Standardní hodnoty zabezpečení Azure pro Azure Migrate
Tento standardní plán zabezpečení použije na Azure Migrate pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 . Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů týkajících se služby Azure Migrate.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na Azure Migrate, byly vyloučeny. Pokud chcete zjistit, jak se Služba Azure Migrate kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure Migrate.
Profil zabezpečení
Profil zabezpečení shrnuje chování služby Azure Migrate s vysokým dopadem, což může vést k vyšším aspektům zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Migrace |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.
NS-2: Zabezpečení cloudových služeb pomocí ovládacích prvků sítě
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres služby pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Zákazník může nakonfigurovat službu Azure Migrate tak, aby vyžadovala Private Link.
Pokyny ke konfiguraci: Nasazení privátních koncových bodů pro všechny prostředky Azure, které podporují funkci Private Link, za účelem vytvoření privátního přístupového bodu pro prostředky.
Podpora služby Azure Migrate Private Link umožňuje zákazníkům bezpečně zjišťovat, vyhodnocovat a migrovat servery přes privátní síť a současně nabízí ochranu před riziky exfiltrace dat a umožňuje vyšší rychlost migrace.
K Azure Migrate se můžete připojit soukromě a bezpečně přes privátní partnerský vztah Azure ExpressRoute nebo připojení site-to-site (S2S) VPN pomocí Private Link.
Referenční informace: Použití služby Azure Migrate s Azure Private Link
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Zákazník může nakonfigurovat službu Azure Migrate pomocí Private Link, čímž zakáže přístup k veřejnému koncovému bodu.
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí přepnutím přepínače pro přístup k veřejné síti.
Můžete nakonfigurovat metodu připojení pro projekt Azure Migrate a zvolit povolení nebo zakázání veřejného síťového přístupu k projektu Migrate.
Referenční informace: Použití služby Azure Migrate s privátními koncovými body
Správa identit
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.
IM-1: Použití centralizované identity a ověřovacího systému
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure Migrate využívá spravované identity a instanční objekty v Azure AD pro určité operace roviny dat. Azure Migrate také podporuje Azure AD pro uživatelský přístup k řídicí rovině prostřednictvím webu Azure Portal.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Microsoft |
Poznámky k funkcím: Azure Migrate používá spravovanou identitu k zabezpečenému přístupu k migrovaným datům, která jsou uložená v účtu úložiště. V současné době se používá ve scénáři, kdy je nakonfigurovaný privátní koncový bod.
Pokyny ke konfiguraci: Pokud je to možné, použijte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Služby zjišťování a hodnocení v rámci služby Azure Migrate nepoužívají instanční objekty, ale služba migrace používá instanční objekty ve scénáři veřejného koncového bodu pro připojení k trezoru klíčů zákazníka pomocí aplikace Správce obnovení Hyper-V.
Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Integrace a úložiště přihlašovacích údajů služby a tajných kódů v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Zařízení Azure Migrate využívá ke správě připojovacích řetězců pro službu Service Bus Key Vault a přístupové klíče k účtům úložiště se používají k replikaci.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Ochrana dat
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Šifrování přenášených dat je ve výchozím nastavení povolené. Azure Migrate podporuje šifrování přenášených dat s protokolem TLS verze 1.2 nebo novější.
I když je to pro provoz v privátních sítích volitelné, je to důležité pro provoz v externích a veřejných sítích. V případě provozu HTTP se ujistěte, že klienti (včetně zařízení Azure Migrate a dalších počítačů, na které jste nainstalovali software Azure Migrate) připojující se k prostředkům Azure, můžou vyjednat protokol TLS verze 1.2 nebo vyšší. Pro vzdálenou správu použijte místo nešifrovaného protokolu protokol SSH (pro Linux) nebo RDP/TLS (pro Windows). Zastaralé verze a protokoly SSL, TLS a SSH a slabé šifry by měly být zakázané.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Všechna neaktivní uložená data ve službě Azure Migrate se šifrují pomocí klíčů spravovaných Microsoftem.
Nástroj pro migraci serverů ve službě Azure Migrate replikuje data z disků serverů migrovaných na účty úložiště a spravované disky ve vašem předplatném Azure. Zpracování dat je přechodné, dokud se nezapíšou na účty úložiště nebo spravované disky v předplatném, a ve službě Azure Migrate se neuchovávají. Replikovaná data v účtu úložiště a spravovaných discích se v klidovém stavu šifrují pomocí klíčů spravovaných Microsoftem. U vysoce citlivých dat máte možnost implementovat další šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem na účtu úložiště a spravovaných discích.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte a implementujte šifrování neaktivních uložených dat pro replikovaná data pomocí klíčů spravovaných zákazníkem.
Pokud chcete replikovat virtuální počítače s cmk, budete muset v cílové skupině prostředků vytvořit sadu pro šifrování disků. Objekt sady šifrování disku mapuje Spravované disky na Key Vault obsahující cmk, který se má použít pro SSE.
Referenční informace: Migrace virtuálních počítačů VMware do Azure (bez agentů)
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Zařízení Azure Migrate využívá ke správě připojovacích řetězců pro službu Service Bus Key Vault a přístupové klíče k účtům úložiště se používají k replikaci.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Nastavení zařízení Azure Migrate
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Azure Migrate může využívat Azure Policy, ale aby je zákazník nakonfiguroval, aby je vynutil.
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor použijte k vytváření upozornění v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [zamítnout] a [nasadit, pokud neexistuje].
Referenční informace: Azure Policy předdefinovaných definic pro službu Azure Migrate
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure