虛擬機的 Azure 安全性基準 - Windows 虛擬機
此安全性基準會將 Microsoft雲端安全性效能評定 1.0 版 的指引套用至虛擬機 - Windows 虛擬機。 Microsoft雲端安全性效能評定提供如何在 Azure 上保護您的雲端解決方案的建議。 內容會依據Microsoft雲端安全性基準所定義的安全性控制,並且適用於虛擬機器-Windows虛擬機器的相關指引進行分組。
您可以使用 Microsoft Defender for Cloud 監視此安全性基準及其建議。 Azure 原則定義將會列在適用於雲端入口網站的 Microsoft Defender 的法規合規性一節中。
當功能具有相關的 Azure 原則定義時,這些定義會列在此基準中,以協助您測量符合 Microsoft 雲端安全性基準控件和建議的合規性。 某些建議可能需要付費Microsoft Defender 方案,才能啟用特定安全性案例。
注意
功能 不適用於虛擬機 - 已排除 Windows 虛擬機。 若要查看虛擬機 - Windows 虛擬機如何完全對應至Microsoft雲端安全性效能評定,請參閱 完整的虛擬機 - Windows 虛擬機安全性基準對應檔案。
安全設定檔
安全性配置檔摘要說明虛擬機 - Windows 虛擬機的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 價值 |
|---|---|
| 產品類別 | 計算 |
| 客戶可以存取 HOST / OS | 完整存取 |
| 服務可以部署到客戶的虛擬網路 | 真實 |
| 儲存靜止狀態的客戶內容 | 真 |
網路安全性
如需詳細資訊,請參閱雲端安全性基準Microsoft :網路安全性。
NS-1:建立網路分割界限
特徵
虛擬網路整合
描述:服務支援部署到客戶的專用虛擬網路(VNet)。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 是 | Microsoft |
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考:Azure 中的虛擬網路和虛擬機
網路安全組支援
描述:服務網路流量遵循其子網路的網路安全組規則指派。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 是 | 假 | 客戶 |
設定指引:使用網路安全組 (NSG) 來限制或監視埠、通訊協定、來源IP位址或目的地IP位址的流量。 建立 NSG 規則來限制服務的開放埠(例如防止從不受信任的網路存取管理埠)。 請注意,根據預設,NSG 會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。
當您建立 Azure 虛擬機器(VM)時,您必須建立虛擬網路或使用現有的虛擬網路,並使用子網來設定 VM。 請確定所有已部署的子網都已套用網路安全組,且根據您應用程式的受信任埠和來源,實施特定的網路存取控制。
參考:網路安全性群組
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路埠都應該限制在與虛擬機相關聯的網路安全組上 | Azure 安全中心已識別出一些網路安全組的入站規則太寬鬆。 入站規則不應允許從「任何」或「網際網路」範圍存取。 這可能會讓攻擊者以您的資源為目標。 | 審核如果不存在,已禁用 | 3.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 面向網際網路的虛擬機器應採用自適性網路強化建議 | Azure 資訊安全中心會分析因特網對向虛擬機的流量模式,並提供網路安全組規則建議,以減少潛在的攻擊面 | AuditIfNotExists, Disabled | 3.0.0 |
NS-2:使用網路控制保護雲端服務
特徵
停用公用網路存取
描述:服務支援使用服務層級 IP ACL 篩選規則(非 NSG 或 Azure 防火牆)或使用[停用公用網路存取] 切換開關來停用公用網路存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
設定指引:使用作系統層級的服務,例如 Windows Defender 防火牆來提供網路篩選來停用公用存取。
身分識別管理
如需詳細資訊,請參閱雲端安全性基準Microsoft :身分識別管理。
IM-1:使用集中式身分識別和驗證系統
特徵
適用於數據層面存取的 Azure AD 驗證要求
描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
組態指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的數據平面存取。
參考:使用 Azure AD 登入 Azure 中的 Windows 虛擬機,包括無密碼
數據平面存取的本機驗證方法
描述:支持數據平面存取的本機驗證方法,例如本機用戶名稱和密碼。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 真 | Microsoft |
功能注意事項:預設會在虛擬機的初始部署期間建立本機系統管理員帳戶。 避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改為使用 Azure AD 儘可能進行驗證。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
IM-3:安全地且自動管理應用程式身分識別
特徵
受管理的身份
描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
功能注意事項:Windows VM 通常會利用受控識別向其他服務進行驗證。 如果 Windows VM 支援 Azure AD 驗證,則可能支援受控識別。
組態指引:盡可能使用 Azure 受控識別,而不是服務主體,這可以向支援 Azure Active Directory(Azure AD) 驗證的 Azure 服務和資源進行驗證。 受控識別認證完全受平臺管理、輪替及保護,避免原始程式碼或組態檔中的硬式編碼認證。
服務主體
描述:數據平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
功能注意事項:Windows VM 中執行的應用程式可能會使用服務主體。
組態指引:這項功能設定目前沒有Microsoft指導方針。 請檢閱並判斷您的組織是否想要設定這項安全性功能。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機的來賓配置擴充功能應以系統指派的管理識別來部署 | 客體設定擴充功能需要系統指派的受控識別。 當安裝了來賓設定擴充功能但未指派系統指派的受控身分識別時,此原則範圍內的 Azure 虛擬機將會不符合規範。 請在 https://aka.ms/gcpol 了解更多 | AuditIfNotExists,已停用 | 1.0.1 |
IM-7:根據條件限制資源存取
特徵
數據平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制數據平面存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
功能注意事項:使用 Azure AD 作為核心身份驗證平台,以 RDP 進入 Windows Server 2019 Datacenter 版本及更新版本,或 Windows 10 1809 及更新版本。 然後,您可以集中控制並強制執行 Azure 角色型存取控制 (RBAC) 和條件式存取原則,以允許或拒絕對 VM 的存取。
組態指引:定義工作負載中 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或提供特定位置的存取權、阻止風險性登入行為,或要求應用程式只能在組織管理的裝置上運行。
參考:使用 Azure AD 登入 Azure 中的 Windows 虛擬機,包含免密碼選項
IM-8:限制認證和秘密的公開
特徵
在 Azure Key Vault 中實現服務憑證和機密資訊的整合與儲存支援。
描述:資料平面支援原生使用 Azure 金鑰保存庫來存儲憑證和機密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
功能注意事項:在數據平面或作系統內,服務可能會呼叫 Azure Key Vault 以取得認證或秘密。
設定指引:確定秘密和認證會儲存在安全的位置,例如 Azure Key Vault,而不是將它們內嵌到程式碼或組態檔中。
特殊權限存取
如需詳細資訊,請參閱雲端安全性基準Microsoft :特殊許可權存取。
PA-1:分隔及限制高許可權/系統管理使用者
特徵
本機系統管理員帳戶
描述:服務具有本地管理帳戶的概念。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 是 | Microsoft |
功能注意事項:請盡可能停用本機驗證方法或帳戶。 請改為使用 Azure AD 儘可能進行驗證。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考:快速入門:在 Azure 入口網站中建立 Windows 虛擬機
PA-7:遵循最低限的管理(最小許可權)原則
特徵
適用於數據平面的 Azure RBAC
描述:Azure Role-Based 存取控制 (Azure RBAC)可用來管理服務資料平面操作的存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
功能注意事項:使用 Azure AD 作為核心驗證平台,以 RDP 登入 Windows Server 2019 Datacenter 版及更高版本,或 Windows 10 1809 及更高版本。 然後,您可以集中控制並強制執行 Azure 角色型存取控制 (RBAC) 和條件式存取原則,以允許或拒絕對 VM 的存取。
設定指引:使用 RBAC,指定誰可以以一般使用者或系統管理員許可權登入 VM。 當使用者加入您的小組時,您可以更新 VM 的 Azure RBAC 原則,以適當地授與存取權。 當員工離開您的組織及其用戶帳戶遭到停用或從 Azure AD 移除時,他們就無法再存取您的資源。
參考:使用 Azure AD 登入 Azure 中的 Windows 虛擬機,包括無密碼
PA-8:判斷雲端服務提供商支援的存取流程
特徵
客戶加密箱
描述:客戶鎖箱可用於 Microsoft 支援存取。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實的 | 假 | 客戶 |
設定指引:在Microsoft需要存取資料的情況下,請使用客戶許可箱來審查,然後核准或拒絕Microsoft的每一個資料存取要求。
數據保護
如需詳細資訊,請參閱雲端安全性基準Microsoft :數據保護。
DP-1:探索、分類和標記敏感數據
特徵
敏感數據探索和分類
描述:工具(例如 Azure Purview 或 Azure 資訊保護)可用於服務中的數據探索和分類。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-2:監視以敏感數據為目標的異常和威脅
特徵
數據外洩/外洩防護
描述:服務支援 DLP 解決方案來監視敏感數據移動(在客戶的內容中)。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-3:加密傳輸中的敏感數據
特徵
資料傳輸加密
描述:服務提供數據平面的資料在傳輸過程中的加密。 深入瞭解。
| 受支持 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
功能注意事項:預設會加密某些通訊協定,例如SSH。 不過,HTTP 等其他服務必須設定為使用 TLS 進行加密。
設定指引:在具備原生數據加密功能的服務中啟用安全傳輸。 在任何 Web 應用程式和服務上強制執行 HTTPS,並確保使用 TLS v1.2 或更新版本。 應停用舊版,例如 SSL 3.0、TLS v1.0。 針對虛擬機的遠端管理,請使用 SSH(適用於 Linux)或 RDP/TLS(適用於 Windows),而不是未加密的通訊協定。
參考:VM 傳輸過程中的加密
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Windows 計算機應設定為使用安全通訊協定 | 為了保護透過因特網通訊的信息隱私權,您的計算機應該使用最新版的業界標準密碼編譯通訊協定傳輸層安全性 (TLS)。 TLS 會加密電腦之間的連線,藉此保護透過網路的通訊。 | 如果沒有存在則進行稽核,已停用 | 4.1.1 |
DP-4:預設啟用待用數據加密
特徵
使用平臺密鑰對靜態資料進行加密
描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些Microsoft受控密鑰加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 真實 | Microsoft |
功能注意事項:根據預設,受控磁碟會使用平臺管理的加密密鑰。 所有受管理的磁碟、快照、映像,以及寫入現有受管理磁碟的數據,都會使用平台管理的金鑰自動加密靜態資料。
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考:Azure 磁碟儲存體的伺服器端加密 - 平台管理密鑰
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機應該加密計算和記憶體資源之間的暫存磁碟、快取和數據流 | 根據預設,虛擬機的 OS 和數據磁碟會使用平臺管理的密鑰進行待用加密。 計算和儲存之間的暫存磁碟、數據快取和數據流不會被加密。 如果: 1,請忽略此建議。 使用主機加密,或者選項 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入瞭解:Azure 磁碟記憶體的伺服器端加密:https://aka.ms/disksse、 不同的磁碟加密供應專案:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Linux 虛擬機應該啟用 Azure 磁碟加密或主機加密。 | 根據預設,虛擬機的OS和數據磁碟會使用平臺管理的密鑰進行待用加密;暫存磁碟和數據快取不會加密,而且在計算和記憶體資源之間流動時,不會加密數據。 使用 Azure 磁碟加密或 EncryptionAtHost 來加密所有這些數據。請流覽 https://aka.ms/diskencryptioncomparison 來比較加密供應專案。 此原則需要先具備兩個必要條件才能部署到原則指派範圍。 如需詳細資訊,請瀏覽 https://aka.ms/gcpol。 | 若不存在則稽核,已停用 | 1.2.0-preview |
DP-5:視需要在待用數據加密中使用客戶自控密鑰選項
特徵
使用 CMK 進行待用資料加密
描述:服務儲存的客戶內容支援使用客戶管理的密鑰進行靜態加密。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
功能注意事項:您可以選擇使用您自己的金鑰來管理每個受控磁碟層級的加密。 當您指定客戶管理的金鑰時,該金鑰會用來保護和控制對加密資料之金鑰的存取。 客戶管理的金鑰可提供更大的彈性來管理存取控制。
設定指引:如果需要法規合規性,請定義使用客戶自控密鑰進行加密的使用案例和服務範圍。 針對這些服務,使用客戶管理的密鑰來啟用和實作待用數據加密。
虛擬機器(VM)上的虛擬磁碟會使用伺服器端加密或 Azure 磁碟加密(ADE)進行靜態加密。 Azure 磁碟加密會利用 Windows 的 BitLocker 功能,以客體 VM 內的客戶自控密鑰來加密受控磁碟。 伺服器端加密使用客戶自主管理的密鑰,可以在儲存服務中加密數據,從而允許您使用任何操作系統類型和影像來改善 ADE。
DP-6:使用安全金鑰管理程式
特徵
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure Key Vault 整合。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
設定指引:使用 Azure Key Vault 來建立和控制加密密鑰的生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程或在密鑰淘汰或洩露時,輪替和撤銷 Azure Key Vault 中的密鑰和服務。 當在工作負載、服務或應用層級需要使用客戶管理的金鑰(CMK)時,請確保您遵循金鑰管理的最佳實踐:利用金鑰階層,在金鑰庫中用您的金鑰加密金鑰(KEK)生成單獨的數據加密金鑰(DEK)。 確保金鑰已向 Azure Key Vault 註冊,並透過來自服務或應用程式的金鑰 ID 來參考。 如果您需要將您自己的金鑰 (BYOK) 帶入服務(例如將受 HSM 保護的金鑰從內部部署 HSM 匯入至 Azure Key Vault),請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
參考:在 Windows VM 上建立和設定 Azure 磁碟加密的金鑰保存庫
DP-7:使用安全憑證管理程式
特徵
Azure Key Vault 中的憑證管理
描述:此服務支援 Azure Key Vault 與任何客戶憑證的整合。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 假 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
資產管理
如需詳細資訊,請參閱雲端安全性基準Microsoft :資產管理。
AM-2:僅使用已核准的服務
特徵
Azure 原則支援
描述:您可以透過 Azure 原則監視和強制執行服務組態。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實的 | 假 | 客戶 |
設定指引:Azure 原則可用來定義組織 Windows VM 和 Linux VM 所需的行為。 藉由使用原則,組織可以在整個企業中強制執行各種慣例和規則,並定義及實作 Azure 虛擬機的標準安全性設定。 強制執行所需的行為有助於降低風險,同時促成組織的成功。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機應該移轉至新的 Azure Resource Manager 資源 | 為您的虛擬機使用新的 Azure Resource Manager 來提供安全性增強功能,例如:更強大的訪問控制 (RBAC)、更好的稽核、Azure Resource Manager 型部署和治理、受控識別的存取、秘密的密鑰保存庫存取、Azure AD 型驗證,以及標籤和資源群組的支援,以方便安全性管理 | 審核、拒絕、已停用 | 1.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機應該移轉至新的 Azure Resource Manager 資源 | 為您的虛擬機使用新的 Azure Resource Manager 來提供安全性增強功能,例如:更強大的訪問控制 (RBAC)、更好的稽核、Azure Resource Manager 型部署和治理、受控識別的存取、秘密的密鑰保存庫存取、Azure AD 型驗證,以及標籤和資源群組的支援,以方便安全性管理 | 稽核、拒絕、停用 | 1.0.0 |
AM-5:只在虛擬機中使用已核准的應用程式
特徵
適用於雲端的 Microsoft Defender - 自適性應用程控
描述:服務可以使用適用於雲端的 Microsoft Defender 中的自適應應用程式控制,限制在虛擬機器上執行哪些客戶應用程式。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
設定指引:使用 Microsoft適用於雲端的 Defender 彈性應用程控來探索在虛擬機上執行的應用程式,並產生應用程式允許清單,以授權哪些已核准的應用程式可以在 VM 環境中執行。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在機器上啟用定義安全應用程式的調適型應用程控 | 啟用應用程控來定義電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化您的電腦抵禦惡意代碼。 為了簡化設定和維護規則的程式,資訊安全中心會使用機器學習來分析在每部計算機上執行的應用程式,並建議已知安全應用程式清單。 | AuditIfNotExists,已停用 | 3.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在機器上啟用定義安全應用程式的調適型應用程控 | 啟用應用程控來定義電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化您的電腦抵禦惡意代碼。 為了簡化設定和維護規則的程式,資訊安全中心會使用機器學習來分析在每部計算機上執行的應用程式,並建議已知安全應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
記錄和威脅偵測
如需詳細資訊,請參閱雲端安全性基準 Microsoft:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
特徵
Microsoft Defender 服務/產品方案
描述:服務具有供應專案特定的 Microsoft Defender 解決方案,可監視及警示安全性問題。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
設定指引:適用於伺服器的Defender會將保護延伸至在 Azure 中執行的 Windows 和 Linux 機器。 適用於伺服器的 Microsoft Defender 融合適用於端點的 Microsoft Defender,提供端點偵測與回應(EDR),並提供一系列額外的威脅防護功能,例如安全性基準與作業系統層級評估、弱點評估掃描、自適應應用控制(AAC)、檔案完整性監控(FIM)等等。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該在您的電腦上啟用 Windows Defender 惡意探索防護 | Windows Defender 漏洞防護會使用 Azure 原則來賓設定代理程式。 惡意探索防護有四個元件,其設計目的是針對各種攻擊媒介鎖定裝置,並封鎖惡意代碼攻擊中常用的行為,同時讓企業能夠平衡其安全性風險和生產力需求(僅限 Windows)。 | 審核如果不存在,停用 | 2.0.0 |
LT-4:啟用安全調查日誌記錄
特徵
Azure 資源記錄
描述:服務會產生資源記錄,這些記錄可以提供增強的服務特定指標和日誌功能。 客戶可以設定這些資源日誌,並將其傳送至自己的資料匯集點,例如儲存帳戶或記錄分析工作區。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
設定指引:當您建立 VM 時,Azure 監視器會開始自動收集虛擬機器主機的計量數據。 不過,若要從虛擬機的客體作系統收集記錄和效能數據,您必須安裝 Azure 監視器代理程式。 您可以使用 VM 深入解析 或 建立資料收集規則來安裝代理程式並設定集合。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應在Linux虛擬機上安裝網路流量數據收集代理程式 | 資訊安全中心會使用Microsoft相依性代理程式從 Azure 虛擬機收集網路流量數據,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議和特定網路威脅。 | 若不存在則審計,已停用 | 1.0.2-preview |
狀態和弱點管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:狀態和弱點管理。
PV-3:定義和建立計算資源的安全設定
特徵
Azure 自動化狀態設定
描述:Azure 自動化狀態設定配置可用來維護作業系統的安全性設定。 瞭解更多。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
組態指引:使用 Azure 自動化狀態設定來維護作系統的安全性設定。
Azure 原則客體設定代理程式
描述:Azure Policy 的來賓設定代理程式可以作為擴充功能安裝或部署到計算資源上。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真 | 假 | 客戶 |
功能注意事項:Azure Policy 來賓設定現已稱為 Azure Automanage Machine Configuration。
設定指引:使用 Microsoft Defender for Cloud 和 Azure 原則來賓配置代理程式,定期評估及修正 Azure 計算資源上的配置偏差,包括 VM、容器和其他。
參考:瞭解 Azure Automanage 的機器設定功能
自訂 VM 映像
描述:服務支援使用使用者提供的 VM 映像或市集中的預先建立映像,這些映像已套用特定的基準組態。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 真實 | 假 | 客戶 |
設定指引:使用來自信任供應商的預先配置的強化映像,例如 Microsoft,或將所需的安全配置基準建入 VM 映像範本。
參考:教學課程:使用 Azure PowerShell 建立 Windows VM 映像
PV-4:稽核並強制執行計算資源的安全設定
特徵
受信任的啟動虛擬機
描述:可信啟動會結合安全開機、vTPM 和完整性監視等基礎結構技術,以防範進階和持續性的攻擊技術。 每個技術都提供另一層防禦複雜的威脅。 信任啟動允許使用已驗證開機載入器、OS 核心和驅動程式的安全部署虛擬機,並安全地保護虛擬機中的密鑰、憑證和秘密。 受信任的啟動還提供整個啟動鏈完整性的見解和信心,並確保工作負載受信任且可驗證。 受信任的啟動功能已與 Microsoft Defender for Cloud 整合,以確保 VM 得到正確的配置,並以遠端驗證的方式證明 VM 的啟動狀態正常。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 是 | 假 | 客戶 |
功能注意事項:第 2 代 VM 可以使用受信任的啟動。 信任的啟動需要建立新的虛擬機。 您無法在一開始建立且沒有它的現有虛擬機上啟用受信任的啟動。
設定指引:在部署 VM 期間可能會啟用受信任的啟動。 啟用這三個 - 安全開機、vTPM 和完整性開機監視,以確保虛擬機的最佳安全性狀態。 請注意,有幾個必要條件,包括將您的訂閱啟用到Microsoft Defender for Cloud,指派特定的Azure原則方案,以及配置防火牆政策。
PV-5:執行弱點評估
特徵
使用 Microsoft Defender 的弱點評估
描述:可以使用 Microsoft Defender for Cloud 或其他 Microsoft Defender 服務內嵌的弱點評估功能,對服務進行弱點掃描(包括適用於伺服器的 Microsoft Defender、容器登錄、App Service、SQL 和 DNS)。 深入瞭解。
| 支援 | 默認為啟用 | 配置責任 |
|---|---|---|
| 真 | 假 | 客戶 |
設定指引:請遵循適用於雲端的 Microsoft Defender 的建議,以在 Azure 虛擬機上執行弱點評估。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在虛擬機上啟用弱點評估解決方案 | 稽核虛擬機,以偵測它們是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計劃的核心元件是識別和分析弱點。 Azure 資訊安全中心的標準定價層包含虛擬機的弱點掃描,不需額外費用。 此外,資訊安全中心也可以為您自動部署此工具。 | AuditIfNotExists,已停用 | 3.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在虛擬機上啟用弱點評估解決方案 | 稽核虛擬機,以偵測它們是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計劃的核心元件是識別和分析弱點。 Azure 資訊安全中心的標準定價層包含虛擬機的弱點掃描,不需額外費用。 此外,資訊安全中心也可以為您自動部署此工具。 | 若不存在則稽核,已停用 | 3.0.0 |
PV-6:快速且自動補救弱點
特徵
Azure Update Manager
描述:服務可以使用 Azure Update Manager 自動部署修補程式和更新。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確的 | 正確 | 客戶 |
設定指引:使用 Azure Update Manager 確保 Windows VM 上已安裝最新的安全性更新。 針對 Windows VM,請確定 Windows Update 已啟用並設定為自動更新。
Azure 客體修補服務
描述:服務可以使用 Azure 客戶端修補來自動部署修補程式和更新。 深入瞭解。
| 支援 | 默認為啟用 | 組態設定責任 |
|---|---|---|
| 真 | 假 | 客戶 |
設定指引:服務可以利用不同的更新機制,例如 自動OS映射升級 和 自動客體修補。 建議您遵循安全部署原則,將最新的安全性和重大更新套用至虛擬機的客體操作系統。
自動客體修補可讓您自動評估及更新 Azure 虛擬機,以維護每個月發行之重大和安全性更新的安全性合規性。 更新會在離峰時段套用,包括可用性設定群組中的虛擬機器(VM)。 此功能適用於 VMSS 彈性編排,並列入未來支援統一編排的發展路線圖中。
如果您執行無狀態工作負載,自動作業系統映像升級非常適合對您的虛擬機器規模集 (VMSS) 統一套用最新更新。 透過復原功能,這些更新與 Marketplace 或自定義映像相容。 彈性協調流程藍圖上的未來滾動升級支援。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 系統更新應該安裝在您的電腦上 | Azure 資訊安全中心將會監視您伺服器上缺漏的安全性系統更新,並將其作為建議給出。 | AuditIfNotExists, Disabled | 4.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:系統更新應該安裝在您的計算機上(由更新中心提供電源) | 您的電腦遺失系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重要修補程式。 這類漏洞經常在惡意代碼攻擊中遭到利用,因此請務必保持軟體更新。 若要安裝所有未處理的修補程式並保護您的機器,請遵循補救步驟。 | 若不存在則審核,停用 | 1.0.0-preview |
端點安全性
如需詳細資訊,請參閱雲端安全性基準 Microsoft:端點安全性。
ES-1:使用端點偵測和回應 (EDR)
特徵
EDR 解決方案
描述:您可以將適用於伺服器的 Azure Defender 等端點偵測和回應功能部署到端點。 瞭解更多。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
組態指引:適用於伺服器的 Azure Defender(已整合Microsoft適用於端點的 Defender)提供 EDR 功能,以防止、偵測、調查及回應進階威脅。 使用適用於雲端的 Microsoft Defender 為您的端點部署適用於伺服器的 Azure Defender,並將警示整合到 SIEM 解決方案,例如 Azure Sentinel。
ES-2:使用新式反惡意代碼軟體
特徵
反惡意代碼解決方案
描述:可以在端點上部署反惡意軟體功能,例如 Microsoft Defender 防病毒軟體和 Microsoft Defender 適用於端點。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
設定指引:在 Windows Server 2016 及更高版本中,Microsoft Defender 防毒軟體會預設安裝。 針對 Windows Server 2012 R2 和更新版本,客戶可以安裝 SCEP(System Center Endpoint Protection)。 或者,客戶也可以選擇安裝第三方反惡意代碼產品。
參考:適用於端點的 Defender 上線 Windows Server
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在您的機器上解決 Endpoint Protection 健全狀況問題 | 解決虛擬機上的端點保護健康情況問題,以防範最新的威脅和弱點。 Azure 資訊安全中心支援的 Endpoint Protection 解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評估記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在您的機器上解決 Endpoint Protection 健全狀況問題 | 解決虛擬機上的端點保護健康情況問題,以防範最新的威脅和弱點。 Azure 資訊安全中心支援的 Endpoint Protection 解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評估記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists,已停用 | 1.0.0 |
ES-3:確定已更新反惡意代碼軟體和簽章
特徵
反惡意代碼解決方案健康情況監視
描述:反惡意程式解決方案提供平台、引擎和自動更新特徵碼的健康狀態監控。 進一步了解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 正確 | 假 | 客戶 |
功能注意事項:安全情報和產品更新適用於可安裝在 Windows 虛擬機上的 Defender 端點防護。
設定指引:設定反惡意代碼解決方案,以確保平臺、引擎和簽章會快速且一致地更新,並監視其狀態。
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.ClassicCompute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您設備上的 Endpoint Protection 健全狀況問題應被解決 | 解決虛擬機上的端點保護健康情況問題,以防範最新的威脅和弱點。 Azure 資訊安全中心支援的 Endpoint Protection 解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評估記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | 審核如果不存在,禁用 | 1.0.0 |
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該在您的設備上解決 Endpoint Protection 的健康問題 | 解決虛擬機上的端點保護健康情況問題,以防範最新的威脅和弱點。 Azure 資訊安全中心支援的 Endpoint Protection 解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評估記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | 若不存在則審核, 已禁用 | 1.0.0 |
備份和復原
如需詳細資訊,請參閱雲端安全性基準Microsoft :備份和復原。
BR-1:確保定期自動備份
特徵
Azure 備份
描述:此服務可以通過 Azure 備份服務進行備份。 深入瞭解。
| 支援 | 默認為啟用 | 設定責任 |
|---|---|---|
| 是 | 假 | 客戶 |
設定指引:啟用 Azure 備份,並以所需的保留期間設定備份來源(例如 Azure 虛擬機、SQL Server、HANA 資料庫或檔案共用)。 針對 Azure 虛擬機,您可以使用 Azure 原則來啟用自動備份。
參考:Azure 中虛擬機的備份和還原選項
適用於雲端監視的 Microsoft Defender
Azure 原則內建定義 - Microsoft.Compute:
| 名字 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對虛擬機啟用 azure 備份 | 啟用 Azure 備份,以確保保護您的 Azure 虛擬機。 Azure 備份是適用於 Azure 的安全且符合成本效益的數據保護解決方案。 | AuditoriaIfNotExists,已停用 | 3.0.0 |