通过

使用“强制/拒绝”建议防止错误配置

重要

注意:根据世纪互联发布的公告2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。

安全性配置错误是造成安全事件的主要原因。 Defender for Cloud 可帮助 防止 有关特定建议的新资源的配置错误。

此功能可帮助保护工作负载的安全和稳定安全分数。

根据特定建议强制实施安全配置以两种模式提供:

  • 使用 Azure Policy 的 “拒绝” 效果,可以阻止创建不正常的资源。

  • 使用 “强制实施 ”选项,可以利用 Azure Policy 的 DeployIfNotExist 效果,并在创建时自动修正不合规的资源。

可以在所选安全建议的资源详细信息页面顶部找到安全配置的功能(请参阅 “拒绝/强制选项的建议”)。

防止创建资源

  1. 打开新资源必须满足的建议,然后选择页面顶部的 “拒绝 ”按钮。

    突出显示了“拒绝”按钮的建议页。

    此时会打开配置窗格,其中列出了范围选项。

  2. 通过选择相关的订阅或管理组来设置范围。

    小窍门

    可以使用行末尾的三个点更改单个订阅,也可以使用复选框来选择多个订阅或组,然后选择 “更改为拒绝”。

    设置 Azure Policy 拒绝的范围。

强制实施安全配置

  1. 打开建议,如果新资源不满足模板部署,请选择页面顶部的 “强制实施 ”按钮。

    突出显示了“强制实施”按钮的建议页。

    此时会打开配置窗格,其中包含所有策略配置选项。

    强制实施配置选项。

  2. 设置范围、分配名称和其他相关选项。

  3. 选择“查看 + 创建”

具有拒绝/强制选项的建议

这些建议可与 拒绝 选项一起使用:

  • [Enable if required] Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据
  • [如果需要,请启用]应使用客户管理的密钥(CMK)对 Azure 机器学习工作区进行加密
  • [如果需要,请启用]认知服务帐户应使用客户管理的密钥(CMK)启用数据加密
  • [Enable if required] 应使用客户管理的密钥 (CMK) 来加密容器寄存器
  • 应限制对具有防火墙和虚拟网络配置的存储帐户的访问
  • 自动化帐户变量应进行加密
  • Azure Cache for Redis 应驻留在虚拟网络中
  • Azure Spring Cloud 应使用网络注入
  • 应强制执行容器 CPU 和内存限制
  • 应只从受信任的注册表中部署容器映像
  • 应避免使用特权提升的容器
  • 应避免使用共享敏感主机命名空间的容器
  • 容器应仅使用允许的 AppArmor 配置文件
  • 应强制对容器使用不可变(只读)根文件系统
  • Key Vault 密钥应具有到期日期
  • Key Vault 机密应具有到期日期
  • 密钥保管库应启用清除保护
  • 密钥保管库应启用软删除
  • 应强制对容器使用最低权限 Linux 功能
  • 应避免特权容器
  • Redis Cache 应仅允许通过 SSL 访问
  • 应避免以根用户身份运行容器
  • 应该启用安全传输到存储帐户
  • Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign
  • Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证
  • 服务应只侦听允许的端口
  • 应禁止存储帐户公共访问
  • 应将存储帐户迁移到新 Azure 资源管理器资源
  • 存储帐户应使用虚拟网络规则来限制网络访问
  • 应限制对主机网络和端口的使用
  • 应限制为只有已知列表才能使用 Pod HostPath 卷装载,以限制来自遭入侵容器的节点访问
  • 存储在 Azure Key Vault 中的证书的有效期不得超过 12 个月
  • 虚拟机应迁移到新的 Azure 资源管理器资源
  • 应为应用程序网关启用 Web 应用程序防火墙 (WAF)
  • 应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF)

这些建议可与 强制 选项一起使用:

  • 应启用 SQL 服务器上的审核
  • 已启用 Azure Arc 的 Kubernetes 群集应已安装 Microsoft Defender for Cloud 扩展
  • 应为虚拟机启用 Azure 备份
  • 应启用适用于应用程序服务的 Microsoft Defender
  • 应启用适用于容器注册表的 Defender Microsoft
  • 应启用适用于 Key Vault 的 Microsoft Defender
  • 应启用 Microsoft Defender for Kubernetes
  • 应启用适用于资源管理器的 Microsoft Defender
  • 应启用 Microsoft Defender for Servers
  • 应启用适用于 Azure SQL 数据库服务器的 Microsoft Defender
  • 应启用适用于计算机上的 SQL Server 的 Microsoft Defender
  • 应为未受保护的 Azure SQL 服务器启用 Microsoft Defender for SQL
  • 应启用适用于存储的 Microsoft Defender
  • 应在群集上安装并启用用于 Kubernetes 的 Azure Policy 加载项
  • 应启用 Azure 流分析中的诊断日志
  • 应启用 Batch 帐户中的诊断日志
  • 应启用 Data Lake Analytics 的诊断日志
  • 应启用事件中心的诊断日志
  • 应启用 Key Vault 的诊断日志
  • 应启用逻辑应用中的诊断日志
  • 应启用搜索服务中的诊断日志
  • 应启用服务总线中的诊断日志

后续步骤

自动响应 Microsoft Defender for Cloud 触发器