Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Этот базовый план безопасности применяет рекомендации из Microsoft Cloud Security Benchmark версии 1.0 к Универсальной печати. Тест производительности облачной безопасности Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано по элементам управления безопасностью, определенным в тесте производительности облачной безопасности Майкрософт, и в соответствующем руководстве, применимом к универсальной печати.
Вы можете отслеживать эти базовые показатели безопасности и его рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе Соответствие нормативным требованиям на странице портала Microsoft Defender для облака.
Если у компонента есть релевантные Политика Azure определения, они перечислены в этом базовом плане, чтобы помочь вам измерить соответствие элементам управления и рекомендациям microsoft cloud security benchmark. Для реализации определенных сценариев безопасности для некоторых рекомендаций может потребоваться платный план Microsoft Defender.
Примечание
Функции , неприменимые к универсальной печати, были исключены. Чтобы узнать, как универсальная печать полностью сопоставляется с эталоном безопасности в облаке Майкрософт, см. полный файл сопоставления базовых показателей безопасности универсальной печати.
Профиль безопасности
Профиль безопасности обобщает поведение универсальной печати с высокой степенью влияния, что может привести к повышению безопасности.
Атрибут поведения службы | Значение |
---|---|
Категория продуктов | MGMT/Управление, Печать |
Клиент может получить доступ к HOST/ОС | Нет доступа |
Служба может быть развернута в виртуальной сети клиента | Неверно |
Хранит неактивный контент клиента | True |
Безопасность сети
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Сетевая безопасность.
NS-1: установка границы сегментации сети
Компоненты
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частной виртуальная сеть клиента (VNet). Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Заметки о функциях. Универсальная печать не имеет отдельных экземпляров, управляемых клиентом. Экземпляры управляются автоматически с помощью универсальной печати.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Identity management(Управление удостоверениями).
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Компоненты
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает использование проверки подлинности Azure AD для доступа к плоскости данных. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Методы локальной проверки подлинности для доступа к плоскости данных
Описание: локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, такие как локальное имя пользователя и пароль. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Компоненты
управляемые удостоверения.
Описание. Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Заметки о функциях. Универсальная печать имеет несколько конечных точек microsoft API Graph, которые принимают разрешения приложений.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
IM-7: Ограничение доступа к ресурсам на основе условий
Компоненты
Условный доступ для плоскости данных
Описание. Доступом к плоскости данных можно управлять с помощью Azure AD политик условного доступа. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Привилегированный доступ
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Privileged Access( Привилегированный доступ).
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Компоненты
Локальные учетные записи Администратор
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Следуйте принципу администрирования с предоставлением минимальных прав
Компоненты
Azure RBAC для плоскости данных
Описание. Azure Role-Based контроль доступа (Azure RBAC) можно использовать для управляемого доступа к действиям уровня данных службы. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
True | Неверно | Customer |
Руководство по настройке. Вы можете назначить администраторов с ограниченными правами для управления принтерами. В универсальной печати появились две роли в Azure AD:
- Администратор принтеров. Пользователи с этой ролью имеют полный доступ к управлению всеми аспектами принтеров в универсальной печати.
- Специалист по принтерам: может регистрировать и отменять регистрацию принтеров, а также обновлять состояние принтера.
Справочник. Роли администратора универсальной печати
PA-8. Определение процесса доступа для поддержки поставщиков облачных служб
Компоненты
Защищенное хранилище клиента
Описание. Защищенное хранилище можно использовать для доступа к службе поддержки Майкрософт. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Защита данных
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Компоненты
Обнаружение и классификация конфиденциальных данных
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Компоненты
Защита от утечки и потери данных
Описание: служба поддерживает решение защиты от потери данных для отслеживания перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Компоненты
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование передаваемых данных для плоскости данных. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Шифрование данных
DP-4: включение шифрования неактивных данных по умолчанию
Компоненты
Шифрование неактивных данных с помощью ключей платформы
Описание. Поддерживается шифрование неактивных данных с помощью ключей платформы. Любое неактивное содержимое клиента шифруется с помощью этих ключей, управляемых корпорацией Майкрософт. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
True | True | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как эта конфигурация включена в развертывании по умолчанию.
Справочник. Хранение данных в универсальной печати
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Компоненты
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
True | True | Microsoft |
Заметки о функциях. Эта функция поддерживается базовым ключом клиента для платформы Microsoft 365: шифрование службы с помощью ключа клиента Microsoft Purview
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено в развертывании по умолчанию.
Справочник. Хранение данных в универсальной печати
Управление ресурсами
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление ресурсами.
AM-2: использование только утвержденных служб
Компоненты
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Компоненты
Microsoft Defender для предложения услуг и продуктов
Описание. Служба предоставляет решение для Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение ведения журнала для исследования безопасности
Компоненты
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например в учетную запись хранения или рабочую область Log Analytics. Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
резервное копирование и восстановление
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Backup and recovery (Эталон безопасности облака Майкрософт: резервное копирование и восстановление).
BR-1: обеспечение регулярного автоматического резервного копирования
Компоненты
Возможность резервного копирования в собственном коде службы
Описание: служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
Поддерживается | Включено по умолчанию | Ответственность за настройку |
---|---|---|
Неверно | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Дальнейшие действия
- Ознакомьтесь с обзором производительности облачной безопасности Майкрософт.
- Дополнительные сведения о базовой конфигурации безопасности Azure.