Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Data Factory an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die vom Microsoft Cloud Security Benchmark und den zugehörigen Anleitungen für Data Factory definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.
Hinweis
Features, die nicht für Data Factory gelten, wurden ausgeschlossen. Informationen dazu, wie Data Factory vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Data Factory-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Data Factory mit hohem Einfluss zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Analyse, Integration |
| Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Richtig |
| Ruhende Kundeninhalte werden gespeichert. | Richtig |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Funktionen
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Azure-SSIS Die Integrationslaufzeit unterstützt die Einbindung virtueller Netzwerke innerhalb des virtuellen Netzwerks des Kunden. Wenn Sie eine Azure-SSIS Integration Runtime (IR) erstellen, können Sie diese mit einem virtuellen Netzwerk verknüpfen. Dadurch kann Azure Data Factory bestimmte Netzwerkressourcen erstellen, z. B. eine NSG und einen Lastenausgleich. Sie können auch eine eigene statische öffentliche IP-Adresse bereitstellen oder Azure Data Factory eine für Sie erstellen lassen. Die selbstgehostete Integration Runtime (IR) kann auf einer IaaS-VM im virtuellen Netzwerk des Kunden eingerichtet werden. Der Netzwerkdatenverkehr wird auch durch die NSG- und Firewalleinstellungen des Kunden gesteuert.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Azure-SSIS Integrationslaufzeit mit einem virtuellen Netzwerk verbinden
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkverkehr des Dienstes berücksichtigt die Regelzuweisung der Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Azure-SSIS Die Integrationslaufzeit unterstützt die Einbindung virtueller Netzwerke innerhalb des virtuellen Netzwerks des Kunden. Sie hält sich an alle NSG- und Firewallregeln, die von Kunden in ihren virtuellen Netzwerken festgelegt wurden. Wenn Sie eine Azure-SSIS Integration Runtime (IR) erstellen, können Sie diese mit einem virtuellen Netzwerk verknüpfen. Dadurch kann Azure Data Factory bestimmte Netzwerkressourcen erstellen, z. B. eine NSG und einen Lastenausgleich. Sie können auch eine eigene statische öffentliche IP-Adresse bereitstellen oder Azure Data Factory eine für Sie erstellen lassen. Bei NSGs, die automatisch von Azure Data Factory erstellt werden, ist Port 3389 standardmäßig für sämtlichen Datenverkehr geöffnet. Schließen Sie ihn, um sicherzustellen, dass nur Ihre Administratoren Zugriff haben.
Die selbstgehostete Integration Runtime (IR) kann auf einer IaaS-VM im virtuellen Netzwerk des Kunden eingerichtet werden. Der Netzwerkdatenverkehr wird auch durch die NSG- und Firewalleinstellungen des Kunden gesteuert.
Beschränken oder ermöglichen Sie den Datenverkehr zwischen internen Ressourcen anhand Ihrer NSG-Regeln gemäß Ihren Anwendungen und der Strategie der Unternehmenssegmentierung. Bei bestimmten klar definierten Anwendungen wie einer Drei-Schichten-App kann beispielsweise eine äußerst sichere standardmäßige Verweigerung des Datenverkehrs festgelegt werden.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Azure-SSIS Integrationslaufzeit mit einem virtuellen Netzwerk verbinden
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Funktionen
Azure Private Link
Beschreibung: Diensteigene IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Zusätzliche Anleitung: Sie können private Endpunkte im azure Data Factory Managed Virtual Network konfigurieren, um eine private Verbindung mit Datenspeichern herzustellen.
Data Factory bietet keine Möglichkeit, VNet-Dienstendpunkte zu konfigurieren.
Wenn Sie eine Azure-SSIS Integration Runtime (IR) erstellen, können Sie diese mit einem virtuellen Netzwerk verknüpfen. Dadurch kann Azure Data Factory bestimmte Netzwerkressourcen erstellen, z. B. NSGs und Lastenausgleiche. Sie können auch eine eigene statische öffentliche IP-Adresse bereitstellen oder Azure Data Factory eine für Sie erstellen lassen. Bei NSGs, die automatisch von Azure Data Factory erstellt werden, ist Port 3389 standardmäßig für sämtlichen Datenverkehr geöffnet. Schließen Sie diesen Port, um sicherzustellen, dass nur Ihre Administratoren Zugriff haben. Sie können selbstgehostete IRs auf einem lokalen Computer oder einer Azure-VM in einem virtuellen Netzwerk bereitstellen. Stellen Sie sicher, dass für die Subnetzbereitstellung des virtuellen Netzwerks eine NSG konfiguriert ist, die nur den Administratorzugriff zulässt. Aus Sicherheitsgründen lässt die Azure-SSIS IR standardmäßig keinen ausgehenden Datenverkehr über Port 3389 zu. Dies wird durch eine Windows Firewall-Regel auf jedem IR-Knoten erreicht. Sie können Ihre Ressourcen für das virtuelle Netzwerk schützen, indem Sie dem Subnetz eine NSG zuordnen und strikte Regeln festlegen.
Referenz: Azure Private Link für Azure Data Factory
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Das Deaktivieren des öffentlichen Netzwerkzugriffs gilt nur für Self-Hosted Integration Runtime (SHIR) und nicht für Azure IR oder SSIS IR. Mit SHIR blockiert die Aktivierung der Datenfactory für private Verknüpfungen nicht explizit den öffentlichen Zugriff, aber der Kunde kann den öffentlichen Zugriff manuell blockieren.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Azure Private Link für Azure Data Factory
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Funktionen
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Data Factory kann sich nativ bei den Azure-Diensten und -Ressourcen authentifizieren, die die Azure AD-Authentifizierung unterstützen.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Verwaltete Identität für Azure Data Factory
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Datenebenenzugriff unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Sie können die Windows-Authentifizierung verwenden, um auf Datenquellen aus SSIS-Paketen zuzugreifen, die auf Azure-SSIS Integration Runtime (IR) ausgeführt werden. Ihre Datenspeicher können sich lokal befinden, auf Azure Virtual Machines (VMs) gehostet werden oder als verwaltete Dienste in Azure ausgeführt werden. Es wird jedoch empfohlen, die Verwendung der lokalen Authentifizierung und die Verwendung von Azure AD nach Möglichkeit zu vermeiden. Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen für die Authentifizierung möglichst Azure AD.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Funktionen
Verwaltete Identitäten
Beschreibung: Datenebenenaktionen unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Standardmäßig wird beim Erstellen einer Datenfabrik über das Azure-Portal oder PowerShell automatisch eine verwaltete Identität erstellt. Mithilfe der SDK- oder REST-API wird nur verwaltete Identität erstellt, wenn der Benutzer explizit das Schlüsselwort "Identity" angibt.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Verwaltete Identität für Azure Data Factory und Azure Synapse
Dienstprinzipale
Beschreibung: Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Mit Data Factory können Sie verwaltete Identitäten, Dienstprinzipien zum Authentifizieren bei Datenspeichern und zur Berechnung verwenden, die die AAD-Authentifizierung unterstützen.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf datenebenen kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und geheimen Speicher. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Sie können Anmeldeinformationen für Datenspeicher und Berechnungseinheiten in einem Azure Key Vault speichern. Azure Data Factory ruft die Anmeldeinformationen ab, wenn eine Aktivität ausgeführt wird, die den Datenspeicher/Computevorgänge verwendet.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Speichern von Anmeldeinformationen in Azure Key Vault
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Begrenzen hoch privilegierter/administrativer Benutzer*innen
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurehinweise: Data Factory ist in Azure RBAC integriert, um seine Ressourcen zu verwalten. Mit der RBAC kann der Zugriff auf Azure-Ressourcen über Rollenzuweisungen verwaltet werden. Sie können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten Rollen zuweisen. Bestimmte Ressourcen verfügen über vordefinierte integrierte Rollen. Sie können diese Rollen mithilfe von Tools wie der Azure CLI, Azure PowerShell oder dem Azure-Portal inventarisieren oder abfragen.
Beschränken Sie die Berechtigungen, die Sie Ressourcen über Azure RBAC zuweisen, gemäß den Anforderungen der jeweiligen Rollen. Diese Vorgehensweise ergänzt den Just-In-Time-Ansatz (JIT) von Azure AD PIM. Überprüfen Sie Rollen und Zuweisungen in regelmäßigen Abständen.
Verwenden Sie integrierte Rollen zum Erteilen von Berechtigungen. Erstellen Sie benutzerdefinierte Rollen nur bei Bedarf.
Sie können in Azure AD eine benutzerdefinierte Rolle mit eingeschränkten Zugriffsberechtigungen auf Data Factory erstellen.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Rollen und Berechtigungen für Azure Data Factory
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Kunden-Lockbox für Microsoft Azure
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Verbinden von Data Factory mit Microsoft Purview
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zur Überwachung vertraulicher Datenflüsse in den Inhalten des Kunden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Funktionen
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt Verschlüsselung während der Übertragung auf der Datenebene. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Sicherheitsüberlegungen für die Datenverschiebung in Azure Data Factory
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Verschlüsseln von Azure Data Factory mit vom Kunden verwalteten Schlüsseln
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Verschlüsseln von Azure Data Factory mit vom Kunden verwalteten Schlüsseln
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Speichern von Anmeldeinformationen in Azure Key Vault
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Speichern von Anmeldeinformationen in Azure Key Vault
Ressourcenverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Funktionen
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Verwenden Sie Azure-Richtlinie, um zu überwachen und einzuschränken, welche Dienste Benutzer in Ihrer Umgebung bereitstellen können. Verwenden Sie Azure Resource Graph, um Ressourcen in Abonnements abzufragen und zu ermitteln. Mithilfe von Azure Monitor können Sie auch Regeln erstellen, die Warnungen auslösen, wenn ein nicht genehmigter Dienst erkannt wird.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Integrierte Azure-Richtliniendefinitionen für Data Factory
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Funktionen
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Selbst gehostete IR (SHIR), die auf Azure-VMs und -Containern ausgeführt wird, verwendet Defender zum Einrichten der sicheren Konfiguration.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Richtig | Microsoft |
Featurenotizen: Aktivitätsprotokolle sind automatisch verfügbar. Mithilfe von Aktivitätsprotokollen können Sie bei der Problembehandlung Fehler ermitteln oder die Änderungen überwachen, die von Benutzern in Ihrer Organisation an Ressourcen vorgenommen wurden.
Verwenden Sie Microsoft Defender für Cloud und Azure Policy, um Ressourcenprotokolle und die Erfassung von Protokolldaten zu aktivieren.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Diagnoseeinstellungen in Azure Monitor
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Diensteigene Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene systemeigene Sicherungsfunktion (wenn nicht Azure Backup verwendet wird). Weitere Informationen.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Um den gesamten Code in Azure Data Factory zu sichern, verwenden Sie die Quellcodeverwaltungsfunktionen in Data Factory.
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
Referenz: Quellcodeverwaltung in Azure Data Factory
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines