安全建议

本文列出了 Microsoft Defender for Cloud 中可能会显示的所有安全建议。 环境中显示的建议基于要保护的资源和自定义配置。

Defender for Cloud 中的建议基于 Azure 云安全基准。 Azure 云安全基准是 Microsoft 制定的一套准则,适合安全性与合规性最佳做法。 这一公认的基准建立在 Center for Internet Security (CIS)国家标准与技术研究院 (NIST) 的控制基础上,重点关注以云为中心的安全性。

若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议

安全功能分数根据已完成的安全建议数量计算得出。 要确定要首先解决的建议,请查看每条建议的严重级别及其对安全评分的潜在影响。

提示

如果建议的描述中显示“无相关策略”,通常是因为该建议依赖于另一个建议及其策略

例如,建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”,后者检查 Endpoint Protection 解决方案是否已安装。 基础建议确实具有一个策略。 将策略限制为仅限基础建议可简化策略管理。

AppServices 建议

只能通过 HTTPS 访问 API 应用

说明:使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 (相关策略:只应通过 HTTPS 访问 API 应用)。

严重性:中等

CORS 不应允许所有资源都能访问 API 应用

说明:跨源资源共享 (CORS) 不应允许所有域都能访问你的 API 应用。 仅允许所需的域与 API 应用交互。 (相关策略:CORS 不得允许所有资源都能访问 API 应用)。

严重性:低

CORS 不应允许所有资源都能访问函数应用

说明:跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 (相关策略:CORS 不得允许所有资源都能访问你的函数应用)。

严重性:低

CORS 不应允许所有资源都能访问 Web 应用

说明:跨源资源共享 (CORS) 不应允许所有域都能访问你的 Web 应用程序。 仅允许所需的域与 Web 应用交互。 (相关策略:CORS 不应允许所有资源都能访问你的 Web 应用程序)。

严重性:低

应启用应用服务中的诊断日志

说明:审核在应用上启用诊断日志。 如果发生安全事件或网络遭泄露(无相关策略),这样便可以重新创建用于调查目的的活动线索。

严重性:中等

确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开”

说明:客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 (相关策略:确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开”)。

严重性:中等

应在 API 应用中要求使用 FTPS

说明:启用 FTPS 强制增强安全性(相关策略:仅应在 API 应用中要求 FTPS)。

严重性:高

应在函数应用中要求使用 FTPS

说明:启用 FTPS 强制增强安全性(相关策略:仅应在功能应用中要求 FTPS)。

严重性:高

应在 Web 应用中要求使用 FTPS

说明:启用 FTPS 强制增强安全性(相关策略:应在 Web 应用中要求 FTPS)。

严重性:高

应该只能通过 HTTPS 访问函数应用

说明:使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 (相关策略:应仅可通过 HTTPS 访问函数应用)。

严重性:中等

确保函数应用已启用“客户端证书(传入客户端证书)”

说明:客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 (相关策略:函数应用应已启用“客户端证书(传入的客户端证书)”)。

严重性:中等

应将 Java 更新为 API 应用的最新版本

说明:我们定期发布适用于 Java 的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 API 应用一部分的“Java 版本”是最新的)。

严重性:中等

应在 API 应用中使用的托管标识

说明:若要增强身份验证安全性,请使用托管标识。 在 Azure 上,托管标识可为 Azure AD 中的 Azure 资源提供标识并用它来获取 Azure Active Directory (Azure AD) 令牌,从而使开发人员无需管理凭据。 (相关策略:应在 API 应用中使用托管标识)。

严重性:中等

应在函数应用中使用的托管标识

说明:若要增强身份验证安全性,请使用托管标识。 在 Azure 上,托管标识可为 Azure AD 中的 Azure 资源提供标识并用它来获取 Azure Active Directory (Azure AD) 令牌,从而使开发人员无需管理凭据。 (相关策略:应在函数应用中使用托管标识)。

严重性:中等

应在 Web 应用中使用的托管标识

说明:若要增强身份验证安全性,请使用托管标识。 在 Azure 上,托管标识可为 Azure AD 中的 Azure 资源提供标识并用它来获取 Azure Active Directory (Azure AD) 令牌,从而使开发人员无需管理凭据。 (相关策略:应在 Web 应用中使用托管标识)。

严重性:中等

应将 PHP 更新为 API 应用的最新版本

说明:我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 PHP 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 API 应用一部分的“PHP 版本”是最新的)。

严重性:中等

应将 Python 更新为 API 应用的最新版本

说明:我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 API 应用一部分的“Python 版本”是最新的)。

严重性:中等

应为 API 应用禁用远程调试

说明:远程调试需要在 API 应用上打开入站端口。 应禁用远程调试。 (相关策略:应为 API 应用关闭远程调试)。

严重性:低

应为函数应用禁用远程调试

说明:远程调试需要在 Azure 函数应用上打开入站端口。 应禁用远程调试。 (相关策略:应为函数应用关闭远程调试)。

严重性:低

应禁用 Web 应用程序的远程调试

说明:远程调试需要在 Web 应用程序上打开入站端口。 远程调试当前已启用。 如果不再需要使用远程调试,则应将其关闭。 (相关策略:应为 Web 应用程序关闭远程调试)。

严重性:低

应将 TLS 更新为 API 应用的最新版本

说明:升级到最新的 TLS 版本。 (相关策略:应在 API 应用中使用最新的 TLS 版本)。

严重性:高

应将 TLS 更新为函数应用的最新版本

说明:升级到最新的 TLS 版本。 (相关策略:应在函数应用中使用最新的 TLS 版本)。

严重性:高

应将 TLS 更新为 Web 应用的最新版本

说明:升级到最新的 TLS 版本。 (相关策略:应在 Web 应用中使用最新的 TLS 版本)。

严重性:高

只能通过 HTTPS 访问 Web 应用程序

说明:使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 (相关策略:Web 应用程序应仅可通过 HTTPS 进行访问)。

严重性:中等

Web 应用应请求一个用于所有传入请求的 SSL 证书

说明:客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 (相关策略:确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开”)。

严重性:中等

计算建议

应在计算机中启用自适应应用程序控制以定义安全应用程序

说明:启用应用程序控制,以定义计算机中正在运行的已知安全应用程序列表,并在其他应用程序运行时发出警报。 这有助于强化计算机免受恶意软件的侵害。 为了简化配置和维护规则的过程,Defender for Cloud 使用机器学习来分析在每台计算机上运行的应用程序,并建议已知安全应用程序的列表。 (相关策略:应在计算机中启用用于定义安全应用程序的自适应应用程序控制)。

严重性:高

应更新自适应应用程序控制策略中的允许列表规则

说明:监视为 Defender for Cloud 自适应应用程序控制进行审核而配置的计算机组上的行为更改。 Defender for Cloud 使用机器学习来分析计算机上的运行过程,并建议已知安全应用程序的列表。 这些应用程序作为推荐的应用显示,在自适应应用程序控制策略中允许使用。 (相关策略:应更新自适应应用程序控制策略中的允许列表规则)。

严重性:高

对 Linux 虚拟机进行身份验证需要 SSH 密钥

虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 有关详细信息,请参阅详细步骤:创建和管理用于 Azure 中 Linux VM 的身份验证的 SSH 密钥。 (相关策略:审核未使用 SSH 密钥进行身份验证的 Linux 计算机)。

严重性:中等

自动化帐户变量应加密

说明:存储敏感数据时,请务必启用自动化帐户变量资产加密。 (相关策略:应对自动化帐户变量进行加密)。

严重性:高

应为虚拟机启用 Azure 备份

说明:使用 Azure 备份来保护 Azure 虚拟机上的数据。 Azure 备份是一种 Azure 原生且经济高效的数据保护解决方案。 它可创建恢复点,这些恢复点存储在异地冗余的恢复保管库中。 从恢复点还原时,可以还原整个 VM,也可以仅还原特定的文件。 (相关策略:应为虚拟机启用 Azure 备份)。

严重性:低

应安全配置容器主机

说明:修复安装了 Docker 的计算机上安全配置中的漏洞,使它们免受攻击。 (相关策略:应修正容器安全配置中的漏洞)。

严重性:高

应启用 Azure 流分析的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 Azure 流分析中的诊断日志)。

严重性:低

应启用 Batch 帐户的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 Batch 帐户中的诊断日志)。

严重性:低

应启用事件中心内的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用事件中心内的诊断日志)。

严重性:低

应启用逻辑应用的诊断日志

说明:若要确保在发生安全事件或遭到入侵时,可以重新创建活动线索以进行调查,请启用日志记录。 如果诊断日志不会发送到 Log Analytics 工作区、Azure 存储帐户或 Azure 事件中心,请确保已将诊断设置配置为将平台指标和平台日志发送到相关目标。 若要了解详细信息,请参阅“创建诊断设置以将平台日志和指标发送到不同目标”。 (相关策略:应启用逻辑应用中的诊断日志)。

严重性:低

应启用搜索服务的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用搜索服务中的诊断日志)。

严重性:低

应启用服务总线的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用服务总线中的诊断日志)。

严重性:低

应当启用虚拟机规模集中的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用虚拟机规模集中的诊断日志)。

严重性:低

应在虚拟机规模集上解决 Endpoint Protection 运行状况问题

说明:修复虚拟机规模集上的终结点保护运行状况故障,使其免受威胁和漏洞的侵害。 (相关策略:应在虚拟机规模集上安装终结点保护解决方案)。

严重性:低

应在虚拟机规模集上安装 Endpoint Protection

说明:在虚拟机规模集上安装终结点保护解决方案,以保护它们免受威胁和漏洞的影响。 (相关策略:应在虚拟机规模集上安装终结点保护解决方案)。

严重性:高

应在计算机上启用文件完整性监视

说明:Defender for Cloud 已识别出缺少文件完整性监视解决方案的虚拟机。 若要监视服务器上对关键文件、注册表项等的更改,请启用文件完整性监视。 启用文件完整性监视解决方案后,创建数据收集规则以定义要监视的文件。 若要定义规则,或查看具有现有规则的计算机上更改的文件,请转到文件完整性监视管理页。 (无相关策略)

严重性:高

应在受支持的 Linux 虚拟机规模集上安装来宾证明扩展名

说明:在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的 Linux 虚拟机规模集。

重要:受信任的启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。 详细了解 Azure 虚拟机的受信任启动。 (无相关策略)

严重性:低

应在受支持的 Linux 虚拟机上安装来宾证明扩展名

说明:在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的 Linux 虚拟机。

重要:受信任的启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。 详细了解 Azure 虚拟机的受信任启动。 (无相关策略)

严重性:低

应在受支持的 Windows 虚拟机规模集上安装来宾证明扩展名

说明:在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的虚拟机规模集。

重要:受信任的启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。 详细了解 Azure 虚拟机的受信任启动。 (无相关策略)

严重性:低

应在受支持的 Windows 虚拟机上安装来宾证明扩展名

说明:在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Microsoft Defender for Cloud 能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估仅适用于已启用受信任启动的虚拟机。

重要:受信任的启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。 详细了解 Azure 虚拟机的受信任启动。 (无相关策略)

严重性:低

应在计算机上安装来宾配置扩展

说明:若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,如应启用 Windows 攻击防护。 (相关策略:虚拟机应有来宾配置扩展)。

严重性:中等

在虚拟机上安装 Endpoint Protection 解决方案

说明:在虚拟机上安装终结点保护解决方案,以保护其免受威胁和漏洞的侵害。 (相关策略:监视 Azure 安全中心中缺少的终结点保护)。

严重性:高

Linux 虚拟机应强制实施内核模块签名验证

说明:为了帮助减少在内核模式下执行恶意或未经授权的代码,请在支持的 Linux 虚拟机上强制实施内核模块签名验证。 内核模块签名验证可确保只允许运行受信任的内核模块。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 (无相关策略)

严重性:低

Linux 虚拟机应仅使用已签名且受信任的启动组件

说明:启用安全启动后,所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Defender for Cloud 已识别一个或多个 Linux 虚拟机上不受信任的 OS 启动组件。 若要保护计算机免受潜在恶意组件的攻击,请将它们添加到你的允许列表,或删除已识别的组件。 (无相关策略)

严重性:低

Linux 虚拟机应使用安全启动

说明:若要防止安装基于恶意软件的 rootkit 和启动工具包,请在受支持的 Linux 虚拟机上启用安全启动。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 (无相关策略)

严重性:低

应在基于 Linux 已启用 Azure Arc 的计算机上安装日志分析代理

说明:Defender for Cloud 使用 Log Analytics 代理(也称为 OMS)从 Azure Arc 计算机收集安全事件。 若要在所有 Azure Arc 计算机上部署代理,请遵循修正步骤。 (无相关策略)

严重性:高

应在虚拟机规模集上安装 Log Analytics 代理

说明:Defender for Cloud 从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到工作区以用于分析。 如果 VM 由 Azure 托管服务(如 Azure Kubernetes 服务或 Azure Service Fabric)使用,那么也需要执行该过程。 无法为 Azure 虚拟机规模集配置代理的自动预配。 若要在虚拟机规模集(包括 Azure Kubernetes 服务和 Azure Service Fabric 等 Azure 托管服务使用的规模集)上部署代理,请按照修正步骤中的过程操作。 (相关策略:应在虚拟机规模集上安装日志分析代理,用于 Azure 安全中心监视)。

严重性:高

应在虚拟机上安装 Log Analytics 代理

说明:Defender for Cloud 从 Azure 虚拟机 (VM) 收集数据,以监视安全漏洞和威胁。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 如果 VM 由 Azure 托管服务(如 Azure Kubernetes 服务或 Azure Service Fabric)使用,则也需要此代理。 建议配置自动预配来自动部署代理。 如果你选择不使用自动预配,请使用修正步骤中的说明将代理手动部署到 VM。 (相关策略:应在虚拟机上安装日志分析代理,用于 Azure 安全中心监视)。

严重性:高

应在基于 Windows 已启用 Azure Arc 的计算机上安装日志分析代理

说明:Defender for Cloud 使用 Log Analytics 代理(也称为 MMA)从 Azure Arc 计算机收集安全事件。 若要在所有 Azure Arc 计算机上部署代理,请遵循修正步骤。 (无相关策略)

严重性:高

应安全配置计算机

说明:修复计算机上安全配置的漏洞,以保护其免受攻击。 (相关策略:应修正计算机上安全配置中的漏洞)。

严重性:低

应重启计算机以应用安全配置更新

说明:若要应用安全配置更新并防范漏洞,请重新启动计算机。 这项评估仅适用于安装了 Azure Monitor 代理的 Linux 虚拟机。 (无相关策略)

严重性:低

计算机应具有漏洞评估解决方案

说明:Defender for Cloud 定期检查连接的计算机,以确保它们正在运行漏洞评估工具。 使用此建议部署漏洞评估解决方案。 (相关策略:应在虚拟机上启用漏洞评估解决方案)。

严重性:中等

计算机应已解决漏洞结果

说明:解决虚拟机上漏洞评估解决方案的发现。 (相关策略:应在虚拟机上启用漏洞评估解决方案)。

严重性:低

应通过即时网络访问控制来保护虚拟机的管理端口

说明:Defender for Cloud 已确定一些对网络安全组中的管理端口过于宽松的入站规则。 启用实时访问控制,以保护 VM 免受基于 Internet 的暴力攻击。 有关详细信息,请参阅了解实时 (JIT) VM 访问。 (相关策略:应通过即时网络访问控制来保护虚拟机的管理端口)。

严重性:高

应启用适用于服务器的 Microsoft Defender

说明:适用于服务器的 Microsoft Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 可以使用此信息快速修复安全问题,并提高服务器的安全性。

重要说明:修正此建议将导致对服务器的保护产生费用。 如果此订阅中没有任何服务器,则不会产生任何费用。 如果将来在此订阅中创建任何服务器,它将自动受到保护,届时将开始计费。 有关详细信息,请参阅适用于服务器的 Microsoft Defender 简介。 (相关策略:应启用用于服务器的 Azure Defender)。

严重性:高

应在工作区上启用适用于服务器的 Microsoft Defender

说明:适用于服务器的 Microsoft Defender 带来了适用于 Windows 和 Linux 计算机的威胁检测和高级防护功能。 如果订阅上启用了此 Defender 计划,但工作区上未启用,则需要为适用于服务器的 Microsoft Defender 的全部功能付费,但会错过某些权益。 在工作区上启用了适用于服务器的 Microsoft Defender 时,向该工作区报告的所有计算机都将为适用于服务器的 Microsoft Defender 付费,即使它们位于未启用 Defender 计划的订阅中。 除非还在订阅上启用了适用于服务器的 Microsoft Defender,否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和 Azure 资源的网络检测。 有关详细信息,请参阅适用于服务器的 Microsoft Defender 简介。 (无相关策略)

严重性:中等

应在受支持的 Windows 虚拟机上启用安全启动

说明:在受支持的 Windows 虚拟机上启用安全启动,以减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估仅适用于已启用受信任启动的 Windows 虚拟机。

重要:受信任的启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。 详细了解 Azure 虚拟机的受信任启动。 (无相关策略)

严重性:低

Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign

说明:Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(无、签名和 EncryptAndSign)。 请设置保护级别,确保节点到节点的所有消息经过加密和数字签名。 (相关策略:Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign)。

严重性:高

Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证

说明:只使用 Service Fabric 中的 Azure Active Directory 进行客户端身份验证(相关策略:Service Fabric 群集应只使用 Azure Active Directory 进行客户端身份验证)。

严重性:高

应在虚拟机规模集上安装系统更新

说明:安装缺少的系统安全更新和关键更新,保护 Windows 和 Linux 虚拟机规模集。 (相关策略:应在虚拟机规模集上安装系统更新)。

严重性:高

应在计算机上安装系统更新

说明:安装缺少的系统安全性和关键更新来保护 Windows 和 Linux 虚拟机和计算机(相关策略:应在计算机上安装系统更新)。

严重性:高

应在计算机上安装系统更新(由更新中心提供技术支持)

说明:计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 (无相关策略)

严重性:高

应安全配置虚拟机规模集

说明:修复虚拟机规模集上安全配置中的漏洞,使其免受攻击。 (相关策略:应修正虚拟机规模集上安全配置中的漏洞)。

严重性:高

虚拟机来宾证明状态应为正常

说明:通过向证明服务器发送受信任的日志 (TCGLog) 来执行来宾证明。 服务器使用这些日志来确定引导组件是否可信。 这项评估旨在检测引导链的泄漏,这可能是引导工具包或 rootkit 感染所导致的。 这项评估仅适用于安装了来宾证明扩展且支持受信任启动的虚拟机。 (无相关策略)

严重性:中等

应使用系统分配的托管标识来部署虚拟机的来宾配置扩展

说明:来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 详细了解(相关策略:应使用系统分配的托管标识将来宾配置扩展部署到 Azure 虚拟机)。

严重性:中等

应将虚拟机迁移到新的 Azure 资源管理器资源

说明:虚拟机(经典)已弃用,这些 VM 应迁移到 Azure 资源管理器。 由于 Azure 资源管理器现具有完整的 IaaS 功能和其他改进,因此我们在 2020 年 2 月 28 日弃用了通过 Azure Service Manager (ASM) 管理 IaaS 虚拟机 (VM) 的功能。 此功能将于 2023 年 3 月 1 日完全停用。

若要查看所有受影响的经典 VM,请确保在“目录 + 订阅”选项卡下选择所有 Azure 订阅。

有关此工具和迁移的可用资源和信息:虚拟机(经典)弃用概述,迁移的分步过程和可用的 Microsoft 资源。有关迁移到 Azure 资源管理器迁移工具的详细信息。使用 PowerShell 迁移到 Azure 资源管理器迁移工具。(相关策略:应将虚拟机迁移到新的 Azure 资源管理器资源)。

严重性:高

虚拟机应该加密计算和存储资源之间的临时磁盘、缓存和数据流

说明:默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时不加密。 有关 Azure 中不同磁盘加密技术的比较,请参阅 https://aka.ms/diskencryptioncomparison 。 使用 Azure 磁盘加密来加密所有这些数据。 如果存在以下情况,请忽略此建议:

  1. 你使用的是主机加密功能,或者 2. 托管磁盘上的服务器端加密满足安全要求。 若要了解详细信息,请参阅 Azure 磁盘存储的服务器端加密。 (相关策略:应在虚拟机上应用磁盘加密

严重性:高

应在受支持的虚拟机上启用 vTPM

说明:在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现测量的启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。

重要:受信任的启动要求创建新的虚拟机。 如果现有的虚拟机在最初创建时未配置受信任启动,则无法在其上启用受信任启动。 详细了解 Azure 虚拟机的受信任启动。 (无相关策略)

严重性:低

应修正 Linux 虚拟机上的安全配置漏洞(由来宾配置提供支持)

说明:修正 Linux 计算机上的安全配置漏洞,以保护它们免受攻击。 (相关策略:Linux 虚拟机应符合 Azure 安全基线的要求)。

严重性:低

应修正 Windows 虚拟机上的安全配置漏洞(由来宾配置提供支持)

说明:修正 Windows 计算机上的安全配置漏洞,以保护它们免受攻击。 (无相关策略)

严重性:低

应在计算机上启用 Microsoft Defender 攻击防护

说明:Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 (相关策略:审核未启用 Windows Defender 攻击防护的 Windows 计算机)。

严重性:中等

应将 Windows Web 服务器配置为使用安全通信协议

说明:为了保护通过 Internet 进行通信的信息的隐私,Web 服务器应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 使用安全证书对计算机之间的连接进行加密来保护网络上的通信。 (相关策略:审核未使用安全通信协议的 Windows Web 服务器)。

严重性:高

[预览]:Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost

说明:默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 对所有这些数据进行加密。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 (相关策略:[预览]:Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost)。

严重性:高

[预览]:Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost

说明:默认情况下,虚拟机的 OS 和数据磁盘使用平台管理的密钥进行静态加密;临时磁盘和数据缓存不加密,数据在计算和存储资源之间流动时不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 对所有这些数据进行加密。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 (相关策略:[预览]:Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost)。

严重性:高

虚拟机和虚拟机规模集应启用主机中加密

说明:使用主机加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 有关详细信息,使用 Azure 门户通过主机加密来启用端到端加密。 (相关策略:虚拟机和虚拟机规模集应启用主机加密)。

严重性:中等

(预览版)Azure Stack HCI 服务器应满足安全核心要求

说明:确保所有 Azure Stack HCI 服务器都满足安全核心要求。 (相关策略:应在虚拟机上安装来宾配置扩展)。

严重性:低

(预览版)Azure Stack HCI 服务器应一致地强制实施应用程序控制策略

说明:至少在所有 Azure Stack HCI 服务器上以强制模式应用 Microsoft WDAC 基本策略。 应用的 Windows Defender 应用程序控制 (WDAC) 策略必须在同一群集中的服务器之间保持一致。 (相关策略:应在虚拟机上安装来宾配置扩展)。

严重性:高

(预览版)Azure Stack HCI 系统应具有加密卷

说明:使用 BitLocker 加密 Azure Stack HCI 系统上的 OS 和数据卷。 (相关策略:应在虚拟机上安装来宾配置扩展)。

严重性:高

(预览版)主机和 VM 网络应在 Azure Stack HCI 系统上受保护

说明:保护 Azure Stack HCI 主机网络和虚拟机网络连接上的数据。 (相关策略:应在虚拟机上安装来宾配置扩展)。

严重性:低

容器建议

(必要时启用)容器注册表应使用客户管理的密钥 (CMK) 进行加密

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 访问 https://aka.ms/acr/CMK,了解有关 CMK 加密的详细信息。 (相关策略:应使用客户管理的密钥 (CMK) 对容器注册表进行加密)。

严重性:低

类型:控制平面

已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Policy 扩展

说明:适用于 Kubernetes 的 Azure Policy 扩展扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 (无相关策略)

严重性:高

类型:控制平面

已启用 Azure Arc 的 Kubernetes 群集应安装 Defender 扩展

说明:Azure Arc 的 Azure Defender 扩展为启用了 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有控制平面(主)节点收集数据,并将数据发送到云中的 Microsoft Defender for Kubernetes 后端,以供进一步分析。 (无相关策略)

严重性:高

类型:控制平面

Azure Kubernetes 服务群集应启用 Defender 配置文件

说明:Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.AzureDefender 配置文件时,会将代理部署到群集以收集安全事件数据。 有关详细信息,请参阅 Microsoft Defender for Containers 简介。 (无相关策略)

严重性:高

类型:控制平面

Azure Kubernetes 服务群集应已安装适用于 Kubernetes 的 Azure Policy 加载项

说明:适用于 Kubernetes 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 Defender for Cloud 要求加载项审核并强制实施群集内的安全功能和合规性。 了解详细信息。 需要 Kubernetes v1.14.0 或更高版本。 (相关策略:应在群集上安装并启用用于 Kubernetes 服务的 Azure Policy 加载项 (AKS))

严重性:高

类型:控制平面

容器注册表不得允许无限制的网络访问

说明:默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的公共 IP 地址或地址范围的访问。 如果注册表没有 IP/防火墙规则或配置的虚拟网络,它将出现在不正常资源中。 有关容器注册表网络规则的详细信息,请访问 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet。 (相关策略:容器注册表不应允许不受限制的网络访问)。

严重性:中等

类型:控制平面

说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到容器注册表(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 (相关策略:容器注册表应使用专用链接)。

严重性:中等

类型:控制平面

应启用 Kubernetes 服务中的诊断日志

说明:在 Kubernetes 服务中启用诊断日志,并保留最多一年。 这样便可以在发生安全事件时,重新创建活动线索用于调查目的。 (无相关策略)

严重性:低

类型:控制平面

应为 Kubernetes API 服务器配置受限访问权限

说明:若要确保只有来自允许的网络、计算机或子网的应用程序可以访问群集,请限制对 Kubernetes API 服务器的访问权限。 可以通过定义授权的 IP 范围或将 API 服务器设置为专用群集(如创建专用 Azure Kubernetes 服务群集中所述)来限制访问权限。 (相关策略:应在 Kubernetes 服务上定义授权的 IP 范围)。

严重性:高

类型:控制平面

应在 Kubernetes 服务上使用基于角色的访问控制

说明:若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限,并配置相关授权策略。 (相关策略:应在 Kubernetes 服务上使用基于角色的访问控制 (RBAC))。

严重性:高

类型:控制平面

应启用 Microsoft Defender for Containers

说明:Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 可以使用此信息快速补救安全问题,并提高容器的安全性。

重要说明:修正此建议将导致对 Kubernetes 群集的保护产生费用。 如果此订阅中没有任何 Kubernetes 群集,则不会产生任何费用。 如果将来在此订阅中创建任何 Kubernetes 群集,它将自动受到保护,届时将开始计费。 有关详细信息,请参阅 Microsoft Defender for Containers 简介。 (无相关策略)

严重性:高

类型:控制平面

应强制执行容器 CPU 和内存限制

说明:强制执行 CPU 和内存限制可阻止资源耗尽攻击(一种拒绝服务攻击的形式)。

建议为容器设置限制,以确保运行时防止容器使用的资源超过配置的资源限制。

(相关策略:确保容器 CPU 和内存资源限制不超过 Kubernetes 群集中指定的限制)。

严重性:中等

类型:Kubernetes 数据平面

应只从受信任的注册表中部署容器映像

说明:在 Kubernetes 群集上运行的映像应来自已知和监视的容器映像注册表。 受信任的注册表通过限制引入未知漏洞、安全问题和恶意映像的可能性,降低群集的暴露风险。

(相关策略:确保 Kubernetes 群集中只有允许使用的容器映像)。

严重性:高

类型:Kubernetes 数据平面

应避免使用特权提升的容器

说明:容器在 Kubernetes 群集中不应将特权提升到根目录。 AllowPrivilegeEscalation 属性控制进程是否可以获得比其父进程更多的特权。 (相关策略:Kubernetes 群集不应允许容器特权提升)。

严重性:中等

类型:Kubernetes 数据平面

应避免使用共享敏感主机命名空间的容器

说明:若要防止容器外的特权提升,请避免 Pod 访问 Kubernetes 群集中的敏感主机命名空间(主机进程 ID 和主机 IPC)。 (相关策略:Kubernetes 群集容器不应共享主机进程 ID 或主机 IPC 命名空间)。

严重性:中等

类型:Kubernetes 数据平面

容器应仅使用允许的 AppArmor 配置文件

说明:在 Kubernetes 集群上运行的容器应仅限使用允许的 AppArmor 配置文件。 AppArmor(应用程序防御)是一种 Linux 安全模块,可保护操作系统及其应用程序免受安全威胁。 为使用此模块,系统管理员需要将 AppArmor 安全配置文件与每个程序相关联。 (相关策略:Kubernetes 群集容器应只使用允许的 AppArmor 配置文件)。

严重性:高

类型:Kubernetes 数据平面

应强制对容器使用不可变(只读)根文件系统

说明:Kubernetes 群集中的容器应使用只读根文件系统运行。 不可变文件系统将恶意二进制文件添加到路径,可防止容器在运行时更改。 (相关策略:Kubernetes 群集容器应使用只读根文件系统运行)。

严重性:中等

类型:Kubernetes 数据平面

Kubernetes 群集应只可通过 HTTPS 进行访问

说明:使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向 AKS 引擎和已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问https://aka.ms/kubepolicydoc(相关策略:在 Kubernetes 群集中强制实施 HTTPS 入口)。

严重性:高

类型:Kubernetes 数据平面

Kubernetes 群集应禁用自动装载 API 凭据

说明:禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 (相关策略:Kubernetes 群集应禁用自动装载 API 凭据)。

严重性:高

类型:Kubernetes 数据平面

Kubernetes 群集不应授予 CAPSYSADMIN 安全功能

说明:为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 (无相关策略)

严重性:高

类型:Kubernetes 数据平面

Kubernetes 群集不应使用默认命名空间

说明:防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行未经授权的访问。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 (相关策略:Kubernetes 群集不应使用默认命名空间)。

严重性:低

类型:Kubernetes 数据平面

应强制对容器使用最低权限 Linux 功能

说明:为了减少容器的攻击面,请限制 Linux 功能,并向容器授予特定特权,而不授予根用户的所有特权。 建议删除所有功能,然后添加所需的功能(相关策略:Kubernetes 群集容器应仅使用允许的功能)。

严重性:中等

类型:Kubernetes 数据平面

应避免特权容器

说明:要防止主机访问不受限制,请尽可能避免使用特权容器。

特权容器具有主机的所有根功能。 它们可用作攻击的入口点,并将恶意代码或恶意软件传播到受攻击的应用程序、主机和网络。 (相关策略:不允许 Kubernetes 群集中有特权容器)。

严重性:中等

类型:Kubernetes 数据平面

应避免以根用户身份运行容器

说明:不应在 Kubernetes 群集中以根用户身份运行容器。 在容器内以根用户身份运行进程会导致在主机上以根用户身份运行该进程。 如果遭到入侵,攻击者会获得容器中的根权限,任何配置错误都变得更加容易被利用。 (相关策略:Kubernetes 群集 Pod 和容器应只使用批准的用户 ID 和组 ID 运行)。

严重性:高

类型:Kubernetes 数据平面

服务应只侦听允许的端口

说明:若要减少 Kubernetes 群集的受攻击面,请限制服务对已配置端口的访问权限,以此限制对群集的访问权限。 (相关策略:确保服务只侦听 Kubernetes 群集中允许使用的端口)。

严重性:中等

类型:Kubernetes 数据平面

应限制对主机网络和端口的使用

说明:限制 Pod 在 Kubernetes 群集中对主机网络和允许的主机端口范围的访问。 在启用 hostNetwork 属性的情况下创建的 Pod 将共享该节点的网络空间。 为了避免被泄露的容器侦听网络流量,建议不要将 Pod 置于主机网络上。 如果需要在节点的网络上公开容器端口,并且使用 Kubernetes 服务节点端口不能满足你的需求,另一个可能的做法是在 Pod 规范中为容器指定 hostPort。(相关策略:Kubernetes 群集 Pod 应只使用已批准的主机网络和端口范围)。

严重性:中等

类型:Kubernetes 数据平面

应限制为只有已知列表才能使用 Pod HostPath 卷装载,以限制来自遭入侵容器的节点访问

说明:建议将 Kubernetes 群集中的 pod HostPath 卷装载限制为配置的允许主机路径。 如果遭到入侵,应限制容器对容器节点的访问。 (相关策略:Kubernetes 群集 Pod hostPath 卷应只使用允许的主机路径)。

严重性:中等

类型:Kubernetes 数据平面

Azure 注册表容器映像应该已解决漏洞(由 Qualys 提供支持)

说明:容器映像漏洞评估功能会扫描注册表中的安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 (相关策略:应修正 Azure 容器注册表映像中的漏洞)。

严重性:高

类型:漏洞评估

Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持)

说明:容器映像漏洞评估会扫描注册表中常见的漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 (相关策略:应修正 Azure 容器注册表映像中的漏洞)。

严重性:高

类型:漏洞评估

Azure 正在运行的容器映像应该已解决漏洞(由 Qualys 提供支持)

说明:容器映像漏洞评估功能会扫描 Kubernetes 群集上运行的容器映像是否存在安全漏洞,并公开每个映像的详细发现结果。 修复这些漏洞可以极大改善容器的安全状况,并保护其不受攻击影响。 (无相关策略)

严重性:高

类型:漏洞评估

Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持)

说明:容器映像漏洞评估会扫描注册表中常见的漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。

严重性:高

类型:漏洞评估

数据建议

(必要时启用)Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 访问 https://aka.ms/cosmosdb-cmk,了解有关 CMK 加密的详细信息。 (相关策略:Azure Cosmos DB 帐户应使用客户管理的密钥对数据进行静态加密)。

严重性:低

(必要时启用)Azure 机器学习工作区应使用客户管理的密钥 (CMK) 进行加密

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥 (CMK) 管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足监管合规标准,通常需要使用 CMK。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 访问 https://aka.ms/azureml-workspaces-cmk,了解有关 CMK 加密的详细信息。 (相关策略:应使用客户管理的密钥 (CMK) 对 Azure 机器学习工作区进行加密)。

严重性:低

(必要时启用)认知服务帐户应启用使用客户管理的密钥 (CMK) 进行数据加密

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 客户管理的密钥 (CMK) 通常是满足法规符合性标准所必需的。 CMK 支持使用由你创建并拥有的 Azure Key Vault 密钥对存储在认知服务中的数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 访问 https://aka.ms/cosmosdb-cmk,了解有关 CMK 加密的详细信息。 (相关策略:认知服务帐户应启用使用客户管理的密钥 (CMK) 进行数据加密

严重性:低

(必要时启用)MySQL 服务器应使用客户管理的密钥来加密静态数据

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 (相关策略:应为 MySQL 服务器启用自带密钥数据保护)。

严重性:低

(必要时启用)PostgreSQL 服务器应使用客户管理的密钥来加密静态数据

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足监管合规标准,通常需要使用客户管理的密钥 (CMK)。 CMK 允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 (相关策略:应为 PostgreSQL 服务器启用自带密钥数据保护)。

严重性:低

(必要时启用)SQL 托管实例应使用客户管理的密钥来加密静态数据

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 (相关策略:SQL 托管实例应使用客户管理的密钥对数据进行静态加密)。

严重性:低

(必要时启用)SQL 服务器应使用客户管理的密钥来加密静态数据

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 (相关策略:SQL Server 应使用客户管理的密钥对数据进行静态加密)。

严重性:低

(必要时启用)存储帐户应使用客户管理的密钥 (CMK) 进行加密

说明:默认情况下,不会评估使用客户管理的密钥来加密静态数据的建议,但仍会显示这些建议,以便为适用的方案启用。 将会使用平台管理的密钥自动对数据进行加密,因此,只有在合规性或限制性策略要求强制时,才应应用客户管理的密钥。 若要启用此建议,请导航到适用作用域的安全策略,并更新相应策略的 Effect 参数以审核或强制使用客户管理的密钥。 有关详细信息,请参阅管理安全策略。 使用客户管理的密钥 (CMK) 更灵活地保护存储帐户。 指定 CMK 时,该密钥会用于保护和控制对加密数据的密钥的访问。 使用 CMK 可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 (相关策略:存储帐户应使用客户管理的密钥 (CMK) 进行加密)。

严重性:低

应在 SQL 托管实例的高级数据安全设置中启用所有高级威胁防护类型

说明:建议在 SQL 托管实例上启用所有高级威胁防护类型。 启用所有类型可以防范 SQL 注入、数据库漏洞和任何其他异常活动。 (无相关策略)

严重性:中等

应在 SQL Server 的高级数据安全设置中启用所有高级威胁防护类型

说明:建议在 SQL 服务器上启用所有高级威胁防护类型。 启用所有类型可以防范 SQL 注入、数据库漏洞和任何其他异常活动。 (无相关策略)

严重性:中等

API 管理服务应使用虚拟网络

说明:Azure 虚拟网络部署提供了增强的安全性和隔离性,并允许将 API 管理服务放置在控制访问权限的非 Internet 可路由的网络中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 (相关策略:API 管理服务应使用虚拟网络)。

严重性:中等

说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 (相关策略:应用程序配置应使用专用链接)。

严重性:中等

应将 SQL Server 的审核保留设置为至少 90 天

说明:审核配置的审核保持期少于 90 天的 SQL 服务器。 (相关策略:SQL Server 应配置有 90 天或更长时间的审核保留期。

严重性:低

应启用 SQL 服务器上的审核

说明:在 SQL Server 上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 (相关策略:应启用 SQL Server 上的审核)。

严重性:低

订阅应启用 Log Analytics 代理自动预配

说明:若要监视安全漏洞和威胁,Microsoft Defender for Cloud 会从 Azure 虚拟机 (VM) 收集数据。 数据是使用 Log Analytics 代理收集的,该代理以前称为 Microsoft Monitoring Agent (MMA),它从计算机中读取各种安全相关的配置和事件日志,然后将数据复制到 Log Analytics 工作区以用于分析。 建议启用自动预配,将代理自动部署到所有受支持的 Azure VM 和任何新创建的 VM。 (相关策略:应为订阅启用自动预配 Log Analytics 代理)。

严重性:低

Azure Cache for Redis 应驻留在虚拟网络中

说明:Azure 虚拟网络 (VNet) 部署为 Azure Cache for Redis 缓存以及子网、访问控制策略和其他功能提供增强的安全性和隔离,以进一步限制访问。 为 Azure Redis 缓存实例配置了 VNet 后,该实例不可公开寻址,而只能从 VNet 中的虚拟机和应用程序进行访问。 (相关策略:Azure Cache for Redis 应驻留在虚拟网络中)。

严重性:中等

Azure Database for MySQL 应预配 Azure Active Directory 管理员

说明:为 Azure Database for MySQL 预配 Azure AD 管理员,以启用 Azure AD 身份验证。 Azure AD 身份验证可简化权限管理和数据库用户和其他 Microsoft 服务的集中标识管理(相关策略:应为 MySQL 服务器预配 Azure Active Directory 管理员)。

严重性:中等

Azure Database for PostgreSQL 应预配 Azure Active Directory 管理员

说明:为 Azure Database for PostgreSQL 预配 Azure AD 管理员,以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理
(相关策略:应为 PostgreSQL 服务器预配 Azure Active Directory 管理员)。

严重性:中等

Azure Cosmos DB 帐户应有防火墙规则

说明:应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 (相关策略:Azure Cosmos DB 帐户应有防火墙规则)。

严重性:中等

说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 (相关策略:Azure 事件网格域应使用专用链接)。

严重性:中等

说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 (相关策略:Azure 事件网格主题应使用专用链接)。

严重性:中等

说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/azureml-workspaces-privatelink。 (相关策略:Azure 机器学习工作区应使用专用链接)。

严重性:中等

说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 SignalR 资源(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/asrs/privatelink。 (相关策略:Azure SignalR 服务应使用专用链接)。

严重性:中等

Azure Spring Cloud 应使用网络注入

说明:Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1。 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 (相关策略:Azure Spring Cloud 应使用网络注入)。

严重性:中等

应为 SQL Server 预配 Azure Active Directory 管理员

说明:为 SQL Server 预配 Azure AD 管理员,以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理。 (相关策略:应为 SQL Server 预配 Azure Active Directory 管理员)。

严重性:高

Azure Synapse 工作区身份验证模式应已为仅 Azure Active Directory

说明:Azure Synapse 工作区身份验证模式应为仅限 Azure Active Directory。仅限 Azure Active Directory 身份验证方法通过确保 Synapse 工作区仅要求 Azure AD 标识进行身份验证来提高安全性。 了解详细信息。 (相关策略:Synapse 工作区应仅使用 Azure Active Directory 标识进行身份验证)。

严重性:中等

代码存储库应处理代码扫描结果

说明:Defender for DevOps 在代码存储库中发现了漏洞。 若要改善存储库的安全状况,强烈建议修复这些漏洞。 (无相关策略)

严重性:中等

代码存储库应处理 Dependabot 扫描结果

说明:Defender for DevOps 在代码存储库中发现了漏洞。 若要改善存储库的安全状况,强烈建议修复这些漏洞。 (无相关策略)

严重性:中等

与处理代码扫描结果一样,代码存储库应处理基础结构调查结果

说明:Defender for DevOps 发现基础结构是存储库中的代码安全配置问题。 在模板文件中已检测到以下问题。 若要改善相关云资源的安全状况,强烈建议修复这些问题。 (无相关策略)

严重性:中等

代码存储库应处理机密扫描结果

说明:Defender for DevOps 在代码存储库中发现了机密。 应立即修正此问题以防止安全漏洞。 在存储库中发现的机密可能会被泄露或被攻击者发现,导致应用程序或服务遭到入侵。 对于 Azure DevOps,Microsoft Security DevOps CredScan 工具仅扫描它配置为运行的生成。 因此,结果可能无法反映存储库中机密的完整状态。 (无相关策略)

严重性:高

认知服务帐户应启用数据加密

说明:此策略审核未使用数据加密的任何认知服务帐户。 对于具有存储的各个认知服务帐户,应启用使用客户托管密钥或 Microsoft 管理密钥的数据加密。 (相关策略:认知服务帐户应启用数据加密)。

严重性:低

认知服务帐户应限制网络访问

说明:应限制对认知服务帐户的网络访问。 配置网络规则,使只有来自允许的网络的应用程序才能访问认知服务帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络或到公共 Internet IP 地址范围的流量授予访问权限。 (相关策略:认知服务帐户应限制网络访问)。

严重性:中等

认知服务帐户应使用客户自有存储或启用数据加密

说明:此策略审核未使用客户自有存储或数据加密的任何认知服务帐户。 对于具有存储的各个认知服务帐户,应使用客户自有存储或启用数据加密。 (相关策略:认知服务帐户应使用客户自有存储或启用数据加密。

严重性:低

应启用 Azure Data Lake Store 的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 Azure Data Lake Store 中的诊断日志)。

严重性:低

应启用 Data Lake Analytics 的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 Data Lake Analytics 中的诊断日志)。

严重性:低

应启用高严重性警报的电子邮件通知

说明:请在 Defender for Cloud 中启用对高严重性警报的电子邮件通知,以确保在其中一个订阅存在潜在安全漏洞时,组织中的相关人员会收到通知。 (相关策略:应启用高严重性警报的电子邮件通知)。

严重性:低

应启用向订阅所有者发送高严重性警报的电子邮件通知

说明:请在 Defender for Cloud 中设置对订阅所有者的高严重性警报的电子邮件通知,以确保在订阅所有者的订阅存在潜在安全漏洞时,向其发出通知。 (相关策略:应启用发送给订阅所有者的高严重性警报的电子邮件通知)。

严重性:中等

应为 MySQL 数据库服务器启用“强制 SSL 连接”

说明:Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 (相关策略:应为 MySQL 数据库服务器启用强制执行 SSL 连接)。

严重性:中等

应为 PostgreSQL 数据库服务器启用“强制 SSL 连接”

说明:Azure Database for PostgreSQL 支持使用安全套接字层 (SSL) 将 Azure Database for PostgreSQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 (相关策略:应为 PostgreSQL 数据库服务器启用强制执行 SSL 连接)。

严重性:中等

函数应用应已解决漏洞发现结果

说明:函数运行时漏洞扫描会扫描函数应用是否存在安全漏洞,并公开详细的发现。 修复这些漏洞可以极大地改善无服务器应用程序的安全状况,并保护其不受攻击影响。 (无相关策略)

严重性:高

应为 Azure Database for MariaDB 启用异地冗余备份

说明:通过 Azure Database for MariaDB,可以为数据库服务器选择冗余选项。 它可设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可复制到配对区域,以在发生区域故障时提供恢复选项。 只能在创建服务器时为备份配置异地冗余存储。 (相关策略:应为 Azure Database for MariaDB 启用异地冗余备份)。

严重性:低

应为 Azure Database for MySQL 启用异地冗余备份

说明:通过 Azure Database for MySQL,可以为数据库服务器选择冗余选项。 它可设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可复制到配对区域,以在发生区域故障时提供恢复选项。 只能在创建服务器时为备份配置异地冗余存储。 (相关策略:应为 Azure Database for MySQL 启用异地冗余备份)。

严重性:低

应为 Azure Database for PostgreSQL 启用异地冗余备份

说明:通过 Azure Database for PostgreSQL,可以为数据库服务器选择冗余选项。 它可设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可复制到配对区域,以在发生区域故障时提供恢复选项。 只能在创建服务器时为备份配置异地冗余存储。 (相关策略:应为 Azure Database for PostgreSQL 启用异地冗余备份)。

严重性:低

GitHub 存储库应启用代码扫描

说明:GitHub 使用代码扫描分析代码,以便查找代码中的安全漏洞和错误。 代码扫描可用于查找、会审和优先排列代码中现有问题的修复。 代码扫描还可防止开发人员引入新问题。 扫描可安排在特定的日期和时间,也可以在存储库中发生特定事件(例如推送)时触发。 如果代码扫描发现代码中的潜在漏洞或错误,GitHub 会在存储库中显示警报。 漏洞是项目代码中的问题,可能被人利用来损害项目的机密性、完整性或可用性。 (无相关策略)

严重性:中等

GitHub 存储库应启用 Dependabot 扫描

说明:GitHub 在检测到影响存储库的代码依赖项中的漏洞时发送 Dependabot 警报。 漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。 代码依赖于具有安全性漏洞的包时,这种易受攻击的依赖项会导致一系列问题。 (无相关策略)

严重性:中等

GitHub 存储库应启用机密扫描

说明:GitHub 扫描存储库中已知类型的机密,以防止对意外提交到存储库的机密的欺诈性使用。 机密扫描将扫描 GitHub 存储库中存在的所有分支上的整个 Git 历史记录,以查找任何机密。 机密的示例包括服务提供程序为进行身份验证而颁发的令牌和私钥。 如果将机密签入存储库,任何对存储库具有读取权限的人都可以使用该机密和这些权限访问外部服务。 机密应存储在项目存储库外部的专用、安全位置。 (无相关策略)

严重性:高

应启用适用于 Azure SQL 数据库服务器的 Microsoft Defender

说明:Microsoft Defender for SQL 是提供高级 SQL 安全功能的统一包。 它包括以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对数据库产生威胁的异常活动以及发现敏感数据并对其进行分类。 重要说明:按 Defender 计划页中所示对此计划的防护进行收费。 如果此订阅中没有任何 Azure SQL Database 服务器,则无需付费。 如果以后在此订阅上创建 Azure SQL 数据库服务器,则这些服务器将自动受到保护,并开始计费。 详细了解各区域的定价详细信息。 有关详细信息,请参阅 Microsoft Defender for SQL 简介。 (相关策略:应启用用于 Azure SQL 数据库服务器的 Azure Defender)。

严重性:高

应启用适用于 DNS 的 Microsoft Defender

说明:Microsoft Defender for DNS 通过持续监视所有来自 Azure 资源的 DNS 查询,为云资源额外提供保护层。 Defender for DNS 会向你发出有关 DNS 层的可疑活动的警报。 有关详细信息,请参阅 Microsoft Defender for DNS 简介。 启用此 Defender 计划会产生费用。 了解 Defender for Cloud 定价页上每个区域的定价详细信息:Defender for Cloud 定价。 (无相关策略)

严重性:高

应启用适用于开源关系数据库的 Microsoft Defender

说明:适用于开源关系数据库的 Microsoft Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 有关详细信息,请参阅适用于开源关系数据库的 Microsoft Defender 简介

重要提示:启用此计划将产生保护开源关系数据库的费用。 如果在此订阅中没有任何开源关系数据库,则不会产生任何费用。 如果以后在此订阅中创建任何开源关系数据库,它们将自动受到保护,并从该时间点开始计费。 (无相关策略)

严重性:高

应启用适用于资源管理器的 Microsoft Defender

说明:适用于资源管理器的 Microsoft Defender 会自动监视组织中的资源管理操作。 Defender for Cloud 会检测威胁,并向你发出有关可疑活动的警报。 有关详细信息,请参阅适用于资源管理器的 Microsoft Defender 简介。 启用此 Defender 计划会产生费用。 了解 Defender for Cloud 定价页上每个区域的定价详细信息:Defender for Cloud 定价。 (无相关策略)

严重性:高

应在工作区中的计算机上启用 Microsoft Defender for SQL

说明:适用于服务器的 Microsoft Defender 带来了适用于 Windows 和 Linux 计算机的威胁检测和高级防护功能。 如果订阅上启用了此 Defender 计划,但工作区上未启用,则需要为适用于服务器的 Microsoft Defender 的全部功能付费,但会错过某些权益。 在工作区上启用了适用于服务器的 Microsoft Defender 时,向该工作区报告的所有计算机都将为适用于服务器的 Microsoft Defender 付费,即使它们位于未启用 Defender 计划的订阅中。 除非还在订阅上启用了适用于服务器的 Microsoft Defender,否则这些计算机将无法利用实时 VM 访问、自适应应用程序控制和 Azure 资源的网络检测。 有关详细信息,请参阅适用于服务器的 Microsoft Defender 简介。 (无相关策略)

严重性:中等

应启用适用于计算机上的 SQL Server 的 Microsoft Defender

说明:Microsoft Defender for SQL 是提供高级 SQL 安全功能的统一包。 它包括以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对数据库产生威胁的异常活动以及发现敏感数据并对其进行分类。

重要说明:修正此建议将对计算机上的 SQL Server 产生保护费用。 如果此订阅中没有任何计算机 SQL Server,则不会产生任何费用。 如果以后在此订阅中创建任何计算机上的 SQL Server,它们将自动受到保护,并从该时间点开始计费。 详细了解适用于计算机上的 SQL 服务器的 Microsoft Defender。 (相关策略:应启用计算机上用于 SQL Server 的 Azure Defender)。

严重性:高

应为未受保护的 Azure SQL 服务器启用 Microsoft Defender for SQL

说明:Microsoft Defender for SQL 是提供高级 SQL 安全功能的统一包。 它可呈现和减少潜在数据库漏洞,以及检测可能表明数据库有威胁的异常活动。 Microsoft Defender for SQL 按各区域的定价详细信息所示计费。 (相关策略:应在 SQL Server 上启用高级数据安全)。

严重性:高

应为未受保护的 SQL 托管实例启用 Microsoft Defender for SQL

说明:Microsoft Defender for SQL 是提供高级 SQL 安全功能的统一包。 它可呈现和减少潜在数据库漏洞,以及检测可能表明数据库有威胁的异常活动。 Microsoft Defender for SQL 按各区域的定价详细信息所示计费。 (相关策略:应在 SQL 托管实例上启用高级数据安全)。

严重性:高

应启用网络观察程序

说明:网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 利用方案级监视,你可以在端到端网络级别视图中诊断问题。 借助网络观察程序随附的网络诊断和可视化工具,可以了解、诊断和洞察 Azure 中的网络。 (相关策略:应启用网络观察程序)。

严重性:低

应调查订阅中的过度预配标识,以减少权限蠕变指数 (PCI)

说明:应调查订阅中的过度预配标识,以减少权限蠕变索引 (PCI),并保护基础结构。 通过移除未使用的高风险权限分配来减少 PCI。 高 PCI 反映了与具有超出正常或所需使用权限的标识相关的风险(无相关策略)。

严重性:中等

应启用 Azure SQL 数据库上的专用终结点连接

说明:专用终结点连接通过启用到 Azure SQL 数据库的专用连接来加强安全通信。 (相关策略:应启用 Azure SQL 数据库上的专用终结点连接)。

严重性:中等

应为 MariaDB 服务器启用专用终结点

说明:专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 (相关策略:应为 MariaDB 服务器启用专用终结点)。

严重性:中等

应为 MySQL 服务器启用专用终结点

说明:专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 (相关策略:应为 MySQL 服务器启用专用终结点)。

严重性:中等

应为 PostgreSQL 服务器启用专用终结点

说明:专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 (相关策略:应为 PostgreSQL 服务器启用专用终结点)。

严重性:中等

应禁用 Azure SQL 数据库上的公用网络访问

说明:禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 (相关策略:应禁用 Azure SQL 数据库上的公用网络访问)。

严重性:中等

应为认知服务帐户禁用公用网络访问

说明:此策略审核启用了公用网络访问的环境中的任何认知服务帐户。 应禁用公用网络访问,仅允许来自专用终结点的连接。 (相关策略:应为认知服务帐户禁用公用网络访问)。

严重性:中等

应为 MariaDB 服务器禁用公用网络访问

说明:禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 (相关策略:应为 MariaDB 服务器禁用公用网络访问)。

严重性:中等

应为 MySQL 服务器禁用公用网络访问

说明:禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 (相关策略:应为 MySQL 服务器禁用公用网络访问)。

严重性:中等

应为 PostgreSQL 服务器禁用公用网络访问

说明:禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 (相关策略:应为 PostgreSQL 服务器禁用公用网络访问)。

严重性:中等

Redis Cache 应仅允许通过 SSL 访问

说明:仅启用通过 SSL 来与 Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击。 (相关策略:应只启用与 Azure Cache for Redis 的安全连接)。

严重性:高

SQL 数据库应已解决漏洞结果

说明:SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 了解详细信息(相关策略:应修正 SQL 数据库上的漏洞)。

严重性:高

SQL 托管实例应配置了漏洞评估

说明:漏洞评估可发现、跟踪和帮助修正潜在数据库漏洞。 (相关策略:应在 SQL 托管实例上启用漏洞评估)。

严重性:高

计算机上的 SQL Server 应已解决漏洞结果

说明:SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 了解详细信息(相关策略:应修正计算机上 SQL 数据库上的漏洞)。

严重性:高

应为 SQL Server 预配 Azure Active Directory 管理员

说明:为 SQL Server 预配 Azure AD 管理员,以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理。 (相关策略:应为 SQL Server 预配 Azure Active Directory 管理员)。

严重性:高

SQL 服务器应配置了漏洞评估

说明:漏洞评估可发现、跟踪和帮助修正潜在数据库漏洞。 (相关策略:应在 SQL Server 上启用漏洞评估)。

严重性:高

说明:专用链接通过向存储帐户提供专用连接来强制安全通信(相关策略:存储帐户应使用专用链接连接)。

严重性:中等

存储帐户应迁移到新的 Azure 资源管理器资源

说明:若要充分利用 Azure 资源管理器中的新功能,可将现有部署从经典部署模型中迁移出来。 资源管理器启用安全增强功能,例如:更强的访问控制 (RBAC)、更好的审核、基于 ARM 的部署和治理、托管标识访问权限、用于提供机密的密钥保管库的访问权限、基于 Azure AD 的身份验证以及可实现更轻松安全管理的标记和资源组支持。 了解详细信息(相关策略:应将存储帐户迁移到新的 Azure 资源管理器资源)。

严重性:低

存储帐户应使用虚拟网络规则来限制网络访问

说明:使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 (相关策略:存储帐户应使用虚拟网络规则来限制网络访问)。

严重性:中等

订阅应有一个联系人电子邮件地址,用于接收安全问题通知

说明:请在 Defender for Cloud 中设置一个用于接收电子邮件通知的安全联系人,以确保在其中一个订阅存在潜在安全漏洞时,组织中的相关人员会收到通知。 (相关策略:订阅应有一个联系人电子邮件地址,用于接收安全问题通知

严重性:低

应在 SQL 数据库上启用透明数据加密

说明:启用透明数据加密来保护静态数据,并满足合规性要求(相关策略:应启用 SQL 数据库上的透明数据加密)。

严重性:低

说明:审核没有配置虚拟网络的 VM 映像生成器模板。 当没有配置虚拟网络时,就会改为创建并使用公共 IP,这样可能会直接向 Internet 公开资源,并扩大潜在攻击面。 (相关策略:VM 映像生成器模板应使用专用链接)。

严重性:中等

应为应用程序网关启用 Web 应用程序防火墙 (WAF)

说明:将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 (相关策略:应为应用程序网关启用 Web 应用程序防火墙 (WAF))。

严重性:低

应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF)

说明:将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 (相关策略:应为 Azure Front Door 服务启用 Web 应用程序防火墙 (WAF)

严重性:低

说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到认知服务将减少数据泄露的可能性。 详细了解专用链接。 (相关策略:认知服务应使用专用链接)。

严重性:中等

Azure Cosmos DB 应禁用公用网络访问

说明:禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可限制 Cosmos DB 帐户公开。 了解详细信息。 (相关策略:Azure Cosmos DB 应禁用公用网络访问)。

严重性:中等

说明:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Cosmos DB 帐户,可以降低数据泄露风险。 详细了解专用链接。 (相关策略:Cosmos DB 帐户应使用专用链接)。

严重性:中等

Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本

说明:将 TLS 版本设置为 1.2 或更高版本可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure SQL 数据库,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 (相关策略:Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本)。

严重性:中等

Azure SQL 托管实例应禁用公用网络访问

说明:在 Azure SQL 托管实例上禁用公用网络访问(公共终结点)可确保只能从其虚拟网络内部或专用终结点访问这些实例,以提高安全性。 详细了解公用网络访问权限。 (相关策略:Azure SQL 托管实例应禁用公用网络访问)。

严重性:中等

存储帐户应阻止共享密钥访问

说明:审核 Azure Active Directory (Azure AD) 的要求,以授权对存储帐户的请求。 默认情况下,可以使用 Azure Active Directory 凭据对请求进行授权,或使用帐户访问密钥对其进行共享密钥授权。 在这两种类型的授权中,与共享密钥相比,Azure AD 提供更高级别的安全性和易用性,是 Microsoft 推荐的授权方法。 (相关策略:策略

严重性:中等

标识和访问建议

最多只能为订阅指定 3 个所有者

说明:为了减少被入侵的所有者帐户泄露的可能性,我们建议将所有者帐户数限制为最多 3 个(相关策略:最多应为订阅指定 3 个所有者)。

严重性:高

对 Azure 资源拥有所有者权限的帐户应启用 MFA

说明:如果只使用密码来对用户进行身份验证,则意味着打开了一条攻击途径。 用户经常对多个服务使用弱密码。 通过启用多重身份验证 (MFA),可以为帐户提供更高的安全性,同时仍然允许用户通过单一登录 (SSO) 在几乎所有应用程序进行身份验证。 多重身份验证是一种在登录期间提示用户提供另一种形式的标识的过程。 例如,可能会将代码发送到其手机,或者可能要求他们进行指纹扫描。 建议为对 Azure 资源具有所有者权限的所有帐户启用 MFA,以防止违规和攻击。 此处提供了更多详细信息和常见问题解答:管理订阅上的多重身份验证 (MFA) 实施(无相关策略)。

严重性:高

对 Azure 资源拥有读取权限的帐户应启用 MFA

说明:如果只使用密码来对用户进行身份验证,则意味着打开了一条攻击途径。 用户经常对多个服务使用弱密码。 通过启用多重身份验证 (MFA),可以为帐户提供更高的安全性,同时仍然允许用户通过单一登录 (SSO) 在几乎所有应用程序进行身份验证。 多重身份验证是一个在登录期间提示用户提供另一种形式的标识的过程。 例如,可能会将代码发送到其手机,或者可能要求他们进行指纹扫描。 建议为对 Azure 资源具有读取权限的所有帐户启用 MFA,以防止违规和攻击。 此处提供了更多详细信息和常见问题。 (无相关策略)

严重性:高

对 Azure 资源拥有写入权限的帐户应启用 MFA

说明:如果只使用密码来对用户进行身份验证,则意味着打开了一条攻击途径。 用户经常对多个服务使用弱密码。 通过启用多重身份验证 (MFA),可以为帐户提供更高的安全性,同时仍然允许用户通过单一登录 (SSO) 在几乎所有应用程序进行身份验证。 多重身份验证是一个在登录期间提示用户提供另一种形式的标识的过程。 例如,可能会将代码发送到其手机,或者可能要求他们进行指纹扫描。 建议为对 Azure 资源具有写入权限的所有帐户启用 MFA,以防止违规和攻击。 此处提供了更多详细信息和常见问题解答:管理订阅上的多重身份验证 (MFA) 实施(无相关策略)。

严重性:高

Azure Cosmos DB 帐户应使用 Azure Active Directory 作为唯一的身份验证方法

说明:向 Azure 服务进行身份验证的最佳方式是使用基于角色的访问控制 (RBAC)。 通过 RBAC,可以保持最低权限原则,并支持在遭到入侵时能够将撤销权限作为有效响应方法。 可以将 Azure Cosmos DB 帐户配置为强制实施 RBAC 作为唯一的身份验证方法。 配置强制实施时,会拒绝所有其他访问方法(主/辅助密钥和访问令牌)。 (无相关策略)

严重性:中等

应删除对 Azure 资源拥有所有者权限的已封锁帐户

说明:应从 Azure 资源中删除被阻止登录到 Active Directory 的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

应删除对 Azure 资源拥有读取和写入权限的已封锁帐户

说明:应从 Azure 资源中删除被阻止登录到 Active Directory 的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

应从订阅中删除已弃用的帐户

说明:应从订阅中删除已被阻止登录的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除已弃用的帐户)。

严重性:高

应从订阅中删除拥有所有者权限的已弃用帐户

说明:应从订阅中删除已被阻止登录的用户帐户。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有所有者权限的已弃用帐户)。

严重性:高

应启用 Key Vault 的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用密钥保管库中的诊断日志)。

严重性:低

应从订阅中删除拥有所有者权限的外部帐户

说明:应从订阅中删除拥有所有者权限的具有不同域名的帐户(外部帐户)。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有所有者权限的外部帐户)。

严重性:高

应从订阅中删除拥有读取权限的外部帐户

说明:应从订阅中删除拥有读取权限的具有不同域名的帐户(外部账户)。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有读取权限的外部帐户)。

严重性:高

应从订阅中删除拥有写入权限的外部帐户

说明:应从订阅中删除拥有写入权限的具有不同域名的帐户(外部账户)。 这可防止不受监视的访问。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (相关策略:应从订阅中删除具有写入权限的外部帐户)。

严重性:高

应在 Key Vault 上启用防火墙

说明:密钥保管库防火墙可防止未经授权的流量到达密钥保管库,并为机密提供额外的保护。 启用防火墙可确保只有来自允许的网络的流量可以访问密钥保管库。 (相关策略:应在密钥保管库上启用防火墙)。

严重性:中等

应删除对 Azure 资源拥有所有者权限的来宾帐户

说明:应从 Azure 资源中删除已在 Azure Active Directory 租户(不同域名)外部预配的、具有所有者权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

应删除对 Azure 资源拥有读取权限的来宾帐户

说明:应从 Azure 资源中删除已在 Azure Active Directory 租户(不同域名)外部预配的、具有读取权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

应删除对 Azure 资源拥有写入权限的来宾帐户

说明:应从 Azure 资源中删除已在 Azure Active Directory 租户(不同域名)外部预配的、具有写入权限的帐户。 来宾帐户不与企业租户标识使用相同的标准进行管理。 这些帐户可能会成为攻击者的目标,攻击者会设法在不被发现的情况下访问你的数据。 (无相关策略)

严重性:高

Key Vault 密钥应具有到期日期

说明:应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 (相关策略:密钥保管库密钥应具有过期日期)。

严重性:高

Key Vault 机密应具有到期日期

说明:应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 (相关策略:密钥保管库机密应具有到期日期)。

严重性:高

密钥保管库应启用清除保护

说明:恶意删除密钥保管库可能会导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除密钥保管库。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 (相关策略:密钥保管库应启用清除保护)。

严重性:中等

密钥保管库应启用软删除

说明:在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 (相关策略:密钥保管库应启用软删除)。

严重性:高

应在对订阅拥有所有者权限的帐户上启用 MFA

说明:为了防止帐户或资源泄露,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 (相关策略:应在对订阅具有所有者权限的帐户上启用 MFA)。

严重性:高

应在对订阅拥有读取权限的帐户上启用 MFA

说明:为了防止帐户或资源泄露,应为所有拥有读取权限的订阅帐户启用多重身份验证 (MFA)。 (相关策略:应在对订阅具有读取权限的帐户上启用 MFA)。

严重性:高

应在对订阅拥有写入权限的帐户上启用 MFA

说明:为了防止帐户或资源泄露,应为所有拥有写入权限的订阅帐户启用多重身份验证 (MFA)。 (相关策略:应在对订阅具有写入权限的帐户上启用 MFA)。

严重性:高

应为 Key Vault 配置专用终结点

说明:专用链接提供了一种将 Key Vault 连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 专用链接提供深度防御,可防范数据外泄。 (相关策略:应为密钥保管库配置专用终结点)。

严重性:中等

应禁止存储帐户公共访问

说明:对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 (相关策略:应禁止存储帐户公共访问)。

严重性:中等

应向订阅分配多个所有者

说明:指定多个订阅所有者,以实现管理员访问权限冗余。 (相关策略:应为订阅分配多个所有者)。

严重性:高

存储在 Azure Key Vault 中的证书的有效期不得超过 12 个月

说明:请确保证书的有效期不超过 12 个月。 (相关策略:证书应具有指定的最大有效期)。

严重性:中等

Azure 过度预配的标识应仅具有必要的权限(预览版)

说明:过度预配的标识或过度权限标识,不使用其授予的许多权限。 定期正确调整这些标识的权限大小,以减少权限滥用的风险,无论是意外的还是恶意的。 此操作可降低安全事件期间的潜在爆炸半径。

严重性:中等

应删除 Azure 环境中的超级标识(预览版)

说明:超级标识是任何人或工作负荷标识,例如具有管理员权限的用户、服务主体和无服务器函数,并且可以对基础结构中的任何资源执行任何操作。 超级标识的风险非常高,因为任何恶意或意外权限滥用都可能导致灾难性的服务中断、服务降级或数据泄露。 超级标识对云基础结构构成巨大威胁。 太多的超级标识可能会带来过高的风险,并增加违规时的爆炸半径。

严重性:中等

应删除 Azure 环境中未使用的标识(预览版)

说明:非活动标识是在过去 90 天内未对任何基础结构资源执行任何操作的标识。 非活动标识对组织构成重大风险,因为攻击者可以使用这些标识来获取环境中的访问权限和执行任务。

严重性:中等

IoT 建议

默认 IP 筛选策略应为“拒绝”

说明:IP 筛选器配置应定义允许流量的规则,并应默认拒绝其他所有流量(无相关策略)。

严重性:中等

应启用 IoT 中心的诊断日志

说明:启用日志并将其保留长达一年的时间。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的。 (相关策略:应启用 IoT 中心的诊断日志)。

严重性:低

完全相同的身份验证凭据

说明:与多个设备使用的 IoT 中心相同的身份验证凭据。 这可能表示某个非法设备模拟了合法设备。 它还公开了攻击者攻击模拟装置的风险(无相关策略)。

严重性:高

IP 筛选器规则的 IP 范围大

说明:允许 IP 筛选器规则的源 IP 范围太大。 过度宽松的规则可能会将 IoT 中心暴露给恶意行动者(无相关策略)。

严重性:中等

网络建议

应限制对具有防火墙和虚拟网络配置的存储帐户的访问

说明:查看存储帐户防火墙设置中的网络访问设置。 建议配置网络规则,以便只有来自许可网络的应用程序才能访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络或到公共 Internet IP 地址范围的流量授予访问权限。 (相关策略:存储帐户应限制网络访问)。

严重性:低

应限制在与虚拟机关联的网络安全组上使用所有网络端口

说明:Defender for Cloud 已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 (相关策略:应限制在与虚拟机关联的网络安全组上使用所有网络端口)。

严重性:高

应启用 Azure DDoS 防护标准

说明:Defender for Cloud 发现了应用程序网关资源不受 DDoS 保护服务保护的虚拟网络。 这些资源包含公共 IP。 缓解网络容量和协议攻击。 (相关策略:应启用 Azure DDoS 防护标准)。

严重性:中等

面向 Internet 的虚拟机应使用网络安全组进行保护

说明:使用网络安全组 (NSG) 限制对 VM 的访问,以此防范其遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则允许或拒绝来自同一子网内外的其他实例到 VM 的网络流量。 为了使计算机尽可能安全,必须限制 VM 对 Internet 的访问权限,并且应在子网上启用 NSG。 严重性为“高”的 VM 是面向 Internet 的 VM。 (相关策略:面向 Internet 的虚拟机应使用网络安全组进行保护)。

严重性:高

应禁用虚拟机上的 IP 转发

说明:Defender for Cloud 发现在某些虚拟机上已启用 IP 转发。 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 (相关策略:应禁用虚拟机上的 IP 转发)。

严重性:中等

计算机应关闭可能暴露攻击途径的端口

说明:Azure 的使用条款禁止以可能损害、禁用、过度负担或损害任何 Microsoft 服务器或网络的方式使用 Azure 服务。 此建议列出了需要关闭的暴露端口,以确保持续安全。 它还说明了每个端口的潜在威胁。 (无相关策略)

严重性:高

应通过即时网络访问控制来保护虚拟机的管理端口

说明:Defender for Cloud 已确定一些对网络安全组中的管理端口过于宽松的入站规则。 启用实时访问控制,以保护 VM 免受基于 Internet 的暴力攻击。 有关详细信息,请参阅了解实时 (JIT) VM 访问。 (相关策略:应通过即时网络访问控制来保护虚拟机的管理端口)。

严重性:高

应关闭虚拟机上的管理端口

说明:打开远程管理端口会使 VM 暴露在较高级别的基于 Internet 的攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 (相关策略:应关闭虚拟机上的管理端口)。

严重性:中等

应使用网络安全组来保护非面向 Internet 的虚拟机

说明:使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的虚拟机遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则允许或拒绝从其他实例到 VM 的网络流量,无论它们是否位于同一子网中。 请注意,为了使计算机尽可能安全,必须限制 VM 对 Internet 的访问权限,并且应在子网上启用 NSG。 (相关策略:应使用网络安全组来保护非面向 Internet 的虚拟机)。

严重性:低

应启用安全传输到存储帐户

说明:安全传输是强制存储帐户仅接受来自安全连接 (HTTPS) 的请求的选项。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击。 (相关策略:应启用到存储帐户的安全传输)。

严重性:高

子网应与网络安全组关联

说明:使用网络安全组 (NSG) 限制对子网的访问,以此防范其遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 当 NSG 与子网关联时,ACL 规则适用于该子网中的所有 VM 实例和集成服务,但不适用于子网内的内部流量。 若要确保同一子网中的资源彼此之间的安全,请直接在资源上启用 NSG。 请注意,以下子网类型将列为不适用:GatewaySubnet、AzureFirewallSubnet、AzureBastionSubnet。 (相关策略:子网应与网络安全组关联)。

严重性:低

虚拟网络应受 Azure 防火墙保护

说明:部分虚拟网络不受防火墙保护。 使用 Azure 防火墙限制虚拟网络的访问权限并防止潜在威胁。 (相关策略:所有 Internet 流量都应通过部署的 Azure 防火墙进行路由)。

严重性:低

API 管理建议

API 管理订阅的范围不应为所有 API

说明和相关策略:API 管理订阅的范围应限定为产品或单个 API,而不是所有 API,后者可能会导致数据过度泄露。

严重性:中等

API 管理对 API 后端的调用不应绕过证书指纹或名称验证

说明和相关策略:API 管理应验证所有 API 调用的后端服务器证书。 启用 SSL 证书指纹和名称验证可提高 API 安全性。

严重性:中等

不应启用 API 管理直接管理终结点

说明和相关策略:Azure API 管理中的直接管理 REST API 绕过 Azure 资源管理器基于角色的访问控制、授权和限制机制,因此会增加服务的漏洞。

严重性:低

API 管理 API 应仅使用加密协议

说明和相关策略:API 应只能通过加密协议(如 HTTPS 或 WSS)使用。 避免使用不安全的协议(如 HTTP 或 WS),以确保传输中数据的安全性。

严重性:高

API 管理机密命名值应存储在 Azure Key Vault 中

说明和相关策略:命名值是每个 API 管理服务中名称和值对的集合。 机密值可以存储为 API 管理中的加密文本(自定义机密),也可以通过引用 Azure 密钥保管库中的机密进行存储。 从 Azure 密钥保管库引用机密命名值,以提高API 管理和机密的安全性。 Azure 密钥保管库支持精细的访问管理和机密轮换策略。

严重性:中等

API 管理应禁用对服务配置终结点的公用网络访问

说明和相关策略:为了提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点或自承载网关配置终结点。

严重性:中等

API 管理最低 API 版本应设置为 2019-12-01 或更高版本

说明和相关策略:若要阻止服务机密与只读用户共享,应将最低 API 版本设置为 2019-12-01 或更高版本。

严重性:中等

API 管理对 API 后端的调用应进行身份验证

说明和相关策略:从 API 管理到后端的调用应使用某种形式的身份验证,无论是通过证书还是凭据。 不适用于 Service Fabric 后端。

严重性:中等

AI 建议

应启用 Azure 机器学习工作区中的资源日志(预览版)

说明和相关策略:资源日志允许重新创建活动线索,以在发生安全事件或网络被入侵时用于调查目的。

严重性:中等

Azure 机器学习工作区应禁用公用网络访问(预览版)

说明和相关策略:禁用公用网络访问可确保机器学习工作区不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅为 Azure 机器学习工作区配置专用终结点

严重性:中等

Azure 机器学习计算应位于虚拟网络中(预览版)

说明和相关策略:Azure 虚拟网络为 Azure 机器学习计算群集和实例以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 为计算配置虚拟网络后,该计算不可公开寻址,并且只能从虚拟网络中的虚拟机和应用程序进行访问。

严重性:中等

Azure 机器学习计算应禁用本地身份验证方法(预览版)

说明和相关策略:禁用本地身份验证方法可确保机器学习计算需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请参阅 Azure 机器学习的 Azure Policy 监管合规性控制

严重性:中等

应重新创建 Azure 机器学习计算实例以获取最新的软件更新(预览版)

说明和相关策略:确保 Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请参阅 Azure 机器学习的漏洞管理

严重性:中等

应启用 Azure Databricks 工作区中的资源日志(预览版)

说明和相关策略:资源日志允许重新创建活动线索,以在发生安全事件或网络被入侵时用于调查目的。

严重性:中等

Azure Databricks 工作区应禁用公用网络访问(预览版)

说明和相关策略:禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用终结点来控制资源的公开。 有关详细信息,请参阅启用 Azure 专用链接

严重性:中等

Azure Databricks 群集应禁用公共 IP(预览版)

说明和相关策略:在 Azure Databricks 工作区中禁用群集的公共 IP 可确保群集不会在公共 Internet 上公开,从而提高安全性。 有关详细信息,请参阅安全群集连接

严重性:中等

Azure Databricks 工作区应位于虚拟网络中(预览版)

说明和相关策略:Azure 虚拟网络为 Azure Databricks 工作区以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 有关详细信息,请参阅在 Azure 虚拟网络中部署 Azure Databricks

严重性:中等

说明和相关策略:通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Databricks 工作区,可以降低数据泄露风险。 有关详细信息,请参阅在 Azure 门户 UI 中创建工作区和专用终结点

严重性:中等

弃用的建议

应限制对应用服务的访问

说明和相关策略:通过更改网络配置来限制对应用服务的访问,以拒绝范围过大的入站流量。 (相关策略:[预览版]:应限制对应用程序服务的访问)。

严重性:高

应强化 IaaS NSG 上 Web 应用的规则

说明和相关策略:强化运行 Web 应用程序的虚拟机的网络安全组 (NSG),以及对于 Web 应用程序端口而言过于宽松的 NSG 规则。 (相关策略:应该强化 IaaS 上 Web 应用程序的 NSG 规则)。

严重性:高

应定义 Pod 安全策略,通过删除不必要的应用程序特权来减少攻击途径。

说明和相关策略:通过删除不必要的应用程序特权,来定义 Pod 安全策略,以减少攻击途径。 建议配置 pod 安全策略,以便 pod 只能访问其有权访问的资源。 (相关策略:[预览]:应在 Kubernetes 服务上定义 Pod 安全策略)。

严重性:中等

安装适用于 IoT 的 Azure 安全中心安全模块,以更深入地了解 IoT 设备

说明和相关策略:安装适用于 IoT 的 Azure 安全中心安全模块,以更深入地了解 IoT 设备。

严重性:低

应重启计算机来应用系统更新

说明和相关策略:重启计算机以应用系统更新,并保护计算机免受漏洞攻击。 (相关策略:应在计算机上安装系统更新)。

严重性:中等

应在计算机上安装监视代理

说明和相关策略:此操作在所选虚拟机上安装监视代理。 选择代理要向其报告的工作区。 (无相关策略)

严重性:高

应将 Java 更新为 Web 应用的最新版本

说明和相关策略:我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Java 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 Web 应用一部分的 Java 版本是最新的)。

严重性:中等

应将 Python 更新为函数应用的最新版本

说明和相关策略:我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 Web 应用一部分的 Python 版本是最新的)。

严重性:中等

应将 Python 更新为 Web 应用的最新版本

说明和相关策略:我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Python 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 Web 应用一部分的“Python 版本”是最新的)。

严重性:中等

应将 Java 更新为函数应用的最新版本

说明和相关策略:我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作函数应用一部分的“Java 版本”是最新的)。

严重性:中等

应将 PHP 更新为 Web 应用的最新版本

说明和相关策略:我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 PHP 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 Web 应用一部分的“PHP 版本”是最新的)。

严重性:中等