安全性控制：安全設定

建立、實作及主動管理（追蹤、報告和修正）Azure 資源的安全性設定，以防止攻擊者利用易受攻擊的服務與設定。

7.1：為所有 Azure 資源建立安全設定

使用 Azure 原則別名來建立自定義原則，以稽核或強制執行 Azure 資源的設定。 您也可以使用內建的 Azure 原則定義。

此外，Azure Resource Manager 能夠導出 JavaScript 物件表示法 （JSON） 中的範本，這應該經過檢閱，以確保組態符合/超過組織的安全性需求。

您也可以使用來自 Azure 資訊安全中心的建議作為 Azure 資源的安全設定基準。

• 如何檢視可用的 Azure 原則別名

• 教學課程：建立和管理原則以強制執行合規性

• 在 Azure 入口網站中將單一和多重資源匯出至範本

• 安全性建議 - 參考指南

7.2：建立安全的作業系統設定

使用 Azure 資訊安全中心建議，在所有計算資源上維護安全性設定。 此外，您可以使用自定義作系統映像或 Azure 自動化狀態設定，來建立組織所需的作系統安全性設定。

• 如何監視 Azure 資訊安全中心建議

• 安全性建議 - 參考指南

• Azure 自動化狀態設定概觀

• 上傳 VHD，並使用它在 Azure 中建立新的 Windows VM

• 使用 Azure CLI 從自定義磁碟建立 Linux VM

7.3：維護安全的 Azure 資源設定

使用 Azure 原則 [拒絕] 和 [不存在則部署]，在 Azure 資源中強制執行安全設定。 此外，您可以使用 Azure Resource Manager 範本來維護組織所需的 Azure 資源安全性設定。

• 瞭解 Azure 原則效果

• 建立和管理原則以強制執行合規性

• Azure Resource Manager 樣本概觀

7.4：維護安全的作業系統設定

請遵循來自 Azure 資訊安全中心的建議，以在 Azure 計算資源上執行弱點評估。 此外，您可以使用 Azure Resource Manager 範本、自定義作系統映像或 Azure 自動化狀態設定來維護組織所需的作系統安全性設定。 結合 Azure 自動化預期狀態設定的 Microsoft 虛擬機範本，可能有助於滿足和維護安全性需求。

此外，請注意，Microsoft所發行的 Azure Marketplace 虛擬機映像是由 Microsoft 管理和維護。

• 如何實作 Azure 資訊安全中心弱點評估建議

• 如何從 Azure Resource Manager 範本建立 Azure 虛擬機

• Azure 自動化狀態設定概觀

• 在 Azure 入口網站中建立 Windows 虛擬機

• 如何下載 VM 範本的相關信息

• 將 VHD 上傳至 Azure 並建立新 VM 的範例腳本

7.5：安全地儲存 Azure 資源的設定

使用 Azure DevOps 安全地儲存和管理程式代碼，例如自定義 Azure 原則、Azure Resource Manager 範本和預期狀態設定腳本。 若要存取您在 Azure DevOps 中管理的資源，您可以授予或拒絕特定使用者、內建安全群組或在 Azure Active Directory （Azure AD） 中定義的群組的許可權，前提是它們已與 Azure DevOps 整合；如果已與 TFS 整合，則是 Active Directory。

• 如何在 Azure DevOps 中儲存程式代碼

• 關於 Azure DevOps 中的許可權和群組

7.6：安全地儲存自定義作系統映像

如果使用自定義映像，請使用 Azure 角色型存取控制 （Azure RBAC） 來確保只有授權的使用者才能存取映像。 使用共用映像庫，您可以將映射共用至組織內的不同用戶、服務主體或 AD 群組。 針對容器映像，將它們儲存在 Azure Container Registry 中，並利用 Azure RBAC 來確保只有授權的使用者才能存取映像。

• 瞭解 Azure RBAC

• 了解適用於 Container Registry 的 Azure RBAC

• 如何設定 Azure RBAC

• 共用映像庫概觀

7.7：部署適用於 Azure 資源的組態管理工具

使用 Azure 原則定義及實作 Azure 資源的標準安全性設定。 使用 Azure 原則別名來建立自定義原則，以稽核或強制執行 Azure 資源的網路設定。 您也可以使用與您特定資源相關的內建原則定義。 此外，您可以使用 Azure 自動化來部署組態變更。

• 如何設定和管理 Azure 原則

• 如何使用別名

7.8：部署作業系統的組態管理工具

Azure 自動化狀態設定是任何雲端或內部部署資料中心中預期狀態設定 （DSC） 節點的組態管理服務。 您可以輕鬆地接入機器、分配宣告式設定，並查看顯示每台機器符合所需狀態的合規性報告。

• 將機器上線以供 Azure 自動化狀態設定管理

7.9：為 Azure 資源實作自動化設定監視

使用 Azure 安全中心對您的 Azure 資源執行基準掃描。 此外，使用 Azure 原則來警示和稽核 Azure 資源設定。

• 如何在 Azure 資訊安全中心修正建議

7.10：對作業系統實施自動化設定監控

使用 Azure 資訊安全中心針對容器執行 OS 和 Docker 設定的基準掃描。

• 瞭解 Azure 資訊安全中心容器建議

7.11：安全地管理 Azure 秘密

搭配 Azure Key Vault 使用受控服務識別，以簡化及保護雲端應用程式的秘密管理。

• 如何與 Azure 受控識別整合

• 如何建立 Key Vault

• 如何向 Key Vault 進行驗證

• 如何指派 Key Vault 存取原則

7.12：安全地自動管理身分識別

使用受控身份為 Azure 服務在 Azure AD 中提供自動化的管理身份。 受控識別可讓您向任何支援 Azure AD 驗證的服務進行驗證，包括 Key Vault，而不需要程式代碼中的任何認證。

• 如何設定受控識別

7.13：消除非預期的認證暴露

實作認證掃描器，以識別程式代碼內的認證。 認證掃描器也會鼓勵將探索到的認證移至更安全的位置，例如 Azure Key Vault。

• 如何設定認證掃描器

後續步驟

• 請參閱下一個安全性控制： 惡意代碼防禦