這很重要
此安全基準基於先前版本的 Microsoft Cloud Security Benchmark(v1.0),可能包含過時的指引。 欲了解最新安全指引,請參閱 備份文件。
此安全基準將 Microsoft 雲端安全基準測試 1.0 版本的指引套用到備份。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容依據 Microsoft 雲端安全基準所定義的安全控制措施及適用於備份的相關指引進行分組。
您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則定義會列在適用於雲端的 Microsoft Defender 入口網站頁面的 [法規合規性] 區段中。
當功能具有相關的 Azure 政策定義時,這些定義會列在此基準中,以協助您評估與 Microsoft 雲端安全性基準控制和建議的合規性。 某些建議可能需要付費的 Microsoft Defender 方案,才能啟用特定的安全性案例。
備註
不適用於備份的功能已被排除。 想了解備份如何完全對應 Microsoft 雲端安全基準,請參閱 完整的備份安全基準映射檔案。
安全檔案
安全設定檔總結了備份的重大影響行為,可能需要更高的安全考量。
| 服務行為屬性 | 價值觀 |
|---|---|
| 產品類別 | 管理/公司治理 |
| 客戶可以訪問主機/操作系統 | 無存取權 |
| 服務可以部署到客戶的虛擬網路中 | 否 |
| 儲存於靜止狀態的客戶資料 | 否 |
網路安全性
如需詳細資訊,請參閱 Microsoft雲端安全性基準:網路安全性。
NS-2:使用網路控制保護雲端服務
Features
Azure Private Link
描述:用於篩選網路流量的服務原生 IP 篩選功能(不會與 NSG 或 Azure 防火牆混淆)。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:為所有支援 Private Link 功能的 Azure 資源部署私人端點,建立資源的私人接取點。
參考資料: Azure Private Link 可用性
停用公用網路存取
描述:服務支援使用服務層級IP ACL篩選規則(非NSG或 Azure 防火牆)或使用[停用公用網路存取] 切換開關來停用公用網路存取。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用服務層級IP ACL篩選規則或切換交換器來停用公用網路存取。
參考資料: 拒絕公共網路存取機密儲存庫
身分識別管理
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:身分識別管理。
IM-3:安全地且自動管理應用程式身分識別
Features
管理式身分識別
描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
功能說明:管理身份可以為您的保險庫建立,且僅在控制平面運作。
欲了解更多資訊,請造訪: 為您的保險庫啟用管理身份。
設定指引:不支援此功能來保護這項服務。
IM-8:限制認證和秘密的公開
Features
在 Azure Key Vault 中實現服務憑證和機密資訊的整合與儲存支援。
描述:資料平面支援原生使用 Azure Key Vault 作為憑證和密鑰儲存服務。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
功能說明:此功能支援所有情境,唯獨本地情境中保險庫憑證檔案未儲存在 AKV 中。
設定指引:確定秘密和認證會儲存在安全的位置,例如 Azure Key Vault,而不是將它們內嵌到程式碼或組態檔中。
參考資料: 配置保險庫以使用客戶管理的金鑰進行加密
特權存取
如需詳細資訊,請參閱 Microsoft雲端安全性效能評定:特殊許可權存取。
PA-7:遵循適量管理(最小權限)原則
Features
適用於資料平面的 Azure RBAC
描述:Azure 角色型 存取控制 (Azure RBAC) 可用來管理服務數據平面動作的存取權。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
功能說明:Azure RBAC 支援控制平面操作。
設定指引:不支援此功能來保護這項服務。
資料保護
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護。
DP-2:監視以敏感數據為目標的異常和威脅
Features
數據外洩/外洩防護
描述:服務支援 DLP 解決方案以監控客戶內容中的敏感數據移動。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
功能說明:Azure Backup 支援進階功能,如不可變的保險庫、軟刪除、多使用者授權,有助於保護客戶的備份資料,這些資料通常較為敏感。
欲了解更多資訊,請造訪: 不可變保險庫、 軟刪除與 多使用者授權
設定指引:這項功能設定目前沒有Microsoft指導方針。 請檢閱並判斷您的組織是否想要設定這項安全性功能。
DP-3:加密傳輸中的敏感數據
Features
傳輸中的資料加密
描述:此服務支持在數據平面中對傳輸數據進行加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | Microsoft |
組態指引:不需要其他組態,因為這是在預設部署上啟用的。
參考資料: 備份中的傳輸層安全性
DP-4:預設啟用靜態資料加密
Features
使用平臺密鑰對靜止數據進行加密
描述:支援使用平台金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 受控金鑰進行加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | Microsoft |
組態指引:不需要其他組態,因為這是在預設部署上啟用的。
參考:levels-of-encryption-in-azure-backup
DP-5:視需要在待用數據加密中使用客戶自控密鑰選項
Features
使用 CMK 進行靜態資料加密
描述:服務儲存的客戶內容支援使用客戶管理的密鑰進行靜態加密。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:如果需要法規合規性,請定義需要使用客戶自控密鑰進行加密的使用案例和服務範圍。 針對這些服務,使用客戶管理的密鑰來啟用和實作待用數據加密。
參考資料: 使用客戶管理金鑰加密備份資料
DP-6:使用安全金鑰管理程式
Features
Azure Key Vault 中的金鑰管理
描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure 金鑰保存庫 整合。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用 Azure Key Vault 來建立和控制加密密鑰的生命週期,包括密鑰產生、散發和記憶體。 根據定義的排程或在密鑰淘汰或洩露時,輪替和撤銷 Azure Key Vault 中的密鑰和服務。 當在工作負載、服務或應用層級需要使用客戶管理的金鑰(CMK)時,請確保您遵循金鑰管理的最佳實踐:利用金鑰階層,在金鑰庫中用您的金鑰加密金鑰(KEK)生成單獨的數據加密金鑰(DEK)。 請確保金鑰已在 Azure Key Vault 中註冊,並透過來自服務或應用程式的金鑰 ID 來參考。 如果您需要將您自己的金鑰 (BYOK) 帶入服務(例如將受 HSM 保護的金鑰從內部部署 HSM 匯入至 Azure Key Vault),請遵循建議的指導方針來執行初始金鑰產生和金鑰傳輸。
參考資料: Azure 備份中的加密
DP-7:使用安全的憑證管理程序
Features
Azure Key Vault 中的憑證管理
描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫 整合。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:使用 Azure Key Vault 建立並控制憑證生命週期,包括建立、匯入、輪替、撤銷、儲存及清除憑證。 請確定憑證產生遵循已定義的標準,而不使用任何不安全的屬性,例如:金鑰大小不足、有效期間過長、不安全的密碼編譯。 根據定義的排程或憑證到期時,設定 Azure Key Vault 和 Azure 服務(若支援)自動輪換憑證。 若應用程式不支援自動輪替,請確保它們仍透過 Azure Key Vault 及應用程式中的手動方式進行輪換。
參考資料: 備份加密
資產管理
如需詳細資訊,請參閱 Microsoft雲端安全性基準:資產管理。
AM-2:僅使用已核准的服務
Features
Azure 規範支援
描述:可透過 Azure 原則監視及強制執行服務組態。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | Microsoft |
組態指引:不需要其他組態,因為這是在預設部署上啟用的。
參考資料: Azure Policy Backup
記錄和威脅偵測
如需詳細資訊,請參閱 Microsoft雲端安全性效能評定:記錄和威脅偵測。
LT-1:啟用威脅偵測功能
Features
Microsoft Defender 服務/產品供應專案
描述:服務具有供應專案特定的Microsoft Defender 解決方案,可監視和警示安全性問題。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 否 | 不適用 | 不適用 |
設定指引:不支援此功能來保護這項服務。
LT-4:啟用日誌以進行安全性調查
Features
Azure 資源記錄
描述:服務會產生資源記錄,這些記錄可以提供增強的服務特定指標和日誌功能。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收端,例如儲存帳戶或記錄分析工作區。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 否 | 客戶 |
設定指引:啟用服務的資源記錄。 例如,Key Vault 支援附加資源記錄,以追蹤從金鑰保存庫提取機密的操作,以及 Azure SQL 具有可追蹤資料庫要求的資源記錄。 資源記錄的內容會因 Azure 服務和資源類型而有所不同。
參考資料: 使用復原服務金鑰保存庫的診斷設定
備份及復原
如需詳細資訊,請參閱 Microsoft雲端安全性基準:備份和復原。
BR-1:確保定期自動備份
Features
Azure 備份
描述:服務可由 Azure 備份服務備份。 深入瞭解。
| 支持 | 預設啟用 | 配置責任 |
|---|---|---|
| 對 | 對 | Microsoft |
組態指引:不需要其他組態,因為這是在預設部署上啟用的。
適用於雲端監視的 Microsoft Defender
Azure Policy 內建定義 - Microsoft.RecoveryServices:
| 名稱 (Azure 入口網站) |
Description | Effect(s) | 版本 (GitHub) |
|---|---|---|---|
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists,已停用 | 3.0.0 |
後續步驟
- 請參閱 Microsoft 雲端安全性基準概述
- 深入瞭解 Azure 安全性基準