Bagikan melalui


Garis besar keamanan Azure untuk Azure Stream Analytics

Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Stream Analytics. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure Stream Analytics.

Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.

Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.

Catatan

Fitur yang tidak berlaku untuk Azure Stream Analytics telah dikecualikan. Untuk melihat bagaimana Azure Stream Analytics sepenuhnya memetakan tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure Stream Analytics lengkap.

Profil keamanan

Profil keamanan meringkas perilaku berdampak tinggi dari Azure Stream Analytics, yang dapat mengakibatkan peningkatan pertimbangan keamanan.

Atribut Perilaku Layanan Nilai
Kategori Produk Analitik, IoT
Pelanggan dapat mengakses HOST / OS Tidak Ada Akses
Layanan dapat disebarkan ke jaringan virtual pelanggan FALSE
Menyimpan konten pelanggan saat tidak aktif Salah

Keamanan jaringan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.

NS-1: Membangun batas segmentasi jaringan

Fitur

Integrasi Jaringan Virtual

Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Dukungan Kelompok Keamanan Jaringan

Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

NS-2: Mengamankan layanan cloud dengan kontrol jaringan

Fitur

Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Catatan fitur: Dukungan Azure Stream Analytics Private Link di SKU Premium.

Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.

Referensi: Membuat dan menghapus titik akhir privat terkelola di kluster Azure Stream Analytics

Menonaktifkan Akses Jaringan Publik

Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Manajemen identitas

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen identitas.

IM-1: Menggunakan identitas dan sistem autentikasi terpusat

Fitur

Autentikasi Azure AD Diperlukan untuk Akses Sarana Data

Deskripsi: Layanan mendukung penggunaan autentikasi Azure AD untuk akses sarana data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana data Anda.

Referensi: Memutar kredensial masuk untuk input dan output Pekerjaan Azure Stream Analytics

IM-3: Mengelola identitas aplikasi dengan aman dan otomatis

Fitur

Identitas Terkelola

Deskripsi: Tindakan bidang data mendukung autentikasi menggunakan identitas terkelola. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True Salah Pelanggan

Panduan Konfigurasi: Gunakan identitas terkelola Azure alih-alih perwakilan layanan jika memungkinkan, yang dapat mengautentikasi ke layanan dan sumber daya Azure yang mendukung autentikasi Azure Active Directory (Azure AD). Info masuk identitas terkelola sepenuhnya dikelola, diputar, dan dilindungi oleh platform, menghindari info masuk yang dikodekan secara permanen dalam kode sumber atau file konfigurasi.

Referensi: Identitas terkelola untuk Azure Stream Analytics

Perwakilan Layanan

Deskripsi: Bidang data mendukung autentikasi menggunakan perwakilan layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Tambahan: Untuk layanan yang tidak mendukung identitas terkelola, gunakan Azure AD untuk membuat perwakilan layanan dengan izin terbatas di tingkat sumber daya. Disarankan untuk mengonfigurasi perwakilan layanan dengan info masuk sertifikat dan kembali ke rahasia klien untuk autentikasi.

IM-8: Membatasi pemaparan info masuk dan rahasia

Fitur

Kredensial Layanan dan Rahasia Mendukung Integrasi dan Penyimpanan di Azure Key Vault

Deskripsi: Bidang data mendukung penggunaan asli Azure Key Vault untuk penyimpanan kredensial dan rahasia. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Akses dengan hak istimewa

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.

PA-8: Menentukan proses akses untuk dukungan penyedia cloud

Fitur

Customer Lockbox

Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Perlindungan data

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.

DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif

Fitur

Penemuan dan Klasifikasi Data Sensitif

Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

DP-2: Memantau anomali dan ancaman yang menargetkan data sensitif

Fitur

Pencegahan Kebocoran/Kehilangan Data

Deskripsi: Layanan mendukung solusi DLP untuk memantau pergerakan data sensitif (dalam konten pelanggan). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Azure Stream Analytics tidak mendukung Pencegahan Kebocoran/Kehilangan Data, namun ada kebijakan bawaan yang dapat dimanfaatkan untuk mencegah akses data yang tidak sah.

Untuk informasi selengkapnya, silakan kunjungi: Azure Policy definisi bawaan untuk Azure Stream Analytics.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

DP-3: Mengenkripsi data sensitif saat transit

Fitur

Data dalam Enkripsi Transit

Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Selamat Datang di Azure Stream Analytics

DP-4: Mengaktifkan enkripsi data tidak aktif secara default

Fitur

Enkripsi Data tidak Aktif Menggunakan Kunci Platform

Deskripsi: Enkripsi data tidak aktif menggunakan kunci platform didukung, konten pelanggan apa pun saat tidak aktif dienkripsi dengan kunci yang dikelola Microsoft ini. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True True Microsoft

Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.

Referensi: Perlindungan data di Azure Stream Analytics

DP-5: Menggunakan opsi kunci yang dikelola pelanggan dalam enkripsi data tidak aktif saat diperlukan

Fitur

Enkripsi Data tidak Aktif Menggunakan CMK

Deskripsi: Enkripsi data saat tidak aktif menggunakan kunci yang dikelola pelanggan didukung untuk konten pelanggan yang disimpan oleh layanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Jika diperlukan untuk kepatuhan terhadap peraturan, tentukan kasus penggunaan dan cakupan layanan di mana enkripsi menggunakan kunci yang dikelola pelanggan diperlukan. Aktifkan dan terapkan enkripsi data tidak aktif menggunakan kunci yang dikelola pelanggan untuk layanan tersebut.

Referensi: Perlindungan data di Azure Stream Analytics

DP-6: Menggunakan proses manajemen kunci yang aman

Fitur

Manajemen Kunci di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk kunci, rahasia, atau sertifikat pelanggan apa pun. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Catatan fitur: Azure Stream Analytics tidak terintegrasi langsung dengan Azure Key Vault. Azure Key Vault dapat dimanfaatkan secara tidak langsung jika pelanggan ingin menggunakan kunci yang dikelola pelanggan untuk mengenkripsi aset data privat yang diperlukan oleh runtime Azure Stream Analytics melalui penggunaan akun penyimpanan.

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

DP-7: Menggunakan proses manajemen sertifikat yang aman

Fitur

Manajemen Sertifikat di Azure Key Vault

Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Manajemen Aset

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.

AM-2: Hanya menggunakan layanan yang disetujui

Fitur

Dukungan Azure Policy

Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi yang aman di seluruh sumber daya Azure.

Referensi: Azure Policy definisi bawaan untuk Azure Stream Analytics

Pengelogan dan Deteksi Ancaman

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.

LT-1: Mengaktifkan kemampuan deteksi ancaman

Fitur

Microsoft Defender untuk Penawaran Layanan / Produk

Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

LT-4: Mengaktifkan pengelogan untuk penyelidikan keamanan

Fitur

Log Sumber Daya Azure

Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimnya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure.

Referensi: Memecahkan masalah Azure Stream Analytics dengan menggunakan log sumber daya

Pencadangan dan Pemulihan

Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pencadangan dan pemulihan.

BR-1: Pastikan pencadangan otomatis secara rutin

Fitur

Pencadangan Azure

Deskripsi: Layanan dapat dicadangkan oleh layanan Azure Backup. Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
FALSE Tidak berlaku Tidak berlaku

Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.

Kemampuan Pencadangan Asli Layanan

Deskripsi: Layanan mendukung kemampuan pencadangan aslinya sendiri (jika tidak menggunakan Azure Backup). Pelajari lebih lanjut.

Didukung Diaktifkan Secara Default Tanggung Jawab Konfigurasi
True FALSE Pelanggan

Panduan Konfigurasi: Tidak ada panduan Microsoft saat ini untuk konfigurasi fitur ini. Harap tinjau dan tentukan apakah organisasi Anda ingin mengonfigurasi fitur keamanan ini.

Referensi: Salin, cadangkan, dan pindahkan pekerjaan Azure Stream Analytics Anda antar wilayah

Langkah berikutnya