Linha de base de segurança do Azure para o Batch

Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Batch. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Batch.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página do portal do Microsoft Defender para a Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis ao Batch foram excluídas. Para ver como o Batch mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro de mapeamento completo da linha de base de segurança do Batch.

Perfil de segurança

O perfil de segurança resume os comportamentos de alto impacto do Batch, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Computação
O cliente pode aceder ao HOST/SO Só de Leitura
O serviço pode ser implementado na rede virtual do cliente Verdadeiro
Armazena o conteúdo do cliente inativo Falso

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente Azure Batch conjuntos numa rede virtual. Considere aprovisionar o conjunto sem endereços IP públicos para restringir o acesso aos nós na rede privada e reduzir a deteção dos nós da Internet.

Referência: Criar um conjunto de Azure Batch numa rede virtual

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego de rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Notas de funcionalidades: por predefinição, o Batch adiciona grupos de segurança de rede (NSGs) ao nível das interfaces de rede (NIC) anexados aos nós de computação.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Criar um conjunto de Azure Batch numa rede virtual

NS-2: Proteger os serviços cloud com controlos de rede

Funcionalidades

Descrição: capacidade de filtragem de IP nativo do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: implemente pontos finais privados para contas Azure Batch. Isto restringe o acesso às contas do Batch à rede virtual onde residem ou a qualquer rede virtual em modo de peering.

Referência: Utilizar pontos finais privados com contas Azure Batch

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL de IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: desative o acesso à rede pública às contas do Batch ao definir a definição "Acesso à rede pública" como desativada.

Referência: Desativar o acesso à rede pública

Gestão de identidades

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de identidades.

IM-1: utilizar a identidade centralizada e o sistema de autenticação

Funcionalidades

Azure AD Autenticação Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de Azure AD autenticação para acesso ao plano de dados. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como método de autenticação predefinido para controlar o acesso ao plano de dados em vez de utilizar Chaves Partilhadas.

Referência: Autenticar com Azure AD

Métodos de Autenticação Local para Acesso ao Plano de Dados

Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: evite a utilização de contas ou métodos de autenticação locais, estas devem ser desativadas sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.

Orientação de Configuração: restrinja a utilização de métodos de autenticação local para o acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.

Referência: Autenticação através da Chave Partilhada

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Partilhado

Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.

Referência: Configurar identidades geridas em conjuntos do Batch

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação Adicional: para autenticar uma aplicação que é executada sem supervisão, pode utilizar um principal de serviço. Depois de registar a sua aplicação, faça as configurações adequadas no Portal do Azure para o principal de serviço, como pedir um segredo para a aplicação e atribuir funções RBAC do Azure.

Referência: Autenticar soluções de serviço do Batch com o Azure Active Directory

IM-7: Restringir o acesso a recursos com base nas condições

Funcionalidades

Acesso Condicional para Plano de Dados

Descrição: o acesso ao plano de dados pode ser controlado com Azure AD Políticas de Acesso Condicional. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-7: Siga o princípio da administração (mínimo privilégio) suficiente

Funcionalidades

RBAC do Azure para Plano de Dados

Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para gerir o acesso a recursos do Azure através de atribuições de funções incorporadas. Azure Batch suporta o RBAC do Azure para gerir o acesso a estes tipos de recursos: Contas, Tarefas, Tarefas e Conjuntos.

Referência: Atribuir RBAC do Azure à sua aplicação

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

DP-4: Ativar a encriptação inativa por predefinição

Funcionalidades

Dados na Encriptação Rest Com Chaves de Plataforma

Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Notas de funcionalidades: algumas das informações especificadas nas APIs do Batch, tais como certificados de conta, metadados de tarefas e tarefas e linhas de comandos de tarefas, são encriptadas automaticamente quando armazenadas pelo serviço Batch. Por predefinição, estes dados são encriptados com Azure Batch chaves geridas pela plataforma exclusivas para cada conta do Batch.

Também pode encriptar estes dados com chaves geridas pelo cliente. O Azure Key Vault é utilizado para gerar e armazenar a chave, com o identificador de chave registado na sua conta do Batch.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

DP-5: utilize a opção chave gerida pelo cliente em dados em encriptação inativa quando necessário

Funcionalidades

Dados na Encriptação Rest Com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente dados em encriptação inativa com a chave gerida pelo cliente para esses serviços.

Referência: Configurar chaves geridas pelo cliente

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Partilhado

Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação de chaves (KEK) no cofre de chaves. Certifique-se de que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos seus HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.

Nota: o cliente tem de optar ativamente por utilizar chaves geridas pelo cliente caso contrário, por predefinição, o serviço utilizará chaves de plataforma geridas pela Microsoft.

Referência: Configurar chaves geridas pelo cliente para a sua conta de Azure Batch com o Azure Key Vault e a Identidade Gerida

DP-7: Utilizar um processo de gestão de certificados seguro

Funcionalidades

Gestão de Certificados no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Partilhado

Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.

Referência: Utilizar certificados e aceder de forma segura ao Azure Key Vault com o Batch

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: utilize Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor uma configuração segura nos recursos do Azure.

Para quaisquer cenários em que as definições de política incorporadas não existam, pode utilizar Azure Policy aliases no espaço de nomes "Microsoft.Batch" para criar políticas personalizadas.

Referência: Azure Policy definições incorporadas para Azure Batch

AM-5: Utilizar apenas aplicações aprovadas na máquina virtual

Funcionalidades

Microsoft Defender para a Cloud – Controlos de Aplicações Adaptáveis

Descrição: o serviço pode limitar o que as aplicações de cliente executam na máquina virtual através dos Controlos de Aplicação Adaptáveis no Microsoft Defender para a Cloud. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender de Serviço/Oferta de Produtos

Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: ative os registos de recursos do Azure para Azure Batch para os seguintes tipos de registo: ServiceLog e AllMetrics.

Referência: Métricas, alertas e registos do Batch para avaliação e monitorização de diagnósticos

Gestão de postura e de vulnerabilidade

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de posturas e vulnerabilidades.

PV-3: Definir e estabelecer configurações seguras para recursos de computação

Funcionalidades

State Configuration da Automatização do Azure

Descrição: Automatização do Azure State Configuration pode ser utilizada para manter a configuração de segurança do sistema operativo. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Azure Policy Agente de Configuração de Convidados

Descrição: Azure Policy agente de configuração de convidado pode ser instalado ou implementado como uma extensão para recursos de computação. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Imagens de VM Personalizadas

Descrição: o serviço suporta a utilização de imagens de VM fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Partilhado

Orientação de Configuração: sempre que possível, utilize uma imagem protegida pré-configurada de um fornecedor fidedigno, como a Microsoft, ou crie uma linha de base de configuração segura pretendida no modelo de imagem da VM.

Os clientes também podem utilizar imagens personalizadas do sistema operativo para Azure Batch. Ao utilizar a configuração da máquina virtual para a sua Azure Batch, certifique-se de que as imagens personalizadas são endurecidas de acordo com as necessidades da sua organização. Para a gestão do ciclo de vida, os conjuntos armazenam as imagens numa galeria de imagens partilhadas. Pode configurar um processo seguro de compilação de imagens com ferramentas de automatização do Azure, como o Azure Image Builder.

Referência: Utilizar uma imagem gerida para criar um conjunto de imagens personalizado

Imagens de Contentores Personalizados

Descrição: o serviço suporta a utilização de imagens de contentor fornecidas pelo utilizador ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Partilhado

Orientação de Configuração: se utilizar o conjunto do Batch para executar tarefas em contentores compatíveis com o Docker nos nós, utilize imagens de contentor protegidas pré-configuradas de um fornecedor fidedigno, como a Microsoft, ou crie a linha de base de configuração segura pretendida no modelo de imagem de contentor.

Referência: Executar aplicações de contentor no Azure Batch

PV-5: Realizar avaliações de vulnerabilidades

Funcionalidades

Avaliação de Vulnerabilidades com Microsoft Defender

Descrição: o serviço pode ser analisado para análise de vulnerabilidades com Microsoft Defender para a Cloud ou outra capacidade de avaliação de vulnerabilidade incorporada de serviços de Microsoft Defender (incluindo Microsoft Defender para servidor, registo de contentor, Serviço de Aplicações, SQL e DNS). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

PV-6: Remediar vulnerabilidades de forma rápida e automática

Funcionalidades

Gestão de Atualizações da Automatização do Azure

Descrição: o serviço pode utilizar Automatização do Azure Gestão de Atualizações para implementar patches e atualizações automaticamente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Endpoint security (Segurança de pontos finais)

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança do ponto final.

ES-1: Utilizar a Deteção e Resposta de Pontos Finais (EDR)

Funcionalidades

Solução EDR

Descrição: a funcionalidade de Deteção e Resposta de Pontos Finais (EDR), como o Azure Defender para servidores, pode ser implementada no ponto final. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

ES-2: Utilizar software antimalware moderno

Funcionalidades

Solução Antimalware

Descrição: a funcionalidade antimalware, como o Antivírus Microsoft Defender, Microsoft Defender para Endpoint pode ser implementada no ponto final. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

ES-3: Garantir que o software antimalware e as assinaturas são atualizados

Funcionalidades

Monitorização do Estado de Funcionamento da Solução Antimalware

Descrição: a solução antimalware fornece monitorização do estado de funcionamento para atualizações automáticas de plataformas, motores e assinaturas. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Capacidade de Cópia de Segurança Nativa do Serviço

Descrição: o serviço suporta a sua própria capacidade de cópia de segurança nativa (se não estiver a utilizar Azure Backup). Saiba mais.

Suportado Ativado por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Passos seguintes