Megosztás a következőn keresztül:


Az Azure biztonsági alapkonfigurációja az Azure Data Explorer

Ez a biztonsági alapkonfiguráció a Microsoft felhőbiztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza az Azure Data Explorer. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt a felhőmegoldások Azure-beli védelmére. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és az Azure Data Explorer vonatkozó útmutató alapján van csoportosítva.

Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender oldalÁnak Jogszabályi megfelelőség szakaszában jelennek meg.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, azokat ebben az alapkonfigurációban soroljuk fel, hogy segítsen felmérni a Microsoft felhőbiztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz fizetős Microsoft Defender tervre lehet szükség bizonyos biztonsági forgatókönyvek engedélyezéséhez.

Megjegyzés

Az Azure Data Explorer nem alkalmazható funkciók ki lettek zárva. A teljes Azure Data Explorer biztonsági alapkonfiguráció-leképezési fájlból megtudhatja, hogyan képezi le teljesen az Azure Data Explorer a Microsoft felhőbiztonsági teljesítménytesztje.

Biztonsági profil

A biztonsági profil összefoglalja az Azure Data Explorer nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Elemzések, adatbázisok
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez Nincs hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Tárolja az inaktív ügyféltartalmakat Igaz

Hálózati biztonság

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: Kifejezetten ajánlott privát végpontok használata a fürthöz való hálózati hozzáférés biztonságossá tételéhez. Ez a lehetőség számos előnnyel rendelkezik a virtuális hálózat injektálásával szemben, ami alacsonyabb karbantartási többletterhelést eredményez, beleértve az egyszerűbb üzembehelyezési folyamatot, valamint a virtuális hálózatok változásainak robusztusabb használatát.

Konfigurációs útmutató: Helyezze üzembe az Azure Data Explorer-fürtöt a Virtual Network (VNet) egy alhálózatán. Ez lehetővé teszi, hogy NSG-szabályokat implementáljon az Azure Data Explorer-fürt forgalmának korlátozására, valamint a helyszíni hálózat azure Data Explorer-fürt alhálózatához való csatlakoztatására.

Referencia: Azure Data Explorer-fürt üzembe helyezése a Virtual Network

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: A hálózati biztonsági csoport szabályainak konfigurálása támogatott és szükséges arra az esetre, ha az Azure Data Explorer az ügyfél virtuális hálózatába lett injektálva. Az Azure Data Explorer nem ajánlott virtuális hálózatba injektálni. Javasoljuk, hogy kövesse a privát végponton alapuló hálózati biztonsági implementációt: Privát végpontok az Azure Data Explorer esetében.

Konfigurációs útmutató: Ha úgy dönt, hogy az Azure Data Explorer egy virtuális hálózatba injektálja (egy privát végpontalapú megoldás használata erősen ajánlott), alhálózat-delegálást kell használnia a fürt üzembe helyezéséhez. Ehhez delegálnia kell az alhálózatot a Microsoft.Kusto/clusters számára, mielőtt létrehozza a fürtöt az alhálózatban.

Ha engedélyezi az alhálózat-delegálást a fürt alhálózatán, lehetővé teszi, hogy a szolgáltatás hálózati szándékszabályzatok formájában határozza meg az üzembe helyezés előfeltételeit. Amikor létrehozza a fürtöt az alhálózaton, a következő szakaszokban említett NSG-konfigurációk automatikusan létrejönnek Önnek.

Referencia: Hálózati biztonsági csoport szabályainak konfigurálása

NS-2: A felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Leírás: Szolgáltatás natív IP-szűrési képessége a hálózati forgalom szűréséhez (nem tévesztendő össze az NSG-vel vagy Azure Firewall). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Erősen ajánlott privát végpontokat használni a fürthöz való hálózati hozzáférés biztonságossá tételéhez. Ez a lehetőség számos előnnyel rendelkezik a virtuális hálózati integrációval szemben, ami alacsonyabb karbantartási többletterhelést eredményez, beleértve az egyszerűbb üzembehelyezési folyamatot és a virtuális hálózatok változásainak robusztusabb használatát.

Referencia: Privát végpontok az Azure Data Explorer

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy "Nyilvános hálózati hozzáférés letiltása" kapcsoló használatával támogatja a nyilvános hálózati hozzáférés letiltását. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatásszintű IP ACL-szűrési szabály vagy a nyilvános hálózati hozzáférés kapcsolójának használatával.

Referencia: Az Azure Data Explorer-fürt nyilvános hozzáférésének korlátozása

Identitáskezelés

További információt a Microsoft felhőbiztonsági teljesítménytesztje, az Identitáskezelés című témakörben talál.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD-hitelesítés használatát az adatsík-hozzáféréshez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.

Referencia: Hitelesítés az Azure Active Directoryval (Azure AD) az Azure Data Explorer-hozzáféréshez

Helyi hitelesítési módszerek az adatsík-hozzáféréshez

Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például helyi felhasználónév és jelszó. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Szolgáltatásjegyzetek: Az Azure Data Explorer lehetővé teszi a hitelesítést az adatsíkján bármely Azure Active Directory-identitással. Ez azt jelenti, hogy a rendszer és a felhasználó által felügyelt identitások támogatottak. Emellett az Azure Data Explorer támogatja a felügyelt identitások használatát a más szolgáltatásokon való hitelesítéshez a betöltéshez és a lekérdezéshez. További információ: Felügyelt identitások áttekintése.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Azure Active Directory-hitelesítés

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Szolgáltatásjegyzetek: Az Azure Data Explorer minden Azure Active Directory-identitástípust támogat, beleértve a szolgáltatásneveket is

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Azure Active Directory-hitelesítés alkalmazás használatával

IM-7: Erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Adatsík feltételes hozzáférése

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésére vonatkozó feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.

Referencia: Feltételes hozzáférés az Azure Data Explorer

IM-8: A hitelesítő adatok és titkos kódok felfedésének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Emelt szintű hozzáférés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Emelt szintű hozzáférés.

PA-1: A magas jogosultsági szintű/rendszergazdai felhasználók elkülönítése és korlátozása

Funkciók

Helyi Rendszergazda fiókok

Leírás: A szolgáltatás a helyi rendszergazdai fiók fogalmával rendelkezik. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Funkciójegyzetek: Az Azure Data Explorer lehetővé teszi az adatsíkhoz (adatbázisokhoz és táblákhoz) való hozzáférés szabályozását egy szerepköralapú hozzáférés-vezérlési modell használatával. Ebben a modellben a rendszerbiztonsági tagok (felhasználók, csoportok és alkalmazások) szerepkörökre vannak leképezve. A rendszerbiztonsági tagok a hozzájuk rendelt szerepköröknek megfelelően férhetnek hozzá az erőforrásokhoz. Az Azure Data Explorer adatsíkja azonban le van választva az Azure RBAC-ről a vezérlősíkhoz.

Lásd: Azure Data Explorer adatbázis-engedélyek kezelése

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása

Funkciók

Ügyfélszéf

Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Adatvédelem

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Funkciók

Bizalmas adatok felderítése és besorolása

Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban történő adatfelderítéshez és -besoroláshoz használhatók. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkcióval kapcsolatos megjegyzések: Az Azure Data Explorer a Microsoft Purview támogatja.

Konfigurációs útmutató: Az Azure Data Explorer a Microsoft Purview támogatja. Az Azure Purview használatával megvizsgálhatja, osztályozhatja és címkézheti az Azure Data Explorer található bizalmas adatokat.

DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása

Funkciók

Adatszivárgás/veszteségmegelőzés

Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A fürt kimenő hozzáférésének korlátozása fontos az olyan kockázatok mérséklése érdekében, mint az adatkiszivárgás. Egy rosszindulatú szereplő külső táblát hozhat létre egy tárfiókban, és nagy mennyiségű adatot nyerhet ki. A kimenő hozzáférést a fürt szintjén szabályozhatja ábrafelirat-szabályzatok definiálásával. A feliratozási szabályzatok kezelésével kimenő hozzáférést engedélyezhet a megadott SQL-hez, tárterülethez vagy más végpontokhoz.

Referencia: Az Azure Data Explorer-fürt kimenő hozzáférésének korlátozása

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Adattitkosítás az Azure Data Explorer

DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában

Funkciók

Inaktív adatok titkosítása CMK használatával

Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A titkosítási kulcsok további szabályozásához megadhatja az ügyfél által kezelt kulcsokat az adattitkosításhoz. Az adatok titkosítását saját kulcsokkal kezelheti a tárterület szintjén. Az ügyfél által felügyelt kulcs a gyökérszintű titkosítási kulcshoz való hozzáférés védelmére és szabályozására szolgál, amely az összes adat titkosítására és visszafejtésére szolgál. Az ügyfél által kezelt kulcsok nagyobb rugalmasságot biztosítanak a hozzáférés-vezérlések létrehozásához, elforgatásához, letiltásához és visszavonásához. Továbbá az adatok védelméhez használt titkosítási kulcsok naplózására is lehetősége van.

Referencia: Titkosítás ügyfél által felügyelt kulcsok konfigurálásával

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault-ban

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Eszközkezelés

További információkért lásd a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című cikket.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud használatával konfigurálhatja a Azure Policy az Azure-erőforrások konfigurációinak naplózására és kényszerítésére. Az Azure Monitor használatával riasztásokat hozhat létre, ha konfigurációs eltérést észlel az erőforrásokon. Használja a Azure Policy [deny] és a [deploy if not exists] (Üzembe helyezés, ha nem létezik) effektusokat az Azure-erőforrások közötti biztonságos konfiguráció kényszerítéséhez.

Referencia: Azure Policy Azure-Data Explorer jogszabályi megfelelőségi vezérlői

Naplózás és fenyegetésészlelés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender a szolgáltatáshoz/termékajánlathoz

Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Data Explorer diagnosztikai naplókat használ a betöltés, a parancsok, a lekérdezések és a táblák elemzéséhez. A műveletnaplókat exportálhatja az Azure Storage-ba, az eseményközpontba vagy a Log Analyticsbe a betöltés, a parancsok és a lekérdezések állapotának monitorozásához. Az Azure Storage és a Azure Event Hubs naplói további elemzés céljából átirányíthatók az Azure Data Explorer-fürt egy táblájába.

Referencia: Az Azure Data Explorer betöltési, parancsok, lekérdezések és táblák monitorozása diagnosztikai naplók használatával

Biztonsági másolat és helyreállítás

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Szolgáltatás natív biztonsági mentési képessége

Leírás: A szolgáltatás támogatja a saját natív biztonsági mentési képességét (ha nem Azure Backup). További információ.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Következő lépések