Skapa en baslinje för virtuell Azure-dator
Azure Policy är en Azure-tjänst som du kan använda för att skapa, tilldela och hantera principer. De principer som du skapar tillämpar olika regler och effekter på dina resurser, så att dessa resurser följer företagets standarder och serviceavtal. Azure Policy gör detta genom att utvärdera resursernas kompatibilitet med hjälp av tilldelade principer. Du kan till exempel ha en princip för att endast tillåta en viss SKU-storlek på den virtuella datorn i din miljö. När principen har implementerats utvärderas kompatibiliteten hos nya och befintliga resurser. Med rätt typ av princip kan befintliga resurser bli kompatibla.
Säkerhetsrekommendationer för virtuella Azure-datorer
I följande avsnitt beskrivs säkerhetsrekommendationerna för virtuella Azure-datorer i CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. De grundläggande stegen som ska slutföras i Azure-portalen ingår i varje rekommendation. Du bör slutföra de här stegen för din egen prenumeration och använda dina egna resurser för att verifiera varje säkerhetsrekommendation. Tänk på att alternativ för nivå 2 kan begränsa vissa funktioner eller aktiviteter. Därför bör du noga se över vilka säkerhetsalternativ som du vill framtvinga.
Aktivera och installera en VM-agent för Microsoft Defender för molnet datainsamling – nivå 1
Microsoft Defender för molnet meddelar dig när en virtuell dator kräver en VM-agent. Agenten installeras som standard för virtuella datorer som distribueras från Azure Marketplace. Data krävs för utvärdering av VM-säkerhetstillståndet, tillhandahållande av säkerhetsrekommendationer samt aviseringar om värdbaserade hot.
Logga in på Azure-portalen. Sök efter och välj Microsoft Defender för molnet.
I den vänstra menyn under Hantering väljer du Miljöinställningar.
I fönstret Miljöinställningar väljer du din prenumeration.
I den vänstra menyn under Inställningar väljer du Automatisk etablering.
För den VM-agent som du vill använda väljer du På. Välj en arbetsyta som ska användas.
Om du ändrar några inställningar går du till menyraden och väljer Spara.
Se till att OS-diskar krypteras – nivå 1
Azure Disk Encryption hjälper till att skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Azure Disk Encryption:
- Använder BitLocker-funktionen i Windows och DM-Crypt-funktionen i Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskarna på virtuella Azure-datorer.
- Integrerar med Azure Key Vault för att hjälpa dig att styra och hantera diskkrypteringsnycklar och hemligheter.
- Säkerställer att alla data på de virtuella datordiskarna krypteras i vila när de finns i Azure Storage.
Azure Disk Encryption för virtuella Windows-datorer och virtuella Linux-datorer finns i allmän tillgänglighet i alla offentliga Azure-regioner och Azure Government-regioner för virtuella standarddatorer och virtuella datorer med Azure Premium Storage.
Om du använder Microsoft Defender för molnet (rekommenderas) aviseras du om du har virtuella datorer som inte är krypterade. Slutför följande steg för varje virtuell dator i din Azure-prenumeration.
Logga in på Azure-portalen. Sök efter och välj Virtuella datorer.
I den vänstra menyn under Inställningar väljer du Diskar.
Under OS-disk kontrollerar du att OS-disken har en krypteringstypuppsättning.
Under Datadiskar kontrollerar du att varje disk har en krypteringstypuppsättning.
Om du ändrar några inställningar går du till menyraden och väljer Spara.
Se till att endast godkända VM-tillägg är installerade – nivå 1
Azure VM-tillägg är små program som tillhandahåller konfigurations- och automatiseringsuppgifter efter distributionen på virtuella Azure-datorer. Om en virtuell dator till exempel kräver programinstallation eller antivirusskydd eller om den virtuella datorn behöver köra ett skript kan du använda ett VM-tillägg. Du kan köra ett Azure VM-tillägg med hjälp av Azure CLI, PowerShell, en Azure Resource Manager-mall eller Azure-portalen. Du kan paketeringstillägg med en ny vm-distribution eller köra dem mot ett befintligt system. Om du vill använda Azure-portalen för att säkerställa att endast godkända tillägg är installerade på dina virtuella datorer utför du följande steg för varje virtuell dator i din Azure-prenumeration.
Logga in på Azure-portalen. Sök efter och välj Virtuella datorer.
I den vänstra menyn under Inställningar väljer du Tillägg + program.
I fönstret Tillägg + program kontrollerar du att de tillägg som visas är godkända för användning.
Se till att OS-korrigeringsfilerna för de virtuella datorerna tillämpas – nivå 1
Microsoft Defender för molnet övervakar dagligen virtuella Windows- och Linux-datorer och datorer för saknade operativsystemuppdateringar. Defender för molnet hämtar en lista över tillgängliga säkerhetsuppdateringar och kritiska uppdateringar från Windows Update eller Windows Server Update Services (WSUS). Vilka uppdateringar du får beror på vilken tjänst du konfigurerar på Windows-datorn. Defender för molnet söker också efter de senaste uppdateringarna i Linux-system. Om den virtuella datorn eller datorn saknar en systemuppdatering rekommenderar Defender för molnet att du tillämpar systemuppdateringar.
Logga in på Azure-portalen. Sök efter och välj Microsoft Defender för molnet.
I den vänstra menyn under Allmänt väljer du Rekommendationer.
I Rekommendationer kontrollerar du att det inte finns några rekommendationer för Tillämpa systemuppdateringar.
Se till att virtuella datorer har en slutpunktsskyddslösning installerad och körs – nivå 1
Microsoft Defender för molnet övervakar statusen för skydd mot skadlig kod. Den rapporterar den här statusen i fönstret Problem med slutpunktsskydd. Defender för molnet belyser problem som identifierade hot och otillräckligt skydd, vilket kan göra dina virtuella datorer och datorer sårbara för hot mot skadlig kod. Genom att använda informationen i Problem med slutpunktsskydd kan du börja skapa en plan för att åtgärda eventuella problem som identifieras.
Använd samma process som beskrivs i föregående rekommendation.