Базовые показатели безопасности Azure для поиска ИИ Azure
Этот базовый план безопасности применяет рекомендации от microsoft cloud security benchmark версии 1.0 к поиску ИИ Azure. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Когнитивный поиск Azure.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям к элементам управления и рекомендациям microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание.
Функции , неприменимые к поиску ИИ Azure, были исключены. Сведения о том, как поиск azure AI полностью сопоставляется с эталонным показателем безопасности в облаке Майкрософт, см. полный файл сопоставления базовых показателей безопасности поиска ИИ Azure.
Профиль безопасности
Профиль безопасности содержит общие сведения о поведении поиска ИИ Azure, что может привести к повышению безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продукта | AI+ML, Mobile, Web |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | False |
| Сохраняет содержимое клиента неактивных данных | Истина |
Безопасность сети
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1: установка границы сегментации сети
Функции
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (виртуальная сеть). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Поддержка группы безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
NS-2: защита облачных служб с помощью элементов управления сетью
Функции
Приватный канал Azure
Описание: возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Примечания к функциям. Для исходящих подключений через частную конечную точку см. раздел : Создание исходящих подключений через частную конечную точку
Руководство по настройке. Развертывание частных конечных точек для создания частной точки доступа для ресурсов. Блокировать все подключения в общедоступной конечной точке для службы поиска. Повысить уровень безопасности виртуальной сети благодаря предотвращению кражи данных из виртуальной сети.
Справочник. Создание частной конечной точки для безопасного подключения к поиску ИИ Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или Брандмауэр Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Поиск ИИ Azure поддерживает правила IP-адресов для входящего доступа через брандмауэр, аналогичные правилам IP-адресов, которые вы найдете в группе безопасности виртуальной сети Azure. Используя правила IP-адресов, можно ограничить доступ службы поиска к утвержденному набору компьютеров и облачных служб. Доступ к данным, хранящимся в службе поиска, из утвержденных наборов компьютеров и служб, по-прежнему потребует, чтобы вызывающий объект присутствовал на допустимом маркере авторизации.
Справочник. Настройка брандмауэра IP-адресов для поиска ИИ Azure
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Функции
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Методы локальной проверки подлинности для доступа к плоскости данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Справочник. Использование ролей для проверки подлинности поиска ИИ Azure
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Функции
управляемые удостоверения.
Описание. Действия уровня данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Используйте управляемые удостоверения Azure вместо субъектов-служб, которые могут проходить проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure Active Directory (Azure AD). За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации.
Справочник. Авторизация доступа к приложению поиска с помощью Azure Active Directory
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
IM-7: Ограничение доступа к ресурсам на основе условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
IM-8: ограничение раскрытия учетных данных и секретов
Функции
Интеграция и хранение учетных данных службы и секретов в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование Azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)
Функции
Azure RBAC для плоскости данных
Описание. Контроль доступа на основе ролей Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Azure предоставляет глобальную систему управления доступом на основе ролей (RBAC) для всех служб, работающих на платформе. В Службе "Поиск Ии" можно использовать роли Azure для:
- Операции плоскости управления (задачи администрирования службы с помощью Azure Resource Manager).
- Операции плоскости данных, такие как создание, загрузка и запрос индексов.
Справочник. Использование управления доступом на основе ролей Azure (Azure RBAC) в службе "Поиск ИИ Azure"
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защищенное хранилище
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки, а затем утвердить или отклонить все запросы на доступ к данным Майкрософт.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Функции
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Данные поиска Azure AI в транзитном шифровании
DP-4: включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Шифрование данных по умолчанию для поиска ИИ Azure с помощью ключей, управляемых службой
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Справочник. Настройка ключей, управляемых клиентом, для шифрования данных в службе "Поиск ИИ Azure"
DP-6: безопасное управление ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Смена и отмена ключей в Azure Key Vault и вашей службе на основе определенного расписания или при наличии выхода на пенсию или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник. Настройка ключей, управляемых клиентом, для шифрования данных в службе "Поиск ИИ Azure"
DP-7: безопасное управление сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Управление активами
Дополнительные сведения см. в руководстве по управлению ресурсами в Microsoft Cloud Security.
AM-2: использование только утвержденных служб
Функции
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Используйте Microsoft Defender для облака для настройки Политика Azure для аудита и применения конфигураций ресурсов Azure. Воспользуйтесь Azure Monitor, чтобы создавать оповещения при обнаружении отклонений в ресурсах. Используйте Политика Azure [запрет] и [развертывание, если не существует], чтобы обеспечить безопасную конфигурацию в ресурсах Azure.
Справочник. Политики поиска Azure Ai
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для службы или предложения продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение ведения журнала для исследования безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Включение журналов ресурсов для службы для просмотра журналов операций поиска Azure, метрик поиска и т. д.
Справочник по журналу ресурсов поиска ИИ Azure
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание. Служба может создавать резервную копию службы Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях. Так как поиск azure AI не является основным решением для хранения данных, корпорация Майкрософт не предоставляет формальный механизм самостоятельного резервного копирования и восстановления. Однако вы можете создать резервную копию и восстановить индекс с помощью собственного кода. См. резервное копирование и восстановление альтернативных вариантов
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Следующие шаги
- Ознакомьтесь с обзором microsoft cloud security benchmark
- Дополнительные сведения о базовой конфигурации безопасности Azure.