Azure-säkerhetsbaslinje för Azure Resource Manager
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 till Azure Resource Manager. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Azure Resource Manager.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte gäller för Azure Resource Manager har exkluderats. Om du vill se hur Azure Resource Manager helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för Azure Resource Manager säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure Resource Manager, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | MGMT/Styrning |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Falskt |
| Lagrar kundinnehåll i vila | Falskt |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (får inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Distribuera privata slutpunkter för att upprätta en privat åtkomstpunkt för att hantera resurserna under rothanteringsgruppen (klientorganisationen).
Obs! Resurshantering Private Link resurser kan anslutas till en privat slutpunkt för att aktivera säker, privat åtkomst för hantering av Azure-resurser.
Referens: Skapa en privat länk för att hantera Azure-resurser
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Azure Resource Manager stöder privat anslutning via privata Azure-slutpunkter och resursen Resource Management Private Links. Möjligheten att inaktivera offentlig nätverksåtkomst är dock ännu inte tillgänglig.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Privilegierad åtkomst
Mer information finns i Microsoft cloud security benchmark: Privileged access (Microsoft cloud security benchmark: Privileged access).
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data under överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Migrera till TLS 1.2 för Azure Resource Manager
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med plattformsnycklar
Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Referens: Azure Policy inbyggda definitioner för Azure Resource Manager
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Microsoft Defender för Resource Manager övervakar resurshanteringsåtgärderna i din organisation, oavsett om de utförs via Azure Portal, Azure REST API:er, Azure CLI eller andra Programmatiska Azure-klienter. Defender for Cloud kör avancerad säkerhetsanalys för att identifiera hot och aviseringar om misstänkt aktivitet.
Referens: Översikt över Microsoft Defender för Resource Manager
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Resources:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappsattacker. | AuditIfNotExists, Inaktiverad | 1.0.3 |
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Aktivera resursloggar för Azure Resource Manager. När du skapar och hanterar resurser i Azure dirigeras dina begäranden via Azures kontrollplan, Azure Resource Manager. Med resursloggning kan du övervaka volymen och svarstiden för kontrollplansbegäranden som görs till Azure. Med dessa mått kan du observera trafik och svarstid för kontrollplansbegäranden i dina prenumerationer. Du kan till exempel nu ta reda på när dina begäranden har begränsats eller misslyckats genom att filtrera efter specifika statuskoder.
Referens: Azure Resource Manager-mått i Azure Monitor
Säkerhetskopiering och återställning
Mer information finns i Microsoft cloud security benchmark: Backup and recovery (Microsoft cloud security benchmark: Backup and recovery).
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Tjänstens interna säkerhetskopieringsfunktion
Beskrivning: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Azure Resource Manager mallexport kan inte användas för att samla in vilande data. För resurskonfigurationer rekommenderar vi att du skapar infrastruktur från källmallar och att du omdistribuerar från den sanningskällan när det behövs. Mallexport kan hjälpa bootstrap-processen, men den är inte tillräckligt robust för att ta hänsyn till haveriberedskap.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.