Udostępnij za pośrednictwem


Punkt odniesienia zabezpieczeń platformy Azure dla Virtual Machines — Linux Virtual Machines

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do Virtual Machines — Linux Virtual Machines. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące Virtual Machines — Linux Virtual Machines.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje, które nie mają zastosowania do Virtual Machines — Virtual Machines systemu Linux zostały wykluczone. Aby dowiedzieć się, jak Virtual Machines — Linux Virtual Machines całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktów odniesienia zabezpieczeń Virtual Machines — Linux Virtual Machines.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na Virtual Machines — linux Virtual Machines, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category Compute
Klient może uzyskać dostęp do hosta/systemu operacyjnego Pełny dostęp
Usługę można wdrożyć w sieci wirtualnej klienta Prawda
Przechowuje zawartość klienta magazynowanych Prawda

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.

NS-1: Ustanawianie granic segmentacji sieci

Funkcje

Integracja sieci wirtualnej

Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: Sieci wirtualne i maszyny wirtualne na platformie Azure

Obsługa sieciowej grupy zabezpieczeń

Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj sieciowych grup zabezpieczeń, aby ograniczyć lub monitorować ruch przez port, protokół, źródłowy adres IP lub docelowy adres IP. Utwórz reguły sieciowej grupy zabezpieczeń, aby ograniczyć otwarte porty usługi (takie jak zapobieganie uzyskiwaniu dostępu do portów zarządzania z niezaufanych sieci). Należy pamiętać, że domyślnie sieciowe grupy zabezpieczeń odrzucają cały ruch przychodzący, ale zezwalają na ruch z sieci wirtualnej i usług Azure Load Balancers.

Podczas tworzenia maszyny wirtualnej platformy Azure należy utworzyć sieć wirtualną lub użyć istniejącej sieci wirtualnej i skonfigurować maszynę wirtualną z podsiecią. Upewnij się, że wszystkie wdrożone podsieci mają sieciową grupę zabezpieczeń zastosowaną z mechanizmami kontroli dostępu do sieci specyficznymi dla zaufanych portów i źródeł aplikacji.

Dokumentacja: Sieciowe grupy zabezpieczeń

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.ClassicCompute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną Azure Security Center zidentyfikował niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń, aby być zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Any" lub "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. AuditIfNotExists, Disabled 3.0.0

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu Azure Security Center analizuje wzorce ruchu maszyn wirtualnych mających połączenie z Internetem i udostępnia zalecenia dotyczące reguł sieciowej grupy zabezpieczeń, które zmniejszają potencjalną powierzchnię ataków AuditIfNotExists, Disabled 3.0.0

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Funkcje

Wyłączanie dostępu do sieci publicznej

Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: usługi, takie jak iptables lub zapory, mogą być instalowane w systemie operacyjnym Linux i zapewniają filtrowanie sieci w celu wyłączenia dostępu publicznego.

Zarządzanie tożsamościami

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zarządzanie tożsamościami.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Funkcje

Azure AD uwierzytelnianie wymagane do uzyskania dostępu do płaszczyzny danych

Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.

Dokumentacja: logowanie się do maszyny wirtualnej z systemem Linux na platformie Azure przy użyciu Azure AD i openSSH

Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych

Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: konto administratora lokalnego jest domyślnie tworzone podczas początkowego wdrażania maszyny wirtualnej. Unikaj użycia lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Funkcje

Tożsamości zarządzane

Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: tożsamość zarządzana jest tradycyjnie używana przez maszynę wirtualną z systemem Linux do uwierzytelniania w innych usługach. Jeśli maszyna wirtualna z systemem Linux obsługuje uwierzytelnianie Azure AD, tożsamość zarządzana może być obsługiwana.

Wskazówki dotyczące konfiguracji: użyj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, jeśli jest to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, unikając twardych poświadczeń w kodzie źródłowym lub plikach konfiguracji.

Jednostki usługi

Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: jednostki usługi mogą być używane przez aplikacje uruchomione na maszynie wirtualnej z systemem Linux.

Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Rozszerzenie Konfiguracji gościa maszyn wirtualnych należy wdrożyć przy użyciu przypisanej przez system tożsamości zarządzanej Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

IM-7: Ograniczanie dostępu do zasobów na podstawie warunków

Funkcje

Dostęp warunkowy dla płaszczyzny danych

Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: użyj Azure AD jako podstawowej platformy uwierzytelniania i urzędu certyfikacji do protokołu SSH na maszynie wirtualnej z systemem Linux przy użyciu uwierzytelniania opartego na certyfikatach Azure AD i OpenSSH. Ta funkcja umożliwia organizacjom zarządzanie dostępem do maszyn wirtualnych za pomocą kontroli dostępu opartej na rolach (RBAC) platformy Azure i zasad dostępu warunkowego.

Wskazówki dotyczące konfiguracji: definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.

Dokumentacja: logowanie się do maszyny wirtualnej z systemem Linux na platformie Azure przy użyciu Azure AD i openSSH

IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Funkcje

Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych na platformie Azure Key Vault

Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: w obrębie płaszczyzny danych lub systemu operacyjnego usługi mogą wywoływać usługę Azure Key Vault pod kątem poświadczeń lub wpisów tajnych.

Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak azure Key Vault, zamiast osadzania ich w plikach kodu lub konfiguracji.

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: dostęp uprzywilejowany.

PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników

Funkcje

Lokalne konta Administracja

Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: Unikaj używania lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Szybki start: tworzenie maszyny wirtualnej z systemem Linux w Azure Portal

PA-7: Przestrzegaj zasady wystarczającej liczby administracji (najniższych uprawnień)

Funkcje

Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych

Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: użyj Azure AD jako podstawowej platformy uwierzytelniania i urzędu certyfikacji do SSH na maszynie wirtualnej z systemem Linux przy użyciu uwierzytelniania opartego na certyfikatach Azure AD i OpenSSH. Ta funkcja umożliwia organizacjom zarządzanie dostępem do maszyn wirtualnych przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure i zasad dostępu warunkowego.

Wskazówki dotyczące konfiguracji: w przypadku kontroli dostępu opartej na rolach określ, kto może zalogować się do maszyny wirtualnej jako zwykły użytkownik lub z uprawnieniami administratora. Gdy użytkownicy dołączają do zespołu, możesz zaktualizować zasady kontroli dostępu opartej na rolach platformy Azure dla maszyny wirtualnej w celu udzielenia dostępu zgodnie z potrzebami. Gdy pracownicy opuszczają organizację, a ich konta użytkowników są wyłączone lub usuwane z Azure AD, nie mają już dostępu do Twoich zasobów.

Dokumentacja: logowanie się do maszyny wirtualnej z systemem Linux na platformie Azure przy użyciu Azure AD i protokołu OpenSSH

PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze

Funkcje

Skrytka klienta

Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: W scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do Twoich danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.

Ochrona danych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Funkcje

Odnajdywanie i klasyfikacja poufnych danych

Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

Funkcje

Zapobieganie wyciekom/utracie danych

Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Dane w szyfrowaniu tranzytowym

Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: Niektóre protokoły komunikacyjne, takie jak SSH, są domyślnie szyfrowane. Jednak inne usługi, takie jak HTTP, muszą być skonfigurowane do używania protokołu TLS do szyfrowania.

Wskazówki dotyczące konfiguracji: Włącz bezpieczny transfer w usługach, w których wbudowana jest funkcja natywnego szyfrowania danych przesyłanych. Wymuś protokół HTTPS dla dowolnych aplikacji internetowych i usług i upewnij się, że jest używany protokół TLS w wersji 1.2 lub nowszej. Starsze wersje, takie jak SSL 3.0, tls v1.0 powinny być wyłączone. W przypadku zdalnego zarządzania Virtual Machines należy użyć protokołu SSH (dla systemu Linux) lub RDP/TLS (dla systemu Windows) zamiast niezaszyfrowanego protokołu.

Dokumentacja: Szyfrowanie podczas przesyłania na maszynach wirtualnych

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji branżowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację przez sieć przez szyfrowanie połączenia między maszynami. AuditIfNotExists, Disabled 4.1.1

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu kluczy platformy

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: Domyślnie dyski zarządzane używają kluczy szyfrowania zarządzanych przez platformę. Wszystkie dyski zarządzane, migawki, obrazy i dane zapisywane na istniejących dyskach zarządzanych są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę.

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Szyfrowanie po stronie serwera usługi Azure Disk Storage — klucze zarządzane przez platformę

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.ClassicCompute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Maszyny wirtualne powinny szyfrować dyski tymczasowe, pamięci podręczne i przepływy danych między zasobami obliczeniowymi i magazynowymi Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę. Dyski tymczasowe, pamięci podręczne danych i dane przepływające między obliczeniami i magazynem nie są szyfrowane. Zignoruj to zalecenie, jeśli: 1. przy użyciu szyfrowania na hoście lub 2. Szyfrowanie po stronie serwera Dyski zarządzane spełnia wymagania dotyczące zabezpieczeń. Dowiedz się więcej w temacie: Szyfrowanie po stronie serwera usługi Azure Disk Storage: https://aka.ms/disksse, Różne oferty szyfrowania dysków: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. Domyślnie dyski systemu operacyjnego i danych maszyny wirtualnej są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski tymczasowe i pamięci podręczne danych nie są szyfrowane, a dane nie są szyfrowane podczas przepływu między zasobami obliczeniowymi i magazynowymi. Użyj usługi Azure Disk Encryption lub EncryptionAtHost, aby zaszyfrować wszystkie te dane. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0 —wersja zapoznawcza

DP-5: Użyj opcji klucza zarządzanego przez klienta w szyfrowaniu danych magazynowanych, jeśli jest to wymagane

Funkcje

Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: możesz zarządzać szyfrowaniem na poziomie każdego dysku zarządzanego przy użyciu własnych kluczy. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Klucze zarządzane przez klienta zapewniają większą elastyczność zarządzania kontrolą dostępu.

Wskazówki dotyczące konfiguracji: Jeśli jest to wymagane w celu zapewnienia zgodności z przepisami, zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.

Dyski wirtualne na Virtual Machines (VM) są szyfrowane w spoczynku przy użyciu szyfrowania po stronie serwera lub szyfrowania dysków platformy Azure (ADE). Usługa Azure Disk Encryption wykorzystuje funkcję DM-Crypt systemu Linux do szyfrowania dysków zarządzanych przy użyciu kluczy zarządzanych przez klienta na maszynie wirtualnej gościa. Szyfrowanie po stronie serwera przy użyciu kluczy zarządzanych przez klienta usprawnia usługę ADE, umożliwiając korzystanie z dowolnego typu systemu operacyjnego i obrazów dla maszyn wirtualnych przez szyfrowanie danych w usłudze Storage.

Dokumentacja: Szyfrowanie po stronie serwera usługi Azure Disk Storage — klucze zarządzane przez klienta

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

Funkcje

Zarządzanie kluczami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli konieczne jest użycie klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) z kluczem szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływają odwołania za pośrednictwem identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.

Dokumentacja: Tworzenie i konfigurowanie magazynu kluczy dla usługi Azure Disk Encryption

DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami

Funkcje

Zarządzanie certyfikatami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację usługi Azure Key Vault dla wszystkich certyfikatów klienta. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.

AM-2: Używaj tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Azure Policy można użyć do zdefiniowania żądanego zachowania dla maszyn wirtualnych z systemem Windows i maszyn wirtualnych z systemem Linux w organizacji. Korzystając z zasad, organizacja może wymuszać różne konwencje i reguły w całym przedsiębiorstwie oraz definiować i implementować standardowe konfiguracje zabezpieczeń dla usługi Azure Virtual Machines. Wymuszanie żądanego zachowania może pomóc ograniczyć ryzyko, przyczyniając się do sukcesu organizacji.

Dokumentacja: Azure Policy wbudowane definicje dla usługi Azure Virtual Machines

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.ClassicCompute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager Użyj nowej usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na Azure AD i obsługa tagów i grup zasobów w celu ułatwienia zabezpieczeń Zarządzania Inspekcja, Odmowa, Wyłączone 1.0.0

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager Użyj nowej usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na Azure AD i obsługa tagów i grup zasobów w celu ułatwienia zabezpieczeń Zarządzania Inspekcja, Odmowa, Wyłączone 1.0.0

AM-5: Używaj tylko zatwierdzonych aplikacji na maszynie wirtualnej

Funkcje

Microsoft Defender dla chmury — funkcje adaptacyjnego sterowania aplikacjami

Opis: Usługa może ograniczyć uruchamianie aplikacji klienta na maszynie wirtualnej przy użyciu funkcji adaptacyjnego sterowania aplikacjami w Microsoft Defender for Cloud. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Użyj Microsoft Defender do adaptacyjnego sterowania aplikacjami w chmurze, aby odnajdywać aplikacje uruchomione na maszynach wirtualnych i generować listę dozwolonych aplikacji, aby określić, które zatwierdzone aplikacje mogą być uruchamiane w środowisku maszyny wirtualnej.

Dokumentacja: używanie adaptacyjnych kontrolek aplikacji w celu zmniejszenia powierzchni ataków maszyn

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.ClassicCompute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i powiadamiać o uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na każdej maszynie i sugeruje listę znanych aplikacji bezpiecznych. AuditIfNotExists, Disabled 3.0.0

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji powinny być włączone na maszynach Włącz kontrolki aplikacji, aby zdefiniować listę znanych bezpiecznych aplikacji działających na maszynach i powiadamiać o uruchomieniu innych aplikacji. Pomaga to chronić maszyny przed złośliwym oprogramowaniem. Aby uprościć proces konfigurowania i utrzymywania reguł, usługa Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na każdej maszynie i sugeruje listę znanych aplikacji bezpiecznych. AuditIfNotExists, Disabled 3.0.0

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie możliwości wykrywania zagrożeń

Funkcje

Microsoft Defender dla usługi/oferty produktu

Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Usługa Defender dla serwerów rozszerza ochronę maszyn z systemem Windows i Linux działających na platformie Azure. Usługa Defender for Servers integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender w celu zapewnienia wykrywania i reagowania na punkty końcowe (EDR), a także udostępnia wiele dodatkowych funkcji ochrony przed zagrożeniami, takich jak punkty odniesienia zabezpieczeń i oceny na poziomie systemu operacyjnego, skanowanie oceny luk w zabezpieczeniach, adaptacyjne mechanizmy kontroli aplikacji (AAC), monitorowanie integralności plików (FIM) i nie tylko.

Informacje ogólne: Planowanie wdrożenia usługi Defender dla serwerów

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Windows Defender Exploit Guard powinna być włączona na maszynach Windows Defender Exploit Guard używa agenta konfiguracji gościa Azure Policy. Funkcja Exploit Guard ma cztery składniki, które zostały zaprojektowane do blokowania urządzeń przed różnymi wektorami ataków i zachowaniami blokowania często używanymi w atakach złośliwego oprogramowania, umożliwiając przedsiębiorstwom równoważenie ryzyka bezpieczeństwa i wymagań dotyczących produktywności (tylko system Windows). AuditIfNotExists, Disabled 2.0.0

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: usługa Azure Monitor uruchamia automatyczne zbieranie danych metryk dla hosta maszyny wirtualnej podczas tworzenia maszyny wirtualnej. Aby zebrać dzienniki i dane wydajności z systemu operacyjnego gościa maszyny wirtualnej, należy jednak zainstalować agenta usługi Azure Monitor. Agenta można zainstalować i skonfigurować zbieranie przy użyciu szczegółowych informacji o maszynie wirtualnej lub tworząc regułę zbierania danych .

Dokumentacja: Omówienie agenta usługi Log Analytics

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux Usługa Security Center używa agenta Zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2 —wersja zapoznawcza

Zarządzanie lukami w zabezpieczeniach i stanem

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: stan i zarządzanie lukami w zabezpieczeniach.

PV-3: Definiowanie i ustanawianie bezpiecznych konfiguracji dla zasobów obliczeniowych

Funkcje

Usługa State Configuration w usłudze Azure Automation

Opis: Azure Automation State Configuration można użyć do utrzymania konfiguracji zabezpieczeń systemu operacyjnego. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj Azure Automation State Configuration, aby zachować konfigurację zabezpieczeń systemu operacyjnego.

Dokumentacja: Konfigurowanie maszyny wirtualnej przy użyciu Desired State Configuration

Agent konfiguracji gościa Azure Policy

Opis: Azure Policy agenta konfiguracji gościa można zainstalować lub wdrożyć jako rozszerzenie do zasobów obliczeniowych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: Azure Policy Konfiguracja gościa jest teraz nazywana konfiguracją maszyny azure Automanage.

Wskazówki dotyczące konfiguracji: Użyj Microsoft Defender dla agenta konfiguracji chmury i Azure Policy gościa, aby regularnie oceniać i korygować odchylenia konfiguracji zasobów obliczeniowych platformy Azure, w tym maszyn wirtualnych, kontenerów i innych.

Dokumentacja: Omówienie funkcji konfiguracji maszyny w usłudze Azure Automanage

Niestandardowe obrazy maszyn wirtualnych

Opis: Usługa obsługuje korzystanie z obrazów maszyn wirtualnych dostarczonych przez użytkownika lub wstępnie utworzonych obrazów z platformy handlowej z niektórymi wstępnie zastosowanymi konfiguracjami odniesienia. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj wstępnie skonfigurowanego obrazu ze wzmocnionym zabezpieczeniami od zaufanego dostawcy, takiego jak firma Microsoft, lub utwórz żądaną bezpieczną konfigurację odniesienia do szablonu obrazu maszyny wirtualnej.

Dokumentacja: Samouczek: tworzenie niestandardowego obrazu maszyny wirtualnej platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure

PV-4: Inspekcja i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych

Funkcje

Zaufane uruchamianie maszyny wirtualnej

Opis: Trusted Launch chroni przed zaawansowanymi i trwałymi technikami ataków, łącząc technologie infrastruktury, takie jak bezpieczny rozruch, vTPM i monitorowanie integralności. Każda technologia zapewnia kolejną warstwę obrony przed zaawansowanymi zagrożeniami. Zaufane uruchamianie umożliwia bezpieczne wdrażanie maszyn wirtualnych za pomocą zweryfikowanych modułów ładujących rozruchu, jąder systemu operacyjnego i sterowników oraz bezpieczne zabezpiecza klucze, certyfikaty i wpisy tajne na maszynach wirtualnych. Zaufane uruchamianie zapewnia również szczegółowe informacje i pewność integralności całego łańcucha rozruchu oraz zapewnia, że obciążenia są zaufane i weryfikowalne. Zaufane uruchamianie jest zintegrowane z Microsoft Defender dla chmury, aby upewnić się, że maszyny wirtualne są prawidłowo skonfigurowane, przez zdalne zaświadczanie maszyny wirtualnej jest uruchamiane w dobrej kondycji. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwaga dotycząca funkcji: Zaufane uruchamianie jest dostępne dla maszyn wirtualnych 2. generacji. Zaufane uruchamianie wymaga utworzenia nowych maszyn wirtualnych. Nie można włączyć zaufanego uruchamiania na istniejących maszynach wirtualnych, które zostały początkowo utworzone bez niego.

Wskazówki dotyczące konfiguracji: zaufane uruchamianie może być włączone podczas wdrażania maszyny wirtualnej. Włącz wszystkie trzy — bezpieczny rozruch, vTPM i monitorowanie rozruchu integralności, aby zapewnić najlepszy stan zabezpieczeń dla maszyny wirtualnej. Należy pamiętać, że istnieje kilka wymagań wstępnych, w tym dołączanie subskrypcji do Microsoft Defender dla chmury, przypisywanie niektórych inicjatyw Azure Policy i konfigurowanie zasad zapory.

Dokumentacja: Wdrażanie maszyny wirtualnej z włączonym zaufanym uruchamianiem

PV-5: Przeprowadzanie ocen luk w zabezpieczeniach

Funkcje

Ocena luk w zabezpieczeniach przy użyciu Microsoft Defender

Opis: Usługę można skanować pod kątem skanowania pod kątem luk w zabezpieczeniach przy użyciu Microsoft Defender w chmurze lub innych usług Microsoft Defender wbudowanych funkcji oceny luk w zabezpieczeniach (w tym Microsoft Defender serwera, rejestru kontenerów, App Service, SQL i DNS). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: postępuj zgodnie z zaleceniami z Microsoft Defender for Cloud w celu przeprowadzania ocen luk w zabezpieczeniach na maszynach wirtualnych platformy Azure.

Informacje ogólne: Planowanie wdrożenia usługi Defender dla serwerów

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.ClassicCompute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są uruchomione obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym elementem każdego programu związanego z ryzykiem cybernetycznym i bezpieczeństwem jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa Azure Security Center obejmuje skanowanie w zabezpieczeniach maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. AuditIfNotExists, Disabled 3.0.0

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są uruchomione obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym elementem każdego programu związanego z ryzykiem cybernetycznym i bezpieczeństwem jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa Azure Security Center obejmuje skanowanie w zabezpieczeniach maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. AuditIfNotExists, Disabled 3.0.0

PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach

Funkcje

Azure Automation — Update Management

Opis: Usługa może automatycznie wdrażać poprawki i aktualizacje za pomocą usługi Azure Automation Update Management. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: użyj rozwiązania Azure Automation Update Management lub rozwiązania innej firmy, aby upewnić się, że najnowsze aktualizacje zabezpieczeń są zainstalowane na maszynach wirtualnych z systemem Linux.

Dokumentacja: Zarządzanie aktualizacjami i poprawkami dla maszyn wirtualnych

Usługa stosowania poprawek gościa platformy Azure

Opis: Usługa może używać stosowania poprawek gościa platformy Azure do automatycznego wdrażania poprawek i aktualizacji. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Usługi mogą korzystać z różnych mechanizmów aktualizacji, takich jak automatyczne uaktualnienia obrazów systemu operacyjnego i automatyczne stosowanie poprawek gościa. Zaleca się stosowanie najnowszych aktualizacji zabezpieczeń i krytycznych do systemu operacyjnego gościa maszyny wirtualnej, postępując zgodnie z zasadami bezpiecznego wdrażania.

Automatyczne stosowanie poprawek gościa umożliwia automatyczną ocenę i aktualizację maszyn wirtualnych platformy Azure w celu zachowania zgodności z zabezpieczeniami przy użyciu aktualizacji krytycznych i zabezpieczeń wydanych każdego miesiąca. Aktualizacje są stosowane poza godzinami szczytu, w tym maszyny wirtualne w zestawie dostępności. Ta funkcja jest dostępna dla elastycznej orkiestracji zestawu skalowania maszyn wirtualnych z obsługą w przyszłości w harmonogramie działania dla ujednoliconej orkiestracji.

Jeśli uruchamiasz bezstanowe obciążenie, uaktualnienia obrazów automatycznego systemu operacyjnego są idealne do zastosowania najnowszej aktualizacji dla munduru zestawu skalowania maszyn wirtualnych. Dzięki możliwości wycofywania te aktualizacje są zgodne z witryną Marketplace lub obrazami niestandardowymi. Obsługa przyszłego uaktualnienia stopniowego w harmonogramie działania dla elastycznej orkiestracji.

Dokumentacja: Automatyczne stosowanie poprawek gościa maszyny wirtualnej dla maszyn wirtualnych platformy Azure

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.ClassicCompute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Należy zainstalować aktualizacje systemu na maszynach Brakujące aktualizacje systemu zabezpieczeń na serwerach będą monitorowane przez Azure Security Center jako zalecenia AuditIfNotExists, Disabled 4.0.0

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) Na maszynach brakuje aktualizacji systemowych, zabezpieczeń i krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie dziury są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. AuditIfNotExists, Disabled 1.0.0—wersja zapoznawcza

Zabezpieczenia punktu końcowego

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia punktu końcowego.

ES-1: Używanie wykrywania i reagowania punktów końcowych (EDR)

Funkcje

Rozwiązanie EDR

Opis: Funkcja wykrywania i reagowania punktu końcowego (EDR), taka jak usługa Azure Defender dla serwerów, można wdrożyć w punkcie końcowym. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: usługa Azure Defender dla serwerów (z zintegrowaną usługą Ochrona punktu końcowego w usłudze Microsoft Defender) zapewnia możliwość EDR zapobiegania zaawansowanym zagrożeniom, wykrywania, badania i reagowania na nie. Użyj Microsoft Defender for Cloud, aby wdrożyć usługę Azure Defender dla serwerów dla punktu końcowego i zintegrować alerty z rozwiązaniem SIEM, takim jak Usługa Azure Sentinel.

Informacje ogólne: Planowanie wdrożenia usługi Defender dla serwerów

ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem

Funkcje

Rozwiązanie chroniące przed złośliwym oprogramowaniem

Opis: Funkcja ochrony przed złośliwym oprogramowaniem, taka jak program antywirusowy Microsoft Defender, Ochrona punktu końcowego w usłudze Microsoft Defender można wdrożyć w punkcie końcowym. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: w przypadku systemu Linux klienci mogą wybrać opcję instalowania Ochrona punktu końcowego w usłudze Microsoft Defender dla systemu Linux. Alternatywnie klienci mogą również instalować produkty chroniące przed złośliwym oprogramowaniem innych firm.

Dokumentacja: Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.ClassicCompute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center obsługiwane rozwiązania ochrony punktu końcowego są udokumentowane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center obsługiwane rozwiązania ochrony punktu końcowego są udokumentowane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

ES-3: Upewnij się, że oprogramowanie i podpisy chroniące przed złośliwym oprogramowaniem są aktualizowane

Funkcje

Monitorowanie kondycji rozwiązania chroniącego przed złośliwym oprogramowaniem

Opis: Rozwiązanie chroniące przed złośliwym oprogramowaniem zapewnia monitorowanie stanu kondycji dla platformy, aparatu i automatycznych aktualizacji podpisów. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: Informacje o zabezpieczeniach i aktualizacje produktów dotyczą usługi Defender dla punktu końcowego, które można zainstalować na maszynach wirtualnych z systemem Linux.

Wskazówki dotyczące konfiguracji: skonfiguruj rozwiązanie chroniące przed złośliwym oprogramowaniem, aby zapewnić szybkie i spójne aktualizowanie platformy, aparatu i podpisów, a ich stan można monitorować.

Microsoft Defender do monitorowania chmury

Azure Policy wbudowane definicje — Microsoft.ClassicCompute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center obsługiwane rozwiązania ochrony punktu końcowego są udokumentowane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Azure Policy wbudowane definicje — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Problemy z kondycją programu Endpoint Protection należy rozwiązać na maszynach Rozwiąż problemy z kondycją ochrony punktu końcowego na maszynach wirtualnych, aby chronić je przed najnowszymi zagrożeniami i lukami w zabezpieczeniach. Azure Security Center obsługiwane rozwiązania ochrony punktu końcowego są udokumentowane tutaj — https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Ocena programu Endpoint Protection jest udokumentowana tutaj — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnianie regularnych automatycznych kopii zapasowych

Funkcje

Azure Backup

Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: włącz Azure Backup i docelową usługę Azure Virtual Machines (VM), a także żądaną częstotliwość i okresy przechowywania. Obejmuje to kompletną kopię zapasową stanu systemu. Jeśli używasz usługi Azure Disk Encryption, kopia zapasowa maszyny wirtualnej platformy Azure automatycznie obsługuje kopię zapasową kluczy zarządzanych przez klienta. W przypadku usługi Azure Virtual Machines można użyć Azure Policy do włączenia automatycznych kopii zapasowych.

Dokumentacja: Opcje tworzenia i przywracania kopii zapasowych maszyn wirtualnych na platformie Azure

Microsoft Defender do monitorowania chmury

Azure Policy wbudowanych definicji — Microsoft.Compute:

Nazwa
(Azure Portal)
Opis Efekty Wersja
(GitHub)
Azure Backup należy włączyć dla Virtual Machines Zapewnij ochronę Virtual Machines platformy Azure, włączając Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. AuditIfNotExists, Disabled 3.0.0

Następne kroki