Udostępnij za pośrednictwem


Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure Data Manager for Energy

Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Azure Data Manager for Energy. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązanych wskazówek dotyczących usługi Azure Data Manager for Energy.

Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. Azure Policy definicje zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender for Cloud.

Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacjami testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.

Uwaga

Funkcje , które nie mają zastosowania do usługi Azure Data Manager for Energy, zostały wykluczone. Aby zobaczyć, jak usługa Azure Data Manager for Energy całkowicie mapuje na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktów odniesienia zabezpieczeń usługi Azure Data Manager for Energy.

Profil zabezpieczeń

Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Azure Data Manager for Energy, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.

Atrybut zachowania usługi Wartość
Product Category
Klient może uzyskać dostęp do hosta/systemu operacyjnego Brak dostępu
Usługę można wdrożyć w sieci wirtualnej klienta Fałsz
Przechowuje zawartość klienta magazynowanych Prawda

Bezpieczeństwo sieci

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.

NS-1: Ustanawianie granic segmentacji sieci

Funkcje

Integracja sieci wirtualnej

Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Obsługa sieciowej grupy zabezpieczeń

Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jej podsieciach. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci

Funkcje

Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Wystąpienie usługi Azure Data Manager for Energy można połączyć z sieci wirtualnej za pośrednictwem prywatnego punktu końcowego, który jest zestawem prywatnych adresów IP w podsieci w sieci wirtualnej przy użyciu Azure Private Link. Dostęp do wystąpienia może być ograniczony przez te prywatne adresy IP.

Prywatny punkt końcowy można skonfigurować podczas procesu aprowizacji wystąpienia lub po utworzeniu wystąpienia. Wystąpienie usługi Azure Data Manager for Energy skonfigurowane za pomocą Private Link można połączyć przy użyciu metody automatycznego lub ręcznego zatwierdzania.

Dokumentacja: Tworzenie prywatnego punktu końcowego dla usługi Azure Data Manager for Energy Preview

Wyłączanie dostępu do sieci publicznej

Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej, przełączając przełącznik na potrzeby dostępu do sieci publicznej.

Dokumentacja: Tworzenie prywatnego punktu końcowego dla usługi Azure Data Manager for Energy Preview

Zarządzanie tożsamościami

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie tożsamościami.

IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania

Funkcje

Uwierzytelnianie Azure AD wymagane do uzyskania dostępu do płaszczyzny danych

Opis: Usługa obsługuje uwierzytelnianie Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: Usługa Azure Data Manager for Energy używa interfejsu API uprawnień i działa jako system autoryzacji opartej na grupach dla partycji danych w usłudze Azure Data Manager for Energy.

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Jak zarządzać użytkownikami

Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych

Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji

Funkcje

Tożsamości zarządzane

Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: Obecnie inne usługi mogą łączyć się z usługą Azure Data Manager for Energy przy użyciu tożsamości zarządzanej przypisanej przez system lub przypisanej przez użytkownika. Jednak sama usługa Azure Data Manager for Energy nie obsługuje tożsamości zarządzanych przypisanych przez system.

Wskazówki dotyczące konfiguracji: użyj tożsamości zarządzanych platformy Azure, aby uzyskać dostęp do płaszczyzny danych lub płaszczyzny sterowania wystąpienia usługi Azure Data Manager for Energy z innych usług platformy Azure.

Dokumentacja: uzyskiwanie dostępu do usługi Azure Data Manager for Energy Preview przy użyciu tożsamości zarządzanej z innych usług platformy Azure

Jednostki usługi

Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Uwagi dotyczące funkcji: jednostka usługi jest tworzona automatycznie podczas procesu rejestracji aplikacji.

Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.

Dokumentacja: Szybki start: tworzenie wystąpienia usługi Azure Data Manager for Energy Preview

IM-7: Ograniczanie dostępu do zasobów na podstawie warunków

Funkcje

Dostęp warunkowy dla płaszczyzny danych

Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych

Funkcje

Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych na platformie Azure Key Vault

Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Dostęp uprzywilejowany

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: dostęp uprzywilejowany.

PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników

Funkcje

Lokalne konta Administracja

Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

PA-7: Postępuj zgodnie z zasadą administrowania wystarczającą ilością (najmniejszych uprawnień)

Funkcje

Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych

Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Uwagi dotyczące funkcji: dostęp do płaszczyzny danych jest zarządzany za pośrednictwem usługi upoważnienia.

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze

Funkcje

Skrytka klienta

Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.

Obsługiwane Włączone domyślnie Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: w scenariuszach pomocy technicznej, w których firma Microsoft musi uzyskać dostęp do danych, użyj skrytki klienta do przejrzenia, a następnie zatwierdź lub odrzuć każde z żądań dostępu do danych firmy Microsoft.

Dokumentacja: Używanie skrytki klienta dla usługi Azure Data Manager for Energy Preview

Ochrona danych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: ochrona danych.

DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych

Funkcje

Odnajdywanie i klasyfikacja poufnych danych

Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych

Funkcje

Zapobieganie wyciekom/utracie danych

Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

DP-3: Szyfrowanie poufnych danych przesyłanych

Funkcje

Dane w szyfrowaniu tranzytowym

Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Prawda Microsoft

Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ jest to włączone w przypadku wdrożenia domyślnego.

Dokumentacja: Szyfrowanie danych przesyłanych

DP-4: Domyślnie włącz szyfrowanie danych magazynowanych

Funkcje

Szyfrowanie danych magazynowanych przy użyciu kluczy platformy

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: Klient musi wybrać klucze zarządzane przez firmę Microsoft (MMK) na karcie szyfrowania podczas aprowizowania wystąpienia usługi Azure Data Manager for Energy. Po utworzeniu wystąpienia nie można edytować ustawień klucza.

Wskazówki dotyczące konfiguracji: włączanie szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez platformę (zarządzanych przez firmę Microsoft), w przypadku których usługa nie jest konfigurowana automatycznie.

DP-5: Użyj opcji klucza zarządzanego przez klienta w szyfrowaniu danych magazynowanych, jeśli jest to wymagane

Funkcje

Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta

Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: Klienci mogą konfigurować klucz zarządzany przez klienta tylko podczas aprowizacji wystąpienia usługi Azure Data Manager for Energy. Po utworzeniu wystąpienia nie można edytować ustawień klucza zarządzanego przez klienta.

Wskazówki dotyczące konfiguracji: szyfrowanie danych magazynowanych chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Włączanie i implementowanie szyfrowania danych magazynowanych przy użyciu klucza zarządzanego przez klienta.

Dokumentacja: Zabezpieczenia danych i szyfrowanie w usłudze Azure Data Manager for Energy

DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami

Funkcje

Zarządzanie kluczami w usłudze Azure Key Vault

Opis: Usługa obsługuje integrację Key Vault platformy Azure dla dowolnych kluczy klienta, wpisów tajnych lub certyfikatów. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Uwagi dotyczące funkcji: usługa Azure Key Vault służy do przechowywania klucza szyfrowania zarządzanego przez klienta.

Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli konieczne jest użycie klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) z kluczem szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływają odwołania za pośrednictwem identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.

Dokumentacja: Zabezpieczenia danych i szyfrowanie w usłudze Azure Data Manager for Energy Preview

Zarządzanie zasobami

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.

AM-2: Używaj tylko zatwierdzonych usług

Funkcje

Obsługa usługi Azure Policy

Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Rejestrowanie i wykrywanie zagrożeń

Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.

LT-1: Włączanie możliwości wykrywania zagrożeń

Funkcje

Microsoft Defender dla usługi/oferty produktu

Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń

Funkcje

Dzienniki zasobów platformy Azure

Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Prawda Fałsz Klient

Wskazówki dotyczące konfiguracji: Włączanie dzienników zasobów dla usługi.

Uwaga: usługa Azure Data Manager for Energy Preview obsługuje eksportowanie dzienników usługi OSDU do usługi Azure Monitor przy użyciu ustawienia diagnostycznego, które ułatwia rozwiązywanie problemów, debugowanie & monitorowanie usług OSDU. Dzienniki inspekcji udostępniają również dzienniki inspekcji dla interfejsów API płaszczyzny danych w usłudze Azure Data Manager for Energy.

Dokumentacja: integrowanie dzienników usługi OSDU z usługą Azure Monitor

Tworzenie i przywracanie kopii zapasowych

Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.

BR-1: Zapewnienie regularnych automatycznych kopii zapasowych

Funkcje

Azure Backup

Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Natywne możliwości tworzenia kopii zapasowej usługi

Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używasz Azure Backup). Dowiedz się więcej.

Obsługiwane Domyślnie włączone Odpowiedzialność za konfigurację
Fałsz Nie dotyczy Nie dotyczy

Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.

Następne kroki