Azure-beveiligingsbasislijn voor Azure DevTest Labs
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmark versie 1.0 toe op Azure DevTest Labs. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure DevTest Labs.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Azure DevTest Labs zijn uitgesloten. Als u wilt zien hoe Azure DevTest Labs volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand Azure DevTest Labs beveiligingsbasislijn.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van gedrag met hoge impact van Azure DevTest Labs, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Compute, Ontwikkelhulpprogramma's, Integratie |
| Klant heeft toegang tot HOST/besturingssysteem | Volledige toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | False |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Een virtueel netwerk configureren voor DevTest Labs
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik netwerkbeveiligingsgroepen (NSG's) om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de open poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het inkomende verkeer weigeren, maar verkeer van virtuele netwerken en Azure Load Balancers toestaan.
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Openbare netwerktoegang uitschakelen
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van de ip-ACL-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang.
Naslaginformatie: DevTest Labs met netwerkisolatie maken
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheer voor meer informatie.
IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: service ondersteunt het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Azure DevTest Labs ondersteunt beheerde identiteiten voor de Azure-resources, evenals geheimenbeheer via sleutelkluis. DevTest Labs kan systeemeigen gebruikmaken van Azure AD-verificatie voor Azure-services en -resources die dit ondersteunen. Dit wordt ondersteund vanuit Azure Portal, met behulp van de SDK's of onze REST API, wanneer de gebruiker een DevTest Lab of een van de resources maakt die binnen een lab worden ondersteund.
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Azure DevTest Labs REST API
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: de standaardverificatie voor VM's is lokale verificatie (RDP/SSH). Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Hoewel we geen gegevensvlak voor onze service bieden, ondersteunen onze resources Beheerde identiteiten.
Configuratierichtlijnen: Gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Naslaginformatie: Door de gebruiker toegewezen beheerde identiteiten inschakelen op virtuele labmachines in DevTest Labs
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: gebruikers kunnen zelf service-principals configureren voor toegang tot labresources.
Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
IM-7: toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlakken kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: met Azure DevTest Labs kunnen gebruikers virtuele Azure-machines beheren en implementeren in hun eigen abonnementen. Deze virtuele machines kunnen indien nodig voorwaardelijke toegang ondersteunen, afhankelijk van het klantscenario.
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksscenario's, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
IM-8: beperk de blootstelling van referenties en geheimen
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: DevTest Lab-geheimen worden veilig opgeslagen in een Azure-Key Vault in het klantabonnement. Dit wordt door onze service gebruikt om te communiceren met Azure-resources in het lab.
U kunt beheerde identiteiten op uw lab-vm's inschakelen voor verificatie bij resources in de context van een lab.
Configuratierichtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Naslaginformatie: Door de gebruiker toegewezen beheerde identiteiten inschakelen op virtuele labmachines in Azure DevTest Labs
Bevoegde toegang
Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale Beheer-accounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Gebruikers van labcomputers kunnen Lokaal Beheer van VM's zijn.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Azure DevTest Labs azure RBAC-ondersteuning voor al onze resources heeft geïntegreerd via de ingebouwde rollen.
Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.
Naslaginformatie: DevTest Labs-gebruikers
PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.
DP-1: gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Inzicht in het scenario voor versleuteling in transit voor DevTest Labs
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: in DevTest Labs worden alle besturingssysteemschijven en gegevensschijven die als onderdeel van een lab zijn gemaakt, versleuteld met behulp van door het platform beheerde sleutels.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) op het niveau van de workload, service of toepassing, moet u de best practices voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke dek (gegevensversleutelingssleutel) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: Geheimen opslaan in een sleutelkluis in Azure DevTest Labs
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: met Azure DevTest Labs kunnen gebruikers virtuele Azure-machines beheren en implementeren in hun eigen abonnementen en deze virtuele machines kunnen certificaatbeheer ondersteunen in een Azure-Key Vault indien nodig, afhankelijk van het scenario van de klant.
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, inclusief het maken, importeren, draaien, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat instellen in Azure Key Vault en de Azure-service (indien ondersteund) op basis van een gedefinieerd schema of wanneer een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, controleert u of ze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.
Asset-management
Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure-beleid wordt ondersteund en kan worden geconfigureerd voor de resources die onze service maakt, maar er is geen expliciete configuratie van beveiligingsbeleid van onze service.
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.
AM-5: Alleen goedgekeurde toepassingen in virtuele machine gebruiken
Functies
Microsoft Defender for Cloud - Adaptieve toepassingsregelaars
Beschrijving: de service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van adaptieve toepassingsregelaars in Microsoft Defender voor cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Microsoft Defender voor besturingselementen voor adaptieve cloudtoepassingen om toepassingen te detecteren die worden uitgevoerd op virtuele machines (VM's) en een acceptatielijst voor toepassingen te genereren om te bepalen welke goedgekeurde toepassingen kunnen worden uitgevoerd in de VM-omgeving.
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft Cloud Security Benchmark: Posture and vulnerability management (Postuur en beheer van beveiligingsproblemen) voor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Functies
Azure Automation State Configuration
Beschrijving: Azure Automation State Configuration kunnen worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: gebruikers hebben geen toegang tot de host-VM van DevTest Labs Service, maar met onze service kunnen gebruikers Azure Virtual Machines beheren en implementeren in hun eigen abonnementen en DSC (Desired State Configuration) is van toepassing op deze machines.
Configuratierichtlijnen: gebruik Azure Automation State Configuration om de beveiligingsconfiguratie van het besturingssysteem te onderhouden.
Azure Policy gastconfiguratieagent
Beschrijving: Azure Policy gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: gebruikers hebben geen toegang tot de host-VM van DevTest Labs Service, maar met onze service kunnen gebruikers Azure Virtual Machines beheren en implementeren in hun eigen abonnementen en Azure Policy gastconfiguratieagent van toepassing is op deze machines.
Configuratierichtlijnen: gebruik Microsoft Defender voor cloud en Azure Policy gastconfiguratieagent om configuratieafwijkingen van uw Azure-rekenresources, waaronder VM's, containers en andere, regelmatig te evalueren en te herstellen.
Aangepaste VM-installatiekopieën
Beschrijving: de service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gemaakte installatiekopieën uit de marketplace waarbij bepaalde basislijnconfiguraties vooraf zijn toegepast. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: instellingen voor Azure Marketplace-installatiekopieën configureren in Azure DevTest Labs
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met behulp van Microsoft Defender
Beschrijving: de service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender for Cloud of andere Microsoft Defender services die zijn ingesloten in de evaluatie van beveiligingsproblemen (inclusief Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Bij het maken van een DevTest Labs kunnen er onderliggende rekenresources zijn als onderdeel van het lab. Er zijn hulpprogramma's voor evaluaties van beveiligingsproblemen, buiten onze service, die kunnen worden gebruikt voor deze resources.
Configuratierichtlijnen: Volg de aanbevelingen van Microsoft Defender for Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers.
PV-6: Snel en automatisch beveiligingsproblemen oplossen
Functies
Azure Automation-updatebeheer
Beschrijving: de service kan Azure Automation Updatebeheer gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: gebruikers hebben geen toegang tot de host-VM van DevTest Labs Service, maar met onze service kunnen gebruikers Azure Virtual Machines beheren en implementeren in hun eigen abonnementen. Automation Updatebeheer kan onafhankelijk worden beheerd voor deze machines.
Configuratierichtlijnen: gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates worden geïnstalleerd op uw Windows- en Linux-VM's. Voor Windows-VM's moet u ervoor zorgen dat Windows Update is ingeschakeld en is ingesteld om automatisch bij te werken.
Eindpuntbeveiliging
Zie de Microsoft Cloud Security-benchmark: Eindpuntbeveiliging voor meer informatie.
ES-2: Moderne antimalwaresoftware gebruiken
Functies
Antimalwareoplossing
Beschrijving: antimalwarefunctie, zoals Microsoft Defender Antivirus, Microsoft Defender voor Eindpunt kunnen worden geïmplementeerd op het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: gebruikers hebben geen toegang tot de host-VM van DevTest Labs Service, maar met onze service kunnen gebruikers Azure Virtual Machines beheren en implementeren in hun eigen abonnementen. Het wordt ten zeerste aanbevolen om een antimalwareoplossing op deze machines te gebruiken.
Configuratierichtlijnen: voor Windows Server 2016 en hoger wordt Microsoft Defender voor Antivirus standaard geïnstalleerd. Voor Windows Server 2012 R2 en hoger kunnen klanten SCEP (System Center Endpoint Protection) installeren. Voor Linux kunnen klanten kiezen uit het installeren van Microsoft Defender voor Linux. Klanten kunnen er ook voor kiezen om antimalwareproducten van derden te installeren.
ES-3: Controleren of antimalwaresoftware en -handtekeningen zijn bijgewerkt
Functies
Statuscontrole van antimalwareoplossing
Beschrijving: De antimalwareoplossing biedt statuscontrole voor updates voor platform, engine en automatische handtekening. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: gebruikers hebben geen toegang tot de host-VM van DevTest Labs Service, maar met onze service kunnen gebruikers Azure Virtual Machines beheren en implementeren in hun eigen abonnementen. Het wordt ten zeerste aanbevolen om voor deze machines een antimalwareoplossingsstatuscontrole te gebruiken.
Configuratierichtlijnen: configureer uw antimalwareoplossing om ervoor te zorgen dat het platform, de engine en de handtekeningen snel en consistent worden bijgewerkt en dat de status ervan kan worden bewaakt.
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure DevTest Labs bieden geen expliciete ondersteuning voor Azure Backup, maar het kan door de klant worden geconfigureerd voor de reken-VM's die door onze service zijn geïmplementeerd.
Configuratierichtlijnen: schakel Azure Backup in en configureer de back-upbron (zoals Azure Virtual Machines, SQL Server, HANA-databases of bestandsshares) op een gewenste frequentie en met een gewenste bewaarperiode. Voor Azure Virtual Machines kunt u Azure Policy gebruiken om automatische back-ups in te schakelen.
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen