了解 Azure 平台安全基线
Microsoft 网络安全组联合 Internet 安全中心 (CIS) 制定了最佳做法来帮助建立 Azure 平台的安全基线。
Microsoft 最初与 CIS 合作开发了现成的强化版 Azure 虚拟机 (VM)。 随后在一项倡议中,开始为 Azure 安全服务和工具创建 CIS 基准(详细说明 CIS 最佳做法的文档),以加强 Azure 服务上运行的客户应用程序的安全性和符合性。
提示
CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 提供了有关为 Azure 建立安全基线配置的说明性指导。 本指南对截至 2021 年 2 月列出的 Azure 服务进行了测试。 此基准的范围是为采用 Azure 的任何人建立基本的安全级别。
创建平台安全基线
各种安全标准可帮助云服务客户在使用云服务时实现安全的工作负载。 下面这些建议的技术归类有助于创建启用云的安全工作负载。 这些建议不是所有可能的安全配置和体系结构的完整列表。 这些安全基线建议是一个起点。
CIS 有两个实现级别和几个建议类别:
级别 1 - 建议的最低安全设置
- 所有系统上都应配置这些设置。
- 这些设置几乎或完全不会造成服务中断或功能降低。
级别 2 - 针对高度安全的环境的建议
- 这些设置可能会导致功能降低。
下表提供了 CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0 中针对每个类别提出的类别和建议数量:
| 技术组 | 说明 | 建议数 |
|---|---|---|
| 标识和访问管理 (IAM) | 与 IAM 策略相关的建议 | 23 |
| Microsoft Defender for Cloud | 有关配置和使用 Microsoft Defender for Cloud 的建议 | 19 |
| 存储帐户 | 有关设置存储帐户策略的建议 | 7 |
| Azure SQL 数据库 | 有关帮助保护 Azure SQL 数据库的建议 | 8 |
| 日志记录和监视 | 有关设置 Azure 订阅的日志记录和监视策略的建议 | 13 |
| 网络 | 有关帮助安全配置 Azure 网络设置和策略的建议 | 5 |
| VM | 有关为 Azure 计算服务(特别是 VM)设置安全策略的建议 | 6 |
| 其他 | 有关常规安全和操作控制措施的建议,包括与 Azure Key Vault 和资源锁相关的建议 | 3 |
| 建议总数 | 84 |
让我们详细探讨每个类别。