Azure-säkerhetsbaslinje för Azure Monitor
Den här säkerhetsbaslinjen mappar vägledningen från Microsoft cloud security benchmark version 1.0 till de Azure Monitor-funktioner som du bör använda för att implementera vägledningen. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du skyddar dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Azure Monitor.
Du kan övervaka säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Avsnittet Regelefterlevnad på microsoft Defender för molnet-portalen visar en lista över Azure Policy-definitioner.
Den här baslinjen innehåller Azure Policy Definitioner som är relevanta för specifika funktioner som hjälper dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Du kan behöva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Kommentar
Funktioner som inte gäller för Azure Monitor har exkluderats. Om du vill se hur Azure Monitor helt mappar till Microsoft Cloud Security Benchmark kan du läsa den fullständiga mappningsfilen för Azure Monitor-säkerhetsbaslinjen.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure Monitor, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | DevOps, Säkerhet |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt) såvida det inte finns en stark anledning att tilldela offentliga IP-adresser direkt till resursen.
Referens: Använd Azure Private Link för att ansluta nätverk till Azure Monitor
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
Referens: IP-adresser som används av Azure Monitor
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Med Azure Private Link kan du på ett säkert sätt länka Azure Platform as a Service-resurser (PaaS) till ditt virtuella nätverk med hjälp av privata slutpunkter. Azure Monitor är en konstellation av olika sammankopplade tjänster som fungerar tillsammans för att övervaka dina arbetsbelastningar. En Privat Azure Monitor-länk ansluter en privat slutpunkt till en uppsättning Azure Monitor-resurser och definierar gränserna för ditt övervakningsnätverk. Den uppsättningen kallas för ett Azure Monitor Private Link-omfång (AMPLS).
Referens: Använd Azure Private Link för att ansluta nätverk till Azure Monitor
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av växeln "Inaktivera åtkomst till offentligt nätverk". Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med hjälp av ip-ACL-filtreringsregeln på tjänstnivå eller en växlare för offentlig nätverksåtkomst. Se ytterligare information här: Använda Azure Monitor Private Link Scope (AMPLS)
Referens: Använd Azure Private Link för att ansluta nätverk till Azure Monitor
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Microsoft Entra-autentisering krävs för dataplansåtkomst
Description: Tjänsten stöder användning av Microsoft Entra-autentisering för dataplansåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure Monitor Agent använder hanterade identiteter och Microsoft Entra-autentisering som standard och dokumenteras här: Azure Monitor Agent-krav
Application Insights måste konfigureras för att framtvinga Microsoft Entra-autentisering, vilket beskrivs här Microsoft Entra-autentisering för Application Insights
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Microsoft Entra-autentisering för Application Insights
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Hanterad identitet måste vara aktiverad på virtuella Azure-datorer innan Azure Monitor-agenten installeras. Krav för Azure Monitor-agent
Konfigurationsvägledning: Använd hanterade Azure-identiteter i stället för tjänstens huvudnamn när det är möjligt, vilket kan autentisera till Azure-tjänster och resurser som stöder Microsoft Entra-autentisering. Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Referens: Microsoft Entra-autentisering för Application Insights
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Detta gäller endast för Secure WebHooks.
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Referens: Skapa och hantera åtgärdsgrupper i Azure Portal
Privilegierad åtkomst
Mer information finns i Microsofts prestandamått för molnsäkerhet: Privilegierad åtkomst.
PA-7: Följ principen om minsta behörighet (Just Enough Administration)
Funktioner
Azure RBAC för dataplan
Beskrivning: Rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Roller, behörigheter och säkerhet i Azure Monitor
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Endast tillgängligt när Azure Monitor Log Analytics har konfigurerats med ett dedikerat kluster.
Konfigurationsvägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden. Detta gäller endast för loggdata i dedikerade kluster.
Referens: Kundlåsbox (förhandsversion)
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data i överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplan. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Alla konfigurerade som standard, förutom datainmatning.
För Log Analytics
Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns inbyggda data i den inbyggda funktionen för överföringskryptering. Framtvinga HTTPS på alla webbprogram och tjänster och se till att TLS v1.2 eller senare används. Äldre versioner som SSL 3.0, TLS v1.0 bör inaktiveras. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Vilande datakryptering med hjälp av CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Azure Monitor-data är data om tjänsternas hälsotillstånd och skyddas inte av Customer Lockbox som standard. Endast loggar kan skyddas av Lockbox och endast för dedikerade kluster.
Konfigurationsvägledning: Azure Monitor-data är endast avsedda för tjänsthälsodata och endast loggdata som lagras i dedikerade kluster tillåter användning av kundhanterade nycklar för data i vilokryptering. Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfattningen där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Referens: Kundhanterad nyckel i Azure Monitor
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sina egna datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Diagnostikinställningar i Azure Monitor
Säkerhetskopiering och återställning
Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Nästa steg
- Se översikten över Microsoft Cloud Security Benchmark
- Läs mer om säkerhetsbaslinjer för Azure