Базовые показатели безопасности Azure для Служба Azure Kubernetes (AKS)
Этот базовый план безопасности применяет рекомендации от microsoft cloud security benchmark версии 1.0 к Служба Azure Kubernetes (AKS). Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Служба Azure Kubernetes (AKS).
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям к элементам управления и рекомендациям microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание.
Функции, не применимые к Служба Azure Kubernetes (AKS), были исключены. Чтобы узнать, как Служба Azure Kubernetes (AKS) полностью сопоставляется с эталонным показателем безопасности Microsoft Cloud Security, см. полный файл сопоставления базовых показателей безопасности Служба Azure Kubernetes (AKS).
Профиль безопасности
Профиль безопасности суммирует поведение Служба Azure Kubernetes (AKS), что может привести к увеличению соображений безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продукта | Контейнеры |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Истина |
| Сохраняет содержимое клиента неактивных данных | Истина |
Безопасность сети
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1: установка границы сегментации сети
Функции
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (виртуальная сеть). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Использование сети Kubenet с собственными диапазонами IP-адресов в Служба Azure Kubernetes (AKS)
Поддержка группы безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Группы безопасности сети
NS-2: защита облачных служб с помощью элементов управления сетью
Функции
Приватный канал Azure
Описание: возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Развертывание частных конечных точек для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы установить частную точку доступа для ресурсов.
Справочник. Создание частного кластера Служба Azure Kubernetes
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или Брандмауэр Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Используйте Azure CLI для отключения общедоступного полного доменного имени в частном Служба Azure Kubernetes кластере.
Справочник. Создание частного кластера Служба Azure Kubernetes
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ContainerService:
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Функции
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Интеграция Azure Active Directory под управлением AKS
Методы локальной проверки подлинности для доступа к плоскости данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Вы можете выполнять проверку подлинности, авторизацию, защиту и контроль доступа к кластерам Kubernetes с помощью управления доступом на основе ролей Kubernetes (Kubernetes RBAC) или с помощью Azure Active Directory и Azure RBAC.
Справочник. Параметры доступа и удостоверения для Служба Azure Kubernetes (AKS)
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Функции
управляемые удостоверения.
Описание. Действия уровня данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. По умолчанию при создании кластера AKS автоматически создается управляемое удостоверение, назначаемое системой. Если вы не используете Azure CLI для развертывания, но используете собственную виртуальную сеть, подключенный диск Azure, статический IP-адрес, таблицу маршрутов или удостоверение kubelet, назначаемое пользователем, которые находятся за пределами группы ресурсов рабочего узла, рекомендуется использовать удостоверение уровня управления, назначаемое пользователем.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Использование управляемого удостоверения в Служба Azure Kubernetes
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Создание субъекта-службы
IM-7: Ограничение доступа к ресурсам на основе условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
Ссылка:
- IM-1. Использование централизованной системы идентификации и проверки подлинности
- Использование условного доступа с Azure AD и AKS
IM-8: ограничение раскрытия учетных данных и секретов
Функции
Интеграция и хранение учетных данных службы и секретов в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование Azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Убедитесь, что секреты и учетные данные хранятся в безопасных расположениях, таких как Azure Key Vault, вместо внедрения их в файлы кода или конфигурации.
Справочник. Хранилище секретов CSI
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Вы можете выполнять проверку подлинности, авторизацию, защиту и контроль доступа к кластерам Kubernetes с помощью управления доступом на основе ролей Kubernetes (Kubernetes RBAC) или с помощью Azure Active Directory и Azure RBAC.
Если не требуется для обычных административных операций, отключите или ограничьте учетные записи локального администратора только для экстренного использования.
Справочник. Параметры доступа и удостоверения для Служба Azure Kubernetes (AKS)
PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)
Функции
Azure RBAC для плоскости данных
Описание. Контроль доступа на основе ролей Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Использование управления доступом на основе ролей Azure (Azure RBAC) для управления доступом к ресурсам Azure с помощью встроенных назначений ролей. Роли RBAC Azure можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям.
Справочник. Использование Azure RBAC для авторизации Kubernetes
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ContainerService:
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Контроль доступа на основе ролей Azure (RBAC) следует использовать в службах Kubernetes | Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте контроль доступа на основе ролей Azure (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройке соответствующих политик авторизации. | Audit, Disabled | 1.0.3 |
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защищенное хранилище
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки, а затем утвердить или отклонить все запросы на доступ к данным Майкрософт.
Справочник. Блокировка клиента для Microsoft Azure
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Если требуется для обеспечения соответствия требованиям защиты от потери данных (DLP), можно использовать решение защиты от потери данных на основе узла из Azure Marketplace или решение защиты от потери данных Microsoft 365 для принудительного применения детективных и /или запретительных элементов управления, чтобы предотвратить утечку данных.
Справочник. Включение Microsoft Defender для контейнеров
DP-3: шифрование передаваемых конфиденциальных данных
Функции
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Включение безопасной передачи в службах, где есть собственные данные в функции транзитного шифрования. Принудительное применение ПРОТОКОЛА HTTPS в любых веб-приложениях и службах и обеспечение использования TLS версии 1.2 или более поздней версии. Устаревшие версии, такие как SSL 3.0, tls версии 1.0 должны быть отключены. Для удаленного управления Виртуальные машины используйте SSH (для Linux) или RDP/TLS (для Windows) вместо незашифрованного протокола.
Справочник. Использование TLS с контроллером входящего трафика на Служба Azure Kubernetes (AKS)
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ContainerService:
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
DP-4: включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Шифрование на основе узла отличается от шифрования на стороне сервера (SSE), которое используется служба хранилища Azure. Диски, управляемые Azure, используют функции службы хранилища Azure для автоматического шифрования неактивных данных при их сохранении. При шифровании на основе узла для шифрования данных перед их передачей через службу хранилища Azure используется узел виртуальной машины.
Руководство по настройке. Включение шифрования неактивных данных с помощью ключей, управляемых платформой (Майкрософт), где служба не настроена автоматически.
Справочник. Шифрование на основе узла на Служба Azure Kubernetes (AKS)
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник. Шифрование на основе узла на Служба Azure Kubernetes (AKS)
DP-6: безопасное управление ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Смена и отмена ключей в Azure Key Vault и вашей службе на основе определенного расписания или при наличии выхода на пенсию или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник. Шифрование на основе узла на Служба Azure Kubernetes (AKS)
DP-7: безопасное управление сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Создание и управление жизненным циклом сертификата с помощью Azure Key Vault, включая создание, импорт, смену, отзыв, хранение и очистку сертификата. Убедитесь, что создание сертификатов соответствует определенным стандартам без использования небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасная криптография. Настройте автоматическую смену сертификата в Azure Key Vault и службе Azure (если она поддерживается) на основе определенного расписания или истечения срока действия сертификата. Если автоматическая смена не поддерживается в приложении, убедитесь, что они по-прежнему поворачиваются с помощью ручных методов в Azure Key Vault и приложении.
Справочник. Использование TLS с собственными сертификатами с драйвером CSI хранилища секретов
Управление активами
Дополнительные сведения см. в руководстве по управлению ресурсами в Microsoft Cloud Security.
AM-2: использование только утвержденных служб
Функции
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Используйте Microsoft Defender для облака для настройки Политика Azure для аудита и применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Справочник. Встроенные Политика Azure AKS
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для службы или предложения продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Microsoft Defender для контейнеров — это облачное решение, которое используется для защиты контейнеров, чтобы улучшить, отслеживать и поддерживать безопасность кластеров, контейнеров и их приложений.
Справочник. Включение Microsoft Defender для контейнеров
Мониторинг в Microsoft Defender для облака.
Встроенные определения Политики Azure — Microsoft.ContainerService:
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Audit, Disabled | 2.0.1 |
LT-4. Включение ведения журнала для исследования безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Включение журналов ресурсов для службы. Например, Key Vault поддерживает дополнительные журналы ресурсов для действий, которые получают секрет из хранилища ключей или в SQL Azure есть журналы ресурсов, отслеживающие запросы к базе данных. Содержимое журналов ресурсов зависит от типа ресурса и конкретной службы Azure.
Справочник. Сбор журналов ресурсов
Управление состоянием безопасности и уязвимостями
Дополнительные сведения см. в тестовом коде microsoft cloud security: Posture и управление уязвимостями.
PV-3. Настройка безопасных конфигураций вычислительных ресурсов
Функции
Пользовательские образы контейнеров
Дерипция. Служба поддерживает использование пользовательских образов контейнеров или предварительно созданных образов из Marketplace с определенными базовыми конфигурациями, предварительно примененными. Подробнее
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. При использовании Реестр контейнеров Azure (ACR) с Служба Azure Kubernetes (AKS) необходимо установить механизм проверки подлинности. Настройку необходимых разрешений между ACR и AKS можно выполнить с помощью Azure CLI, Azure PowerShell и портал Azure. Интеграция AKS с ACR назначает роль AcrPull управляемому удостоверению Azure Active Directory (Azure AD), связанному с пулом агентов в кластере AKS.
Справочник. Интеграция Реестр контейнеров Azure с Служба Azure Kubernetes — Служба Azure Kubernetes
PV-5: выполнение оценок уязвимостей
Функции
Оценка уязвимостей с помощью Microsoft Defender
Дерипция: служба может быть сканирована для проверки уязвимостей с помощью Microsoft Defender для облака или других служб Microsoft Defender, встроенных возможностей оценки уязвимостей (включая Microsoft Defender для сервера, реестра контейнеров, Служба приложений, SQL и DNS). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. По умолчанию при включении плана через портал Azure microsoft Defender для контейнеров настроена автоматическая установка необходимых компонентов для предоставления защиты, предлагаемой планом, включая назначение рабочей области по умолчанию.
Справочник. Управление уязвимостями для Служба Azure Kubernetes — Служба Azure Kubernetes
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание. Служба может создавать резервную копию службы Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Включение Azure Backup и настройка источника резервного копирования (например, Azure Виртуальные машины, SQL Server, баз данных HANA или общих папок) на требуемой частоте и с требуемым периодом хранения. Для Azure Виртуальные машины можно использовать Политика Azure для включения автоматического резервного копирования.
Справочник. Резервное копирование Служба Azure Kubernetes с помощью Azure Backup
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Следующие шаги
- Ознакомьтесь с обзором microsoft cloud security benchmark
- Дополнительные сведения о базовой конфигурации безопасности Azure.