适用于虚拟机规模集的 Azure 安全基线

此安全基线将 Microsoft 云安全基准版本 1.0 中的指南应用于虚拟机规模集。 Microsoft Cloud 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按 Microsoft 云安全基准定义的安全控制措施以及适用于虚拟机规模集的相关指南进行分组。

可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy定义将在 Microsoft Defender for Cloud 门户页的“合规性”部分列出。

当功能具有相关的Azure Policy定义时,这些定义将列在此基线中,以帮助你衡量对 Microsoft 云安全基准控制和建议的合规性。 某些建议可能需要付费Microsoft Defender计划来实现某些安全方案。

注意

不适用于虚拟机规模集的功能已被排除。 若要查看虚拟机规模集如何完全映射到 Microsoft 云安全基准,请参阅完整的虚拟机规模集安全基线映射文件

安全配置文件

安全配置文件汇总了虚拟机规模集的高影响行为,这可能会导致增加安全注意事项。

服务行为属性
产品类别 计算
客户可以访问主机/OS 完全访问权限
可以将服务部署到客户的虚拟网络中 True
存储静态客户内容 True

网络安全性

有关详细信息,请参阅 Microsoft 云安全基准:网络安全

NS-1:建立网络分段边界

功能

虚拟网络集成

说明:服务支持部署到客户的专用虚拟网络 (VNet) 。 了解详细信息

支持 默认启用 配置责任
True True Microsoft

配置指南:无需其他配置,因为默认部署上已启用此功能。

参考Azure 中的虚拟网络和虚拟机

网络安全组支持

说明:服务网络流量遵循其子网上的网络安全组规则分配。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用网络安全组 (NSG) 按端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。 创建 NSG 规则以限制服务的开放端口(例如阻止从不受信任的网络访问管理端口)。 请注意,默认情况下,NSG 会拒绝所有入站流量,但会允许来自虚拟网络和 Azure 负载均衡器的流量。

(VM) 创建 Azure 虚拟机时,必须创建虚拟网络或使用现有虚拟网络,并使用子网配置 VM。 确保所有部署的子网都应用了网络安全组,且具有特定于应用程序受信任端口和源的网络访问控制。

参考网络安全组

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在面向 Internet 的虚拟机上应用自适应网络强化建议 Azure 安全中心会分析面向虚拟机的 Internet 的流量模式,并提供可减小潜在攻击面的网络安全组规则建议 AuditIfNotExists、Disabled 3.0.0

NS-2:使用网络控制保护云服务

功能

禁用公用网络访问

说明:服务支持通过使用服务级别 IP ACL 筛选规则 (非 NSG 或Azure 防火墙) 或使用“禁用公用网络访问”切换开关来禁用公用网络访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:与操作系统一起安装的服务可用于提供网络筛选,以便禁用公用网络访问。

配置指南:此功能配置目前没有 Microsoft 指南。 请查看并确定组织是否要配置此安全功能。

身份管理

有关详细信息,请参阅 Microsoft 云安全基准:标识管理

IM-1:使用集中式标识和身份验证系统

功能

数据平面访问所需的 Azure AD 身份验证

说明:服务支持使用 Azure AD 身份验证进行数据平面访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Azure Active Directory (Azure AD) 作为默认身份验证方法来控制数据平面访问。 Azure AD 通过对静态数据和传输中数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行加盐、哈希处理和安全存储操作。 可以使用托管标识向支持 Azure AD 身份验证的任何服务(包括密钥保管库)进行身份验证,无需在代码中包含任何凭据。 在虚拟机上运行的代码可以使用其托管标识来请求支持 Azure AD 身份验证的服务的访问令牌。

参考Azure AD 联接实现

数据平面访问的本地身份验证方法

说明:数据平面访问支持的本地身份验证方法,例如本地用户名和密码。 了解详细信息

支持 默认启用 配置责任
True True Microsoft

功能说明:避免使用本地身份验证方法或帐户,应尽可能禁用这些方法或帐户。 请尽可能使用 Azure AD 进行身份验证。

配置指南:无需其他配置,因为默认部署上已启用此功能。

IM-3:安全且自动地管理应用程序标识

功能

托管标识

说明:数据平面操作支持使用托管标识进行身份验证。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:尽可能使用 Azure 托管标识而不是服务主体,该服务主体可以向支持 Azure Active Directory (Azure AD) 身份验证的 Azure 服务和资源进行身份验证。 托管标识凭据由平台完全托管、轮换和保护,避免了在源代码或配置文件中使用硬编码凭据。

参考Azure 资源的托管标识

服务主体

说明:数据平面支持使用服务主体进行身份验证。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:在 虚拟机规模集 中运行的应用程序可以使用服务主体。

配置指南:此功能配置目前没有 Microsoft 指南。 请查看并确定组织是否要配置此安全功能。

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.0.1

IM-8:限制凭据和机密的泄露

功能

服务凭据和机密支持 Azure 密钥保管库中的集成和存储

说明:数据平面支持将 Azure 密钥保管库本机用于凭据和机密存储。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:在数据平面或操作系统中,服务可能会调用 Azure 密钥保管库以获取凭据或机密。

配置指南:确保机密和凭据存储在 Azure 密钥保管库 等安全位置,而不是将它们嵌入代码或配置文件中。

特权访问

有关详细信息,请参阅 Microsoft 云安全基准:特权访问

PA-1:隔离和限制高度特权/管理用户

功能

本地管理员帐户

说明:服务具有本地管理帐户的概念。 了解详细信息

支持 默认启用 配置责任
True True Microsoft

功能说明:避免使用本地身份验证方法或帐户,应尽可能禁用这些方法或帐户。 请尽可能使用 Azure AD 进行身份验证。

配置指南:无需其他配置,因为默认部署上已启用此功能。

参考使用 Azure 门户 在规模集中创建虚拟机

PA-7:遵循 Just Enough Administration(最小特权)原则

功能

用于数据平面的 Azure RBAC

说明:Azure Role-Based 访问控制 (Azure RBAC) 可用于管理对服务的数据平面操作的访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Azure 基于角色的访问控制 (Azure RBAC) 通过内置角色分配管理 Azure 资源访问。 可将 Azure RBAC 角色分配给用户、组、服务主体和托管标识。

参考虚拟机参与者的内置角色

PA-8:确定云提供商支持的访问流程

功能

客户密码箱

说明:客户密码箱可用于 Microsoft 支持访问。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:在 Microsoft 需要访问你的数据的支持方案中,请使用客户密码箱查看,然后批准或拒绝 Microsoft 的每个数据访问请求。

数据保护

有关详细信息,请参阅 Microsoft 云安全基准:数据保护

DP-1:对敏感数据进行发现、分类和标记

功能

敏感数据发现和分类

说明:Azure Purview 或 Azure 信息保护) 等工具 (可用于服务中的数据发现和分类。 了解详细信息

支持 默认启用 配置责任
False 不适用 不适用

配置指南:不支持此功能来保护此服务。

DP-2:监视针对敏感数据的异常情况和威胁

功能

数据泄露/丢失防护

说明:服务支持 DLP 解决方案,用于监视客户内容) 中的敏感数据移动 (。 了解详细信息

支持 默认启用 配置责任
False 不适用 不适用

配置指南:不支持此功能来保护此服务。

DP-3:加密传输中的敏感数据

功能

传输中数据加密

说明:服务支持数据平面的传输中数据加密。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:某些通信协议(如 SSH)默认加密。 但是,必须将 RDP 或 HTTP 等服务配置为使用 TLS 进行加密。

配置指南:在内置本机数据传输加密功能的服务中启用安全传输。 对任何 Web 应用程序和服务强制实施 HTTPS,并确保使用 TLS v1.2 或更高版本。 应禁用 SSL 3.0、TLS v1.0 等旧版本。 若要远程管理虚拟机,请使用适用于 Linux 的 SSH () 或适用于 Windows) 的 RDP/TLS (,而不是未加密的协议。

参考VM 中的传输中加密

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Windows 计算机应配置为使用安全通信协议 为了保护通过 Internet 通信的信息的隐私,计算机应使用最新版本的行业标准加密协议传输层安全性 (TLS) 。 TLS 通过加密计算机之间的连接来保护网络上的通信。 AuditIfNotExists、Disabled 4.1.1

DP-4:默认启用静态数据加密

功能

使用平台密钥加密静态数据

说明:支持使用平台密钥的静态数据加密,任何客户静态内容都使用这些 Microsoft 托管密钥进行加密。 了解详细信息

支持 默认启用 配置责任
True True Microsoft

功能说明:除了使用平台管理的密钥进行标准加密外,担心与任何特定加密算法、实现或密钥泄露相关的风险的高安全敏感客户现在可以选择在基础结构层使用平台托管加密密钥和客户管理的密钥使用不同的加密算法/模式来选择其他加密层。 这个新层可以应用于持久性 OS 和数据磁盘、快照和映像,所有这些都将通过双重加密进行静态加密。

有关详细信息,请访问: 静态双重加密

配置指南:无需其他配置,因为默认部署上已启用此功能。

参考适用于 虚拟机规模集 的 Azure 磁盘加密

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时也不加密。 使用 Azure 磁盘加密或 EncryptionAtHost 来加密所有这些数据。要对加密产品/服务进行比较,请访问 https://aka.ms/diskencryptioncomparison。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol AuditIfNotExists、Disabled 1.2.0-preview

DP-5:需要时在静态数据加密中使用客户管理的密钥选项

功能

使用 CMK 进行静态数据加密

说明:服务存储的客户内容支持使用客户管理的密钥进行静态数据加密。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:如果需要符合法规要求,请定义需要使用客户管理的密钥进行加密的用例和服务范围。 使用客户管理的密钥为这些服务启用和实施静态数据加密。

虚拟机 (VM) 上的虚拟磁盘使用服务器端加密或 Azure 磁盘加密 (ADE) 进行静态加密。 Azure 磁盘加密利用 Linux 的 DM-Crypt 功能,通过来宾 VM 中的客户托管密钥对托管磁盘进行加密。 使用客户托管密钥的服务器端加密改进了 ADE,它通过加密存储服务中的数据使你可以为 VM 使用任何 OS 类型和映像。

指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户托管密钥可以更灵活地管理访问控制。 必须使用 Azure 密钥保管库 或 Azure 密钥保管库 托管硬件安全模块 (HSM) 来存储客户管理的密钥。

可以将 RSA 密钥导入 Key Vault,也可以在 Azure Key Vault 中生成新的 RSA 密钥。 Azure 托管磁盘使用信封加密以完全透明的方式处理加密和解密。 它使用基于 AES 256 的数据加密密钥 (DEK) 对数据进行加密,DEK 反过来使用你的密钥进行保护。 存储服务生成数据加密密钥,并使用 RSA 加密通过客户托管密钥对其进行加密。 通过信封加密,可以根据合规性策略定期轮替(更改)密钥,而不会影响 VM。 轮替密钥时,存储服务会使用新的客户托管密钥对数据加密密钥进行重新加密。

托管磁盘与 Key Vault 或托管 HSM 必须位于同一 Azure 区域,但它们可以位于不同的订阅中。 它们还必须位于同一 Azure Active Directory (Azure AD) 租户中,除非 使用跨租户客户管理的密钥加密托管磁盘

参考为 Azure 磁盘加密创建和配置密钥保管库

DP-6:使用安全密钥管理流程

功能

Azure 密钥保管库中的密钥管理

说明:该服务支持任何客户密钥、机密或证书的 Azure 密钥保管库集成。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Azure 密钥保管库创建和控制加密密钥的生命周期,包括密钥生成、分发和存储。 根据定义的计划或者密钥停用或泄露时轮换和撤销 Azure 密钥保管库 和服务中的密钥。 如果需要在工作负载、服务或应用程序级别使用客户管理的密钥 (CMK) ,请确保遵循密钥管理的最佳做法:使用密钥层次结构生成单独的数据加密密钥, (DEK) 密钥加密密钥 (KEK) 密钥保管库中。 确保密钥注册到 Azure 密钥保管库,并通过服务或应用程序的密钥 ID 引用。 如果需要将自己的密钥 (BYOK) 引入服务 (,例如将受 HSM 保护的密钥从本地 HSM 导入 Azure 密钥保管库) ,请按照建议的准则执行初始密钥生成和密钥传输。

参考为 Azure 磁盘加密创建和配置密钥保管库

资产管理

有关详细信息,请参阅 Microsoft 云安全基准:资产管理

AM-2:仅使用已获批准的服务

功能

Azure Policy 支持

说明:可以通过Azure Policy监视和强制实施服务配置。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:Azure Policy可用于定义组织的 Windows VM 和 Linux VM 的所需行为。 通过使用策略,组织可以在整个企业中强制实施各种约定和规则,并为 Azure 虚拟机规模集定义和实施标准安全配置。 强制实施所需行为有助于消除风险,同时为组织的成功做出贡献。

参考虚拟机规模集的内置Azure Policy定义

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应将虚拟机迁移到新的 Azure 资源管理器资源 对虚拟机使用新的 Azure 资源管理器以提供安全增强功能,例如:更强的访问控制 (RBAC)、更佳审核功能、基于 Azure 资源管理器的部署和治理、对托管标识的访问、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及支持使用标记和资源组简化安全管理 Audit、Deny、Disabled 1.0.0

AM-5:仅在虚拟机中使用已获批准的应用程序

功能

Microsoft Defender for Cloud - 自适应应用程序控制

说明:服务可以使用 Microsoft Defender for Cloud 中的自适应应用程序控制来限制在虚拟机上运行的客户应用程序。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用云自适应应用程序控制Microsoft Defender发现虚拟机 (VM) 上运行的应用程序,并生成应用程序允许列表,以强制哪些批准的应用程序可以在 VM 环境中运行。

参考使用自适应应用程序控件减少计算机的攻击面

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机中启用自适应应用程序控制以定义安全应用程序 启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时向你发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 AuditIfNotExists、Disabled 3.0.0

日志记录和威胁检测

有关详细信息,请参阅 Microsoft 云安全基准:日志记录和威胁检测

LT-1:启用威胁检测功能

功能

适用于服务/产品的 Microsoft Defender

说明:服务具有特定于产品/服务的Microsoft Defender解决方案,用于监视安全问题并发出警报。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:Defender for Servers 将保护扩展到 Azure 中运行的 Windows 和 Linux 计算机。 Defender for Servers 与 Microsoft Defender for Endpoint 集成, (EDR) 提供终结点检测和响应,还提供大量其他威胁防护功能,例如安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制 (AAC) 、文件完整性监视 (FIM) 等。

参考服务器Microsoft Defender概述

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上启用 Windows Defender 攻击防护 Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 AuditIfNotExists、Disabled 2.0.0

LT-4:启用日志记录以进行安全调查

功能

Azure 资源日志

说明:服务生成可提供增强的服务特定指标和日志记录的资源日志。 客户可以配置这些资源日志,并将其发送到自己的数据接收器,例如存储帐户或日志分析工作区。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:创建 VM 时,Azure Monitor 会开始自动收集虚拟机主机的指标数据。 但是,若要从虚拟机的来宾操作系统收集日志和性能数据,必须安装 Azure Monitor 代理。 可以使用 VM 见解 或通过 创建数据收集规则来安装代理并配置收集。

参考Log Analytics 代理概述

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 AuditIfNotExists、Disabled 1.0.2-preview

态势和漏洞管理

有关详细信息,请参阅 Microsoft 云安全基准:态势和漏洞管理

PV-3:定义并建立计算资源的安全配置

功能

Azure 自动化状态配置

说明:Azure 自动化 State Configuration可用于维护操作系统的安全配置。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Azure 自动化 State Configuration 维护操作系统的安全配置。 Azure 自动化 State Configuration 是一项 Azure 配置管理服务,可用于编写、管理和编译 PowerShell Desired State Configuration (节点的 DSC) 配置。

与在 Azure 之外使用 DSC 相比,Azure Automation State Configuration 具有多项优势。 该服务可让你从中心的安全位置快速轻松地扩展到数千台计算机。 可以轻松启用计算机、为其分配声明性配置并查看显示每台计算机是否符合指定的所需状态的报告。

参考将 虚拟机规模集 与 Azure DSC 扩展配合使用

Azure Policy来宾配置代理

说明:Azure Policy来宾配置代理可以作为计算资源的扩展进行安装或部署。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用 Microsoft Defender for Cloud 和 Azure Policy 来宾配置代理定期评估和修正虚拟机上的配置偏差。

参考了解 Azure Policy 的来宾配置功能

自定义 VM 映像

说明:服务支持使用用户提供的 VM 映像或市场预生成的映像,并预先应用了某些基线配置。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:使用来自受信任供应商(如 Microsoft)的预配置强化映像,或在 VM 映像模板中构建所需的安全配置基线

参考为具有 Azure PowerShell 的虚拟机规模集创建和使用自定义映像

PV-4:审核并强制执行计算资源的安全配置

功能

受信任启动虚拟机

说明:受信任启动通过组合安全启动、vTPM 和完整性监视等基础结构技术,防范高级和持久性攻击技术。 每种技术都针对错综复杂的威胁提供另一层防御。 受信任的启动允许使用经过验证的启动加载程序、OS 内核和驱动程序安全部署虚拟机,并安全地保护虚拟机中的密钥、证书和机密。 受信任启动还提供对整个启动链完整性的见解和信心,并确保工作负载受信任且可验证。 受信任启动与 Microsoft Defender for Cloud 集成,通过远程证明 VM 以正常方式启动,确保正确配置 VM。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:受信任的启动可用于第 2 代 VM。 受信任启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。

配置指南:部署 VM 期间可能会启用受信任的启动。 启用这三项 - 安全启动、vTPM 和完整性启动监视,以确保虚拟机的最佳安全状况。 请注意,有几个先决条件,包括将订阅加入到 Microsoft Defender for Cloud、分配某些Azure Policy计划以及配置防火墙策略。

参考部署启用了受信任启动的 VM

PV-5:执行漏洞评估

功能

使用 Microsoft Defender 进行漏洞评估

说明:可以使用 Microsoft Defender for Cloud 或其他Microsoft Defender服务嵌入式漏洞评估功能扫描服务, (包括服务器、容器注册表、App 服务、SQL 和 DNS) 的Microsoft Defender。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:遵循 Microsoft Defender for Cloud 的建议,在 Azure 虚拟机上执行漏洞评估。

参考服务器Microsoft Defender概述

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0

PV-6:快速自动地修正漏洞

功能

Azure 自动化更新管理

说明:服务可以使用Azure 自动化更新管理来自动部署修补程序和更新。 了解详细信息

支持 默认启用 配置责任
False 不适用 不适用

功能说明:Microsoft 提供了其他功能来帮助你管理 Azure VM 或 Azure 虚拟机规模集的更新,你应将其视为整体更新管理策略的一部分。

如果有兴趣自动评估和更新 Azure 虚拟机,以保持安全性与每月发布的“关键”和“安全”更新相符合,请查看自动 VM 来宾修补。 与通过 Azure 自动化中的管理更新对 Azure 虚拟机(包括可用性集内的虚拟机)的更新部署进行管理相比,这是为这些虚拟机提供的另一种更新管理解决方案,可以在非高峰期自动更新这些虚拟机。

对于管理 Azure 虚拟机规模集,请查看如何执行“自动 OS 映像升级”,以安全、自动地升级规模集内所有实例的 OS 磁盘。

有关详细信息,请访问: Azure 虚拟机规模集自动 OS 映像升级

配置指南:不支持此功能来保护此服务。

Azure 来宾修补服务

说明:服务可以使用 Azure 来宾修补来自动部署修补程序和更新。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:服务可以利用不同的更新机制,例如 自动 OS 映像升级自动来宾修补。 建议遵循安全部署原则,将最新的安全和关键更新应用于虚拟机的来宾 OS。

通过自动来宾修补,可以自动评估和更新 Azure 虚拟机,以保持每月发布的“关键”和“安全更新”的安全合规性。 汇报在非高峰时段应用,包括可用性集中的 VM。 此功能适用于 VMSS 灵活业务流程,未来在统一业务流程路线图上提供支持。

如果运行无状态工作负载,则自动 OS 映像升级非常适合为 VMSS Uniform 应用最新更新。 借助回滚功能,这些更新与市场映像或自定义映像兼容。 灵活业务流程路线图上的未来滚动升级支持。

参考Azure VM 的自动 VM 来宾修补

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:应在计算机上安装系统更新(由更新中心提供支持) 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 AuditIfNotExists、Disabled 1.0.0-preview

终结点安全性

有关详细信息,请参阅 Microsoft 云安全基准:终结点安全性

ES-1:使用终结点检测和响应 (EDR)

功能

EDR 解决方案

说明:终结点检测和响应 (EDR) 功能(例如适用于服务器的 Azure Defender)可以部署到终结点中。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:azure Defender for servers (与Microsoft Defender for Endpoint集成) 提供 EDR 功能来预防、检测、调查和响应高级威胁。 使用 Microsoft Defender for Cloud 为终结点部署适用于服务器的 Azure Defender,并将警报集成到 SIEM 解决方案,例如 Azure Sentinel。

参考Microsoft Defender for Endpoint的集成许可证

ES-2:使用新式反恶意软件

功能

反恶意软件解决方案

说明:可在终结点上部署反恶意软件功能,例如Microsoft Defender防病毒Microsoft Defender for Endpoint。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:对于Windows Server 2016及更高版本,默认安装防病毒Microsoft Defender。 对于 Windows Server 2012 R2 及更高版本,客户可以安装 SCEP (System Center Endpoint Protection) 。 对于 Linux,客户可以选择安装适用于 Linux 的 Microsoft Defender。 或者,客户还可以选择安装第三方反恶意软件产品。

参考适用于 Azure 云服务 和 虚拟机 的Microsoft Antimalware

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 AuditIfNotExists、Disabled 1.0.0

ES-3:确保反恶意软件和签名已更新

功能

反恶意软件解决方案运行状况监视

说明:反恶意软件解决方案为平台、引擎和自动签名更新提供运行状况监视。 了解详细信息

支持 默认启用 配置责任
True False 客户

配置指南:配置反恶意软件解决方案,以确保平台、引擎和签名快速且一致地更新,并且可以监视其状态。

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在计算机上解决 Endpoint Protection 运行状况问题 解决虚拟机上的 Endpoint Protection 运行状况问题,以保护其免受最新威胁和漏洞的侵害。 此文档 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions介绍了 Azure 安全中心支持的终结点保护解决方案。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 AuditIfNotExists、Disabled 1.0.0

备份和恢复

有关详细信息,请参阅 Microsoft 云安全基准:备份和恢复

BR-1:确保定期执行自动备份

功能

Azure 备份

说明:服务可由Azure 备份服务备份。 了解详细信息

支持 默认启用 配置责任
True False 客户

功能说明:支持 VMSS Flex 而不是 VMSS Uniform

配置指南:启用Azure 备份,并针对 Azure 虚拟机 (VM) ,以及所需的频率和保持期。 这包括完整的系统状态备份。 如果使用 Azure 磁盘加密,则 Azure VM 备份会自动处理客户管理密钥的备份。 对于 Azure 虚拟机,可以使用 Azure Policy 启用自动备份。

参考如何获取虚拟机规模集实例和托管磁盘的快照

Microsoft Defender for Cloud 监视

Azure Policy 内置定义 - Microsoft.Compute

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为虚拟机启用 Azure 备份 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 AuditIfNotExists、Disabled 3.0.0

后续步骤