Azure-säkerhetsbaslinje för Virtual Machine Scale Sets
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 till Virtual Machine Scale Sets. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Virtual Machine Scale Sets.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte gäller för Virtual Machine Scale Sets har exkluderats. Om du vill se hur Virtual Machine Scale Sets helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för Virtual Machine Scale Sets säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar beteendet med hög påverkan på Virtual Machine Scale Sets, vilket kan leda till ökade säkerhetsöverväganden.
Attribut för tjänstbeteende | Värde |
---|---|
Produktkategori | Compute |
Kunden kan komma åt HOST/OS | Fullständig åtkomst |
Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Virtuella nätverk och virtuella datorer i Azure
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
När du skapar en virtuell Azure-dator (VM) måste du skapa ett virtuellt nätverk eller använda ett befintligt virtuellt nätverk och konfigurera den virtuella datorn med ett undernät. Se till att alla distribuerade undernät har en nätverkssäkerhetsgrupp som tillämpas med nätverksåtkomstkontroller som är specifika för dina program betrodda portar och källor.
Referens: Nätverkssäkerhetsgrupper
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer | Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgruppen som minskar den potentiella attackytan | AuditIfNotExists, Inaktiverad | 3.0.0 |
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Funktionsanteckningar: Tjänster som är installerade med operativsystemet kan användas för att tillhandahålla nätverksfiltrering för inaktiverad åtkomst till offentliga nätverk.
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD autentisering för dataplansåtkomst. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet. Azure AD skyddar data med hjälp av stark kryptering för vilande data och under överföring. Azure AD även salter, hashvärden och lagrar autentiseringsuppgifter på ett säkert sätt. Du kan använda hanterade identiteter för att autentisera till alla tjänster som stöder Azure AD autentisering, inklusive Key Vault, utan några autentiseringsuppgifter i koden. Din kod som körs på en virtuell dator kan använda sin hanterade identitet för att begära åtkomsttoken för tjänster som stöder Azure AD autentisering.
Referens: Azure AD join-implementering
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Sant | Microsoft |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
SNABBMEDDELANDE 3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Referens: Hanterade identiteter för Azure-resurser
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Funktionsanteckningar: Tjänstens huvudnamn kan användas av program som körs i Virtual Machine Scale Sets.
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Tillägg för gästkonfiguration för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen är inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, Inaktiverad | 1.0.1 |
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Funktionsanteckningar: I dataplanet eller operativsystemet kan tjänster anropa Azure Key Vault för autentiseringsuppgifter eller hemligheter.
Konfigurationsvägledning: Se till att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler.
Privilegierad åtkomst
Mer information finns i Microsoft cloud security benchmark: Privileged access (Microsoft cloud security benchmark: Privileged access).
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala Admin-konton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Sant | Microsoft |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Skapa virtuella datorer i en skalningsuppsättning med Azure Portal
PA-7: Följ principen för precis tillräckligt med administration (minst behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Åtkomst till Azure-resurser via inbyggda rolltilldelningar. Azure RBAC-roller kan tilldelas till användare, grupper, tjänstens huvudnamn och hanterade identiteter.
Referens: Inbyggd roll för virtuell datordeltagare
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för identifiering och klassificering av data i tjänsten. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten stöder DLP-lösning för att övervaka känslig dataflytt (i kundens innehåll). Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data under överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Funktionsanteckningar: Vissa kommunikationsprotokoll, till exempel SSH, krypteras som standard. Tjänster som RDP eller HTTP måste dock konfigureras för att använda TLS för kryptering.
Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns en inbyggd funktion för överföringskryptering inbyggd. Framtvinga HTTPS på alla webbprogram och tjänster och se till att TLS v1.2 eller senare används. Äldre versioner, till exempel SSL 3.0, TLS v1.0 bör inaktiveras. För fjärrhantering av Virtual Machines använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.
Referens: Kryptering under överföring på virtuella datorer
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Windows-datorer bör konfigureras för att använda protokoll för säker kommunikation | För att skydda sekretessen för information som förmedlas via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) som är branschstandard. TLS skyddar kommunikationen över ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Kryptering av vilande data med plattformsnycklar
Beskrivning: Kryptering av vilande data med plattformsnycklar stöds. Allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Sant | Microsoft |
Funktionsanteckningar: Förutom standardkryptering med plattformshanterade nycklar kan känsliga kunder med hög säkerhet som är oroade över den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras nu välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturlagret med hjälp av plattformshanterade krypteringsnycklar och kundhanterade nycklar. Det här nya lagret kan tillämpas på bestående operativsystem och datadiskar, ögonblicksbilder och avbildningar, som alla krypteras i vila med dubbel kryptering.
Mer information finns i: Dubbel kryptering i vila.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: Azure Disk Encryption för Virtual Machine Scale Sets
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost. | Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med plattformshanterade nycklar. temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. Använd Azure Disk Encryption eller EncryptionAtHost för att kryptera alla dessa data. Besök https://aka.ms/diskencryptioncomparison för att jämföra krypteringserbjudanden. Den här principen kräver att två krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.2.0-förhandsversion |
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Vilande datakryptering med cmk
Beskrivning: Kryptering i vila med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfall och tjänstomfång där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Virtuella diskar på Virtual Machines (VM) krypteras i vila med antingen kryptering på serversidan eller Azure-diskkryptering (ADE). Azure Disk Encryption utnyttjar den DM-Crypt funktionen i Linux för att kryptera hanterade diskar med kundhanterade nycklar i den virtuella gästdatorn. Kryptering på serversidan med kundhanterade nycklar förbättrar ADE genom att du kan använda operativsystemtyper och avbildningar för dina virtuella datorer genom att kryptera data i lagringstjänsten.
När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Kundhanterade nycklar ger större flexibilitet för att hantera åtkomstkontroller. Du måste använda antingen Azure Key Vault eller Azure Key Vault Managed Hardware Security Module (HSM) för att lagra dina kundhanterade nycklar.
Du kan antingen importera dina RSA-nycklar till din Key Vault eller generera nya RSA-nycklar i Azure Key Vault. Azure-hanterade diskar hanterar kryptering och dekryptering på ett helt transparent sätt med hjälp av kuvertkryptering. Den krypterar data med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med dina nycklar. Lagringstjänsten genererar datakrypteringsnycklar och krypterar dem med kundhanterade nycklar med RSA-kryptering. Med kuvertkryptering kan du rotera (ändra) dina nycklar regelbundet enligt dina efterlevnadsprinciper utan att påverka dina virtuella datorer. När du roterar dina nycklar krypterar Lagringstjänsten om datakrypteringsnycklarna med de nya kundhanterade nycklarna.
Managed Disks och Key Vault eller hanterad HSM måste finnas i samma Azure-region, men de kan finnas i olika prenumerationer. De måste också finnas i samma Azure Active Directory-klientorganisation (Azure AD), såvida du inte krypterar hanterade diskar med kundhanterade nycklar mellan klientorganisationer.
Referens: Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption
DP-6: Använd en säker nyckelhanteringsprocess
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå bör du följa metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Kontrollera att nycklarna är registrerade med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Azure Policy kan användas för att definiera önskat beteende för organisationens virtuella Windows-datorer och virtuella Linux-datorer. Med hjälp av principer kan en organisation framtvinga olika konventioner och regler i hela företaget och definiera och implementera standardsäkerhetskonfigurationer för Azure Virtual Machine Scale Sets. Tillämpning av önskat beteende kan bidra till att minska risken och samtidigt bidra till att organisationen lyckas.
Referens: Inbyggda Azure Policy definitioner för Virtual Machine Scale Sets
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Virtuella datorer ska migreras till nya Azure-Resource Manager resurser | Använd nya Azure-Resource Manager för dina virtuella datorer för att ge säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhet Management | Granska, neka, inaktiverad | 1.0.0 |
AM-5: Använd endast godkända program på en virtuell dator
Funktioner
Microsoft Defender för molnet – Anpassningsbara programkontroller
Beskrivning: Tjänsten kan begränsa vilka kundprogram som körs på den virtuella datorn med hjälp av anpassningsbara programkontroller i Microsoft Defender för molnet. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnanpassade programkontroller för att identifiera program som körs på virtuella datorer och generera en lista över tillåtna program som kräver vilka godkända program som kan köras i VM-miljön.
Referens: Använd anpassningsbara programkontroller för att minska dina datorers attackytor
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer | Aktivera programkontroller för att definiera listan över kända säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att härda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända säkra program. | AuditIfNotExists, Inaktiverad | 3.0.0 |
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Defender för servrar utökar skyddet till dina Windows- och Linux-datorer som körs i Azure. Defender för servrar integreras med Microsoft Defender för Endpoint för att tillhandahålla slutpunktsidentifiering och svar (EDR) och tillhandahåller även en mängd ytterligare hotskyddsfunktioner, till exempel säkerhetsbaslinjer och utvärderingar på os-nivå, genomsökning av sårbarhetsbedömning, anpassningsbara programkontroller (AAC), övervakning av filintegritet (FIM) med mera.
Referens: Översikt över Microsoft Defender för servrar
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används vid attacker mot skadlig kod samtidigt som företag kan balansera sina säkerhetsrisker och produktivitetskrav (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Azure Monitor börjar automatiskt samla in måttdata för den virtuella datorvärden när du skapar den virtuella datorn. Om du vill samla in loggar och prestandadata från gästoperativsystemet på den virtuella datorn måste du dock installera Azure Monitor-agenten. Du kan installera agenten och konfigurera samlingen med vm-insikter eller genom att skapa en datainsamlingsregel.
Referens: Översikt över Log Analytics-agenten
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer | Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade funktioner för nätverksskydd, till exempel trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. | AuditIfNotExists, inaktiverad | 1.0.2-förhandsversion |
Status- och sårbarhetshantering
Mer information finns i Microsofts benchmark för molnsäkerhet: Hantering av hållning och sårbarhet.
PV-3: Definiera och upprätta säkra konfigurationer för beräkningsresurser
Funktioner
Azure Automation State Configuration
Beskrivning: Azure Automation State Configuration kan användas för att upprätthålla operativsystemets säkerhetskonfiguration. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Azure Automation State Configuration för att underhålla operativsystemets säkerhetskonfiguration. Azure Automation State Configuration är en Azure-konfigurationshanteringstjänst som gör att du kan skriva, hantera och kompilera PowerShell Desired State Configuration-konfigurationer (DSC) för noder.
Azure Automation State Configuration ger flera fördelar jämfört med användningen av DSC utanför Azure. Den här tjänsten möjliggör skalbarhet över tusentals datorer snabbt och enkelt från en central och säker plats. Du kan enkelt aktivera datorer, tilldela dem deklarativa konfigurationer och visa rapporter som visar varje dators kompatibilitet med det önskade tillstånd som du anger.
Referens: Använda Virtual Machine Scale Sets med Azure DSC-tillägget
Azure Policy gästkonfigurationsagent
Beskrivning: Azure Policy gästkonfigurationsagent kan installeras eller distribueras som ett tillägg till beräkningsresurser. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet och Azure Policy gästkonfigurationsagent för att regelbundet utvärdera och åtgärda konfigurationsavvikelser på dina virtuella datorer.
Referens: Förstå gästkonfigurationsfunktionen i Azure Policy
Anpassade VM-avbildningar
Beskrivning: Tjänsten stöder användning av vm-avbildningar från användare eller fördefinierade avbildningar från Marketplace med vissa baslinjekonfigurationer förinställda. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Använd en förkonfigurerad förstärkt avbildning från en betrodd leverantör som Microsoft eller skapa en önskad säker konfigurationsbaslinje i mallen för VM-avbildningar
Referens: Skapa och använda en anpassad avbildning för VM-skalningsuppsättningar med Azure PowerShell
PV-4: Granska och framtvinga säkra konfigurationer för beräkningsresurser
Funktioner
Betrodd virtuell startdator
Beskrivning: Betrodd start skyddar mot avancerade och beständiga attacktekniker genom att kombinera infrastrukturtekniker som säker start, vTPM och integritetsövervakning. Varje teknik ger ytterligare ett lager av skydd mot sofistikerade hot. Betrodd start möjliggör säker distribution av virtuella datorer med verifierade startinläsare, OS-kernels och drivrutiner och skyddar på ett säkert sätt nycklar, certifikat och hemligheter på de virtuella datorerna. Betrodd start ger också insikter och förtroende för hela startkedjans integritet och säkerställer att arbetsbelastningar är betrodda och verifierbara. Betrodd start är integrerat med Microsoft Defender för molnet för att säkerställa att virtuella datorer är korrekt konfigurerade, genom att fjärrattestera att den virtuella datorn startas på ett felfritt sätt. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Funktionsanteckning: Betrodd start är tillgängligt för virtuella datorer i generation 2. En betrodd start kräver att nya virtuella datorer skapas. Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Konfigurationsvägledning: Betrodd start kan aktiveras under distributionen av den virtuella datorn. Aktivera alla tre – Säker start, vTPM och integritetsstartövervakning för att säkerställa den virtuella datorns bästa säkerhetsstatus. Observera att det finns några krav, bland annat att registrera din prenumeration för Microsoft Defender för molnet, tilldela vissa Azure Policy initiativ och konfigurera brandväggsprinciper.
Referens: Distribuera en virtuell dator med betrodd start aktiverad
PV-5: Utföra sårbarhetsbedömningar
Funktioner
Sårbarhetsbedömning med Microsoft Defender
Beskrivning: Tjänsten kan genomsökas efter sårbarhetsgenomsökning med hjälp av Microsoft Defender för molnet eller andra Microsoft Defender tjänster för inbäddad sårbarhetsbedömning (inklusive Microsoft Defender för server, containerregister, App Service, SQL och DNS). Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Följ rekommendationerna från Microsoft Defender för molnet för att utföra sårbarhetsbedömningar på dina virtuella Azure-datorer.
Referens: Översikt över Microsoft Defender för servrar
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
En lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje program för cyberrisker och säkerhet är identifiering och analys av sårbarheter. Azure Security Center standardprisnivå inkluderar sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, Inaktiverad | 3.0.0 |
PV-6: Åtgärda säkerhetsrisker snabbt och automatiskt
Funktioner
Azure Automation – Uppdateringshantering
Beskrivning: Tjänsten kan använda Azure Automation Uppdateringshantering för att distribuera korrigeringar och uppdateringar automatiskt. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Microsoft erbjuder andra funktioner som hjälper dig att hantera uppdateringar för dina virtuella Azure-datorer eller Skalningsuppsättningar för virtuella Azure-datorer som du bör överväga som en del av din övergripande strategi för uppdateringshantering.
Om du är intresserad av att utvärdera och uppdatera dina virtuella Azure-datorer automatiskt, för att på så vis kunna upprätthålla säkerhetsefterlevnad med kritiska uppdateringar och säkerhetsuppdateringar som släpps varje månad, så läs Automatisk VM-gästuppdatering. Det här är en alternativ lösning för uppdateringshantering för dina virtuella Azure-datorer så att de kan uppdateras automatiskt under låg belastning, inklusive virtuella datorer i en tillgänglighetsuppsättning, istället för att uppdateringsdistributioner till de virtuella datorerna ska hanteras från Uppdateringshantering i Azure Automation.
Om du hanterar skalningsuppsättningar för virtuella Azure-datorer granskar du hur du utför automatiska uppgraderingar av operativsystemavbildningar på ett säkert sätt och automatiskt uppgraderar OS-disken för alla instanser i skalningsuppsättningen.
Mer information finns i: Automatiska avbildningsuppgraderingar för Azure Virtual Machine Scale Set.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Azure Guest Patching Service
Beskrivning: Tjänsten kan använda Azure Guest Patching för att distribuera korrigeringar och uppdateringar automatiskt. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Tjänster kan utnyttja de olika uppdateringsmekanismerna, till exempel automatiska operativsystemavbildningsuppgraderingar och automatisk gästkorrigering. Funktionerna rekommenderas för att tillämpa de senaste säkerhetsuppdateringarna och kritiska uppdateringar på den virtuella datorns gästoperativsystem genom att följa principerna för säker distribution.
Med automatisk gästkorrigering kan du automatiskt utvärdera och uppdatera dina virtuella Azure-datorer för att upprätthålla säkerhetsefterlevnad med kritiska uppdateringar och säkerhetsuppdateringar som släpps varje månad. Uppdateringar tillämpas under låg belastning, inklusive virtuella datorer i en tillgänglighetsuppsättning. Den här funktionen är tillgänglig för VMSS – flexibel orkestrering, med framtida stöd i översikten för uniformsorkestrering.
Om du kör en tillståndslös arbetsbelastning är automatiska os-avbildningsuppgraderingar idealiska för att tillämpa den senaste uppdateringen för din VMSS Uniform. Med återställningsfunktionen är dessa uppdateringar kompatibla med Marketplace eller anpassade avbildningar. Framtida löpande uppgraderingsstöd i översikten för flexibel orkestrering.
Referens: Automatisk uppdatering av virtuella datorer för virtuella Azure-datorer
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Systemuppdateringar bör installeras på dina datorer (drivs av Update Center) | Dina datorer saknar system-, säkerhets- och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. | AuditIfNotExists, Inaktiverad | 1.0.0-förhandsversion |
Slutpunktsskydd
Mer information finns i Microsoft Cloud Security Benchmark: Endpoint Security.
ES-1: Använd Slutpunktsidentifiering och svar (EDR)
Funktioner
EDR-lösning
Beskrivning: EDR-funktionen (Endpoint Detection and Response), till exempel Azure Defender för servrar, kan distribueras till slutpunkten. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Azure Defender för servrar (med Microsoft Defender för Endpoint integrerade) ger EDR-funktioner för att förhindra, identifiera, undersöka och svara på avancerade hot. Använd Microsoft Defender för molnet för att distribuera Azure Defender för servrar för slutpunkten och integrera aviseringarna i SIEM-lösningen, till exempel Azure Sentinel.
Referens: Integrerad licens för Microsoft Defender för Endpoint
ES-2: Använd modern programvara mot skadlig kod
Funktioner
Lösning mot skadlig kod
Beskrivning: Funktionen mot skadlig kod, till exempel Microsoft Defender Antivirus, Microsoft Defender för Endpoint kan distribueras på slutpunkten. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: För Windows Server 2016 och senare installeras Microsoft Defender för Antivirus som standard. För Windows Server 2012 R2 och senare kan kunder installera SCEP (System Center Endpoint Protection). För Linux kan kunderna välja att installera Microsoft Defender för Linux. Alternativt kan kunderna också välja att installera produkter mot skadlig kod från tredje part.
Referens: Microsoft Antimalware för Azure Cloud Services och Virtual Machines
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Azure Security Center slutpunktsskyddslösningar som stöds dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Inaktiverad | 1.0.0 |
ES-3: Se till att programvara och signaturer mot skadlig kod uppdateras
Funktioner
Hälsoövervakning av lösning mot skadlig kod
Beskrivning: Lösningen mot skadlig kod ger hälsostatusövervakning för uppdateringar av plattform, motor och automatisk signatur. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Konfigurationsvägledning: Konfigurera din lösning mot skadlig kod för att säkerställa att plattformen, motorn och signaturerna uppdateras snabbt och konsekvent och att deras status kan övervakas.
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Problem med slutpunktsskyddshälsa bör lösas på dina datorer | Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Azure Security Center slutpunktsskyddslösningar som stöds dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Inaktiverad | 1.0.0 |
Säkerhetskopiering och återställning
Mer information finns i Microsoft cloud security benchmark: Backup and recovery (Microsoft cloud security benchmark: Backup and recovery).
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
Stöds | Aktiverad som standard | Konfigurationsansvar |
---|---|---|
Sant | Falskt | Kund |
Funktionsanteckningar: Stöds för VMSS Flex och inte VMSS Uniform
Konfigurationsvägledning: Aktivera Azure Backup och rikta Azure Virtual Machines (VM) samt önskad frekvens och kvarhållningsperioder. Detta inkluderar fullständig säkerhetskopiering av systemtillstånd. Om du använder Azure-diskkryptering hanterar Säkerhetskopiering av virtuella Azure-datorer automatiskt säkerhetskopieringen av kundhanterade nycklar. För Azure Virtual Machines kan du använda Azure Policy för att aktivera automatiska säkerhetskopieringar.
Referens: Ta en ögonblicksbild av en vm-skalningsuppsättningsinstans och hanterad disk
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Compute:
Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
---|---|---|---|
Azure Backup ska aktiveras för Virtual Machines | Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, Inaktiverad | 3.0.0 |