Skapa en baslinje för virtuell Azure-dator

  • 5 minuter

Azure Policy är en Azure-tjänst som du kan använda för att skapa, tilldela och hantera principer. De principer som du skapar tillämpar olika regler och effekter på dina resurser så att dessa resurser följer företagets standarder och serviceavtal. Azure Policy gör detta genom att utvärdera resursernas kompatibilitet med hjälp av tilldelade principer. Du kan till exempel ha en princip för att endast tillåta en viss SKU-storlek på den virtuella datorn i din miljö. När principen har implementerats utvärderas kompatibiliteten hos nya och befintliga resurser. Med rätt typ av princip kan du anpassa befintliga resurser till efterlevnad.

Säkerhetsrekommendationer för virtuella Azure-datorer

I följande avsnitt beskrivs säkerhetsrekommendationerna för virtuella Azure-datorer som finns i CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. De grundläggande stegen som ska slutföras i Azure Portal ingår i varje rekommendation. Du bör slutföra de här stegen för din egen prenumeration och använda dina egna resurser för att verifiera varje säkerhetsrekommendation. Tänk på att alternativ för nivå 2 kan begränsa vissa funktioner eller aktiviteter. Därför bör du noga se över vilka säkerhetsalternativ som du vill framtvinga.

Kontrollera att OS-diskar är krypterade – nivå 1

Azure Disk Encryption hjälper till att skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Azure Disk Encryption:

  • Använder BitLocker-funktionen i Windows och DM-Crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna på virtuella Azure-datorer.
  • Integrerar med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter.
  • Säkerställer att alla data på de virtuella datordiskarna krypteras i vila när de finns i Azure Storage.

Azure Disk Encryption för virtuella Windows-datorer och virtuella Linux-datorer finns i allmän tillgänglighet i alla offentliga Azure-regioner och Azure Government-regioner för virtuella standarddatorer och virtuella datorer med Azure Premium Storage.

Om du använder Microsoft Defender för molnet (rekommenderas) aviseras du om du har virtuella datorer som inte är krypterade. Slutför följande steg för varje virtuell dator i din Azure-prenumeration.

  1. Logga in på Azure-portalen. Sök efter Virtuella datorer.

  2. Välj en virtuell dator.

  3. Välj Diskar under Inställningar i den vänstra menyn.

  4. Under OS-disk kontrollerar du att OS-disken har en krypteringstypuppsättning.

  5. Under Datadiskar kontrollerar du att varje disk har en krypteringstypuppsättning.

  6. Om du ändrar några inställningar väljer du Spara i menyraden.

Skärmbild som visar fönstret Diskar för virtuella datorer med krypteringstypen markerad.

Se till att endast godkända VM-tillägg är installerade – nivå 1

Azure VM-tillägg är små program som tillhandahåller konfigurations- och automatiseringsuppgifter efter distributionen på virtuella Azure-datorer. Om en virtuell dator till exempel kräver programinstallation eller antivirusskydd eller om den virtuella datorn behöver köra ett skript kan du använda ett VM-tillägg. Du kan köra ett Azure VM-tillägg med hjälp av Azure CLI, PowerShell, en Azure Resource Manager-mall eller Azure Portal. Du kan paketeringstillägg med en ny vm-distribution eller köra dem mot ett befintligt system. Om du vill använda Azure Portal för att säkerställa att endast godkända tillägg är installerade på dina virtuella datorer utför du följande steg för varje virtuell dator i din Azure-prenumeration.

  1. Logga in på Azure-portalen. Sök efter Virtuella datorer.

  2. Välj en virtuell dator.

  3. I den vänstra menyn under Inställningar väljer du Tillägg + program.

  4. I fönstret Tillägg + program kontrollerar du att de tillägg som visas är godkända för användning.

Skärmbild som visar V M-tillägg i fönstret Tillägg + program.

Se till att OS-korrigeringsfilerna för de virtuella datorerna tillämpas – nivå 1

Microsoft Defender för molnet övervakar virtuella Windows- och Linux-datorer dagligen för saknade operativsystemuppdateringar. Defender för molnet hämtar en lista över tillgängliga säkerhetsuppdateringar och kritiska uppdateringar från Windows Update eller Windows Server Update Services (WSUS). Vilka uppdateringar du får beror på vilken tjänst du konfigurerar på Windows-datorn. Defender för molnet söker också efter de senaste uppdateringarna i Linux-system. Om den virtuella datorn eller datorn saknar en systemuppdatering rekommenderar Defender för molnet att du tillämpar systemuppdateringar.

  1. Logga in på Azure-portalen. Sök efter och välj Microsoft Defender för molnet.

  2. I den vänstra menyn under Allmänt väljer du Rekommendationer.

  3. I Rekommendationer kontrollerar du att det inte finns några rekommendationer för Tillämpa systemuppdateringar.

Skärmbild av fönstret Microsoft Defender för molnet rekommendationer.

Se till att virtuella datorer har en slutpunktsskyddslösning installerad och körs – nivå 1

Microsoft Defender för molnet övervakar statusen för skydd mot skadlig kod. Den rapporterar den här statusen i fönstret Problem med slutpunktsskydd. Defender för molnet belyser problem som identifierade hot och otillräckligt skydd, vilket kan göra dina virtuella datorer och datorer sårbara för hot mot skadlig kod. Genom att använda informationen i Problem med slutpunktsskydd kan du börja skapa en plan för att åtgärda eventuella problem som identifieras.

Använd samma process som beskrivs i föregående rekommendation.