Base de segurança do Azure para Batch

Esta linha de base de segurança aplica orientações do benchmark de segurança na nuvem Microsoft versão 1.0 ao Batch. O benchmark de segurança cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções cloud no Azure. O conteúdo está agrupado pelos controlos de segurança definidos pelo benchmark de segurança na cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Batch.

Pode monitorizar esta linha de base de segurança e as suas recomendações usando o Microsoft Defender para a Cloud. As definições do Azure Policy estarão listadas na secção de Conformidade Regulamentar da página do portal Microsoft Defender para a Cloud.

Quando uma funcionalidade tem definições relevantes do Azure Policy, elas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações do benchmark de segurança na cloud da Microsoft. Algumas recomendações podem exigir um plano Microsoft Defender pago para permitir certos cenários de segurança.

Perfil de segurança

O perfil de segurança resume os comportamentos de alto impacto do Batch, que podem resultar em considerações de segurança acrescidas.

Segurança de rede

Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Caraterísticas

Integração de Rede Virtual

Description: O serviço suporta a implementação na Rede Virtual privada do cliente (VNet). Saiba mais.

Configuração Orientação: Implementar Azure Batch pools dentro de uma rede virtual. Considere provisionar o pool sem endereços IP públicos para restringir o acesso a nós na rede privada e reduzir a descoberta dos nós na internet.

Reference: Criar um pool do Azure Batch numa rede virtual

Suporte ao Grupo de Segurança de Rede

Descrição: O tráfego de rede do serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas sub-redes. Saiba mais.

Notas de funcionalidade: Por defeito, o Batch adiciona grupos de segurança de rede (NSGs) ao nível das interfaces de rede (NIC) ligados aos nós de computação.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Reference: Criar um pool do Azure Batch numa rede virtual

NS-2: Serviços na cloud seguros com controlo de rede

Caraterísticas

Azure Private Link

Description: Capacidade de filtragem IP nativa de serviços para filtrar tráfego de rede (não confundir com NSG ou Azure Firewall). Saiba mais.

Configuration Guidance: Implementar endpoints privados para Azure Batch contas. Isto restringe o acesso às contas Batch à rede virtual onde residem ou a qualquer rede virtual emparelhada.

Referência: Utilizar endpoints privados com contas Azure Batch

Desativar o Access à Rede Pública

Description: O serviço suporta a desativação do acesso à rede pública, quer através da regra de filtragem de IP ACL ao nível do serviço (não NSG ou Azure Firewall), quer através de um alternador 'Desativar Acesso à Rede Pública'. Saiba mais.

Orientação de Configuração: Desative o acesso à rede pública para contas do serviço Batch definindo a opção 'Acesso à rede pública' como desativado.

Reference: Desativar o acesso à rede pública

Gestão de identidades

Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Gerenciamento de identidade.

IM-1: Usar identidade centralizada e sistema de autenticação

Caraterísticas

Autenticação do Azure AD Necessária para Acesso ao Plano de Dados

Description: O serviço suporta autenticação Azure AD para acesso ao plano de dados. Saiba mais.

Orientações de Configuração: Use o Azure Active Directory (Azure AD) como método de autenticação padrão para controlar o seu acesso ao plano de dados em vez de usar Chaves Partilhadas.

Reference: Autenticar com Azure AD

Métodos de Autenticação Local para Acesso ao Plano de Dados

Description: Os métodos de autenticação local suportados para o acesso do plano de dados, como um nome de utilizador e palavra-passe locais. Saiba mais.

Notas de recursos: Evite o uso de métodos ou contas de autenticação local, estes devem ser desativados sempre que possível. Em vez disso, usa o Azure AD para autenticar sempre que possível.

Orientação de Configuração: Restringa o uso de métodos de autenticação locais para acesso ao plano de dados. Em vez disso, use o Azure Active Directory (Azure AD) como método de autenticação padrão para controlar o acesso ao plano de controlo de dados.

Reference: Autenticação via Chave Partilhada

IM-3: Gerencie identidades de aplicativos de forma segura e automática

Caraterísticas

Identidades gerenciadas

Descrição: As ações do plano de dados suportam autenticação usando identidades gerenciadas. Saiba mais.

Orientações de Configuração: Utilize identidades geridas do Azure em vez de entidades de serviço sempre que possível, que podem autenticar-se em serviços e recursos do Azure que suportam autenticação do Azure Active Directory (Azure AD). As credenciais de identidade geridas são totalmente geridas, renovadas e protegidas pela plataforma, evitando credenciais codificadas no código-fonte ou nos arquivos de configuração.

Referência: Configurar identidades geridas em pools do Batch

Principais de Serviço

Descrição: O plano de dados suporta autenticação usando entidades de serviço. Saiba mais.

Orientação adicional: Para autenticar uma aplicação que corre sem supervisão, pode usar um princípio de serviço. Depois de registar a sua candidatura, faça as configurações apropriadas no portal do Azure para o principal do serviço, como pedir um segredo para a aplicação e atribuir funções Azure RBAC.

Reference: Autenticar soluções de serviço Batch com Azure Active Directory

IM-7: Restringir o acesso a recursos com base nas condições

Caraterísticas

Access Condicional para o Plano de Dados

Description: O acesso do data plane pode ser controlado usando políticas de Acesso Condicional do Azure AD. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

IM-8: Restringir a exposição de credenciais e segredos

Caraterísticas

Suporte para Credenciais de Serviço e Segredos para Integração e Armazenamento no Azure Key Vault

Description: O plano de dados suporta o uso nativo de Azure Key Vault para armazenamento de credenciais e segredos. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Acesso privilegiado

Para mais informações, consulte o benchmark de segurança cloud Microsoft: Privileged access.

PA-7: Siga o princípio de administração suficiente (menor privilégio)

Caraterísticas

Azure RBAC para o Plano de Dados

Description: O Controle de Acesso Baseado em Função do Azure (Azure RBAC) pode ser usado para gerir o acesso às ações do plano de dados dos serviços. Saiba mais.

Orientações de Configuração: Utilize o controlo de acesso baseado em funções do Azure (Azure RBAC) para gerir o acesso a recursos do Azure através de atribuições de funções incorporadas. O Azure Batch suporta o Azure RBAC para gerir o acesso a estes tipos de recursos: Contas, Jobs, Tarefas e Pools.

Reference: Atribui Azure RBAC à tua candidatura

Proteção de dados

Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Proteção de dados.

DP-2: Monitorizar anomalias e ameaças que visam dados confidenciais

Caraterísticas

Prevenção de Fugas/Perdas de Dados

Descrição: O serviço suporta a solução DLP para monitorar a movimentação de dados confidenciais (no conteúdo do cliente). Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-3: Criptografar dados confidenciais em trânsito

Caraterísticas

Encriptação de Dados em Trânsito

Descrição: O serviço suporta criptografia de dados em trânsito no plano de dados. Saiba mais.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

DP-4: Habilitar a criptografia de dados em repouso por padrão

Caraterísticas

Criptografia de dados em repouso usando chaves de plataforma

Descrição: A criptografia de dados em repouso usando chaves de plataforma é suportada, qualquer conteúdo de cliente em repouso é criptografado com essas chaves gerenciadas pela Microsoft. Saiba mais.

Notas de funcionalidades: Algumas das informações especificadas nas APIs Batch, como certificados de conta, metadados de trabalhos e tarefas, e linhas de comando de tarefas, são automaticamente encriptadas quando armazenadas pelo serviço Batch. Por padrão, estes dados são encriptados utilizando chaves geridas pela plataforma Azure Batch, que são únicas para cada conta Batch.

Também pode encriptar estes dados usando chaves geridas pelo cliente. O Azure Key Vault é usado para gerar e armazenar a chave, com o identificador de chave registado na sua conta Batch.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

DP-5: Use a opção de chave gerenciada pelo cliente na criptografia de dados em repouso quando necessário

Caraterísticas

Criptografia de dados em repouso usando CMK

Descrição: A criptografia de dados em repouso usando chaves gerenciadas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Diretrizes de configuração: Se necessário para conformidade regulamentar, defina o caso de uso e o escopo do serviço em que a criptografia usando chaves gerenciadas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços.

Reference: Configurar chaves geridas pelo cliente

DP-6: Use um processo seguro de gerenciamento de chaves

Caraterísticas

Gestão de Chaves no Azure Key Vault

Description: O serviço suporta integração Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

: Use Azure Key Vault para criar e controlar o ciclo de vida das suas chaves de encriptação, incluindo geração, distribuição e storage de chaves. Roteie e revogue as suas chaves no Azure Key Vault e no seu serviço com base num calendário definido ou quando houver uma desativação ou comprometimento de chaves. Quando houver necessidade de usar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, serviço ou aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: Use uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a sua chave de encriptação de chaves (KEK) no seu Key Vault. Garanta que as chaves estão registadas no Azure Key Vault e referenciadas através dos IDs de chave do serviço ou aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos seus HSMs locais para o Azure Key Vault), siga as orientações recomendadas para realizar a geração inicial de chaves e a transferência de chaves.

Nota: O cliente deve optar por usar chaves geridas pelo cliente, caso contrário, por defeito, o serviço usará chaves de plataforma geridas pela Microsoft.

Reference: Configure as chaves geridas pelo cliente para a sua conta de Azure Batch com Azure Key Vault e Identidade Gerida

DP-7: Use um processo seguro de gerenciamento de certificados

Caraterísticas

Gestão de Certificados no Azure Key Vault

Description: O serviço suporta integração Azure Key Vault para quaisquer certificados de cliente. Saiba mais.

Orientações de Configuração: Use o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e eliminação do certificado. Certifique-se de que a geração do certificado segue padrões definidos sem usar propriedades inseguras, tais como: tamanho insuficiente da chave, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço Azure (se suportado) com base num calendário definido ou quando houver expiração de um certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que continuam a ser rotadas usando métodos manuais no Azure Key Vault e na aplicação.

Referência: Use os certificados e aceda ao Azure Key Vault de forma segura com o Batch

Gestão de ativos

Para obter mais informações, consulte o referencial de segurança da cloud da Microsoft: Gestão de ativos.

AM-2: Utilizar apenas serviços aprovados

Caraterísticas

Azure Policy Support

Description: As configurações de serviço podem ser monitorizadas e aplicadas via Azure Policy. Saiba mais.

Orientação de Configuração: Use o Microsoft Defender para Cloud para configurar o Azure Policy para auditar e aplicar configurações dos seus recursos do Azure. Use o Azure Monitor para criar alertas quando for detetada uma variação de configuração nos recursos. Utilize os efeitos da política do Azure [negar] e [implementar se não existir] para aplicar uma configuração segura entre os recursos do Azure.

Para quaisquer cenários em que não existam definições de políticas integradas, pode usar aliases do Azure Policy no namespace "Microsoft.Batch" para criar políticas personalizadas.

Referência: Definições internas do Azure Policy para Azure Batch

AM-5: Use apenas aplicativos aprovados na máquina virtual

Caraterísticas

Microsoft Defender para a Cloud - Controlos Adaptativos de Aplicações

Description: O serviço pode limitar que aplicações do cliente executam na máquina virtual usando Controlos Adaptativos de Aplicação em Microsoft Defender para a Cloud. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Registo e deteção de ameaças

Para mais informações, consulte o benchmark de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Habilite os recursos de deteção de ameaças

Caraterísticas

Microsoft Defender para Oferta de Serviço/Produto

Description: O serviço tem uma solução de Microsoft Defender específica para a oferta para monitorizar e alertar sobre questões de segurança. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

LT-4: Ativar o registro de logs para investigação de segurança

Caraterísticas

Azure Resource Logs

Descrição: O serviço produz registos de recursos que podem fornecer métricas aperfeiçoadas e registos específicos do serviço. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sumidouro de dados, como uma conta de storage ou um espaço de trabalho de análise de registos. Saiba mais.

Configuration Guidance: Ative os registos de recursos Azure para o Azure Batch para os seguintes tipos de registos: ServiceLog e AllMetrics.

Referência: métricas de processamento em lote, alertas e registos para avaliação e monitorização diagnóstica

Gestão da postura e da vulnerabilidade

Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Postura e gerenciamento de vulnerabilidades.

PV-3: Definir e estabelecer configurações seguras para recursos de computação

Caraterísticas

Automatização do Azure Configuração de Estado

Description: Automatização do Azure State Configuration pode ser usado para manter a configuração de segurança do sistema operativo. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Agente de Configuração do Convidado do Azure Policy

Description: Azure Policy agente de configuração convidada pode ser instalado ou implementado como uma extensão para recursos computacionais. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Imagens de VM personalizadas

Descrição: o serviço suporta o uso de imagens de VM fornecidas pelo usuário ou imagens pré-criadas do mercado com determinadas configurações de linha de base pré-aplicadas. Saiba mais.

Orientação de Configuração: Sempre que possível, utilize uma imagem reforçada pré-configurada de um fornecedor de confiança, como a Microsoft, ou construa uma base de configuração segura desejada no modelo de imagem da VM.

Os clientes também podem usar imagens personalizadas do sistema operativo para o Azure Batch. Ao utilizar a configuração da máquina virtual para o seu Azure Batch, certifique-se de que as imagens personalizadas estão endurecidas de acordo com as necessidades da sua organização. Para a gestão do ciclo de vida, os pools armazenam as imagens numa galeria de imagens partilhada. Pode configurar um processo seguro de construção de imagens usando ferramentas de Automatização do Azure, como o Azure Image Builder.

Reference: Usa uma imagem gerida para criar um pool de imagens personalizado

Imagens de Contentores Personalizados

Descrição: O serviço suporta o uso de imagens de contentores fornecidas pelo utilizador ou imagens pré-construídas do marketplace com certas configurações de base pré-aplicadas. Saiba mais.

Orientação de Configuração: Se usar o Batch pool para executar tarefas em contentores compatíveis com Docker nos nós, utilize imagens de contentores reforçados pré-configuradas de um fornecedor de confiança, como a Microsoft, ou construa a base de configuração segura desejada no modelo de imagem do contentor.

Reference: Execute aplicações de contentores em Azure Batch

PV-5: Realizar avaliações de vulnerabilidade

Caraterísticas

Avaliação de Vulnerabilidades com Microsoft Defender

Description: O serviço pode ser varrido em busca de vulnerabilidades usando o Microsoft Defender para a Cloud ou outras capacidades de avaliação de vulnerabilidades dos serviços Microsoft Defender (incluindo Microsoft Defender para servidores, registo de contêineres, App Service, SQL e DNS). Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

PV-6: Corrige vulnerabilidades de forma rápida e automática

Caraterísticas

Gestão de Atualizações do Automatização do Azure

Description: O serviço pode usar Automatização do Azure Gestão de Atualizações para implementar patches e atualizações automaticamente. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Segurança de pontos finais

Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Segurança de ponto final.

ES-1: Usar Detecção e Resposta de Endpoint (EDR)

Caraterísticas

Solução EDR

Description: A funcionalidade de Deteção e Resposta de Endpoint (EDR), como Azure Defender para servidores, pode ser implementada no endpoint. Mais informações.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

ES-2: Utilize software moderno de anti-malware

Caraterísticas

Solução Anti-Malware

Description: Funcionalidades anti-malware como o Microsoft Defender Antivírus e o Microsoft Defender para Endpoint podem ser implementadas no endpoint. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

ES-3: Garantir que o software antimalware e as assinaturas estejam atualizados

Caraterísticas

Monitorização da saúde da solução antimalware

Descrição: A solução antimalware fornece monitoramento do estado de integridade para a plataforma, motor, e atualizações automáticas de assinatura. Mais informações.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Backup e recuperação

Para obter mais informações, consulte o benchmark de segurança na nuvem da Microsoft: Backup e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Caraterísticas

Azure Backup

Description: O serviço pode ser garantido pelo serviço Azure Backup. Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Capacidade de backup nativo do serviço

Description: O serviço suporta a sua própria capacidade nativa de backup (mesmo que não utilize Azure Backup). Saiba mais.

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Próximos passos

• Consulte a visão geral do benchmark de segurança na nuvem da Microsoft
• Saiba mais sobre as linhas de base de segurança Azure