此安全性基準會將 Microsoft雲端安全性基準 1.0 版 的指引套用至 Azure Bot Service。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依Microsoft雲端安全性效能評定所定義的安全性控制,以及適用於 Azure Bot Service 的相關指引分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義會列在適用於雲端的 Microsoft Defender 入口網站頁面的 [法規合規性] 區段中。
當功能具有相關的 Azure 政策定義時,這些定義會列在此基準中,以協助您評估與 Microsoft 雲端安全性基準控制和建議的合規性。 某些建議可能需要付費的 Microsoft Defender 方案,才能啟用特定的安全性案例。
備註
已排除不適用於 Azure Bot Service 的功能。 若要查看 Azure Bot Service 如何完全對應至Microsoft雲端安全性基準檢驗,請參閱 完整的 Azure Bot Service 安全性基準對應檔案。
安全設定檔
安全性配置文件摘要說明 Azure Bot Service 的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 價值觀 |
|---|---|
| 產品類別 | AI+ 機器學習 |
| 客戶可以存取主機/作業系統 | 無存取權 |
| 服務可以部署到客戶的虛擬網路中 | 否 |
| 儲存靜止狀態的客戶內容 | 對 |
網路安全性
如需詳細資訊,請參閱 Microsoft雲端安全性基準:網路安全性。
NS-1:建立網路分割界限
特徵
虛擬網路整合
描述:服務支持部署至客戶的私人虛擬網路(VNet)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:將服務部署至虛擬網路。 除非有充分的理由要將公用 IP 直接指派給資源,否則請將私人 IP 指派給資源 (如果適用的話)。
網路安全組支援
描述:服務網路流量會遵循分配給子網的網路安全群組規則。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用網路安全組 (NSG) 來限制或監視埠、通訊協定、來源IP位址或目的地IP位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。
參考: 在虛擬網路中使用 Direct Line App Service 擴充功能
NS-2:使用網路控制保護雲端服務
特徵
Azure Private Link
描述:用於篩選網路流量的服務原生 IP 篩選功能(不會與 NSG 或 Azure 防火牆混淆)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
功能注意事項:在 Azure Bot Service 中執行這項作的唯一方式是使用 Direct Line App Service 擴充功能。
設定指引:為支援 Private Link 功能的 Azure Bot Service 部署私人端點,以建立資源的私用存取點。
參考: 設定網路隔離
停用公用網路存取
描述:服務支援使用服務層級IP ACL篩選規則(非NSG或 Azure 防火牆)或使用[停用公用網路存取] 切換開關來停用公用網路存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用切換交換器來停用公用網路存取。
參考: 設定網路隔離
身分識別管理
如需詳細資訊,請參閱 雲端安全性基準Microsoft:身分識別管理。
IM-1:使用集中式身分識別和驗證系統
特徵
資料平面存取必須使用 Azure AD 驗證
描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的數據平面存取。
數據平面存取的本地驗證方法
描述:支持數據平面存取的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
功能注意事項:避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改為使用 Azure AD 儘可能進行驗證。
設定指引:當您新增直接通道時,Bot Framework 會產生秘密密鑰。 用戶端應用程式會使用這些金鑰來驗證它發出與 Bot 通訊時所發出之 Direct Line API 要求。
IM-3:安全地且自動管理應用程式身分識別
特徵
管理式身分識別
描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:盡可能使用 Azure 受控識別,而不是服務主體,這可以向支援 Azure Active Directory(Azure AD) 驗證的 Azure 服務和資源進行驗證。 受控識別認證完全受平臺管理、輪替及保護,避免原始程式碼或組態檔中的硬式編碼認證。
參考: 建立 Azure Bot 資源
服務主體
描述:數據平面支援使用服務主體進行驗證。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:這項功能設定目前沒有Microsoft指導方針。 請檢閱並判斷您的組織是否想要設定這項安全性功能。
參考: 將驗證新增至 Bot
IM-7:根據條件限制資源存取
特徵
數據平面的條件式存取
描述:您可以使用 Azure AD 條件式存取原則來控制數據平面存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
IM-8:限制認證和秘密的公開
特徵
在 Azure Key Vault 中實現服務憑證和機密資訊的整合與儲存支援。
描述:資料平面支援原生使用 Azure Key Vault 作為憑證和密鑰儲存服務。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:確定秘密和認證會儲存在安全的位置,例如 Azure Key Vault,而不是將它們內嵌到程式碼或組態檔中。
特權存取
如需詳細資訊,請參閱 Microsoft雲端安全性效能評定:特殊許可權存取。
PA-1:分隔及限制高許可權/系統管理使用者
特徵
本機系統管理員帳戶
描述:服務擁有本地管理帳戶的概念。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
PA-7:遵循適量管理(最小權限)原則
特徵
適用於資料平面的 Azure RBAC
描述:Azure 角色型 存取控制 (Azure RBAC) 可用來管理服務數據平面動作的存取權。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
數據保護
如需詳細資訊,請參閱 Microsoft雲端安全性基準:數據保護。
DP-1:探索、分類及標記敏感性資料
特徵
敏感數據探索和分類
描述:工具(例如 Azure Purview 或 Azure 資訊保護)可用於服務中的數據探索和分類。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-2:監視以敏感數據為目標的異常和威脅
特徵
數據外洩/外洩防護
描述:服務支援 DLP 解決方案以監控客戶內容中的敏感數據移動。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
DP-3:加密傳輸中的敏感數據
特徵
傳輸中數據的加密
描述:此服務支持在數據平面中對傳輸數據進行加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | 微軟 |
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
參考: Azure Bot Service 強制執行傳輸層安全性 (TLS) 1.2
DP-4:預設啟用靜態資料加密
特徵
使用平臺密鑰對靜止數據進行加密
描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些Microsoft受控密鑰加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | 微軟 |
設定指引:預設部署上未啟用此設定,因此不需要其他設定。
DP-5:視需要在待用數據加密中使用客戶自控密鑰選項
特徵
使用 CMK 進行靜態資料加密
描述:服務儲存的客戶內容支援使用客戶管理的密鑰進行靜態加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:如果需要法規合規性,請定義需要使用客戶自控密鑰進行加密的使用案例和服務範圍。 針對這些服務,使用客戶管理的密鑰來啟用和實作待用數據加密。
DP-6:使用安全金鑰管理程式
特徵
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure 金鑰保存庫 整合。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用 Azure Key Vault 來建立和控制加密密鑰的生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程或在密鑰淘汰或洩露時,輪替和撤銷 Azure Key Vault 中的密鑰和服務。 當在工作負載、服務或應用層級需要使用客戶管理的金鑰(CMK)時,請確保您遵循金鑰管理的最佳實踐:利用金鑰階層,在金鑰庫中用您的金鑰加密金鑰(KEK)生成單獨的數據加密金鑰(DEK)。 請確保金鑰已在 Azure Key Vault 中註冊,並透過來自服務或應用程式的金鑰 ID 來參考。 如果您需要將您自己的金鑰 (BYOK) 帶入服務(例如將受 HSM 保護的金鑰從內部部署 HSM 匯入至 Azure Key Vault),請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
資產管理
如需詳細資訊,請參閱 Microsoft雲端安全性基準:資產管理。
AM-2:僅使用已核准的服務
特徵
Azure 規範支援
描述:您可以透過 Azure 原則 監視及強制執行服務組態。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用適用於雲端的 Microsoft Defender 來設定 Azure 原則,以稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用 Azure 原則中的 [拒絕] 和 [若不存在則部署] 效果來強制執行跨 Azure 資源的安全設定。
參考: 適用於 Azure Bot Service 的 Azure 原則內建定義
記錄和威脅偵測
如需詳細資訊,請參閱 Microsoft雲端安全性效能評定:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
特徵
Microsoft Defender 服務/產品供應專案
描述:服務具有供應專案特定的Microsoft Defender 解決方案,可監視和警示安全性問題。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
LT-4:啟用日誌以進行安全性調查
特徵
Azure 資源記錄
描述:服務會產生資源記錄,這些記錄可以提供增強的服務特定指標和日誌功能。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收端,例如儲存帳戶或記錄分析工作區。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:啟用服務的資源記錄。
參考: 監視 Azure Bot 服務
備份和復原
如需詳細資訊,請參閱 Microsoft雲端安全性基準:備份和復原。
BR-1:確保定期自動備份
特徵
Azure 備份服務
描述:服務可由 Azure 備份服務備份。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
功能注意事項:Bot Service 是傳訊服務;記憶體只是元數據和暫時性傳訊快取 (<24 小時)。 Bot Service 資源的客戶備份不會受到影響,因為 Bot 資訊的主要記憶體位於其他客戶管理的資源中。
設定指引:不支援此功能來保護這項服務。
服務原生備份功能
描述:服務支援自己的原生備份功能(如果未使用 Azure 備份)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
後續步驟
- 請參閱 Microsoft 雲端安全性基準概述
- 深入瞭解 Azure 安全性基準