虛擬機的 Azure 安全性基準 - Linux 虛擬機
此安全性基準將 Microsoft 雲端安全性基準 1.0 版 的指引應用到虛擬機器 - Linux 虛擬機器。 Microsoft雲端安全性效能評定提供如何在 Azure 上保護您的雲端解決方案的建議。 內容會依Microsoft雲端安全性基準所定義的安全性控制,以及適用於虛擬機 - Linux 虛擬機的相關指引分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義將會列在適用於雲端入口網站的 Microsoft Defender 的法規合規性一節中。
當某項功能具有相關的 Azure 原則定義時,它們會列在此基準中,以幫助您評估符合 Microsoft 雲端安全基準控管和建議的情況。 某些建議可能需要付費Microsoft Defender 方案,才能啟用特定安全性案例。
備註
功能 不適用於虛擬機 - 已排除 Linux 虛擬機。 若要查看虛擬機 - Linux 虛擬機如何完全對應至Microsoft雲端安全性效能評定,請參閱 完整的虛擬機 - Linux 虛擬機安全性基準對應檔案。
安全性配置檔
安全性配置檔總結了虛擬機器 - Linux 虛擬機器的高影響行為,這可能會增加安全性考量。
| 服務行為屬性 | 價值 |
|---|---|
| 產品類別 | 計算 |
| 客戶可以存取 HOST / OS | 完整存取 |
| 服務可以部署到客戶的虛擬網路 | 正確的 |
| 儲存待用客戶內容 | 真 |
網路安全性
如需詳細資訊,請參閱雲端安全性基準Microsoft :網路安全性。
NS-1:建立網路分割界限
特徵
虛擬網路整合
描述:服務支援部署到客戶的專用虛擬網路(VNet)。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 正確的 | 正確 | Microsoft |
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考:Azure 中的虛擬網路和虛擬機
網路安全組支援
描述:服務網路流量會遵循其子網上網路安全群組規則的配置。 深入瞭解。
| 支持 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
設定指引:使用網路安全組 (NSG) 來限制或監視埠、通訊協定、來源IP位址或目的地IP位址的流量。 建立 NSG 規則來限制服務的開放埠(例如防止從不受信任的網路存取管理埠)。 請注意,根據預設,NSG 會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。
當您建立 Azure 虛擬機器(VM)時,您必須建立虛擬網路或使用現有的虛擬網路,並使用子網來設定 VM。 請確保所有已部署的子網路均已套用網路安全群組,並針對您的應用程式設定受信任的埠和來源特定的網路訪問控制。
參考:網路安全群組
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路埠都應該限制在與虛擬機相關聯的網路安全組上 | Azure 安全中心已識別出一些網路安全群組的輸入規則過於寬鬆。 入站規則不應當允許從「任何」或「網際網路」範圍存取。 這可能會讓攻擊者以您的資源為目標。 | AuditIfNotExists,已停用 | 3.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應套用自適性網路強化建議於面向網際網路的虛擬機器 | Azure 資訊安全中心會分析因特網對向虛擬機的流量模式,並提供網路安全組規則建議,以減少潛在的攻擊面 | AuditIfNotExists,停用 | 3.0.0 |
NS-2:使用網路控制保護雲端服務
特徵
停用公用網路存取
描述:服務支援使用服務層級 IP ACL 篩選規則(非 NSG 或 Azure 防火牆)或使用[停用公用網路存取] 切換開關來停用公用網路存取。 深入瞭解。
| 支持 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
設定指引:Iptable 或防火牆等服務可能會安裝在Linux OS中,並提供網路篩選來停用公用存取。
身分識別管理
如需詳細資訊,請參閱雲端安全性基準Microsoft :身分識別管理。
IM-1:使用集中式身分識別和驗證系統
特徵
存取數據平面需要 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
組態指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的數據平面存取。
參考:使用 Azure AD 和 OpenSSH 登入 Azure 中的 Linux 虛擬機
資料平面存取的本地驗證方法
描述:支持數據平面存取的本機驗證方法,例如本機用戶名稱和密碼。 深入瞭解。
| 支持 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真 | 真實 | Microsoft |
功能注意事項:預設會在虛擬機的初始部署期間建立本機系統管理員帳戶。 避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改為使用 Azure AD 儘可能進行驗證。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
IM-3:安全地且自動管理應用程式身分識別
特徵
受管理識別
描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
功能注意事項:Linux VM 傳統上會利用受控識別向其他服務進行驗證。 如果 Linux VM 支援 Azure AD 驗證,則可能支援受控識別。
組態指引:盡可能使用 Azure 受控識別,而不是服務主體,這可以向支援 Azure Active Directory(Azure AD) 驗證的 Azure 服務和資源進行驗證。 受控識別認證完全受平臺管理、輪替及保護,避免原始程式碼或組態檔中的硬式編碼認證。
服務主體
描述:數據平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
功能注意事項:Linux VM 中執行的應用程式可能會使用服務主體。
組態指引:這項功能設定目前沒有Microsoft指導方針。 請檢閱並判斷您的組織是否想要設定這項安全性功能。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機的客體設定擴充功能應該使用系統指派的受控識別來部署 | 客體設定擴充功能需要系統指派的受控識別。 若在此原則範圍內的 Azure 虛擬機上安裝了來賓配置擴充功能但沒有分配系統受控身分識別,則它們將會不相容。 在 https://aka.ms/gcpol 了解更多 | AuditIfNotExists,若停用 | 1.0.1 |
IM-7:根據條件限制資源存取
特徵
數據平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制數據平面存取。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
功能說明:將 Azure AD 作為核心驗證平臺和憑證授權單位,並通過 OpenSSH 憑證驗證,使用 Azure AD SSH 進入 Linux VM。 此功能可讓組織使用 Azure 角色型存取控制 (RBAC) 和條件式存取原則來管理 VM 的存取權。
組態指引:定義工作負載中 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或授與來自特定位置的存取權限、封鎖危險的登入行為,或要求特定應用程式需要使用由組織管理的裝置。
參考:使用 Azure AD 和 OpenSSH 登入 Azure 中的 Linux 虛擬機
IM-8:限制認證和秘密的公開
特徵
服務憑證和密鑰支援 Azure Key Vault 中的整合和存儲
描述:數據平面支援原生使用 Azure Key Vault 進行認證和秘密存放區。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
功能注意事項:在數據平面或作系統內,服務可能會呼叫 Azure Key Vault 以取得認證或秘密。
設定指引:確定秘密和認證會儲存在安全的位置,例如 Azure Key Vault,而不是將它們內嵌到程式碼或組態檔中。
特權存取
如需詳細資訊,請參閱雲端安全性基準Microsoft :特殊許可權存取。
PA-1:分隔及限制高許可權/系統管理使用者
特徵
本機系統管理員帳戶
描述:服務具備本地管理帳戶的概念。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 正確 | Microsoft |
功能注意事項:請盡可能停用本機驗證方法或帳戶。 請改為使用 Azure AD 儘可能進行驗證。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考:快速入門:在 Azure 入口網站中建立 Linux 虛擬機
PA-7:遵循足夠的管理(最低許可權)原則
特徵
適用於數據平面的 Azure RBAC
描述:Azure Role-Based 存取控制(Azure RBAC)可用於管理對服務數據平面動作的存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
功能注意事項:使用 Azure AD 作為核心驗證平臺,並使用 Azure AD 和 OpenSSH 憑證型驗證,透過證書頒發機構單位透過 SSH 連線到 Linux VM。 此功能可讓組織使用 Azure 角色型存取控制 (RBAC) 和條件式存取原則來管理 VM 的存取權。
設定指引:使用 RBAC,指定誰可以以一般使用者或系統管理員許可權登入 VM。 當使用者加入您的小組時,您可以更新 VM 的 Azure RBAC 原則,以適當地授與存取權。 當員工離開您的組織及其用戶帳戶遭到停用或從 Azure AD 移除時,他們就無法再存取您的資源。
參考:使用 Azure AD 和 OpenSSH 登入 Azure 中的 Linux 虛擬機
PA-8:確定雲端提供者支援的存取流程
特徵
客戶保險箱
描述:客戶加密箱可用於Microsoft支援存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 是 | 假 | 客戶 |
設定指引:在 Microsoft 需要存取資料的案例中,請使用客戶加密箱檢閱,然後核准或拒絕每一個 Microsoft 的資料存取請求。
數據保護
如需詳細資訊,請參閱雲端安全性基準Microsoft :數據保護。
DP-1:探索、分類和標記敏感數據
特徵
敏感數據探索和分類
描述:工具(例如 Azure Purview 或 Azure 資訊保護)可用於服務中的數據探索和分類。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-2:監視以敏感數據為目標的異常和威脅
特徵
數據外洩/外洩防護
描述:服務支援 DLP 解決方案來監控客戶內容中的敏感資料移動。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-3:加密傳輸中的敏感數據
特徵
資料在傳輸中的加密
描述:服務提供資料平面中的資料傳輸加密保護。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
功能注意事項:預設會加密某些通訊協定,例如SSH。 不過,HTTP 等其他服務必須設定為使用 TLS 進行加密。
設定指引:在具備原生資料傳輸加密功能的服務中啟用安全傳輸。 在任何 Web 應用程式和服務上強制執行 HTTPS,並確保使用 TLS v1.2 或更新版本。 應停用舊版,例如 SSL 3.0、TLS v1.0。 針對虛擬機的遠端管理,請使用 SSH(適用於 Linux)或 RDP/TLS(適用於 Windows),而不是未加密的通訊協定。
參考:VM 中傳輸期間的加密
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Windows 計算機應設定為使用安全通訊協定 | 為了保護透過因特網通訊的信息隱私權,您的計算機應該使用最新版的業界標準密碼編譯通訊協定傳輸層安全性 (TLS)。 TLS 會加密電腦之間的連線,藉此保護透過網路的通訊。 | AuditIfNotExists,已停用 | 4.1.1 |
DP-4:預設啟用待用數據加密
特徵
使用平臺密鑰對靜止資料進行加密
描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些Microsoft受控密鑰加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 真 | Microsoft |
功能注意事項:根據預設,受控磁碟會使用平臺管理的加密密鑰。 所有受控磁碟、快照、映像檔,以及寫入現有受控磁碟的數據,皆會使用平台管理的密鑰自動進行靜態加密。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考:Azure 磁碟記憶體的伺服器端加密 - 平臺管理的密鑰
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機應該加密計算和記憶體資源之間的暫存磁碟、快取和數據流 | 根據預設,虛擬機的 OS 和數據磁碟會使用平臺管理的密鑰進行待用加密。 計算與儲存系統之間的暫存磁碟、數據快取和數據流不會被加密。 如果: 1,請忽略此建議。 使用主機端加密或選項 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入瞭解:Azure 磁碟記憶體的伺服器端加密:https://aka.ms/disksse、 不同的磁碟加密供應專案:https://aka.ms/diskencryptioncomparison | AuditIfNotExists,停用 | 2.0.3 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Linux 虛擬機應該啟用 Azure 磁碟加密或 EncryptionAtHost。 | 根據預設,虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密,而且在計算和記憶體資源之間流動時,不會加密數據。 使用 Azure 磁碟加密或 EncryptionAtHost 來加密所有這些數據。請流覽 https://aka.ms/diskencryptioncomparison 來比較加密供應專案。 此原則需要兩個必要條件才能部署到原則指派範圍。 如需詳細資訊,請瀏覽 https://aka.ms/gcpol。 | 審核如果不存在,已禁用 | 1.2.0-preview |
DP-5:視需要在待用數據加密中使用客戶自控密鑰選項
特徵
使用 CMK 進行靜態資料加密
描述:服務所儲存的客戶內容支援使用客戶管理的密鑰進行待用加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
功能注意事項:您可以選擇使用您自己的金鑰來管理每個受控磁碟層級的加密。 當您指定客戶管理的金鑰時,該金鑰會用來保護和控制對加密資料之金鑰的存取。 客戶管理的金鑰可提供更大的彈性來管理存取控制。
設定指引:如果需要法規合規性,請定義使用客戶自控密鑰進行加密的使用案例和服務範圍。 針對這些服務,使用客戶管理的密鑰來啟用和實作待用數據加密。
虛擬機 (VM) 上的虛擬磁碟會使用伺服器端加密或 Azure 磁碟加密 (ADE) 來進行靜態加密。 Azure 磁碟加密會利用 Linux 的 DM-Crypt 功能,以客體 VM 內的客戶自控密鑰來加密受控磁碟。 使用客戶自控密鑰的伺服器端加密透過在儲存服務中加密數據,使您可以對虛擬機使用任何作業系統類型和映像,從而改善了 ADE 的功能。
參考:Azure 磁碟記憶體的伺服器端加密 - 客戶自控密鑰
DP-6:使用安全金鑰管理程式
特徵
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure Key Vault 整合。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
設定指引:使用 Azure Key Vault 來建立和控制加密密鑰的生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程或在密鑰淘汰或洩露時,輪替和撤銷 Azure Key Vault 中的密鑰和服務。 當工作負載、服務或應用層級需要使用客戶管理的金鑰 (CMK)時,請確定您遵循金鑰管理的最佳做法:使用金鑰階層在密鑰保存庫中產生具有金鑰加密金鑰 (KEK) 的個別數據加密金鑰 (DEK)。 確保金鑰在 Azure Key Vault 註冊,並透過由服務或應用程式提供的金鑰ID來參考。 如果您需要將您自己的金鑰 (BYOK) 帶入服務(例如將受 HSM 保護的金鑰從內部部署 HSM 匯入至 Azure Key Vault),請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
參考:建立和設定 Azure 磁碟加密 的密鑰保存庫
DP-7:使用安全憑證管理程式
特徵
Azure Key Vault 中的憑證管理
描述:此服務支援 Azure Key Vault 的整合,以用於用戶證書的管理。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
資產管理
如需詳細資訊,請參閱雲端安全性基準Microsoft :資產管理。
AM-2:僅使用已核准的服務
特徵
Azure 原則支援
描述:您可以透過 Azure 原則監視和強制執行服務組態。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
設定指引:Azure 原則可用來定義組織 Windows VM 和 Linux VM 所需的行為。 藉由使用原則,組織可以在整個企業中強制執行各種慣例和規則,並定義及實作 Azure 虛擬機的標準安全性設定。 強制執行所需的行為有助於降低風險,同時促成組織的成功。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機應該移轉至新的 Azure Resource Manager 資源 | 為您的虛擬機使用新的 Azure Resource Manager 來提供安全性增強功能,例如:更強大的訪問控制 (RBAC)、更好的稽核、Azure Resource Manager 型部署和治理、受控識別的存取、秘密的密鑰保存庫存取、Azure AD 型驗證,以及標籤和資源群組的支援,以方便安全性管理 | 稽核、拒絕、停用 | 1.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機應該移轉至新的 Azure Resource Manager 資源 | 為您的虛擬機使用新的 Azure Resource Manager 來提供安全性增強功能,例如:更強大的訪問控制 (RBAC)、更好的稽核、Azure Resource Manager 型部署和治理、受控識別的存取、秘密的密鑰保存庫存取、Azure AD 型驗證,以及標籤和資源群組的支援,以方便安全性管理 | 稽核、拒絕、停用 | 1.0.0 |
AM-5:只在虛擬機中使用已核准的應用程式
特徵
適用於雲端的 Microsoft Defender - 自適性應用程控
描述:服務可以使用適用於雲端的Defender Microsoft Defender 中的自適性應用程控,限制在虛擬機上執行哪些客戶應用程式。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實的 | 假 | 客戶 |
設定指引:使用 Microsoft適用於雲端的 Defender 彈性應用程控來探索在虛擬機上執行的應用程式,並產生應用程式允許清單,以授權哪些已核准的應用程式可以在 VM 環境中執行。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在機器上啟用定義安全應用程式的調適型應用程控 | 啟用應用程控來定義電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化您的電腦抵禦惡意代碼。 為了簡化設定和維護規則的程式,資訊安全中心會使用機器學習來分析在每部計算機上執行的應用程式,並建議已知安全應用程式清單。 | 如果不存在則稽核,已停用 | 3.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在機器上啟用定義安全應用程式的調適型應用程控 | 啟用應用程控來定義電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化您的電腦抵禦惡意代碼。 為了簡化設定和維護規則的程式,資訊安全中心會使用機器學習來分析在每部計算機上執行的應用程式,並建議已知安全應用程式清單。 | 查核若不存在,禁用 | 3.0.0 |
記錄和威脅偵測
如需詳細資訊,請參閱雲端安全性基準 Microsoft:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
特徵
Microsoft Defender服務/產品供應方案
描述:服務具有供應專案特定的 Microsoft Defender 解決方案,可監視及警示安全性問題。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
設定指引:適用於伺服器的Defender會將保護延伸至在 Azure 中執行的 Windows 和 Linux 機器。 適用於伺服器的 Microsoft Defender 與 Microsoft Defender for Endpoint 整合,以提供端點偵測和回應(EDR),並提供一系列額外的威脅防護功能,例如安全性基準和作業系統層級評估、弱點評估掃描、調適型應用程式控制(AAC)、檔案完整性監控(FIM)等等。
參考資料:規劃伺服器用 Defender 的部署
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該在您的電腦上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 惡意探索防護有四個元件,其設計目的是針對各種攻擊媒介鎖定裝置,並封鎖惡意代碼攻擊中常用的行為,同時讓企業能夠平衡其安全性風險和生產力需求(僅限 Windows)。 | AuditIfNotExists,停用 | 2.0.0 |
LT-4:啟用用於安全性調查的記錄
特徵
Azure 資源記錄
描述:服務會產生資源記錄,這些記錄能夠提供增強的服務特定指標和日誌。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收端,例如儲存帳戶或記錄分析工作區。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 是 | 假 | 客戶 |
設定指引:當您建立 VM 時,Azure 監視器會開始自動收集虛擬機器主機的計量數據。 不過,若要從虛擬機的客體作系統收集記錄和效能數據,您必須安裝 Azure 監視器代理程式。 您可以使用 VM Insights 或通過 建立資料收集 規則來安裝代理程式並設定資料收集。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應在Linux虛擬機上安裝網路流量數據收集代理程式 | 資訊安全中心會使用Microsoft相依性代理程式從 Azure 虛擬機收集網路流量數據,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議和特定網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
姿勢和弱點管理
如需更多資訊,請參閱 Microsoft 雲端安全性基準:狀態與弱點管理。
PV-3:定義和建立計算資源的安全設定
特徵
Azure 自動化狀態設定
描述:Azure 自動化狀態設定可用來維護作業系統的安全性設定。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真的 | 假 | 客戶 |
組態指引:使用 Azure 自動化狀態設定來維護作系統的安全性設定。
Azure 原則來賓配置代理程式
描述:Azure Policy Guest Configuration 代理程式可以安裝或部署為計算資源的擴充套件。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
功能注意事項:Azure Policy 的 Guest Configuration 現在稱為 Azure Automanage 機器配置。
設定指引:使用 Microsoft Defender for Cloud 和 Azure Policy 來賓設定代理程式,定期評估及補救 Azure 計算資源上的設定偏差,包括虛擬機、容器以及其他。
參考:瞭解 Azure Automanage 的機器設定功能
自訂 VM 映像
描述:服務支援使用者提供的 VM 映像或市集中預先建置且套用特定基準配置的映像。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真 | 假 | 客戶 |
組態指引:使用來自信任供應商(例如 Microsoft)的已強化預設映像,或在 VM 映像範本中建立所需的安全性設定基準。
參考:教學課程:使用 Azure CLI 建立 Azure VM 的自定義映像
PV-4:稽核並強制執行計算資源的安全設定
特徵
受信任的安全啟動虛擬機
描述:可信啟動透過結合安全開機、vTPM 和完整性監控等基礎架構技術,保護系統免受進階和持續性的攻擊技術影響。 每個技術都提供另一層防禦複雜的威脅。 信任啟動允許使用已驗證開機載入器、OS 核心和驅動程式的安全部署虛擬機,並安全地保護虛擬機中的密鑰、憑證和秘密。 受信任的啟動還提供對整個開機流程完整性的見解和信心,並確保工作負載是受信任且可驗證的。 受信任的啟動已與 Microsoft Defender for Cloud 整合,以確保 VM 已正確設定,並透過進行遠端驗證來確認 VM 是以健康的方式開機。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
功能注意事項:可信啟動已可用於第 2 代虛擬機。 受信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。
設定指引:在部署 VM 期間可能會啟用受信任的啟動。 啟用這三個 - 安全開機、vTPM 和完整性開機監視,以確保虛擬機的最佳安全性狀態。 請注意,這些是幾個必要條件,包括將您的訂用帳戶上線至 Microsoft Defender for Cloud,指派特定的 Azure 原則方案,以及設定防火牆原則。
PV-5:執行弱點評估
特徵
使用 Microsoft Defender 的弱點評估
描述:使用 Microsoft Defender for Cloud 或其他 Microsoft Defender 服務內嵌的弱點評估功能,可以用來執行弱點掃描(包括 Microsoft Defender for Server、容器登錄、App Service、SQL 和 DNS)。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 確實 | 假 | 客戶 |
設定指引:請遵循適用於雲端的 Microsoft Defender 的建議,以在 Azure 虛擬機上執行弱點評估。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在虛擬機上啟用弱點評估解決方案 | 稽核虛擬機,以偵測它們是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計劃的核心元件是識別和分析弱點。 Azure 資訊安全中心的標準定價層包含虛擬機的弱點掃描,不需額外費用。 此外,資訊安全中心也可以為您自動部署此工具。 | AuditIfNotExists,停用 | 3.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在虛擬機上啟用弱點評估解決方案 | 稽核虛擬機,以偵測它們是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計劃的核心元件是識別和分析弱點。 Azure 資訊安全中心的標準定價層包含虛擬機的弱點掃描,不需額外費用。 此外,資訊安全中心也可以為您自動部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
PV-6:快速且自動補救弱點
特徵
Azure Update Manager
描述:服務可以使用 Azure Update Manager 自動部署修補程式和更新。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 正確 | 客戶 |
組態指引:使用 Azure Update Manager 來確保 Linux VM 上已安裝最新的安全性更新。
Azure 來賓修補服務
描述:服務可以使用 Azure 客體修補自動部署修補程式和更新。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
設定指引:服務可以利用不同的更新機制,例如 自動OS映射升級 和 自動客體修補。 建議將最新的安全性和重大更新應用於虛擬機的來賓操作系統,並遵循安全部署原則。
自動來賓修補可讓您自動評估及更新 Azure 虛擬機,以維持每月發行的重要和安全性更新的安全合規性。 更新會在離峰時段套用,包括可用性設定組中的 VM。 此功能適用於 VMSS 的彈性編排模式,並已規劃未來支援統一編排模式。
如果您執行無狀態工作負載,自動作業系統映像升級非常適合套用到虛擬機器規模集合 (VMSS) 統一模式的最新更新。 透過回退功能,這些更新與 Marketplace 或自訂映像檔相容。 彈性協調流程藍圖上的未來滾動升級支援。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 系統更新應該安裝在您的電腦上 | Azure 資訊安全中心將會監視您伺服器上遺漏的安全性系統更新,並給予相應建議。 | 如果不存在則稽核,已停用 | 4.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:系統更新應該安裝在您的計算機上(由更新中心提供電源) | 您的電腦遺失系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重要修補程式。 這類漏洞經常在惡意代碼攻擊中遭到利用,因此請務必保持軟體更新。 若要安裝所有未處理的修補程式並保護您的機器,請遵循補救步驟。 | AuditIfNotExists, Disabled | 1.0.0-preview |
端點安全性
如需詳細資訊,請參閱雲端安全性基準 Microsoft:端點安全性。
ES-1:使用端點偵測和回應 (EDR)
特徵
EDR 解決方案
描述:您可以將適用於伺服器的 Azure Defender 等端點偵測和回應功能部署到端點。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
組態指引:適用於伺服器的 Azure Defender(已整合Microsoft適用於端點的 Defender)提供 EDR 功能,以防止、偵測、調查及回應進階威脅。 使用適用於雲端的 Microsoft Defender 為您的端點部署適用於伺服器的 Azure Defender,並將警示整合到 SIEM 解決方案,例如 Azure Sentinel。
ES-2:使用新式反惡意代碼軟體
特徵
反惡意代碼解決方案
描述:可以在端點上部署反惡意代碼功能,例如 Microsoft Defender 防病毒軟體和 Microsoft Defender 端點防護。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
設定指引:針對 Linux,客戶可以選擇安裝適用於 Linux 的適用於端點的 Defender Microsoft。 或者,客戶也可以選擇安裝第三方反惡意代碼產品。
參考:Linux 上適用於端點的 Microsoft Defender
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的機器應該解決終端防護健康問題 | 解決虛擬機上的端點保護健康情況問題,以防範最新的威脅和弱點。 Azure 資訊安全中心支援的 Endpoint Protection 解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評估記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists,已停用 | 1.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的機器上應解決終端安全防護健康狀況問題 | 解決虛擬機上的端點保護健康情況問題,以防範最新的威脅和弱點。 Azure 資訊安全中心支援的 Endpoint Protection 解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評估記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | 如果不存在則審核,已停用 | 1.0.0 |
ES-3:確定已更新反惡意代碼軟體和簽章
特徵
反惡意軟體解決方案狀態監控
描述:反惡意代碼解決方案提供平台、引擎和自動特徵碼更新的健康狀態監控。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
功能注意事項:安全性情報和產品更新適用於能安裝在 Linux 虛擬機器上的 Defender for Endpoint。
設定指引:設定反惡意代碼解決方案,以確保平臺、引擎和簽章會快速且一致地更新,並監視其狀態。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您應在您的機器上解決端點防護健全性問題 | 解決虛擬機上的端點保護健康情況問題,以防範最新的威脅和弱點。 Azure 資訊安全中心支援的 Endpoint Protection 解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評估記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists,停用 | 1.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您應該在設備上解決端點保護健康問題 | 解決虛擬機上的端點保護健康情況問題,以防範最新的威脅和弱點。 Azure 資訊安全中心支援的 Endpoint Protection 解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評估記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | 如未存在則稽核,停用 | 1.0.0 |
備份和復原
如需詳細資訊,請參閱雲端安全性基準Microsoft :備份和復原。
BR-1:確保定期自動備份
特徵
Azure 備份
描述:此服務可以由 Azure 備份服務進行備份。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真 | 假 | 客戶 |
設定指引:啟用 Azure 備份,並將備份目標設為 Azure 虛擬機(VM),設定所需的備份頻率和保留期限。 這包括完整的系統狀態備份。 如果您使用 Azure 磁碟加密,Azure VM 備份會自動處理客戶自控密鑰的備份。 針對 Azure 虛擬機,您可以使用 Azure 原則來啟用自動備份。
參考:Azure 中虛擬機的備份和還原選項
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對虛擬機啟用 azure 備份 | 啟用 Azure 備份,以確保保護您的 Azure 虛擬機。 Azure 備份是適用於 Azure 的安全且符合成本效益的數據保護解決方案。 | AuditIfNotExists,已停用 | 3.0.0 |