Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do kopii zapasowej. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest grupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązane wskazówki dotyczące kopii zapasowej.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu usługi Microsoft Defender for Cloud. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu usługi Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga / Notatka
Funkcje , które nie mają zastosowania do tworzenia kopii zapasowej, zostały wykluczone. Aby zobaczyć, jak Backup całkowicie odpowiada benchmarkowi zabezpieczeń w chmurze Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń kopii zapasowej.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań związanych z tworzeniem kopii zapasowych o dużym wpływie, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania serwisu | Wartość |
|---|---|
| Kategoria produktu | MgMT/Governance |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Nieprawda |
| Przechowuje dane klienta w stanie spoczynku | Nieprawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Azure Private Link
Opis: Natywna dla usługi funkcja filtrowania adresów IP do filtrowania ruchu sieciowego (nie należy mylić z NSG (grupą zabezpieczeń sieci) lub usługą Azure Firewall). Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Dokumentacja: dostępność usługi Azure Private Link
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej poprzez regułę filtrowania ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub usługi Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej, używając reguły filtrowania listy ACL adresów IP na poziomie usługi lub przełącznika do dostępu do sieci publicznej.
Odwołanie: Odmowa dostępu sieci publicznej do magazynu
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
System zarządzania tożsamościami
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Tożsamość zarządzana można utworzyć dla magazynu i działać tylko na płaszczyźnie sterowania.
Aby uzyskać więcej informacji, odwiedź stronę: Włączanie tożsamości zarządzanej dla magazynu.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
IM-8: Ogranicz ujawnianie poświadczeń i tajemnic
Funkcje
Poświadczenia usługi i tajne dane wspierają integrację oraz przechowywanie w Azure Key Vault.
Opis: Warstwa danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i tajnych informacji. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Uwagi dotyczące funkcji: Ta funkcja jest obsługiwana we wszystkich scenariuszach, z wyjątkiem scenariusza lokalnego, w którym plik poświadczeń skarbca nie jest przechowywany w AKV (Azure Key Vault).
Wskazówki dotyczące konfiguracji: Upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzania ich w kodzie lub plikach konfiguracji.
Dokumentacja: Konfigurowanie magazynu do szyfrowania przy użyciu kluczy zarządzanych przez klienta
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-7: Przestrzegaj zasady minimalnej administracji (najmniejszych uprawnień)
Funkcje
Mechanizm kontroli dostępu oparty na rolach (RBAC) w Azure dla płaszczyzny danych
Opis: Kontrola dostępu Azure Role-Based (Azure RBAC) może być używana do zarządzania dostępem do operacji płaszczyzny danych usługi. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Notatki dotyczące funkcji: Kontrola dostępu oparta na rolach platformy Azure jest obsługiwana w przypadku akcji płaszczyzny sterowania.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-2: Monitorowanie anomalii i zagrożeń skierowanych na poufne dane
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: Ta usługa obsługuje rozwiązanie DLP, które monitoruje ruch poufnych danych w treściach klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Uwagi dotyczące funkcji: Usługa Azure Backup obsługuje zaawansowane funkcje, takie jak niezmienne magazyny, miękkie usuwanie, autoryzacja wielu użytkowników, które mogą pomóc w ochronie danych kopii zapasowych klientów, zwykle o poufnym charakterze.
Aby uzyskać więcej informacji, odwiedź stronę: Niezmienialny magazyn, Miękkie usuwanie i Autoryzacja wielu użytkowników
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Proszę przejrzeć tę funkcję zabezpieczeń i ustalić, czy organizacja chce ją skonfigurować.
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa zapewnia szyfrowanie danych w ruchu dla warstwy danych. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Odnośnik: Transport Layer Security in Backup
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych w spoczynku przy użyciu kluczy platformowych
Opis: Szyfrowanie danych w stanie spoczynku przy użyciu kluczy platformy jest obsługiwane, każda zawartość klienta w stanie spoczynku jest szyfrowana za pomocą tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: poziomy szyfrowania w usłudze azure-backup
DP-5: Użyj opcji klucza zarządzanego przez klienta podczas szyfrowania danych w stanie spoczynku, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta (CMK)
Opis: Szyfrowanie danych w stanie spoczynku za pomocą kluczy zarządzanych przez klienta jest obsługiwane dla treści klienta przechowywanej przez usługę. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: W razie potrzeby zgodności z przepisami zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Dokumentacja: Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: Użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Zmieniaj i wycofuj klucze w usłudze Azure Key Vault oraz w swojej usłudze na podstawie określonego harmonogramu lub gdy nastąpi wycofanie lub kompromitacja klucza. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze praktyki zarządzania kluczami: Użyj hierarchii kluczy, aby wygenerować osobny klucz szyfrowania danych (DEK) za pomocą klucza szyfrowania kluczy (KEK) w swoim magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływane poprzez identyfikatory kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.
Dokumentacja: Szyfrowanie w usłudze Azure Backup
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: Użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia certyfikatu, w tym tworzenie, importowanie, rotację, odwoływanie, przechowywanie i czyszczenie certyfikatu. Upewnij się, że generowanie certyfikatów jest zgodne ze zdefiniowanymi standardami bez używania żadnych niezabezpieczonych właściwości, takich jak: niewystarczający rozmiar klucza, zbyt długi okres ważności, niezabezpieczona kryptografia. Skonfiguruj automatyczną rotację certyfikatu w usłudze Azure Key Vault i usłudze platformy Azure (jeśli jest obsługiwana) na podstawie zdefiniowanego harmonogramu lub wygaśnięcia certyfikatu. Jeśli automatyczna rotacja nie jest obsługiwana w aplikacji, upewnij się, że nadal są obracane przy użyciu metod ręcznych w usłudze Azure Key Vault i aplikacji.
Dokumentacja: Szyfrowanie kopii zapasowych
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Kopia zapasowa zasad platformy Azure
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla usługi/oferty produktowej
Opis: Usługa posiada rozwiązanie Microsoft Defender specyficzne dla oferty, które monitoruje i zgłasza alerty dotyczące problemów z zabezpieczeniami. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Nieprawda | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włącz rejestrowanie na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić ulepszone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego źródła danych, takiego jak konto przechowywania lub obszar roboczy usługi Log Analytics. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji : Włącz dzienniki zasobów dla usługi. Na przykład usługa Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają tajemnicę z magazynu kluczy, natomiast usługa Azure SQL ma dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od usługi platformy Azure i typu zasobu.
Dokumentacja: Stosowanie ustawień diagnostycznych dla magazynów Recovery Services
Kopia zapasowa i przywracanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Wsparte | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Monitorowanie usługi Microsoft Defender for Cloud
Wbudowane definicje usługi Azure Policy — Microsoft.RecoveryServices:
| Name (Azure Portal) |
Description | Effect(s) | wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |