Базовые показатели безопасности Azure для виртуальных машин — виртуальные машины Linux
Этот базовый уровень безопасности применяет рекомендации из Microsoft cloud security benchmark версии 1.0 к виртуальным машинам Linux. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к виртуальным машинам — виртуальным машинам Linux.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Заметка
функции не применимы к виртуальным машинам— виртуальные машины Linux были исключены. Чтобы узнать, как виртуальные машины — виртуальные машины Linux полностью соответствуют эталонному показателю безопасности облака Microsoft, см. полный файл сопоставления базового уровня безопасности виртуальных машин — виртуальных машин Linux .
Профиль безопасности
Профиль безопасности суммирует высокоэффективное поведение виртуальных машин Linux, что может привести к повышенным вопросам безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Вычислять |
| Клиент может получить доступ к HOST / OS | Полный доступ |
| Служба может быть развернута в виртуальной сети клиента | Верно |
| Хранит данные клиента в состоянии покоя | Верно |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Network Security.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Рекомендации по настройке: Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник : виртуальные сети и виртуальные машины в Azure
Поддержка группы безопасности сети
Описание: сетевой трафик службы учитывает назначение правил Групп безопасности сети в подсетях. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Неверно | Клиент |
руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.
При создании виртуальной машины Azure необходимо создать виртуальную сеть или использовать существующую виртуальную сеть и настроить виртуальную машину с подсетью. Убедитесь, что на все развернутые подсети применена группа безопасности сети, содержащая сетевые правила доступа, специфичные для доверенных портов и источников ваших приложений.
Справочник : группы безопасности сети
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Все сетевые порты должны быть ограничены группами безопасности сети, связанными с вашей виртуальной машиной | Центр безопасности Azure определил, что некоторые входящие правила ваших групп безопасности сети слишком разрешительные. Правила настройки входящего трафика не должны разрешать доступ из диапазонов «Any» или «Internet». Это может позволить злоумышленникам нацеливать на ваши ресурсы. | AuditIfNotExists, отключено | 3.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Рекомендации по обеспечению защиты адаптивной сети должны применяться на виртуальных машинах, подключенных к Интернету, | Центр безопасности Azure анализирует паттерны трафика виртуальных машин, направленных на Интернет, и предоставляет рекомендации по правилам группы сетевой безопасности, которые снижают потенциальную поверхность атаки. | AuditIfNotExists, отключен | 3.0.0 |
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Отключение доступа к общедоступной сети
Описание: Служба поддерживает отключение доступа к публичной сети с помощью правила фильтрации IP уровня службы (не NSG или брандмауэра Azure) или переключателя "Отключить доступ к публичной сети". Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Неверно | Клиент |
руководство по настройке: службы, такие как iptables или брандмауэр, могут быть установлены в ОС Linux и предоставлять фильтрацию сети для отключения общедоступного доступа.
Управление идентификацией
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Для доступа к каналу передачи данных требуется проверка подлинности Azure AD
Описание: Служба поддерживает аутентификацию Azure AD для доступа к уровню данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложно | Клиент |
рекомендации по настройке: Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
справочник : войти на виртуальную машину Linux в Azure с помощью Azure AD и OpenSSH
Методы локальной аутентификации для доступа к панели управления данными
Описание: методы локальной проверки подлинности, поддерживаемые для доступа к каналу передачи данных, такие как локальное имя пользователя и пароль. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Верно | Корпорация Майкрософт |
Примечания к функциям. Учетная запись локального администратора создается по умолчанию во время первоначального развертывания виртуальной машины. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
IM-3. Безопасное и автоматическое управление удостоверениями приложений
Функции
Управляемые удостоверения
Описание: Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложь | Клиент |
заметки о функциях. Управляемое удостоверение традиционно используется виртуальной машиной Linux для проверки подлинности в других службах. Если виртуальная машина Linux поддерживает проверку подлинности Azure AD, то может поддерживаться управляемое удостоверение.
Руководство по настройке: Используйте управляемые удостоверения Azure вместо субъектов служб, где это возможно, чтобы выполнять аутентификацию в службах и ресурсах Azure, поддерживающих аутентификацию через Azure Active Directory (Azure AD). Платформа управляет учетными данными управляемого удостоверения, обновляет и защищает их, что позволяет избежать жестко закодированных учетных данных в файлах исходного кода или конфигурации.
Субъекты-службы
Описание: Плоскость данных поддерживает проверку подлинности с помощью служебных учётных записей. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
заметки о функциях: субъекты-службы могут использоваться приложениями, работающими на виртуальной машине Linux.
руководство по настройке: на данный момент нет рекомендаций Майкрософт по настройке этой функции. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| расширение гостевой конфигурации виртуальных машин должно быть развернуто с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначенное системой. Виртуальные машины Azure, подпадающие под действие этой политики, будут несоответствующими, если у них установлено расширение гостевой конфигурации, но отсутствует системно назначенное управляемое удостоверение. Дополнительные сведения см. в https://aka.ms/gcpol | AuditIfNotExists, отключен | 1.0.1 |
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ для плоскости данных
Описание: Доступ к данным можно контролировать с помощью политик условного доступа Azure AD. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Ложно | Клиент |
заметки о функциях. Использование Azure AD в качестве основной платформы проверки подлинности и центра сертификации для SSH на виртуальной машине Linux с помощью проверки подлинности на основе сертификата Azure AD и OpenSSH. Эта функция позволяет организациям управлять доступом к виртуальным машинам с помощью управления доступом на основе ролей Azure (RBAC) и политик условного доступа.
руководство по настройке. Определение применимых условий и критериев условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
Справочник : Войти в виртуальную машину Linux в Azure с помощью Azure AD и OpenSSH
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных служб и секретов в Azure Key Vault
Описание. Плоскость данных поддерживает использование Azure Key Vault как собственной системы для хранения учетных данных и секретов. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
заметки о функциях. В плоскости данных или операционной системе службы могут вызывать Azure Key Vault для учетных данных или секретов.
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных местах, таких как Azure Key Vault, вместо встраивания их в код или файлы конфигурации.
Привилегированный доступ
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
Описание: служба поддерживает концепцию локальной административной учетной записи. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Правда | Корпорация Майкрософт |
заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке: Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник: Краткое руководство по созданию на портале Azure виртуальной машины Linux
PA-7. Следуйте принципу минимально необходимого уровня привилегий.
Функции
Azure RBAC для плоскости данных
Описание: Управление доступом Azure Role-Based (Azure RBAC) можно использовать для контроля доступа к действиям плоскости данных службы. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложь | Клиент |
Примечания к функциям: Используйте Azure AD как основную платформу проверки подлинности и центр сертификации для доступа по SSH к виртуальной машине Linux с помощью проверки подлинности на основе сертификатов Azure AD и OpenSSH. Эта функция позволяет организациям управлять доступом к виртуальным машинам с помощью управления доступом на основе ролей Azure (RBAC) и политик условного доступа.
руководство по настройке. С помощью RBAC укажите, кто может войти в виртуальную машину в качестве обычного пользователя или с правами администратора. При присоединении пользователей к команде вы можете обновить политику Azure RBAC для виртуальной машины, чтобы предоставить доступ соответствующим образом. Когда сотрудники покидают вашу организацию и их учетные записи пользователей отключены или удалены из Azure AD, у них больше нет доступа к ресурсам.
Справочник по теме : Выполните вход на виртуальную машину Linux в Azure, используя Azure AD и OpenSSH
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Блокировка клиента
Описание: Customer Lockbox может использоваться для доступа сотрудников поддержки Microsoft. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложь | Клиент |
Руководство по настройке: В сценариях поддержки, когда корпорации Майкрософт необходимо получить доступ к вашим данным, используйте Customer Lockbox для проверки, а затем утверждения или отклонения каждого запроса доступа детей Майкрософт.
Защита данных
Дополнительные сведения см. в эталоне безопасности облачных сервисов Microsoft: защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание: Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
Руководство по настройке: Эта функция не поддерживает защиту этой службы.
DP-2. Мониторинг аномалий и угроз, направленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
описание: служба поддерживает DLP решение для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неверно | Неприменимо | Неприменимо |
Инструкция по настройке. Эта функция недоступна для обеспечения безопасности данной службы.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных при передаче
описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неверно | Клиент |
заметки по функциям: Некоторые протоколы связи, такие как SSH, по умолчанию являются зашифрованными. Однако для шифрования необходимо настроить использование TLS в других службах, таких как HTTP.
Руководство по конфигурации: Включите безопасную передачу в службах, в которых есть функция встроенного шифрования данных в пути. Принудительное применение ПРОТОКОЛА HTTPS в любых веб-приложениях и службах и обеспечение использования TLS версии 1.2 или более поздней версии. Устаревшие версии, такие как SSL 3.0, tls версии 1.0 должны быть отключены. Для удаленного управления виртуальными машинами используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола.
Справочник : шифрование при передаче в виртуальных машинах
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, передаваемой через Интернет, ваши машины должны использовать последнюю версию стандартного криптографического протокола, Transport Layer Security (TLS). TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, отключено | 4.1.1 |
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание: Поддерживается шифрование данных в состоянии покоя с использованием ключей платформы, любое содержимое клиентов в состоянии покоя шифруется с помощью этих ключей, управляемых корпорацией Майкрософт. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Правда | Корпорация Майкрософт |
заметки о функциях. По умолчанию управляемые диски используют ключи шифрования, управляемые платформой. Все управляемые диски, моментальные снимки, образы и данные, записанные на существующие управляемые диски, автоматически шифруются в состоянии покоя с помощью ключей, управляемых платформой.
Руководство по Настройке. Дополнительные конфигурации не требуются, так как это включено в развертывание по умолчанию.
справочник: шифрование на стороне сервера хранилища дисков Azure — ключи, управляемые платформой
Мониторинг Microsoft Defender для облака
Встроенные определения политики Azure — Microsoft.ClassicCompute
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между ресурсами вычислений и хранилища | По умолчанию ОС виртуальной машины и диски данных шифруются в состоянии покоя с помощью ключей, управляемых платформой. Временные диски, кэши данных и потоки данных между вычислительными ресурсами и хранилищем не шифруются. Не учитывайте эту рекомендацию, если: 1. использование шифрования на узле или 2. Шифрование на стороне сервера на управляемых дисках соответствует вашим требованиям безопасности. Подробнее см.: шифрование на стороне сервера хранилища дисков Azure: https://aka.ms/disksse; различные варианты шифрования дисков: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, отключен | 2.0.3 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: виртуальные машины Linux должны включать шифрование дисков Azure или EncryptionAtHost. | По умолчанию ОС виртуальной машины и диски данных шифруются в состоянии покоя с помощью ключей, управляемых платформой; временные диски и кэши данных не шифруются, а данные не шифруются при передаче между вычислительными ресурсами и ресурсами хранения. Используйте шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Посетите https://aka.ms/diskencryptioncomparison для сравнения предложений шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Дополнительные сведения см. в https://aka.ms/gcpol. | AuditIfNotExists, отключен | 1.2.0-preview |
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
Функциональные примечания. Вы можете управлять шифрованием на уровне каждого управляемого диска, используя собственные ключи. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления доступом к ключу, который шифрует данные. Управляемые клиентом ключи обеспечивают большую гибкость управления доступом.
руководство по настройке. Если это необходимо для соблюдения нормативных требований, определите вариант использования и область применения услуги, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Виртуальные диски виртуальных машин зашифрованы в состоянии покоя с использованием шифрования на стороне сервера или шифрования дисков Azure (ADE). Шифрование дисков Azure использует функцию DM-Crypt Linux для шифрования управляемых дисков с помощью ключей, управляемых клиентом, в гостевой виртуальной машине. Шифрование на стороне сервера с помощью ключей, управляемых клиентом, улучшает ADE, позволяя использовать любые типы ОС и образы для виртуальных машин путем шифрования данных в службе хранилища.
Справка: шифрование на стороне сервера для Azure Disk Storage — ключи, управляемые клиентом
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей, секретов или сертификатов клиентов. Дополнительные сведения.
| Поддержка | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Ротация и отзыв ключей в Azure Key Vault и вашей службе на основе заданного расписания или при наличии отзыва или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
ссылочная информация: создание и настройка хранилища ключей для шифрования дисков Azure
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
описание: Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
Инструкции по настройке. Эта функция не поддерживается для обеспечения безопасности этой службы.
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Asset Management.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание: Конфигурации служб можно отслеживать и применять с помощью политики Azure. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложно | Клиент |
руководство по настройке. Политика Azure может использоваться для определения требуемого поведения для виртуальных машин Windows и виртуальных машин Linux вашей организации. Используя политики, организация может применять различные соглашения и правила в организации и определять и реализовывать стандартные конфигурации безопасности для виртуальных машин Azure. Принудительное применение требуемого поведения может помочь снизить риск при повышении успеха организации.
справочные: встроенные определения политики Azure для виртуальных машин Azure
Мониторинг Microsoft Defender для облака
Встроенные определения политики Azure — Microsoft.ClassicCompute
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины следует перенести на новые ресурсы Azure Resource Manager | Используйте azure Resource Manager для виртуальных машин, чтобы обеспечить такие улучшения безопасности, как более строгий контроль доступа (RBAC), более эффективное аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, проверка подлинности на основе Azure AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью | Аудит, запрет, отключение | 1.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины следует перенести на новые ресурсы Azure Resource Manager | Используйте azure Resource Manager для виртуальных машин, чтобы обеспечить такие улучшения безопасности, как более строгий контроль доступа (RBAC), более эффективное аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, проверка подлинности на основе Azure AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью | Аудит, запрет, отключение | 1.0.0 |
AM-5. Использование только утвержденных приложений в виртуальной машине
Функции
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание: Служба может ограничивать запуск клиентских приложений на виртуальной машине с помощью адаптивных средств управления приложениями в Microsoft Defender для облака. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Неверно | Клиент |
Руководство по настройке. Используйте адаптивные средства управления приложениями Microsoft Defender для облака для обнаружения приложений, работающих на виртуальных машинах (VM), и создайте список разрешенных приложений, чтобы определить, какие одобренные приложения могут выполняться в среде виртуальных машин.
справочник: используйте адаптивное управление приложениями для сокращения поверхности атаки ваших компьютеров
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| адаптивные элементы управления приложениями для определения безопасных приложений должны быть включены на компьютерах | Включите элементы управления приложениями для определения списка известных безопасных приложений, работающих на компьютерах, и оповещение о выполнении других приложений. Это помогает защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, работающих на каждом компьютере, и предлагает список известных безопасных приложений. | AuditIfNotExists, отключён | 3.0.0 |
встроенные определения политики Azure - Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| адаптивные элементы управления приложениями для определения безопасных приложений должны быть включены на компьютерах | Включите элементы управления приложениями для определения списка известных безопасных приложений, работающих на компьютерах, и оповещение о выполнении других приложений. Это помогает защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, работающих на каждом компьютере, и предлагает список известных безопасных приложений. | AuditIfNotExists, отключено | 3.0.0 |
Ведение журнала и обнаружение угроз
Для получения дополнительной информации см. Microsoft Cloud Security Benchmark: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для сервисов и продуктовых предложений
Описание: У службы имеется решение Microsoft Defender, специфичное для предложения, для мониторинга и оповещения о проблемах безопасности. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
руководство по настройке: Defender для серверов расширяет защиту на компьютерах Windows и Linux, работающих в Azure. Defender для серверов интегрируется с Microsoft Defender для конечной точки для обеспечения обнаружения и ответа конечных точек (EDR), а также предоставляет множество дополнительных функций защиты от угроз, таких как базовые показатели безопасности и оценки уровней ОС, сканирование уязвимостей, адаптивные элементы управления приложениями (AAC), мониторинг целостности файлов (FIM) и многое другое.
Справочник: Планирование развертывания Defender для серверов
Мониторинг Microsoft Defender для облака
Встроенные определения Azure Policy — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Защитник Windows Exploit Guard должен быть включен на компьютерах | В Защитнике Windows Exploit Guard используется агент гостевой конфигурации политики Azure. Exploit Guard имеет четыре компонента, предназначенные для блокировки устройств с различными векторами атак и блокируют поведение, обычно используемое в атаках вредоносных программ, позволяя предприятиям сбалансировать свои требования к безопасности и производительности (только Windows). | AuditIfNotExists, отключен | 2.0.0 |
LT-4. Активировать ведение журнала для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
описание: служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Ложный | Клиент |
Рекомендации по настройке. Azure Monitor автоматически начинает сбор данных метрик для хоста виртуальной машины при создании виртуальной машины. Чтобы собирать журналы и данные о производительности из гостевой операционной системы виртуальной машины, однако необходимо установить агент Azure Monitor. Вы можете установить агент и настроить сбор данных с помощью инструментов анализа виртуальных машин или путём создания правила сбора данных.
Справочник : обзор агента Log Analytics
Мониторинг Microsoft Defender для облака
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: агент сбора данных сетевого трафика должен быть установлен на виртуальных машинах Linux | Центр безопасности использует агент зависимостей Майкрософт для сбора данных сетевого трафика с виртуальных машин Azure для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. | AuditIfNotExists, отключено | 1.0.2-preview |
Управление позицией и уязвимостью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: управление позицией и уязвимостями.
PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
Функции
Конфигурация состояния службы автоматизации Azure
описание. Конфигурация состояния службы автоматизации Azure может использоваться для поддержания конфигурации безопасности операционной системы. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложь | Клиент |
Руководство по настройке. Используйте службу конфигурации состояния Azure Automation для поддержания конфигурации безопасности операционной системы.
Справочник : Настройка ВМ с требуемой конфигурацией состояния
Агент конфигурации гостевой политики Azure
Описание: Агент конфигурации гостевых систем Azure можно установить или развернуть в качестве расширения для вычислительных ресурсов. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неверно | Клиент |
заметки о функциях: конфигурация гостевых политик Azure теперь называется Azure Automanage Machine Configuration.
руководство по настройке. Используйте агент гостевой конфигурации Microsoft Defender для облака и политики Azure для регулярной оценки и исправления отклонений конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и другие.
Справочник : Понимание функции конфигурации машины Azure Automanage
Пользовательские образы виртуальных машин
Описание: Служба поддерживает использование пользовательских образов виртуальных машин или предварительно созданных образов из торговой площадки с некоторыми заранее применёнными базовыми конфигурациями. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Неверно | Клиент |
руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте нужную безопасную конфигурацию в шаблоне образа виртуальной машины.
: Руководство: создание пользовательского образа виртуальной машины Azure с помощью Azure CLI
PV-4. Аудит и применение безопасных конфигураций для вычислительных ресурсов
Функции
Доверенный запуск виртуальной машины
описание: Доверенный запуск защищает от сложных и долговременных атак посредством использования технологий инфраструктуры, таких как безопасная загрузка, vTPM и мониторинг целостности. Каждая технология обеспечивает еще один уровень защиты от сложных угроз. Доверенный запуск позволяет безопасно развертывать виртуальные машины с проверенными загрузчиками, ядрами ОС и драйверами, а также безопасно защищает ключи, сертификаты и секреты на виртуальных машинах. Доверенный запуск также предоставляет сведения и уверенность в целостности всей цепочки загрузки и гарантирует, что рабочие нагрузки являются заслуживающими доверия и проверяемыми. Доверенный запуск интегрирован с Microsoft Defender для облака, чтобы убедиться, что виртуальные машины настроены правильно, удаленно загрузив виртуальную машину в работоспособном режиме. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Ложь | Клиент |
примечание о функциях: доверенный запуск доступен для виртуальных машин поколения 2. Для доверенного запуска требуется создание новых виртуальных машин. Невозможно включить доверенный запуск на существующих виртуальных машинах, которые изначально были созданы без него.
инструкция по настройке: Доверенный запуск может быть включен во время развертывания виртуальной машины. Включите все три — безопасную загрузку, vTPM и мониторинг целостности загрузки, чтобы обеспечить оптимальную безопасность виртуальной машины. Обратите внимание, что существует несколько предварительных требований, включая подключение подписки к Microsoft Defender для Облака, назначение определенных инициатив политики Azure и настройку политик брандмауэра.
Справка: Развернуть виртуальную машину с включенным доверенным запуском
PV-5. Выполнение оценки уязвимостей
Функции
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может быть проверена на уязвимости с помощью Microsoft Defender для Cloud или других служб Microsoft Defender, обладающих встроенной возможностью оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, службы приложений, SQL и DNS). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
Руководство по настройке. Следуйте рекомендациям Microsoft Defender для облачных решений для проведения оценки уязвимостей на виртуальных машинах Azure.
Справочник : Планируйте развертывание Defender для серверов
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффект(-ы) | Версия (GitHub) |
|---|---|---|---|
| На виртуальных машинах следует включить решение для оценки уязвимостей. | Проверяет виртуальные машины, чтобы определить, выполняется ли поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы кибербезопасности и безопасности является идентификация и анализ уязвимостей. Стандартная ценовая категория Центра безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть это средство для вас. | AuditIfNotExists, отключен | 3.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| На виртуальных машинах следует включить решение для оценки уязвимостей. | Проверяет виртуальные машины, чтобы определить, выполняется ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы кибербезопасности и безопасности является идентификация и анализ уязвимостей. Стандартная ценовая категория Центра безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически установить и настроить это средство. | AuditIfNotExists, отключен | 3.0.0 |
PV-6. Быстрое и автоматическое исправление уязвимостей
Функции
Диспетчер обновлений Azure
Описание: Служба может использовать Диспетчер обновлений Azure для автоматического развертывания исправлений и обновлений. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Правда | Клиент |
руководство по настройке. Используйте Диспетчер обновлений Azure, чтобы убедиться, что на виртуальных машинах Linux установлены последние обновления системы безопасности.
Справочник : управление обновлениями и исправлениями для виртуальных машин
Служба исправлений для гостей Azure
Описание: Служба может использовать Azure Guest Patching для автоматического развертывания исправлений и обновлений. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложь | Клиент |
Руководство по настройке. Службы могут использовать различные механизмы обновления, такие как автоматическое обновление образа ОС и автоматическое обновление исправлений для гостевых систем. Рекомендуется использовать эти возможности для применения последних критически важных и безопасности обновлений к гостевой ОС виртуальной машины, следуя принципам безаварийного развертывания.
Автообновление гостевой системы позволяет автоматически оценивать и обновлять виртуальные машины Azure, обеспечивая безопасность с помощью критических и системных обновлений, выпускаемых каждый месяц. Обновления применяются в нерабочие часы, включая виртуальные машины в группе доступности. Эта функция доступна для VMSS Flexible Orchestration, в будущем будет поддержка и для Uniform Orchestration.
Если вы запускаете стейтлесс-рабочую нагрузку, автоматические обновления образов ОС идеально подходят для применения последнего обновления для унифицированной VMSS. С возможностью отката эти обновления совместимы с Marketplace или пользовательскими образами. Поддержка последовательного обновления в рамках стратегии гибкой оркестрации.
справочник : автоматическое исправление гостевой виртуальной машины для виртуальных машин Azure
Мониторинг Microsoft Defender для облака
Встроенные определения политики Azure — Microsoft.ClassicCompute
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Системные обновления должны быть установлены на ваших компьютерах | Отсутствующие обновления системы безопасности на серверах будут отслеживаться Центром безопасности Azure в качестве рекомендаций | AuditIfNotExists, отключен | 4.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: обновления системы должны быть установлены на компьютерах (на базе Центра обновления) | На ваших компьютерах отсутствуют системные, защитные и критически важные обновления. Обновления программного обеспечения часто включают критически важные исправления в дыры безопасности. Такие дыры часто используются в атаках вредоносных программ, поэтому крайне важно поддерживать обновление программного обеспечения. Чтобы установить все невыполненные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, отключен | 1.0.0-preview |
Безопасность конечных точек
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Endpoint Security.
ES-1. Используйте обнаружение и реагирование (EDR) на конечных точках.
Функции
Решение EDR
описание: функция обнаружения конечных точек и реагирования (EDR), такая как Azure Defender для серверов, может быть развернута на конечной точке. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
руководство по настройке: Azure Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки) предоставляет возможности EDR для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Используйте Microsoft Defender для облака, чтобы развернуть Azure Defender для серверов для конечной точки и интегрировать оповещения в решение SIEM, например Azure Sentinel.
Справочник: Планирование развертывания Defender для серверов
ES-2. Использование современного программного обеспечения для защиты от вредоносных программ
Функции
Решение для защиты от вредоносных программ
описание: такие функции защиты от вредоносных программ, как Microsoft Defender Антивирус и Microsoft Defender для конечной точки, могут быть развернуты на этой системе. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Ложный | Клиент |
руководство по настройке. Для Linux клиенты могут выбрать установить Microsoft Defender для Endpoint для Linux. Кроме того, клиенты также могут устанавливать сторонние продукты защиты от вредоносных программ.
Справочник : Microsoft Defender для конечной точки в Linux
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Проблемы с работоспособностью «Endpoint Protection» необходимо устранить на компьютерах | Устраните проблемы работоспособности защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Здесь описаны поддерживаемые решения для защиты конечных точек в Центре безопасности Azure https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек описана здесь — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, отключен | 1.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| проблемы с работоспособностью Endpoint Protection необходимо устранить на ваших компьютерах | Устраните проблемы работоспособности защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Здесь описаны поддерживаемые решения для защиты конечных точек в Центре безопасности Azure https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек описана здесь — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, отключен | 1.0.0 |
ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ
Функции
Мониторинг работоспособности решений защиты от вредоносных программ
Описание: решение для защиты от вредоносных программ обеспечивает мониторинг состояния системы для платформы, движка и автоматических обновлений сигнатур. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
заметки об особенностях: аналитика безопасности и обновления продуктов применяются к Defender для Endpoint, который можно установить на виртуальные машины Linux.
руководство по настройке: Настройте решение для защиты от вредоносных программ, чтобы гарантировать, что платформа, движок и подписи быстро и последовательно обновляются и их состояние можно отслеживать.
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| проблемы со работоспособностью Endpoint Protection необходимо устранить на компьютерах | Устраните проблемы работоспособности защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Здесь описаны поддерживаемые решения для защиты конечных точек в Центре безопасности Azure https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек описана здесь — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, отключен | 1.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| проблемы со работоспособностью Endpoint Protection необходимо устранить на компьютерах | Устраните проблемы работоспособности защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Здесь описаны поддерживаемые решения для защиты конечных точек в Центре безопасности Azure https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек описана здесь — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, отключено | 1.0.0 |
Резервное копирование и восстановление
Дополнительные сведения см. в статье microsoft cloud security benchmark: Backup and Recovery.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
описание. Служба azure Backup может создать резервную копию. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
руководство по настройке. Включите резервное копирование Azure и настройте целевые виртуальные машины Azure, а также задайте требуемую частоту и периоды хранения. Это включает полное резервное копирование состояния системы. При использовании шифрования дисков Azure резервная копия виртуальной машины Azure автоматически обрабатывает резервное копирование ключей, управляемых клиентом. Для виртуальных машин Azure можно использовать политику Azure для включения автоматического резервного копирования.
: параметры резервного копирования и восстановления виртуальных машин в Azure
Мониторинг Microsoft Defender для облака
Встроенные определения политики Azure - Microsoft.Compute
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Azure Backup следует включить для виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных для Azure. | AuditIfNotExists, отключен | 3.0.0 |
Дальнейшие действия
- Ознакомьтесь с обзором эталона безопасности облачных технологий Microsoft
- Узнайте больше о базовых уровнях безопасности Azure