Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
Ez a biztonsági alapkonfiguráció a Microsoft Cloud Security Benchmark (v1.0) korábbi verzióján alapul, és elavult útmutatást tartalmazhat. A legújabb biztonsági útmutatásért tekintse meg a biztonsági mentés dokumentációját.
Ez a biztonsági alapkonfiguráció a Microsoft 1.0-s felhőbiztonsági referenciaverziójának útmutatását alkalmazza a biztonsági mentésre. A Microsoft felhőbiztonsági referenciamutatója javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalmat a Microsoft felhőbiztonsági referenciamutatója által meghatározott biztonsági vezérlők és a biztonsági mentésre vonatkozó kapcsolódó útmutatók csoportosítják.
Ezt a biztonsági alapkonfigurációt és annak ajánlásait a Microsoft Defender for Cloud használatával figyelheti. Az Azure Policy-definíciók a Microsoft Defender for Cloud Portál oldal Szabályozási megfelelőség szakaszában jelennek meg.
Ha egy szolgáltatás releváns Azure Policy-definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy megmérjük a Microsoft felhőbiztonsági referenciamutató-vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender-csomagra lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.
Megjegyzés:
A biztonsági mentésre nem alkalmazható funkciók ki lettek zárva. Ha meg szeretné tudni, hogy a Backup hogyan képezi le teljesen a Microsoft felhőbiztonsági teljesítménytesztét, tekintse meg a biztonsági mentés biztonsági alapkonfigurációjának teljes leképezési fájlát.
Biztonsági profil
A biztonsági profil összefoglalja a biztonsági mentés nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.
| Szolgáltatás viselkedési attribútuma | Érték |
|---|---|
| Termékkategória | MGMT/Governance |
| Az ügyfél hozzáférhet a HOST/OS rendszerhez | Nincs hozzáférés |
| A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában | Téves |
| Az ügyféltartalmakat inaktív állapotban tárolja | Téves |
Hálózati biztonság
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Hálózati biztonság.
NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel
Features
Azure Private Link
Leírás: A szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy az Azure Firewalllal). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Privát végpontok üzembe helyezése a Private Link szolgáltatást támogató összes Azure-erőforráshoz, hogy privát hozzáférési pontot hozzon létre az erőforrásokhoz.
Referencia: Az Azure Private Link rendelkezésre állása
Nyilvános hálózati hozzáférés letiltása
Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval támogatja a nyilvános hálózati hozzáférés letiltását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatásszintű IP ACL-szűrési szabály vagy a nyilvános hálózati hozzáféréshez szükséges összesítő kapcsoló használatával.
Hivatkozás: Nyilvános hálózati hozzáférés megtagadása a tárolóhoz
Identitáskezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakört.
IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése
Features
Felügyelt identitások
Leírás: Az adatsík-műveletek támogatják a felügyelt identitások használatával történő hitelesítést. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: A felügyelt identitások létrehozhatóak a tárolóhoz, és csak a vezérlősíkon működnek.
További információért kérjük, látogasson el ide: Felügyelt identitás engedélyezése a széfhez.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
IM-8: A hitelesítő adatok és titkos kódok expozíciójának korlátozása
Features
A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az Integrációt és a Tárolást az Azure Key Vaultban
Leírás: Az adatsík támogatja az Azure Key Vault natív használatát a hitelesítő adatok és titkos kódok tárolásához. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Szolgáltatásjegyzetek: Ez a funkció minden forgatókönyv esetében támogatott, kivéve egy helyszíni esetet, ahol a tároló hitelesítő adatainak fájlja nem az AKV-ban van tárolva.
Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kulcsok és hitelesítő adatok biztonságos helyeken, például az Azure Key Vaultban vannak tárolva, ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket.
Referencia: Tároló konfigurálása ügyfél által felügyelt kulcsok használatával történő titkosításhoz
Kiváltságos hozzáférés
További információ: A Microsoft felhőbiztonsági benchmarkja: Privileged access.
PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet
Features
Azure RBAC az adatsíkhoz
Leírás: Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez használható. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Funkciójegyzetek: Az Azure RBAC támogatott a vezérlősík műveleteihez.
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
Adatvédelem
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Adatvédelem.
DP-2: A bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása
Features
Adatszivárgás/veszteségmegelőzés
Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok mozgásának nyomon követéséhez (az ügyfél tartalmában). További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Jellemzők megjegyzései: Az Azure Backup olyan speciális funkciókat támogat, mint például a nem módosítható tárolók, a helyreállítható törlés, a többfelhasználós engedélyezés, amely segíthet megvédeni az ügyfelek általában érzékeny biztonsági mentési adatait.
További információ: Nem módosítható tároló, helyreállítható törlés és többfelhasználós engedélyezés
Konfigurációs útmutató: Ehhez a szolgáltatáskonfigurációhoz a Microsoft jelenleg nem nyújt útmutatást. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót.
DP-3: Bizalmas adatok titkosítása átvitel közben
Features
Adatok átvitel közbeni titkosítása
Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Átviteli réteg biztonsága a biztonsági mentésben
DP-4: Az adatok alapértelmezés szerint inaktív titkosítással történő engedélyezése
Features
Nyugalmi állapotban lévő adatok titkosítása platformkulcsok használatával
Leírás: A inaktív adatok platformkulcsokkal történő titkosítása támogatott, a inaktív ügyféltartalmak titkosítva vannak ezekkel a Microsoft által felügyelt kulcsokkal. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Azure Backup titkosítási szintjei
DP-5: Szükség esetén az ügyfél által felügyelt kulcsbeállítás használata inaktív titkosítású adatokban
Features
Inaktív állapotú adatok titkosítása CMK használatával
Leírás: Az adatok nyugalmi állapotban történő titkosítása ügyfél által kezelt kulcsokkal támogatott az ügyféltartalmak esetében, amelyeket a szolgáltatás tárol. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Engedélyezze és valósítsa meg a nyugalmi állapotban lévő adatok titkosítását az ügyfél által felügyelt kulccsal ezekhez a szolgáltatásokhoz.
Referencia: Biztonsági mentési adatok titkosítása ügyfél által felügyelt kulcsokkal
DP-6: Biztonságos kulcskezelési folyamat használata
Features
Kulcskezelés az Azure Key Vaultban
Leírás: A szolgáltatás támogatja az Azure Key Vault integrációját minden ügyfélkulcs, titkos kulcs vagy tanúsítvány esetében. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vaultban és a szolgáltatásban meghatározott ütemezés alapján, illetve kulcsok kivonása vagy feltörése esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, szolgáltatás vagy alkalmazás szintjén, kövesse a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vaultban, és a szolgáltatás vagy alkalmazás kulcsazonosítóival hivatkoznak rájuk. Ha saját kulcsot (BYOK) kell a szolgáltatásba vinnie (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vaultba), kövesse az ajánlott irányelveket a kulcsok kezdeti generálásához és a kulcsátvitelhez.
Referencia: Titkosítás az Azure Backupban
DP-7: Biztonságos tanúsítványkezelési folyamat használata
Features
Tanúsítványkezelés az Azure Key Vaultban
Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a tanúsítvány életciklusát, beleértve a tanúsítvány létrehozását, importálását, rotálását, visszavonását, tárolását és törlését. Győződjön meg arról, hogy a tanúsítvány létrehozása nem biztonságos tulajdonságok használata nélkül követi a meghatározott szabványokat, például: nem megfelelő kulcsméret, túl hosszú érvényességi időtartam, nem biztonságos titkosítás. A tanúsítvány automatikus rotálásának beállítása az Azure Key Vaultban és az Azure-szolgáltatásban (ha támogatott) meghatározott ütemezés vagy tanúsítvány lejárata alapján. Ha az alkalmazás nem támogatja az automatikus forgatást, győződjön meg arról, hogy az Azure Key Vaultban és az alkalmazásban manuális módszerekkel is elforgatja őket.
Referencia: Biztonsági mentés titkosítása
Vagyonkezelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Eszközkezelés.
AM-2: Csak jóváhagyott szolgáltatások használata
Features
Az Azure Policy támogatása
Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése az Azure Policy használatával végezhető el. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Referencia: Azure-szabályzat biztonsági mentése
Naplózás és fenyegetésészlelés
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Naplózás és fenyegetésészlelés.
LT-1: Fenyegetésészlelési képességek engedélyezése
Features
Microsoft Defender for Service / Termékajánlat
Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender-megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| Téves | Nem alkalmazható | Nem alkalmazható |
Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.
LT-4: Naplózás engedélyezése biztonsági vizsgálathoz
Features
Azure-erőforrásnaplók
Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adattárolójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | Téves | Ügyfél |
Konfigurációs útmutató: Erőforrásnaplók engedélyezése a szolgáltatáshoz. A Key Vault például további erőforrásnaplókat támogat olyan műveletekhez, amelyek titkos kulcsot kapnak egy kulcstartóból, vagy az Azure SQL rendelkezik olyan erőforrásnaplókkal, amelyek nyomon követik az adatbázishoz érkező kéréseket. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.
Referencia: Diagnosztikai beállítások használata Recovery Services-tárolókhoz
Biztonsági mentés és helyreállítás
További információkért tekintse meg a Microsoft felhőbiztonsági teljesítménytesztét: Biztonsági mentés és helyreállítás.
BR-1: Rendszeres automatikus biztonsági mentések biztosítása
Features
Azure Backup
Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.
| Támogatott | Alapértelmezés szerint engedélyezve | Konfigurációs felelősség |
|---|---|---|
| True | True | Microsoft |
konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzembe helyezéskor.
Microsoft Defender felhőbeli monitorozáshoz
Beépített Azure Policy-definíciók – Microsoft.RecoveryServices:
| Név (Azure Portal) |
Description | Effect(s) | verzió (GitHub) |
|---|---|---|---|
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, kikapcsolva | 3.0.0 |
Következő lépések
- Tekintse meg a Microsoft felhőbiztonsági teljesítménytesztjének áttekintését
- További tudnivalók az Azure biztonsági alapkonfigurációiról