Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Tento směrný plán zabezpečení vychází z předchozí verze srovnávacího testu Microsoft Cloud Security (v1.0) a může obsahovat zastaralé pokyny. Nejnovější pokyny k zabezpečení najdete v dokumentaci k úložišti.
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 do služby Storage. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny vztahujícími se k úložišti.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice zásad Azure Policy, jsou uvedeny v této základní linii, což vám pomůže měřit shodu s kontrolními mechanismy a doporučeními bezpečnostního standardu Microsoft Cloud. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka:
Funkce , které se nevztahují na úložiště, byly vyloučeny. Pokud chcete zjistit, jak služba Storage plně mapuje na referenční hodnoty zabezpečení cloudu Microsoft, podívejte se na úplný soubor s mapováním základních bezpečnostních požadavků úložiště.
Profil zabezpečení
Profil zabezpečení shrnuje chování úložiště s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Storage |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Žádný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Pravdivé |
| Ukládá obsah zákazníka v klidu. | Pravdivé |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Features
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Features
Azure Private Link
Popis: Funkce filtrování nativních IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo službou Azure Firewall). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Nasazení privátních koncových bodů pro Azure Storage za účelem vytvoření privátního přístupového bodu pro prostředky
Referenční informace: Použití privátních koncových bodů pro Azure Storage
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (ne NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Zakažte přístup k veřejné síti buď pomocí filtrování IP ACL na úrovni služby Azure Storage, nebo vypnutím přepínače pro přístup k veřejné síti.
Referenční informace: Změna výchozího pravidla síťového přístupu
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Features
Vyžadováno ověřování Azure AD pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Poznámky k funkcím: Úložiště nabízí několik způsobů autorizace k datové vrstvě. Azure poskytuje řízení přístupu na základě role v Azure (Azure RBAC) pro jemně odstupňované řízení přístupu klienta k prostředkům v účtu úložiště. Přihlašovací údaje Azure AD používejte, pokud je to možné jako osvědčený postup zabezpečení, a ne použití klíče účtu, což může být snadněji ohroženo. Když návrh vaší aplikace vyžaduje sdílený přístupový podpis pro přístup k úložišti objektů blob, použijte přihlašovací údaje Azure AD k vytvoření sdílených přístupových podpisů delegování uživatelů (SAS), pokud je to možné pro zajištění vyššího zabezpečení.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Autorizace přístupu k datům ve službě Azure Storage
Místní metody ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
Pokyny ke konfiguraci: Omezte použití místních metod ověřování pro přístup k rovině dat. Místo toho jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční informace: Model oprávnění SFTP
IM-3: Zabezpečená a automatická správa identit aplikací
Features
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje pro spravovanou identitu jsou plně spravovány, rotovány a chráněny platformou, což vám umožňuje vyhnout se pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Autorizace přístupu k datům objektů blob pomocí spravovaných identit pro prostředky Azure
Principál služby
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Další pokyny: Pomocí Azure AD můžete pomocí řízení přístupu na základě role (Azure RBAC) udělit oprávnění k objektu zabezpečení, což může být uživatel, skupina nebo instanční objekt aplikace. Objekt zabezpečení je ověřen službou Azure AD, aby bylo možné získat token OAuth 2.0. Token se pak dá použít k autorizaci požadavku ve službě Blob Service.
Referenční informace: Autorizace přístupu k objektům blob pomocí Azure Active Directory
IM-7: Omezení přístupu k prostředkům na základě podmínek
Features
Podmíněný přístup pro datovou rovinu
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace: Zakázání autorizace sdíleného klíče pro použití podmíněného přístupu Azure AD
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Features
Podpora integrace a úložiště ověřovacích údajů a tajných informací ve službě Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Ujistěte se, že jsou tajné kódy a přihlašovací údaje uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne jejich vkládání do kódu nebo konfiguračních souborů.
Referenční informace: Správa klíčů účtu úložiště pomocí služby Key Vault a Azure CLI
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Features
Účty místního správce
Popis: Služba má koncept účtu místního správce. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Nepravda | Nevztahuje se | Nevztahuje se |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-7: Dodržujte princip minimální správy (princip nejmenších privilegií).
Features
Azure RBAC pro datovou vrstvu
Popis: Azure Role-Based Řízení přístupu (Azure RBAC) se dá použít ke správě přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Azure Storage podporuje použití Azure Active Directory (Azure AD) k autorizaci požadavků na data objektů blob. Pomocí Azure AD můžete pomocí řízení přístupu na základě role v Azure (Azure RBAC) udělit oprávnění k objektu zabezpečení, což může být uživatel, skupina nebo instanční objekt aplikace.
Autorizace požadavků na Azure Storage pomocí Azure AD poskytuje vynikající zabezpečení a snadné použití prostřednictvím autorizace sdíleného klíče. Microsoft doporučuje s aplikacemi objektů blob používat autorizaci Azure AD, pokud je to možné, abyste zajistili přístup s minimálními požadovanými oprávněními.
Referenční informace: Autorizace přístupu k objektům blob pomocí Azure Active Directory
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Features
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte všechny žádosti o přístup k datům Microsoftu.
Referenční informace: Customer Lockbox
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Features
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Integrace úložiště s Azure Purview je aktuálně v privátní verzi Preview.
Pokyny ke konfiguraci: Pomocí Azure Purview můžete skenovat, klasifikovat a označovat všechna citlivá data, která se nacházejí ve službě Azure Storage.
Referenční informace: Připojení ke službě Azure Blob Storage v Microsoft Purview
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Features
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje řešení DLP pro monitorování pohybu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Defender for Storage průběžně analyzuje stream telemetrie generovaný službami Azure Blob Storage a Azure Files. Při zjištění potenciálně škodlivých aktivit se vygenerují výstrahy zabezpečení. Tato upozornění se zobrazují v Programu Microsoft Defender for Cloud spolu s podrobnostmi o podezřelé aktivitě spolu s příslušnými kroky šetření, nápravnými akcemi a doporučeními zabezpečení.
Microsoft Defender for Storage je integrovaný v programu Microsoft Defender for Cloud. Když ve svém předplatném povolíte rozšířené funkce zabezpečení v programu Microsoft Defender for Cloud, povolí se pro všechny účty úložiště automaticky Microsoft Defender for Storage. Defender for Storage můžete povolit nebo zakázat pro jednotlivé účty úložiště v rámci konkrétního předplatného.
Referenční informace: Konfigurace Microsoft Defenderu pro úložiště
DP-3: Šifrování citlivých dat během přenosu
Features
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Vynucení minimální požadované verze protokolu TLS (Transport Layer Security) pro požadavky na účet úložiště
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Features
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Pravdivé | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Šifrování služby Azure Storage pro neaktivní uložená data
DP-5: Při šifrování dat v klidu použijte možnost klíče spravovaného zákazníkem, když je to vyžadováno
Features
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: V případě potřeby dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolit a implementovat šifrování dat v klidu pro data v rozsahu pomocí klíče spravovaného zákazníkem pro Azure Storage.
Referenční informace: Klíče spravované zákazníkem pro šifrování služby Azure Storage
DP-6: Použití zabezpečeného procesu správy klíčů
Features
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Použití služby Azure Key Vault k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a jsou referencovány pomocí ID klíčů, zejména ze služby nebo aplikace. Pokud potřebujete do služby použít vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních HSM do služby Azure Key Vault), postupujte podle doporučených pokynů k provedení počátečního generování klíčů a přenosu klíčů.
Referenční informace: Správa klíčů účtu úložiště pomocí služby Key Vault a Azure CLI
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby.
Features
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Definujte a implementujte standardní konfigurace zabezpečení pro síťové prostředky přidružené k vašemu účtu služby Azure Storage se službou Azure Policy. Pomocí aliasů Azure Policy v oborech názvů Microsoft.Storage a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování síťové konfigurace prostředků účtu úložiště.
Můžete také využít předdefinované definice zásad související s účtem úložiště, například: Účty úložiště by měly používat koncový bod služby virtuální sítě.
Referenční informace: Předdefinované definice služby Azure Policy pro Azure Storage
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Features
Microsoft Defender for Service / Nabídka produktů
Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Použijte Microsoft Defender for Storage k poskytnutí další vrstvy inteligentních funkcí zabezpečení, které detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. K poskytování kontextových výstrah zabezpečení používá pokročilé možnosti detekce hrozeb a data microsoft Threat Intelligence. Tyto výstrahy také zahrnují kroky ke zmírnění zjištěných hrozeb a zabránění budoucím útokům.
Referenční informace: Úvod do Microsoft Defenderu pro úložiště
LT-4: Povolení protokolování pro vyšetřování bezpečnosti
Features
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které mohou nabízet rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Pokyny ke konfiguraci: Načítání protokolů přes Azure Monitor za účelem agregace dat zabezpečení, která jsou generována koncovými zařízeními, síťovými prostředky a dalšími bezpečnostními systémy. Ve službě Azure Monitor můžete pomocí pracovních prostorů služby Log Analytics provádět dotazy a provádět analýzy a používat účty azure Storage pro dlouhodobé/archivní úložiště, volitelně s funkcemi zabezpečení, jako je neměnné úložiště a vynucené uchovávání informací.
Referenční informace: Monitorování služby Azure Blob Storage
Zálohování a obnovování
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Features
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Poznámky k funkcím: Azure Backup se v současné době podporuje jenom pro Azure Blob Storage. Údaje front a tabulek lze zálohovat pomocí nástroje příkazového řádku AzCopy.
Pokyny ke konfiguraci: Povolte Azure Backup a nakonfigurujte zdroj zálohování podle požadované frekvence a s požadovanou dobou uchovávání. Azure Backup umožňuje snadno nakonfigurovat provozní zálohování pro ochranu blokových objektů blob v účtech úložiště. Zálohování objektů blob se konfiguruje na úrovni účtu úložiště. Všechny objekty blob v účtu úložiště jsou tedy chráněné provozním zálohováním.
Zálohování pro více účtů úložiště můžete nakonfigurovat pomocí Centra zálohování. Zálohování účtu úložiště můžete také nakonfigurovat pomocí vlastností ochrany dat účtu úložiště.
Referenční informace:Přehled provozního zálohování pro Azure Blob
Funkce nativního zálohování služby
Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Pravdivé | Nepravda | Zákazník |
Další pokyny: Provozní záloha blobů je místní řešení zálohování. Zálohovaná data se tedy nepřenesou do trezoru služby Backup, ale ukládají se do samotného zdrojového účtu úložiště. Trezor služby Backup ale stále slouží jako jednotka správy záloh. Toto je také řešení průběžného zálohování, což znamená, že nemusíte plánovat žádné zálohy a všechny změny se zachovají a obnoví ze stavu ve vybraném časovém okamžiku.
Referenční informace:Přehled provozního zálohování pro Azure Blob
Další kroky
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu.
- Další informace o standardních hodnotách zabezpečení Azure