Azure-beveiligingsbasislijn voor virtuele machines - Virtuele Linux-machines
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Virtual Machines - Virtuele Linux-machines. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op Virtuele machines - Virtuele Linux-machines.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met Behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies niet van toepassing op virtuele machines- Virtuele Linux-machines zijn uitgesloten. Zie het volledige toewijzingsbestand voor Virtual Machines - Linux Virtual Machines om te zien hoe deze volledig overeenkomen met de Microsoft-cloudbeveiligingsbenchmark.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van virtuele machines met een hoge impact: virtuele Linux-machines, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Berekenen |
| Klant heeft toegang tot HOST/OS | Volledige toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Slaat klantinhoud in rusttoestand op | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiligingvoor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het privé-VNet (Virtual Network) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Referentie: virtuele netwerken en virtuele machines in Azure
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Het servicenetwerkverkeer respecteert de regels die toegewezen zijn aan de netwerkbeveiligingsgroepen in de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: netwerkbeveiligingsgroepen (NSG) gebruiken om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de geopende poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar dat verkeer van virtueel netwerk en Azure Load Balancers is toegestaan.
Wanneer u een virtuele Azure-machine (VM) maakt, moet u een virtueel netwerk maken of een bestaand virtueel netwerk gebruiken en de VIRTUELE machine configureren met een subnet. Zorg ervoor dat voor alle geïmplementeerde subnetten een netwerkbeveiligingsgroep is toegepast met netwerktoegangsbeheer die specifiek is voor vertrouwde poorten en bronnen van uw toepassingen.
Referentie: netwerkbeveiligingsgroepen
Microsoft Defender voor Cloud-bewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Alle netwerkpoorten moeten worden beperkt voor netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft vastgesteld dat bepaalde binnenkomende regels van uw netwerkbeveiligingsgroepen te permissief zijn. Regels voor inkomend verkeer mogen geen toegang toestaan vanuit de IP-bereiken 'Any' of 'Internet'. Hierdoor kunnen aanvallers uw middelen aanvallen. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| aanbevelingen voor adaptieve netwerkbeveiliging moeten worden toegepast op internetgerichte virtuele machines | Azure Security Center analyseert de verkeerspatronen van internetgerichte virtuele machines en biedt aanbevelingen voor regels voor netwerkbeveiligingsgroepen die de potentiële kwetsbaarheid voor aanvallen verminderen | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Openbare netwerktoegang uitschakelen
Beschrijving: Service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een ip-filterregel op serviceniveau (niet NSG of Azure Firewall) of met de wisselknop Openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: services zoals iptables of firewalld kunnen worden geïnstalleerd in het Linux-besturingssysteem en netwerkfilters bieden om openbare toegang uit te schakelen.
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheervoor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: meld u aan bij een virtuele Linux-machine in Azure met behulp van Azure AD en OpenSSH-
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: methoden voor lokale verificatie die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
functienotities: er wordt standaard een lokaal beheerdersaccount gemaakt tijdens de eerste implementatie van de virtuele machine. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: Beheerde identiteit wordt traditioneel gebruikt door linux-VM's om te verifiëren bij andere services. Als de Virtuele Linux-machine Azure AD-verificatie ondersteunt, wordt beheerde identiteit mogelijk ondersteund.
Configuratierichtlijnen: Gebruik azure beheerde identiteiten in plaats van service-principals indien mogelijk, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, gewisseld en beveiligd door het platform, waardoor hardgecodeerde referenties in broncode of configuratiebestanden worden vermeden.
Serviceprincipals
Beschrijving: het datavlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: service-principals kunnen worden gebruikt door toepassingen die worden uitgevoerd op de Virtuele Linux-machine.
configuratierichtlijnen: er zijn geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Compute
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| De Gastconfiguratie-extensie van Virtuele Machines () moet worden geïmplementeerd met een door het systeem toegewezen beheerde identiteit (). | Voor de gastconfiguratie-extensie is een door het systeem toegewezen beheerde identiteit vereist. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, Uitgeschakeld | 1.0.1 |
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot het gegevensvlak kan worden beheerd met behulp van het beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: Azure AD gebruiken als basisverificatieplatform en een certificeringsinstantie voor SSH in een Linux-VM met behulp van Azure AD- en OpenSSH-verificatie. Met deze functionaliteit kunnen organisaties de toegang tot VM's beheren met op rollen gebaseerd toegangsbeheer (RBAC) en beleid voor voorwaardelijke toegang van Azure.
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
Naslaginformatie: meld u aan bij een virtuele Linux-machine in Azure met behulp van Azure AD en OpenSSH-
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Integratie en opslag van servicereferenties en geheimen in Azure Key Vault
Beschrijving: het datavlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Functieopmerkingen: Binnen de data-infrastructuur of het besturingssysteem kunnen services Azure Key Vault aanroepen voor referenties of geheimen.
configuratierichtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op veilige locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Bevoegde toegang
Zie de Microsoft-cloudbeveiligingsbenchmark: Bevoegde toegangvoor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale beheerdersaccounts
Beschrijving: Service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
functienotities: vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Reference: Quickstart: Een virtuele Linux-machine maken in azure Portal
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: Azure AD gebruiken als basisverificatieplatform en een certificeringsinstantie voor SSH in een Linux-VM met behulp van Azure AD- en OpenSSH-verificatie. Met deze functionaliteit kunnen organisaties de toegang tot VM's beheren met op rollen gebaseerd toegangsbeheer (RBAC) en beleid voor voorwaardelijke toegang van Azure.
Configuratierichtlijnen: geef met RBAC op wie zich als gewone gebruiker of met beheerdersbevoegdheden kan aanmelden bij een virtuele machine. Wanneer gebruikers lid worden van uw team, kunt u het Azure RBAC-beleid voor de VM bijwerken om toegang te verlenen, indien van toepassing. Wanneer werknemers uw organisatie verlaten en hun gebruikersaccounts zijn uitgeschakeld of verwijderd uit Azure AD, hebben ze geen toegang meer tot uw resources.
Naslaginformatie: meld u aan bij een virtuele Linux-machine in Azure met behulp van Azure AD en OpenSSH-
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor Microsoft-toegang tot ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: in ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor gegevenstoegang van Microsoft te beoordelen of af te wijzen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeschermingvoor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/verlies
Beschrijving: Service ondersteunt DLP-oplossing voor het bewaken van gevoelige gegevensverplaatsing (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Encryptie van gegevens tijdens overdracht
Beschrijving: Service ondersteunt versleuteling van gegevens die onderweg zijn voor het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: bepaalde communicatieprotocollen zoals SSH worden standaard versleuteld. Andere services zoals HTTP moeten echter worden geconfigureerd voor het gebruik van TLS voor versleuteling.
configuratierichtlijnen: veilige overdracht inschakelen in services waarin een ingebouwde functie voor gegevensoverdrachtversleuteling is ingebouwd. Dwing HTTPS af op webtoepassingen en -services en zorg ervoor dat TLS v1.2 of hoger wordt gebruikt. Oudere versies zoals SSL 3.0, TLS v1.0 moeten worden uitgeschakeld. Gebruik voor extern beheer van virtuele machines SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Referentie: In-transit-versleuteling in VM's
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Windows-machines moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, Uitgeschakeld | 4.1.1 |
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van data die in rust is met behulp van platformsleutels wordt ondersteund, alle klantinformatie in rust wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
functienotities: beheerde schijven maken standaard gebruik van door platform beheerde versleutelingssleutels. Alle beheerde schijven, momentopnamen, installatiekopieën en gegevens die naar bestaande beheerde schijven worden geschreven, worden automatisch in rusttoestand versleuteld met platformbeheerde sleutels.
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Referentie: Server-side encryptie van Azure Disk Storage - Platformbeheerste sleutels
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.ClassicCompute
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| virtuele machines tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources moeten versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine in rusttoestand versleuteld met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of 2. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Uitgeschakeld | 2.0.3 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| [preview]: virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld in rust met behulp van door platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Ga naar https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee voorwaarden worden geïmplementeerd binnen het toegewezen beleid. Ga naar https://aka.ms/gcpolvoor meer informatie. | AuditIfNotExists, Uitgeschakeld | 1.2.0-preview |
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Encryptie van data-at-rest met door de klant beheerde sleutels wordt ondersteund voor klantinformatie die door de dienst is opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Functienotities: u kunt ervoor kiezen om versleuteling te beheren op het niveau van elke beheerde schijf, met uw eigen sleutels. Wanneer u een door de klant beheerde sleutel opgeeft, wordt die sleutel gebruikt om de toegang tot de sleutel die uw gegevens versleutelt, te beveiligen en te beheren. Door de klant beheerde sleutels bieden meer flexibiliteit voor het beheren van toegangsbeheer.
configuratierichtlijnen: definieer indien vereist voor naleving van regelgeving het use case- en servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig is. Gegevensversleuteling in rusttoestand inschakelen en implementeren met een door de klant beheerde sleutel voor deze services.
Virtuele schijven op virtuele machines (VM) worden in rust versleuteld met behulp van versleuteling aan de serverzijde of Azure Disk Encryption (ADE). Azure Disk Encryption maakt gebruik van de DM-Crypt-functie van Linux voor het versleutelen van beheerde schijven met door de klant beheerde sleutels binnen de gast-VM. Versleuteling aan de serverzijde met door de klant beheerde sleutels verbetert de ADE doordat u alle typen besturingssystemen en installatiekopieën voor uw VM's kunt gebruiken door gegevens in de Storage-service te versleutelen.
Reference: Server-side versleuteling van Azure Disk Storage - Door de klant beheerde sleutels
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder sleutelgeneratie, distributie en opslag. Draai en trek uw sleutels in in Azure Key Vault en uw service volgens een gedefinieerd schema of wanneer er sprake is van intrekking of compromittering van een sleutel. Als u CMK (Door de klant beheerde sleutel) moet gebruiken in de workload, service of toepassing, moet u de aanbevolen procedures voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) wilt overbrengen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Referentie: Een sleutelkluis maken en configureren voor Azure Disk Encryption
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Vermogensbeheer
Zie de Microsoft Cloud Security Benchmark: Asset Managementvoor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Echt | Vals | Klant |
Configuratierichtlijnen: Azure Policy kan worden gebruikt om het gewenste gedrag te definiëren voor de Windows-VM's en Linux-VM's van uw organisatie. Met behulp van beleid kan een organisatie verschillende conventies en regels afdwingen in de hele onderneming en standaardbeveiligingsconfiguraties definiëren en implementeren voor virtuele Azure-machines. Het afdwingen van het gewenste gedrag kan helpen bij het beperken van risico's terwijl dit bijdraagt aan het succes van de organisatie.
Referentie: Ingebouwde Azure-beleidsdefinities voor Azure Virtual Machines
Microsoft Defender voor Cloud-bewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik nieuwe Azure Resource Manager voor uw virtuele machines om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Auditeren, weigeren, uitgeschakeld | 1.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik nieuwe Azure Resource Manager voor uw virtuele machines om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Auditeren, weigeren, uitgeschakeld | 1.0.0 |
AM-5: Alleen goedgekeurde toepassingen gebruiken in virtuele machine
Functies
Microsoft Defender voor Cloud - Adaptieve toepassingsbesturingselementen
Beschrijving: Service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van Adaptieve toepassingsbesturingselementen in Microsoft Defender voor Cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: gebruik adaptieve toepassingsbesturingselementen van Microsoft Defender for Cloud om toepassingen te detecteren die draaien op virtuele machines (VM's) en een lijst met toegestane toepassingen te genereren om te bepalen welke goedgekeurde toepassingen in de VM-omgeving kunnen worden uitgevoerd.
nl-NL: Reference: Gebruik adaptieve applicatieregels om het aanvalsvlak van uw machines te verkleinen
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure-policydefinities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten zijn ingeschakeld op uw computers | Schakel toepassingsbesturingselementen in om de lijst met bekende veilige toepassingen op uw computers te definiëren en waarschuw u wanneer andere toepassingen worden uitgevoerd. Dit helpt uw machines te beveiligen tegen malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen die op elke machine worden uitgevoerd te analyseren en de lijst met bekende veilige toepassingen te voorstellen. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
Ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten zijn ingeschakeld op uw computers | Schakel toepassingsbesturingselementen in om de lijst met bekende veilige toepassingen op uw computers te definiëren en waarschuw u wanneer andere toepassingen worden uitgevoerd. Dit helpt uw machines te beveiligen tegen malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen die op elke machine worden uitgevoerd te analyseren en de lijst met bekende veilige toepassingen te voorstellen. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
Logboekregistratie en detectie van bedreigingen
Zie de Microsoft-cloudbeveiligingsbenchmark: Logboekregistratie en detectie van bedreigingenvoor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: Defender for Servers breidt de beveiliging uit naar uw Windows- en Linux-machines die worden uitgevoerd in Azure. Defender for Servers kan worden geïntegreerd met Microsoft Defender voor Eindpunt om eindpuntdetectie en -respons (EDR) te bieden en biedt ook een groot aantal extra functies voor beveiliging tegen bedreigingen, zoals beveiligingsbasislijnen en evaluaties op besturingssysteemniveau, scannen van beveiligingsproblemen, adaptieve toepassingsregelaars (AAC), FIM (File Integrity Monitoring) en meer.
Referentie: Plan de implementatie van uw Defender voor Servers
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard heeft vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen een groot aantal aanvalsvectoren en gedrag blokkeren dat vaak wordt gebruikt bij malwareaanvallen, terwijl ondernemingen hun beveiligingsrisico's en productiviteitsvereisten (alleen Windows) kunnen verdelen. | AuditIfNotExists, Uitgeschakeld | 2.0.0 |
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Kenmerken
Azure Resource-logboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar zijn eigen gegevensopslag verzenden, zoals een opslagaccount of logboekanalyselocatie. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Azure Monitor begint automatisch metrische gegevens te verzamelen voor uw virtuele-machinehost wanneer u de virtuele machine maakt. Als u echter logboeken en prestatiegegevens wilt verzamelen van het gastbesturingssysteem van de virtuele machine, moet u de Azure Monitor-agent installeren. U kunt de agent installeren en verzameling configureren met behulp van VM-inzichten of door een regel voor gegevensverzameling te maken.
Referentie: Log Analytics-Agentoverzicht
Microsoft Defender voor Cloud-bewaking
Ingebouwde definities van Azure-policy - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| [preview]: de agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center maakt gebruik van de Microsoft Dependency Agent om netwerkverkeersgegevens van uw virtuele Azure-machines te verzamelen om geavanceerde netwerkbeveiligingsfuncties mogelijk te maken, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, Uitgeschakeld | 1.0.2-preview |
Postuur- en beveiligingsproblemenbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Postuur- en beveiligingsbeheervoor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Functies
Azure Automation State Configuration
Beschrijving: Azure Automation State Configuration kan worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden.
Verwijzing: Een virtuele machine configureren met Desired State Configuration
Gastconfiguratieagent van Azure Policy
Beschrijving: Azure Policy-gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als een extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
functienotities: Azure Policy-gastconfiguratie wordt nu Azure Automanage Machine Configuration genoemd.
configuratierichtlijnen: Gebruik de gastconfiguratieagent van Microsoft Defender for Cloud en Azure Policy om configuratiedeviaties op uw Azure-rekenresources, waaronder VM's, containers en andere, regelmatig te beoordelen en op te lossen.
Referentie: Inzicht in de functie voor machineconfiguratie van Azure Automanage-
Aangepaste VM-installatiekopieën
Beschrijving: Service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Gebruik een vooraf geconfigureerde geharde installatiekopie van een vertrouwde leverancier zoals Microsoft, of bouw een gewenst beveiligd configuratieprofiel in de installatiekopie van de virtuele machine.
nl-NL: Referentie: Tutorial: Maak een aangepast image van een Azure VM met de Azure CLI
PV-4: Veilige configuraties voor rekenresources controleren en afdwingen
Functies
Virtuele machine met vertrouwde start
Beschrijving: Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken door infrastructuurtechnologieën zoals beveiligd opstarten, vTPM en integriteitscontrole te combineren. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen. Met vertrouwde start kunnen virtuele machines veilig worden geïmplementeerd met geverifieerde opstartladers, besturingssysteemkernels en stuurprogramma's, en worden sleutels, certificaten en geheimen veilig beveiligd op de virtuele machines. Trusted launch biedt ook inzichten en vertrouwen in zowel de integriteit als de verifieerbaarheid van de gehele opstartketen en zorgt ervoor dat workloads betrouwbaar en controleerbaar zijn. Vertrouwde start is geïntegreerd met Microsoft Defender for Cloud om ervoor te zorgen dat VM's correct zijn geconfigureerd door op afstand te bevestigen dat de VIRTUELE machine op een gezonde manier wordt opgestart. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Functienotitie: Betrouwbare start is beschikbaar voor VM's van de tweede generatie. Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde opstart niet inschakelen op bestaande virtuele machines die oorspronkelijk zonder deze zijn aangemaakt.
configuratierichtlijnen: de vertrouwde start kan worden ingeschakeld tijdens de implementatie van de virtuele machine. Schakel Secure Boot, vTPM en integriteitscontrole bij het opstarten in om de beste beveiligingshouding voor de virtuele machine te garanderen. Houd er rekening mee dat er enkele vereisten zijn, waaronder het onboarden van uw abonnement op Microsoft Defender for Cloud, het toewijzen van bepaalde Azure Policy-initiatieven en het configureren van firewallbeleid.
Referentie: Een virtuele machine implementeren met vertrouwde opstart ingeschakeld
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met Microsoft Defender
Beschrijving: Service kan worden gescand op kwetsbaarheidsscan met behulp van Microsoft Defender voor Cloud of andere ingebouwde kwetsbaarheidsbeoordelingsmogelijkheden van Microsoft Defender-services (waaronder Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: volg aanbevelingen van Microsoft Defender for Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines.
Referentie: Implementatie van Defender for Servers plannen
Microsoft Defender voor Cloud-bewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines | Controleert virtuele machines om te detecteren of ze een ondersteunde oplossing voor evaluatie van beveiligingsproblemen uitvoeren. Een kernonderdeel van elk cyberrisico- en beveiligingsprogramma is de identificatie en analyse van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan Security Center dit hulpprogramma automatisch voor u implementeren. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
Ingebouwde Azure Policy-definities - Microsoft.Compute
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines | Controleert virtuele machines om te detecteren of ze een ondersteunde oplossing voor evaluatie van beveiligingsproblemen uitvoeren. Een kernonderdeel van elk cyberrisico- en beveiligingsprogramma is de identificatie en analyse van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan Security Center dit hulpprogramma automatisch voor u implementeren. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
PV-6: Beveiligingsproblemen snel en automatisch herstellen
Functies
Azure Update Manager
Beschrijving: Service kan Azure Update Manager gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Klant |
Configuratierichtlijnen: Gebruik Azure Update Manager om ervoor te zorgen dat de meest recente beveiligingsupdates op uw Linux-VM's worden geïnstalleerd.
Referentie: Updates en patches voor uw VM's beheren
Azure Gastvernieuwingsdienst
Beschrijving: Service kan Azure Guest Patching gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Services kunnen gebruikmaken van de verschillende updatemechanismen, zoals automatische upgrades van installatiekopieën van het besturingssysteem en automatische gastpatches. De mogelijkheden worden aanbevolen om de nieuwste beveiligingsupdates en essentiële updates toe te passen op het gastbesturingssystemen van uw virtuele machine door de principes voor veilige implementatie te volgen.
Met automatische gastpatching kunt u uw virtuele Azure-machines automatisch evalueren en bijwerken om de beveiligingscompatibiliteit te behouden met essentiële en beveiligingsupdates die elke maand worden uitgebracht. Updates worden toegepast tijdens daluren, inclusief VM's binnen een beschikbaarheidsset. Deze mogelijkheid is beschikbaar voor VMSS Flexible Orchestration, met toekomstige ondersteuning voor de roadmap voor Uniform Orchestration.
Als u een statusloze workload uitvoert, zijn automatische OS-beeld upgrades ideaal voor het toepassen van de nieuwste update voor uw uniforme VMSS. Dankzij de mogelijkheid om updates terug te draaien, zijn deze updates compatibel met Marketplace of aangepaste afbeeldingen. Ondersteuning voor toekomstige rolling upgrades op de roadmap voor Flexibele Orchestratie.
Referentie: Automatische VM-gastpatching voor Virtuele Azure-machines
Microsoft Defender voor Cloud-bewaking
Azure Policy ingebouwde definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| systeemupdates moeten worden geïnstalleerd op uw computers | Ontbrekende beveiligingsupdates op uw servers worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, Uitgeschakeld | 4.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| [preview]: systeemupdates moeten worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Er ontbreken systeem-, beveiligings- en essentiële updates op uw computers. Software-updates bevatten vaak kritieke patches voor beveiligingsgaten. Dergelijke gaten worden vaak misbruikt bij malwareaanvallen, dus het is essentieel om uw software bijgewerkt te houden. Als u alle openstaande patches wilt installeren en uw machines wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, Uitgeschakeld | 1.0.0-preview |
Eindpuntbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Eindpuntbeveiligingvoor meer informatie.
ES-1: Eindpuntdetectie en -respons gebruiken (EDR)
Functies
EDR-oplossing
Beschrijving: EDR-functie (Endpoint Detection and Response), zoals Azure Defender voor servers, kan worden geïmplementeerd in het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Azure Defender voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) biedt EDR-mogelijkheden om geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Gebruik Microsoft Defender voor Cloud om Azure Defender voor servers voor uw eindpunt te implementeren en de waarschuwingen te integreren in uw SIEM-oplossing, zoals Azure Sentinel.
Referentie: Plan de implementatie van Defender for Servers
ES-2: Moderne antimalwaresoftware gebruiken
Functies
Antimalwareoplossing
Beschrijving: Antimalwarefuncties, zoals Microsoft Defender Antivirus en Microsoft Defender voor Eindpunt, kunnen op het eindpunt worden geïmplementeerd. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: voor Linux kunnen klanten kiezen of ze Microsoft Defender voor Eindpunt voor Linux kunnen installeren. Klanten hebben ook de keuze om antimalwareproducten van derden te installeren.
Naslaginformatie: Microsoft Defender voor Endpoint op Linux
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Gezondheidsproblemen met Endpoint Protection moeten worden opgelost op uw systemen | Los statusproblemen met endpoint protection op uw virtuele machines op om ze te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Uitgeschakeld | 1.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Problemen met de toestand van Endpoint Protection moeten op uw computers worden opgelost | Los gezondheidsproblemen met endpoint protection op uw virtuele machines op, zodat ze beschermd zijn tegen de meest recente bedreigingen en kwetsbaarheden. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Uitgeschakeld | 1.0.0 |
ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt
Functies
Gezondheidsbewaking van antimalwareoplossing
Beschrijving: Antimalwareoplossing biedt statuscontrole voor platform-, engine- en automatische handtekeningupdates. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
functieopmerkingen: beveiligingsinformatie en productupdates zijn van toepassing op Defender voor Eindpunt die kunnen worden geïnstalleerd op de Virtuele Linux-machines.
configuratierichtlijnen: configureer uw antimalwareoplossing om ervoor te zorgen dat het platform, de engine en handtekeningen snel en consistent worden bijgewerkt en hun status kan worden bewaakt.
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Gezondheidsproblemen met Endpoint Protection zouden op uw computers moeten worden opgelost | Los gezondheidsproblemen met endpoint protection op uw virtuele machines op om ze te beschermen tegen de meest recente bedreigingen en kwetsbaarheden. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Uitgeschakeld | 1.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Problemen met de gezondheid van Endpoint Protection dienen te worden opgelost op uw computers | Los gezondheidsproblemen met endpoint protection op uw virtuele machines op om ze te beschermen tegen de meest recente bedreigingen en kwetsbaarheden. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Back-up en herstel
Zie de Microsoft-cloudbeveiligingsbenchmark: Back-up en herstelvoor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Azure Backup
Beschrijving: De service kan worden geback-upt met de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: Schakel Azure Backup en doel-VM's (Azure Virtual Machines) in, evenals de gewenste frequentie- en bewaarperioden. Dit omvat volledige back-up van de systeemstatus. Als u Azure Disk Encryption gebruikt, verwerkt Azure VM Backup automatisch de back-up van door de klant beheerde sleutels. Voor virtuele Azure-machines kunt u Azure Policy gebruiken om automatische back-ups in te schakelen.
Naslaginformatie: Opties voor back-up en herstel voor virtuele machines in Azure
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg voor beveiliging van uw virtuele Azure-machines door Azure Backup in te schakelen. Azure Backup is een veilige en rendabele oplossing voor gegevensbeveiliging voor Azure. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen