已啟用 Azure Arc 之伺服器的 Azure 安全性基準
此安全性基準會將 Microsoft 雲端安全性基準 1.0 版 的指引套用至已啟用 Azure Arc 的伺服器。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性基準所定義的安全性控制,以及適用於已啟用 Azure Arc 的伺服器的相關指引分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則 定義將會列在雲端入口網站 Microsoft Defender 頁面的法規合規性一節中。
當功能有相關的 Azure 原則 定義時,這些定義會列在此基準中,以協助您測量與 Microsoft 雲端安全性基準檢驗控件和建議的合規性。 某些建議可能需要付費 Microsoft Defender 方案,才能啟用特定安全性案例。
注意
已排除不適用於已啟用 Azure Arc 的伺服器的功能。 若要查看已啟用 Azure Arc 的伺服器如何完全對應至 Microsoft 雲端安全性基準檢驗,請參閱 完整的已啟用 Azure Arc 的伺服器安全性基準對應檔案。
安全性配置檔
安全性配置檔摘要說明已啟用 Azure Arc 的伺服器的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | 混合式/多雲端、MGMT/治理 |
| 客戶可以存取主機/OS | 無存取權 |
| 服務可以部署至客戶的虛擬網路 | False |
| 儲存待用客戶內容 | False |
網路安全性
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
功能
虛擬網路整合
描述:服務支援將部署至客戶的私人 虛擬網路 (VNet) 。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
NS-2:使用網路控制保護雲端服務
功能
Azure Private Link
描述:用於篩選網路流量的服務原生IP篩選功能, (不會與NSG或 Azure 防火牆) 混淆。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:針對支援 Private Link 功能的所有 Azure 資源部署私人端點,以建立資源的私用存取點。
參考:使用 Azure Private Link 安全地將伺服器連線到 Azure Arc
停用公用網路存取
描述:服務支援透過使用服務層級IP ACL篩選規則來停用公用網路存取, (不是NSG或 Azure 防火牆) 或使用「停用公用網路存取」切換開關。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用服務層級IP ACL篩選規則或切換交換器來停用公用網路存取。
參考:使用 Azure Private Link 安全地將伺服器連線到 Azure Arc
身分識別管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
功能
資料平面存取所需的 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能附註:沒有面向客戶的數據平面 API。
設定指引:預設部署上啟用此設定時不需要其他設定。
參考: 已啟用 Azure Arc 之伺服器的身分識別和訪問控制
資料平面存取的本機驗證方法
描述:數據平面存取支援的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支援 | 默認啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:只有在使用 SSH 或 Windows Admin Center 連線到伺服器時,才會使用本機驗證。 請避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:限制對數據平面存取使用本機驗證方法。 請改用 Azure Active Directory (Azure AD) 作為預設驗證方法,以控制您的資料平面存取。
IM-3:安全且自動地管理應用程式身分識別
功能
受控識別
描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考: 使用已啟用 Azure Arc 的伺服器對 Azure 資源進行驗證
服務主體
描述:數據平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:這項功能設定沒有目前的 Microsoft 指引。 請檢閱並判斷您的組織是否想要設定此安全性功能。
參考: 建立大規模上線的服務主體
IM-8:限制認證和祕密的公開
功能
Azure Key Vault 中服務認證和秘密支援整合和儲存
描述:數據平面支援原生使用 Azure 金鑰保存庫 進行認證和秘密存放區。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
特殊權限存取
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:特殊許可權存取。
PA-1:劃分和限制高度權限/系統管理使用者
功能
本機 管理員 帳戶
描述:服務具有本機系統管理帳戶的概念。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。
設定指引:如果例行管理作業不需要,請停用或限制任何本機系統管理員帳戶僅供緊急使用。
PA-7:受保護的系統管理員
功能
適用於數據平面的 Azure RBAC
描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務數據平面動作的存取權。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考: 已啟用 Azure Arc 之伺服器的身分識別和訪問控制
資料保護
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:數據保護。
DP-1:探索、分類及標記敏感性資料
功能
敏感數據探索和分類
描述:Azure Purview 或 Azure 資訊保護) 等工具 (可用於服務中的數據探索和分類。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
DP-3:加密傳輸中的敏感性資料
功能
傳輸中資料加密
描述:服務支持數據平面的數據傳輸中加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
參考: 已啟用 Azure Arc 的伺服器的網路拓撲和連線能力
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.HybridCompute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Windows 計算機應設定為使用安全通訊協定 | 若要保護透過因特網通訊的資訊隱私權,您的計算機應該使用最新版的業界標準密碼編譯通訊協定傳輸層安全性 (TLS) 。 TLS 透過網路保護通訊,方法是加密計算機之間的連線。 | AuditIfNotExists, Disabled | 4.1.1 |
DP-4:預設啟用待用資料加密
功能
使用平台金鑰進行待用數據加密
描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些 Microsoft 管理的密鑰加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
設定指引:在預設部署上啟用此設定時,不需要任何其他設定。
資產管理
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:資產管理。
AM-2:僅使用核准的服務
功能
Azure 原則支援
描述:您可以透過 Azure 原則 監視和強制執行服務組態。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Microsoft Defender for Cloud 來設定 Azure 原則,以稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用 Azure 原則 [deny] 和 [如果不存在部署] 效果,強制跨 Azure 資源強制執行安全設定。
參考:適用於已啟用 Azure Arc 的伺服器 Azure 原則 內建定義
記錄和威脅偵測
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
功能
適用於服務/產品供應項目的 Microsoft Defender
描述:服務具有供應專案特定的 Microsoft Defender 解決方案,可監視和警示安全性問題。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的管理平面存取。 當您從 Microsoft Defender 取得 金鑰保存庫 警示時,請調查並回應警示。
適用於雲端的 Microsoft Defender 監視
Azure 原則 內建定義 - Microsoft.HybridCompute:
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
LT-4:啟用安全性調查的記錄
功能
Azure 資源記錄
描述:服務會產生可提供增強服務特定計量和記錄的資源記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收,例如記憶體帳戶或記錄分析工作區。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
備份與復原
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原。
BR-1:確保定期自動備份
功能
Azure 備份
描述:服務可由 Azure 備份 服務備份。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
服務原生備份功能
描述:如果不是使用 Azure 備份) ,服務支援自己的原生備份功能 (。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
下一步
- 請參閱 Microsoft 雲端安全性基準檢驗概觀
- 深入了解 Azure 資訊安全性基準