Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na zálohování. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah je seskupený kontrolními prvky zabezpečení definovanými srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny souvisejícími se zálohováním.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice zásad Azure Policy, jsou uvedeny v této základní linii, což vám pomůže měřit shodu s kontrolními mechanismy a doporučeními bezpečnostního standardu Microsoft Cloud. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka:
Funkce , které nejsou použitelné pro zálohování, byly vyloučeny. Pokud chcete zjistit, jak služba Backup kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení zálohování.
Profil zabezpečení
Profil zabezpečení shrnuje chování zálohování s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | MGMT/Řízení |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Žádný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Nepravda |
| Ukládá obsah zákazníka v klidu. | Nepravda |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zabezpečení sítě.
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Features
Azure Private Link
Popis: Služba nativního filtrování IP adres pro filtrování síťového provozu (není zaměňováno s NSG nebo službou Azure Firewall). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Referenční informace: Dostupnost služby Azure Private Link
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (ne NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Zakažte přístup k veřejné síti buď pomocí pravidla filtrování seznamu řízení přístupu (ACL) na úrovni služby, nebo přepínače pro nastavení přístupu k veřejné síti.
Reference: Odepřít přístup veřejné sítě k trezoru
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa identit.
IM-3: Zabezpečená a automatická správa identit aplikací
Features
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Poznámky k funkcím: Spravovanou identitu lze vytvořit pro váš trezor a funguje pouze v řídicí rovině.
Další informace najdete v tématu: Povolení spravované identity pro váš trezor.
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Features
Integrace podpory přístupových údajů a tajemství a jejich úložiště ve službě Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Tato funkce je podporovaná pro všechny scénáře s výjimkou místního scénáře, kdy soubor přihlašovacích údajů trezoru není uložený v AKV.
Pokyny ke konfiguraci: Ujistěte se, že jsou tajné kódy a přihlašovací údaje uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne jejich vkládání do kódu nebo konfiguračních souborů.
Referenční informace: Konfigurace trezoru pro šifrování pomocí klíčů spravovaných zákazníkem
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-7: Dodržujte princip minimální správy (princip nejmenších privilegií).
Features
Azure RBAC pro datovou vrstvu
Popis: Řízení přístupu na základě role v Azure (Azure RBAC) se dá použít ke správě přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Poznámky k funkcím: Azure RBAC je podporován pro akce řídicí roviny.
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Ochrana dat.
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Features
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje DLP řešení pro monitorování pohybu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Azure Backup podporuje pokročilé funkce, jako jsou neměnné trezory, softwarové smazání, autorizace s více uživateli, které pomáhají chránit zálohovaná data zákazníků, která mají obvykle citlivou povahu.
Další informace najdete v tématu: Neměnný trezor, Měkké smazání a Víceuživatelská autorizace.
Pokyny ke konfiguraci: Pro tuto konfiguraci funkcí neexistují žádné pokyny Microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
DP-3: Šifrování citlivých dat během přenosu
Features
Šifrování dat při přenosu
Popis: Služba podporuje šifrování dat při přenosu v datové vrstvě. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Zabezpečení přenosové vrstvy ve službě Backup
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Features
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: úrovně šifrování v azure-backup
DP-5: Při šifrování dat v klidu použijte možnost klíče spravovaného zákazníkem, když je to vyžadováno
Features
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Šifrování zálohovaných dat pomocí klíčů spravovaných zákazníkem
DP-6: Použití zabezpečeného procesu správy klíčů
Features
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměňujte a odvolávejte své klíče ve službě Azure Key Vault a vaší službě podle definovaného plánu nebo v případě vyřazení klíče či jeho kompromitace. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že klíče jsou zaregistrované ve službě Azure Key Vault a také jsou odkazovány pomocí ID klíčů ze služby nebo aplikace. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.
Referenční informace: Šifrování ve službě Azure Backup
DP-7: Použití zabezpečeného procesu správy certifikátů
Features
Správa certifikátů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu certifikátu, včetně vytvoření, importu, obměny, odvolání, úložiště a vymazání certifikátu. Ujistěte se, že generování certifikátů dodržuje definované standardy bez použití nezabezpečených vlastností, například: nedostatečná velikost klíče, delší doba platnosti, nezabezpečená kryptografie. Nastavení automatické obměny certifikátu ve službě Azure Key Vault a služby Azure (pokud je podporováno) na základě definovaného plánu nebo vypršení platnosti certifikátu. Pokud v aplikaci není automatická rotace podporovaná, ujistěte se, že se stále obměňují pomocí ručních metod ve službě Azure Key Vault a aplikace.
Referenční informace: Šifrování zálohování
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby.
Features
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Reference: Zálohování Azure Policy
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Features
Microsoft Defender for Service / Nabídka produktů
Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
LT-4: Aktivujte protokolování pro vyšetřování bezpečnosti
Features
Protokoly prostředků Azure
Popis: Služba vytváří záznamy zdrojů, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastního datového úložiště, jako je účet pro ukládání nebo pracovní prostor služby Log Analytics. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu. Například Key Vault podporuje další protokoly prostředků pro akce, které získávají tajemství z trezoru klíčů, zatímco Azure SQL má k dispozici protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Reference: Použití diagnostických nastavení pro trezory Recovery Services
Zálohování a obnovování
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Features
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Monitorování cloudu pomocí Microsoft Defenderu
Vestavěné definice Azure Policy – Microsoft.RecoveryServices:
| Název (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, deaktivováno | 3.0.0 |
Další kroky
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu.
- Další informace o standardních hodnotách zabezpečení Azure