此安全基线将 Microsoft 云安全基准版本 1.0 中的指南应用于虚拟机 - Linux 虚拟机。 Microsoft云安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按Microsoft云安全基准定义的安全控制以及适用于虚拟机 - Linux 虚拟机的相关指南进行分组。
可以使用 Microsoft Defender for Cloud 监视此安全基线及其建议。 Azure Policy 定义将列在 Microsoft Defender for Cloud 门户页的“法规符合性”部分。
当某个功能具有相关的 Azure Policy 定义时,它们将列在此基线中,以帮助衡量与Microsoft云安全基准控制和建议的符合性。 某些建议可能需要付费Microsoft Defender 计划才能启用某些安全方案。
注意
功能 不适用于虚拟机 - Linux 虚拟机已被排除。 若要查看虚拟机 - Linux 虚拟机如何完全映射到Microsoft云安全基准,请参阅 完整的虚拟机 - Linux 虚拟机安全基线映射文件。
安全配置文件
安全配置文件汇总了虚拟机 (Linux 虚拟机)的高影响行为,这可能会导致安全注意事项增加。
| 服务行为属性 | 价值 |
|---|---|
| 产品类别 | 计算 |
| 客户可以访问主机 / OS | 完全访问权限 |
| 可将服务部署到客户的虚拟网络中 | 真 实 |
| 静态存储客户内容 | 真 实 |
网络安全
有关详细信息,请参阅 Microsoft云安全基准:网络安全。
NS-1:建立网络分段边界
特征
虚拟网络集成
说明:服务支持部署到客户的私有虚拟网络(VNet)。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 真 实 | 微软 |
配置指南:在默认部署上启用此配置时不需要其他配置。
参考:Azure 中的 虚拟网络和虚拟机
网络安全组支持
说明:服务网络流量遵循其子网上的网络安全组规则分配。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:使用网络安全组(NSG)通过端口、协议、源 IP 地址或目标 IP 地址限制或监视流量。 创建 NSG 规则以限制服务的开放端口(例如阻止从不受信任的网络访问管理端口)。 请注意,默认情况下,NSG 会拒绝所有入站流量,但允许来自虚拟网络和 Azure 负载均衡器的流量。
创建 Azure 虚拟机(VM)时,必须创建虚拟网络或使用现有虚拟网络,并使用子网配置 VM。 确保所有部署的子网都有一个网络安全组,该组应用了特定于应用程序受信任端口和源的网络访问控制。
参考:网络安全组
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这可能会导致攻击者以资源为目标。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在面向 Internet 的虚拟机上应用自适应网络强化建议 | Azure 安全中心分析面向 Internet 的虚拟机的流量模式,并提供网络安全组规则建议,以减少潜在的攻击面 | AuditIfNotExists、Disabled | 3.0.0 |
NS-2:使用网络控制保护云服务
特征
禁用公用网络访问
说明:服务支持通过使用服务级别 IP ACL 筛选规则(而不是 NSG 或 Azure 防火墙)或使用“禁用公用网络访问”切换开关禁用公用网络访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:可以在 Linux OS 中安装 iptable 或防火墙等服务,并提供网络筛选来禁用公共访问。
标识管理
有关详细信息,请参阅 Microsoft云安全基准:标识管理。
IM-1:使用集中式标识和身份验证系统
特征
数据平面访问所需的 Azure AD 身份验证
说明:服务支持使用 Azure AD 身份验证进行数据平面访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:使用 Azure Active Directory(Azure AD)作为默认身份验证方法来控制数据平面访问。
参考:使用 Azure AD 和 OpenSSH 登录到 Azure 中的 Linux 虚拟机
用于数据平面访问的本地身份验证方法
说明:数据平面访问支持的本地身份验证方法,例如本地用户名和密码。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 真 实 | 微软 |
功能说明:在虚拟机的初始部署期间默认创建本地管理员帐户。 避免使用本地身份验证方法或帐户,应尽可能禁用这些方法。 请改为使用 Azure AD 在可能的情况下进行身份验证。
配置指南:在默认部署上启用此配置时不需要其他配置。
IM-3:安全地自动管理应用程序标识
特征
托管标识
描述:数据平面操作支持使用托管标识进行身份验证。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:Linux VM 传统上利用托管标识向其他服务进行身份验证。 如果 Linux VM 支持 Azure AD 身份验证,则可以支持托管标识。
配置指南:尽可能使用 Azure 托管标识而不是服务主体,它可以向支持 Azure Active Directory (Azure AD) 身份验证的 Azure 服务和资源进行身份验证。 托管标识凭据由平台完全托管、轮换和保护,避免源代码或配置文件中的硬编码凭据。
服务主体
说明:数据平面支持使用服务主体进行身份验证。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:Linux VM 中运行的应用程序可以使用服务主体。
配置指南:目前没有关于此功能配置的 Microsoft 指南。 请查看并确定组织是否要配置此安全功能。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 安装来宾配置扩展但没有系统分配的托管标识时,此策略范围内的 Azure 虚拟机将不符合要求。 在 https://aka.ms/gcpol 了解详细信息 | AuditIfNotExists、Disabled | 1.0.1 |
IM-7:根据条件限制资源访问
特征
数据平面的条件访问
说明:可以使用 Azure AD 条件访问策略控制数据平面访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:使用 Azure AD 作为核心身份验证平台和证书颁发机构,通过 Azure AD 和 OpenSSH 的证书验证机制来使用 SSH 连接到 Linux 虚拟机。 此功能允许组织使用 Azure 基于角色的访问控制(RBAC)和条件访问策略管理对 VM 的访问。
配置指南:定义工作负荷中 Azure Active Directory(Azure AD)条件访问的适用条件和条件。 请考虑常见用例,例如阻止或授予来自特定位置的访问权限、阻止有风险的登录行为,或要求组织管理的设备用于特定应用程序。
参考:使用 Azure AD 和 OpenSSH 登录到 Azure 中的 Linux 虚拟机
IM-8:限制凭据和机密的公开
特征
服务凭据和机密支持 Azure 密钥保管库中的集成和存储
说明:数据平面本身支持使用 Azure 密钥保管库来存储凭据和机密。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:在数据平面或操作系统中,服务可能会为凭据或密钥调用 Azure Key Vault。
配置指南:确保机密和凭据存储在安全位置(例如 Azure Key Vault),而不是将它们嵌入代码或配置文件中。
特权访问
有关详细信息,请参阅 Microsoft 云安全基准:特权访问。
PA-1: 分离并限制高特权用户/管理用户
特征
本地管理员帐户
说明:服务具有本地管理帐户的概念。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 真 实 | 微软 |
功能说明:避免使用本地身份验证方法或帐户,应尽可能禁用这些方法。 请改为使用 Azure AD 在可能的情况下进行身份验证。
配置指南:在默认部署上启用此配置时不需要其他配置。
参考:快速入门:在 Azure 门户中创建 Linux 虚拟机
PA-7:遵循足够的管理(最低特权)原则
特征
数据平面的 Azure RBAC
说明:Azure Role-Based 访问控制(Azure RBAC)可用于管理对服务的数据平面操作的访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:使用 Azure AD 作为核心身份验证平台和证书颁发机构,通过 Azure AD 和 OpenSSH 的证书验证机制来使用 SSH 连接到 Linux 虚拟机。 此功能允许组织使用 Azure 基于角色的访问控制(RBAC)和条件访问策略管理对 VM 的访问。
配置指南:使用 RBAC,指定谁可以作为常规用户或管理员权限登录到 VM。 当用户加入团队时,可以更新 VM 的 Azure RBAC 策略,以便根据需要授予访问权限。 当员工离开你的组织且他们的用户帐户被禁用或从 Azure AD 中移除时,他们将无法再访问你的资源。
参考:使用 Azure AD 和 OpenSSH 登录到 Azure 中的 Linux 虚拟机
PA-8:确定云提供商支持的访问过程
特征
客户密码箱
说明:客户锁箱可用于 Microsoft 支持访问。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指导:在 Microsoft 需要访问你的数据的支持场景中,使用客户密码箱来审查并批准/拒绝 Microsoft 的每个数据访问请求。
数据保护
有关详细信息,请参阅 Microsoft云安全基准:数据保护。
DP-1:发现、分类和标记敏感数据
特征
敏感数据发现和分类
说明:工具(如 Azure Purview 或 Azure 信息保护)可用于服务中的数据发现和分类。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 假 | 不適用 | 不適用 |
配置指南:不支持此功能来保护此服务。
DP-2:监视针对敏感数据的异常和威胁
特征
数据泄露/丢失防护
说明:该服务支持使用 DLP 解决方案来监视敏感数据移动(在客户的内容中)。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 假 | 不適用 | 不適用 |
配置指南:不支持此功能来保护此服务。
DP-3:加密传输中的敏感数据
特征
传输中数据加密
说明:该服务支持数据平面的传输中数据加密。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:默认情况下加密某些通信协议,例如 SSH。 但是,必须将其他服务(如 HTTP)配置为使用 TLS 进行加密。
配置指南:在具有内置数据传输加密功能的服务中启用安全传输。 在任何 Web 应用程序和服务上强制实施 HTTPS,并确保使用 TLS v1.2 或更高版本。 应禁用旧版本,例如 SSL 3.0、TLS v1.0。 对于虚拟机的远程管理,请使用 SSH(适用于 Linux)或 RDP/TLS(适用于 Windows),而不是未加密的协议。
参考:VM 内的传输中加密
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Windows 计算机应配置为使用安全通信协议 | 为了保护通过 Internet 通信的信息隐私,计算机应使用最新版本的行业标准加密协议传输层安全性(TLS)。 TLS 通过加密计算机之间的连接来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
DP-4:默认启用静态数据加密
特征
使用平台密钥进行静态数据加密
说明:支持使用平台密钥进行静态数据加密,使用这些Microsoft托管密钥对静态客户内容进行加密。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 真 实 | 微软 |
功能说明:默认情况下,托管磁盘使用平台管理的加密密钥。 写入现有托管磁盘的所有托管磁盘、快照、映像和数据都使用平台管理的密钥自动进行静态加密。
配置指南:在默认部署上启用此配置时不需要其他配置。
参考:Azure 磁盘存储的服务器端加密 - 平台管理的密钥
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虚拟机应加密计算和存储资源之间的临时磁盘、缓存和数据流 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密。 不会加密计算和存储之间的临时磁盘、数据缓存和数据流。 如果为:1,则忽略此建议。 使用“主机加密”,或者 2. 托管磁盘上的服务器端加密满足安全要求。 有关详细信息,请参阅:Azure 磁盘存储的服务器端加密:https://aka.ms/disksse, 不同的磁盘加密产品/服务:https://aka.ms/diskencryptioncomparison | AuditIfNotExists、Disabled | 2.0.3 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:Linux 虚拟机应启用 Azure 磁盘加密或主机加密(EncryptionAtHost)。 | 默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不会加密,在计算和存储资源之间流动时不会加密数据。 使用 Azure 磁盘加密或 EncryptionAtHost 加密所有这些数据。访问 https://aka.ms/diskencryptioncomparison 比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.2.0-preview |
DP-5:根据需要在静态加密中使用客户管理的密钥选项
特征
使用 CMK 进行静态数据加密
说明:服务存储的客户内容支持使用客户管理的密钥进行静态加密。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:可以选择使用自己的密钥管理每个托管磁盘级别的加密。 指定客户管理的密钥时,该密钥用于保护和控制对加密数据的密钥的访问。 客户管理的密钥提供更大的灵活性来管理访问控制。
配置指南:如果需要符合法规,请定义使用客户管理的密钥进行加密的用例和服务范围。 使用客户管理的密钥为这些服务启用和实现静态数据加密。
虚拟机(VM)上的虚拟磁盘使用服务器端加密或 Azure 磁盘加密(ADE)进行静态加密。 Azure 磁盘加密利用 Linux 的 DM-Crypt 功能,使用来宾 VM 中的客户管理的密钥加密托管磁盘。 使用客户管理的密钥的服务器端加密改进了 ADE,通过加密存储服务中的数据,使您可以为虚拟机使用任何类型和版本的操作系统和映像。
参考:Azure 磁盘存储的服务器端加密 - 客户管理的密钥
DP-6:使用安全密钥管理过程
特征
Azure Key Vault 中的密钥管理
说明:该服务支持任何客户密钥、机密或证书的 Azure Key Vault 集成。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:使用 Azure Key Vault 创建和控制加密密钥的生命周期,包括密钥生成、分发和存储。 根据定义的计划或在密钥停用或泄露时,在 Azure 密钥保管库和服务中轮换和撤销密钥。 如果需要在工作负荷、服务或应用程序级别使用客户管理的密钥(CMK),请确保遵循密钥管理的最佳做法:使用密钥体系结构,在密钥保管库中利用密钥加密密钥(KEK)生成单独的数据加密密钥(DEK)。 确保密钥已注册在 Azure Key Vault 中,并通过服务或应用程序中的密钥 ID 进行引用。 如果需要将自己的密钥(BYOK)引入服务(例如将受 HSM 保护的密钥从本地 HSM 导入到 Azure Key Vault),请按照建议的准则执行初始密钥生成和密钥传输。
参考:为 Azure 磁盘加密 创建和配置密钥保管库
DP-7:使用安全证书管理过程
特征
Azure Key Vault 中的证书管理
说明:该服务支持为任何客户证书进行 Azure 密钥保管库集成。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 假 | 不適用 | 不適用 |
配置指南:不支持此功能来保护此服务。
资产管理
有关详细信息,请参阅 Microsoft云安全基准:资产管理。
AM-2:仅使用已批准的服务
特征
Azure Policy 支持
说明:可以通过 Azure Policy 监视和强制执行服务配置。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:可以使用 Azure Policy 为组织的 Windows VM 和 Linux VM 定义所需的行为。 通过使用策略,组织可以在整个企业中强制实施各种约定和规则,并为 Azure 虚拟机定义和实施标准安全配置。 强制实施所需行为有助于缓解风险,同时帮助组织取得成功。
参考:Azure 虚拟机的 Azure Policy 内置定义
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虚拟机应迁移到新的 Azure 资源管理器资源 | 使用适用于虚拟机的新 Azure 资源管理器提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于 Azure 资源管理器的部署和管理、对托管标识的访问权限、对密钥保管库的访问(用于机密的访问)、基于 Azure AD 的身份验证以及对标记和资源组的支持,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虚拟机应迁移到新的 Azure 资源管理器资源 | 使用适用于虚拟机的新 Azure 资源管理器提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于 Azure 资源管理器的部署和管理、对托管标识的访问权限、对密钥保管库的访问(用于机密的访问)、基于 Azure AD 的身份验证以及对标记和资源组的支持,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
AM-5:仅在虚拟机中使用已批准的应用程序
特征
Microsoft Defender for Cloud - 自适应应用程序控制
说明:服务可以使用 Microsoft Defender for Cloud 中的自适应应用程序控制来限制在虚拟机上运行的客户应用程序。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:使用 Microsoft Defender for Cloud 自适应应用程序控制来发现在虚拟机(VM)上运行的应用程序,并生成应用程序允许列表来授权哪些已批准的应用程序可以在 VM 环境中运行。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制以定义计算机上运行的已知安全应用程序列表,并在其他应用程序运行时发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机中启用自适应应用程序控制以定义安全应用程序 | 启用应用程序控制以定义计算机上运行的已知安全应用程序列表,并在其他应用程序运行时发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,安全中心使用机器学习来分析每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 | AuditIfNotExists、Disabled | 3.0.0 |
日志记录和威胁检测
有关详细信息,请参阅 Microsoft云安全基准:日志记录和威胁检测。
LT-1:启用威胁检测功能
特征
适用于服务/产品的 Microsoft Defender
说明:服务具有特定于产品的 Microsoft Defender 解决方案,用于监视和警报安全问题。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:Defender for Servers 将保护扩展到在 Azure 中运行的 Windows 和 Linux 计算机。 Defender for Servers 与 Microsoft Defender for Endpoint 集成以提供终结点检测和响应(EDR),并提供大量其他威胁防护功能,例如安全基线和 OS 级别评估、漏洞评估扫描、自适应应用程序控制(AAC)、文件完整性监视(FIM)等。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 Exploit Guard 有四个组件,旨在锁定设备免受各种攻击途径和恶意软件攻击中常用的阻止行为,同时使企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
LT-4:启用日志记录,用于安全调查
特征
Azure 资源日志
说明:该服务生成可提供增强的服务特定指标和日志记录的资源日志。 客户可以配置这些资源日志并将其发送到自己的数据接收器,例如存储帐户或日志分析工作区。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:创建 VM 时,Azure Monitor 会开始自动收集虚拟机主机的指标数据。 不过,若要从虚拟机的来宾作系统收集日志和性能数据,必须安装 Azure Monitor 代理。 可以使用 VM 深入分析 ,或通过 创建数据收集 规则来安装代理并配置数据收集。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络地图上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
态势和漏洞管理
有关详细信息,请参阅 Microsoft云安全基准:状况和漏洞管理。
PV-3:定义和建立计算资源的安全配置
特征
Azure 自动化状态配置
说明:Azure Automation State Configuration 可用于维护操作系统的安全配置。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:使用 Azure 自动化状态配置维护操作系统的安全配置。
参考:使用 Desired State Configuration 配置 VM
Azure Policy 来宾配置代理
说明:可以将 Azure Policy 来宾配置代理安装或部署为计算资源的延伸。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:Azure Policy 来宾配置现在称为“Azure Automanage 计算机配置”。
配置指南:使用 Microsoft Defender for Cloud 和 Azure Policy 来宾配置代理定期评估和修正 Azure 计算资源(包括 VM、容器等)上的配置偏差。
参考:理解 Azure Automanage 的机器配置功能
自定义 VM 映像
说明:服务支持使用来自市场的用户提供的 VM 映像或预生成的映像,并且预应用了某些基线配置。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:使用来自受信任供应商的预配置的强化映像,例如Microsoft或将所需的安全配置基线构建到 VM 映像模板中。
参考:教程:使用 Azure CLI 创建自定义 Azure VM 映像
PV-4:审核并强制实施计算资源的安全配置
特征
受信任启动虚拟机
说明:受信任启动通过结合安全启动、vTPM 和完整性监控等基础结构技术,防范高级攻击和持续性攻击方法。 每个技术都提供另一层防御复杂威胁。 受信任的启动允许使用经过验证的启动加载程序、OS 内核和驱动程序的安全部署虚拟机,并安全地保护虚拟机中的密钥、证书和机密。 受信任启动还提供对整个启动链完整性的见解和信心,并确保工作负载是可信且可验证的。 受信任启动会与 Microsoft Defender for Cloud 集成并通过远程验证 VM 已以正常方式启动,从而确保正确配置 VM。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:可信启动可用于第二代虚拟机。 受信任的启动需要创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。
配置指南:可以在部署 VM 期间启用受信任的启动。 启用这三项 - 安全启动、vTPM 和完整性启动监视,以确保虚拟机的最佳安全状况。 请注意,有几个先决条件,包括将订阅加入 Microsoft Defender for Cloud、分配某些 Azure Policy 计划以及配置防火墙策略。
PV-5:执行漏洞评估
特征
使用 Microsoft Defender 进行漏洞评估
说明:可以使用 Microsoft Defender for Cloud 或其他嵌入了漏洞评估功能的 Microsoft Defender 服务(包括适用于服务器、容器注册表、应用服务、SQL 和 DNS 的 Microsoft Defender)对服务进行漏洞扫描。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:遵循 Microsoft Defender for Cloud 的建议,在 Azure 虚拟机上执行漏洞评估。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机,以检测它们是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心组成部分是漏洞的识别和分析。 Azure 安全中心的标准定价层包括对虚拟机的漏洞扫描,无需额外付费。 此外,安全中心还可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机,以检测它们是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心组成部分是漏洞的识别和分析。 Azure 安全中心的标准定价层包括对虚拟机的漏洞扫描,无需额外付费。 此外,安全中心还可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
PV-6:快速自动修正漏洞
特征
Azure 更新管理器
说明:服务可以使用 Azure 更新管理器自动部署修补程序和更新。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 真 实 | 客户 |
配置指南:使用 Azure 更新管理器来确保 Linux VM 上安装最新的安全更新。
Azure 来宾修补服务
说明:服务可以使用 Azure Guest Patching 来自动部署补丁和更新。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:服务可以利用不同的更新机制,例如 自动操作系统映像升级 和 自动客户机修补。 建议按照安全部署原则,利用这些功能为虚拟机的来宾操作系统应用最新的安全更新和关键更新。
自动来宾修补功能允许您自动评估和更新 Azure 虚拟机,以确保每月发布的关键更新和安全更新符合安全性要求。 更新会在非高峰时段进行应用,其中包括处于可用性集中的 VM。 此功能适用于 VMSS 灵活编排,未来的路线图中计划为统一编排模式也提供支持。
如果运行无状态工作负载,则自动 OS 映像升级非常适合为 VMSS Uniform 应用最新更新。 借助回滚功能,这些更新与 Marketplace 或自定义镜像兼容。 针对灵活业务流程路线图的未来滚动升级支持。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上安装系统更新 | Azure 安全中心会将服务器上缺少的安全系统更新作为建议进行监视。 | AuditIfNotExists、Disabled | 4.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:系统更新应安装在计算机(由更新中心提供支持) | 计算机缺少系统、安全性和关键更新。 软件更新通常包括安全漏洞的关键补丁。 此类漏洞经常在恶意软件攻击中被利用,因此保持软件更新至关重要。 若要安装所有未完成的修补程序并保护计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.0-preview |
终端安全
有关详细信息,请参阅 Microsoft云安全基准:终端安全。
ES-1:使用端点检测和响应(EDR)
特征
EDR 解决方案
说明:可将终结点检测和响应(EDR)功能(例如用于服务器的 Azure Defender)部署到终结点中。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:用于服务器的 Azure Defender(与 Microsoft Defender for Endpoint 集成)提供 EDR 功能来防止、检测、调查和响应高级威胁。 使用 Microsoft Defender for Cloud 为终结点部署适用于服务器的 Azure Defender,并将警报集成到 SIEM 解决方案(例如 Azure Sentinel)中。
ES-2:使用新式反恶意软件
特征
反恶意软件解决方案
说明:可在终结点上部署反恶意软件功能,例如 Microsoft Defender 防病毒、Microsoft Defender for Endpoint。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:对于 Linux,客户可以选择安装适用于 Linux 的 Defender for Endpoint Microsoft。 或者,客户还可以选择安装第三方反恶意软件产品。
参考:Linux 上的 Microsoft Defender for Endpoint
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的终结点保护运行状况问题,使其免受最新威胁和漏洞的影响。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的终结点保护运行状况问题,使其免受最新威胁和漏洞的影响。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
ES-3:确保更新反恶意软件和签名
特征
反恶意软件解决方案运行状况监视
说明:反恶意软件解决方案为平台、引擎和自动签名更新提供运行状况监视。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
功能说明:安全智能和产品更新适用于可在 Linux VM 上安装的 Defender for Endpoint。
配置指南:配置反恶意软件解决方案,以确保平台、引擎和签名快速且一致地更新,并且可以监视其状态。
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.ClassicCompute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的终结点保护运行状况问题,使其免受最新威胁和漏洞的影响。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在计算机上解决 Endpoint Protection 运行状况问题 | 解决虚拟机上的终结点保护运行状况问题,使其免受最新威胁和漏洞的影响。 此处介绍了 Azure 安全中心支持的终结点保护解决方案 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 此文档 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection介绍了终结点保护评估。 | AuditIfNotExists、Disabled | 1.0.0 |
备份和恢复
有关详细信息,请参阅 Microsoft云安全基准:备份和恢复。
BR-1:确保定期自动备份
特征
Azure 备份
说明:该服务可由 Azure 备份服务备份。 详细了解。
| 支持 | 默认启用 | 配置职责 |
|---|---|---|
| 真 实 | 假 | 客户 |
配置指南:启用 Azure 备份,针对 Azure 虚拟机(VM),并配置所需的频率和保留期。 这包括完整的系统状态备份。 如果使用 Azure 磁盘加密,Azure VM 备份会自动处理客户管理的密钥的备份。 对于 Azure 虚拟机,可以使用 Azure Policy 启用自动备份。
参考:Azure 中虚拟机的备份和还原选项
Microsoft Defender for Cloud 监视
Azure Policy 内置定义 - Microsoft.Compute:
| 名字 (Azure 门户) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保保护 Azure 虚拟机。 Azure 备份是适用于 Azure 的安全且经济高效的数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
后续步骤
- 请参阅 Microsoft 云安全基准概述
- 详细了解 Azure 安全基线