Azure-beveiligingsbasislijn voor virtuele machines - Virtuele Windows-machines
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft Cloud Security Benchmark versie 1.0 op Virtual Machines - Windows Virtual Machines. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op virtuele machines - Windows Virtual Machines.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met Behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies niet van toepassing op virtuele machines: Virtuele Windows-machines zijn uitgesloten. Als u wilt zien hoe Virtuele Machines - Virtuele Windows-machines volledig worden toegewezen aan de Microsoft cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand voor beveiligingsbasislijnen van Virtuele Machines - Windows Virtual Machines .
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van virtuele machines - Virtuele Windows-machines, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Berekenen |
| Klant heeft toegang tot HOST/OS | Volledige toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Slaat klantinhoud in rusttoestand op | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiligingvoor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het privé-VNet (Virtual Network) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Referentie: virtuele netwerken en virtuele machines in Azure
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: service-netwerkverkeer respecteert regeltoewijzingen voor netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: netwerkbeveiligingsgroepen (NSG) gebruiken om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de geopende poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar dat verkeer van virtueel netwerk en Azure Load Balancers is toegestaan.
Wanneer u een virtuele Azure-machine (VM) maakt, moet u een virtueel netwerk maken of een bestaand virtueel netwerk gebruiken en de VIRTUELE machine configureren met een subnet. Zorg ervoor dat voor alle geïmplementeerde subnetten een netwerkbeveiligingsgroep is toegepast met netwerktoegangsbeheer die specifiek is voor vertrouwde poorten en bronnen van uw toepassingen.
Referentie: netwerkbeveiligingsgroepen
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.ClassicCompute :
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Alle netwerkpoorten moeten worden beperkt voor netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft vastgesteld dat bepaalde binnenkomende regels van uw netwerkbeveiligingsgroepen te permissief zijn. Regels voor inkomend verkeer mogen geen toegang toestaan vanuit het bereik 'Any' of 'Internet'. Hierdoor kunnen aanvallers uw middelen doelwitten. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
Ingebouwde Azure Policy-definities Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| aanbevelingen voor adaptieve netwerkbeveiliging moeten worden toegepast op internetgerichte virtuele machines | Azure Security Center analyseert de verkeerspatronen van internetgerichte virtuele machines en biedt aanbevelingen voor regels voor netwerkbeveiligingsgroepen die de potentiële kwetsbaarheid voor aanvallen verminderen | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Openbare netwerktoegang uitschakelen
Beschrijving: Service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een ip-filterregel op serviceniveau (niet NSG of Azure Firewall) of met de wisselknop Openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: gebruik services op besturingssysteemniveau, zoals Windows Defender Firewall, om netwerkfilters te bieden om openbare toegang uit te schakelen.
Identiteitsbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheervoor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: methoden voor lokale verificatie die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
functienotities: er wordt standaard een lokaal beheerdersaccount gemaakt tijdens de eerste implementatie van de virtuele machine. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: beheerde identiteit wordt doorgaans gebruikt door windows-VM om te verifiëren bij andere services. Als de Windows-VM Ondersteuning biedt voor Azure AD-verificatie, wordt beheerde identiteit mogelijk ondersteund.
Configuratierichtlijnen: Gebruik azure beheerde identiteiten in plaats van service-principals indien mogelijk, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, gedraaid en beveiligd door het platform, waardoor in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Serviceprincipals
Beschrijving: Het gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: service-principals kunnen worden gebruikt door toepassingen die worden uitgevoerd op de Windows-VM.
configuratierichtlijnen: er zijn geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| De Gastconfiguratie-extensie van de virtuele machines moet worden geïmplementeerd met een systeemtoegewezen beheerde identiteit. | Voor de gastconfiguratie-extensie is een door het systeem toegewezen beheerde identiteit vereist. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, Uitgeschakeld | 1.0.1 |
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor datavlak
Beschrijving: toegang tot het gegevensvlak kan worden beheerd met behulp van het beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
functieopmerkingen: Gebruik Azure AD als basisverificatieplatform voor RDP in Windows Server 2019 Datacenter edition en hoger, of Windows 10 1809 en hoger. Vervolgens kunt u op rollen gebaseerd toegangsbeheer (RBAC) van Azure centraal beheren en afdwingen en beleidsregels voor voorwaardelijke toegang die toegang tot de VM's toestaan of weigeren.
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
nl-NL: Naslaginformatie: meld u aan bij een virtuele Windows-machine in Azure met behulp van Azure AD, inclusief wachtwoordloos inloggen
IM-8: De blootstelling van inloggegevens en geheimen beperken
Functies
Integratie en opslag van servicereferenties en geheimen in Azure Key Vault
Beschrijving: het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
Functionaliteitsnotities: Binnen de datalaag of het besturingssysteem kunnen services Azure Key Vault aanroepen voor referenties of geheimen.
configuratierichtlijnen: zorg ervoor dat geheimen en referenties worden opgeslagen op veilige locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden.
Bevoegde toegang
Zie de Microsoft-cloudbeveiligingsbenchmark: Bevoegde toegangvoor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale beheerdersaccounts
Beschrijving: Service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
functienotities: vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Reference: Quickstart: Een virtuele Windows-machine maken in Azure Portal
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
Functies
Azure RBAC voor Data Plane
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functieopmerkingen: Gebruik Azure AD als basisverificatieplatform voor RDP in Windows Server 2019 Datacenter edition en hoger, of Windows 10 1809 en hoger. Vervolgens kunt u op rollen gebaseerd toegangsbeheer (RBAC) van Azure centraal beheren en afdwingen en beleidsregels voor voorwaardelijke toegang die toegang tot de VM's toestaan of weigeren.
Configuratierichtlijnen: geef met RBAC op wie zich als gewone gebruiker of met beheerdersbevoegdheden kan aanmelden bij een virtuele machine. Wanneer gebruikers lid worden van uw team, kunt u het Azure RBAC-beleid voor de VM bijwerken om toegang te verlenen, indien van toepassing. Wanneer werknemers uw organisatie verlaten en hun gebruikersaccounts zijn uitgeschakeld of verwijderd uit Azure AD, hebben ze geen toegang meer tot uw resources.
Naslaginformatie: Meld u aan bij een virtuele Windows-machine in Azure met behulp van Azure AD, inclusief wachtwoordloos inloggen
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Functies
Klantenkluis
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang van Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: in ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor gegevenstoegang van Microsoft te beoordelen of af te wijzen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeschermingvoor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/verlies
Beschrijving: Service ondersteunt DLP-oplossing voor het bewaken van gevoelige gegevensbeweging (in de klantinhoud). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Versleuteling van gegevens tijdens overdracht
Beschrijving: De service ondersteunt gegevensversleuteling voor gegevens in transit op het datavlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: bepaalde communicatieprotocollen zoals SSH worden standaard versleuteld. Andere services zoals HTTP moeten echter worden geconfigureerd voor het gebruik van TLS voor versleuteling.
configuratierichtlijnen: veilige overdracht inschakelen in services waarin een ingebouwde functie voor gegevensoverdrachtversleuteling is ingebouwd. Dwing HTTPS af op webtoepassingen en -services en zorg ervoor dat TLS v1.2 of hoger wordt gebruikt. Oudere versies zoals SSL 3.0, TLS v1.0 moeten worden uitgeschakeld. Gebruik voor extern beheer van virtuele machines SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.
Naslaginformatie: In-transit-versleuteling in VM's
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Compute
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Windows-machines moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, Uitgeschakeld | 4.1.1 |
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van data-at-rest met platformsleutels wordt ondersteund, alle klantinhoud in rust wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
functienotities: beheerde schijven maken standaard gebruik van door platform beheerde versleutelingssleutels. Alle beheerde schijven, momentopnamen, installatiekopieën en gegevens die naar bestaande beheerde schijven worden geschreven, worden bij opslag geautomatiseerd versleuteld met door het platform beheerde sleutels.
configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Referentie: Server-side encryptie van Azure Disk Storage - Platformbeheerste sleutels
Microsoft Defender voor Cloud-bewaking
Ingebouwde definities van Azure Policy - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| virtuele machines tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources moeten versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine bij rust versleuteld met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of een andere optie. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Uitgeschakeld | 2.0.3 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| [preview]: virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld in rust met behulp van door platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Ga naar https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpolvoor meer informatie. | AuditIfNotExists, Uitgeschakeld | 1.2.0-preview |
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevensversleuteling in rust met behulp van klantbeheerde sleutels wordt ondersteund voor klantgegevens die door de dienst worden opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
Functienotities: u kunt ervoor kiezen om versleuteling te beheren op het niveau van elke beheerde schijf, met uw eigen sleutels. Wanneer u een door de klant beheerde sleutel opgeeft, wordt die sleutel gebruikt om de toegang tot de sleutel die uw gegevens versleutelt, te beveiligen en te beheren. Door de klant beheerde sleutels bieden meer flexibiliteit voor het beheren van toegangsbeheer.
configuratierichtlijnen: definieer indien vereist voor naleving van regelgeving het use case- en servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig is. Versleuteling van gegevens in rust inschakelen en implementeren met een door de klant beheerde sleutel voor die services.
Virtuele schijven op virtuele machines (VM) worden in rust versleuteld met behulp van versleuteling aan de serverzijde of Azure Disk Encryption (ADE). Azure Disk Encryption maakt gebruik van de BitLocker-functie van Windows om beheerde schijven te versleutelen met door de klant beheerde sleutels binnen de gast-VM. Versleuteling aan de serverzijde met door de klant beheerde sleutels verbetert de ADE doordat u alle typen besturingssystemen en installatiekopieën voor uw VM's kunt gebruiken door gegevens in de Storage-service te versleutelen.
Referentie: Server-side encryptie van Azure-schijfopslag
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder sleutelgeneratie, distributie en opslag. Draai en trek uw sleutels in Azure Key Vault en uw service in op basis van een gedefinieerd schema of wanneer er sprake is van een buitengebruikstelling of inbreuk op een sleutel. Als u CMK (Door de klant beheerde sleutel) moet gebruiken in de workload, service of toepassing, moet u de aanbevolen procedures voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) wilt overbrengen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Referentie: Een sleutelkluis maken en configureren voor Azure Disk Encryption op een Windows-VM-
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Vals | Niet van toepassing | Niet van toepassing |
configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Vermogensbeheer
Zie de Microsoft Cloud Security Benchmark: Asset Managementvoor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
Configuratierichtlijnen: Azure Policy kan worden gebruikt om het gewenste gedrag te definiëren voor de Windows-VM's en Linux-VM's van uw organisatie. Met behulp van beleid kan een organisatie verschillende conventies en regels afdwingen in de hele onderneming en standaardbeveiligingsconfiguraties definiëren en implementeren voor virtuele Azure-machines. Het afdwingen van het gewenste gedrag kan helpen bij het beperken van risico's terwijl dit bijdraagt aan het succes van de organisatie.
Referentie: Ingebouwde Azure Policy-definities voor Azure Virtual Machines
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik nieuwe Azure Resource Manager voor uw virtuele machines om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, weigeren, uitgeschakeld | 1.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik nieuwe Azure Resource Manager voor uw virtuele machines om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Auditeren, Weigeren, Uitgeschakeld | 1.0.0 |
AM-5: Alleen goedgekeurde toepassingen gebruiken in virtuele machine
Functies
Microsoft Defender voor Cloud - Adaptieve toepassingsbesturingselementen
Beschrijving: Service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met behulp van Adaptieve toepassingsbesturingselementen in Microsoft Defender voor Cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: gebruik adaptieve toepassingsbesturingselementen van Microsoft Defender for Cloud om toepassingen te ontdekken die draaien op virtuele machines (VM's) en een lijst met toegestane toepassingen te genereren om vast te stellen welke goedgekeurde toepassingen in de VM-omgeving kunnen worden uitgevoerd.
Reference: Gebruik adaptieve toepassingsregelaars om het aanvalsoppervlak van uw machines te verkleinen
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten zijn ingeschakeld op uw computers | Schakel toepassingsbesturingselementen in om de lijst met bekende veilige toepassingen op uw computers te definiëren en waarschuw u wanneer andere toepassingen worden uitgevoerd. Dit helpt uw machines te beveiligen tegen malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen die op elke machine worden uitgevoerd te analyseren en de lijst met bekende veilige toepassingen te voorstellen. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten zijn ingeschakeld op uw computers | Schakel toepassingsbesturingselementen in om de lijst met bekende veilige toepassingen op uw computers te definiëren en waarschuw u wanneer andere toepassingen worden uitgevoerd. Dit helpt uw machines te beveiligen tegen malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen die op elke machine worden uitgevoerd te analyseren en de lijst met bekende veilige toepassingen te voorstellen. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
Logboekregistratie en detectie van bedreigingen
Zie de Microsoft-cloudbeveiligingsbenchmark: Logboekregistratie en detectie van bedreigingenvoor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
configuratierichtlijnen: Defender for Servers breidt de beveiliging uit naar uw Windows- en Linux-machines die worden uitgevoerd in Azure. Defender for Servers kan worden geïntegreerd met Microsoft Defender voor Eindpunt om eindpuntdetectie en -respons (EDR) te bieden en biedt ook een groot aantal extra functies voor beveiliging tegen bedreigingen, zoals beveiligingsbasislijnen en evaluaties op besturingssysteemniveau, scannen van beveiligingsproblemen, adaptieve toepassingsregelaars (AAC), FIM (File Integrity Monitoring) en meer.
Referentie: Plan de implementatie van Defender for Servers
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard heeft vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen een groot aantal aanvalsvectoren en gedrag blokkeren dat vaak wordt gebruikt bij malwareaanvallen, terwijl ondernemingen hun beveiligingsrisico's en productiviteitsvereisten (alleen Windows) kunnen verdelen. | AuditIfNotExists, Uitgeschakeld | 2.0.0 |
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogs
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar zijn eigen dataopslagruimte verzenden, zoals een opslagaccount of logboekanalyses-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Klant |
Configuratierichtlijnen: Azure Monitor begint automatisch metrische gegevens te verzamelen voor uw virtuele-machinehost wanneer u de virtuele machine maakt. Als u echter logboeken en prestatiegegevens wilt verzamelen van het gastbesturingssysteem van de virtuele machine, moet u de Azure Monitor-agent installeren. U kunt de agent installeren en verzameling configureren met behulp van VM-inzichten of door een regel voor gegevensverzameling te maken.
Reference: Log Analytics -agentoverzicht
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| [preview]: de agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center maakt gebruik van de Microsoft Dependency Agent om netwerkverkeersgegevens van uw virtuele Azure-machines te verzamelen om geavanceerde netwerkbeveiligingsfuncties mogelijk te maken, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, Uitgeschakeld | 1.0.2-preview |
Postuur- en beveiligingsproblemenbeheer
Zie de Microsoft-cloudbeveiligingsbenchmark: Postuur- en beveiligingsbeheervoor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Functies
Azure Automation Statusconfiguratie
Beschrijving: Azure Automation State Configuration kan worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onjuist | Klant |
Configuratierichtlijnen: Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden.
Referentie: een VM configureren met Desired State Configuration
Gastconfiguratieagent van Azure Policy
Beschrijving: Azure Policy-gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als een extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
functienotities: Azure Policy-gastconfiguratie wordt nu Azure Automanage Machine Configuration genoemd.
configuratierichtlijnen: Gebruik de gastconfiguratieagent van Microsoft Defender for Cloud en Azure Policy om configuratiedeviaties op uw Azure-rekenresources, waaronder VM's, containers en andere, regelmatig te beoordelen en op te lossen.
Referentie: Inzicht in de functie voor machineconfiguratie van Azure Automanage-
Aangepaste VM-installatiekopieën
Beschrijving: Service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: gebruik een vooraf geconfigureerde, verstevigde installatiekopie van een vertrouwde leverancier, zoals Microsoft, of bouw een gewenste beveiligde basisconfiguratie in het VM-sjabloon.
Naslaginformatie: zelfstudie: Windows VM-installatiekopieën maken met Azure PowerShell
PV-4: Veilige configuraties voor rekenresources controleren en afdwingen
Functies
Virtuele machine met vertrouwd opstartproces
Beschrijving: Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken door infrastructuurtechnologieën zoals beveiligd opstarten, vTPM en integriteitscontrole te combineren. Elke technologie biedt een andere verdedigingslaag tegen geavanceerde bedreigingen. Met vertrouwde start kunnen virtuele machines veilig worden geïmplementeerd met geverifieerde opstartladers, besturingssysteemkernels en stuurprogramma's, en worden sleutels, certificaten en geheimen veilig beveiligd op de virtuele machines. Vertrouwde start biedt ook inzichten en vertrouwen in de integriteit van de gehele opstartketen en zorgt ervoor dat workloads verifieerbaar en vertrouwd zijn. Vertrouwde start is geïntegreerd met Microsoft Defender for Cloud om ervoor te zorgen dat VM's correct zijn geconfigureerd door op afstand te bevestigen dat de VIRTUELE machine op een gezonde manier wordt opgestart. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Functienotitie: Trusted Launch is beschikbaar voor VM's van de tweede generatie. Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt een vertrouwde opstart niet inschakelen op bestaande virtuele machines die oorspronkelijk zonder deze zijn gemaakt.
configuratierichtlijnen: de vertrouwde start kan worden ingeschakeld tijdens de implementatie van de virtuele machine. Schakel alle drie in - Secure Boot, vTPM en integriteitsbewaking bij opstarten om het beste beveiligingsniveau voor de virtuele machine te garanderen. Houd er rekening mee dat er enkele vereisten zijn, waaronder het onboarden van uw abonnement op Microsoft Defender for Cloud, het toewijzen van bepaalde Azure Policy-initiatieven en het configureren van firewallbeleid.
Referentie: Een VIRTUELE machine implementeren met vertrouwde start ingeschakeld
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Functies
Evaluatie van beveiligingsproblemen met Microsoft Defender
Beschrijving: Service kan worden gescand op kwetsbaarheden met behulp van Microsoft Defender voor Cloud of andere ingesloten mogelijkheden voor kwetsbaarheidsevaluatie van Microsoft Defender-services (waaronder Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: volg aanbevelingen van Microsoft Defender for Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines.
Referentie: Plan uw implementatie van Defender for Servers
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines | Controleert virtuele machines om te detecteren of ze een ondersteunde oplossing voor evaluatie van beveiligingsproblemen uitvoeren. Een kernonderdeel van elk cyberrisico- en beveiligingsprogramma is de identificatie en analyse van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan Security Center dit hulpprogramma automatisch voor u implementeren. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines | Controleert virtuele machines om te detecteren of ze een ondersteunde oplossing voor evaluatie van beveiligingsproblemen uitvoeren. Een kernonderdeel van elk cyberrisico- en beveiligingsprogramma is de identificatie en analyse van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan Security Center dit hulpprogramma automatisch voor u implementeren. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
PV-6: Beveiligingsproblemen snel en automatisch herstellen
Functies
Azure Update Manager
Beschrijving: Service kan Azure Update Manager gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Klant |
configuratierichtlijnen: Gebruik Azure Update Manager om ervoor te zorgen dat de meest recente beveiligingsupdates zijn geïnstalleerd op uw Windows-VM's. Voor Windows-VM's moet u ervoor zorgen dat Windows Update is ingeschakeld en zo is ingesteld dat deze automatisch wordt bijgewerkt.
Referentie: Updates en patches voor uw VM's beheren
Azure Guest Patching Service
Beschrijving: Service kan Azure Guest Patching gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Services kunnen gebruikmaken van de verschillende updatemechanismen, zoals automatische upgrades van installatiekopieën van het besturingssysteem en automatische gastpatches. De mogelijkheden worden aanbevolen om de nieuwste beveiligingsupdates en essentiële updates toe te passen op het gastbesturingssystemen van uw virtuele machine door de principes voor veilige implementatie te volgen.
Met automatische gastpatching kunt u uw virtuele Azure-machines automatisch evalueren en bijwerken om de beveiligingscompatibiliteit te behouden met essentiële en beveiligingsupdates die elke maand worden uitgebracht. Updates worden toegepast tijdens daluren, met inbegrip van virtuele machines binnen een beschikbaarheidsset. Deze mogelijkheid is beschikbaar voor VMSS Flexible Orchestration, met toekomstige ondersteuning voor de roadmap voor Uniform Orchestration.
Als u een staatloze workload draait, zijn automatische OS-afbeeldingsupgrades ideaal om de nieuwste update voor uw VMSS Uniform te gebruiken. Met de mogelijkheid voor terugdraaien zijn deze updates compatibel met Marketplace of aangepaste afbeeldingen. Ondersteuning voor toekomstige doorlopende upgrades op de roadmap voor Flexibele Orchestratie.
Referentie: Automatische VM-gastpatching voor Virtuele Azure-machines
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| systeemupdates moeten worden geïnstalleerd op uw computers | Ontbrekende beveiligingsupdates op uw servers worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, Uitgeschakeld | 4.0.0 |
Ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| [preview]: systeemupdates moeten worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Er ontbreken systeem-, beveiligings- en essentiële updates op uw computers. Software-updates bevatten vaak kritieke patches voor beveiligingsgaten. Dergelijke gaten worden vaak misbruikt bij malwareaanvallen, dus het is essentieel om uw software bijgewerkt te houden. Als u alle openstaande patches wilt installeren en uw machines wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, Uitgeschakeld | 1.0.0-preview |
Eindpuntbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Eindpuntbeveiligingvoor meer informatie.
ES-1: Eindpuntdetectie en -respons gebruiken (EDR)
Functies
EDR-oplossing
Beschrijving: EDR-functie (Endpoint Detection and Response), zoals Azure Defender voor servers, kan worden geïmplementeerd in het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Azure Defender voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) biedt EDR-mogelijkheden om geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. Gebruik Microsoft Defender voor Cloud om Azure Defender voor servers voor uw eindpunt te implementeren en de waarschuwingen te integreren in uw SIEM-oplossing, zoals Azure Sentinel.
Referentie: de implementatie van Defender for Servers plannen
ES-2: Moderne antimalwaresoftware gebruiken
Functies
Antimalwareoplossing
Beschrijving: Antimalwarefuncties zoals Microsoft Defender Antivirus en Microsoft Defender voor Eindpunt kunnen op het eindpunt worden geïmplementeerd. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
Configuratierichtlijnen: Voor Windows Server 2016 en hoger is Microsoft Defender voor Antivirus standaard geïnstalleerd. Voor Windows Server 2012 R2 en hoger kunnen klanten SCEP (System Center Endpoint Protection) installeren. Klanten hebben ook de keuze om antimalwareproducten van derden te installeren.
Naslaginformatie: Defender for Endpoint-implementatie van Windows Server
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Gezondheidsproblemen met Endpoint Protection moeten op uw computers worden opgelost | Los gezondheidsproblemen met endpointbeveiliging op uw virtuele machines op om ze te beschermen tegen de meest recente bedreigingen en kwetsbaarheden. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Uitgeschakeld | 1.0.0 |
ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Gezondheidsproblemen met Endpoint Protection moeten op uw computers worden opgelost | Los gezondheidsproblemen met endpoint protection op uw virtuele machines op om ze te beschermen tegen de meest recente bedreigingen en kwetsbaarheden. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Uitgeschakeld | 1.0.0 |
ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt
Functies
Gezondheidsmonitoring van antimalware-oplossing
Beschrijving: Antimalwareoplossing biedt statuscontrole voor platform-, engine- en automatische handtekeningupdates. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| True | Vals | Klant |
functieopmerkingen: beveiligingsinformatie en productupdates zijn van toepassing op Defender voor Eindpunt die kunnen worden geïnstalleerd op de Windows-VM's.
configuratierichtlijnen: configureer uw antimalwareoplossing om ervoor te zorgen dat het platform, de engine en handtekeningen snel en consistent worden bijgewerkt en hun status kan worden bewaakt.
Microsoft Defender voor Cloud-bewaking
ingebouwde Azure Policy-definities - Microsoft.ClassicCompute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Gezondheidsproblemen met Endpoint Protection moeten op uw apparaten worden opgelost | Los gezondheidsproblemen met endpointbescherming op uw virtuele machines op om ze te beschermen tegen de meest recente bedreigingen en kwetsbaarheden. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Ingebouwde definities van Azure Policy - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Gezondheidsproblemen met Endpoint Protection dienen te worden opgelost op uw computers | Los gezondheidsproblemen met endpoint protection op uw virtuele machines op om ze te beschermen tegen de meest recente bedreigingen en kwetsbaarheden. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Endpoint Protection-evaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Back-up en herstel
Zie de Microsoft-cloudbeveiligingsbenchmark: Back-up en herstelvoor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Azure Backup
Beschrijving: De service kan worden geback-upt met de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Vals | Klant |
configuratierichtlijnen: Schakel Azure Backup in en configureer de back-upbron (zoals Azure Virtual Machines, SQL Server, HANA-databases of bestandsshares) op een gewenste frequentie en met een gewenste bewaarperiode. Voor virtuele Azure-machines kunt u Azure Policy gebruiken om automatische back-ups in te schakelen.
Naslaginformatie: Opties voor back-up en herstel voor virtuele machines in Azure
Microsoft Defender voor Cloud-bewaking
Ingebouwde Azure Policy-definities - Microsoft.Compute:
| Naam (Azure Portal) |
Beschrijving | Effect(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg voor beveiliging van uw virtuele Azure-machines door Azure Backup in te schakelen. Azure Backup is een veilige en rendabele oplossing voor gegevensbeveiliging voor Azure. | AuditIfNotExists, Uitgeschakeld | 3.0.0 |
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure-beveiligingsbasislijnen