Linha de base de segurança do Azure para o Batch

Essa linha de base de segurança aplica diretrizes do benchmark de segurança em nuvem da Microsoft versão 1.0 ao Batch. O parâmetro de comparação de segurança na nuvem da Microsoft fornece recomendações sobre como você pode proteger suas soluções de nuvem em Azure. O conteúdo é agrupado pelos controles de segurança definidos pelo benchmark de segurança em nuvem da Microsoft e pelas diretrizes relacionadas aplicáveis ao Batch.

Você pode monitorar essa linha de base de segurança e suas recomendações usando Microsoft Defender para Nuvem. Definições do Azure Policy serão listadas na seção Conformidade Regulatória do portal do Microsoft Defender para Nuvem.

Quando um recurso tem definições de Azure Policy relevantes, eles são listados nesta linha de base para ajudá-lo a medir a conformidade com as recomendações e controles de parâmetro de comparação de segurança de nuvem da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para habilitar determinados cenários de segurança.

Perfil de segurança

O perfil de segurança resume os comportamentos de alto impacto do Lote, o que pode resultar em considerações de segurança aumentadas.

Segurança de rede

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: segurança de rede.

NS-1: estabelecer limites de segmentação de rede

Features

Integração de Rede Virtual

Description: o serviço dá suporte à implantação na VNet (Rede Virtual privada) do cliente. Apresa mais.

Configuration Guidance: implantar pools de Lote do Azure em um Rede Virtual. Considere provisionar o pool sem endereços IP públicos para restringir o acesso aos nós na rede privada e reduzir a visibilidade dos nós na internet.

Reference: Criar um pool de Lote do Azure em um Rede Virtual

Suporte a grupos de segurança de rede

Descrição: O tráfego de rede do serviço respeita a atribuição de regras dos grupos de segurança de rede nas sub-redes. Apresa mais.

Notas do recurso: Por padrão, o Batch adiciona NSGs (grupos de segurança de rede) no nível das NICs (interfaces de rede) anexadas aos nós de computação.

Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.

Reference: Criar um pool de Lote do Azure em um Rede Virtual

NS-2: Serviços de nuvem seguros com controles de rede

Features

Link Privado do Azure

Description: funcionalidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (para não ser confundido com NSG ou Firewall do Azure). Apresa mais.

Diretrizes de Configuração: implantar endpoints privados para contas do Lote do Azure. Isso restringe o acesso às contas do Batch à rede virtual em que residem ou a qualquer rede virtual emparelhada.

Reference: Use pontos de extremidade privados com contas Lote do Azure

Desabilitar Access de Rede Pública

Description: o serviço dá suporte à desabilitação de acesso à rede pública usando a regra de filtragem de ACL IP no nível do serviço (não NSG ou Firewall do Azure) ou usando um alternador "Desabilitar acesso à rede pública". Apresa mais.

Configuration Guidance: desabilite o acesso à rede pública para contas Batch definindo a configuração "Acesso à rede pública" como desabilitada.

Referência: Desativar acesso à rede pública

Gerenciamento de identidades

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de identidades.

IM-1: usar um sistema centralizado de identidade e autenticação

Features

Autenticação do Azure AD necessária para acesso ao plano de dados

Description: O serviço dá suporte ao uso da autenticação do Azure AD para acesso ao plano de dados. Apresa mais.

Configuration Guidance: Use o Azure Active Directory (Azure AD) como o método de autenticação padrão para controlar o acesso ao plano de dados em vez de usar Chaves Compartilhadas.

Reference: Authenticate com Azure AD

Métodos de autenticação local para acesso ao plano de dados

Description: Métodos de autenticação local com suporte para acesso ao plano de dados, como um nome de usuário local e senha. Apresa mais.

Notas de recurso: Evite o uso de métodos ou contas de autenticação local, elas devem ser desabilitadas sempre que possível. Em vez disso, use Azure AD para autenticar sempre que possível.

Configuration Guidance: restrinja o uso de métodos de autenticação local para acesso ao plano de dados. Em vez disso, use o Azure Active Directory (Azure AD) como o método de autenticação padrão para controlar o acesso ao plano de dados.

Reference: Authentication via Shared Key

IM-3: gerenciar identidades de aplicativos de maneira segura e automática

Features

Identidades gerenciadas

Descrição: as ações do plano de dados dão suporte à autenticação usando identidades gerenciadas. Apresa mais.

Configuration Guidance: Use as identidades gerenciadas do Azure em vez de entidades de serviço quando possível, que podem se autenticar em serviços e recursos do Azure que oferecem suporte à autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerenciada são totalmente gerenciadas, renovadas automaticamente e protegidas pela plataforma, evitando credenciais codificadas em código-fonte ou arquivos de configuração.

Referência: Configurar identidades gerenciadas em pools de Batch

Entidades de serviço

Descrição: o plano de dados dá suporte à autenticação usando entidades de serviço. Apresa mais.

Diretrizes adicionais: Para autenticar um aplicativo que roda sem supervisão, você pode usar um principal de serviço. Depois de registrar seu aplicativo, faça as configurações apropriadas no portal do Azure para a entidade de serviço, como solicitar uma credencial secreta para o aplicativo e atribuir funções RBAC do Azure.

Reference: autentique soluções de serviço Batch com Azure Active Directory

IM-7: Restringir o acesso a recursos com base em condições.

Features

Acesso condicional para o plano de dados

Descrição: O acesso do plano de dados pode ser controlado usando as Políticas de Acesso Condicional do Azure AD. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

IM-8: Restringir a exposição de credenciais e segredos

Features

Integração e armazenamento de credenciais de serviço e segredos no Azure Key Vault

Description: o plano de dados dá suporte ao uso nativo de Azure Key Vault para armazenamento de credenciais e segredos. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Access com privilégios

Para obter mais informações, consulte o Microsoft cloud security benchmark: Privileged access.

PA-7: Siga o princípio de administração suficiente (privilégio mínimo)

Features

Azure RBAC para Plano de Dados

Description: Azure Role-Based Controle de Acesso (Azure RBAC) pode ser usado para gerenciar o acesso às ações do plano de dados do serviço. Apresa mais.

Configuration Guidance: Use o controle de acesso baseado em função do Azure (Azure RBAC) para gerenciar o acesso aos recursos do Azure por meio de atribuições de funções internas. Lote do Azure dá suporte a Azure RBAC para gerenciar acesso a esses tipos de recursos: Contas, Jobs, Tarefas e Pools.

Reference: Assign Azure RBAC para seu aplicativo

Proteção de dados

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: proteção de dados.

DP-2: Monitorar anomalias e ameaças direcionadas a dados confidenciais

Features

Prevenção de vazamento/perda de dados

Descrição: o serviço dá suporte à solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

DP-3: Criptografar dados confidenciais em trânsito

Features

Criptografia de dados em trânsito

Descrição: o serviço dá suporte à criptografia de dados em trânsito para o plano de dados. Apresa mais.

Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.

DP-4: Habilitar a criptografia de dados em repouso por padrão

Features

Criptografia de dados em repouso usando chaves de plataforma

Descrição: Há suporte para criptografia de dados em repouso usando chaves de plataforma, qualquer conteúdo do cliente em repouso é criptografado com essas chaves gerenciadas da Microsoft. Apresa mais.

Notas de funcionalidade: Algumas das informações especificadas nas APIs Batch, como certificados de conta, metadados de tarefa e comandos de linha de tarefa, são criptografadas automaticamente quando armazenadas pelo serviço Batch. Por padrão, esses dados são criptografados usando chaves gerenciadas pela plataforma Lote do Azure exclusivas para cada conta do Lote do Azure.

Você também pode criptografar esses dados usando chaves gerenciadas pelo cliente. Azure Key Vault é usado para gerar e armazenar a chave, com o identificador de chave registrado com sua conta do Lote.

Diretrizes de configuração: nenhuma configuração adicional é necessária, pois isso está habilitado em uma implantação padrão.

DP-5: usar a opção de chave gerenciada pelo cliente na criptografia de dados em repouso quando necessário

Features

Criptografia de dados em repouso usando o CMK

Descrição: a criptografia de dados em repouso usando chaves gerenciadas pelo cliente tem suporte para o conteúdo do cliente armazenado pelo serviço. Apresa mais.

Diretrizes de configuração: se necessário para conformidade regulatória, defina o caso de uso e o escopo do serviço em que a criptografia que usa chaves gerenciadas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.

Referência: Configurar chaves gerenciadas pelo cliente

DP-6: Use um processo seguro de gerenciamento de chaves

Features

Gerenciamento de chaves no Azure Key Vault

Description: o serviço dá suporte à integração Azure Key Vault para chaves, segredos ou certificados do cliente. Apresa mais.

Configuration Guidance: use Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo geração de chave, distribuição e storage. Rotacione e revogue suas chaves no Azure Key Vault e no seu serviço com base em um agendamento definido ou quando houver uma retirada ou comprometimento de chave. Quando houver a necessidade de usar a CMK (chave gerenciada pelo cliente) na carga de trabalho, no serviço ou no nível do aplicativo, verifique se você segue as práticas recomendadas para o gerenciamento de chaves: use uma hierarquia de chaves para gerar uma DEK (chave de criptografia de dados) separada com sua KEK (chave de criptografia de chave) em seu Key Vault. Verifique se as chaves são registradas com Azure Key Vault e referenciadas por meio de IDs de chave do serviço ou aplicativo. Se você precisar trazer sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM de seus HSMs locais para Azure Key Vault), siga as diretrizes recomendadas para executar a geração inicial de chaves e a transferência de chave.

Observação: o cliente deve optar por usar chaves gerenciadas pelo cliente caso contrário, por padrão, o serviço usará chaves de plataforma gerenciadas pela Microsoft.

Referência: Configure chaves gerenciadas pelo cliente para sua conta Lote do Azure com Azure Key Vault e Identidade Gerenciada

DP-7: usar um processo seguro de gerenciamento de certificados

Features

Gerenciamento de certificados no Azure Key Vault

Description: o serviço dá suporte à integração Azure Key Vault para todos os certificados do cliente. Apresa mais.

Configuration Guidance: Use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo criação, importação, rotação, revogação, armazenamento e limpeza do certificado. Certifique-se de que a geração de certificado siga os padrões definidos sem usar nenhuma propriedade insegura, como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado em Azure Key Vault e no serviço Azure (se houver suporte) com base em um agendamento definido ou quando houver uma expiração de certificado. Se não houver suporte para rotação automática no aplicativo, verifique se eles ainda são girados usando métodos manuais no Azure Key Vault e no aplicativo.

Referência: Use certificados e acesse com segurança o Azure Key Vault com o Batch

Gerenciamento de ativos

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: Gerenciamento de ativos.

AM-2: usar apenas serviços aprovados

Features

Suporte do Azure Policy

Description: as configurações de serviço podem ser monitoradas e impostas por meio de Azure Policy. Apresa mais.

Configuration Guidance: Use o Microsoft Defender para Nuvem para configurar o Azure Policy para auditar e impor configurações dos seus recursos do Azure. Use Azure Monitor para criar alertas quando houver um desvio de configuração detectado nos recursos. Use os efeitos do Azure Policy [recusar] e [implementar se não existir] para garantir uma configuração segura nos recursos do Azure.

Para qualquer cenário em que as definições de política internas não existam, você pode usar Azure Policy aliases no namespace "Microsoft.Batch" para criar políticas personalizadas.

Referência: Definições integradas de Política do Azure para Lote do Azure

AM-5: usar somente aplicativos aprovados na máquina virtual

Features

Microsoft Defender para Nuvem – Controles de aplicativo adaptáveis

Description: o serviço pode limitar quais aplicativos clientes são executados na máquina virtual usando controles de aplicativo adaptáveis em Microsoft Defender para Nuvem. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Registro em log e detecção de ameaças

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: registro em log e detecção de ameaças.

LT-1: habilitar recursos de detecção de ameaças

Features

Microsoft Defender para oferta de serviço/produto

Description: o serviço tem uma solução de Microsoft Defender específica para monitorar e alertar sobre problemas de segurança. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

LT-4: Ativar o registro de logs para investigação de segurança

Features

logs de recursos do Azure

Descrição: o serviço produz logs de recursos que podem fornecer métricas e logs avançados específicos do serviço. O cliente pode configurar esses logs de recursos e enviá-los para seu próprio coletor de dados, como uma conta de armazenamento ou um espaço de trabalho do Log Analytics. Apresa mais.

Configuration Guidance: Habilitar logs de recursos do Azure para Lote do Azure nos seguintes tipos de log: ServiceLog e AllMetrics.

Reference: Batch métricas, alertas e logs para avaliação e monitoramento de diagnóstico

Gerenciamento de posturas e vulnerabilidades

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: gerenciamento de postura e vulnerabilidades.

PV-3: definir e estabelecer configurações seguras para recursos de computação

Features

Configuração de Estado do Automação do Azure

Description: Automação do Azure State Configuration pode ser usado para manter a configuração de segurança do sistema operacional. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Agente de Configuração de Convidado do Azure Policy

Description: O agente de configuração de convidado do Azure Policy pode ser instalado ou implantado como uma extensão para recursos computacionais. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Imagens de VM personalizadas

Descrição: o serviço dá suporte ao uso de imagens de VM fornecidas pelo usuário ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Apresa mais.

Diretrizes de configuração: quando possível, use uma imagem protegida pré-configurada de um fornecedor confiável, como a Microsoft, ou crie uma linha de base de configuração segura desejada no modelo de imagem da VM.

Os clientes também podem usar imagens personalizadas do sistema operacional para Lote do Azure. Ao usar configuração da máquina virtual para o Lote do Azure, verifique se as imagens personalizadas são endurecidas de acordo com as necessidades da sua organização. Para o gerenciamento do ciclo de vida, os pools armazenam as imagens em uma galeria de imagens compartilhada. Você pode configurar um processo seguro de build de imagem usando as ferramentas de automação do Azure, como o Azure Image Builder.

Reference: Use uma imagem gerenciada para criar um pool de imagens personalizado

Imagens de contêineres personalizados

Descrição: o serviço dá suporte ao uso de imagens de contêiner fornecidas pelo usuário ou imagens pré-criadas do marketplace com determinadas configurações de linha de base pré-aplicadas. Apresa mais.

Diretrizes de configuração: Se estiver usando o pool do Batch para executar tarefas em contêineres compatíveis com Docker nos nós, use imagens de contêiner previamente configuradas e protegidas de um fornecedor confiável, como a Microsoft, ou configure o modelo de imagem de contêiner com a linha de base de segurança desejada.

Reference: Executar aplicativos de contêiner no Lote do Azure

PV-5: executar avaliações de vulnerabilidade

Features

Avaliação de vulnerabilidade usando Microsoft Defender

Description: o serviço pode ser verificado para verificação de vulnerabilidade usando Microsoft Defender para Nuvem ou outra funcionalidade de avaliação de vulnerabilidade inserida dos serviços Microsoft Defender (incluindo Microsoft Defender para servidor, registro de contêiner, App Service, SQL e DNS). Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

PV-6: corrigir vulnerabilidades de forma rápida e automática

Features

Gerenciamento de Atualizações do Automação do Azure

Description: o serviço pode usar Automação do Azure Gerenciamento de Atualizações para implantar patches e atualizações automaticamente. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Segurança de Endpoints

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: segurança do ponto de extremidade.

ES-1: Usar EDR (Detecção e Resposta de Endpoint)

Features

Solução EDR

Descrição: Recursos de Detecção e Resposta de Ponto de Extremidade (EDR), como o Azure Defender para servidores, podem ser implantados no endpoint. Saiba mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

ES-2: Use um programa antimalware moderno

Features

Solução antimalware

Description: recursos antimalware, como Microsoft Defender Antivírus e Microsoft Defender para Ponto de Extremidade, podem ser implantados no endpoint. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

ES-3: garantir que o software antimalware e as assinaturas sejam atualizados

Features

Verificação do estado de saúde da solução antimalware

Descrição: a solução antimalware fornece monitoramento do estado de integridade da plataforma, do mecanismo e das atualizações automáticas de assinatura. Saiba mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Backup e recuperação

Para obter mais informações, consulte o parâmetro de comparação de segurança de nuvem da Microsoft: Backup e recuperação.

BR-1: garantir backups automatizados regulares

Features

Backup do Azure

Description: o serviço pode ser feito com backup pelo serviço Backup do Azure. Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Capacidade de backup nativo do serviço

Description: o serviço dá suporte à sua própria funcionalidade de backup nativo (se não estiver usando Backup do Azure). Apresa mais.

Diretrizes de configuração: esse recurso não tem suporte para proteger esse serviço.

Próximas etapas

• Confira a visão geral do Microsoft Cloud Security Benchmark
• Saiba mais sobre as linhas de base de segurança do Azure