Azure-säkerhetsbaslinje för Azure NetApp Files
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure NetApp Files. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Azure NetApp Files.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på portalsidan för Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Kommentar
Funktioner som inte gäller för Azure NetApp Files har exkluderats. Om du vill se hur Azure NetApp Files helt mappar till Microsoft Cloud Security Benchmark kan du läsa den fullständiga mappningsfilen för Azure NetApp Files-säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure NetApp Files, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Storage |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt) såvida det inte finns en stark anledning att tilldela offentliga IP-adresser direkt till resursen.
Referens: Skapa en NFS-volym för Azure NetApp Files
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.
Referens: Riktlinjer för nätverksplanering för Azure NetApp Files
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD-autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Azure NetApp Files exponerar standardprotokoll för NFS och SMB som använder standardklienter som tillhandahålls av operativsystemet.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Den här funktionen är för närvarande i privat förhandsversion. Den hanterade identiteten används för åtkomst till den kundhanterade nyckeln i Azure Key Vault för data i vilokrypteringsscenarier.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Åtkomst till dataplanet kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Den här funktionen är för närvarande i privat förhandsversion.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Privilegierad åtkomst
Mer information finns i Microsofts prestandamått för molnsäkerhet: Privilegierad åtkomst.
PA-7: Följ principen om minsta behörighet (Just Enough Administration)
Funktioner
Azure RBAC för dataplan
Beskrivning: Rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Azure NetApp Files exponerar standardprotokoll för NFS och SMB och dessa standarder tillåter inte RBAC. Vart och ett av dessa protokoll exponerar sina egna mekanismer för åtkomstkontroll.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data i överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplan. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: SMBv3 kan krypteras men NSFv3 stöder inte kryptering.
Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns inbyggda data i den inbyggda funktionen för överföringskryptering. Framtvinga HTTPS på alla webbprogram och tjänster och se till att TLS v1.2 eller senare används. Äldre versioner som SSL 3.0, TLS v1.0 bör inaktiveras. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.
Referens: Metodtips för SMB-prestanda för Azure NetApp Files
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Azure NetApp Files utnyttjar Microsofts standardkryptering av vilande data.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Vilande datakryptering med hjälp av CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Den här funktionen är för närvarande allmänt tillgänglig (GA).
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-6: Använd en process för säker nyckelhantering
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och tillämpa konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Referens: Azure Policy-definitioner för Azure NetApp Files
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sina egna datamottagare som ett lagringskonto eller en log analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Den här funktionen är inte tillgänglig för närvarande.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Säkerhetskopiering och återställning
Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Även om Azure Backup inte stöds är en tjänstbaserad säkerhetskopieringslösning tillgänglig.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
Referens: Förstå säkerhetskopiering av Azure NetApp Files
Nästa steg
- Se översikten över Microsoft Cloud Security Benchmark
- Läs mer om säkerhetsbaslinjer för Azure