AVD安全基线
AVD的安全基线是基于Azure Security Benchmark 2.0的。
网络安全
NS-1:内部网络安全
现有的网络规划必须和企业的划分原则相一致。任何对公司来说是核心高危的系统,都应该单独隔离起来,然后用NSG或者firewall来保护。
使用ASC中的动态网络加固功能来 配置NSG,从而限制端口和源IP。
基于应用程序和企业划分原则,用NSG来限制或允许内部资源之间的流量。对于well-defined application,可以使用deny by default,permit by exception的方法。如果应用程序之间有太多的互联,采用默认的准入拒绝规则就可能不会普遍适用。也可以使用Azure firewall来集中管理。
对于AVD来说,VM附属的ASG,必须允许出站访问一些终结点。
NS-2:将私有网络相互连接
使用Azure ER或者Azure 虚拟私有网络来创建Azure数据中心和本地基建的连接。ER连接不会通过公网,更加可靠安全高速低延迟。
对于point-to-site 和 site-to-site VPN,你就可以连接到本地的设备或者本地的虚拟网络。
使用peering将两个虚拟网络连接起来。对于peering的虚拟网络之间的流量也是保持私有的,只会走Azure骨干网络。
NS-4:保护应用程序和服务免受外部网络攻击
使用Azure Firewall来保护应用程序和服务免受恶意流量攻击。将AVD资源保护起来,采用DDoS防护,应用程序防护,禁止恶意网络流量。建议启用DDoS标准防护。
NS-6:简化网络安全规则
使用虚拟网络标签来定义网络访问控制,NSG或者firewall。使用服务标签,而不是特定的IP地址网段来创建安全规则。
身份标识管理
IM-1:标准的AAD作为集中的身份验证系统。
AVD默认采用AAD作为身份标识提供商。
AAD提供身份标识安全分数来帮助你评价身份标识的安全态势。建议经常查看安全分数来保证AAD遵从最佳实践。
AAD支持外部身份标识,也就是允许非微软的庄户来鼎炉应用程序和资源。
IM-2: 安全自动地管理应用程序标识
对于非用户的账户,AVD支持Azure 托管标识,比如服务账户或自动化账户。我们建议使用Azure托管标识功能来通信,而不是使用人工创建的账户。
AVD建议使用AAD来创建服务主体来限制服务主题对证书凭据的访问。
IM-3:使用AAD SSO
AVD可以使用AAD来提高Azure资源、云应用程序、本地应用程序的访问。
特权访问
PA-3:定期审查用户访问
AVD使用AAD账户来管理资源,审查用户账户、访问权限分配,以确保访问权限是合理的。
可以使用AAD access review来审查组的成员,访问企业应用程序,角色分配等等。AAD reporting也可以提供日志,来方便找出长期不使用的账户。
此外,Azure PIM可以用来配置报警,当大量的管理员权限账户被创建的话,可以用来找出长期不使用的、错误配置的管理员账户。
PA-6:使用特权访问工作站
安全隔离的工作站对于特殊安全的角色至关重要,比如管理员、开发人员、关键服务操作员。使用安全的用户工作站或者Azure 堡垒机来执行管理员工作。
使用AAD Microsoft Defender ATP或者Microosft Intune来部署安全托管的用户工作站,来执行管理权限的任务。
PA-7:最小权限原则
AVD需配置RBAC来管理AVD的资源。JIM PIM,access review
数据保护
DP-1: 对敏感数据进行分类、打标签
可以使用PIM来管理敏感信息,Office document on Azure on-premises,其他地点。
可以使用Azure SQL 数据保护来进行SQL数据库里面数据的分类和打标签。
DP-2:保护敏感数据
使用RBAC来限制访问,基于网络的访问控制,基于服务的访问控制,比如SQL的数据都要加密。
DP-3:监控敏感数据非授权传输
监控数据的非授权传输到公司外。监控这些异常活动,避免数据泄露。
DP-4:数据传输加密
为了控制访问权限,数据传输需要防止out of band攻击,可以使用加密来防止攻击。
AVD支持数据加密,TLS v1.2。如果是私有网络的话,就是不要需要进行加密,一般是对外部流量和公网网络进行加密。对于HTTP流量,确保所有连接Azure资源都用TLS 1.2来进行协商。对于所有的远程管理,都要用SHH RDP over TLS来进行管理。
资产管理
AM-1:确保安全团队能够对资产进行管理
确保安全团队能够有安全读者的权限。
AM-2:确保安全团队可以访问inventory和metadata
将Azure资源、组、订阅打标签。比如给生成、开发环境进行打标签。
AM-3:使用批准的Azure服务
使用Azure Policy来审计限制服务的使用。
AM-5:仅允许批准的应用程序允许再VM上
使用Azure虚拟机Inventory来自动收集所有运行再虚拟机上的软件,包括软件名称、版本、发行商、更新实践。
日志和威胁检测
LT-1:启用威胁检测
使用ASC,ASC是内置的安全监测。Azure Defender对AVD来说可以提供多一层安全智能防护,检测异常的、潜在危险的访问尝试。
也可以将AVD的日志转发到SIEM。确保Azure的资源会进行威胁防护监控。
LT-2:启用Azure IAM威胁防护
AAD提供用户日志,可以再AAD reporting里面看,也可以再Azure Monitor和Sentinel SIEM里面看。
登录日志
AAD审计日志,添加人员操作,移除人员操作
危险登录
危险用户
LT-3:网络活动日志
AVD不需要DNS查询日志,但是这些资源可以产生流日至,可以收集NSG的日志,Azure Firewall 日志和WAF日志。
LT-4:启用Azure资源日志
活动日志,自动启用的,包括AVD资源的增删改。
LT-5:集中日志管理
集中进行日志存储。
安全态势管理和漏洞管理
PV-3:建立安全的计算资源配置
采用ASC和Policy来建立安全的配置,比如VM 容器得安全配置。
可以使用自定义得操作系统镜像,或者Azure自动化状态配置来确保操作系统配置正确。
PV-4:维持安全的资源配置
使用Azure安全中心和Policy来进行定义评估和修复。
ASC也可以进行容器镜像漏洞扫描,持续进行docker配置监控。
PV-5:安全自定义的系统和容器镜像
AVD允许客户管理自己的操作系统镜像。使用RBAC来确保只有授权先的账户才可以访问镜像。使用shared image gallary来把镜像share给其他用户或者服务主体。
PV-6:进行软件漏洞评估
AVD允许你自己部署粗你寄,将他们注册到类似于SQL的数据库服务。
AVD可以使用第三方漏洞评估,再进行评估扫描的时候,请使用JIT的方式提供特权账户。
PV-7:快速自动地修复软件漏洞
AVD不使用第三方软件,但是,AVD允许你部署自己的虚拟机,并将其注册到服务里面。
Azure 自动更新管理或者第三方解决方案,可以用来确保最新的安全更新被安装上。
使用第三方补丁解决方案,或者System Center
PV-8:定期进行攻防演练
AVD不允许客户进行渗透测试。
终结点安全
ES-1: 使用终结点检测和响应(EDR)
AVD不提供专门的终结点检测和响应流程,可以启用EDR。
ES-2:使用集中的现代杀毒软件
使用集中管理的杀毒软件。
ASC可以自动识别一些常用的杀毒软件。
ES-3:确保杀毒软件和签名及时进行更新
备份和回复
BR-1:确保定期进行备份
对VM SQL HANA数据库,file share进行备份。
BR-2:加密备份数据
Azure常规的备份时自动加密的。
BR-3确保使用客户自己托管的密钥