Referenční : Použití adaptivního řízení aplikací ke snížení útočných ploch vašich strojů
Monitorování cloudu Microsoft Defenderem
předdefinované definice azure Policy – Microsoft.ClassicCompute:
| Jméno (Azure portal) |
Popis | Efekt/efekty | Verze (GitHub) |
|---|---|---|---|
| adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
předdefinované definice azure Policy – Microsoft.Compute:
| Jméno (Azure Portal) |
Popis | Efekty | Verze (GitHub) |
|---|---|---|---|
| adaptivní řízení aplikací pro definování bezpečných aplikací by mělo být na vašich počítačích povolené | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditPokudNeexistuje, zakázáno | 3.0.0 |
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender for Service / Nabídka produktů
Popis: Služba nabízí řešení specifické pro Microsoft Defender, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Defender for Servers rozšiřuje ochranu počítačů s Windows a Linuxem spuštěných v Azure. Defender for Servers se integruje s Microsoft Defenderem for Endpoint, aby poskytoval detekci koncových bodů a reakci (EDR), a také poskytuje řadu dalších funkcí ochrany před hrozbami, jako jsou standardní hodnoty zabezpečení a posouzení na úrovni operačního systému, kontrola posouzení ohrožení zabezpečení, adaptivní řízení aplikací (AAC), monitorování integrity souborů (FIM) a další.
Referenční #:Naplánujte nasazení Defenderu pro servery
Monitorování Microsoft Defenderu pro Cloud
Azure Policy předdefinované definice – Microsoft.Compute:
| Jméno (Azure portal) |
Popis | Efekty | Verze (GitHub) |
|---|---|---|---|
| ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená | Funkce Exploit Guard v programu Windows Defender využívá agenta pro konfiguraci hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditPokudNeexistuje, Zakázáno | 2.0.0 |
Povolit protokolování pro vyšetřování bezpečnostních incidentů
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří logy zdrojů, které mohou poskytovat rozšířené metriky a protokolování specifická pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Azure Monitor při vytváření virtuálního počítače automaticky shromažďuje data metrik pro hostitele virtuálního počítače. Pokud ale chcete shromažďovat protokoly a údaje o výkonu z hostovaného operačního systému virtuálního počítače, musíte nainstalovat agenta služby Azure Monitor. Agenta můžete nainstalovat a nakonfigurovat kolekci pomocí přehledů virtuálních počítačů nebo vytvořením pravidla shromažďování dat.
Referenční : přehled agenta Log Analytics
Monitorování Microsoft Defenderu pro Cloud
Integrované definice Azure Policy – Microsoft.Compute:
| Jméno (Azure Portal) |
Popis | Efekt/Efekty | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
Postoj a správa zranitelností
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Stav a správa ohrožení zabezpečení.
PV-3: Definování a vytvoření zabezpečených konfigurací pro výpočetní prostředky
Funkce
Azure Automation Stavová Konfigurace
Popis: Ke správě konfigurace zabezpečení operačního systému je možné použít azure Automation State Configuration. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Použití služby Azure Automation State Configuration k udržování konfigurace zabezpečení operačního systému
Referenční: Konfigurace virtuálního počítače s konfigurací požadovaného stavu
Agent služby Azure Policy pro konfiguraci hosta
Popis: Agenta konfigurace hosta služby Azure Policy je možné nainstalovat nebo nasadit jako rozšíření výpočetních prostředků. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivý | Falešný | Zákazník |
poznámky k funkcím: Konfigurace hosta služby Azure Policy se teď nazývá Konfigurace počítače Azure Automanage.
pokyny ke konfiguraci: Pomocí agenta konfigurace hosta v programu Microsoft Defender for Cloud a Azure Policy můžete pravidelně vyhodnocovat a opravovat odchylky konfigurace výpočetních prostředků Azure, včetně virtuálních počítačů, kontejnerů a dalších.
referenční : vysvětlení funkce konfigurace počítače Azure Automanage
Vlastní obrazy virtuálních počítačů
Popis: Služba podporuje použití uživatelsky zadaných imagí virtuálních počítačů nebo předem vytvořených imagí z marketplace s předem použitými konkrétními standardními konfiguracemi. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
Pokyny ke konfiguraci: Použijte předem nakonfigurovanou posílenou image od důvěryhodného dodavatele, jako je Microsoft, nebo sestavte požadovaný směrný plán konfigurace zabezpečení do šablony image virtuálního počítače.
Referenční : Kurz : Vytvoření vlastního obrazu virtuálního počítače na Azure pomocí Azure CLI
PV-4: Auditování a vynucení zabezpečených konfigurací pro výpočetní prostředky
Funkce
Důvěryhodný spouštěcí virtuální počítač
Popis: Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku kombinací technologií infrastruktury, jako je zabezpečené spouštění, virtuální TPM a monitorování integrity. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami. Důvěryhodné spuštění umožňuje zabezpečené nasazení virtuálních počítačů s ověřenými zavaděči, jádry operačního systému a ovladači a bezpečně chrání klíče, certifikáty a citlivé údaje ve virtuálních počítačích. Důvěryhodné spuštění také poskytuje přehledy a jistoty o integritě celého spouštěcího řetězce a zajišťuje, že úlohy jsou důvěryhodné a ověřitelné. Důvěryhodné spuštění je integrované s Programem Microsoft Defender for Cloud, aby se zajistilo, že jsou virtuální počítače správně nakonfigurované, a to vzdáleným ověřením, že se virtuální počítač spustí v dobrém stavu. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámka k funkci: Důvěryhodné spuštění je k dispozici pro virtuální počítače generace 2. Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. U existujících virtuálních počítačů, které byly původně vytvořeny bez něj, nelze povolit důvěryhodné spuštění.
pokyny ke konfiguraci: Při nasazování virtuálního počítače může být povolené důvěryhodné spuštění. Povolte všechny tři – Secure Boot, vTPM a monitorování integrity spouštění, abyste zajistili nejlepší stav zabezpečení pro virtuální počítač. Upozorňujeme, že existuje několik požadavků, včetně registrace předplatného do Programu Microsoft Defender for Cloud, přiřazení určitých iniciativ azure Policy a konfigurace zásad brány firewall.
Referenční : Nasazení virtuálního počítače s povoleným důvěryhodným spuštěním
PV-5: Provádění posouzení ohrožení zabezpečení
Funkce
Posouzení ohrožení zabezpečení pomocí programu Microsoft Defender
Popis: Službu je možné zkontrolovat pro ohrožení zabezpečení pomocí programu Microsoft Defender for Cloud nebo jiných služeb Microsoft Defenderu, které zahrnují schopnosti posouzení ohrožení (včetně Microsoft Defenderu pro servery, registry kontejnerů, App Service, SQL a DNS). Další informace.
| Podporovaný | Automaticky povoleno | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Postupujte podle doporučení z Microsoft Defenderu pro cloud pro provádění posouzení ohrožení zabezpečení na virtuálních počítačích Azure.
Reference: Naplánujte nasazení Defenderu pro servery
Monitorování Microsoft Defenderu pro cloud
předdefinované definice azure Policy – Microsoft.ClassicCompute:
| Jméno (Azure portál) |
Popis | Efekty | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
předdefinované definice azure Policy – Microsoft.Compute:
| Jméno (Azure Portal) |
Popis | Efekty | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, vypnuto | 3.0.0 |
PV-6: Rychlá a automatická náprava zranitelností
Funkce
Azure Update Manager
Popis: Služba může pomocí Azure Update Manageru automaticky nasazovat opravy a aktualizace. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Pravda | Zákazník |
pokyny ke konfiguraci: Pomocí Azure Update Manageru se ujistěte, že jsou na virtuálních počítačích s Linuxem nainstalované nejnovější aktualizace zabezpečení.
Reference : Správa aktualizací a oprav pro virtuálních počítačů
Služba aktualizace hostů Azure
Popis: Služba může používat opravy hosta Azure k automatickému nasazování oprav a aktualizací. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Služby mohou využívat různé mechanismy aktualizace, jako jsou automatické aktualizace obrazu OS a automatické opravy hostujícího systému. Doporučené funkce spočívají v aplikaci nejnovějších zabezpečovacích a kritických aktualizací na hostovaný operační systém virtuálního počítače podle zásad bezpečného nasazení.
Automatické hostující aktualizace umožňují automaticky vyhodnocovat a aktualizovat virtuální počítače Azure, aby se zachovalo dodržování předpisů zabezpečení s kritickými a bezpečnostními aktualizacemi vydávanými každý měsíc. Aktualizace se použijí v době mimo špičku, včetně všech virtuálních počítačů ve skupině s vysokou dostupností. Tato funkce je dostupná pro flexibilní orchestraci VMSS s budoucí podporou plánu pro jednotnou orchestraci.
Pokud spouštíte bezstavovou úlohu, jsou upgrady imagí automatického operačního systému ideální k instalaci nejnovější aktualizace pro vaši uniformu VMSS. Díky funkci vrácení zpět jsou tyto aktualizace kompatibilní s Marketplace nebo vlastními obrazy. Budoucí podpora postupného upgradu je v plánu pro flexibilní orchestrační systémy.
Referenční : automatické záplatování hosta VM pro virtuální počítače Azure
Monitorování Microsoft Defenderu pro cloud
Integrované definice Azure Policy – Microsoft.ClassicCompute:
| Jméno (Azure portal) |
Popis | Efekt(y) | Verze (GitHub) |
|---|---|---|---|
| aktualizace systému by se měly nainstalovat na počítače | Azure Security Center bude monitorovat chybějící aktualizace systému zabezpečení na vašich serverech jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
předdefinované definice azure Policy – Microsoft.Compute:
| Jméno (Azure Portal) |
Popis | Efekt(-y) | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Aktualizace systému by měly být nainstalované na vašich počítačích (s technologií Update Center) | V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, deaktivováno | 1.0.0-preview |
Zabezpečení koncových bodů
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu:zabezpečení koncového bodu .
ES-1: Použití detekce a odezvy koncových bodů (EDR)
Funkce
Řešení EDR
Popis: Funkci Detekce koncových bodů a reakce (EDR), jako je Azure Defender pro servery, je možné nasadit do koncového bodu. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Azure Defender pro servery (s integrovaným nástrojem Microsoft Defender for Endpoint) poskytuje funkci EDR, která umožňuje zabránit, zjišťovat, zkoumat a reagovat na pokročilé hrozby. Pomocí Microsoft Defenderu pro cloud nasaďte Azure Defender pro servery pro váš koncový bod a integrujte výstrahy do vašeho řešení SIEM, jako je Azure Sentinel.
Referenční : Plánování nasazení Defenderu pro servery
ES-2: Použití moderního antimalwarového softwaru
Funkce
Antimalwarové řešení
Popis: Antimalwarové funkce, jako Microsoft Defender Antivirus a Microsoft Defender for Endpoint, lze nasadit na koncový bod. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: V případě Linuxu si zákazníci můžou zvolit instalaci Microsoft Defenderu for Endpoint pro Linux. Zákazníci také mají možnost instalovat antimalwarové produkty třetích stran.
Referenční : Microsoft Defender for Endpoint v Linuxu
Monitorování Microsoft Defenderu pro cloud
předdefinované definice azure Policy – Microsoft.ClassicCompute:
| Jméno (Azure portal) |
Popis | Efekt(y) | Verze (GitHub) |
|---|---|---|---|
| Problémy se stavem zabezpečení Endpointu by měly být vyřešeny na vašich počítačích | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná tady – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je popsané tady – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, zakázáno | 1.0.0 |
Předdefinované definice Azure Policy – Microsoft.Compute:
| Jméno (Azure Portal) |
Popis | Efekt/Efekty | Verze (GitHub) |
|---|---|---|---|
| Zdravotní problémy s Endpoint Protection by měly být vyřešeny na vašich počítačích | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná tady – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je popsané tady – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | KontrolaPokudNeexistuje, zakázáno | 1.0.0 |
ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.
Funkce
Monitorování stavu antimalwarového řešení
Popis: Antimalwarové řešení poskytuje monitorování stavu zdraví platformy, jádra a automatických aktualizací podpisů. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
poznámky k funkcím: Aktualizace informací o zabezpečení a produktech platí pro Defender for Endpoint, které je možné nainstalovat na virtuální počítače s Linuxem.
pokyny ke konfiguraci: Nakonfigurujte antimalwarové řešení, abyste zajistili, že se platforma, modul a podpisy rychle a konzistentně aktualizují a jejich stav je možné monitorovat.
Monitorování Microsoft Defenderu pro cloud
Azure Policy - předdefinované definice – Microsoft.ClassicCompute:
| Jméno (Azure portal) |
Popis | Efekt(y) | Verze (GitHub) |
|---|---|---|---|
| Problémy se stavem ochrany Endpoint Protection by měly být vyřešeny na vašich počítačích | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná tady – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je popsané tady – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditPokudNeexistuje, zakázáno | 1.0.0 |
Integrované definice Azure Policy – Microsoft.Compute:
| Jméno (Azure portal) |
Popis | Efekt(y) | Verze (GitHub) |
|---|---|---|---|
| Zdravotní problémy služby Endpoint Protection by měly být vyřešeny na vašich počítačích | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná tady – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je popsané tady – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, zakázáno | 1.0.0 |
Zálohování a obnovení
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu:zálohování a obnovení .
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporovaný | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravda | Falešný | Zákazník |
pokyny ke konfiguraci: Povolení služby Azure Backup a cílení virtuálních počítačů Azure a také požadované frekvence a doby uchovávání. To zahrnuje úplné zálohování stavu systému. Pokud používáte šifrování disků Azure, zálohování virtuálních počítačů Azure automaticky zpracovává zálohování klíčů spravovaných zákazníkem. Pro azure Virtual Machines můžete pomocí služby Azure Policy povolit automatické zálohování.
Referenční: možnosti zálohování a obnovení pro virtuální počítače v Azure
Monitorování Microsoft Defenderu pro cloud
Předdefinované definice Azure Policy – Microsoft.Compute:
| Jméno (Azure portal) |
Popis | Efekty | Verze (GitHub) |
|---|---|---|---|
| by měla být pro virtuální počítače povolená služba Azure Backup | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu
- Další informace o standardních hodnotách zabezpečení Azure