此安全基线将 Microsoft 云安全基准版本 1.0 中的指南应用于虚拟机 - Windows 虚拟机。 Microsoft云安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按Microsoft云安全基准定义的安全控制以及适用于虚拟机 -Windows 虚拟机的相关指南进行分组。
可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy 定义将列在 Microsoft Defender for Cloud 门户页的“法规符合性”部分。
当某个功能具有相关的 Azure Policy 定义时,它们将列在此基线中,以帮助衡量与Microsoft云安全基准控制和建议的符合性。 某些建议可能需要付费Microsoft Defender 计划才能启用某些安全方案。
注意
功能 不适用于虚拟机 - Windows 虚拟机已被排除。 若要查看虚拟机 - Windows 虚拟机如何完全映射到Microsoft云安全基准,请参阅 完整的虚拟机 - Windows 虚拟机安全基线映射文件。
安全概况
安全配置文件汇总了虚拟机 (Windows 虚拟机)的高影响行为,这可能会导致安全注意事项增加。
| 服务行为属性 | 价值 |
|---|---|
| 产品类别 | 计算 |
| 客户可以访问主机/操作系统 | 完全访问权限 |
| 可将服务部署到客户的虚拟网络中 | True |
| 静态存储客户内容 | True |
网络安全
有关详细信息,请参阅 Microsoft云安全基准:网络安全。
NS-1:建立网络分段边界
特征
虚拟网络集成
说明:服务支持部署到客户的私有虚拟网络(VNet)。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
配置指南:在默认部署上启用此配置时不需要其他配置。
参考:Azure 中的 虚拟网络和虚拟机
网络安全组支持
说明:服务网络流量遵循其子网上的网络安全组规则分配。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:使用网络安全组(NSG)通过端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。 创建 NSG 规则以限制服务的开放端口(例如阻止从不受信任的网络访问管理端口)。 请注意,默认情况下,NSG 会拒绝所有入站流量,但允许来自虚拟网络和 Azure 负载均衡器的流量。
创建 Azure 虚拟机(VM)时,必须创建虚拟网络或使用现有虚拟网络,并使用子网配置 VM。 确保所有部署的子网都有一个网络安全组,该组应用了特定于应用程序受信任端口和源的网络访问控制。
参考:网络安全组
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 关联到虚拟机的网络安全组应限制所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这可能会导致攻击者以资源为目标。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | Azure 安全中心分析面向 Internet 的虚拟机的流量模式,并提供网络安全组规则建议,以减少潜在的攻击面 | AuditIfNotExists、Disabled | 3.0.0 |
NS-2:使用网络控制保护云服务
特征
禁用公用网络访问
说明:服务支持通过使用服务级别 IP ACL 筛选规则(而不是 NSG 或 Azure 防火墙)或使用“禁用公用网络访问”切换开关禁用公用网络访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:使用作系统级别的服务(如 Windows Defender 防火墙)提供网络筛选以禁用公共访问。
标识管理
有关详细信息,请参阅 Microsoft云安全基准:标识管理。
IM-1:使用集中式标识和身份验证系统
特征
访问数据平面需要 Azure AD 身份验证
说明:服务支持使用 Azure AD 身份验证进行数据平面访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:使用 Azure Active Directory(Azure AD)作为默认身份验证方法来控制数据平面访问。
参考:使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机
用于数据平面访问的本地身份验证方法
说明:数据平面访问支持的本地身份验证方法,例如本地用户名和密码。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
功能说明:在虚拟机的初始部署期间默认创建本地管理员帐户。 避免使用本地身份验证方法或帐户,应尽可能禁用这些方法。 请改为使用 Azure AD 在可能的情况下进行身份验证。
配置指南:在默认部署上启用此配置时不需要其他配置。
IM-3:安全地自动管理应用程序标识
特征
托管标识
说明:数据平面操作支持使用托管标识进行身份验证。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:Windows VM 通常利用托管标识向其他服务进行身份验证。 如果 Windows VM 支持 Azure AD 身份验证,则可以支持托管标识。
配置指南:尽可能使用 Azure 托管标识而不是服务主体,它可以向支持 Azure Active Directory (Azure AD) 身份验证的 Azure 服务和资源进行身份验证。 托管标识凭据由平台完全托管、轮换和保护,避免源代码或配置文件中的硬编码凭据。
服务主体
说明:数据平面支持使用服务主体进行身份验证。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:Windows VM 中运行的应用程序可以使用服务主体。
配置指南:目前此功能配置没有 Microsoft 指南。 请查看并确定组织是否要配置此安全功能。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 安装来宾配置扩展但没有系统分配的托管标识时,此策略范围内的 Azure 虚拟机将不符合要求。 在 https://aka.ms/gcpol 了解详细信息 | AuditIfNotExists、Disabled | 1.0.1 |
IM-7:根据条件限制资源访问
特征
数据平面的条件访问
说明:可以使用 Azure AD 条件访问策略控制数据平面访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:使用 Azure AD 作为核心身份验证平台,通过 RDP 登录到 Windows Server 2019 数据中心版及更高版本,或 Windows 10 1809 及更高版本。 然后,可以集中控制和强制实施 Azure 基于角色的访问控制(RBAC)和条件访问策略,以允许或拒绝对 VM 的访问。
配置指南:定义工作负荷中 Azure Active Directory(Azure AD)条件访问的适用条件和条件。 请考虑常见用例,例如阻止或授予来自特定位置的访问权限、阻止有风险的登录行为,或要求组织管理的设备用于特定应用程序。
参考:使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机
IM-8:限制凭据和机密的公开
特征
服务凭据和机密支持 Azure 密钥保管库中的集成和存储
说明:数据平面本身支持使用 Azure 密钥保管库来存储凭据和机密。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:在数据平面或操作系统中,服务可能会为凭据或密钥调用 Azure Key Vault。
配置指南:确保机密和凭据存储在安全位置(例如 Azure Key Vault),而不是将它们嵌入代码或配置文件中。
特权访问
有关详细信息,请参阅 Microsoft 云安全基准:特权访问。
PA-1:隔离并限制高特权/管理员用户
特征
本地管理员帐户
说明:服务具有本地管理帐户的概念。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
功能说明:避免使用本地身份验证方法或帐户,应尽可能禁用这些方法。 请改为使用 Azure AD 在可能的情况下进行身份验证。
配置指南:在默认部署上启用此配置时不需要其他配置。
参考:快速入门:在 Azure 门户中创建 Windows 虚拟机
PA-7:遵循足够的管理(最低特权)原则
特征
数据平面的 Azure RBAC
说明:Azure Role-Based 访问控制(Azure RBAC)可用于管理对服务的数据平面操作的访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:使用 Azure AD 作为核心身份验证平台,通过RDP连接到 Windows Server 2019 数据中心版及更高版本,或 Windows 10 1809 及更高版本。 然后,可以集中控制和强制实施 Azure 基于角色的访问控制(RBAC)和条件访问策略,以允许或拒绝对 VM 的访问。
配置指南:使用 RBAC,指定谁可以作为常规用户或管理员权限登录到 VM。 当用户加入团队时,可以更新 VM 的 Azure RBAC 策略,以便根据需要授予访问权限。 当员工离开组织且其用户帐户在 Azure AD 中被禁用或删除后,他们将无法访问你的资源。
参考:使用 Azure AD(包括无密码)登录到 Azure 中的 Windows 虚拟机
PA-8:确定云提供商支持的访问过程
特征
客户密码箱
说明:客户锁箱可用于 Microsoft 支持访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:在 Microsoft 需要访问您数据的支持场景中,使用客户锁箱查看,然后批准或拒绝 Microsoft 的每个数据访问请求。
数据保护
有关详细信息,请参阅 Microsoft云安全基准:数据保护。
DP-1:发现、分类和标记敏感数据
特征
敏感数据发现和分类
说明:工具(如 Azure Purview 或 Azure 信息保护)可用于服务中的数据发现和分类。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 假 | 不適用 | 不適用 |
配置指南:不支持此功能来保护此服务。
DP-2:监视针对敏感数据的异常和威胁
特征
数据泄漏/丢失预防
说明:服务支持 DLP 解决方案,以监控敏感数据在客户内容中的移动。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 假 | 不適用 | 不適用 |
配置指南:不支持此功能来保护此服务。
DP-3:加密传输中的敏感数据
特征
传输中数据加密
说明:该服务支持数据平面的传输中数据加密。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:默认情况下加密某些通信协议,例如 SSH。 但是,必须将其他服务(如 HTTP)配置为使用 TLS 进行加密。
配置指南:在内置有传输中本地数据加密功能的服务中启用加密安全传输。 在任何 Web 应用程序和服务上强制实施 HTTPS,并确保使用 TLS v1.2 或更高版本。 应禁用旧版本,例如 SSL 3.0、TLS v1.0。 对于虚拟机的远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是未加密的协议。
参考:VM 内的传输中加密
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Windows 计算机应配置为使用安全通信协议 | 为了保护通过 Internet 通信的信息隐私,计算机应使用最新版本的行业标准加密协议传输层安全性(TLS)。 TLS 通过加密计算机之间的连接来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
DP-4:默认启用静态数据加密
特征
使用平台密钥进行静态数据加密
说明:支持使用平台密钥进行静态数据加密,使用这些Microsoft托管密钥对静态客户内容进行加密。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | Microsoft |
功能说明:默认情况下,托管磁盘使用平台管理的加密密钥。 写入现有托管磁盘的所有托管磁盘、快照、映像和数据都使用平台管理的密钥自动进行静态加密。
配置指南:在默认部署上启用此配置时不需要其他配置。
参考:Azure 磁盘存储的服务器端加密 - 平台管理的密钥
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虚拟机应加密计算和存储资源之间的临时磁盘、缓存和数据流 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密。 不会加密计算和存储之间的临时磁盘、数据缓存和数据流。 如果为:1,则忽略此建议。 使用“主机加密”,或者 2. 托管磁盘上的服务器端加密满足安全要求。 有关详细信息,请参阅:Azure 磁盘存储的服务器端加密:https://aka.ms/disksse, 不同的磁盘加密产品/服务:https://aka.ms/diskencryptioncomparison | AuditIfNotExists、Disabled | 2.0.3 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Linux 虚拟机应启用 Azure 磁盘加密或主机加密。 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不会加密,在计算和存储资源之间流动时不会加密数据。 使用 Azure 磁盘加密或 EncryptionAtHost 加密所有这些数据。访问 https://aka.ms/diskencryptioncomparison 比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.2.0-preview |
DP-5:根据需要在静态加密中使用客户管理的密钥选项
特征
使用 CMK 进行静态数据加密
说明:支持为服务存储的客户数据使用客户管理的密钥进行数据静止加密。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:可以选择使用自己的密钥管理每个托管磁盘级别的加密。 指定客户管理的密钥时,该密钥用于保护和控制对加密数据的密钥的访问。 客户管理的密钥提供更大的灵活性来管理访问控制。
配置指南:如果需要符合法规,请定义使用客户管理的密钥进行加密的用例和服务范围。 使用客户管理的密钥为这些服务启用和实现静态数据加密。
虚拟机(VM)上的虚拟磁盘使用服务器端加密或 Azure 磁盘加密(ADE)进行静态加密。 Azure 磁盘加密利用 Windows 的 BitLocker 功能,使用来宾 VM 中的客户管理的密钥加密托管磁盘。 使用客户管理的密钥进行服务器端加密,与 ADE 相比,提供了改进的功能,因为它通过加密存储服务中的数据,使您可以在虚拟机上使用任何类型的操作系统和映像。
DP-6:使用安全密钥管理过程
特征
Azure Key Vault 中的密钥管理
说明:该服务支持任何客户密钥、机密或证书的 Azure Key Vault 集成。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:使用 Azure Key Vault 创建和控制加密密钥的生命周期,包括密钥生成、分发和存储。 根据定义的计划或在密钥停用或泄露时,在 Azure 密钥保管库和服务中轮换和撤销密钥。 如果需要在工作负载、服务或应用程序层级使用客户自主管理的密钥(CMK),请遵循最佳密钥管理实践:在密钥保管库中,利用您的密钥加密密钥(KEK),通过密钥层次结构生成独立的数据加密密钥(DEK)。 确保密钥已在 Azure 密钥保管库中注册,并通过服务或应用程序中的密钥 ID 进行引用。 如果需要将自己的密钥(BYOK)引入服务(例如将受 HSM 保护的密钥从本地 HSM 导入到 Azure Key Vault),请按照建议的准则执行初始密钥生成和密钥传输。
参考:为 Windows VM 上的 Azure 磁盘加密创建和配置密钥保管库
DP-7:使用安全证书管理过程
特征
Azure Key Vault 中的证书管理
说明:该服务支持 Azure Key Vault 集成,以处理任何客户证书。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 假 | 不適用 | 不適用 |
配置指南:不支持此功能来保护此服务。
资产管理
有关详细信息,请参阅 Microsoft云安全基准:资产管理。
AM-2:仅使用已批准的服务
特征
Azure Policy 支持
说明:可以通过 Azure Policy 监视和强制执行服务配置。 详细了解。
| 已支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:可以使用 Azure Policy 为组织的 Windows VM 和 Linux VM 定义所需的行为。 通过使用策略,组织可以在整个企业中强制实施各种约定和规则,并为 Azure 虚拟机定义和实施标准安全配置。 强制实施所需行为有助于缓解风险,同时帮助组织取得成功。
参考:Azure 虚拟机的 Azure Policy 内置定义
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虚拟机应迁移到新的 Azure 资源管理器资源 | 使用适用于虚拟机的新 Azure 资源管理器提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于 Azure 资源管理器的部署和管理、对托管标识的访问权限、对密钥保管库的访问(用于机密的访问)、基于 Azure AD 的身份验证以及对标记和资源组的支持,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虚拟机应迁移到新的 Azure 资源管理器资源 | 使用适用于虚拟机的新 Azure 资源管理器提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于 Azure 资源管理器的部署和管理、对托管标识的访问权限、对密钥保管库的访问(用于机密的访问)、基于 Azure AD 的身份验证以及对标记和资源组的支持,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
AM-5:仅在虚拟机中使用已批准的应用程序
特征
Microsoft Defender for Cloud - 自适应应用程序控制
说明:服务可以使用 Microsoft Defender for Cloud 中的自适应应用程序控制来限制在虚拟机上运行的客户应用程序。 详细了解。
| 支持 | 默认启用 | 系统配置责任 |
|---|---|---|
| True | 假 | 客户 |
配置指南:使用 Microsoft Defender for Cloud 自适应应用程序控制来发现在虚拟机(VM)上运行的应用程序,并生成应用程序允许列表来授权哪些已批准的应用程序可以在 VM 环境中运行。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制以定义计算机上运行的已知安全应用程序列表,并在其他应用程序运行时发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制以定义计算机上运行的已知安全应用程序列表,并在其他应用程序运行时发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
日志记录和威胁检测
有关详细信息,请参阅 Microsoft云安全基准:日志记录和威胁检测。
LT-1:启用威胁检测功能
特征
适用于服务/产品的 Microsoft Defender
说明:服务具有特定于产品的 Microsoft Defender 解决方案,用于监视和警报安全问题。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:Defender for Servers 将保护扩展到在 Azure 中运行的 Windows 和 Linux 计算机。 Defender for Servers 与 Microsoft Defender for Endpoint 集成以提供终结点检测和响应(EDR),并提供大量其他威胁防护功能,例如安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制(AAC)、文件完整性监视(FIM)等。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在您的机器上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 Exploit Guard 有四个组件,旨在锁定设备免受各种攻击途径和恶意软件攻击中常用的阻止行为,同时使企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
LT-4:启用日志记录以进行安全调查
特征
Azure 资源日志
说明:服务生成的资源日志可以提供增强的服务专用指标和日志记录。 客户可以配置这些资源日志并将其发送到自己的数据接收器,例如存储帐户或日志分析工作区。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:创建 VM 时,Azure Monitor 会开始自动收集虚拟机主机的指标数据。 不过,若要从虚拟机的来宾作系统收集日志和性能数据,必须安装 Azure Monitor 代理。 可以使用 VM Insights 或通过 创建数据收集规则来安装代理和配置数据收集。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络地图上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
安全态势和漏洞管理
有关详细信息,请参阅 Microsoft云安全基准:状况和漏洞管理。
PV-3:定义和建立计算资源的安全配置
特征
Azure自动化状态配置
说明:Azure 自动化状态配置可用于维护操作系统的安全配置。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:使用 Azure 自动化状态配置维护操作系统的安全配置。
参考:使用 Desired State Configuration 配置 VM
Azure Policy 访客配置代理
说明:Azure Policy 客户机配置代理可以作为扩展安装或部署到计算资源上。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:Azure Policy 来宾配置现在称为“Azure Automanage 计算机配置”。
配置指南:使用 Microsoft Defender for Cloud 和 Azure Policy 来宾配置代理定期评估和修正 Azure 计算资源(包括 VM、容器等)上的配置偏差。
参考:了解 Azure Automanage 的计算机配置功能
自定义 VM 映像
说明:服务支持使用来自市场的用户提供的 VM 映像或预生成的映像,并且预应用了某些基线配置。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:使用来自受信任供应商的预配置的强化映像,例如Microsoft或将所需的安全配置基线构建到 VM 映像模板中
参考:教程:使用 Azure PowerShell 创建 Windows VM 映像
PV-4:审核并强制实施计算资源的安全配置
特征
受信任启动虚拟机
说明:可信启动通过结合安全启动、vTPM 和完整性监控等基础设施技术,抵御高级和持续攻击技术。 每个技术都提供另一层防御复杂威胁。 受信任的启动允许使用经过验证的启动加载程序、OS 内核和驱动程序的安全部署虚拟机,并安全地保护虚拟机中的密钥、证书和机密。 受信任启动还提供对整个启动链完整性的见解和信心,并确保工作负载是可信且可验证的。 受信任启动会与 Microsoft Defender for Cloud 集成并通过远程验证 VM 已以正常方式启动,从而确保正确配置 VM。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:受信任的启动适用于第 2 代虚拟机。 受信任的启动需要创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
配置指南:可以在部署 VM 期间启用受信任的启动。 启用这三项 - 安全启动、vTPM 和完整性启动监视,以确保虚拟机的最佳安全状况。 请注意,有几个先决条件,包括将订阅加入 Microsoft Defender for Cloud、分配某些 Azure Policy 计划以及配置防火墙策略。
PV-5:执行漏洞评估
特征
使用 Microsoft Defender 进行漏洞评估
说明:可以使用 Microsoft Defender for Cloud 或其他 Microsoft Defender 服务的嵌入式漏洞评估功能(包括 Microsoft Defender for Server、容器注册表、应用服务、SQL 和 DNS)进行漏洞扫描。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:遵循 Microsoft Defender for Cloud 的建议,在 Azure 虚拟机上执行漏洞评估。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机,以检测它们是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心组成部分是漏洞的识别和分析。 Azure 安全中心的标准定价层包括对虚拟机的漏洞扫描,无需额外付费。 此外,安全中心还可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机,以检测它们是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心组成部分是漏洞的识别和分析。 Azure 安全中心的标准定价层包括对虚拟机的漏洞扫描,无需额外付费。 此外,安全中心还可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
PV-6:快速自动修正漏洞
特征
Azure 更新管理器
说明:服务可以使用 Azure 更新管理器自动部署修补程序和更新。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | True | 客户 |
配置指南:使用 Azure 更新管理器确保 Windows VM 上安装最新的安全更新。 对于 Windows VM,请确保已启用 Windows 更新并设置为自动更新。
参考:管理虚拟机的更新与补丁
Azure 来宾修补服务
说明:此服务可使用 Azure 来宾修补功能来自动部署补丁和更新。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:服务可以利用不同的更新机制,例如 自动操作系统映像升级 和 自动客户机修补。 建议使用这些功能,根据安全部署原则,将最新的安全和关键更新应用到您的虚拟机客户机操作系统中。
自动来宾修补功能允许您自动评估和更新 Azure 虚拟机,以确保每月发布的关键更新和安全更新符合安全性要求。 更新会在非高峰时段进行应用,其中包括处于可用性集中的 VM。 此功能适用于 VMSS 灵活编排,未来将在统一编排的路线图中提供支持。
如果您运行无状态工作负载,自动操作系统映像升级非常适合为您的 VMSS Uniform 应用最新更新。 借助回滚功能,这些更新与应用市场或自定义镜像兼容。 针对灵活业务流程路线图的未来滚动升级支持。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上安装系统更新 | Azure 安全中心将监视您服务器上缺少的安全系统更新,并提供建议。 | AuditIfNotExists、Disabled | 4.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:系统更新应安装在计算机(由更新中心提供支持) | 计算机缺少系统、安全性和关键更新。 软件更新通常包括安全漏洞的关键补丁。 此类漏洞经常在恶意软件攻击中被利用,因此保持软件更新至关重要。 若要安装所有未完成的修补程序并保护计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.0-preview |
端点安全
有关详细信息,请参阅 Microsoft 的云安全基准:端点安全。
ES-1:使用端点检测和响应 (EDR)
特征
EDR 解决方案
说明:可将终结点检测和响应(EDR)功能(例如用于服务器的 Azure Defender)部署到终结点中。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:用于服务器的 Azure Defender(与 Microsoft Defender for Endpoint 集成)提供 EDR 功能来防止、检测、调查和响应高级威胁。 使用 Microsoft Defender for Cloud 为终结点部署适用于服务器的 Azure Defender,并将警报集成到 SIEM 解决方案(例如 Azure Sentinel)中。
ES-2:使用新式反恶意软件
特征
反恶意软件解决方案
说明:可在终结点上部署反恶意软件功能,例如 Microsoft Defender 防病毒、Microsoft Defender for Endpoint。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:对于 Windows Server 2016 及更高版本,默认安装 Microsoft Defender for 防病毒。 对于 Windows Server 2012 R2 及更高版本,客户可以安装 SCEP(System Center Endpoint Protection)。 或者,客户还可以选择安装第三方反恶意软件产品。
参考:加入 Windows Server 的 Defender for Endpoint
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在您的计算机上解决终端防护健康问题 | 解决虚拟机上的终结点保护运行状况问题,使其免受最新威胁和漏洞的影响。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的终结点保护运行状况问题,使其免受最新威胁和漏洞的影响。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
ES-3:确保更新反恶意软件和签名
特征
反恶意软件解决方案运行状况监视
说明:反恶意软件解决方案为平台、引擎和自动签名更新提供运行状况监视。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
功能说明:安全智能和产品更新适用于可在 Windows VM 上安装的 Defender for Endpoint。
配置指南:配置反恶意软件解决方案,以确保平台、引擎和签名快速且一致地更新,并且可以监视其状态。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在您的计算机上解决终端保护的健康问题 | 解决虚拟机上的终结点保护运行状况问题,使其免受最新威胁和漏洞的影响。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的终结点保护运行状况问题,使其免受最新威胁和漏洞的影响。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
备份和恢复
有关详细信息,请参阅 Microsoft云安全基准:备份和恢复。
BR-1:确保定期自动备份
特征
Azure 备份
说明:该服务可由 Azure 备份服务备份。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| True | 假 | 客户 |
配置指南:在所需频率和所需保留期内启用 Azure 备份并配置备份源(例如 Azure 虚拟机、SQL Server、HANA 数据库或文件共享)。 对于 Azure 虚拟机,可以使用 Azure Policy 启用自动备份。
参考:Azure 中虚拟机的备份和还原选项
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保保护 Azure 虚拟机。 Azure 备份是适用于 Azure 的安全且经济高效的数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
后续步骤
- 请参阅 Microsoft 云安全基准概述
- 详细了解 Azure 安全基线