category
此安全基线将Microsoft云安全基准1.0版的指导应用于Batch。Microsoft云安全基准提供了如何在Azure上保护云解决方案的建议。内容按照Microsoft云安全基准和适用于Batch的相关指南定义的安全控制进行分组。
您可以使用Microsoft Defender for Cloud监视此安全基线及其建议。Azure策略定义将列在Microsoft Defender for Cloud门户页面的法规遵从性部分。
当一个功能具有相关的Azure策略定义时,它们会在此基线中列出,以帮助您衡量对Microsoft云安全基准控制和建议的合规性。某些建议可能需要付费的Microsoft Defender计划来启用某些安全场景。
注:
不适用于Batch的功能已被排除。要查看Batch如何完全映射到Microsoft云安全基准,请参阅完整的Batch安全基准映射文件。
安全配置文件
安全配置文件总结了Batch的高影响行为,这可能会导致安全考虑的增加。
| Service Behavior Attribute | Value |
|---|---|
| Product Category | Compute |
| Customer can access HOST / OS | Read Only |
| Service can be deployed into customer's virtual network | True |
| Stores customer content at rest | False |
网络安全
有关更多信息,请参阅Microsoft云安全基准:网络安全。
NS-1:建立网络分段边界
特征
虚拟网络集成
描述:服务支持部署到客户的专用虚拟网络(ExpressRoute)中。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:在虚拟网络中部署Azure批处理池。考虑在没有公共IP地址的情况下配置池,以限制对专用网络中节点的访问,并降低节点从互联网上的可发现性。
参考:在虚拟网络中创建Azure批处理池
网络安全组支持
描述:服务网络流量遵守其子网上的网络安全组规则分配。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | True | Microsoft |
功能说明:默认情况下,Batch会在连接到计算节点的网络接口(NIC)级别添加网络安全组(NSG)。
配置指南:不需要额外的配置,因为这是在默认部署上启用的。
参考:在虚拟网络中创建Azure批处理池
NS-2:具有网络控制的安全云服务
特征
Azure专用链接
描述:用于过滤网络流量的服务本机IP过滤功能(不要与NSG或Azure防火墙混淆)。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:为Azure Batch帐户部署私有端点。这限制了批处理帐户对其所在的虚拟网络或任何对等虚拟网络的访问。
参考:使用Azure Batch帐户的私有端点
禁用公共网络访问
描述:服务支持通过使用服务级别IP ACL过滤规则(不是NSG或Azure防火墙)或使用“禁用公共网络访问”切换开关来禁用公共网络接入。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:通过将“公共网络访问”设置设置为禁用,禁用对批处理帐户的公共网络访问。
参考:禁用公共网络访问
身份管理
有关更多信息,请参阅Microsoft云安全基准:身份管理。
IM-1:使用集中式身份验证系统
特征
数据平面访问需要Azure AD身份验证
说明:服务支持使用Azure AD身份验证进行数据平面访问。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:使用Azure Active Directory(Azure AD)作为默认身份验证方法来控制数据平面访问,而不是使用共享密钥。
参考:使用Azure AD进行身份验证
数据平面访问的本地认证方法
描述:数据平面访问支持的本地身份验证方法,如本地用户名和密码。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
功能说明:避免使用本地身份验证方法或帐户,应尽可能禁用这些方法或帐户。尽可能使用Azure AD进行身份验证。
配置指南:限制使用本地身份验证方法访问数据平面。相反,使用Azure Active Directory(Azure AD)作为默认身份验证方法来控制您的数据平面访问。
参考:通过共享密钥进行身份验证
IM-3:安全自动地管理应用程序身份
特征
托管的身份
说明:数据平面操作支持使用托管身份进行身份验证。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Shared |
配置指南:尽可能使用Azure托管身份而不是服务主体,这些身份可以对支持Azure Active Directory(Azure AD)身份验证的Azure服务和资源进行身份验证。托管身份凭据由平台完全管理、轮换和保护,避免了源代码或配置文件中的硬编码凭据。
参考:在批处理池中配置托管标识
服务主体
说明:数据平面支持使用服务主体进行身份验证。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
附加指南:要对无人值守运行的应用程序进行身份验证,您可以使用服务主体。注册应用程序后,在Azure门户中为服务主体进行适当的配置,例如为应用程序请求密钥和分配Azure RBAC角色。
参考:使用Azure Active Directory对批处理服务解决方案进行身份验证
IM-7:根据条件限制资源访问
特征
数据平面的条件接收
说明:可以使用Azure AD条件访问策略控制数据平面访问。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
IM-8:限制证书和秘密的暴露
特征
Azure密钥库中的服务凭据和密钥支持集成和存储
说明:数据平面支持本地使用Azure密钥库进行凭据和机密存储。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
特权访问
有关更多信息,请参阅Microsoft云安全基准:特权访问。
PA-7:遵循适度管理(最小特权)原则
特征
Azure RBAC数据平面
说明:Azure基于角色的访问控制(Azure RBAC)可用于管理对服务数据平面操作的访问。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:使用Azure基于角色的访问控制(Azure RBAC)通过内置角色分配来管理Azure资源访问。Azure Batch支持Azure RBAC来管理对以下资源类型的访问:帐户、作业、任务和池。
参考:将Azure RBAC分配给您的应用程序
数据保护
有关更多信息,请参阅Microsoft云安全基准:数据保护。
DP-2:监控针对敏感数据的异常和威胁
特征
数据泄露/丢失预防
描述:服务支持DLP解决方案,以监控敏感数据移动(在客户内容中)。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
DP-3:加密传输中的敏感数据
特征
数据传输加密
说明:服务支持数据平面的数据传输加密。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | True | Microsoft |
配置指南:不需要额外的配置,因为这是在默认部署上启用的。
DP-4:默认启用静态数据加密
特征
使用平台密钥的静态数据加密
说明:支持使用平台密钥对静态数据进行加密,任何静态客户内容都使用这些Microsoft管理的密钥进行加密。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | True | Microsoft |
功能说明:Batch API中指定的一些信息,如帐户证书、作业和任务元数据以及任务命令行,在由Batch服务存储时会自动加密。默认情况下,此数据使用每个Batch帐户独有的Azure Batch平台管理密钥进行加密。
您还可以使用客户管理的密钥加密此数据。Azure密钥库用于生成和存储密钥,密钥标识符已注册到您的批处理帐户。
配置指南:不需要额外的配置,因为这是在默认部署上启用的。
DP-5:需要时在静态数据加密中使用客户管理的密钥选项
特征
使用CMK的静态数据加密
描述:服务存储的客户内容支持使用客户管理的密钥进行静态数据加密。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:如果法规遵从性要求,请定义需要使用客户管理密钥进行加密的用例和服务范围。使用客户管理的密钥为这些服务启用和实施静态数据加密。
参考:配置客户管理的密钥
DP-6:使用安全密钥管理过程
特征
Azure密钥库中的密钥管理
描述:该服务支持任何客户密钥、机密或证书的Azure密钥库集成。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Shared |
配置指南:使用Azure密钥库创建和控制加密密钥的生命周期,包括密钥生成、分发和存储。根据定义的计划或密钥退役或妥协时,在Azure密钥库和服务中轮换和撤销密钥。当需要在工作负载、服务或应用程序级别使用客户管理密钥(CMK)时,请确保遵循密钥管理的最佳实践:使用密钥层次结构在密钥库中使用密钥加密密钥(KEK)生成单独的数据加密密钥(DEK)。确保密钥已在Azure密钥库中注册,并通过服务或应用程序的密钥ID进行引用。如果您需要将自己的密钥(BYOK)带到服务中(例如将HSM保护的密钥从本地HSM导入Azure密钥库),请按照建议的指导方针执行初始密钥生成和密钥传输。
注意:客户必须选择使用客户管理的密钥,否则默认情况下,服务将使用Microsoft管理的平台密钥。
参考:使用Azure密钥库和托管身份为您的Azure批处理帐户配置客户管理的密钥
DP-7:使用安全的证书管理过程
特征
Azure密钥库中的证书管理
说明:该服务支持任何客户证书的Azure密钥库集成。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Shared |
配置指南:使用Azure密钥库创建和控制证书生命周期,包括创建、导入、轮换、吊销、存储和清除证书。确保证书生成遵循定义的标准,而不使用任何不安全的属性,例如:密钥大小不足、有效期过长、加密不安全。根据定义的计划或证书过期时,在Azure密钥库和Azure服务(如果支持)中设置证书的自动轮换。如果应用程序中不支持自动旋转,请确保它们仍然使用Azure密钥库和应用程序中的手动方法进行旋转。
参考:使用证书并使用Batch安全访问Azure密钥库
资产管理
有关更多信息,请参阅Microsoft云安全基准:资产管理。
AM-2:仅使用经批准的服务
特征
Azure策略支持
说明:可以通过Azure策略监视和执行服务配置。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:使用Microsoft Defender for Cloud配置Azure策略,以审核和执行Azure资源的配置。当在资源上检测到配置偏差时,使用Azure Monitor创建警报。使用Azure策略[拒绝]和[部署(如果不存在)]效果跨Azure资源强制执行安全配置。
对于不存在内置策略定义的任何场景,您可以使用“Microsoft.Batch”命名空间中的Azure策略别名来创建自定义策略。
参考:Azure批处理的Azure策略内置定义
AM-5:仅在虚拟机中使用经批准的应用程序
特征
Microsoft云卫士-自适应应用程序控制
描述:服务可以使用Microsoft Defender for Cloud中的自适应应用程序控件限制客户应用程序在虚拟机上运行的内容。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
日志记录和威胁检测
有关更多信息,请参阅Microsoft云安全基准:日志记录和威胁检测。
LT-1:启用威胁检测功能
特征
Microsoft Defender服务/产品提供
说明:该服务提供了一个特定于Microsoft Defender的解决方案,用于监控安全问题并发出警报。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
LT-4:启用安全调查日志记录
特征
Azure资源日志
描述:服务生成资源日志,这些日志可以提供增强的服务特定指标和日志记录。客户可以配置这些资源日志,并将其发送到自己的数据接收器,如存储帐户或日志分析工作区。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Customer |
配置指南:为Azure Batch启用以下日志类型的Azure资源日志:ServiceLog和AllMetrics。
参考:用于诊断评估和监控的批处理指标、警报和日志
姿态和脆弱性管理
有关更多信息,请参阅Microsoft云安全基准:姿态和漏洞管理。
PV-3:定义和建立计算资源的安全配置
特征
Azure自动化状态配置
说明:Azure自动化状态配置可用于维护操作系统的安全配置。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
Azure策略来宾配置代理
说明:Azure Policy来宾配置代理可以作为计算资源的扩展进行安装或部署。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
自定义VM映像
描述:服务支持使用用户提供的VM映像或来自市场的预构建映像,并预先应用某些基线配置。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Shared |
配置指南:如果可能,请使用来自可信供应商(如Microsoft)的预配置强化映像,或在VM映像模板中构建所需的安全配置基线。
客户还可以为Azure Batch使用自定义操作系统映像。在为Azure Batch使用虚拟机配置时,请确保自定义映像已根据组织的需求进行了强化。对于生命周期管理,池将图像存储在共享图像库中。您可以使用Azure自动化工具(如Azure image Builder)设置安全的映像构建过程。
参考:使用托管映像创建自定义映像池
自定义容器图像
描述:服务支持使用用户提供的容器映像或来自市场的预构建映像,并预先应用某些基线配置。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| True | False | Shared |
配置指南:如果使用批处理池在节点上的Docker兼容容器中运行任务,请使用来自可信供应商(如Microsoft)的预配置硬化容器映像,或在容器映像模板中构建所需的安全配置基线。
参考:在Azure Batch上运行容器应用程序
PV-5:执行漏洞评估
特征
使用Microsoft Defender进行漏洞评估
说明:可以使用Microsoft Defender for Cloud或其他嵌入漏洞评估功能的Microsoft Defender服务(包括用于服务器、容器注册表、应用程序服务、SQL和DNS的Microsoft Defender)对服务进行漏洞扫描。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
PV-6:快速自动修复漏洞
特征
Azure自动化更新管理
说明:服务可以使用Azure自动化更新管理自动部署补丁和更新。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
端点安全
有关更多信息,请参阅Microsoft云安全基准:端点安全。
ES-1:使用端点检测和响应(EDR)
特征
EDR解决方案
说明:端点检测和响应(EDR)功能,如服务器的Azure Defender,可以部署到端点中。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
ES-2:使用现代反恶意软件
特征
反恶意软件解决方案
说明:可以在端点上部署Microsoft Defender Antivirus、Microsoft Defender for Endpoint等反恶意软件功能。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
ES-3:确保反恶意软件和签名已更新
特征
反恶意软件解决方案健康监控
说明:反恶意软件解决方案为平台、引擎和自动签名更新提供健康状态监控。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
备份和恢复
有关更多信息,请参阅Microsoft云安全基准:备份和恢复。
BR-1:确保定期自动备份
特征
Azure备份
说明:该服务可以由Azure备份服务进行备份。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
服务本机备份功能
说明:服务支持自己的本机备份功能(如果不使用Azure backup)。了解更多。
| Supported | Enabled By Default | Configuration Responsibility |
|---|---|---|
| False | Not Applicable | Not Applicable |
配置指南:不支持此功能来保护此服务。
下一步
- See the Microsoft cloud security benchmark overview
- Learn more about Azure security baselines
- 登录 发表评论
- 4 次浏览
Tags
最新内容
- 1 day 21 hours ago
- 1 day 21 hours ago
- 1 day 21 hours ago
- 1 day 21 hours ago
- 2 days 22 hours ago
- 2 days 22 hours ago
- 2 days 22 hours ago
- 2 days 22 hours ago
- 2 days 22 hours ago
- 2 days 22 hours ago