Garis besar keamanan Azure untuk Data Factory
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Data Factory. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Data Factory.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Saat fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Data Factory telah dikecualikan. Untuk melihat bagaimana Data Factory sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Data Factory lengkap.
Profil keamanan
Profil keamanan meringkas perilaku berdampak tinggi dari Data Factory, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Analitik, Integrasi |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | True |
Keamanan jaringan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
NS-1: Membangun batas segmentasi jaringan
Fitur
Integrasi Jaringan Virtual
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Runtime Integrasi Azure-SSIS mendukung injeksi jaringan virtual pada jaringan virtual pelanggan. Saat membuat Runtime Integrasi (IR) Azure-SSIS, Anda dapat menggabungkannya dengan jaringan virtual. Ini akan memungkinkan Azure Data Factory membuat sumber daya jaringan tertentu, seperti NSG dan penyeimbang beban. Anda juga dapat memberikan alamat IP publik statis Anda sendiri atau meminta Azure Data Factory membuatnya untuk Anda. Runtime integrasi (IR) yang dihost sendiri dapat diatur di VM IaaS dalam jaringan virtual pelanggan. Lalu lintas jaringan juga diatur oleh pengaturan NSG dan firewall pelanggan.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Menggabungkan runtime integrasi Azure-SSIS ke jaringan virtual
Dukungan Kelompok Keamanan Jaringan
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Runtime Integrasi Azure-SSIS mendukung injeksi jaringan virtual pada jaringan virtual pelanggan. Ini mematuhi semua aturan NSG dan firewall yang ditetapkan oleh pelanggan di jaringan virtual mereka. Saat membuat Runtime Integrasi (IR) Azure-SSIS, Anda dapat menggabungkannya dengan jaringan virtual. Ini akan memungkinkan Azure Data Factory membuat sumber daya jaringan tertentu, seperti NSG dan penyeimbang beban. Anda juga dapat memberikan alamat IP publik statis Anda sendiri atau meminta Azure Data Factory membuatnya untuk Anda. Pada NSG yang secara otomatis dibuat oleh Azure Data Factory, port 3389 terbuka untuk semua lalu lintas secara default. Kuncilah port untuk memastikan bahwa hanya administrator Anda yang memiliki akses.
Runtime integrasi (IR) yang dihost sendiri dapat diatur di VM IaaS dalam jaringan virtual pelanggan. Lalu lintas jaringan juga diatur oleh pengaturan NSG dan firewall pelanggan.
Berdasarkan aplikasi dan strategi segmentasi perusahaan Anda, batasi atau izinkan lalu lintas antara sumber daya internal menurut aturan NSG Anda. Untuk aplikasi spesifik yang terdefinisi dengan baik seperti aplikasi tiga tingkat, ini bisa menjadi penolakan oleh default yang sangat aman.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Menggabungkan runtime integrasi Azure-SSIS ke jaringan virtual
NS-2: Mengamankan layanan cloud dengan kontrol jaringan
Fitur
Azure Private Link
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Tambahan: Anda dapat mengonfigurasi titik akhir privat di Virtual Network terkelola Azure Data Factory untuk menyambungkan ke penyimpanan data secara privat.
Data Factory tidak menyediakan kemampuan untuk mengonfigurasi titik akhir layanan Virtual Network.
Saat membuat Runtime Integrasi (IR) Azure-SSIS, Anda dapat bergabung dengan jaringan virtual. Hal ini memungkinkan Azure Data Factory membuat sumber daya jaringan tertentu, seperti NSG dan penyeimbang beban. Anda juga dapat memberikan alamat IP publik statis Anda sendiri atau meminta Azure Data Factory membuatnya untuk Anda. Pada NSG yang secara otomatis dibuat oleh Azure Data Factory, port 3389 terbuka untuk semua lalu lintas secara default. Kuncilah port untuk memastikan bahwa hanya administrator Anda yang memiliki akses. Anda dapat menerapkan IR yang Dihosting Sendiri pada mesin lokal atau Azure VM di dalam jaringan virtual. Pastikan bahwa penyebaran subnet jaringan virtual Anda memiliki NSG yang dikonfigurasi untuk hanya memperbolehkan akses administratif. IR Azure-SSIS melarang port 3389 keluar secara default pada Aturan Firewall Windows pada setiap node IR untuk perlindungan. Anda dapat mengamankan sumber daya virtual yang dikonfigurasi jaringan dengan mengaitkan NSG dengan subnet dan menetapkan aturan yang ketat.
Referensi: Azure Private Link untuk Azure Data Factory
Menonaktifkan Akses Jaringan Publik
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Menonaktifkan akses jaringan publik hanya berlaku untuk Self-Hosted Integration Runtime (SHIR) dan bukan Runtime integrasi Azure atau runtime integrasi SSIS. Dengan SHIR, mengaktifkan pabrik data tautan privat tidak secara eksplisit memblokir akses publik tetapi pelanggan dapat memblokir akses publik secara manual.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Azure Private Link untuk Azure Data Factory
Manajemen identitas
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.
IM-1: Menggunakan identitas dan sistem autentikasi terpusat
Fitur
Autentikasi Azure AD Diperlukan untuk Akses Sarana Data
Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Data Factory dapat mengautentikasi secara asli ke layanan dan sumber daya Azure yang mendukung autentikasi Azure AD.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Identitas terkelola untuk Azure Data Factory
Metode Autentikasi Lokal untuk Akses Data Plane
Deskripsi: Metode autentikasi lokal yang didukung untuk akses sarana data, seperti nama pengguna dan kata sandi lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Anda dapat menggunakan autentikasi Windows untuk mengakses sumber data dari paket SSIS yang berjalan di Azure-SSIS Integration Runtime (IR). Penyimpanan data Anda dapat berada di lingkungan lokal, dihost di Virtual Machines (VM) Azure, atau berjalan di Azure sebagai layanan terkelola. Namun, sebaiknya hindari penggunaan autentikasi lokal dan gunakan Azure AD sedapat mungkin. Hindari penggunaan metode atau akun autentikasi lokal, ini harus dinonaktifkan sedapat mungkin. Sebagai gantinya, gunakan Azure AD untuk mengautentikasi jika memungkinkan.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Mengakses penyimpanan data dan berbagi file dengan autentikasi Windows dari paket SSIS di Azure
IM-3: Mengelola identitas aplikasi dengan aman dan otomatis
Fitur
Identitas Terkelola
Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Secara default, saat membuat pabrik data melalui portal Azure atau PowerShell, identitas terkelola akan dibuat secara otomatis. Menggunakan SDK atau REST API, identitas terkelola hanya akan dibuat jika pengguna menentukan kata kunci "identitas" secara eksplisit.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Identitas terkelola untuk Azure Data Factory dan Azure Synapse
Perwakilan Layanan
Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Data Factory memungkinkan Anda menggunakan Identitas terkelola, Prinsip Layanan untuk mengautentikasi terhadap penyimpanan data dan komputasi yang mendukung autentikasi AAD.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
IM-7: Membatasi akses sumber daya berdasarkan kondisi
Fitur
Akses Bersyarah untuk Data Plane
Deskripsi: Akses sarana data dapat dikontrol menggunakan Kebijakan Akses Bersyarah Azure AD. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Akses Bersyar: Aplikasi cloud, tindakan, dan konteks autentikasi
IM-8: Membatasi pemaparan info masuk dan rahasia
Fitur
Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault
Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Anda dapat menyimpan kredensial untuk penyimpanan data dan komputasi di Azure Key Vault. Azure Data Factory mengambil kredensial saat mengeksekusi aktivitas yang menggunakan penyimpanan/komputasi data.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Menyimpan kredensial di Azure Key Vault
Akses dengan hak istimewa
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
PA-1: Memisahkan dan membatasi pengguna dengan hak istimewa tinggi/administratif
Fitur
Akun Admin Lokal
Deskripsi: Layanan memiliki konsep akun administratif lokal. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
PA-7: Mengikuti prinsip administrasi yang cukup (prinsip hak istimewa paling rendah)
Fitur
Azure RBAC untuk Data Plane
Deskripsi: Azure Role-Based Access Control (Azure RBAC) dapat digunakan untuk mengelola akses ke tindakan sarana data layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Data Factory terintegrasi dengan Azure RBAC untuk mengelola sumber dayanya. Dengan RBAC, Anda mengelola akses sumber daya Azure melalui penetapan peran. Anda dapat menetapkan peran ke pengguna, grup, perwakilan layanan, dan identitas terkelola. Sumber daya tertentu memiliki peran bawaan yang telah ditentukan sebelumnya. Anda dapat menginventarisasi atau mengkueri peran ini melalui alat seperti Azure CLI, Azure PowerShell, atau portal Azure.
Batasi hak istimewa yang Anda tetapkan ke sumber daya melalui Azure RBAC sesuai kebutuhan peran. Praktik ini melengkapi pendekatan just-in-time (JIT) dari Azure AD PIM. Tinjau peran dan tugas secara berkala.
Gunakan peran bawaan untuk memberikan izin. Hanya buat peran kustom saat diperlukan.
Anda dapat membuat peran kustom di Azure AD dengan akses yang lebih ketat ke Data Factory.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Peran dan izin untuk Azure Data Factory
PA-8: Menentukan proses akses untuk dukungan penyedia cloud
Fitur
Customer Lockbox
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Customer Lockbox untuk Microsoft Azure
Perlindungan data
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif
Fitur
Penemuan dan Klasifikasi Data Sensitif
Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Menyambungkan Data Factory ke Microsoft Purview
DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif
Fitur
Pencegahan Kebocoran/Kehilangan Data
Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
DP-3: Mengenkripsi data sensitif saat transit
Fitur
Data dalam Enkripsi Transit
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Pertimbangan keamanan untuk pergerakan data di Azure Data Factory
DP-4: Mengaktifkan enkripsi data tidak aktif secara default
Fitur
Enkripsi Data tidak Aktif Menggunakan Kunci Platform
Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Mengenkripsi Azure Data Factory dengan kunci yang dikelola pelanggan
DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan
Fitur
Enkripsi Data tidak Aktif Menggunakan CMK
Deskripsi: Enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Mengenkripsi Azure Data Factory dengan kunci yang dikelola pelanggan
DP-6: Menggunakan proses manajemen kunci yang aman
Fitur
Manajemen Kunci di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Menyimpan kredensial di Azure Key Vault
DP-7: Menggunakan proses manajemen sertifikat yang aman
Fitur
Manajemen Sertifikat di Azure Key Vault
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Menyimpan kredensial di Azure Key Vault
Manajemen Aset
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
AM-2: Hanya menggunakan layanan yang disetujui
Fitur
Dukungan Azure Policy
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Gunakan Azure Policy untuk mengaudit dan membatasi layanan mana yang dapat disediakan pengguna di lingkungan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya dalam langganan Anda. Anda juga dapat menggunakan Azure Monitor untuk membuat aturan guna memicu peringatan saat mereka mendeteksi layanan yang tidak disetujui.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Azure Policy definisi bawaan untuk Data Factory
Pengelogan dan Deteksi Ancaman
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
LT-1: Mengaktifkan kemampuan deteksi ancaman
Fitur
Microsoft Defender untuk Layanan / Penawaran Produk
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| FALSE | Tidak berlaku | Tidak berlaku |
Catatan fitur: IR yang dihost sendiri (SHIR) yang berjalan di Azure VM dan kontainer, menggunakan Defender untuk membuat konfigurasi yang aman.
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan
Fitur
Log Sumber Daya Azure
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Catatan fitur: Log aktivitas tersedia secara otomatis. Anda dapat menggunakan log aktivitas untuk menemukan kesalahan saat memecahkan masalah, atau untuk memantau bagaimana pengguna di organisasi Anda memodifikasi sumber daya.
Gunakan Microsoft Defender untuk Cloud dan Azure Policy untuk mengaktifkan log sumber daya dan pengumpulan data log.
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Referensi: Pengaturan diagnostik di Azure Monitor
Pencadangan dan Pemulihan
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.
BR-1: Pastikan pencadangan otomatis secara rutin
Fitur
Kemampuan Pencadangan Asli Layanan
Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Untuk mencadangkan semua kode di Azure Data Factory, gunakan fungsionalitas kontrol sumber di Data Factory.
Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.
Referensi: Kontrol sumber di Azure Data Factory
Langkah berikutnya
- Lihat gambaran umum tolok ukur keamanan cloud Microsoft
- Pelajari selengkapnya tentang Garis besar keamanan Azure