Sdílet prostřednictvím


Standardní hodnoty zabezpečení Azure pro Azure Data Box

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu cloudového zabezpečení microsoftu verze 1.0 pro Azure Data Box. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro Azure Data Box.

Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Funkce , které se nevztahují na Azure Data Box, byly vyloučeny. Pokud chcete zjistit, jak se Azure Data Box zcela mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Data Boxu.

Profil zabezpečení

Profil zabezpečení shrnuje chování Azure Data Boxu s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut chování služby Hodnota
Kategorie produktu Storage
Zákazník má přístup k hostiteli nebo operačnímu systému Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ne
Ukládá obsah zákazníka v klidovém stavu. Ano

Zabezpečení sítě

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Podpora skupiny zabezpečení sítě

Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

NS-2: Zabezpečení cloudových služeb pomocí ovládacích prvků sítě

Funkce

Popis: Funkce nativního filtrování IP adres služby pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Zakázání přístupu k veřejné síti

Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Správa identit

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.

IM-1: Použití centralizované identity a ověřovacího systému

Funkce

Metody místního ověřování pro přístup k rovině dat

Popis: Metody místního ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Zákazník

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.

Další pokyny: Nevyžadují se žádné další konfigurace, protože je spravuje platforma Azure.

Referenční informace: Řízení přístupu zařízení pomocí klíče pro odemknutí zařízení

IM-3: Zabezpečená a automatická správa identit aplikací

Funkce

Spravované identity

Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Instanční objekty

Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

IM-7: Omezení přístupu k prostředkům na základě podmínek

Funkce

Podmíněný přístup pro rovinu dat

Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů

Funkce

Integrace a úložiště přihlašovacích údajů služby a tajných kódů v Azure Key Vault

Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

Privilegovaný přístup

Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.

PA-1: Oddělení a omezení vysoce privilegovaných uživatelů nebo uživatelů s oprávněními pro správu

Funkce

Místní účty Správa

Popis: Služba má koncept místního účtu pro správu. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Můžete určit, kdo bude mít přístup k vaší objednávce Data Boxu při prvním vytvoření objednávky. Dvě role, které je možné definovat pro službu Azure Data Box, jsou:

Data Box Reader – má k objednávce definované oborem přístup jen pro čtení. Můžou jenom zobrazit podrobnosti objednávky. Nemůžou získat přístup k žádným dalším podrobnostem souvisejícím s účty úložiště ani upravovat podrobnosti objednávky, jako je adresa atd.

Přispěvatel Data Boxu – může vytvořit objednávku k přenosu dat do daného účtu úložiště jenom v případě, že už má oprávnění k zápisu do účtu úložiště. Pokud nemají přístup k účtu úložiště, nemůžou ani vytvořit objednávku Data Boxu ke kopírování dat do účtu. Tato role nedefinuje žádná oprávnění související s účtem úložiště ani neuděluje přístup k účtům úložiště.

Pokud chcete omezit přístup k objednávce, můžete:

  • Přiřaďte roli na úrovni objednávky. Uživatel má jenom ta oprávnění definovaná rolemi k interakci pouze s konkrétní objednávkou Data Boxu a nic jiného.
  • Přiřaďte roli na úrovni skupiny prostředků. Uživatel má přístup ke všem objednávkám Data Boxu v rámci skupiny prostředků.

Referenční informace: Nastavení řízení přístupu pro objednávku

PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu

Funkce

Customer Lockbox

Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí všech žádostí Microsoftu o přístup k datům.

Referenční informace: Použití Customer Lockboxu pro Azure Data Box

Ochrana dat

Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Funkce

Zjišťování a klasifikace citlivých dat

Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.

DP-2: Monitorování anomálií a hrozeb cílených na citlivá data

Funkce

Ochrana před únikem nebo ztrátou dat

Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

DP-3: Šifrování přenášených citlivých dat

Funkce

Šifrování dat při přenosu

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.

Referenční informace: Povolení protokolu TLS 1.1 nebo nižší v Azure Data Boxu

DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.

Funkce

Šifrování dat v klidovém stavu pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.

Referenční informace: Šifrování neaktivních uložených dat pro Data Box

DP-5: Použití možnosti klíče spravovaného zákazníkem při šifrování neaktivních uložených dat v případě potřeby

Funkce

Šifrování dat v klidovém stavu pomocí CMK

Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde se vyžaduje šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.

Referenční informace: Použití klíčů spravovaných zákazníkem v Azure Key Vault pro Azure Data Box

DP-6: Použití zabezpečeného procesu správy klíčů

Funkce

Správa klíčů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.

Referenční informace: Použití klíčů spravovaných zákazníkem v Azure Key Vault pro Azure Data Box

DP-7: Použití zabezpečeného procesu správy certifikátů

Funkce

Správa certifikátů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny zákaznické certifikáty. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Správa aktiv

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.

AM-2: Používejte jenom schválené služby

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor slouží k vytváření upozornění, když se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [odepřít] a [nasadit, pokud neexistuje].

Referenční informace: Azure Policy ovládacích prvků dodržování právních předpisů pro Azure Data Box

Protokolování a detekce hrozeb

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender pro službu / nabídku produktů

Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Backup a obnovení

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.

BR-1: Zajištění pravidelného automatizovaného zálohování

Funkce

Azure Backup

Popis: Službu může zálohovat služba Azure Backup. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Funkce nativního zálohování služby

Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Další kroky