Базовые показатели системы безопасности Azure для Масштабируемых наборов виртуальных машин
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Масштабируемые наборы виртуальных машин. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в microsoft cloud security benchmark и в соответствующем руководстве, применимом к Масштабируемые наборы виртуальных машин.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции, неприменимые к Масштабируемые наборы виртуальных машин, были исключены. Чтобы узнать, как Масштабируемые наборы виртуальных машин полностью сопоставляется с тестом производительности облачной безопасности Майкрософт, см. полный файл сопоставления базовых показателей безопасности Масштабируемые наборы виртуальных машин.
Профиль безопасности
Профиль безопасности обобщает поведение Масштабируемые наборы виртуальных машин с высокой степенью влияния, что может привести к повышению уровня безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продуктов | Вычисления |
| Клиент может получить доступ к HOST/ОС | Полный доступ |
| Служба может быть развернута в виртуальной сети клиента | True |
| Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Виртуальные сети и виртуальные машины в Azure
Поддержка групп безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в своих подсетях. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте группы безопасности сети (NSG) для ограничения или отслеживания трафика по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Имейте в виду, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
При создании виртуальной машины Azure необходимо создать виртуальную сеть или использовать существующую виртуальную сеть и настроить виртуальную машину с подсетью. Убедитесь, что все развернутые подсети содержат группу безопасности сети, к которой относятся элементы управления доступом к сети, относящиеся к доверенным портам и источникам приложений.
Справочник. Группы безопасности сети
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
NS-2: защита облачных служб с помощью элементов управления сетью
Компоненты
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списка ACL IP-адресов на уровне службы (не NSG или Брандмауэр Azure) или с помощью переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о компонентах. Службы, установленные вместе с операционной системой, можно использовать для обеспечения фильтрации сети для отключенного доступа к общедоступной сети.
Руководство по настройке. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей. Управляемое удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает проверку подлинности Azure AD, включая Key Vault, при этом не сохраняя каких-либо учетных данных в коде. Затем ваш код, который выполняется на виртуальной машине, может использовать управляемое удостоверение для запроса на получение маркеров доступа для служб, которые поддерживают проверку подлинности AAD.
Справочник. Реализация Azure AD соединения
Методы локальной проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. По возможности используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Справочник. Управляемые удостоверения для ресурсов Azure
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Субъекты-службы могут использоваться приложениями, работающими в Масштабируемые наборы виртуальных машин.
Руководство по настройке. Нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хочет ли ваша организация настроить эту функцию безопасности.
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. См. дополнительные сведения: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
IM-8: ограничение раскрытия учетных данных и секретов
Компоненты
Поддержка интеграции учетных данных и секретов службы и хранилища в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. В плоскости данных или операционной системе службы могут вызывать Key Vault Azure для учетных данных или секретов.
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, а не встраивают их в файлы кода или конфигурации.
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Компоненты
Локальные учетные записи Администратор
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей. По возможности их следует отключить. Вместо этого используйте Azure AD для проверки подлинности, где это возможно.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справка. Создание виртуальных машин в масштабируемом наборе с помощью портал Azure
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям плоскости данных службы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте управление доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Роли Azure RBAC можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям.
Справочник. Встроенная роль для участника виртуальной машины
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. В сценариях поддержки, в которых корпорации Майкрософт требуется доступ к вашим данным, используйте защищенное хранилище для проверки, а затем утверждения или отклонения каждого запроса на доступ к данным корпорации Майкрософт.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Компоненты
Обнаружение и классификация конфиденциальных данных
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Шифрование данных при передаче
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях. Некоторые протоколы связи, такие как SSH, шифруются по умолчанию. Однако такие службы, как RDP или HTTP, должны быть настроены на использование TLS для шифрования.
Руководство по настройке. Включите безопасную передачу в службах, где есть встроенная функция шифрования данных при передаче. Примените протокол HTTPS для любых веб-приложений и служб и убедитесь, что используется ПРОТОКОЛ TLS версии 1.2 или более поздней. Устаревшие версии, такие как SSL 3.0, TLS версии 1.0, должны быть отключены. Для удаленного управления Виртуальные машины вместо незашифрованного протокола используйте SSH (для Linux) или RDP/TLS (для Windows).
Справка. Шифрование при передаче на виртуальных машинах
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Для защиты конфиденциальности информации, передаваемых через Интернет, компьютеры должны использовать последнюю версию стандартного отраслевого криптографического протокола TLS. ПРОТОКОЛ TLS защищает обмен данными по сети, шифруя подключение между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых Корпорацией Майкрософт. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. В дополнение к стандартному шифрованию с помощью ключей, управляемых платформой, клиенты с высоким уровнем безопасности, которые обеспокоены риском, связанным с определенным алгоритмом шифрования, реализацией или скомпрометацией ключа, теперь могут выбрать дополнительный уровень шифрования с использованием другого алгоритма или режима шифрования на уровне инфраструктуры с использованием ключей шифрования, управляемых платформой, и ключей, управляемых клиентом. Этот новый слой можно применить к сохраненным дискам ОС и дискам данных, моментальным снимкам и образам. В этом случае любой из этих объектов будет шифроваться при хранении с помощью двойного шифрования.
Дополнительные сведения см. в статье Двойное шифрование неактивных данных.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Шифрование дисков Azure для Масштабируемые наборы виртуальных машин
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Виртуальные машины Linux должны включить шифрование дисков Azure или EncryptionAtHost. | По умолчанию диски операционной системы и данных виртуальной машины шифруются при хранении с помощью ключей, управляемых платформой; Временные диски и кэши данных не шифруются, а данные не шифруются при прохождении между вычислительными ресурсами и ресурсами хранилища. Используйте шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Посетите страницу https://aka.ms/diskencryptioncomparison , чтобы сравнить предложения шифрования. Эта политика требует развертывания двух необходимых компонентов в область назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 (предварительная версия) |
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью управляемых клиентом ключей поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Если это необходимо для соответствия нормативным требованиям, определите вариант использования и область службы, в которых требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом, для этих служб.
Виртуальные диски на Виртуальные машины шифруются при хранении с помощью шифрования на стороне сервера или шифрования дисков Azure (ADE). Шифрование дисков Azure использует функцию DM-Crypt в Linux для шифрования управляемых дисков с помощью управляемых клиентом ключей в гостевой виртуальной машине. Шифрование на стороне сервера с использованием управляемых клиентом ключей улучшает работу шифрования дисков Azure, позволяя использовать любые типы ОС и образы для виртуальных машин путем шифрования данных в службе хранилища.
Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Ключи CMK обеспечивают большую гибкость при администрировании операций управления доступом. Для хранения ключей, управляемых клиентом, необходимо использовать Azure Key Vault или Azure Key Vault управляемый аппаратный модуль безопасности (HSM).
Вы можете либо импортировать свои ключи RSA в Key Vault, либо создать новые ключи RSA в Azure Key Vault. Управляемые диски Azure обрабатывают шифрование и расшифровку полностью прозрачным образом с помощью метода шифрования конвертов. Он шифрует данные с помощью ключа шифрования данных (DEK) на основе AES 256, который, в свою очередь, защищен с помощью ваших ключей. Служба хранилища создает ключи шифрования данных и шифрует их с помощью управляемых клиентом ключей, используя шифрование RSA. Шифрование конверта позволяет периодически менять ключи в соответствии с политиками соответствия, не влияя на виртуальные машины. При смене ключей служба хранилища повторно шифрует ключи шифрования данных с помощью новых ключей, управляемых клиентом.
Управляемые диски и Key Vault или управляемый модуль HSM должны быть расположены в одном регионе Azure, но могут находиться в разных подписках. Они также должны находиться в одном клиенте Azure Active Directory (Azure AD), если вы не шифруете управляемые диски с помощью ключей, управляемых клиентом.
Справочник. Создание и настройка хранилища ключей для шифрования дисков Azure
DP-6: безопасное управление ключами
Компоненты
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию azure Key Vault для любых ключей, секретов или сертификатов клиента. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание, распространение и хранение ключей. Смена и отзыв ключей в Azure Key Vault и службе по определенному расписанию или при прекращении использования или компрометации ключа. Если необходимо использовать управляемый клиентом ключ (CMK) на уровне рабочей нагрузки, службы или приложения, убедитесь, что вы следуете рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются на них через идентификаторы ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импортировать ключи, защищенные устройством HSM, из локальных устройств HSM в Azure Key Vault), следуйте рекомендациям по первоначальному созданию и передаче ключей.
Справочник. Создание и настройка хранилища ключей для шифрования дисков Azure
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Политика Azure можно использовать для определения требуемого поведения для виртуальных машин Windows и Linux в вашей организации. С помощью политик организация может применять различные соглашения и правила на предприятии, а также определять и реализовывать стандартные конфигурации безопасности для azure Масштабируемые наборы виртуальных машин. Обязательные для выполнения стандарты поведения помогают снизить риск, что способствует успешной деятельности организации.
Справочник. Встроенные определения Политика Azure для Масштабируемые наборы виртуальных машин
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
AM-5: использование только утвержденных приложений на виртуальной машине
Компоненты
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облачных адаптивных элементов управления приложениями, чтобы обнаруживать приложения, работающие на виртуальных машинах, и создавать список разрешений приложений, чтобы указать, какие утвержденные приложения могут выполняться в среде виртуальной машины.
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для услуг и предложений продуктов
Описание. В службе есть специальное решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Defender для серверов расширяет защиту компьютеров Windows и Linux, работающих в Azure. Defender для серверов интегрируется с Microsoft Defender для конечной точки для обеспечения обнаружения конечных точек и реагирования (EDR), а также предоставляет множество дополнительных функций защиты от угроз, таких как базовые показатели безопасности и оценки на уровне ОС, сканирование оценки уязвимостей, адаптивные элементы управления приложениями (AAC), мониторинг целостности файлов (FIM) и многое другое.
Справочник. Обзор Microsoft Defender для серверов
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Azure Monitor запускает автоматический сбор данных метрик для узла виртуальной машины при создании виртуальной машины. Однако для сбора журналов и данных о производительности из гостевой операционной системы виртуальной машины необходимо установить агент Azure Monitor. Вы можете установить агент и настроить коллекцию с помощью аналитики виртуальных машин или путем создания правила сбора данных.
Справочник. Обзор агента Log Analytics
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление состоянием и уязвимостями.
PV-3: определение и задание безопасных конфигураций вычислительных ресурсов
Компоненты
Служба автоматизации Azure — State Configuration
Описание: служба автоматизации Azure State Configuration можно использовать для поддержания конфигурации безопасности операционной системы. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте служба автоматизации Azure State Configuration для поддержания конфигурации безопасности операционной системы. служба автоматизации Azure State Configuration — это служба управления конфигурацией Azure, которая позволяет создавать, администрировать и компилировать конфигурации PowerShell Desired State Configuration (DSC) для узлов.
Служба State Configuration службы автоматизации Azure предоставляет ряд преимуществ по сравнению с использованием DSC за пределами Azure. Она обеспечивает быструю и простую масштабируемость тысяч компьютеров из безопасного центрального расположения. Вы можете легко переносить компьютеры в облачную среду, присваивать им декларативные конфигурации, а также просматривать отчеты, отражающие соответствие каждого компьютера требуемому состоянию.
Справка. Использование Масштабируемые наборы виртуальных машин с расширением Azure DSC
агент гостевой конфигурации Политика Azure
Описание: Политика Azure агента гостевой конфигурации можно установить или развернуть в качестве расширения для вычислительных ресурсов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте Microsoft Defender для облака и агента гостевой конфигурации Политика Azure для регулярной оценки и исправления отклонений конфигурации на виртуальных машинах.
Справочник. Общие сведения о функции гостевой конфигурации Политика Azure
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование пользовательских образов виртуальных машин или готовых образов из Marketplace с предварительно примененными определенными базовыми конфигурациями. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемый базовый план безопасной конфигурации в шаблоне образа виртуальной машины.
PV-4: проведение аудита и реализация безопасных конфигураций вычислительных ресурсов
Компоненты
Виртуальная машина доверенного запуска
Описание. Доверенный запуск защищает от сложных и постоянных атак, объединяя такие технологии инфраструктуры, как безопасная загрузка, vTPM и мониторинг целостности. Каждая технология обеспечивает следующий уровень защиты от сложных угроз. Доверенный запуск обеспечивает безопасное развертывание виртуальных машин с проверенными загрузчиками, ядрами ОС и драйверами, а также обеспечивает безопасную защиту ключей, сертификатов и секретов на виртуальных машинах. Доверенный запуск также предоставляет аналитические сведения и уверения в целостности всей цепочки загрузки, а также гарантирует, что рабочие нагрузки являются доверенными и проверяемыми. Доверенный запуск интегрирован с Microsoft Defender для облака, чтобы обеспечить правильную настройку виртуальных машин путем удаленной проверки работоспособности виртуальной машины. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Примечание к функции. Доверенный запуск доступен для виртуальных машин 2-го поколения. Для доверенного запуска требуется создание новых виртуальных машин. Доверенный запуск невозможно активировать на существующих виртуальных машинах, которые изначально были созданы без него.
Руководство по настройке. Доверенный запуск может быть включен во время развертывания виртуальной машины. Включите все три параметра— безопасную загрузку, vTPM и мониторинг целостности загрузки, чтобы обеспечить оптимальную безопасность виртуальной машины. Обратите внимание, что существует несколько предварительных требований, включая подключение подписки к Microsoft Defender для облака, назначение определенных Политика Azure инициатив и настройку политик брандмауэра.
Справочник. Развертывание виртуальной машины с включенным доверенным запуском
PV-5: выполнение оценок уязвимостей
Компоненты
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может проверяться на наличие уязвимостей с помощью Microsoft Defender для облака или других встроенных возможностей оценки уязвимостей служб Microsoft Defender (включая Microsoft Defender для сервера, реестра контейнеров, Служба приложений, SQL и DNS). Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по конфигурации. Следуйте рекомендациям Microsoft Defender для облака для оценки уязвимостей на виртуальных машинах Azure.
Справочник. Обзор Microsoft Defender для серверов
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
PV-6: быстрое и автоматическое исправление уязвимостей
Компоненты
Управление обновлениями в службе автоматизации Azure
Описание. Служба может использовать управление обновлениями служба автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| Неверно | Н/Д | Н/Д |
Заметки о функциях. Корпорация Майкрософт предлагает другие возможности, которые помогут вам управлять обновлениями для виртуальных машин Azure или масштабируемых наборов виртуальных машин Azure, которые следует учитывать в рамках общей стратегии управления обновлениями.
Если вы заинтересованы в автоматической оценке и обновлении виртуальных машин Azure для обеспечения соответствия требованиям безопасности за счет установки критически важных обновлений и обновлений системы безопасности, которые выпускаются ежемесячно, см. статью Автоматизация исправлений гостевой виртуальной машин. Это альтернативное решение по управлению обновлениями для виртуальных машин Azure, включая виртуальные машины в группе доступности, которое позволяет автоматически обновлять их в нерабочее время, а не управлять развертыванием обновлений на этих виртуальных машинах из Управления обновлениями в службе автоматизации Azure.
Если вы управляете масштабируемыми наборами виртуальных машин Azure, ознакомьтесь с автоматизацией обновления образа ОС, чтобы безопасно и автоматически обновлять диск операционной системы для всех экземпляров в масштабируемом наборе.
Дополнительные сведения см. в статье Автоматическое обновление образа ОС масштабируемого набора виртуальных машин Azure.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Гостевая служба исправлений Azure
Описание. Служба может использовать гостевой исправление Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Службы могут использовать различные механизмы обновления, такие как автоматическое обновление образа ОС и автоматическая установка исправлений для гостей. Рекомендуется применять последние обновления безопасности и критически важные обновления к гостевой ОС виртуальной машины, следуя принципам безопасного развертывания.
Автоматическая установка исправлений для гостей позволяет автоматически оценивать и обновлять виртуальные машины Azure для обеспечения соответствия требованиям к безопасности с помощью критически важных обновлений и обновлений для системы безопасности, выпущенных каждый месяц. Обновления применяются в нерабочие часы, включая виртуальные машины в группе доступности. Эта возможность доступна для гибкой оркестрации VMSS с будущей поддержкой в плане единой оркестрации.
Если вы запускаете рабочую нагрузку без отслеживания состояния, автоматическое обновление образа ОС идеально подходит для применения последнего обновления для vmSS Uniform. Благодаря возможности отката эти обновления совместимы с Marketplace или пользовательскими образами. Поддержка будущих последовательного обновления в рамках стратегии гибкой оркестрации.
Справочник. Автоматическое исправление гостевой виртуальной машины для виртуальных машин Azure
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. На компьютерах (под управлением Центра обновления) должны быть установлены обновления системы | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
безопасность конечных точек.
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Endpoint security ( Безопасность конечных точек).
ES-1. Обнаружение и нейтрализация атак на конечные точки (EDR)
Компоненты
Решение EDR
Описание. В конечной точке можно развернуть функцию обнаружения конечных точек и реагирования (EDR), например Azure Defender для серверов. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Azure Defender для серверов (с интегрированными Microsoft Defender для конечной точки) предоставляет возможность EDR для предотвращения, обнаружения, исследования и реагирования на расширенные угрозы. Используйте Microsoft Defender для облака, чтобы развернуть Microsoft Defender для серверов на конечной точке и интегрировать оповещения в решение SIEM, например Azure Sentinel.
Справочник. Интегрированная лицензия для Microsoft Defender для конечной точки
ES-2: использовать современное программное обеспечение для борьбы с вредоносными программами
Компоненты
Решение для защиты от вредоносных программ
Описание. Функция защиты от вредоносных программ, например антивирусная программа Microsoft Defender, Microsoft Defender для конечной точки можно развернуть в конечной точке. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Для Windows Server 2016 и более поздних версий Microsoft Defender для антивирусной программы устанавливается по умолчанию. Для Windows Server 2012 R2 и более поздних версий клиенты могут установить SCEP (System Center Endpoint Protection). Для Linux клиенты могут выбрать установку Microsoft Defender для Linux. Кроме того, клиенты также могут устанавливать сторонние продукты для защиты от вредоносных программ.
Справка. Microsoft Antimalware для Azure Облачные службы и Виртуальные машины
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны здесь: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек документально представлена здесь: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
ES-3: проверка обновлений ПО для защиты от вредоносных программ и сигнатур
Компоненты
Мониторинг работоспособности решения для защиты от вредоносных программ
Описание. Решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности платформы, подсистемы и автоматических обновлений подписей. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Руководство по настройке. Настройте решение для защиты от вредоносных программ, чтобы обеспечить быстрое и согласованное обновление платформы, подсистемы и сигнатур, а также отслеживание их состояния.
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны здесь: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек документально представлена здесь: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Azure Backup
Описание. Резервная копия службы может выполняться службой Azure Backup. Подробнее.
| Поддерживается | Включено по умолчанию | Ответственность за настройку |
|---|---|---|
| True | Неверно | Customer |
Заметки о функциях: поддерживается для VMSS Flex, а не ДЛЯ VMSS Uniform
Руководство по настройке. Включите Azure Backup и целевые Виртуальные машины Azure , а также требуемую частоту и сроки хранения. Сюда входит полное резервное копирование состояния системы. При использовании шифрования дисков Azure служба резервного копирования виртуальных машин Azure обрабатывает резервные копии ключей, управляемых клиентом, автоматически. Для Виртуальные машины Azure можно использовать Политика Azure для включения автоматического резервного копирования.
Справочник. Как получить snapshot экземпляра масштабируемого набора виртуальных машин и управляемого диска
Мониторинг в Microsoft Defender для облака.
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.