Batch 的 Azure 安全基线

此安全基线将 Azure 安全基准版本 1.0 中的指南应用于 Batch。 Azure 安全基准提供有关如何在 Azure 上保护云解决方案的建议。 内容按“安全控制”分组,这些控制由适用于 Batch 的 Azure 安全基准和相关指南定义。 排除了不适用于 Batch 的控制。

若要查看 Batch 到 Azure 安全基准的完整映射,请参阅完整的 Batch 安全基准映射文件

网络安全

有关详细信息,请参阅 Azure 安全基线: 网络安全性

1.1:保护虚拟网络中的 Azure 资源

指导:在虚拟网络中部署 Azure Batch 池。 若要允许池计算节点安全地与其他虚拟机或本地网络进行通信,可以在 Azure 虚拟网络的子网中预配该池。 此外,在虚拟网络中部署池可以控制用于保护各个节点的网络接口 (NIC) 和子网的网络安全组 (NSG)。 请将 NSG 配置为仅允许来自 Internet 上的受信任 IP/位置的流量。

如果适用,请使用 Azure 专用链接禁用公用网络访问,以通过专用终结点连接到 Azure Batch 帐户。 Azure 专用链接服务是受保护的,并且仅接受来自经过身份验证和授权的专用终结点的连接。 还可以通过对 Batch 池中的计算节点禁用公开的 RDP/SSH 终结点来额外限制连接性和可发现性。

Azure 安全中心监视:是

责任:客户

1.2:监视并记录虚拟网络、子网和网络接口的配置与流量

指导:使用 Azure 安全中心并修正与 Batch 池关联的虚拟网络/网络安全组 (NSG) 的相关网络保护建议。 在用于保护 Batch 池的 NSG 上启用流日志,并将日志发送到 Azure 存储帐户进行流量审核。 还可以将 NSG 流日志发送到 Azure Log Analytics 工作区,并使用 Azure 流量分析来洞察 Azure 云中的通信流。 Azure 流量分析的优势包括能够可视化网络活动、识别热点、识别安全威胁、了解流量流模式,以及查明网络不当配置。

Azure 安全中心监视:是

责任:客户

1.4:拒绝与已知恶意的 IP 地址进行通信

指导:在虚拟网络上启用 Azure DDoS(分布式拒绝服务)标准保护,防止 Azure Batch 池受到 DDoS 攻击。 根据 Azure 安全中心集成的威胁情报进行判断,拒绝与已知恶意的或未使用过的 Internet IP 地址通信。

Azure 安全中心监视:是

责任:客户

1.5:记录网络数据包

指导:在用于保护 Azure Batch 池的网络安全组 (NSG) 上启用流日志,并将日志发送到 Azure 存储帐户进行流量审核。

Azure 安全中心监视:目前不可用

责任:客户

1.6:部署基于网络的入侵检测/入侵防护系统 (IDS/IPS)

指导:按照合规性方面的要求从 Azure 市场中选择一个网络虚拟设备,该设备支持入侵检测系统 (IDS) 以及具有有效负载检查功能的入侵防护系统 (IPS) 功能。

如果不需要使用基于有效负载检查的入侵检测和/或防护,则可以使用包含威胁情报功能的 Azure 防火墙。 使用基于 Azure 防火墙威胁情报的筛选功能,可以发出警报并拒绝进出已知的恶意 IP 地址和域的流量。 IP 地址和域源自 Microsoft 威胁智能源。

在 Azure Batch 池节点所在的虚拟网络中部署采用公共 IP 地址的 Azure 防火墙。 在 Internet 上的可信位置与各个池节点的专用 IP 地址之间配置网络地址转换 (NAT) 规则。 在 Azure 防火墙的“威胁情报”下,将“发出警报并拒绝”配置为发出警报并阻止进出已知的恶意 IP 地址和域的流量。 IP 地址和域来自 Microsoft 威胁情报源,只包含置信度最高的记录。

Azure 安全中心监视:目前不可用

责任:客户

1.8:最大程度地降低网络安全规则的复杂性和管理开销

指导:在与 Azure Batch 池关联的网络安全组或 Azure 防火墙中使用虚拟网络服务标记来定义网络访问控制。 创建安全规则时,可以使用服务标记代替特定的 IP 地址。 在规则的相应源或目标字段中指定服务标记名称(例如 ApiManagement),可以允许或拒绝相应服务的流量。 Azure 会管理服务标记包含的地址前缀,并会在地址发生更改时自动更新服务标记。

Azure 安全中心监视:目前不可用

责任:客户

1.9:维护网络设备的标准安全配置

指导:使用 Azure Policy 为与 Azure Batch 池关联的网络资源定义和实施标准安全配置。 在“Microsoft.Batch”和“Microsoft.Network”命名空间中使用 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure Batch 池的网络配置。

Azure 安全中心监视:目前不可用

责任:客户

1.10:阐述流量配置规则

指导:对与 Azure Batch 池关联的、与网络安全性和通信流相关的网络服务组 (NSG) 和其他资源使用标记。 对于单个 NSG 规则,请使用“说明”字段针对允许流量传入/传出网络的任何规则指定业务需求和/或持续时间等。

使用标记相关的任何内置 Azure Policy 定义(例如“需要标记及其值”)来确保使用标记创建所有资源,并在有现有资源不带标记时发出通知。

可以使用 Azure PowerShell 或 Azure CLI 基于其标记对资源进行查找或执行操作。

Azure 安全中心监视:目前不可用

责任:客户

1.11:使用自动化工具来监视网络资源配置和检测更改

指导:使用 Azure 活动日志监视网络资源配置,并检测与 Azure Batch 池相关的网络资源的更改。 在 Azure Monitor 中创建当关键网络资源发生更改时触发的警报。

Azure 安全中心监视:是

责任:客户

日志记录和监视

有关详细信息,请参阅 Azure 安全基线: 日志记录和监视

2.2:配置中心安全日志管理

指导:将 Azure Batch 帐户加入 Azure Monitor,以聚合群集设备生成的安全数据。 利用自定义查询来检测和应对环境中的威胁。 对于 Azure Batch 资源级别的监视,请使用 Batch API 来监视或查询资源(包括作业、任务、节点和池)的状态。

Azure 安全中心监视:是

责任:客户

2.3:为 Azure 资源启用审核日志记录

指导:对于 Azure Batch 帐户级别的监视,请使用 Azure Monitor 的功能监视每个 Batch 帐户。 Azure Monitor 针对 Batch 帐户级别范围内的资源(例如池、作业和任务)收集指标以及可选的诊断日志。 可以手动或以编程方式收集并使用此数据来监视 Batch 帐户中的活动以及对问题进行诊断。

对于 Azure Batch 资源级别的监视,请使用 Azure Batch API 来监视或查询资源(包括作业、任务、节点和池)的状态。

Azure 安全中心监视:是

责任:客户

Azure Policy 内置定义

Name
(Azure portal)
Description Effect(s) Version
(GitHub)
Diagnostic logs in Batch accounts should be enabled Audit enabling of diagnostic logs. This enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, Disabled 3.0.0

2.4:从操作系统收集安全日志

指导:Azure Monitor 收集 Azure Batch 帐户中资源的指标和诊断日志。 请以各种方法收集和使用此数据来监视 Azure Batch 帐户并诊断问题。 还可以配置指标警报,以便在某项指标达到指定值时收到通知。

可以根据需要通过安全外壳 (SSH) 或远程桌面协议 (RDP) 连接到各个池节点以访问本地操作系统日志。

Azure 安全中心监视:是

责任:客户

2.5:配置安全日志存储保留期

指导:将 Azure Batch 帐户加入 Azure Monitor。 确保根据组织的合规性规章为使用的 Azure Log Analytics 工作区设置日志保留期

Azure 安全中心监视:目前不可用

责任:客户

2.6:监视和查看日志

指导:创建在指定指标的值超出给定阈值时触发的 Azure Batch 指标警报。

Azure 安全中心监视:目前不可用

责任:客户

2.7:针对异常活动启用警报

指导:创建在指定指标的值超出给定阈值时触发的 Azure Batch 指标警报。

Azure 安全中心监视:目前不可用

责任:客户

2.8:集中管理反恶意软件日志记录

指导:如果使用的是 Windows 操作系统,请在各个 Batch 节点上使用 Windows Defender;如果使用的是 Linux,请提供自己的反恶意软件解决方案。

Azure 安全中心监视:是

责任:客户

2.9:启用 DNS 查询日志记录

指导:实施用于 DNS 日志记录的第三方解决方案。

Azure 安全中心监视:目前不可用

责任:客户

2.10:启用命令行审核日志记录

指导:按节点手动配置控制台日志记录和 PowerShell 转录。

Azure 安全中心监视:目前不可用

责任:客户

标识和访问控制

有关详细信息,请参阅 Azure 安全基线: 标识和访问控制

3.1:维护管理帐户的清单

指导:维护预配 Azure Batch 池期间创建的本地管理帐户以及创建的任何其他帐户的记录。 此外,如果使用了 Azure Active Directory 集成,必须显式分配 Azure AD 的内置角色,使之可供查询。 使用 Azure AD PowerShell 模块执行即席查询,以发现属于管理组的成员的帐户。

此外,可以使用 Azure 安全中心标识和访问管理建议。

Azure 安全中心监视:是

责任:客户

3.2:在适用的情况下更改默认密码

指导:预配 Azure Batch 池时,可以选择创建本地计算机帐户。 没有要更改的默认密码,但可指定不同的密码,分别用于访问安全外壳 (SSH) 和远程桌面协议 (RDP)。 配置 Azure Batch 池之后,可以通过 Azure 门户或 Azure 资源管理器 API 为各个节点生成随机用户。

Azure 安全中心监视:不适用

责任:客户

3.3:使用专用管理帐户

指导:将 Azure Batch 应用程序身份验证与 Azure Active Directory 集成。 围绕专用管理帐户的使用创建策略和过程。

此外,可以使用 Azure 安全中心标识和访问管理建议。

Azure 安全中心监视:是

责任:客户

3.5:对所有基于 Azure Active Directory 的访问使用多重身份验证

指导:将 Azure Batch 应用程序身份验证与 Azure Active Directory 集成。 启用 Azure AD 多重身份验证,并遵循 Azure 安全中心标识和访问管理建议。

Azure 安全中心监视:是

责任:客户

3.6:使用由 Azure 管理的安全工作站执行管理任务

指导:使用配置了多重身份验证的 PAW(特权访问工作站)来登录和配置 Azure Batch 资源。

Azure 安全中心监视:不适用

责任:客户

3.7:记录来自管理帐户的可疑活动并对其发出警报

指导:如果已将 Azure Batch 应用程序身份验证与 Azure Active Directory 集成,则当环境中出现可疑或不安全的活动时,请使用 Azure Active Directory 安全报告来生成日志和警报。 使用 Azure 安全中心监视标识和访问活动。

Azure 安全中心监视:是

责任:客户

3.8:仅从批准的位置管理 Azure 资源

指导:如果已将 Azure Batch 应用程序身份验证与 Azure Active Directory 集成,则可使用条件访问命名位置,仅允许从特定的 IP 地址范围或国家/地区的逻辑组进行访问。

Azure 安全中心监视:目前不可用

责任:客户

3.9:使用 Azure Active Directory

指导:使用 Azure Active Directory 作为中心身份验证和授权系统,并将 Azure Batch 应用程序身份验证与 Azure AD 集成。 Azure AD 通过对静态数据和传输中数据使用强加密来保护数据。 Azure AD 还会对用户凭据进行加盐、哈希处理和安全存储操作。

Azure 安全中心监视:目前不可用

责任:客户

3.10:定期审查和协调用户访问

指南:Azure Active Directory 提供日志来帮助发现过时的帐户。 此外,可以使用 Azure 标识访问评审来有效地管理组成员身份、对企业应用程序的访问以及角色分配。 可以定期评审用户的访问权限,确保只有适当的用户才能持续拥有访问权限。

Azure 安全中心监视:是

责任:客户

Azure 安全中心监视:目前不可用

责任:客户

3.13:在支持场合下为 Azure 提供对相关客户数据的访问权限

指导:不可用;Azure Batch 尚不支持客户密码箱。

Azure 安全中心监视:不适用

责任:客户

数据保护

有关详细信息,请参阅 Azure 安全基线: 数据保护

4.1:维护敏感信息的清单

指导:使用标记可以帮助跟踪存储或处理敏感信息的 Azure 资源。

Azure 安全中心监视:目前不可用

责任:客户

4.2:隔离存储或处理敏感信息的系统

指导:为开发、测试和生产实施单独的订阅和/或管理组。 Azure Batch 池应当按虚拟网络/子网进行分隔,相应地进行标记,并由网络安全组 (NSG) 提供保护。 Azure Batch 数据应包含在受保护的 Azure 存储帐户中。

Azure 安全中心监视:是

责任:客户

4.3:监视和阻止未经授权的敏感信息传输

指导:对于与包含敏感信息的 Azure Batch 池关联的 Azure 存储帐户,请使用标记将其标记为“敏感”,并使用 Azure 最佳做法对其进行保护。

数据标识、分类和丢失防护功能尚不适用于 Azure 存储或计算资源。 如果需要出于合规性目的使用这些功能,请实施第三方解决方案。

对于 Microsoft 管理的底层平台,Azure 会将所有客户内容视为敏感数据,并会全方位地防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Azure 已实施并维护一套可靠的数据保护控制机制和功能。

Azure 安全中心监视:目前不可用

责任:共享

4.4:加密传输中的所有敏感信息

指导:加密传输中的所有敏感信息。 默认情况下,Azure 资源会协商使用 TLS 1.2。 确保连接到 Azure Batch 池或数据存储(Azure 存储帐户)的任何客户端都能够协商使用 TLS 1.2 或更高版本。

确保访问包含你的 Azure Batch 数据的存储帐户时要求使用 HTTPS。

Azure 安全中心监视:是

责任:共享

4.5:使用有效的发现工具识别敏感数据

指导:对于与包含敏感信息的 Azure Batch 池关联的 Azure 存储帐户,请使用标记将其标记为“敏感”,并使用 Azure 最佳做法对其进行保护。

数据标识、分类和丢失防护功能尚不适用于 Azure 存储或计算资源。 如果需要出于合规性目的使用这些功能,请实施第三方解决方案。

对于 Microsoft 管理的底层平台,Azure 会将所有客户内容视为敏感数据,并会全方位地防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Azure 已实施并维护一套可靠的数据保护控制机制和功能。

Azure 安全中心监视:目前不可用

责任:共享

4.6:使用基于角色的访问控制来控制对资源的访问

指南:使用 Azure 基于角色的访问控制 (Azure RBAC) 来控制对 Azure 资源(包括 Batch 帐户、Batch 池和存储帐户)的管理平面的访问。

了解 Azure RBAC:

https://docs.azure.cn/role-based-access-control/overview

如何配置 Azure RBAC:

https://docs.azure.cn/role-based-access-control/role-assignments-portal

Azure 安全中心监视:目前不可用

责任:客户

4.7:使用基于主机的数据丢失防护来强制实施访问控制

指导:数据标识、分类和丢失防护功能尚不适用于 Azure 存储或计算资源。 如果需要出于合规性目的使用这些功能,请实施第三方解决方案。

对于 Microsoft 管理的底层平台,Azure 会将所有客户内容视为敏感数据,并会全方位地防范客户数据丢失和泄露。 为了确保 Azure 中的客户数据保持安全,Azure 已实施并维护一套可靠的数据保护控制机制和功能。

了解 Azure 中的客户数据保护:

https://docs.azure.cn/security/fundamentals/protection-customer-data

Azure 安全中心监视:目前不可用

责任:共享

4.8:静态加密敏感信息

指导:对于与 Azure Batch 帐户关联的存储帐户,建议允许 Azure 来管理加密密钥,但是,你可以根据需要选择管理自己的密钥。

Azure 磁盘加密可用于帮助保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 所有写入现有磁盘的托管磁盘、快照、映像和数据都会自动使用平台管理的密钥进行静态加密。

Azure 安全中心监视:是

责任:客户

4.9:记录对关键 Azure 资源的更改并对此类更改发出警报

指导:将 Azure Monitor 与 Azure 活动日志结合使用,以创建在与 Azure Batch 帐户/池相关或关联的 Azure 关键资源发生更改时发出的警报。

为关联到 Azure Batch 池的存储帐户配置诊断设置,以监视并记录针对池数据执行的所有 CRUD 操作。

Azure 安全中心监视:是

责任:客户

漏洞管理

有关详细信息,请参阅 Azure 安全基线: 漏洞管理。

5.1:运行自动漏洞扫描工具

指导:对于 Azure Batch 池节点,你负责管理漏洞管理解决方案。

(可选)如果你有 Rapid7、Qualys 或任何其他漏洞管理平台订阅,可以手动在 Batch 池节点上安装漏洞评估代理,并通过相应的门户管理节点。

Azure 安全中心监视:目前不可用

责任:客户

5.2:部署自动操作系统修补管理解决方案

指导:Azure 将维护并更新 Azure Batch 池的基础节点映像。 确保 Azure Batch 池节点操作系统在群集生存期内始终得到修补,这可能需要启用自动更新、对节点进行监视或执行定期重启。

Azure 安全中心监视:是

责任:共享

5.3:为第三方软件部署自动修补程序管理解决方案

指导:确保 Azure Batch 池节点的第三方应用程序在群集生存期内始终得到修补,这可能需要启用自动更新、对节点进行监视或执行定期重启。

Azure 安全中心监视:目前不可用

责任:客户

5.4:比较连续进行的漏洞扫描

指导:如果你有 Rapid7、Qualys 或任何其他的漏洞管理平台订阅,则可使用该供应商的门户来查看和比较连续的漏洞扫描。

Azure 安全中心监视:目前不可用

责任:客户

5.5:使用风险评级过程来确定已发现漏洞的修正措施的优先级

指南:使用常见的风险分级程序(例如“常见漏洞评分系统”)或第三方扫描工具提供的默认风险分级功能。

Azure 安全中心监视:不适用

责任:客户

清单和资产管理

有关详细信息,请参阅 Azure 安全基线: 清单和资产管理

6.1:使用自动化资产发现解决方案

指导:使用 Azure Resource Graph 查询/发现订阅中的所有资源(例如计算、存储、网络等)。 确保你在租户中拥有适当的(读取)权限,并且可以枚举所有 Azure 订阅以及订阅中的资源。

尽管可以通过 Azure Resource Graph 浏览器发现经典 Azure 资源,但我们强烈建议你今后创建并使用 Azure 资源管理器资源。

Azure 安全中心监视:不适用

责任:客户

6.2:维护资产元数据

指导:将标记应用到 Azure资源,以便有条理地将元数据组织成某种分类。

Azure 安全中心监视:目前不可用

责任:客户

6.3:删除未经授权的 Azure 资源

指导:在适用的情况下,请使用标记、管理组和单独的订阅来组织和跟踪资产。 定期核对清单,确保及时地从订阅中删除未经授权的资源。

Azure 安全中心监视:不适用

责任:客户

6.4:定义并维护已批准的 Azure 资源的清单

指导:为计算资源定义已批准的 Azure 资源和已批准的软件的列表

Azure 安全中心监视:不适用

责任:客户

6.5:监视未批准的 Azure 资源

指南:在 Azure Policy 中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

  • 不允许的资源类型
  • 允许的资源类型

使用 Azure Resource Graph 查询/发现订阅中的资源。 确保环境中存在的所有 Azure 资源已获得批准。

Azure 安全中心监视:目前不可用

责任:客户

6.6:监视计算资源中未批准的软件应用程序

指导:对于 Azure Batch 池节点,请实施第三方解决方案来监视群集节点,以检测是否存在未批准的软件应用程序。

Azure 安全中心监视:目前不可用

责任:客户

6.7:删除未批准的 Azure 资源和软件应用程序

指导:对于 Azure Batch 池节点,请实施第三方解决方案来监视群集节点,以检测是否存在未批准的软件应用程序。

Azure 安全中心监视:目前不可用

责任:客户

6.8:仅使用已批准的应用程序

指导:对于 Azure Batch 池节点,请实施第三方解决方案,以阻止执行未经授权的软件。

Azure 安全中心监视:目前不可用

责任:客户

6.9:仅使用已批准的 Azure 服务

指南:在 Azure Policy 中使用以下内置策略定义,对可以在客户订阅中创建的资源类型施加限制:

Azure 安全中心监视:目前不可用

责任:客户

6.10:维护已获批软件的清单

指导:对于 Azure Batch 池节点,请实施第三方解决方案,以阻止执行未经授权的文件类型。

Azure 安全中心监视:目前不可用

责任:客户

6.11:限制用户与 Azure 资源管理器进行交互的能力

指南:使用 Azure 条件访问可通过为“Microsoft Azure 管理”应用配置“阻止访问”,限制用户与 Azure 资源管理器进行交互的能力。

Azure 安全中心监视:目前不可用

责任:客户

安全配置

有关详细信息,请参阅 Azure 安全基线: 安全配置

7.1:为所有 Azure 资源建立安全配置

指导:使用“Microsoft.Batch”命名空间中的 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure Batch 帐户和池的配置。

Azure 安全中心监视:不适用

责任:客户

7.2:建立安全的操作系统配置

指导:为 Batch 池节点的操作系统建立安全配置。

Azure 安全中心监视:不适用

责任:客户

7.3:维护安全的 Azure 资源配置

指导:使用 Azure Policy“[拒绝]”和“[不存在则部署]”对与 Batch 帐户和池相关的 Azure 资源(例如虚拟网络、子网、Azure 防火墙、Azure 存储帐户等)强制实施安全设置。 可以使用以下命名空间中的 Azure Policy 别名创建自定义策略:

Azure 安全中心监视:不适用

责任:客户

7.4:维护安全的操作系统配置

指导:Azure Batch 池操作系统映像由 Microsoft 管理和维护。 你负责实现 OS 级别的状态配置。

Azure 安全中心监视:目前不可用

责任:共享

Azure 安全中心监视:不适用

责任:客户

7.6:安全存储自定义操作系统映像

指导:如果你为 Azure Batch 池使用自定义映像,请使用基于角色的访问控制 (RBAC) 来确保只有经授权的用户才能访问映像。

Azure 安全中心监视:目前不可用

责任:客户

7.7:部署 Azure 资源的配置管理工具

指导:使用内置的 Azure Policy 定义来审核和强制实施与 Azure Batch 相关的资源配置以及发出相关警报。 使用“Microsoft.Batch”命名空间中的 Azure Policy 别名为 Azure Batch 帐户和池创建自定义策略。 另外,开发一个用于管理策略例外的流程和管道。

Azure 安全中心监视:目前不可用

责任:客户

7.8:部署操作系统的配置管理工具

指导:实施第三方解决方案来维护 Azure Batch 池节点的操作系统的所需状态。

Azure 安全中心监视:目前不可用

责任:客户

7.9:为 Azure 资源实施自动配置监视

指导:使用“Microsoft.Batch”命名空间中的 Azure Policy 别名创建自定义策略,以审核或强制实施 Azure Batch 实例的配置。 还可以使用专为 Azure Batch 或专为 Azure Batch 使用的资源创建的任何内置策略,例如:

Azure 安全中心监视:目前不可用

责任:客户

7.10:为操作系统实施自动配置监视

指导:实施第三方解决方案来以监视 Azure Batch 池节点操作系统的状态。

Azure 安全中心监视:目前不可用

责任:客户

7.11:安全管理 Azure 机密

指导:可将 Azure Key Vault 用于 Azure Batch 部署,以管理 Azure 存储帐户中的池存储的密钥。

Azure 安全中心监视:是

责任:客户

7.13:消除意外的凭据透露

指南:实施凭据扫描程序来识别代码中的凭据。 凭据扫描程序还会建议将发现的凭据转移到更安全的位置,例如 Azure Key Vault。

Azure 安全中心监视:不适用

责任:客户

恶意软件防护

有关详细信息,请参阅 Azure 安全基线: 恶意软件防护

8.1:使用集中管理的反恶意软件

指导:如果使用的是 Windows 操作系统,请在各个 Azure Batch 池节点上使用 Windows Defender;如果使用的是 Linux,请提供自己的反恶意软件解决方案。

Azure 安全中心监视:目前不可用

责任:客户

8.2:预先扫描要上传到非计算 Azure 资源的文件

指导:在支持 Azure 服务(例如 Azure Batch)的底层主机上已启用 Microsoft Antimalware,但是,该软件不会针对自定义内容运行。

预扫描任何上传到非计算 Azure 资源(例如应用服务、Data Lake Storage、Blob 存储等)的文件。在此类情况下,Azure 无法访问客户数据。

Azure 安全中心监视:不适用

责任:共享

步骤 8.3:确保反恶意软件和签名已更新

指导:如果使用的是 Windows 操作系统,请在各个 Azure Batch 池节点上使用 Windows Defender,并确保启用自动更新。 如果使用的是 Linux,请提供自己的反恶意软件解决方案。

Azure 安全中心监视:目前不可用

责任:客户

数据恢复

有关详细信息,请参阅 Azure 安全基线: 数据恢复

9.1:确保定期执行自动备份

指导:将 Azure 存储帐户用于 Azure Batch 池数据存储时,请选择适当的冗余选项(LRS、ZRS、GRS、RA-GRS)。

Azure 安全中心监视:不适用

责任:客户

9.2:执行完整系统备份,并备份客户管理的所有密钥

指导:将 Azure 存储帐户用于 Azure Batch 池数据存储时,请选择适当的冗余选项(LRS、ZRS、GRS、RA-GRS)。 如果在任何 Azure Batch 部署环节中使用 Azure Key Vault,请确保备份你的密钥。

Azure 安全中心监视:是

责任:客户

9.3:验证所有备份,包括客户管理的密钥

指导:如果你要自己为 Azure 存储帐户或与 Azure Batch 实现相关的任何其他资源管理密钥,请定期对已备份的密钥进行测试性还原。

Azure 安全中心监视:不适用

责任:客户

9.4:确保保护备份和客户管理的密钥

指导:如果使用 Azure Key Vault 保存与 Azure Batch 池存储帐户相关的任何密钥,请在 Azure Key Vault 中启用“软删除”,以防止密钥被意外删除或恶意删除。

Azure 安全中心监视:是

责任:客户

事件响应

有关详细信息,请参阅 Azure 安全基线: 事件响应

10.1:创建事件响应指导

指导:确保在书面的事件响应计划中定义人员职责,以及事件处理/管理的各个阶段。

Azure 安全中心监视:不适用

责任:客户

10.2:创建事件评分和优先级设定过程

指导:安全中心将为警报分配严重性来帮助你确定每条警报的处理优先顺序,以便在资源泄密时可以立即采取措施。 严重性取决于安全中心在发出警报时所依据的检测结果和分析结果的置信度,以及导致发出警报的活动的恶意企图的置信度。

Azure 安全中心监视:是

责任:客户

10.3:测试安全响应过程

指导:定期执行演练来测试系统的事件响应功能。 识别弱点和差距,并根据需要修改计划。

Azure 安全中心监视:不适用

责任:客户

10.4:提供安全事件联系人详细信息,并针对安全事件配置警报通知

指导:如果 Microsoft 安全响应中心 (MSRC) 发现非法或未经授权的某方访问了你的数据,Azure 将使用安全事件联系人信息与你取得联系。

Azure 安全中心监视:是

责任:客户

Azure 安全中心监视:目前不可用

责任:客户

10.6:自动响应安全警报

指导:使用 Azure 安全中心内的工作流自动化功能可以通过“逻辑应用”针对安全警报和建议自动触发响应。

Azure 安全中心监视:目前不可用

责任:客户

渗透测试和红队练习

有关详细信息,请参阅 Azure 安全基线: 渗透测试和红队演练

11.1:定期对 Azure 资源执行渗透测试,确保修正所有发现的关键安全问题

指导请遵循 Microsoft 互动规则,确保你的渗透测试不违反 Microsoft 政策

对于 Microsoft 的红色组合策略和执行,以及针对 Microsoft 管理的云基础结构、服务和应用程序的实时站点渗透测试,可在下面找到详细信息:

Azure 安全中心监视:不适用

责任:共享

后续步骤