Udostępnij za pośrednictwem


Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Resource Manager

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure Resource Manager. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące usługi Azure Resource Manager.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje, które nie mają zastosowania do Resource Manager platformy Azure, zostały wykluczone. Aby zobaczyć, jak usługa Azure Resource Manager całkowicie mapuje na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Azure Resource Manager.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure Resource Manager, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category MgMT/Governance
Klient może uzyskać dostęp do hosta/systemu operacyjnego Brak dostępu
Usługę można wdrożyć w sieci wirtualnej klienta Fałsz
Przechowuje zawartość klienta magazynowanych Fałsz

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Funkcje

Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych w celu ustanowienia prywatnego punktu dostępu do zarządzania zasobami w ramach głównej grupy zarządzania (dzierżawy).

Uwaga: zarządzanie zasobami Private Link można połączyć z prywatnym punktem końcowym, aby umożliwić bezpieczny, prywatny dostęp do zarządzania zasobami platformy Azure.

Dokumentacja: Tworzenie łącza prywatnego do zarządzania zasobami platformy Azure

Wyłączanie dostępu do sieci publicznej

Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: usługa Azure Resource Manager obsługuje łączność prywatną za pośrednictwem prywatnych punktów końcowych platformy Azure i zasobu Łącza prywatne zarządzania zasobami. Jednak możliwość wyłączenia dostępu do sieci publicznej nie jest jeszcze dostępna.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.

PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze

Funkcje

Skrytka klienta

Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Ochrona danych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Dane w szyfrowaniu tranzytowym

Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Migrowanie do protokołu TLS 1.2 dla usługi Azure Resource Manager

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu kluczy platformy

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.

AM-2: Używaj tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.

Dokumentacja: Azure Policy wbudowane definicje dla usługi Azure Resource Manager

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie możliwości wykrywania zagrożeń

Funkcje

Microsoft Defender dla usługi/oferty produktu

Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Microsoft Defender dla Resource Manager monitoruje operacje zarządzania zasobami w organizacji, niezależnie od tego, czy są wykonywane za pośrednictwem Azure Portal, interfejsów API REST platformy Azure, interfejsu wiersza polecenia platformy Azure lub innych klientów programistycznych platformy Azure. Usługa Defender for Cloud uruchamia zaawansowaną analizę zabezpieczeń w celu wykrywania zagrożeń i alertów o podejrzanych działaniach.

Dokumentacja: Omówienie Microsoft Defender dla Resource Manager

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Resources:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Usługa Azure Defender dla App Service powinna być włączona Usługa Azure Defender dla App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków w aplikacjach internetowych. AuditIfNotExists, Disabled 1.0.3

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Włączanie dzienników zasobów dla usługi Azure Resource Manager. Podczas tworzenia zasobów i zarządzania nimi na platformie Azure żądania są orkiestrowane za pośrednictwem płaszczyzny sterowania platformy Azure, usługi Azure Resource Manager. Dzięki rejestrowaniu zasobów można monitorować ilość i opóźnienia żądań płaszczyzny sterowania wysyłanych na platformę Azure. Za pomocą tych metryk można obserwować ruch i opóźnienia żądań płaszczyzny sterowania w ramach subskrypcji. Możesz na przykład ustalić, kiedy żądania zostały ograniczone lub zakończone niepowodzeniem, filtrując pod kątem określonych kodów stanu.

Dokumentacja: metryki usługi Azure Resource Manager w usłudze Azure Monitor

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnienie regularnych automatycznych kopii zapasowych

Funkcje

Natywne możliwości tworzenia kopii zapasowej usługi

Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: eksportowanie szablonu usługi Azure Resource Manager nie może służyć do przechwytywania danych magazynowanych. W przypadku konfiguracji zasobów zalecamy utworzenie infrastruktury na podstawie szablonów źródłowych, a w razie potrzeby ponowne wdrożenie z tego źródła prawdy. Eksportowanie szablonów może ułatwić uruchomienie tego procesu, ale nie jest wystarczająco niezawodne, aby uwzględnić odzyskiwanie po awarii.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Następne kroki