Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версии 1.0) и может содержать устаревшие рекомендации. Последние рекомендации по безопасности см. в документации по службе машинного обучения.
Этот базовый план безопасности применяет рекомендации от microsoft cloud security benchmark версии 1.0 к службе машинного обучения. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к службе машинного обучения.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , неприменимые к службе машинного обучения, были исключены. Чтобы узнать, как служба машинного обучения полностью сопоставляется с эталонным показателем безопасности microsoft cloud security, см. полный файл сопоставления базовых показателей безопасности службы машинного обучения.
Профиль безопасности
Профиль безопасности подводит итоги значимых с точки зрения безопасности действий службы машинного обучения, что может потребовать повышения требований к безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | AI+ML |
| Клиент может получить доступ к HOST / OS | Полный доступ |
| Служба может быть развернута в виртуальной сети клиента | True |
| Сохраняет содержимое данных клиента в состоянии покоя | Неправда |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Руководство по настройке. Используйте управляемую сетевую изоляцию для обеспечения автоматической сетевой изоляции.
Примечание. Вы также можете использовать виртуальную сеть для ресурсов машинного обучения Azure, но несколько типов вычислений не поддерживаются.
Справочник. Защита ресурсов рабочей области Машинного обучения Azure с помощью виртуальных сетей
Поддержка группы безопасности сети
Описание: Трафик сервисной сети соблюдает назначение правил групп безопасности сети на своих подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Shared |
Руководство по настройке. Используйте управляемую сетевую изоляцию, чтобы обеспечить автоматизированную сетевую изоляцию, которая включает в себя конфигурации входящих и исходящих подключений с помощью группы безопасности сети.
Примечание. Используйте группы безопасности сети (NSG), чтобы ограничить или отслеживать трафик по порту, протоколу, исходному IP-адресу или целевому IP-адресу. Создайте правила NSG, чтобы ограничить открытые порты службы (например, запретить доступ к портам управления из ненадежных сетей). Помните, что по умолчанию группы безопасности сети (NSG) запрещают весь входящий трафик, но разрешают трафик из виртуальной сети и балансировщиков нагрузки Azure.
Справочник. Планирование сетевой изоляции
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
Описание. Возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию приватного канала, чтобы установить частную точку доступа для ресурсов.
Справочник.Настройка частной конечной точки для рабочей области машинного обучения Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или брандмауэра Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: Отключите доступ к общедоступной сети, используя либо правило фильтрации IP-адресов уровня обслуживания ACL, либо переключатель для доступа к общедоступной сети.
Справочник.Настройка частной конечной точки для рабочей области машинного обучения Azure
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.MachineLearningServices:
| Имя (портал Azure) |
Description | Effect(s) | Версия (GitHub) |
|---|---|---|---|
| Вычислительные ресурсы Azure Machine Learning должны находиться в виртуальной сети. | Azure виртуальные сети обеспечивают повышенную безопасность и изоляцию для вычислительных кластеров и экземпляров в Azure Machine Learning, а также подсетей, политик контроля доступа и других функций, позволяющих еще больше ограничить доступ. Если вычислительная среда настроена с виртуальной сетью, она не является общедоступной и может быть доступна только из виртуальных машин и приложений в виртуальной сети. | Аудит, отключено | 1.0.1 |
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется проверка подлинности Azure AD для доступа к плоскости управления данными.
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Настройка проверки подлинности для ресурсов и рабочих процессов машинного обучения Azure
Методы локальной аутентификации для доступа к плоскости данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: Используйте управляемые удостоверения Azure вместо учетных записей службы, которые могут аутентифицировать в службах и ресурсах Azure, поддерживающих аутентификацию в Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Справочник.Настройка проверки подлинности между Машинным обучением Azure и другими службами
Субъекты-службы
Описание: Плоскость данных поддерживает аутентификацию с использованием служебных принципов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник.Настройка проверки подлинности между Машинным обучением Azure и другими службами
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ к каналу данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
Справочник.Использование условного доступа
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных службы и секретов в Azure Key Vault
Описание: Плоскость данных поддерживает нативное использование Azure Key Vault в качестве хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, вместо внедрения их в файлы кода или конфигурации.
Справочник.Использование секретов учетных данных проверки подлинности в заданиях машинного обучения Azure
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Разделение и ограничение высоко привилегированных или административных пользователей
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание: Управление доступом на основе роли в Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня плоскости данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Использование управления доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Роли RBAC Azure можно назначать пользователям, группам, принципам службы и управляемым удостоверениям.
Справочник. Управление доступом к рабочей области Машинного обучения Azure
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Сервис "Контроль доступа клиентов"
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте такие средства, как Azure Purview, Azure Information Protection и Azure SQL Data Discovery и классификация для централизованного сканирования, классификации и метки всех конфиденциальных данных, находящихся в Azure, локальной среде, Microsoft 365 или других расположениях.
Справочник.Подключение к Машинному обучению Azure и управление ими в Microsoft Purview
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Если требуется для обеспечения защиты от потери данных (DLP), можно использовать конфигурацию защиты от кражи данных. Управляемая сетевая изоляция также поддерживает защиту от кражи данных.
Справочник. Защита от кражи данных машинного обучения Azure
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных при передаче
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Машинное обучение Azure использует TLS для защиты внутреннего взаимодействия между различными микрослужбами Машинного обучения Azure. Доступ к службе хранилища Azure также осуществляется по безопасному каналу.
Сведения о том, как защитить конечную точку Kubernetes online, созданную с помощью машинного обучения Azure, см. в статье "Настройка безопасной сетевой конечной точки с помощью TLS/SSL"
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Шифрование при передаче
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Шифрование данных с помощью Машинного обучения Azure
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник. Управляемые клиентом ключи для Машинного обучения Azure
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.MachineLearningServices:
| Имя (портал Azure) |
Description | Effect(s) | Версия (GitHub) |
|---|---|---|---|
| Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом | Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. | Аудит, отказ в доступе, отключено | 1.0.3 |
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Ротация и аннулирование ключей в Azure Key Vault и вашей службе на основе установленного расписания или при завершении срока действия или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник. Управляемые клиентом ключи для Машинного обучения Azure
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Управление активами
Для получения дополнительной информации см. Microsoft Cloud Security Benchmark: управление активами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Использование Microsoft Defender для облака для настройки политики Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте эффекты политики Azure [deny] и [deployIfNotExists], чтобы обеспечить безопасную настройку ресурсов Azure.
Справочник. Встроенные определения политик политики Azure для Машинного обучения Azure
AM-5. Использование только утвержденных приложений в виртуальной машине
Функции
Microsoft Defender для облака — адаптивные элементы управления приложениями
Описание. Служба может ограничить выполнение клиентских приложений на виртуальной машине с помощью адаптивных элементов управления приложениями в Microsoft Defender для облака. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для сервисов и продуктовых предложений
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Если вы используете собственные пользовательские контейнеры или кластеры для Машинного обучения Azure, необходимо включить проверку ресурсов реестра контейнеров Azure и ресурсов службы Azure Kubernetes через Microsoft Defender для облака. Однако Microsoft Defender для облака нельзя использовать в управляемых вычислительных экземплярах машинного обучения Azure или вычислительных кластерах.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включить ведение журнала для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Включение журналов ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей или в SQL Azure есть журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа службы и ресурса Azure.
Справочник.Мониторинг Машинного обучения Azure
Управление защитной позицией и уязвимостями
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.
PV-3. Определение и установка безопасных конфигураций для вычислительных ресурсов
Функции
Конфигурация состояния службы автоматизации Azure
Описание. Конфигурация состояния службы автоматизации Azure может использоваться для поддержания конфигурации безопасности операционной системы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Агент гостевой конфигурации политики Azure
Описание. Агент гостевой конфигурации политики Azure можно установить или развернуть в качестве расширения для вычислительных ресурсов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте агент гостевой конфигурации Microsoft Defender для облака и политики Azure для регулярной оценки и исправления отклонений конфигурации в вычислительных ресурсах Azure, включая виртуальные машины, контейнеры и другие.
Пользовательские образы виртуальных машин
Описание. Служба поддерживает использование образов виртуальных машин, предоставленных пользователем, или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Пользовательские образы контейнеров
Описание: Служба поддерживает использование пользовательских образов контейнеров или предварительно созданных образов из торговой площадки с заранее установленными конфигурациями. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте предварительно настроенный защищенный образ от доверенного поставщика, например Майкрософт, или создайте требуемые базовые показатели безопасной конфигурации в шаблоне образа контейнера.
Справочник. Обучение модели с помощью пользовательского образа Docker
PV-5. Выполнение оценки уязвимостей
Функции
Оценка уязвимостей с помощью Microsoft Defender
Описание. Служба может быть сканирована для проверки уязвимостей с помощью Microsoft Defender для облака или других служб Microsoft Defender, встроенных возможностей оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, службы приложений, SQL и DNS). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях: установка агента Defender для сервера в настоящее время не поддерживается, однако Trivy может быть установлена на вычислительных экземплярах для обнаружения уязвимостей на уровне операционной системы и Python.
Дополнительные сведения см. в статье "Управление уязвимостями для Машинного обучения Azure"
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PV-6. Быстрое и автоматическое исправление уязвимостей
Функции
Управление обновлениями в службе автоматизации Azure
Описание. Служба может использовать управление обновлениями службы автоматизации Azure для автоматического развертывания исправлений и обновлений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях: вычислительные кластеры автоматически обновляются до последнего образа виртуальной машины. Если кластер настроен с минимальными узлами = 0, он автоматически обновляет узлы до последней версии образа виртуальной машины при завершении всех заданий, а кластер уменьшает до нуля узлов.
Вычислительные экземпляры получают последние образы виртуальных машин во время развертывания. Корпорация Microsoft ежемесячно выпускает новые образы виртуальных машин. После развертывания вычислительного экземпляра для него не выполняется активное обновление. Чтобы обеспечить актуальность последних обновлений программного обеспечения и исправлений для системы безопасности, можно:
Повторно создайте вычислительный экземпляр, чтобы получить последний образ ОС (рекомендуется)
Кроме того, регулярно обновляйте пакеты ОС и Python.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Безопасность конечных точек
Дополнительные сведения см. в статье microsoft cloud security benchmark: Endpoint Security.
ES-1. Используйте системы обнаружения и реакции на конечных устройствах (EDR)
Функции
Решение EDR
Описание. Функция обнаружения конечных точек и ответа (EDR), например Azure Defender для серверов, может быть развернута в конечной точке. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
ES-2. Использование современного программного обеспечения для защиты от вредоносных программ
Функции
Решение для защиты от вредоносных программ
Описание: функция защиты от вредоносных программ, например антивирусная программа Microsoft Defender, Microsoft Defender для конечной точки может быть развернута на конечной точке. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: ClamAV может использоваться для обнаружения вредоносных программ и уже установлен на вычислительной инстанции.
Справочник. Управление уязвимостями на вычислительных узлах
ES-3. Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ
Функции
Мониторинг состояния антивирусных решений
Описание: Решение для защиты от вредоносных программ обеспечивает мониторинг состояния системы для обновлений платформы, движка и автоматических обновлений подписей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: ClamAV может использоваться для обнаружения вредоносных программ и уже установлен на вычислительной инстанции.
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Служба может быть защищена с помощью Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Встроенная возможность резервного копирования службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие шаги
- Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
- Дополнительные сведения о базовых показателях безопасности Azure