Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Den här säkerhetsbaslinjen tillämpar vägledning från Microsofts Cloud Security Benchmark version 1.0 på Backup. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för säkerhetskopiering.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på portalsidan för Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Anmärkning
Funktioner som inte gäller säkerhetskopiering har exkluderats. Information om hur Säkerhetskopiering helt mappar till Microsofts molnsäkerhetsmått finns i den fullständiga mappningsfilen för säkerhetsbaslinje för säkerhetskopiering.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för säkerhetskopiering, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | MGMT/Styrning |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Falsk |
| Lagrar kundinnehåll i viloläge | Falsk |
Nätverkssäkerhet
Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.
NS-2: Skydda molntjänster med nätverkskontroller
Features
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.
Referens: Azure Private Link-tillgänglighet
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av växeln "Inaktivera åtkomst till offentligt nätverk". Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med hjälp av ip-ACL-filtreringsregeln på tjänstnivå eller en växlingsväxel för åtkomst till offentliga nätverk.
Referens: Neka åtkomst till det offentliga nätverket till valvet
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Features
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: En hanterad identitet kan skapas för ditt valv och fungerar endast på kontrollgränssnittet.
För mer information, vänligen besök: Aktivera hanterad identitet för ditt valv.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Features
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Den här funktionen stöds för alla scenarier, förutom ett lokalt scenario där valvautentiseringsfilen inte lagras i AKV.
Konfigurationsvägledning: Se till att hemligheter och autentiseringsuppgifter lagras på säkra platser, till exempel Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler.
Referens: Konfigurera ett valv för kryptering med hjälp av kundhanterade nycklar
Privilegierad åtkomst
Mer information finns i Microsofts prestandamått för molnsäkerhet: Privilegierad åtkomst.
PA-7: Följ principen om tillräckligt med administration (principen om minst privilegier)
Features
Azure RBAC för datahanteringsplan
Beskrivning: Rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Azure RBAC stöds för kontrollplanåtgärder.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-2: Övervaka avvikelser och hot mot känsliga data
Features
Dataläckage/förlustskydd
Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Funktionsanteckningar: Azure Backup stöder avancerade funktioner som oföränderliga valv, mjuk borttagning, auktorisering för flera användare som kan hjälpa till att skydda kundernas säkerhetskopieringsdata som vanligtvis är känsliga till sin natur.
Mer information finns i: Oföränderligt valv, mjuk borttagning och auktorisering för flera användare
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
DP-3: Kryptera känsliga data under överföring
Features
Kryptering av data under överföring
Beskrivning: Tjänsten stöder kryptering av data under överföring för dataplanet. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Säkerhet på transportnivå i säkerhetskopiering
DP-4: Aktivera vilande datakryptering som standard
Features
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Kryptering av data i vila med plattformnycklar stöds; allt kundinnehåll i vila är krypterat med dessa Microsoft-hanterade nycklar. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: krypteringsnivåer i azure-backup
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Features
Kryptering av data i vila med hjälp av CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Om det krävs för regelefterlevnad definierar du användningsfall och tjänstomfattning där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Referens: Kryptering av säkerhetskopierade data med kundhanterade nycklar
DP-6: Använd en process för säker nyckelhantering
Features
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och styra livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Se till att nycklar registreras med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Kryptering i Azure Backup
DP-7: Använd en säker certifikathanteringsprocess
Features
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och styra certifikatets livscykel, inklusive att skapa, importera, rotera, återkalla, lagra och rensa certifikatet. Se till att certifikatgenereringen följer definierade standarder utan att använda några osäkra egenskaper, till exempel: otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och Azure-tjänsten (om det stöds) baserat på ett definierat schema eller när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i programmet kontrollerar du att de fortfarande roteras med manuella metoder i Azure Key Vault och programmet.
Referens: Säkerhetskopieringskryptering
Kapitalförvaltning
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Features
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Säkerhetskopiering av Azure-princip
Logghantering och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Features
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Features
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datakälla, såsom ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Falsk | Kund |
Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Key Vault stöder till exempel ytterligare resursloggar för åtgärder som hämtar en hemlighet från ett nyckelvalv eller så har Azure SQL resursloggar som spårar begäranden till en databas. Innehållet i resursloggarna varierar beroende på Azure-tjänst och resurstyp.
Referens: Använda diagnostikinställningar för Recovery Services-valv
Säkerhetskopiering och återställning
Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.
BR-1: Se till att göra regelbundna automatiska säkerhetskopior
Features
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Understödd | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sann | Sann | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Microsoft Defender för övervakning av molnmiljöer
Inbyggda definitioner för Azure Policy – Microsoft.RecoveryServices:
| Namn (Azure Portal) |
Description | Effect(s) | Utgåva (GitHub) |
|---|---|---|---|
| Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, avaktiverad | 3.0.0 |