Azure Veri Gezgini için Azure güvenlik temeli
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Azure Veri Gezgini'e yönergeleri uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Azure Veri Gezgini için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Azure Veri Gezgini için geçerli olmayan özellikler dışlanmıştır. Azure Veri Gezgini'ın Microsoft bulut güvenlik karşılaştırmasına nasıl tamamen eşlediğini görmek için bkz. Azure Veri Gezgini güvenlik temeli eşleme dosyasının tamamı.
Güvenlik profili
Güvenlik profili, Azure Veri Gezgini yüksek etkili davranışlarını özetler ve bu da güvenlik konusunda dikkat edilmesi gereken noktaların artmasına neden olabilir.
Hizmet Davranışı Özniteliği | Değer |
---|---|
Ürün Kategorisi | Analiz, Veritabanları |
Müşteri HOST/işletim sistemine erişebilir | Erişim Yok |
Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Özellik notları: Kümenize ağ erişiminin güvenliğini sağlamak için özel uç noktaları kullanmanızı kesinlikle öneririz. Bu seçenek, daha basit bir dağıtım işlemi ve sanal ağ değişikliklerine karşı daha güçlü olmak dahil olmak üzere daha düşük bakım yüküne neden olan sanal ağ eklemeye göre birçok avantaja sahiptir.
Yapılandırma Kılavuzu: Azure Veri Gezgini kümesini Sanal Ağ (VNet) içindeki bir alt ağa dağıtın. Bu, Azure Veri Gezgini küme trafiğinizi kısıtlamak ve şirket içi ağınızı Azure Veri Gezgini kümesinin alt ağına bağlamak için NSG kuralları uygulamanıza olanak tanır.
Başvuru: Azure Veri Gezgini kümesini Sanal Ağ dağıtma
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Özellik notları: Azure Veri Gezgini müşteri sanal ağına eklenmiş olması durumunda Ağ Güvenlik Grubu kurallarının yapılandırılması desteklenir ve gereklidir. Azure Veri Gezgini sanal ağa eklemek önerilmez. Özel Uç Nokta tabanlı ağ güvenlik uygulamasının izlenmesi önerilir: Azure Veri Gezgini için özel uç noktalar.
Yapılandırma Kılavuzu: Azure Veri Gezgini bir sanal ağa eklemeye karar vermeniz durumunda (özel uç nokta tabanlı bir çözüm kesinlikle önerilir) kümenizin dağıtımı için alt ağ temsilcisini kullanmanız gerekir. Bunu yapmak için alt ağda kümeyi oluşturmadan önce alt ağı Microsoft.Kusto/clusters'a devretmeniz gerekir.
Kümenin alt ağında alt ağ temsilcisini etkinleştirerek, hizmetin dağıtım ön koşullarını Ağ Amacı İlkeleri biçiminde tanımlamasını sağlarsınız. Alt ağda küme oluşturulurken, aşağıdaki bölümlerde belirtilen NSG yapılandırmaları sizin için otomatik olarak oluşturulur.
Başvuru: Ağ Güvenlik Grubu kurallarını yapılandırma
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Kümenize ağ erişiminin güvenliğini sağlamak için özel uç noktaların kullanılması kesinlikle önerilir. Bu seçenek, daha basit bir dağıtım işlemi ve sanal ağ değişikliklerine karşı daha güçlü olmak dahil olmak üzere daha düşük bakım yüküne neden olan sanal ağ tümleştirmesine göre birçok avantaja sahiptir.
Başvuru: Azure Veri Gezgini için özel uç noktalar
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet düzeyi IP ACL filtreleme kuralını veya genel ağ erişimi için geçiş anahtarını kullanarak genel ağ erişimini devre dışı bırakın.
Başvuru: Azure Veri Gezgini kümenize genel erişimi kısıtlama
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory (Azure AD) kullanın.
Başvuru: Azure Veri Gezgini erişimi için Azure Active Directory (Azure AD) ile kimlik doğrulaması
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Özellik notları: Azure Veri Gezgini, herhangi bir Azure Active Directory kimliğiyle veri düzleminde kimlik doğrulamasına izin verir. Bu, Sistem ve Kullanıcı Tarafından Yönetilen Kimliklerin desteklendiği anlamına gelir. Ayrıca Azure Veri Gezgini, Alım ve Sorgu için diğer hizmetlerde kimlik doğrulaması yapmak üzere Yönetilen Kimlikler kullanımını da destekler. Daha fazla bilgi için lütfen şu adresi ziyaret edin: Yönetilen kimliklere genel bakış.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Active Directory kimlik doğrulaması
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Özellik notları: Azure Veri Gezgini, hizmet sorumluları dahil olmak üzere tüm Azure Active Directory kimlik türlerini destekler
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Uygulama kullanarak Azure Active Directory kimlik doğrulaması
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişimi engelleme veya verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım durumlarını göz önünde bulundurun.
Başvuru: Azure Veri Gezgini ile Koşullu Erişim
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Azure Role-Based Access Control (Azure RBAC), hizmetin veri düzlemi eylemlerine yönetilen erişim için kullanılabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Azure Veri Gezgini, rol tabanlı erişim denetim modeli kullanarak veri düzlemine (veritabanları ve tablolar) erişimi denetlemenizi sağlar. Bu model kapsamında, sorumlular (kullanıcılar, gruplar ve uygulamalar) rollere eşlenir. Sorumlular, atandıkları rollere göre kaynaklara erişebilir. Ancak Azure Veri Gezgini veri düzlemi, denetim düzlemi için Azure RBAC'den ayrılmıştır.
Bkz. Azure Veri Gezgini veritabanı izinlerini yönetme
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Özellik notları: Azure Veri Gezgini Microsoft Purview'da desteklenir.
Yapılandırma Kılavuzu: Azure Veri Gezgini Microsoft Purview'da desteklenir. Azure Purview'u kullanarak Azure Veri Gezgini'da bulunan hassas verileri tarayabilir, sınıflandırabilir ve etiketleyebilirsiniz.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Veri sızdırma gibi riskleri azaltmak için kümenizin giden erişimini kısıtlamak önemlidir. Kötü amaçlı bir aktör potansiyel olarak bir depolama hesabına dış tablo oluşturabilir ve büyük miktarlarda veri ayıklayabilir. Belirtme çizgisi ilkeleri tanımlayarak küme düzeyinde giden erişimi denetleyebilirsiniz. Belirtme çizgisi ilkelerinin yönetilmesi, belirtilen SQL, depolama veya diğer uç noktalara giden erişime izin vermenizi sağlar.
Başvuru: Azure Veri Gezgini kümenizden giden erişimi kısıtlama
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemeyi destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içeriği bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Veri Gezgini'de Veri Şifreleme
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Şifreleme anahtarları üzerinde ek denetim için, veri şifrelemesi için kullanılacak müşteri tarafından yönetilen anahtarlar sağlayabilirsiniz. Verilerinizin şifrelemesini depolama düzeyinde kendi anahtarlarınızla yönetebilirsiniz. Müşteri tarafından yönetilen anahtar, tüm verileri şifrelemek ve şifresini çözmek için kullanılan kök şifreleme anahtarına erişimi korumak ve denetlemek için kullanılır. Müşteri tarafından yönetilen anahtarlar erişim denetimlerini oluşturma, döndürme, devre dışı bırakma ve iptal etme için daha fazla esneklik sunar. Verilerinizi korumak için kullanılan şifreleme anahtarlarını da denetleyebilirsiniz.
Başvuru: Müşteri tarafından yönetilen anahtarları yapılandırma kullanılarak şifreleme
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'de Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak üzere Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] efektlerini kullanın.
Başvuru: Azure Veri Gezgini için Azure İlkesi Mevzuat Uyumluluğu denetimleri
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet / Ürün Teklifi için Microsoft Defender
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure Veri Gezgini alma, komutlar, sorgu ve tablolar hakkındaki içgörüler için tanılama günlüklerini kullanır. Alımı, komutları ve sorgu durumunu izlemek için işlem günlüklerini Azure Depolama, olay hub'ı veya Log Analytics'e aktarabilirsiniz. Azure Depolama ve Azure Event Hubs günlükleri daha fazla analiz için Azure Veri Gezgini kümenizdeki bir tabloya yönlendirilebilir.
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
---|---|---|
Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin