Delen via


Azure-beveiligingsbasislijn voor Azure Data Box

Deze beveiligingsbasislijn past richtlijnen van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 toe op Azure Data Box. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Data Box.

U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.

Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Functies die niet van toepassing zijn op Azure Data Box zijn uitgesloten. Als u wilt zien hoe Azure Data Box volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand voor azure Data Box-beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van Azure Data Box, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie Storage
Klant heeft toegang tot HOST/besturingssysteem Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant False
Inhoud van klanten in rust opgeslagen Waar

Netwerkbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.

NS-1: netwerksegmentatiegrenzen vaststellen

Functies

Integratie van virtueel netwerk

Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Ondersteuning voor netwerkbeveiligingsgroepen

Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

NS-2: Cloudservices beveiligen met netwerkbesturingselementen

Functies

Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Openbare netwerktoegang uitschakelen

Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Identiteitsbeheer

Zie de Microsoft-cloudbeveiligingsbenchmark: Identiteitsbeheer voor meer informatie.

IM-1: gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Lokale verificatiemethoden voor toegang tot gegevensvlak

Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Klant

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Aanvullende richtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit wordt beheerd door het Azure-platform

Naslaginformatie: Toegang tot apparaten beheren via een wachtwoordsleutel voor apparaat ontgrendelen

IM-3: toepassingsidentiteiten veilig en automatisch beheren

Functies

Beheerde identiteiten

Beschrijving: gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Service-principals

Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-7: Toegang tot resources beperken op basis van voorwaarden

Functies

Voorwaardelijke toegang voor gegevensvlak

Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-8: De blootstelling van referenties en geheimen beperken

Functies

Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault

Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Bevoegde toegang

Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.

PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerders

Functies

Lokale Beheer-accounts

Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

PA-7: Volg het principe just enough administration (minimale bevoegdheden)

Functies

Azure RBAC voor gegevensvlak

Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: u kunt bepalen wie toegang heeft tot uw Data Box-bestelling wanneer de order voor het eerst wordt gemaakt. De twee rollen die kunnen worden gedefinieerd voor de Azure Data Box-service zijn:

Data Box Reader : alleen-lezentoegang hebben tot een bestelling(en) zoals gedefinieerd door het bereik. Ze kunnen alleen details van een bestelling bekijken. Ze hebben geen toegang tot andere gegevens met betrekking tot opslagaccounts of kunnen de ordergegevens, zoals adres, enzovoort, niet bewerken.

Data Box-inzender: kan alleen een bestelling maken om gegevens over te dragen naar een bepaald opslagaccount als deze al schrijftoegang tot een opslagaccount heeft. Als ze geen toegang hebben tot een opslagaccount, kunnen ze zelfs geen Data Box-bestelling maken om gegevens naar het account te kopiëren. Deze rol definieert geen machtigingen voor opslagaccounts en verleent geen toegang tot opslagaccounts.

Als u de toegang tot een bestelling wilt beperken, kunt u het volgende doen:

  • Wijs een rol toe op orderniveau. De gebruiker heeft alleen die machtigingen zoals gedefinieerd door de rollen om alleen met die specifieke Data Box-bestelling te communiceren en niets anders.
  • Wijs een rol toe op het niveau van de resourcegroep. De gebruiker heeft toegang tot alle Data Box-orders binnen een resourcegroep.

Naslaginformatie: Toegangsbeheer instellen voor de bestelling

PA-8: Toegangsproces voor ondersteuning van cloudproviders bepalen

Functies

Klanten-lockbox

Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor toegang tot gegevens van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.

Naslaginformatie: Customer Lockbox gebruiken voor Azure Data Box

Gegevensbescherming

Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.

DP-1: Gevoelige gegevens detecteren, classificeren en labelen

Functies

Detectie en classificatie van gevoelige gegevens

Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens

Functies

Preventie van gegevenslekken/-verlies

Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-3: Gevoelige gegevens tijdens overdracht versleutelen

Functies

Gegevens-in-transitversleuteling

Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: TLS 1.1 of lager inschakelen in Azure Data Box

DP-4: Versleuteling van data-at-rest standaard inschakelen

Functies

Data-at-rest-versleuteling met behulp van platformsleutels

Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Referentie: Data-at-rest-encryption voor Data Box

DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig

Functies

Data-at-rest-versleuteling met CMK

Beschrijving: Versleuteling van inactieve gegevens met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waarvoor versleuteling met behulp van door de klant beheerde sleutels nodig is. Versleuteling van data-at-rest inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.

Naslaginformatie: Door de klant beheerde sleutels gebruiken in Azure Key Vault voor Azure Data Box

DP-6: Een beveiligd sleutelbeheerproces gebruiken

Functies

Sleutelbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Door de klant beheerde sleutels gebruiken in Azure Key Vault voor Azure Data Box

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Asset-management

Zie de Microsoft Cloud Security Benchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen in Azure-resources.

Naslaginformatie: Azure Policy controles voor naleving van regelgeving voor Azure Data Box

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en bedreigingsdetectie voor meer informatie.

LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service-/productaanbiedingen

Beschrijving: De service heeft een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Back-ups maken en herstellen

Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Functies

Azure Backup

Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Systeemeigen back-upmogelijkheid van service

Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Volgende stappen