Megosztás a következőn keresztül:


Az Azure biztonsági alapkonfigurációja Azure Cache for Redis

Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Azure Cache for Redis. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Azure Cache for Redis vonatkozó útmutató szerint van csoportosítva.

Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

A Azure Cache for Redis nem alkalmazható funkciók ki lettek zárva. A teljes Azure Cache for Redis biztonsági alapkonfiguráció-leképezési fájlból megtudhatja, hogy Azure Cache for Redis hogyan felel meg teljesen a Microsoft felhőbiztonsági teljesítménytesztjének.

Biztonsági profil

A biztonsági profil összefoglalja a Azure Cache for Redis nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Adatbázisok
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Tárolja az inaktív ügyféltartalmakat Hamis

Hálózati biztonság

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkció megjegyzései: Ez a funkció csak prémium szintű Azure Cache for Redis-példány esetén támogatott.

Konfigurációs útmutató: Helyezze üzembe a szolgáltatást egy virtuális hálózaton. Rendeljen magánhálózati IP-címeket az erőforráshoz (ha van ilyen), kivéve, ha komoly oka van a nyilvános IP-címek közvetlen hozzárendelésének az erőforráshoz.

Referencia: Virtuális hálózat támogatásának konfigurálása prémium szintű Azure Cache for Redis-példányhoz

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkció megjegyzései: Ez a funkció csak virtuális hálózatba ágyazott gyorsítótárak esetében alkalmazható.

Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy monitorozhatja a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. NSG-szabályok létrehozásával korlátozhatja a szolgáltatás nyitott portjait (például megakadályozhatja, hogy a felügyeleti portok nem megbízható hálózatokról férjenek hozzá). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.

Referencia: Virtuális hálózat támogatásának konfigurálása prémium szintű Azure Cache for Redis-példányhoz

NS-2: A felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkció megjegyzései: Ez a funkció nem támogatott a klasszikus virtuális hálózatokon üzembe helyezett gyorsítótárakban.

Konfigurációs útmutató: Helyezzen üzembe privát végpontokat az összes olyan Azure-erőforráshoz, amely támogatja a Private Link funkciót, hogy privát hozzáférési pontot hozzon létre az erőforrások számára.

Referencia: Azure Cache for Redis Azure Private Link

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló használatával támogatja a nyilvános hálózati hozzáférés letiltását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkció megjegyzései: Ez a funkció nem támogatott a klasszikus virtuális hálózatokon üzembe helyezett gyorsítótárakban. A publicNetworkAccess jelző alapértelmezés szerint le van tiltva.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Azure Cache for Redis Azure Private Link

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Cache:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Azure Cache for Redis privát kapcsolatot kell használnia A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. Ha privát végpontokat társít a Azure Cache for Redis-példányokhoz, az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0

Identitáskezelés

További információt a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakörben talál.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Helyi hitelesítési módszerek az adatsík-hozzáféréshez

Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: A Azure Cache for Redis konfigurálása

IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Adatsík feltételes hozzáférése

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Emelt szintű hozzáférés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.

PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása

Funkciók

Helyi Rendszergazda fiókok

Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása

Funkciók

Ügyfélszéf

Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Adatvédelem

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Funkciók

Bizalmas adatok felderítése és besorolása

Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban történő adatfelderítéshez és -besoroláshoz használhatók. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása

Funkciók

Adatszivárgás/veszteségmegelőzés

Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: A Azure Cache for Redis konfigurálása

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Cache:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Csak a Azure Cache for Redis biztonságos kapcsolatait szabad engedélyezni Csak SSL-kapcsolat Azure Cache for Redis engedélyezésének naplózása. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és megvédi az átvitel alatt álló adatokat a hálózati rétegbeli támadásoktól, például a közbeékeldeléstől, a lehallgatástól és a munkamenet-eltérítéstől Naplózás, megtagadás, letiltva 1.0.0

DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkció megjegyzései: Ez a funkció nem támogatott a klasszikus virtuális hálózatokon üzembe helyezett gyorsítótárakban.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában

Funkciók

Inaktív adatok titkosítása CMK használatával

Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-6: Biztonságos kulcskezelési folyamat használata

Funkciók

Kulcskezelés az Azure Key Vault

Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault-ban

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault integrációját. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Eszközkezelés

További információt a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című témakörben talál.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja Azure Policy [deny] és [deploy ha nem létezik] effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kikényszerítéséhez.

Referencia: Azure Policy beépített definíciók Azure Cache for Redis

Naplózás és fenyegetésészlelés

További információ: A Microsoft felhőbiztonsági benchmarkja: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender szolgáltatáshoz/termékajánlathoz

Leírás: A szolgáltatás ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy log analytics-munkaterületre. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Engedélyezze az erőforrásnaplókat a szolgáltatáshoz. Például Key Vault támogatja a további erőforrásnaplókat olyan műveletekhez, amelyek titkos kulcsot kapnak egy kulcstartóból, vagy Azure SQL olyan erőforrásnaplókkal rendelkezik, amelyek nyomon követik az adatbázisra irányuló kéréseket. Az erőforrásnaplók tartalma az Azure-szolgáltatástól és az erőforrástípustól függően változik.

Referencia: Azure Cache for Redis adatok monitorozása diagnosztikai beállításokkal

Biztonsági másolat és helyreállítás

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról biztonsági másolatot készíthet a Azure Backup szolgáltatás. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Szolgáltatás natív biztonsági mentési képessége

Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem használja Azure Backup). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Következő lépések