Azure-säkerhetsbaslinje för Machine Learning Service
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 till Machine Learning Service. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Machine Learning Service.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte är tillämpliga för Machine Learning Service har exkluderats. Om du vill se hur Machine Learning Service mappar helt till Microsofts benchmark för molnsäkerhet kan du läsa den fullständiga mappningsfilen för Säkerhetsbaslinje för Machine Learning Service.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar beteendet för Machine Learning Service med stor påverkan, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | AI+ML |
| Kunden kan komma åt HOST/OS | Fullständig åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Falskt |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta nätverkssegmenteringsgränser
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Delad |
Konfigurationsvägledning: Använd hanterad nätverksisolering för att tillhandahålla automatisk nätverksisolering.
Obs! Du kan också använda ditt virtuella nätverk för Azure Machine Learning-resurser, men flera typer av databehandling stöds inte.
Referens: Skydda Azure Machine Learning-arbetsyteresurser med hjälp av virtuella nätverk (VNet)
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Delad |
Konfigurationsvägledning: Använd hanterad nätverksisolering för att tillhandahålla automatisk nätverksisolering, vilket omfattar inkommande och utgående konfigurationer med hjälp av NSG.
Obs! Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
Referens: Planera för nätverksisolering
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.
Referens: Konfigurera en privat slutpunkt för en Azure Machine Learning-arbetsyta
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentligt nätverk antingen via filtreringsregeln IP ACL på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med hjälp av filtreringsregeln för IP-åtkomst på tjänstnivå eller en växlingsväxel för åtkomst till offentligt nätverk.
Referens: Konfigurera en privat slutpunkt för en Azure Machine Learning-arbetsyta
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.MachineLearningServices:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Machine Learning Computes bör finnas i ett virtuellt nätverk | Virtuella Azure-nätverk ger förbättrad säkerhet och isolering för dina Azure Machine Learning-beräkningskluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en beräkning konfigureras med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket. | Granskning, inaktiverad | 1.0.1 |
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för åtkomst till dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Konfigurera autentisering för Azure Machine Learning-resurser och arbetsflöden
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd hanterade Azure-identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera mot Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifterna för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Referens: Konfigurera autentisering mellan Azure Machine Learning och andra tjänster
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Referens: Konfigurera autentisering mellan Azure Machine Learning och andra tjänster
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Dataplansåtkomst kan styras med hjälp av Azure AD principer för villkorsstyrd åtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllt inloggningsbeteende eller kräva organisationshanterade enheter för specifika program.
Referens: Använd villkorsstyrd åtkomst
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Se till att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler.
Referens: Använda hemligheter för autentiseringsuppgifter i Azure Machine Learning-jobb
Privilegierad åtkomst
Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala Admin-konton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Åtkomst till Azure-resurser via inbyggda rolltilldelningar. Azure RBAC-roller kan tilldelas till användare, grupper, tjänstens huvudnamn och hanterade identiteter.
Referens: Hantera åtkomst till en Azure Machine Learning-arbetsyta
PA-8: Fastställa åtkomstprocess för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för identifiering och klassificering av data i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd verktyg som Azure Purview, Azure Information Protection och Azure SQL dataidentifiering och -klassificering för att centralt genomsöka, klassificera och märka känsliga data som finns i Azure, lokalt, Microsoft 365 eller andra platser.
Referens: Ansluta till och hantera Azure Machine Learning i Microsoft Purview
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten stöder DLP-lösning för att övervaka känslig dataflytt (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Om det krävs för efterlevnad av dataförlustskydd (DLP) kan du använda en konfiguration för dataexfiltreringsskydd. Isolering av hanterat nätverk har också stöd för dataexfiltreringsskydd.
Referens: Dataexfiltreringsskydd i Azure Machine Learning
DP-3: Kryptera känsliga data under överföring
Funktioner
Data under överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure Machine Learning använder TLS för att skydda intern kommunikation mellan olika Azure Machine Learning-mikrotjänster. All Azure Storage-åtkomst sker också via en säker kanal.
Information om hur du skyddar en Kubernetes-onlineslutpunkt som skapas via Azure Machine Learning finns i: Konfigurera en säker onlineslutpunkt med TLS/SSL
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Kryptering under överföring
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Kryptering av vilande data med plattformsnycklar
Beskrivning: Kryptering av vilande data med plattformsnycklar stöds. Allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Datakryptering med Azure Machine Learning
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Vilande datakryptering med cmk
Beskrivning: Kryptering i vila med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfånget där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Referens: Kundhanterade nycklar för Azure Machine Learning
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.MachineLearningServices:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel | Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kundhanterade nycklar gör att data kan krypteras med en Azure-Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. | Granska, neka, inaktiverad | 1.0.3 |
DP-6: Använd en säker nyckelhanteringsprocess
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå bör du följa metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Kontrollera att nycklarna är registrerade med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Kundhanterade nycklar för Azure Machine Learning
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault integrering för alla kundcertifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och tillämpa konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Referens: Azure Policy inbyggda principdefinitioner för Azure Machine Learning
AM-5: Använd endast godkända program på en virtuell dator
Funktioner
Microsoft Defender för molnet – Anpassningsbara programkontroller
Beskrivning: Tjänsten kan begränsa vilka kundprogram som körs på den virtuella datorn med hjälp av anpassningsbara programkontroller i Microsoft Defender för molnet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för övervakning och avisering om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Om du använder egna anpassade containrar eller kluster för Azure Machine Learning bör du aktivera genomsökning av din Azure Container Registry resurs och Azure Kubernetes Service resurser via Microsoft Defender för molnet. Men Microsoft Defender för molnet kan inte användas i Azure Machine Learning-hanterade beräkningsinstanser eller beräkningskluster.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Key Vault stöder till exempel ytterligare resursloggar för åtgärder som hämtar en hemlighet från ett nyckelvalv eller och Azure SQL har resursloggar som spårar begäranden till en databas. Innehållet i resursloggarna varierar beroende på Tjänst- och resurstyp i Azure.
Referens: Övervaka Azure Machine Learning
Status- och sårbarhetshantering
Mer information finns i Microsoft cloud security benchmark: Posture and vulnerability management (Microsoft cloud security benchmark: Posture and vulnerability management).
PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser
Funktioner
Azure Automation State Configuration
Beskrivning: Azure Automation State Configuration kan användas för att upprätthålla operativsystemets säkerhetskonfiguration. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Azure Policy gästkonfigurationsagent
Beskrivning: Azure Policy gästkonfigurationsagent kan installeras eller distribueras som ett tillägg till beräkningsresurser. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet och Azure Policy gästkonfigurationsagent för att regelbundet utvärdera och åtgärda konfigurationsavvikelser för dina Azure-beräkningsresurser, inklusive virtuella datorer, containrar med mera.
Anpassade VM-avbildningar
Beskrivning: Tjänsten stöder användning av vm-avbildningar från användare eller fördefinierade avbildningar från Marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Avbildningar av anpassade containrar
Beskrivning: Tjänsten stöder användning av containeravbildningar från användare eller fördefinierade avbildningar från Marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd en förkonfigurerad förstärkt avbildning från en betrodd leverantör som Microsoft eller skapa önskad säker konfigurationsbaslinje i containeravbildningsmallen
Referens: Träna en modell med hjälp av en anpassad Docker-avbildning
PV-5: Utföra sårbarhetsbedömningar
Funktioner
Sårbarhetsbedömning med hjälp av Microsoft Defender
Beskrivning: Tjänsten kan genomsökas efter sårbarhetsgenomsökning med hjälp av Microsoft Defender för molnet eller andra Microsoft Defender services inbäddade sårbarhetsbedömningsfunktioner (inklusive Microsoft Defender för server, containerregister, App Service, SQL och DNS). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Defender for Server-agentinstallation stöds för närvarande inte, men Trivy kan installeras på beräkningsinstanserna för att identifiera sårbarheter på operativsystem- och Python-paketnivå.
Mer information finns i: Sårbarhetshantering för Azure Machine Learning
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt
Funktioner
Azure Automation – Uppdateringshantering
Beskrivning: Tjänsten kan använda Azure Automation Uppdateringshantering för att distribuera korrigeringar och uppdateringar automatiskt. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Beräkningskluster uppgraderas automatiskt till den senaste VM-avbildningen. Om klustret har konfigurerats med min nodes = 0 uppgraderas noderna automatiskt till den senaste versionen av VM-avbildningen när alla jobb har slutförts och klustret minskar till noll noder.
Beräkningsinstanser får de senaste VM-avbildningarna när de etableras. Microsoft släpper nya VM-avbildningar månadsvis. När en beräkningsinstans har distribuerats uppdateras den inte aktivt. Om du vill hålla dig uppdaterad med de senaste programuppdateringarna och säkerhetskorrigeringarna kan du:
Återskapa en beräkningsinstans för att hämta den senaste OS-avbildningen (rekommenderas)
Du kan också regelbundet uppdatera OS- och Python-paket.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Slutpunktsskydd
Mer information finns i Microsoft Cloud Security Benchmark: Endpoint Security.
ES-1: Använd slutpunktsidentifiering och svar (EDR)
Funktioner
EDR-lösning
Beskrivning: Funktionen Slutpunktsidentifiering och svar (EDR), till exempel Azure Defender för servrar, kan distribueras till slutpunkten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
ES-2: Använd modern programvara mot skadlig kod
Funktioner
Lösning mot skadlig kod
Beskrivning: Funktionen mot skadlig kod, till exempel Microsoft Defender Antivirus, Microsoft Defender för Endpoint kan distribueras på slutpunkten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: ClamAV kan användas för att identifiera skadlig kod och förinstalleras på beräkningsinstansen.
Referens: Sårbarhetshantering på beräkningsvärdar
ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras
Funktioner
Hälsoövervakning av lösningar mot skadlig kod
Beskrivning: Lösningen mot skadlig kod ger hälsostatusövervakning för uppdateringar av plattformar, motorer och automatiska signaturer. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: ClamAV kan användas för att identifiera skadlig kod och kommer förinstallerat på beräkningsinstansen.
Säkerhetskopiering och återställning
Mer information finns i Microsoft cloud security benchmark: Backup and recovery (Microsoft cloud security benchmark: Backup and recovery).
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tjänstens interna säkerhetskopieringsfunktion
Beskrivning: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.