Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот базовый план безопасности применяет рекомендации из эталона безопасности облака Microsoft версии 1.0 к виртуальным машинам Windows. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к виртуальным машинам — виртуальным машинам Windows.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Заметка
функции не применимы к виртуальным машинам. Виртуальные машины Windows были исключены. Чтобы узнать, как виртуальные машины — виртуальные машины Windows полностью соответствуют эталону безопасности облака Microsoft, см. файл полного сопоставления базовых показателей безопасности виртуальных машин Windows .
Профиль безопасности
Профиль безопасности суммирует поведение виртуальных машин с высоким уровнем влияния — виртуальные машины Windows, что может привести к повышению безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Вычислять |
| Клиент может получить доступ к HOST / OS | Полный доступ |
| Служба может быть развернута в виртуальной сети клиента | Правда |
| Сохраняет данные клиента в состоянии покоя | Верно |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевые меры безопасности.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание: Служба поддерживает развертывание в частной виртуальной сети клиента. Узнайте больше.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Верно | Корпорация Майкрософт |
руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник : виртуальные сети и виртуальные машины в Azure
Поддержка группы безопасности сети
Описание: Сетевой трафик службы учитывает назначение правил Групп Безопасности Сети в подсетях. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложь | Клиент |
руководство по настройке. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или IP-адресу назначения. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и Azure Load Balancers.
При создании виртуальной машины Azure необходимо создать виртуальную сеть или использовать существующую виртуальную сеть и настроить виртуальную машину с подсетью. Убедитесь, что ко всем развернутым подсетям применена группа безопасности сети с сетевыми правилами доступа, соответствующими доверенным портам и источникам ваших приложений.
Справочник : группы безопасности сети
Мониторинг Microsoft Defender для облака
Определения встроенной политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Все сетевые порты должны быть ограничены группами безопасности сети, связанными с вашей виртуальной машиной | Центр безопасности Azure определил, что некоторые правила входящего трафика групп безопасности сети слишком разрешающие. Правила для входящего трафика не должны разрешать доступ из диапазонов "Любой" или "Интернет". Это может позволить злоумышленникам нацеливать ваши ресурсы. | AuditIfNotExists, отключен | 3.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Рекомендации по обеспечению защиты адаптивной сети должны применяться на виртуальных машинах, подключенных к Интернету, | Центр безопасности Azure анализирует характер трафика виртуальных машин, подключенных к Интернету, и предоставляет рекомендации по правилам группы безопасности сети для уменьшения потенциальной поверхности атаки. | AuditIfNotExists, отключен | 3.0.0 |
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Отключение доступа к общедоступной сети
Описание: Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации списков управления доступом IP на уровне службы (не NSG или брандмауэра Azure) или переключателя "Отключить доступ к общедоступной сети". Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
Руководство по конфигурации. Используйте службы на уровне ОС, например брандмауэр Windows Defender, чтобы отключить общедоступный доступ, обеспечивая фильтрацию сети.
Управление идентичностью
Для получения дополнительной информации см. Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Аутентификация Azure AD, необходимая для доступа к уровню данных
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к интерфейсу данных. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
Рекомендации по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
справочник: войти на виртуальную машину Windows в Azure с помощью Azure AD, включая без пароля
Методы локальной аутентификации для доступа к передаче данных
Описание: Поддерживаемые методы локальной аутентификации для доступа к плоскости данных, например, локальное имя пользователя и пароль. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Правда | Корпорация Майкрософт |
заметки о функциях: Учетная запись локального администратора создается по умолчанию во время первоначального развертывания виртуальной машины. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке: Дополнительные конфигурации не требуются, так как это включено в стандартной установке.
IM-3. Эффективное, безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия плоскости передачи данных поддерживают проверку подлинности с помощью управляемых удостоверений. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
заметки о функциях. Управляемое удостоверение обычно используется виртуальной машиной Windows для проверки подлинности в других службах. Если виртуальная машина Windows поддерживает проверку подлинности Azure AD, то может поддерживаться управляемое удостоверение.
Руководство по настройке. Используйте управляемые удостоверения Azure вместо служебных принципалов для проверки подлинности в службах и ресурсах Azure, которые поддерживают проверку подлинности Azure Active Directory (Azure AD). Учетные данные управляемого удостоверения полностью управляются, обновляются и защищаются платформой, избегая жестко закодированных учетных данных в исходном коде или конфигурационных файлах.
Субъекты-службы
Описание. Плоскость обработки данных поддерживает проверку подлинности с помощью сервисных принципалов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
заметки о функциях: субъекты-службы могут использоваться приложениями, работающими на виртуальной машине Windows.
руководство по настройке: нет текущих рекомендаций Майкрософт по этой конфигурации компонентов. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Microsoft Defender для облака: мониторинг
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| расширение гостевой конфигурации виртуальных машин должно быть развернуто с системным управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначенное системой. Виртуальные машины Azure в рамках этой политики не соответствуют требованиям, если у них установлено расширение гостевой конфигурации, но отсутствует управляемое удостоверение, назначенное системой. Дополнительные сведения см. в https://aka.ms/gcpol | AuditIfNotExists, отключен | 1.0.1 |
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ для плоскости данных
описание: Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Неверно | Клиент |
Примечания к функциям. Используйте Azure AD в качестве основной платформы проверки подлинности для подключений RDP к Windows Server 2019 Datacenter edition и более поздних версий, а также Windows 10 1809 и более поздних версий. Затем вы можете централизованно контролировать и применять управление доступом на основе ролей Azure (RBAC) и политики условного доступа, которые разрешают или запрещают доступ к виртуальным машинам.
руководство по настройке. Определение применимых условий и критериев условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
справочник: войти на виртуальную машину Windows в Azure с помощью Azure AD, включая без пароля
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Интеграция поддержки и хранение учетных данных службы и секретов в Azure Key Vault
Описание: Плоскость данных поддерживает нативное использование Azure Key Vault для хранилища учетных данных и секретов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
заметки о характеристиках. В операционной системе или в плоскости данных службы могут вызывать Azure Key Vault для получения учетных данных или секретов.
Рекомендации по конфигурации: Убедитесь, что секреты и учетные данные хранятся в безопасных местах, таких как Azure Key Vault, вместо встраивания их в код или файлы конфигурации.
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности Microsoft Cloud: Привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
описание: служба имеет концепцию локальной административной учетной записи. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Верно | Корпорация Майкрософт |
заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Настройки конфигурации: Дополнительные конфигурации не требуются, поскольку это уже включено по умолчанию при развертывании.
Справочник: Краткое руководство по созданию виртуальной машины Windows на портале Azure
PA-7. Следуйте принципу минимально необходимого администрирования (наименьшего привилегирования)
Функции
Azure RBAC для плоскости данных
Описание: управление доступом Azure Role-Based (Azure RBAC) можно использовать для управления доступом к действиям на уровне данных службы. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
Примечания к функциям. Используйте Azure AD в качестве основной платформы проверки подлинности для подключения через RDP к редакции Windows Server 2019 Datacenter и более поздним версиям или Windows 10 1809 и более поздним версиям. Затем вы можете централизованно контролировать и применять управление доступом на основе ролей Azure (RBAC) и политики условного доступа, которые разрешают или запрещают доступ к виртуальным машинам.
руководство по настройке. С помощью RBAC укажите, кто может войти в виртуальную машину в качестве обычного пользователя или с правами администратора. При присоединении пользователей к команде вы можете обновить политику Azure RBAC для виртуальной машины, чтобы предоставить доступ соответствующим образом. Когда сотрудники покидают вашу организацию и их учетные записи пользователей отключены или удалены из Azure AD, у них больше нет доступа к ресурсам.
справочник: войти в виртуальную машину Windows в Azure с помощью Azure AD, включая использование входа без пароля
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защитный сейф для клиентов
Описание: Customer Lockbox может использоваться для предоставления доступа в службу поддержки Microsoft. Дополнительные сведения.
| Поддержка | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истинный | Ложный | Клиент |
руководство по настройке. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к вашим данным, используйте Customer Lockbox для проверки и последующего утверждения или отклонения каждого запроса Microsoft на доступ к данным.
Защита данных
Для получения подробной информации см. статью «Microsoft Cloud Security Benchmark: Защита данных».
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание: Инструменты (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложь | Неприменимо | Неприменимо |
руководство по конфигурации: Эта функция не поддерживается для обеспечения безопасности этой службы.
DP-2. Мониторинг аномалий и угроз, направленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: служба поддерживает DLP-решение для отслеживания перемещения конфиденциальных данных (в содержимом клиента). Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложь | Неприменимо | Неприменимо |
руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных во время передачи
Описание: Служба поддерживает шифрование данных во время передачи для плоскости передачи данных. Дополнительные сведения.
| Поддержан | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
заметки о возможностях. Некоторые протоколы связи, такие, как SSH, шифруются по умолчанию. Однако такие службы, как HTTP, должны быть настроены на использование TLS для шифрования.
Руководство по настройке: Включите безопасную передачу в службах, где есть встроенная функция шифрования данных при передаче. Принудительное применение ПРОТОКОЛА HTTPS в любых веб-приложениях и службах и обеспечение использования TLS версии 1.2 или более поздней версии. Устаревшие версии, такие как SSL 3.0, tls версии 1.0 должны быть отключены. Для удаленного управления виртуальными машинами используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола.
Справочник : шифрование данных при передаче в виртуальных машинах
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, ваши машины должны использовать последнюю версию стандартного криптографического протокола, Транспортный уровень безопасности (TLS). TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, отключен | 4.1.1 |
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Истина | Корпорация Майкрософт |
Заметки о функциях. По умолчанию управляемые диски используют ключи шифрования, управляемые платформой. Все управляемые диски, моментальные снимки, образы и данные, записанные на существующие управляемые диски, шифруются в неактивном состоянии автоматически с помощью ключей, управляемых платформой.
Руководство по настройке: Дополнительные конфигурации не требуются, поскольку это включено при развертывании по умолчанию.
справочник: шифрование серверной части хранилища дисков Azure — ключи, управляемые платформой
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между ресурсами вычислений и хранилища | По умолчанию ОС виртуальной машины и диски данных хранятся в зашифрованном виде с помощью ключей под управлением платформы. Временные диски, кэши данных и потоки данных между вычислительными ресурсами и хранилищем не шифруются. Не учитывайте эту рекомендацию, если: 1. использование шифрования на узле, или второй вариант. Шифрование на стороне сервера на управляемых дисках соответствует вашим требованиям безопасности. Подробнее см. в: серверное шифрование для хранилища дисков Azure, https://aka.ms/disksse,; различные варианты шифрования дисков: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, отключен | 2.0.3 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: виртуальные машины Linux должны включать шифрование дисков Azure или EncryptionAtHost. | По умолчанию ОС виртуальной машины и диски данных шифруются в состоянии покоя с использованием ключей, управляемых платформой; временные диски и кэши данных не шифруются, а данные не шифруются в процессе передачи между вычислительными ресурсами и хранилищем. Используйте шифрование дисков Azure или EncryptionAtHost для шифрования всех этих данных. Посетите https://aka.ms/diskencryptioncomparison для сравнения предложений шифрования. Эта политика требует выполнения двух предварительных условий в области назначения. Дополнительные сведения см. в https://aka.ms/gcpol. | AuditIfNotExists, отключен | 1.2.0-preview |
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося Службой. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
заметки о функциях. Вы можете управлять шифрованием на уровне каждого управляемого диска с собственными ключами. При указании ключа, управляемого клиентом, этот ключ используется для защиты и управления доступом к ключу, который шифрует данные. Управляемые клиентом ключи обеспечивают большую гибкость управления доступом.
Инструкция по настройке. Если требуется для соблюдения нормативных требований, определите вариант использования и область применения, где необходимо шифрование с использованием ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Виртуальные диски на виртуальных машинах шифруются в состоянии покоя с помощью шифрования на стороне сервера или шифрования дисков Azure (ADE). Шифрование дисков Azure использует функцию BitLocker Windows для шифрования управляемых дисков с помощью ключей, управляемых клиентом, на гостевой виртуальной машине. Шифрование на стороне сервера с помощью ключей, управляемых клиентом, улучшает ADE, позволяя использовать любые типы ОС и образы для виртуальных машин путем шифрования данных в службе хранилища.
Ссылка: шифрование на стороне сервера дискового хранилища Azure
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание: Служба поддерживает интеграцию Azure Key Vault для любых клиентских ключей, секретов или сертификатов. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истинный | Ложный | Клиент |
руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Смена и отмена ключей в Azure Key Vault и вашей службе на основе определенного расписания или при наличии выхода на пенсию или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и используются с идентификаторами ключей, предоставленными службой или приложением. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник: Создание и настройка Хранилища ключей для Шифрования Дисков Azure на виртуальной машине Windows
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Ложный | Неприменимо | Неприменимо |
руководство по настройке: Эта функция не поддерживается для обеспечения безопасности этой службы.
Управление ресурсами
Для получения подробной информации обратитесь к бенчмарку Microsoft по облачной безопасности: управление активами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно проверяться и применяться посредством политики Azure. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
руководство по настройке. Политика Azure может использоваться для определения требуемого поведения для виртуальных машин Windows и виртуальных машин Linux вашей организации. Используя политики, организация может применять различные соглашения и правила в организации и определять и реализовывать стандартные конфигурации безопасности для виртуальных машин Azure. Принудительное применение требуемого поведения может помочь снизить риск при повышении успеха организации.
Референс: встроенные определения политик Azure для виртуальных машин Azure
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины следует перенести на новые ресурсы Azure Resource Manager | Используйте azure Resource Manager для виртуальных машин, чтобы обеспечить такие улучшения безопасности, как более строгий контроль доступа (RBAC), более эффективное аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, проверка подлинности на основе Azure AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью | Аудит, запрет, отключение | 1.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины следует перенести на новые ресурсы Azure Resource Manager | Используйте azure Resource Manager для виртуальных машин, чтобы обеспечить такие улучшения безопасности, как более строгий контроль доступа (RBAC), более эффективное аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, проверка подлинности на основе Azure AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью | Аудит, запрет, отключение | 1.0.0 |
AM-5. Использование только утвержденных приложений в виртуальной машине
Функции
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для Облака. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
Руководство по настройке. Используйте адаптивные средства управления приложениями Microsoft Defender для облачных технологий для обнаружения приложений, работающих на виртуальных машинах (VMs), и создайте список разрешённых приложений, чтобы определить, какие утверждённые приложения могут выполняться в среде виртуальных машин.
Справка: Использовать адаптивные контрольные меры приложений для уменьшения поверхностей атаки ваших машин
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| адаптивные элементы управления приложениями для определения безопасных приложений должны быть включены на компьютерах | Включите элементы управления приложениями для определения списка известных безопасных приложений, работающих на компьютерах, и оповещение о выполнении других приложений. Это помогает защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, работающих на каждом компьютере, и предлагает список известных безопасных приложений. | AuditIfNotExists, отключен | 3.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| адаптивные элементы управления приложениями для определения безопасных приложений должны быть включены на компьютерах | Включите элементы управления приложениями для определения списка известных безопасных приложений, работающих на компьютерах, и оповещение о выполнении других приложений. Это помогает защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, работающих на каждом компьютере, и предлагает список известных безопасных приложений. | AuditIfNotExists, отключен | 3.0.0 |
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: журналирование и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для службы или предложения продуктов
Описание: услуга имеет специфическое для предложения решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
руководство по настройке: Defender для серверов расширяет защиту на компьютерах Windows и Linux, работающих в Azure. Defender для серверов интегрируется с Microsoft Defender для конечной точки для обеспечения обнаружения и ответа конечных точек (EDR), а также предоставляет множество дополнительных функций защиты от угроз, таких как базовые показатели безопасности и оценки уровней ОС, сканирование уязвимостей, адаптивные элементы управления приложениями (AAC), мониторинг целостности файлов (FIM) и многое другое.
Справочник : Планирование развертывания Defender для серверов
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| Защитник Windows Exploit Guard должен быть включен на компьютерах | В Windows Defender Exploit Guard используется агент гостевой конфигурации политики Azure. Exploit Guard имеет четыре компонента, предназначенные для блокировки устройств с различными векторами атак и блокируют поведение, обычно используемое в атаках вредоносных программ, позволяя предприятиям сбалансировать свои требования к безопасности и производительности (только Windows). | AuditIfNotExists, отключен | 2.0.0 |
LT-4. Включение логирования для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
описание: служба создаёт ресурсные журналы, которые могут предоставлять расширенные метрики и журналирование, специфичные для службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
руководство по настройке: Azure Monitor автоматически начинает сбор данных метрик для хоста виртуальной машины при создании виртуальной машины. Чтобы собирать журналы и данные о производительности из гостевой операционной системы виртуальной машины, однако необходимо установить агент Azure Monitor. Вы можете установить агент и настроить коллекцию с помощью аналитики виртуальных машин или создания правила сбора данных.
Ссылка : Обзор агента Log Analytics
Мониторинг Microsoft Defender для облака
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [предварительная версия]: агент сбора данных сетевого трафика должен быть установлен на виртуальных машинах Linux | Центр безопасности использует агент зависимостей Майкрософт для сбора данных сетевого трафика с виртуальных машин Azure для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. | AuditIfNotExists, отключен | 1.0.2-preview |
Управление позицией и уязвимостью
Для получения дополнительной информации см. статью Компонент безопасности облака Microsoft: Управление положением и уязвимостями.
PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
Функции
Конфигурация состояния службы автоматизации Azure
Описание: Azure Automation State Configuration может использоваться для поддержания конфигурации безопасности операционной системы. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Верно | Ложный | Клиент |
Руководство по настройке: Используйте Azure Automation State Configuration для поддержания конфигурации безопасности операционной системы.
Справочник : настройка виртуальной машины с требуемой конфигурацией состояния
Агент конфигурации гостевых политик Azure
Описание. Агент конфигурации гостевой политики Azure можно установить или развернуть как расширение для вычислительных ресурсов. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
заметки о возможностях: гостевая конфигурация политики Azure теперь называется конфигурацией машин в Azure Automanage.
руководство по настройке. Используйте агент гостевой конфигурации Microsoft Defender для облака и политики Azure для регулярной оценки и исправления отклонений конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и другие.
Справочник : Понимание функции конфигурации машины в Azure Automanage
Пользовательские образы виртуальных машин
описание. Служба поддерживает использование пользовательских образов виртуальных машин или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
руководство по настройке: используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемые базовые показатели безопасной конфигурации в шаблоне образа виртуальной машины.
: руководство по созданию образов виртуальных машин Windows с помощью Azure PowerShell
PV-4. Аудит и применение безопасных конфигураций для вычислительных ресурсов
Функции
Доверенный запуск виртуальной машины
Описание: Доверенный запуск защищает от сложных и постоянных атак путем объединения технологий инфраструктуры, таких как безопасная загрузка, vTPM и контроль целостности. Каждая технология обеспечивает еще один уровень защиты от сложных угроз. Доверенный запуск позволяет безопасно развертывать виртуальные машины с проверенными загрузчиками, ядрами ОС и драйверами, а также безопасно защищает ключи, сертификаты и секреты на виртуальных машинах. Доверенный запуск также предоставляет аналитические сведения и уверенность в целостности всей цепочки загрузки и гарантирует, что рабочие нагрузки заслуживают доверия и могут быть проверены. Доверенный запуск интегрирован с Microsoft Defender для облака, чтобы убедиться, что виртуальные машины настроены правильно, удаленно загрузив виртуальную машину в работоспособном режиме. Узнайте больше.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
примечание о функциях: доверенный запуск доступен для виртуальных машин поколения 2. Для доверенного запуска требуется создание новых виртуальных машин. Невозможно включить доверенный запуск на существующих виртуальных машинах, которые изначально были созданы без него.
руководство по настройке. Доверенный запуск может быть включен во время развертывания виртуальной машины. Включите все три — безопасную загрузку, vTPM и мониторинг целостности загрузки, чтобы обеспечить оптимальную безопасность виртуальной машины. Обратите внимание, что существует несколько предварительных требований, включая подключение подписки к Microsoft Defender для Облака, назначение определенных инициатив политики Azure и настройку политик брандмауэра.
: Развернуть виртуальную машину с включенным доверенным запуском
PV-5. Выполнение оценки уязвимостей
Функции
Оценка уязвимостей с помощью Microsoft Defender
описание: Уязвимости службы можно сканировать с помощью Microsoft Defender для облака или встроенного механизма оценки уязвимостей в других службах Microsoft Defender, включая Microsoft Defender для сервера, реестра контейнеров, службы приложений, SQL и DNS. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истинный | Ложный | Клиент |
Руководство по конфигурации. Следуйте рекомендациям Microsoft Defender for Cloud для проведения оценки уязвимостей на виртуальных машинах Azure.
Справочник : Планирование развертывания Defender для серверов
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure - Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| На виртуальных машинах следует включить решение для оценки уязвимостей. | Проверяет виртуальные машины, чтобы определить, выполняется ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы кибербезопасности и безопасности является идентификация и анализ уязвимостей. Стандартная ценовая категория Центра безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть это средство. | AuditIfNotExists, отключен | 3.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| На виртуальных машинах следует включить решение для оценки уязвимостей. | Проверяет виртуальные машины, чтобы определить, выполняется ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы кибербезопасности и безопасности является идентификация и анализ уязвимостей. Стандартная ценовая категория Центра безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Центр безопасности также может автоматически развернуть это средство для вас. | AuditIfNotExists, отключен | 3.0.0 |
PV-6. Быстрое и автоматическое исправление уязвимостей
Функции
Диспетчер обновлений Azure
описание: Служба может использовать Диспетчер обновлений Azure для автоматического развертывания исправлений и обновлений. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Верно | Клиент |
руководство по настройке. Используйте Диспетчер обновлений Azure, чтобы убедиться, что на виртуальных машинах Windows установлены последние обновления системы безопасности. Для виртуальных машин Windows убедитесь, что Центр обновления Windows включен и настроен на автоматическое обновление.
Справочник : управление обновлениями и исправлениями для виртуальных машин
Служба исправлений для гостей Azure
описание: Служба может использовать гостевое обновление Azure для автоматического развертывания исправлений и обновлений. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложь | Клиент |
руководство по настройке. Службы могут использовать различные механизмы обновления, такие как автоматическое обновление образа ОС и автоматическое исправление гостевых систем. Рекомендуется использовать эти возможности для применения последних критически важных обновлений безопасности к гостевой ОС виртуальной машины в соответствии с принципами безопасного развертывания.
Автоматическое исправление гостевой системы позволяет автоматически оценивать и обновлять виртуальные машины Azure, чтобы обеспечить соответствие безопасности критически важным обновлениям и обновлениям системы безопасности, выпущенным каждый месяц. Обновления применяются в нерабочие часы, включая виртуальные машины в группе доступности. Эта возможность доступна для гибкой оркестрации VMSS, а поддержка единой оркестрации запланирована на будущее.
Если вы запускаете рабочую нагрузку без отслеживания состояния, обновления образов ОС идеально подходят для применения последнего обновления для универсальной виртуальной машины VMSS. С возможностью отката эти обновления совместимы с Marketplace или пользовательскими образами. Поддержка последовательного обновления в рамках стратегии гибкой оркестрации.
Справочник : Автоматическое устранение неполадок гостевых виртуальных машин для виртуальных машин Azure
Мониторинг Microsoft Defender для облака
Встроенные определения политики Azure : Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| обновления системы должны быть установлены на ваших компьютерах | Отсутствующие обновления системы безопасности на серверах будут отслеживаться Центром безопасности Azure в качестве рекомендаций | AuditIfNotExists, отключен | 4.0.0 |
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: Обновления системы должны быть установлены на компьютерах (на базе Центра обновлений) | На ваших компьютерах отсутствуют системные, безопасностные и критически важные обновления. Обновления программного обеспечения часто включают критически важные исправления в дыры безопасности. Такие дыры часто используются в атаках вредоносных программ, поэтому крайне важно поддерживать обновление программного обеспечения. Чтобы установить все невыполненные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, отключен | 1.0.0-preview |
Безопасность конечных точек
Дополнительные сведения см. в бенчмарке безопасности облачных решений Microsoft: Общая безопасность конечных точек.
ES-1. Используйте системы обнаружения и реакции на конечных устройствах (EDR)
Функции
Решение EDR
Описание: функция обнаружения и реагирования на конечных точках (EDR), такая как Azure Defender для серверов, может быть развернута на конечной точке. Узнайте больше.
| Поддержка | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
руководство по настройке: Azure Defender для серверов (с интегрированной службой Microsoft Defender для конечной точки) предоставляет возможности EDR для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Используйте Microsoft Defender для облака, чтобы развернуть Azure Defender для серверов для конечной точки и интегрировать оповещения в решение SIEM, например Azure Sentinel.
Справочник : Планирование развертывания Defender для серверов
ES-2. Использование современного программного обеспечения для защиты от вредоносных программ
Функции
Решение для защиты от вредоносных программ
описание: такие средства защиты от вредоносных программ, как антивирусная программа Microsoft Defender и Microsoft Defender для конечных точек, могут быть развернуты на этих устройствах. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
Руководство по настройке: Для Windows Server 2016 и более новых версий Microsoft Defender для антивируса устанавливается по умолчанию. Для Windows Server 2012 R2 и более поздних версий клиенты могут установить SCEP (System Center Endpoint Protection). Кроме того, клиенты также могут устанавливать сторонние продукты защиты от вредоносных программ.
: Defender для конечной точки подключения Windows Server
Мониторинг Microsoft Defender для облака
встроенные определения политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Проблемы с состоянием Endpoint Protection должны быть устранены на ваших компьютерах | Устраните проблемы работоспособности защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Здесь описаны поддерживаемые решения для защиты конечных точек в Центре безопасности Azure https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек описана здесь — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, отключен | 1.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| проблемы с работоспособностью защиты конечных точек необходимо устранить на ваших компьютерах | Устраните проблемы работоспособности защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Здесь описаны поддерживаемые решения для защиты конечных точек в Центре безопасности Azure https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек описана здесь — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, отключен | 1.0.0 |
ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ
Функции
Мониторинг работоспособности решений защиты от вредоносных программ
описание: решение для защиты от вредоносных программ обеспечивает мониторинг состояния работоспособности платформы, двигателя и автоматических обновлений сигнатур. Дополнительные сведения.
| Поддержанный | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Правда | Ложный | Клиент |
Заметки по функциям: Аналитика безопасности и обновления продуктов применяются к Защитнику для конечной точки, который можно установить на виртуальных машинах Windows.
руководство по настройке. Настройте антивирусную программу, чтобы гарантировать, что платформа, движок и сигнатуры обновляются быстро и последовательно, а их состояние можно отслеживать.
Мониторинг Microsoft Defender для Облака
Встроенные определения политики Azure — Microsoft.ClassicCompute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Проблемы со стабильностью Endpoint Protection следует устранить на ваших компьютерах | Устраните проблемы работоспособности защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Здесь описаны поддерживаемые решения для защиты конечных точек в Центре безопасности Azure https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек описана здесь — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, отключен | 1.0.0 |
встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффекты | Версия (GitHub) |
|---|---|---|---|
| проблемы с состоянием защиты Endpoint Protection следует устранить на ваших компьютерах | Устраните проблемы работоспособности защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Здесь описаны поддерживаемые решения для защиты конечных точек в Центре безопасности Azure https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Оценка защиты конечных точек описана здесь — https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, отключен | 1.0.0 |
Резервное копирование и восстановление
Дополнительные сведения см. в статье microsoft cloud security benchmark: Backup and Recovery.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Служба может быть защищена с помощью Azure Backup. Дополнительные сведения.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Ложный | Клиент |
Руководство по настройке. Включите Azure резервное копирование и настройте источник резервного копирования (например, виртуальные машины Azure, сервер SQL, базы данных HANA или общие папки) с желаемой частотой и с желаемым периодом хранения. Для виртуальных машин Azure можно использовать политику Azure для включения автоматического резервного копирования.
: параметры резервного копирования и восстановления виртуальных машин в Azure
Мониторинг Microsoft Defender для облака
Встроенные определения политики Azure — Microsoft.Compute:
| Имя (портал Azure) |
Описание | Эффект(ы) | Версия (GitHub) |
|---|---|---|---|
| Azure Backup следует включить для виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных для Azure. | AuditIfNotExists, отключен | 3.0.0 |
Дальнейшие действия
- Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
- Дополнительные сведения о базовых показателей безопасности Azure