Punkt odniesienia zabezpieczeń platformy Azure dla Azure DevTest Labs
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Azure DevTest Labs. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Azure DevTest Labs.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do Azure DevTest Labs zostały wykluczone. Aby zobaczyć, jak Azure DevTest Labs całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń Azure DevTest Labs.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na Azure DevTest Labs, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | Obliczenia, narzędzia deweloperskie, integracja |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Pełny dostęp |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Fałsz |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Dokumentacja: Konfigurowanie sieci wirtualnej dla usługi DevTest Labs
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jej podsieciach. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i modułów równoważenia obciążenia platformy Azure.
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej przy użyciu reguły filtrowania listy ACL adresów IP na poziomie usługi lub przełącznika przełączania na potrzeby dostępu do sieci publicznej.
Dokumentacja: Tworzenie izolowanych w sieci laboratoriów DevTest Labs
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Azure DevTest Labs obsługuje tożsamości zarządzane dla zasobów platformy Azure, a także zarządzanie wpisami tajnymi za pośrednictwem magazynu kluczy. Usługa DevTest Labs może natywnie używać uwierzytelniania Azure AD dla usług i zasobów platformy Azure, które go obsługują. Jest to obsługiwane w witrynie Azure Portal przy użyciu zestawów SDK lub interfejsu API REST, gdy użytkownik wchodzi w interakcję lub tworzy laboratorium DevTest Lab lub dowolne zasoby obsługiwane w laboratorium.
Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.
Dokumentacja: interfejs API REST Azure DevTest Labs
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: domyślne uwierzytelnianie maszyn wirtualnych to uwierzytelnianie lokalne (RDP/SSH). Unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.
Im-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: chociaż nie udostępniamy płaszczyzny danych dla naszej usługi, nasze zasoby obsługują tożsamości zarządzane.
Wskazówki dotyczące konfiguracji: używaj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, gdy jest to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
Dokumentacja: Włączanie tożsamości zarządzanych przypisanych przez użytkownika na maszynach wirtualnych laboratorium w usłudze DevTest Labs
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: użytkownicy mogą konfigurować jednostki usługi samodzielnie, aby uzyskiwać dostęp do zasobów laboratorium.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i określ, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Im-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Azure DevTest Labs umożliwia użytkownikom zarządzanie maszynami wirtualnymi platformy Azure i wdrażanie ich we własnych subskrypcjach, a te maszyny wirtualne mogą w razie potrzeby obsługiwać dostęp warunkowy w zależności od scenariusza klienta.
Wskazówki dotyczące konfiguracji: Definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.
Im-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: wpisy tajne laboratorium DevTest Lab są bezpiecznie przechowywane w usłudze Azure Key Vault w subskrypcji klienta. Jest to używane przez naszą usługę do interakcji z dowolnymi zasobami platformy Azure w laboratorium.
Tożsamości zarządzane na maszynach wirtualnych laboratorium można również włączyć do uwierzytelniania w zasobach w kontekście laboratorium.
Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w plikach kodu lub konfiguracji.
Dokumentacja: Włączanie tożsamości zarządzanych przypisanych przez użytkownika na maszynach wirtualnych laboratorium w Azure DevTest Labs
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta Administracja lokalnych
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: użytkownicy maszyny laboratoryjnej mogą być lokalnymi Administracja maszyn wirtualnych.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Azure DevTest Labs zintegrowano obsługę kontroli dostępu opartej na rolach platformy Azure dla wszystkich naszych zasobów za pomocą wbudowanych ról.
Wskazówki dotyczące konfiguracji: Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure do zarządzania dostępem do zasobów platformy Azure za pomocą wbudowanych przypisań ról. Role RBAC platformy Azure można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.
Dokumentacja: Użytkownicy usługi DevTest Labs
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Zapobieganie wyciekom/utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie danych przesyłanych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Omówienie szyfrowania w scenariuszu przesyłania w usłudze DevTest Labs
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: w usłudze DevTest Labs wszystkie dyski systemu operacyjnego i dyski danych utworzone w ramach laboratorium są szyfrowane przy użyciu kluczy zarządzanych przez platformę.
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami na platformie Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub wycofania klucza lub naruszenia zabezpieczeń. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywołyszane za pomocą identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wskazówkami dotyczącymi początkowego generowania kluczy i transferu kluczy.
Dokumentacja: Przechowywanie wpisów tajnych w magazynie kluczy w Azure DevTest Labs
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Azure DevTest Labs umożliwia użytkownikom zarządzanie maszynami wirtualnymi platformy Azure i wdrażanie ich we własnych subskrypcjach, a te maszyny wirtualne mogą obsługiwać zarządzanie certyfikatami w usłudze Azure Key Vault w razie potrzeby, w zależności od scenariusza klienta.
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie, importowanie, rotację, odwoływanie, przechowywanie i przeczyszczanie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanymi standardami bez używania żadnych niezabezpieczonych właściwości, takich jak: niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i usłudze platformy Azure (jeśli jest obsługiwana) na podstawie zdefiniowanego harmonogramu lub wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji, upewnij się, że są one nadal obracane przy użyciu metod ręcznych w usłudze Azure Key Vault i aplikacji.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Zasady platformy Azure są obsługiwane i można je skonfigurować dla zasobów tworzonych przez usługę, ale nie ma jawnej konfiguracji zasad zabezpieczeń z naszej usługi.
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Usługa Azure Monitor umożliwia tworzenie alertów w przypadku wykrycia odchylenia konfiguracji w zasobach. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
AM-5: Używanie tylko zatwierdzonych aplikacji na maszynie wirtualnej
Funkcje
Microsoft Defender dla chmury — adaptacyjne kontrolki aplikacji
Opis: Usługa może ograniczyć aplikacje klienta uruchamiane na maszynie wirtualnej przy użyciu funkcji adaptacyjnego sterowania aplikacjami w usłudze Microsoft Defender for Cloud. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender do funkcji adaptacyjnego sterowania aplikacjami w chmurze, aby odnaleźć aplikacje uruchomione na maszynach wirtualnych i wygenerować listę dozwolonych aplikacji, aby określić, które zatwierdzone aplikacje mogą działać w środowisku maszyny wirtualnej.
Zarządzanie lukami w zabezpieczeniach i stanem
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.
PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych
Funkcje
Usługa State Configuration w usłudze Azure Automation
Opis: Azure Automation State Configuration można użyć do utrzymania konfiguracji zabezpieczeń systemu operacyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Użytkownicy nie mają dostępu do maszyny wirtualnej hosta usługi DevTest Labs, ale nasza usługa umożliwia użytkownikom zarządzanie i wdrażanie Virtual Machines platformy Azure we własnych subskrypcjach i usłudze DSC (Desired State Configuration) dotyczy tych maszyn.
Wskazówki dotyczące konfiguracji: użyj Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego.
agent konfiguracji gościa Azure Policy
Opis: Azure Policy agenta konfiguracji gościa można zainstalować lub wdrożyć jako rozszerzenie do zasobów obliczeniowych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Użytkownicy nie mają dostępu do maszyny wirtualnej hosta usługi DevTest Labs, ale nasza usługa umożliwia użytkownikom zarządzanie i wdrażanie usługi Azure Virtual Machines we własnych subskrypcjach oraz Azure Policy agent konfiguracji gościa ma zastosowanie do tych maszyn.
Wskazówki dotyczące konfiguracji: Użyj Microsoft Defender dla chmury i Azure Policy agenta konfiguracji gościa, aby regularnie oceniać i korygować odchylenia konfiguracji zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych.
Niestandardowe obrazy maszyn wirtualnych
Opis: Usługa obsługuje używanie obrazów maszyn wirtualnych dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z platformy Handlowej z określonymi konfiguracjami odniesienia wstępnie zastosowanymi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Konfigurowanie ustawień obrazu Azure Marketplace w Azure DevTest Labs
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
Funkcje
Ocena luk w zabezpieczeniach przy użyciu Microsoft Defender
Opis: Usługa może być skanowana pod kątem skanowania luk w zabezpieczeniach przy użyciu Microsoft Defender dla chmury lub innych usług Microsoft Defender osadzonej możliwości oceny luk w zabezpieczeniach (w tym Microsoft Defender serwera, rejestru kontenerów, App Service, SQL i DNS). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: podczas tworzenia laboratorium DevTest Labs mogą istnieć podstawowe zasoby obliczeniowe w ramach laboratorium. Istnieją narzędzia do oceny luk w zabezpieczeniach spoza naszej usługi, które mogą być używane w tych zasobach.
Wskazówki dotyczące konfiguracji: postępuj zgodnie z zaleceniami Microsoft Defender for Cloud w celu przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure, obrazach kontenerów i serwerach SQL.
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
Funkcje
Azure Automation — Update Management
Opis: Usługa może automatycznie wdrażać poprawki i aktualizacje za pomocą usługi Azure Automation Update Management. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Użytkownicy nie mają dostępu do maszyny wirtualnej hosta usługi DevTest Labs, ale nasza usługa umożliwia użytkownikom zarządzanie i wdrażanie Virtual Machines platformy Azure we własnych subskrypcjach, a usługa Automation Update Management może być zarządzana niezależnie dla tych maszyn.
Wskazówki dotyczące konfiguracji: użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Windows i Linux. W przypadku maszyn wirtualnych z systemem Windows upewnij się, że Windows Update została włączona i ustawiona na automatyczne aktualizowanie.
Zabezpieczenia punktu końcowego
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia punktu końcowego.
ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
Funkcje
Rozwiązanie chroniące przed złośliwym oprogramowaniem
Opis: Funkcja ochrony przed złośliwym oprogramowaniem, taka jak program antywirusowy Microsoft Defender, Ochrona punktu końcowego w usłudze Microsoft Defender można wdrożyć w punkcie końcowym. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Użytkownicy nie mają dostępu do maszyny wirtualnej hosta usługi DevTest Labs, ale nasza usługa umożliwia użytkownikom zarządzanie i wdrażanie usługi Azure Virtual Machines we własnych subskrypcjach i zdecydowanie zaleca się korzystanie z rozwiązania chroniącego przed złośliwym oprogramowaniem na tych maszynach.
Wskazówki dotyczące konfiguracji: w przypadku Windows Server 2016 i nowszych Microsoft Defender dla oprogramowania antywirusowego jest instalowana domyślnie. W przypadku systemu Windows Server 2012 R2 i nowszych klienci mogą zainstalować protokół SCEP (System Center Endpoint Protection). W przypadku systemu Linux klienci mogą wybrać opcję instalowania Microsoft Defender dla systemu Linux. Alternatywnie klienci mogą również instalować produkty chroniące przed złośliwym oprogramowaniem innych firm.
ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane
Funkcje
Monitorowanie kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem
Opis: Rozwiązanie chroniące przed złośliwym oprogramowaniem zapewnia monitorowanie stanu kondycji dla platformy, aparatu i automatycznych aktualizacji podpisów. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: użytkownicy nie mają dostępu do maszyny wirtualnej hosta usługi DevTest Labs, ale nasza usługa umożliwia użytkownikom zarządzanie i wdrażanie usługi Azure Virtual Machines we własnych subskrypcjach. Zdecydowanie zaleca się korzystanie z monitorowania kondycji rozwiązań chroniących przed złośliwym oprogramowaniem dla tych maszyn.
Wskazówki dotyczące konfiguracji: Skonfiguruj rozwiązanie chroniące przed złośliwym oprogramowaniem, aby zapewnić szybkie i spójne aktualizowanie platformy, aparatu i podpisów, a ich stan można monitorować.
Tworzenie i przywracanie kopii zapasowych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Azure DevTest Labs nie zapewniają jawnie obsługi Azure Backup, ale mogą być skonfigurowane przez klienta dla maszyn wirtualnych obliczeniowych wdrożonych przez naszą usługę.
Wskazówki dotyczące konfiguracji: włącz Azure Backup i skonfiguruj źródło kopii zapasowej (na przykład azure Virtual Machines, SQL Server, bazy danych HANA lub udziały plików) z żądaną częstotliwością i odpowiednim okresem przechowywania. W przypadku usługi Azure Virtual Machines można użyć Azure Policy w celu włączenia automatycznych kopii zapasowych.
Natywne możliwości tworzenia kopii zapasowej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.
| Obsługiwane | Domyślnie włączone | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.