Sdílet prostřednictvím


Standardní hodnoty zabezpečení Azure pro Azure NetApp Files

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na Azure NetApp Files. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny vztahujícími se ke službě Azure NetApp Files.

Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.

Pokud má funkce relevantní definice služby Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacích testů zabezpečení cloudu Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka:

Funkce , které se nevztahují na Službu Azure NetApp Files, byly vyloučeny. Pokud chcete zjistit, jak azure NetApp Files kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure NetApp Files.

Profil zabezpečení

Profil zabezpečení shrnuje chování služby Azure NetApp Files s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut chování služby Hodnota
Kategorie produktu Úložiště
Zákazník má přístup k hostiteli nebo operačnímu systému Bez přístupu
Službu je možné nasadit do virtuální sítě zákazníka. True
Ukládá neaktivní uložený obsah zákazníka. True

Zabezpečení sítě

Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
True False Zákazník

Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku, přiřaďte k prostředku privátní IP adresy (pokud je to možné).

Referenční informace: Vytvoření svazku NFS pro Azure NetApp Files

Podpora skupin zabezpečení sítě

Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě v jejích podsítích. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
True False Zákazník

Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG pro omezení otevřených portů vaší služby (například zabránění přístupu portů pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a služby Azure Load Balancers.

Referenční informace: Pokyny pro plánování sítě Azure NetApp Files

Správa identit

Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa identit.

IM-1: Použití centralizovaného systému identit a ověřování

Funkce

Vyžadováno ověřování Azure AD pro přístup k rovině dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Poznámky k funkcím: Azure NetApp Files zveřejňuje standardní protokoly NFS a SMB, které používají standardní klienty poskytované operačním systémem.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

IM-3: Zabezpečená a automatická správa identit aplikací

Funkce

Spravované identity

Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Poznámky k funkcím: Tato funkce je aktuálně v privátní verzi Preview. Spravovaná identita se použije pro přístup ke klíči spravovanému zákazníkem ve službě Azure Key Vault pro scénáře šifrování neaktivních uložených dat.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Instanční objekty

Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

IM-7: Omezení přístupu k prostředkům na základě podmínek

Funkce

Podmíněný přístup pro rovinu dat

Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů

Funkce

Integrace přihlašovacích údajů a tajných kódů služby a úložiště ve službě Azure Key Vault

Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Poznámky k funkcím: Tato funkce je aktuálně v privátní verzi Preview.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Privilegovaný přístup

Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Privilegovaný přístup.

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Řízení přístupu na základě role v Azure (Azure RBAC) se dá použít ke správě přístupu k akcím roviny dat služby. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Poznámky k funkcím: Azure NetApp Files zveřejňuje standardní protokoly NFS a SMB a tyto standardy neumožňují RBAC. Každý z těchto protokolů zveřejňuje své vlastní mechanismy řízení přístupu.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu

Funkce

Customer Lockbox

Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Ochrana dat

Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Ochrana dat.

DP-1: Zjišťování, klasifikace a označování citlivých dat

Funkce

Zjišťování a klasifikace citlivých dat

Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data

Funkce

Únik dat / Ochrana před únikem informací

Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-3: Šifrování citlivých dat během přenosu

Funkce

Šifrování dat při přenosu

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
True False Zákazník

Poznámky k funkcím: SMBv3 může být šifrovaný, ale NSFv3 nepodporuje šifrování.

Pokyny ke konfiguraci: Povolení zabezpečeného přenosu ve službách, kde je integrovaná nativní funkce šifrování přenosu dat. Vynucujte HTTPS u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0, tls v1.0 by měly být zakázané. Pro vzdálenou správu virtuálních počítačů použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu.

Referenční informace: Osvědčené postupy pro výkon protokolu SMB pro Azure NetApp Files

DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení

Funkce

Šifrování neaktivních uložených dat pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
True True Microsoft

Poznámky k funkcím: Azure NetApp Files využívá výchozí šifrování neaktivních uložených dat od Microsoftu.

Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby

Funkce

Šifrování neaktivních uložených dat pomocí cmk

Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Poznámky k funkcím: Tato funkce je aktuálně obecně dostupná (GA).

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-6: Použití zabezpečeného procesu správy klíčů

Funkce

Správa klíčů ve službě Azure Key Vault

Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-7: Použití zabezpečeného procesu správy certifikátů

Funkce

Správa certifikátů ve službě Azure Key Vault

Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Správa aktiv

Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa prostředků.

AM-2: Používejte pouze schválené služby.

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
True False Zákazník

Pokyny ke konfiguraci: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pokud chcete vynutit zabezpečenou konfiguraci napříč prostředky Azure, použijte azure Policy [odepřít] a [nasadit, pokud neexistuje].

Referenční informace: Definice azure Policy pro Azure NetApp Files

Protokolování a detekce hrozeb

Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender for Service / Nabídka produktů

Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Poznámky k funkcím: Tato funkce není aktuálně dostupná.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Zálohování a obnovování

Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Funkce

Azure Backup

Popis: Službu může zálohovat služba Azure Backup. Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
False Neuvedeno Neuvedeno

Poznámky k funkcím: I když azure Backup není podporované, je k dispozici řešení zálohování nativní pro službu.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Funkce nativního zálohování služby

Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
True False Zákazník

Pokyny ke konfiguraci konfigurace: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny Microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.

Referenční informace: Principy zálohování služby Azure NetApp Files

Další kroky