Data Factory için Azure güvenlik temeli
Bu güvenlik temeli , Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Data Factory'ye yönergeleri uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Data Factory için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
Data Factory için geçerli olmayan özellikler dışlanmıştır. Data Factory'nin Microsoft bulut güvenliği karşılaştırmasına nasıl tamamen eşlediğini görmek için tam Data Factory güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, Data Factory'nin yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Analiz, Tümleştirme |
| Müşteri HOST/işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure-SSIS Tümleştirme çalışma zamanı müşterinin sanal ağına sanal ağ ekleme işlemini destekler. Azure-SSIS Integration Runtime (IR) oluştururken sanal ağ ile birleştirebilirsiniz. Azure Data Factory NSG ve yük dengeleyici gibi belirli ağ kaynaklarını oluşturmasına olanak tanır. Ayrıca kendi statik genel IP adresinizi sağlayabilir veya Azure Data Factory sizin için bir ip adresi oluşturmasını sağlayabilirsiniz. Şirket içinde barındırılan tümleştirme çalışma zamanı (IR), müşterinin sanal ağındaki IaaS VM'sinde ayarlanabilir. Ağ trafiği müşterinin NSG ve güvenlik duvarı ayarları tarafından da yönetilir.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure-SSIS tümleştirme çalışma zamanını sanal ağa ekleme
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure-SSIS Tümleştirme çalışma zamanı müşterinin sanal ağına sanal ağ ekleme işlemini destekler. Müşteri tarafından sanal ağlarında ayarlanan tüm NSG ve güvenlik duvarı kurallarına uyar. Azure-SSIS Integration Runtime (IR) oluştururken sanal ağ ile birleştirebilirsiniz. Azure Data Factory NSG ve yük dengeleyici gibi belirli ağ kaynaklarını oluşturmasına olanak tanır. Ayrıca kendi statik genel IP adresinizi sağlayabilir veya Azure Data Factory sizin için bir ip adresi oluşturmasını sağlayabilirsiniz. Azure Data Factory tarafından otomatik olarak oluşturulan NSG'de 3389 numaralı bağlantı noktası varsayılan olarak tüm trafiğe açıktır. Yalnızca yöneticilerinizin erişimi olduğundan emin olmak için bağlantı noktasını kilitleyin.
Şirket içinde barındırılan tümleştirme çalışma zamanı (IR), müşterinin sanal ağındaki IaaS VM'sinde ayarlanabilir. Ağ trafiği müşterinin NSG ve güvenlik duvarı ayarları tarafından da yönetilir.
Uygulamalarınıza ve kurumsal segmentasyon stratejinize bağlı olarak, NSG kurallarınıza göre iç kaynaklar arasındaki trafiği kısıtlayın veya izin verin. Üç katmanlı bir uygulama gibi iyi tanımlanmış belirli uygulamalar için bu, varsayılan olarak yüksek oranda güvenli bir reddetme olabilir.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure-SSIS tümleştirme çalışma zamanını sanal ağa ekleme
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Ek Rehberlik: Veri depolarına özel olarak bağlanmak için Azure Data Factory Yönetilen Sanal Ağ özel uç noktaları yapılandırabilirsiniz.
Data Factory, Sanal Ağ hizmet uç noktalarını yapılandırma özelliği sağlamaz.
Azure-SSIS Integration Runtime (IR) oluşturduğunuzda sanal ağ ile birleştirebilirsiniz. Azure Data Factory NSG ve yük dengeleyici gibi belirli ağ kaynaklarını oluşturmasına olanak tanır. Ayrıca kendi statik genel IP adresinizi sağlayabilir veya Azure Data Factory sizin için bir ip adresi oluşturmasını sağlayabilirsiniz. Azure Data Factory tarafından otomatik olarak oluşturulan NSG'de 3389 numaralı bağlantı noktası varsayılan olarak tüm trafiğe açıktır. Yalnızca yöneticilerinizin erişimi olduğundan emin olmak için bağlantı noktasını kilitleyin. Self-Hosted IR'leri bir şirket içi makineye veya sanal ağ içindeki Azure VM'ye dağıtabilirsiniz. Sanal ağ alt ağ dağıtımınızda yalnızca yönetim erişimine izin verecek şekilde yapılandırılmış bir NSG olduğundan emin olun. Azure-SSIS IR, koruma için her IR düğümündeki Windows Güvenlik Duvarı Kuralı'nda varsayılan olarak 3389 numaralı bağlantı noktasının giden bağlantı noktasına izin vermemektedir. Bir NSG'yi alt ağ ile ilişkilendirerek ve katı kurallar ayarlayarak sanal ağ tarafından yapılandırılmış kaynaklarınızın güvenliğini sağlayabilirsiniz.
Başvuru: Azure Data Factory için Azure Özel Bağlantı
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Genel ağ erişimini devre dışı bırakmak yalnızca Self-Hosted Integration Runtime (SHIR) için geçerlidir ve Azure IR veya SSIS IR için geçerli değildir. SHIR ile özel bağlantı veri fabrikasının etkinleştirilmesi genel erişimi açıkça engellemez, ancak müşteri genel erişimi el ile engelleyebilir.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure Data Factory için Azure Özel Bağlantı
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Data Factory, Azure AD kimlik doğrulamasını destekleyen Azure hizmetlerinde ve kaynaklarda yerel olarak kimlik doğrulaması yapabilir.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure Data Factory için yönetilen kimlik
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure-SSIS Integration Runtime (IR) üzerinde çalışan SSIS paketlerinden veri kaynaklarına erişmek için Windows kimlik doğrulamasını kullanabilirsiniz. Veri depolarınız şirket içinde, Azure Sanal Makineler'da (VM) barındırılabilir veya Yönetilen hizmetler olarak Azure'da çalıştırılabilir. Ancak, yerel kimlik doğrulamasının kullanımından kaçınmanızı ve mümkün olduğunca Azure AD kullanmanızı öneririz. Yerel kimlik doğrulama yöntemlerinin veya hesapların kullanımından kaçının; bunlar mümkün olduğunda devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Varsayılan olarak, Azure portal veya PowerShell aracılığıyla veri fabrikası oluşturulurken, yönetilen kimlik otomatik olarak oluşturulur. SDK veya REST API kullanılarak yönetilen kimlik yalnızca kullanıcı açıkça "identity" anahtar sözcüğünü belirttiğinde oluşturulur.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure Data Factory ve Azure Synapse için yönetilen kimlik
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Data Factory, AAD kimlik doğrulamasını destekleyen veri depolarında ve işlemlerde kimlik doğrulaması yapmak için Yönetilen kimlikler, Hizmet İlkeleri'ni kullanmanıza olanak tanır.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Koşullu Erişim: Bulut uygulamaları, eylemler ve kimlik doğrulama bağlamı
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure Key Vault veri depoları ve işlemleri için kimlik bilgilerini depolayabilirsiniz. Azure Data Factory veri deposu/işlem kullanan bir etkinliği yürütürken kimlik bilgilerini alır.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Kimlik bilgilerini Azure Key Vault'de depolama
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Azure Role-Based Access Control (Azure RBAC), hizmetin veri düzlemi eylemlerine yönetilen erişim için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Data Factory, kaynaklarını yönetmek için Azure RBAC ile tümleşir. RBAC ile Azure kaynak erişimini rol atamaları aracılığıyla yönetirsiniz. Kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere rol atayabilirsiniz. Bazı kaynakların önceden tanımlanmış, yerleşik rolleri vardır. Azure CLI, Azure PowerShell veya Azure portal gibi araçlar aracılığıyla bu rollerin envanterini oluşturabilir veya bunları sorgulayabilirsiniz.
Azure RBAC aracılığıyla kaynaklara atadığınız ayrıcalıkları rollerin gerektirdiğiyle sınırlayın. Bu uygulama, Azure AD PIM'in tam zamanında (JIT) yaklaşımını tamamlar. Rolleri ve atamaları düzenli aralıklarla gözden geçirin.
İzin vermek için yerleşik rolleri kullanın. Yalnızca gerektiğinde özel roller oluşturun.
Data Factory'ye daha kısıtlayıcı erişimle Azure AD özel bir rol oluşturabilirsiniz.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Data Factory için roller ve izinler
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yok. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Microsoft Azure için Müşteri Kasası
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yok. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Data Factory'yi Microsoft Purview'a bağlama
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Aktarım Şifrelemesindeki Veriler
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemeyi destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure Data Factory'de veri taşımayla ilgili güvenlik konuları
DP-4: Bekleyen şifrelemedeki verileri varsayılan olarak etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen veriler desteklenir, bekleyen tüm müşteri içeriği bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: müşteri tarafından yönetilen anahtarlarla Azure Data Factory şifreleme
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler şifrelemesi, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: müşteri tarafından yönetilen anahtarlarla Azure Data Factory şifreleme
DP-6: Güvenli bir anahtar yönetimi işlemi kullanma
Özellikler
Azure Key Vault'de Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Kimlik bilgilerini Azure Key Vault'de depolama
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'da Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Kimlik bilgilerini Azure Key Vault'de depolama
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylı hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Kullanıcıların ortamınızda hangi hizmetleri sağlayabileceğinizi denetlemek ve kısıtlamak için Azure İlkesi kullanın. Aboneliklerdeki kaynakları sorgulamak ve bulmak için Azure Kaynak Grafı kullanın. Onaylanmamış bir hizmeti algıladığında uyarıları tetikleyen kurallar oluşturmak için Azure İzleyici'yi de kullanabilirsiniz.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Data Factory için yerleşik tanımları Azure İlkesi
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Azure VM'lerinde ve kapsayıcılarında çalışan şirket içinde barındırılan IR (SHIR), güvenli yapılandırmayı oluşturmak için Defender kullanır.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya log analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Etkinlik günlükleri otomatik olarak kullanılabilir. Sorun giderme sırasında hataları bulmak veya kuruluşunuzdaki kullanıcıların kaynakları nasıl değiştirebileceğini izlemek için etkinlik günlüklerini kullanabilirsiniz.
Kaynak günlüklerini ve günlük verilerini toplamayı etkinleştirmek için Bulut ve Azure İlkesi için Microsoft Defender kullanın.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Azure İzleyici'de tanılama ayarları
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure Data Factory tüm kodları yedeklemek için Data Factory'deki kaynak denetimi işlevini kullanın.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yok. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure Data Factory'de kaynak denetimi
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin