Standardní hodnoty zabezpečení Azure pro Azure Monitor
Tyto standardní hodnoty zabezpečení aplikují na Azure Monitor pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 . Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro Azure Monitor.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na Azure Monitor, byly vyloučeny. Pokud chcete zjistit, jak se Azure Monitor kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, projděte si úplný soubor mapování standardních hodnot zabezpečení služby Azure Monitor.
Profil zabezpečení
Profil zabezpečení shrnuje chování služby Azure Monitor s vysokým dopadem, které může vést k vyšším aspektům zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | DevOps, zabezpečení |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ne |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku, přiřaďte prostředku privátní IP adresy (je-li to možné).
Referenční informace: Použití Azure Private Link k připojení sítí ke službě Azure Monitor
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Skupiny zabezpečení sítě (NSG) slouží k omezení nebo monitorování provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla skupiny zabezpečení sítě, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a nástrojů pro vyrovnávání zatížení Azure.
Referenční informace: IP adresy používané službou Azure Monitor
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: S Azure Private Link můžete bezpečně propojit prostředky Azure PaaS (platforma jako služba) s vaší virtuální sítí pomocí privátních koncových bodů. Azure Monitor je souhvězdí různých vzájemně propojených služeb, které společně monitorují vaše úlohy. Azure Monitor Private Link připojí privátní koncový bod k sadě prostředků Služby Azure Monitor a definuje hranice vaší sítě pro monitorování. Tato sada se nazývá obor služby Azure Monitor Private Link (AMPLS).
Referenční informace: Použití Azure Private Link k připojení sítí ke službě Azure Monitor
Zakázání přístupu z veřejné sítě
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí pravidla filtrování seznamu ACL na úrovni služby nebo přepínače pro veřejný síťový přístup. Další informace najdete tady: Použití oboru Private Link služby Azure Monitor (AMPLS)
Referenční informace: Použití Azure Private Link k připojení sítí ke službě Azure Monitor
Správa identit
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Agent Azure Monitoru ve výchozím nastavení používá MSI\AAD a je zdokumentovaný tady: Konfigurace agenta Azure Log Analytics
Application Insights je potřeba nakonfigurovat tak, aby vynucovala AAD, a je to popsané tady: Ověřování Application Insights AAD.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Azure AD ověřování pro Application Insights
Metody místního ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Před instalací agenta Azure Monitoru musí být spravovaná identita na virtuálních počítačích Azure povolená. Požadavky na agenta Azure Monitoru
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Azure AD ověřování pro Application Insights
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: To platí jenom pro zabezpečené webhooky.
Pokyny ke konfiguraci: Microsoft v současné době neobsahuje žádné pokyny ke konfiguraci této funkce. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Vytváření a správa skupin akcí v Azure Portal
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace: Přehled rozhraní API služby Log Analytics služby Azure Monitor
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Role, oprávnění a zabezpečení ve službě Azure Monitor
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: K dispozici pouze v případech, kdy je služba Azure Monitor Log Analytics nakonfigurovaná s vyhrazeným clusterem.
Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí všech žádostí Microsoftu o přístup k datům. To platí jenom pro data protokolů ve vyhrazených clusterech.
Referenční informace: Customer Lockbox (Preview)
Ochrana dat
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Všechny nakonfigurované ve výchozím nastavení s výjimkou příjmu dat.
Pro Log Analytics
Pokyny ke konfiguraci: Povolte zabezpečený přenos ve službách, kde je integrovaná funkce šifrování nativních přenášených dat. Vynucujte https u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0 nebo TLS v1.0, by měly být zakázané. Pro vzdálenou správu Virtual Machines použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo RDP/TLS (pro Windows).
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Data služby Azure Monitor jsou data o stavu služeb a nejsou ve výchozím nastavení chráněná modulem Customer Lockbox. Lockbox může chránit jenom protokoly a jenom pro vyhrazené clustery.
Pokyny ke konfiguraci: Data služby Azure Monitor jsou určená pouze pro data stavu služby a pouze data protokolů uložená ve vyhrazených clusterech umožňují používat klíče spravované zákazníkem pro šifrování neaktivních uložených dat. V případě potřeby z důvodu dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Klíč spravovaný zákazníkem služby Azure Monitor
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor použijte k vytváření upozornění v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [zamítnout] a [nasadit, pokud neexistuje].
Referenční informace: Vytváření nastavení diagnostiky ve velkém měřítku pomocí Azure Policy
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Nastavení diagnostiky ve službě Azure Monitor
Backup a obnovení
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure