使用 Azure 安全基准管理安全状况

使用 Azure 安全基准管理安全状况

2025/06/14

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师使用 Azure 安全基准 (ASB) 来管理和改善其 Azure 环境的安全状况。在不断发展的云环境中,确保安全配置资源并符合最佳实践是一项持续的挑战。 ASB 与 Microsoft Defender for Cloud 结合提供了一个全面的框架来评估、监控和提高云工作负载的安全性 [1]。

简介

云安全是云提供商 (Microsoft) 和客户之间的共同责任。尽管 Microsoft 保护底层基础设施,但您环境中的数据、应用程序和网络配置的安全性是您的责任。云服务的复杂性和变化的速度使得维持强大且一致的安全状态变得困难。配置错误、未修补的漏洞和缺乏可见性是可能导致安全漏洞的常见攻击媒介 [2]。

Azure 安全基准 (ASB) 是由 Microsoft 开发的一组特定于 Azure 的安全准则,其中融合了来自 CIS(互联网安全中心)和 NIST(美国国家标准与技术研究所)等行业领先框架的安全最佳实践和合规性建议。它为保护云资源提供了基础,涵盖网络安全、身份管理、数据保护、漏洞管理等领域。 Microsoft Defender for Cloud(以前称为 Azure 安全中心)是用于评估和监控 ASB 合规性的主要工具 [3]。

本实用指南将涵盖先决条件、ASB 概念、如何使用 Microsoft Defender for Cloud 评估 ASB 合规性、解释安全建议、修复故障、配置异常和监视安全分数。将提供分步说明、实际示例和简洁的解释,以便读者可以实现、测试和验证这些功能。此外,还将讨论安全提示、合规性检查和最佳实践,以确保您在 Azure 中的安全状况得到持续、自主、专业和可靠的改进。

为什么 Azure 安全基准对于您的安全状况至关重要?

  • 综合指南:为 Azure 服务提供一组详细的安全建议,涵盖云安全的各个方面。
  • 与行业标准保持一致:基于全球认可的安全框架,确保您的安全实践与最佳实践保持一致。
  • 持续评估:与 Microsoft Defender for Cloud 集成,提供对 ASB 合规性的持续评估并识别偏差。
  • 可行的建议:提供明确的建议和补救步骤,以解决安全问题并改善状况。
  • 安全分数监控:通过可量化的指标(安全分数)帮助可视化和跟踪提高安全性的进度。
  • 监管合规性:通过将 ASB 控制映射到监管标准,促进遵守各种合规性要求。

先决条件

要使用 Azure 安全基准管理安全状况,您需要以下项目:

  1. 活动 Azure 订阅:已部署资源的 Azure 订阅。
  2. 管理访问权限:在订阅或资源组上具有“所有者”、“贡献者”或“安全管理员”角色的帐户。
  3. 启用 Microsoft Defender for Cloud:必须在订阅中启用 Defender for Cloud 才能提供安全评估和建议。免费计划已经提供 ASB [4]。

分步:使用 Azure 安全基准管理安全状况

让我们启用安全中心、评估 ASB 合规性并修正建议。

1. 启用 Microsoft Defender for Cloud 和 Azure 安全基准ASB 自动包含在安全中心中。如果您已启用 Defender for Cloud,则 ASB 已在接受评估。

  1. 打开浏览器并导航到 Azure 门户:“https://portal.azure.com”。
  2. 使用具有必要权限的帐户登录。
  3. 在顶部搜索字段中,输入“Microsoft Defender for Cloud”并从结果中选择它。
  4. 在安全中心概览页面上,验证您的订阅是否已集成。如果没有,请按照说明集成您的订阅。
  5. 在左侧导航窗格中,选择“环境设置”。
  6. 选择您要保护的签名

  7. 在 Defender 计划页面上,确保“基本云安全”计划(包括 ASB)处于“打开”状态。

    • 说明:Defender for Cloud 基本计划免费提供安全态势评估,包括 Azure 安全基准建议。付费计划(例如 Defender for Servers、Defender for Storage)添加了工作负载保护 (CWPP)。

2. 评估 Azure 安全基准的合规性

Defender for Cloud 通过法规合规性仪表板显示 ASB 合规性。

  1. 在 Defender for Cloud 左侧导航窗格中,选择 监管合规性
  2. 在仪表板上,您将看到“Azure 安全基准”列为合规性标准之一。

  3. 单击“Azure 安全基准”以查看您的合规性详细信息。

    • 说明:此仪表板显示您的 ASB 合规性概览,包括通过了多少控制、失败了多少以及需要手动干预的数量。您可以深入查看控件以查看具体建议。

3. 解释和修复安全建议

建议是改善安全状况的基础。

  1. 在 Defender for Cloud 左侧导航窗格中,选择“建议”。
  2. 建议按“安全控制”分组。您可以按“标准”=“Azure 安全基准”进行过滤。

  3. 查找“状态”=“不健康”的建议(例如“管理端口应限制在受信任的 IP 范围内”)。 4.点击推荐查看详情:

    • 描述:解释安全问题。
    • 修复步骤:提供纠正问题的分步说明。许多建议提供单击“修复”选项或自动化脚本。
    • 受影响的资源:列出所有不合规的资源(VM、存储帐户、网络等)。
    • 合规标准:显示此建议涉及哪些 ASB 控制(和其他标准)。

  4. 修正建议(示例:限制管理端口)

    • 对于建议“管理端口应限制在受信任的 IP 范围内”,请单击受影响的资源。
    • 对于每项功能,您可以单击“修复”或按照手动说明配置网络安全组 (NSG),将 RDP/SSH 端口的访问限制为仅特定的受信任 IP。

    • 用于更新 NSG 的示例 Azure CLI 命令bash az 网络 nsg 规则更新\ --resource-group <资源组名称> \ --nsg-name <nsg_name> \ --name <rdp_ssh_rule_name> \ --source-address-prefixes <your_trust_ips> \ --destination-port-ranges 3389 # 或 22

    • 说明:修复后,安全中心将重新评估资源。如果修复成功,资源的状态将更改为“健康”,并且其安全分数将更新。

4. 配置建议的例外情况

在某些情况下,建议可能不适用于特定资源,或者可能存在不立即修复的业务理由。您可以创建一个例外。

  1. 在推荐的详细信息页面上,单击“...”(更多选项)并选择“创建例外”。
  2. 创建异常
    • 范围:选择例外是否适用于整个订阅、一组资源或特定资源。
    • 原因:选择例外的原因(例如“已接受风险”、“通过第三方控制缓解”)。
    • 截止日期:设置例外的到期日期。
    • 评论:提供例外的详细理由。

  3. 单击“创建”。

    • 解释:应谨慎使用异常并记录下来。他们从您的安全评分中删除了建议,但潜在的风险仍然存在。定期检查异常情况。

5. 监控安全分数

安全分数是对您的安全状况的量化衡量标准。

  1. 在 Defender for Cloud 左侧导航窗格中,选择“概述”。 2.“安全分数”显着显示,显示您当前的分数和改进的潜力。

  2. 单击“安全分数”查看详细信息,包括对分数提高贡献最大的建议。

    • 说明:安全分数是根据您已解决的安全建议的百分比计算的。优先考虑对您的分数影响较大且对您的环境最重要的建议。

验证和测试

验证补救措施是否有效以及您的安全状况是否正在改善至关重要。

1. 验证建议补救措施

  1. 场景:应用建议修复措施(例如限制管理端口)后,等待几分钟,让安全中心重新评估资源。
  2. 预期操作:该建议的资源状态应从“不健康”更改为“健康”。
  3. 验证
    • 导航到 Microsoft Defender for Cloud > 建议
    • 按您修复的建议进行筛选并检查受影响资源的状态。

2. 监控安全分数的演变

  1. 场景:修正多项建议后,观察您的安全分数如何随时间变化。
  2. 预期操作:您的安全分数应该会增加,反映出您的安全状况有所改善。
  3. 验证
    • 导航到 Microsoft Defender for Cloud > 概述 并查看“安全分数”趋势图。

安全提示和最佳实践

  • 优先考虑关键建议:首先关注对您的安全分数影响最大并解决您环境中最关键风险的建议。
  • 自动修复:使用一键“修复”选项或自动化脚本(Azure 策略、Azure 自动化)大规模修复建议。
  • 与 Azure Policy 集成:使用 Azure Policy 强制执行 ASB 合规性,确保新资源的部署已符合合规性,并且现有资源不会偏离策略。
  • 定期审查:定期审查安全建议、例外情况和安全评分,以保持主动的安全态势。
  • 团队意识:确保开发和运营团队了解 ASB 建议以及他们的行为如何影响安全态势。
  • 通过付费计划捍卫云:虽然 ASB 是免费的,但请考虑启用付费 Defender for Cloud 计划(例如 Defender for Servers、Defender for Storage、Defender for SQL)以获得工作负载保护 (CWPP) 和高级威胁检测。

常见故障排除

  • 修复后建议不会更新
    • 安全中心可能需要一些时间重新评估资源并更新状态。等待几分钟并刷新页面。
    • 验证是否正确应用了修复措施。有时,修复说明可能包含需要严格遵循的具体细节。
    • 检查 Azure 活动日志以确认更改已应用于资源。
  • 安全分数不增加
    • 安全分数反映了已解决建议的百分比。如果您只纠正了一些影响较小的建议,则增加的幅度可能很小。
    • 确保没有新的“不健康”建议抵消您的补救措施。
  • 资源不会出现在推荐中
    • 验证是否为资源所在的订阅启用了安全中心。
    • 确保安全中心和 ASB 支持这些功能。
    • 发现新资源可能会有延迟通过 Defender for Cloud 进行课程。
  • 有关具体建议的问题
    • 有关每个控制和建议的更多详细信息,请参阅 Microsoft Learn 上的官方 Azure 安全基准文档。
    • 使用 Azure 门户中的“反馈”选项向 Microsoft 发送问题或评论。

结论

Azure 安全基准与 Microsoft Defender for Cloud 结合使用,对于任何希望在 Azure 中保持强大且合规的安全状况的组织来说都是不可或缺的工具。通过提供清晰的最佳实践框架以及持续评估和修复的平台,它使安全团队能够主动识别和解决安全漏洞。采用并积极维护 ASB 对于保护您的云资产免受网络威胁并确保运营的完整性至关重要。通过本实用指南,安全专业人员和 IT 管理员将能够自主、专业且可靠地配置、验证和管理其 Azure 环境的安全态势。

参考资料:

[1] 微软学习。 Azure 安全基准 v3 概述。网址:https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] 微软学习。 安全控制 v3:安全态势和漏洞管理。位于:https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] 微软学习。 什么是 Microsoft Defender for Cloud?。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] 微软学习。 提高法规遵从性 - Azure。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] 微软学习。 云安全得分捍卫者。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] 微软学习。 修复建议 - Microsoft Defender for Cloud。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] 微软学习。 查看安全建议 - Azure。网址:https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations