Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Batch. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen op Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de bijbehorende richtlijnen die van toepassing zijn op Batch.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Opmerking
Functies die niet van toepassing zijn op Batch, zijn uitgesloten. Zie het volledige Batch-beveiligingsbasislijntoewijzingsbestand om te zien hoe Batch volledig is afgestemd op de Microsoft-cloudbeveiligingsbenchmark.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van Batch, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Gedragskenmerk van de service | Waarde |
|---|---|
| Productcategorie | Compute |
| Klanten kunnen toegang krijgen tot HOST/OS. | Alleen lezen |
| Service kan worden geïmplementeerd in de Virtual Network van de klant | Klopt |
| Slaat klantgegevens in rust op | Onwaar |
Netwerkbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Features
integratie van Virtual Network
Description: Service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: Implementeer Azure Batch-pools binnen een virtueel netwerk. Overweeg de pool in te richten zonder openbare IP-adressen om access te beperken tot knooppunten in het privénetwerk en om de detectie van de knooppunten via internet te verminderen.
Referentie: Maak een Azure Batch-pool in een virtueel netwerk
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels door netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Opmerkingen bij functies: Batch voegt standaard netwerkbeveiligingsgroepen (NSG's) toe op het niveau van netwerkinterfaces (NIC) dat is gekoppeld aan rekenknooppunten.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Referentie: Maak een Azure Batch-pool in een virtueel netwerk
NS-2: Cloud services beveiligen met netwerkbesturingselementen
Features
Azure Private Link
Description: Systeemeigen IP-filtermogelijkheden van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: Implementeer privé-eindpunten voor Azure Batch-accounts. Dit beperkt de toegang tot de Batch-accounts tot het virtuele netwerk waar ze zich bevinden of tot een aangesloten virtueel netwerk.
Referentie: Privé-eindpunten gebruiken met Azure Batch-accounts
Openbare netwerktoegang uitschakelen
Description: Service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via IP-filterregel op serviceniveau (niet NSG of Azure Firewall) of met de wisselknop Openbare netwerkte toegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuration Guidance: Schakel openbare netwerktoegang tot Batch-accounts uit door de instelling 'Openbare netwerktoegang' op uitgeschakeld te zetten.
Referentie: Openbare netwerktoegang uitschakelen
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identiteitsbeheer voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Features
Azure AD-verificatie vereist voor gegevensvlaktoegang
Description: Service ondersteunt het gebruik van Azure AD-verificatie voor gegevensvlak-access. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuration Guidance: Gebruik Azure Active Directory (Azure AD) als standaardverificatiemethode om uw gegevensvlak access te beheren in plaats van gedeelde sleutels te gebruiken.
Referentie: Authenticeren met Azure AD
Lokale verificatiemethoden voor toegang tot het gegevensvlak
Description: Methoden voor lokale authenticatiemechanismen die worden ondersteund voor gegevensvlakken toegang, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuration Guidance: Beperk het gebruik van lokale verificatiemethoden voor gegevensvlak-access. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als standaard authenticatiemethode om uw toegang tot het datavlak te beheren.
Referentie: Authenticatie via gedeelde sleutel
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Features
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Shared |
Configuration Guidance: Gebruik Azure beheerde identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure services en resources die ondersteuning bieden voor Azure Active Directory (Azure AD)-verificatie. Referenties voor beheerde identiteiten worden volledig beheerd, gewisseld en beveiligd door het platform, waardoor hardgecodeerde referenties in broncode of configuratiebestanden worden vermeden.
Referentie: Beheerde identiteiten configureren in Batch pools
Serviceprincipals
Beschrijving: Het datavlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Aanvullende richtlijnen: Als u een toepassing wilt verifiëren die zonder toezicht wordt uitgevoerd, kunt u een service-principal gebruiken. Nadat u uw toepassing hebt geregistreerd, moet u de juiste configuraties uitvoeren in de Azure Portal voor de service-principal, zoals het aanvragen van een geheim voor de toepassing en het toewijzen van Azure RBAC-rollen.
Referentie: Authenticate Batch-serviceoplossingen met Azure Active Directory
IM-7: Resource-access beperken op basis van voorwaarden
Features
Voorwaardelijke toegang voor datavlak
Description: Toegang tot het gegevensvlak kan worden beheerd met Azure AD-voorwaardenbeleid voor toegangsbeheer. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
IM-8: Beperk de blootstelling van inloggegevens en geheimen
Features
Ondersteuning voor servicereferenties en geheimen, en opslag in Azure Key Vault
Description: Data plane ondersteunt native gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Geprivilegieerde toegang
Voor meer informatie zie de Microsoft-cloudbeveiliging benchmark: Privileged access.
PA-7: Volg slechts voldoende beheerprincipe (minimale bevoegdheden)
Features
Azure RBAC voor gegevensvlak
Description: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot acties op het gegevensvlak van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuration Guidance: Gebruik Azure role-based Access Control (Azure RBAC) om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure Batch ondersteunt Azure RBAC voor het beheren van toegang voor deze resourcetypen: Accounts, Taken, Taken en Pools.
Referentie: Ken Azure RBAC toe aan uw applicatie
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Features
Preventie van gegevenslekken/verlies
Beschrijving: De service ondersteunt een DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens binnen de klantinhoud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Features
Versleuteling van gegevens tijdens transport
Beschrijving: De service ondersteunt versleuteling van gegevens tijdens overdracht voor het datavlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Features
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund, alle inhoud van klanten die in rust zijn, wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Klopt | Microsoft |
Functieopmerkingen: Sommige informatie die is opgegeven in Batch-API's, zoals accountcertificaten, taak- en taakmetagegevens en taakopdrachtregels, worden automatisch versleuteld wanneer deze worden opgeslagen door de Batch-service. Deze gegevens worden standaard versleuteld met behulp van Azure Batch door het platform beheerde sleutels die uniek zijn voor elk Batch-account.
U kunt deze gegevens ook versleutelen met door de klant beheerde sleutels. Azure Key Vault wordt gebruikt om de sleutel te genereren en op te slaan, waarbij de sleutel-id is geregistreerd bij uw Batch-account.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Features
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevensversleuteling in rusttoestand met behulp van door de klant beheerde sleutels wordt ondersteund voor klantgegevens die door de service zijn opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratierichtlijnen: definieer indien nodig voor naleving van regelgeving de use case en het servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig zijn. Gegevensversleuteling in rusttoestand inschakelen en implementeren met een door de klant beheerde sleutel voor deze services.
Referentie: Door de klant beheerde sleutels configureren
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Features
Sleutelbeheer in Azure Key Vault
Description: De service ondersteunt Azure Key Vault integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Shared |
Configuration Guidance: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder sleutelgeneratie, distributie en storage. Roteren en herroep uw sleutels in Azure Key Vault en uw service op basis van een gedefinieerd schema, of bij sleutelvervanging of wanneer deze gecompromitteerd raakt. Als u CMK (Door de klant beheerde sleutel) in de workload, service of toepassing moet gebruiken, moet u ervoor zorgen dat u de aanbevolen procedures voor sleutelbeheer volgt: Gebruik een sleutelhiërarchie om een afzonderlijke DEK (Data Encryption Key) te genereren met uw KEK (Key Encryption Key) in uw Key Vault. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) naar de service moet brengen (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Opmerking: de klant moet zich aanmelden om door de klant beheerde sleutels te gebruiken, anders gebruikt de service standaard platformsleutels die worden beheerd door Microsoft.
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Features
Certificaatbeheer in Azure Key Vault
Description: De service ondersteunt Azure Key Vault integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Shared |
Configuration Guidance: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, waaronder het maken, importeren, draaien, intrekken, storage en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Stel automatische rotatie van het certificaat in Azure Key Vault en de Azure-service (indien ondersteund) in op basis van een gedefinieerd schema of wanneer er een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, moet u ervoor zorgen dat deze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.
Referentie: Certificaten gebruiken en veilig toegang verkrijgen tot Azure Key Vault met Batch
Vermogensbeheer
Zie de Microsoft Cloud Security-benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Features
ondersteuning voor Azure Policy
Beschrijving: Dienstconfiguraties kunnen worden bewaakt en afgedwongen met behulp van Azure Policy, een beleidsinstrument van Azure. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Richtlijnen voor configuratie: gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd. Gebruik Azure Policy [weigeren] en [implementeren indien niet aanwezig] effecten om een veilige configuratie af te dwingen voor Azure resources.
Voor scenario's waarin ingebouwde beleidsdefinities niet bestaan, kunt u Azure Policy aliassen in de naamruimte Microsoft.Batch gebruiken om aangepaste beleidsregels te maken.
Referentie: Azure Policy ingebouwde definities voor Azure Batch
AM-5: Alleen goedgekeurde toepassingen gebruiken in virtuele machine
Features
Microsoft Defender voor Cloud - Adaptieve toepassingsregelaars
Description: Service kan beperken welke klanttoepassingen op de virtuele machine worden uitgevoerd met adaptieve toepassingsregelaars in Microsoft Defender voor Cloud. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Loggen en detectie van bedreigingen
Zie de Microsoft-benchmark voor cloudbeveiliging: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Features
Microsoft Defender voor service/productaanbiedingen
Description: Service heeft een aanbiedingsspecifieke Microsoft Defender oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Features
Azure-resource-logboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen datasink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Customer |
Configuratie richtlijnen: Schakel Azure resource logs in voor Azure Batch voor de volgende logtypen: ServiceLog en AllMetrics.
Referentie: Batchmetingen, waarschuwingen en logboeken voor diagnostische evaluatie en monitoring
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft-benchmark voor cloudbeveiliging: Postuur- en beveiligingsproblemenbeheer voor meer informatie.
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
Features
Azure Automation State Configuration
Description: Azure Automation State Configuration kan worden gebruikt om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Azure Policy gastconfiguratieagent
Description: Azure Policy gastconfiguratieagent kan worden geïnstalleerd of geïmplementeerd als een extensie voor rekenresources. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Aangepaste VM-installatiekopieën
Beschrijving: De service ondersteunt het gebruik van door de gebruiker geleverde VM-installatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Shared |
Configuratierichtlijnen: gebruik indien mogelijk een vooraf geconfigureerde beveiligde installatiekopieën van een vertrouwde leverancier, zoals Microsoft, of bouw een gewenste beveiligde configuratiebasislijn in de vm-installatiekopieënsjabloon.
Klanten kunnen ook aangepaste installatiekopieën van besturingssystemen gebruiken voor Azure Batch. Wanneer u de configuratie van de virtuele machine voor uw Azure Batch gebruikt, zorg ervoor dat aangepaste afbeeldingen worden versterkt volgens de behoeften van uw organisatie. Voor levenscyclusbeheer slaan de pools de installatiekopieën op in een gedeelde afbeeldingsgalerij. U kunt een beveiligd image build proces instellen met behulp van Azure-automatiseringshulpprogramma's, zoals Azure Image Builder.
Referentie: Een beheerde installatiekopie gebruiken om een aangepaste installatiekopiegroep te maken
Aangepaste containerafbeeldingen
Beschrijving: Service biedt ondersteuning voor het gebruik van door de gebruiker geleverde containerinstallatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Klopt | Onwaar | Shared |
Configuratierichtlijnen: Als u Batch-pool gebruikt om taken uit te voeren in met Docker compatibele containers op de knooppunten, gebruikt u vooraf geconfigureerde geharde containerinstallatiekopieën van een vertrouwde leverancier, zoals Microsoft, of bouwt u de gewenste beveiligde configuratiebasislijn in de containerinstallatiekopieënsjabloon.
Referentie: Containertoepassingen uitvoeren op Azure Batch
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
Features
Evaluatie van beveiligingsproblemen met behulp van Microsoft Defender
Description: Service kan worden gescand op beveiligingsproblemen met behulp van Microsoft Defender voor Cloud of andere Microsoft Defender-services met ingebouwde mogelijkheden voor kwetsbaarheidsbeoordeling (inclusief Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PV-6: Beveiligingsproblemen snel en automatisch herstellen
Features
updatebeheer Azure Automation
Description: Service kan Azure Automation Updatebeheer gebruiken om patches en updates automatisch te implementeren. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Eindpuntbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Eindpuntbeveiliging voor meer informatie.
ES-1: Eindpuntdetectie en -respons gebruiken (EDR)
Features
EDR-oplossing
Description: EDR-functie (Endpoint Detection and Response), zoals Azure Defender voor servers, kunnen worden geïmplementeerd in het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
ES-2: Moderne antimalwaresoftware gebruiken
Features
Antimalwareoplossing
Description: Antimalwarefunctie, zoals Microsoft Defender Antivirus, Microsoft Defender voor Eindpunt kan worden geïmplementeerd op het eindpunt. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt
Features
Gezondheidsmonitoring van antimalware-oplossing
Beschrijving: Antimalwareoplossing biedt statuscontrole voor platform-, engine- en automatische handtekeningupdates. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Back-up en herstel
Zie de Microsoft-benchmark voor cloudbeveiliging: Back-up en herstel voor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Features
Azure Backup
Description: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Systeemeigen back-up mogelijkheid voor services
Description: Service ondersteunt zijn eigen systeemeigen back-upmogelijkheden (als deze geen Azure Backup gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Meer informatie over Azure beveiligingsbasislijnen