Standardní hodnoty zabezpečení Azure pro Azure Monitor
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 na Azure Monitor. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny pro Azure Monitor.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice služby Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacích testů zabezpečení cloudu Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na Azure Monitor, byly vyloučeny. Pokud chcete zjistit, jak se Azure Monitor kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure Monitor.
Profil zabezpečení shrnuje chování služby Azure Monitor s vysokým dopadem, což může vést k vyšším aspektům zabezpečení.
Atribut chování služby | Hodnota |
---|---|
Kategorie produktu | DevOps, zabezpečení |
Zákazník má přístup k hostiteli nebo operačnímu systému | Bez přístupu |
Službu je možné nasadit do virtuální sítě zákazníka. | False |
Ukládá neaktivní uložený obsah zákazníka. | True |
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zabezpečení sítě.
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku, přiřaďte k prostředku privátní IP adresy (pokud je to možné).
Referenční informace: Připojení sítí ke službě Azure Monitor pomocí služby Azure Private Link
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě v jejích podsítích. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG pro omezení otevřených portů vaší služby (například zabránění přístupu portů pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a služby Azure Load Balancers.
Referenční informace: IP adresy používané službou Azure Monitor
Popis: Funkce filtrování nativních IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo službou Azure Firewall). Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Pokyny ke konfiguraci: Pomocí služby Azure Private Link můžete bezpečně propojit prostředky platformy Azure jako služby (PaaS) s virtuální sítí pomocí privátních koncových bodů. Azure Monitor je souhvězdí různých vzájemně propojených služeb, které spolupracují na monitorování úloh. Privátní propojení Azure Monitoru propojuje privátní koncový bod se sadou prostředků služby Azure Monitor a definuje hranice vaší monitorovací sítě. Tato sada se nazývá obor služby Azure Monitor Private Link (AMPLS).
Referenční informace: Připojení sítí ke službě Azure Monitor pomocí služby Azure Private Link
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (ne NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Pokyny ke konfiguraci: Zakažte přístup k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby, nebo přepínače pro přístup k veřejné síti. Další informace najdete tady: Použití oboru služby Private Link služby Azure Monitor (AMPLS)
Referenční informace: Připojení sítí ke službě Azure Monitor pomocí služby Azure Private Link
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa identit.
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | True | Microsoft |
Poznámky k funkcím: Agent Služby Azure Monitor ve výchozím nastavení používá MSI\AAD a je zdokumentovaný tady: Konfigurace agenta Azure Log Analytics
Služba Application Insights musí být nakonfigurovaná tak, aby vynucovala AAD a je zdokumentovaná tady ověřování Application Insights AAD.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Ověřování Azure AD pro Application Insights
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Poznámky k funkcím: Před instalací agenta Azure Monitor musí být na virtuálních počítačích Azure povolená spravovaná identita. Požadavky agenta služby Azure Monitor
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměněné a chráněné platformou. Vyhnete se pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Ověřování Azure AD pro Application Insights
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Poznámky k funkcím: To platí jenom pro zabezpečené webhooky.
Pokyny ke konfiguraci konfigurace: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny Microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Vytváření a správa skupin akcí na webu Azure Portal
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace: Přehled rozhraní API služby Azure Monitor Log Analytics
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Privilegovaný přístup.
Popis: Řízení přístupu na základě role v Azure (Azure RBAC) se dá použít ke správě přístupu k akcím roviny dat služby. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | True | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Role, oprávnění a zabezpečení ve službě Azure Monitor
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Poznámky k funkcím: K dispozici pouze v případech, kdy je služba Azure Monitor Log Analytics nakonfigurovaná s vyhrazeným clusterem.
Pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte všechny žádosti o přístup k datům Microsoftu. To platí jenom pro data protokolu ve vyhrazených clusterech.
Referenční informace: Customer Lockbox (Preview)
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Ochrana dat.
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Poznámky k funkcím: Ve výchozím nastavení jsou nakonfigurované všechny kromě příjmu dat.
Pro Log Analytics
Pokyny ke konfiguraci: Povolení zabezpečeného přenosu ve službách, kde je integrovaná nativní funkce šifrování přenosu dat. Vynucujte HTTPS u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0, tls v1.0 by měly být zakázané. Pro vzdálenou správu virtuálních počítačů použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu.
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | True | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Poznámky k funkcím: Data služby Azure Monitor jsou data o stavu služeb a ve výchozím nastavení nejsou chráněná službou Customer Lockbox. Lockbox může chránit jenom protokoly a pouze pro vyhrazené clustery.
Pokyny ke konfiguraci: Data služby Azure Monitor jsou určená jenom pro data o stavu služby a data protokolu uložená ve vyhrazených clusterech umožňují používat klíče spravované zákazníkem pro šifrování neaktivních uložených dat. V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Klíč spravovaný zákazníkem služby Azure Monitor
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa prostředků.
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | False | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pokud chcete vynutit zabezpečenou konfiguraci napříč prostředky Azure, použijte azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Vytvoření nastavení diagnostiky ve velkém měřítku pomocí Služby Azure Policy
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Protokolování a detekce hrozeb.
Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
True | True | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Nastavení diagnostiky ve službě Azure Monitor
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zálohování a obnovení.
Popis: Službu může zálohovat služba Azure Backup. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu .
- Přečtěte si další informace o standardních hodnotách zabezpečení Azure.