Standardní hodnoty zabezpečení Azure pro Virtual Machines – Windows Virtual Machines
Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu microsoftu verze 1.0 na Virtual Machines – Windows Virtual Machines. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro Virtual Machines – Windows Virtual Machines.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na Virtual Machines – Virtual Machines Windows byly vyloučeny. Pokud chcete zjistit, jak Virtual Machines – Windows Virtual Machines zcela mapovat na srovnávací test zabezpečení cloudu microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Virtual Machines – Windows Virtual Machines.
Profil zabezpečení
Profil zabezpečení shrnuje chování Virtual Machines – Windows Virtual Machines s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
Atribut chování služby | Hodnota |
---|---|
Kategorie produktu | Compute |
Zákazník má přístup k hostiteli nebo operačnímu systému | Úplný přístup |
Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Virtuální sítě a virtuální počítače v Azure
Podpora skupiny zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) můžete omezit nebo monitorovat provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a Azure Load Balancerů.
Při vytváření virtuálního počítače Azure musíte vytvořit virtuální síť nebo použít existující virtuální síť a nakonfigurovat virtuální počítač s podsítí. Ujistěte se, že všechny nasazené podsítě mají použitou skupinu zabezpečení sítě s řízením přístupu k síti specifickými pro důvěryhodné porty a zdroje vašich aplikací.
Referenční informace: Skupiny zabezpečení sítě
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ClassicCompute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Všechny síťové porty by měly být omezené na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Azure Security Center identifikovala, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš permisivní. Příchozí pravidla by neměla povolovat přístup z rozsahů "Any" nebo "Internet". To může útočníkům potenciálně umožnit zaměřit se na vaše prostředky. | AuditIfNotExists, Zakázáno | 3.0.0 |
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Na virtuálních počítačích s připojením k internetu by se měla použít adaptivní doporučení k posílení zabezpečení sítě. | Azure Security Center analyzuje vzorce provozu virtuálních počítačů přístupných k internetu a poskytuje doporučení pro pravidla skupiny zabezpečení sítě, která omezují potenciální prostor pro útoky. | AuditIfNotExists, Zakázáno | 3.0.0 |
NS-2: Zabezpečení cloudových služeb pomocí ovládacích prvků sítě
Funkce
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí služeb na úrovni operačního systému, jako je brána firewall Windows Defender, zakažte veřejný přístup pomocí filtrování sítě.
Správa identit
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.
IM-1: Použití centralizované identity a ověřovacího systému
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Použijte Azure Active Directory (Azure AD) jako výchozí metodu ověřování k řízení přístupu k rovině dat.
Referenční informace: Přihlášení k virtuálnímu počítači s Windows v Azure pomocí Azure AD včetně bezheslového
Metody místního ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Poznámky k funkcím: Účet místního správce se ve výchozím nastavení vytvoří během počátečního nasazení virtuálního počítače. Vyhněte se používání místních metod ověřování nebo účtů. Všude, kde je to možné, by se měly zakázat. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Spravovanou identitu obvykle virtuální počítač s Windows využívá k ověřování v jiných službách. Pokud virtuální počítač s Windows podporuje ověřování Azure AD, může se podporovat spravovaná identita.
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Instanční objekty můžou používat aplikace spuštěné na virtuálním počítači s Windows.
Pokyny ke konfiguraci: Microsoft v současné době neobsahuje žádné pokyny ke konfiguraci této funkce. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Rozšíření konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v rozsahu této zásady nebudou dodržovat předpisy, pokud mají nainstalované rozšíření konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete tady: https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Použijte Azure AD jako základní ověřovací platformu pro připojení rDP k edici Windows Server 2019 Datacenter a novější nebo Windows 10 1809 a novější. Pak můžete centrálně řídit a vynucovat řízení přístupu na základě role v Azure (RBAC) a zásady podmíněného přístupu, které povolí nebo zamítnou přístup k virtuálním počítačům.
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace: Přihlášení k virtuálnímu počítači s Windows v Azure pomocí Azure AD včetně bezheslového
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Integrace a úložiště přihlašovacích údajů služby a tajných kódů v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: V rámci roviny dat nebo operačního systému můžou služby volat Azure Key Vault pro přihlašovací údaje nebo tajné kódy.
Pokyny ke konfiguraci: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů.
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných uživatelů nebo uživatelů s oprávněními pro správu
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, tyto metody by měly být zakázány, kdykoli je to možné. Místo toho použijte k ověřování Azure AD, kde je to možné.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Rychlý start: Vytvoření virtuálního počítače s Windows v Azure Portal
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Použijte Azure AD jako základní ověřovací platformu pro RDP do edice Windows Server 2019 Datacenter a novější nebo Windows 10 1809 a novější. Pak můžete centrálně řídit a vynucovat řízení přístupu na základě role (RBAC) Azure a zásady podmíněného přístupu, které povolují nebo odmítnou přístup k virtuálním počítačům.
Pokyny ke konfiguraci: Pomocí RBAC určete, kdo se může přihlásit k virtuálnímu počítači jako běžný uživatel nebo s oprávněními správce. Když se uživatelé připojí k vašemu týmu, můžete aktualizovat zásady Azure RBAC pro virtuální počítač a podle potřeby udělit přístup. Když zaměstnanci opustí vaši organizaci a jejich uživatelské účty jsou zakázané nebo odebrané z Azure AD, už nebudou mít přístup k vašim prostředkům.
Referenční informace: Přihlášení k virtuálnímu počítači s Windows v Azure pomocí Azure AD včetně bez hesla
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje získat přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí každé žádosti Microsoftu o přístup k datům.
Ochrana dat
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
DP-3: Šifrování přenášených citlivých dat
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Některé komunikační protokoly, jako je například SSH, jsou ve výchozím nastavení šifrované. Jiné služby, jako je HTTP, ale musí být nakonfigurované tak, aby k šifrování používaly protokol TLS.
Pokyny ke konfiguraci: Povolte zabezpečený přenos ve službách, kde je integrovaná funkce nativního šifrování přenášených dat. Vynucujte https u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0 nebo TLS v1.0, by měly být zakázané. Pro vzdálenou správu Virtual Machines použijte místo nešifrovaného protokolu SSH (pro Linux) nebo RDP/TLS (pro Windows).
Referenční informace: Šifrování při přenosu ve virtuálních počítačích
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | V zájmu ochrany osobních údajů informací sdělovaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, Zakázáno | 4.1.1 |
DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.
Funkce
Šifrování dat v klidovém stavu pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Poznámky k funkcím: Ve výchozím nastavení používají spravované disky šifrovací klíče spravované platformou. Všechny spravované disky, snímky, image a data zapsaná na existující spravované disky se automaticky šifrují v klidovém stavu pomocí klíčů spravovaných platformou.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Šifrování Azure Disk Storage na straně serveru – Klíče spravované platformou
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ClassicCompute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se disky s operačním systémem a datové disky virtuálního počítače šifrují v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky, datové mezipaměti a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Pokud: 1, ignorujte toto doporučení. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru u Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
[Preview]: Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost. | Ve výchozím nastavení se disky s operačním systémem a datové disky virtuálního počítače šifrují v klidovém stavu pomocí klíčů spravovaných platformou. Dočasné disky a datové mezipaměti nejsou šifrované a data nejsou při toku mezi výpočetními prostředky a prostředky úložiště šifrovaná. K šifrování všech těchto dat použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte stránku https://aka.ms/diskencryptioncomparison a porovnejte nabídky šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva požadavky. Podrobnosti najdete tady: https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.2.0-preview |
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Šifrování můžete spravovat na úrovni každého spravovaného disku s vlastními klíči. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Klíče spravované zákazníkem nabízejí větší flexibilitu při správě řízení přístupu.
Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Virtuální disky na Virtual Machines (VM) se šifrují v klidovém stavu pomocí šifrování na straně serveru nebo šifrování disků Azure (ADE). Azure Disk Encryption využívá funkci BitLockeru systému Windows k šifrování spravovaných disků pomocí klíčů spravovaných zákazníkem na hostovaném virtuálním počítači. Šifrování na straně serveru s využitím klíčů spravovaných zákazníkem zlepšuje ADE tím, že umožňuje používat všechny typy operačních systémů a image pro virtuální počítače šifrováním dat ve službě Storage.
Referenční informace: Šifrování Azure Disk Storage na straně serveru
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Key Vault použijte k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměna a odvolávání klíčů v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě klíčového vyřazení nebo ohrožení zabezpečení. Pokud potřebujete použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že postupujete podle osvědčených postupů pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve svém trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud do služby potřebujete přenést vlastní klíč (BYOK) (například importovat klíče chráněné HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční vygenerování a přenos klíče.
Referenční informace: Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption na virtuálním počítači s Windows
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Policy můžete použít k definování požadovaného chování pro virtuální počítače s Windows a virtuální počítače s Linuxem ve vaší organizaci. Pomocí zásad může organizace vynucovat různé konvence a pravidla v celém podniku a definovat a implementovat standardní konfigurace zabezpečení pro Azure Virtual Machines. Vynucení požadovaného chování může pomoct zmírnit riziko a zároveň přispět k úspěchu organizace.
Referenční informace: Azure Policy předdefinovaných definic pro Azure Virtual Machines
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ClassicCompute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager | Použití nové služby Azure Resource Manager pro virtuální počítače k vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manager, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější zabezpečení Správa | Auditovat, Odepřít, Zakázáno | 1.0.0 |
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager | Použití nové služby Azure Resource Manager pro virtuální počítače k vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manager, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější zabezpečení Správa | Auditovat, Odepřít, Zakázáno | 1.0.0 |
AM-5: Ve virtuálním počítači používejte jenom schválené aplikace.
Funkce
Microsoft Defender pro cloud – adaptivní řízení aplikací
Popis: Služba může omezit, jaké aplikace zákazníka běží na virtuálním počítači, pomocí adaptivního řízení aplikací v Microsoft Defender for Cloud. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Použijte Microsoft Defender pro adaptivní řízení aplikací pro cloud ke zjišťování aplikací běžících na virtuálních počítačích a vygenerování seznamu povolených aplikací, který určí, které schválené aplikace se můžou spouštět v prostředí virtuálních počítačů.
Referenční informace: Použití adaptivního řízení aplikací k omezení potenciálních oblastí útoku na počítače
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ClassicCompute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Na vašich počítačích by mělo být povolené adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás, když se spustí jiné aplikace. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se proces konfigurace a údržby pravidel zjednodušil, služba Security Center pomocí strojového učení analyzuje aplikace spuštěné na jednotlivých počítačích a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Na vašich počítačích by mělo být povolené adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás, když se spustí jiné aplikace. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se proces konfigurace a údržby pravidel zjednodušil, služba Security Center pomocí strojového učení analyzuje aplikace spuštěné na jednotlivých počítačích a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Defender pro servery rozšiřuje ochranu na počítače s Windows a Linuxem spuštěné v Azure. Defender pro servery se integruje s Microsoft Defender for Endpoint, aby poskytoval detekci a reakci koncových bodů (EDR) a poskytuje také řadu dalších funkcí ochrany před hrozbami, jako jsou standardní hodnoty zabezpečení a hodnocení na úrovni operačního systému, kontrola posouzení ohrožení zabezpečení, adaptivní řízení aplikací (AAC), monitorování integrity souborů (FIM) a další.
Referenční informace: Plánování nasazení Defenderu pro servery
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Windows Defender na vašich počítačích by měla být povolená ochrana Exploit Guard. | Windows Defender Exploit Guard používá agenta konfigurace hosta Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zařízení uzamknuly před širokou škálou vektorů útoku a blokovaly chování, které se běžně používají při malwarových útocích, a zároveň umožňují podnikům vyvážit svá bezpečnostní rizika a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Monitor začne automaticky shromažďovat data metrik pro hostitele virtuálního počítače při vytváření virtuálního počítače. Pokud ale chcete shromažďovat protokoly a data o výkonu z hostovaného operačního systému virtuálního počítače, musíte nainstalovat agenta Azure Monitoru. Agenta můžete nainstalovat a nakonfigurovat shromažďování dat pomocí přehledů virtuálních počítačů nebo vytvořením pravidla shromažďování dat.
Referenční informace: Přehled agenta Log Analytics
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
[Preview]: Na virtuálních počítačích s Linuxem by měl být nainstalovaný agent shromažďování dat síťového provozu. | Security Center používá agenta microsoft závislostí ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení pro posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, Zakázáno | 1.0.2-preview |
Správa stavu a ohrožení zabezpečení
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Stav a správa ohrožení zabezpečení.
PV-3: Definování a vytvoření zabezpečených konfigurací pro výpočetní prostředky
Funkce
Služba Azure Automation State Configuration
Popis: Azure Automation State Configuration lze použít k udržování konfigurace zabezpečení operačního systému. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Použijte Azure Automation State Configuration k udržování konfigurace zabezpečení operačního systému.
Referenční informace: Konfigurace virtuálního počítače s Desired State Configuration
Azure Policy agenta konfigurace hosta
Popis: Azure Policy agenta konfigurace hosta je možné nainstalovat nebo nasadit jako rozšíření výpočetních prostředků. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Azure Policy Konfigurace hosta se teď nazývá Konfigurace počítače Azure Automanage.
Pokyny ke konfiguraci: Pomocí Microsoft Defender pro cloud a agenta konfigurace hosta Azure Policy pravidelně vyhodnocujte a opravujte odchylky konfigurace výpočetních prostředků Azure, včetně virtuálních počítačů, kontejnerů a dalších.
Referenční informace: Vysvětlení funkce konfigurace počítače ve službě Azure Automanage
Vlastní image virtuálních počítačů
Popis: Služba podporuje používání imagí virtuálních počítačů dodaných uživatelem nebo předem vytvořených imagí z marketplace s předem použitými určitými standardními konfiguracemi. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Použijte předem nakonfigurovanou posílenou image od důvěryhodného dodavatele, jako je Microsoft, nebo do šablony image virtuálního počítače sestavte požadované standardní hodnoty zabezpečené konfigurace.
Referenční informace: Kurz: Vytváření imagí virtuálních počítačů s Windows pomocí Azure PowerShell
PV-4: Audit a vynucování zabezpečených konfigurací pro výpočetní prostředky
Funkce
Důvěryhodný spouštěcí virtuální počítač
Popis: Důvěryhodné spuštění chrání před pokročilými a trvalými technikami útoku tím, že kombinuje technologie infrastruktury, jako je zabezpečené spouštění, vTPM a monitorování integrity. Každá technologie poskytuje další vrstvu ochrany před sofistikovanými hrozbami. Důvěryhodné spuštění umožňuje zabezpečené nasazení virtuálních počítačů s ověřenými zavaděči spouštění, jádry operačního systému a ovladači a bezpečně chrání klíče, certifikáty a tajné kódy ve virtuálních počítačích. Důvěryhodné spuštění také poskytuje přehledy a jistoty o integritě celého spouštěcího řetězce a zajišťuje, aby úlohy byly důvěryhodné a ověřitelné. Důvěryhodné spuštění je integrované s Microsoft Defender pro cloud, aby se zajistilo, že virtuální počítače jsou správně nakonfigurované, a to vzdáleným ověřením, že se virtuální počítač spustí v dobrém stavu. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámka k funkci: Důvěryhodné spuštění je k dispozici pro virtuální počítače generace 2. Důvěryhodné spuštění vyžaduje vytvoření nových virtuálních počítačů. Důvěryhodné spuštění nemůžete povolit na existujících virtuálních počítačích, které byly původně vytvořeny bez něj.
Pokyny ke konfiguraci: Důvěryhodné spuštění může být povolené během nasazování virtuálního počítače. Povolte všechny tři možnosti – Zabezpečené spouštění, vTPM a monitorování spouštění integrity, abyste zajistili nejlepší stav zabezpečení pro virtuální počítač. Upozorňujeme, že existuje několik požadavků, mezi které patří onboarding předplatného do Microsoft Defender pro cloud, přiřazení určitých Azure Policy iniciativ a konfigurace zásad brány firewall.
Referenční informace: Nasazení virtuálního počítače s povoleným důvěryhodným spuštěním
PV-5: Provádění posouzení ohrožení zabezpečení
Funkce
Posouzení ohrožení zabezpečení pomocí Microsoft Defender
Popis: Službu je možné zkontrolovat z hlediska kontroly ohrožení zabezpečení pomocí funkce Microsoft Defender pro cloud nebo jiné Microsoft Defender služby , která je integrovaná (včetně Microsoft Defender pro server, registr kontejneru, App Service, SQL a DNS). Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Postupujte podle doporučení z Microsoft Defender pro cloud pro provádění posouzení ohrožení zabezpečení na virtuálních počítačích Azure.
Referenční informace: Plánování nasazení Defenderu pro servery
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ClassicCompute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center Standard zahrnuje kontrolu ohrožení zabezpečení vašich virtuálních počítačů bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center Standard zahrnuje kontrolu ohrožení zabezpečení vašich virtuálních počítačů bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
PV-6: Rychlá a automatická náprava ohrožení zabezpečení
Funkce
Azure Automation – Update Management
Popis: Služba může používat Azure Automation Update Management k automatickému nasazení oprav a aktualizací. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí řešení Azure Automation Update Management nebo řešení třetí strany zajistěte, aby se na virtuální počítače s Windows nainstalovaly nejnovější aktualizace zabezpečení. U virtuálních počítačů s Windows se ujistěte, že je služba Windows Update povolená a nastavená na automatickou aktualizaci.
Referenční informace: Správa aktualizací a oprav pro virtuální počítače
Služba oprav hosta Azure
Popis: Služba může používat opravy hosta Azure k automatickému nasazení oprav a aktualizací. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Služby můžou využívat různé mechanismy aktualizace, jako jsou automatické upgrady imagí operačníhosystému a automatické opravy hosta. Doporučuje se použít nejnovější aktualizace zabezpečení a důležité aktualizace hostovaného operačního systému virtuálního počítače s využitím zásad bezpečného nasazení.
Automatické opravy hosta umožňují automaticky vyhodnotit a aktualizovat virtuální počítače Azure, aby se zachovalo dodržování předpisů zabezpečení u důležitých aktualizací a aktualizací zabezpečení vydaných každý měsíc. Aktualizace se používají mimo špičku, včetně virtuálních počítačů ve skupině dostupnosti. Tato možnost je dostupná pro flexibilní orchestraci škálovací sady virtuálních počítačů s budoucí podporou jednotné orchestrace.
Pokud spouštíte bezstavovou úlohu, automatické upgrady imagí operačního systému jsou ideální pro instalaci nejnovější aktualizace pro vaši službu VMSS Uniform. Díky možnosti vrácení zpět jsou tyto aktualizace kompatibilní s imagemi z Marketplace nebo s vlastními imagemi. Budoucí podpora upgradu se zajištěním provozu v plánu flexibilní orchestrace.
Referenční informace: Automatické opravy hosta virtuálního počítače pro virtuální počítače Azure
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ClassicCompute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Na počítače by se měly nainstalovat aktualizace systému | Chybějící aktualizace systému zabezpečení na vašich serverech budou monitorovány Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 4.0.0 |
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
[Preview]: Na vašich počítačích by měly být nainstalované aktualizace systému (používá technologii Centrum aktualizací). | Ve vašich počítačích chybí aktualizace systému, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují důležité opravy bezpečnostních děr. Tyto díry se často využívají při malwarových útocích, takže je důležité udržovat váš software aktualizovaný. Pokud chcete nainstalovat všechny zbývající opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, zakázáno | 1.0.0-preview |
Zabezpečení koncového bodu
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Zabezpečení koncových bodů.
ES-1: Použití detekce a odezvy koncových bodů (EDR)
Funkce
Řešení EDR
Popis: Do koncového bodu je možné nasadit funkci detekce a odezvy koncových bodů (EDR), jako je Azure Defender pro servery. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Defender pro servery (s integrovaným Microsoft Defender for Endpoint) poskytuje možnost EDR pro prevenci, detekci, vyšetřování a reakci na pokročilé hrozby. Pomocí Microsoft Defender for Cloud nasaďte Azure Defender pro servery pro koncový bod a integrujte upozornění do řešení SIEM, jako je Azure Sentinel.
Referenční informace: Plánování nasazení Defenderu pro servery
ES-2: Použití moderního antimalwarového softwaru
Funkce
Antimalwarové řešení
Popis: Antimalwarová funkce, jako je Microsoft Defender Antivirus, Microsoft Defender for Endpoint je možné nasadit na koncový bod. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pro Windows Server 2016 a vyšší je ve výchozím nastavení nainstalovaná Microsoft Defender pro antivirovou ochranu. Pro Windows Server 2012 R2 a vyšší můžou zákazníci nainstalovat SCEP (System Center Endpoint Protection). Případně si zákazníci můžou také nainstalovat antimalwarové produkty třetích stran.
Referenční informace: Onboarding Windows Serveru v Defenderu for Endpoint
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ClassicCompute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Azure Security Center podporovaných řešení ochrany koncových bodů najdete tady: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení služby Endpoint Protection je zdokumentované tady: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Zakázáno | 1.0.0 |
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Azure Security Center podporovaných řešení ochrany koncových bodů najdete tady: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení služby Endpoint Protection je zdokumentované tady: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Zakázáno | 1.0.0 |
ES-3: Zajištění aktualizace antimalwarového softwaru a podpisů
Funkce
Monitorování stavu antimalwarového řešení
Popis: Antimalwarové řešení poskytuje monitorování stavu pro aktualizace platformy, modulu a automatických podpisů. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Informace o zabezpečení a aktualizace produktů platí pro Defender for Endpoint, který je možné nainstalovat na virtuální počítače s Windows.
Pokyny ke konfiguraci: Nakonfigurujte antimalwarové řešení, aby se platforma, modul a podpisy rychle a konzistentně aktualizovaly a bylo možné monitorovat jejich stav.
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.ClassicCompute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Azure Security Center podporovaných řešení ochrany koncových bodů najdete tady: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení služby Endpoint Protection je zdokumentované tady: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Zakázáno | 1.0.0 |
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Azure Security Center podporovaných řešení ochrany koncových bodů najdete tady: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení služby Endpoint Protection je zdokumentované tady: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Zakázáno | 1.0.0 |
Backup a obnovení
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte Azure Backup a nakonfigurujte zdroj zálohování (například Azure Virtual Machines, SQL Server, databáze HANA nebo sdílené složky) s požadovanou frekvencí a s požadovanou dobou uchovávání. Pro Azure Virtual Machines můžete k povolení automatického zálohování použít Azure Policy.
Referenční informace: Možnosti zálohování a obnovení pro virtuální počítače v Azure
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.Compute:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Azure Backup by měla být povolená pro Virtual Machines | Zajistěte ochranu Virtual Machines Azure povolením Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure