Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na Azure Cache for Redis. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny vztahujícími se ke službě Azure Cache for Redis.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice zásad Azure Policy, jsou uvedeny v této základní linii, což vám pomůže měřit shodu s kontrolními mechanismy a doporučeními bezpečnostního standardu Microsoft Cloud. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka:
Funkce , které se nevztahují na Azure Cache for Redis, byly vyloučeny. Pokud chcete zjistit, jak azure Cache for Redis kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure Cache for Redis.
Profil zabezpečení
Profil zabezpečení shrnuje chování s vysokým dopadem služby Azure Cache for Redis, což může vést k povznesené úvaze o zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Databáze |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Žádný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Pravdivé |
| Ukládá zákaznický obsah v klidu. | Nepravda |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Vlastnosti
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Tato funkce se podporuje pouze u instance Azure Cache for Redis úrovně Premium.
Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku, přiřaďte k prostředku privátní IP adresy (pokud je to možné).
Reference: Konfigurace podpory virtuální sítě pro Premium instanci Azure Cache for Redis
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby dodržuje pravidla síťových bezpečnostních skupin v jejích podsítích. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Tato funkce platí jenom pro mezipaměti vložené do virtuální sítě.
Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG pro omezení otevřených portů vaší služby (například zabránění přístupu portů pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a služby Azure Load Balancers.
Reference: Konfigurace podpory virtuální sítě pro Premium instanci Azure Cache for Redis
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Vlastnosti
Azure Private Link
Popis: Funkce filtrování nativních IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo službou Azure Firewall). Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Tato funkce není podporována u mezipamětí nasazených v klasických virtuálních sítích.
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Referenční informace: Azure Cache for Redis se službou Azure Private Link
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (ne NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Poznámky k funkcím: Tato funkce není podporována u mezipamětí nasazených v klasických virtuálních sítích. Příznak publicNetworkAccess je ve výchozím nastavení zakázaný.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Azure Cache for Redis se službou Azure Private Link
Monitorování cloudu pomocí Microsoft Defenderu
Předdefinované definice azure Policy – Microsoft.Cache:
| Název (Azure Portal) |
Popis | Efekt(y) | Verze (GitHub) |
|---|---|---|---|
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, deaktivováno | 1.0.0 |
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Vlastnosti
Vyžadováno ověřování Azure AD pro přístup k ploše dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Místní metody ověřování pro přístup k datovému rozhraní
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné. Nikdy nezakažujte ověřování úplně nastavením AuthNotRequired vlastnosti na true, protože se to důrazně nedoporučuje z hlediska zabezpečení a umožnilo by neověřený přístup k datům mezipaměti.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace. Ujistěte se, že AuthNotRequired vlastnost není nastavena na hodnotu true v konfiguraci Redis.
Referenční informace: Konfigurace služby Azure Cache for Redis, RedisCommonConfiguration.AuthNotRequired – vlastnost, Rozhraní REST API Redis – Vytvoření
IM-3: Zabezpečená a automatická správa identit aplikací
Vlastnosti
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Principál služby
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-7: Omezení přístupu k prostředkům na základě podmínek
Vlastnosti
Podmíněný přístup pro datovou rovinu
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Vlastnosti
Integrace podpory přístupových údajů a tajemství a jejich úložiště ve službě Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Vlastnosti
Účty místního správce
Popis: Služba má koncept účtu místního správce. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-7: Dodržujte princip minimální správy (princip nejmenších privilegií).
Vlastnosti
Azure RBAC pro datovou vrstvu
Popis: Azure Role-Based Řízení přístupu (Azure RBAC) lze použít pro správu přístupu k operacím na úrovni datové roviny služby. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Vlastnosti
Uzamčená schránka pro zákazníky
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Vlastnosti
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Vlastnosti
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje DLP řešení pro ochranu a monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-3: Šifrování citlivých dat během přenosu
Vlastnosti
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Konfigurace služby Azure Cache for Redis
Monitorování cloudu pomocí Microsoft Defenderu
Předdefinované definice azure Policy – Microsoft.Cache:
| Název (Azure Portal) |
Popis | Efekt(y) | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Auditujte povolení pouze připojení prostřednictvím protokolu SSL ke službě Azure Cache for Redis. Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Auditovat, Odepřít, Deaktivováno | 1.0.0 |
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Vlastnosti
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Poznámky k funkcím: Tato funkce není podporována u mezipamětí nasazených v klasických virtuálních sítích.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
DP-5: Při šifrování dat v klidu použijte možnost klíče spravovaného zákazníkem, když je to vyžadováno
Vlastnosti
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-6: Použití zabezpečeného procesu správy klíčů
Vlastnosti
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-7: Použití zabezpečeného procesu správy certifikátů
Vlastnosti
Správa certifikátů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby.
Vlastnosti
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pokud chcete vynutit zabezpečenou konfiguraci napříč prostředky Azure, použijte Azure Policy s efekty [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Předdefinované definice služby Azure Policy pro Azure Cache for Redis
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Vlastnosti
Microsoft Defender for Service / Nabídka produktů
Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
LT-4: Aktivujte protokolování pro vyšetřování bezpečnosti
Vlastnosti
Protokoly prostředků Azure
Popis: Služba vytváří záznamy zdrojů, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastního datového úložiště, jako je účet pro ukládání nebo pracovní prostor služby Log Analytics. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu. Například Key Vault podporuje další protokoly prostředků pro akce, které získávají tajemství z trezoru klíčů, zatímco Azure SQL má k dispozici protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční informace: Monitorování dat Azure Cache for Redis pomocí nastavení diagnostiky
Zálohování a obnovení
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Vlastnosti
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu.
- Další informace o standardních hodnotách zabezpečení Azure