此安全性基準會將 Microsoft 雲端安全性基準測試 1.0 版 的指引套用至成本管理。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性基準所定義的安全性控制項分組,以及適用于成本管理的相關指引。
您可以使用雲端Microsoft Defender來監視此安全性基準及其建議。 Azure 原則定義將會列在雲端入口網站Microsoft Defender頁面的 [法規合規性] 區段中。
當功能具有相關的Azure 原則定義時,這些定義會列在此基準中,以協助您測量與 Microsoft 雲端安全性基準測試控制項和建議的合規性。 某些建議可能需要付費Microsoft Defender方案,才能啟用特定安全性案例。
注意
已排除不適用於成本管理的功能。 若要查看成本管理如何完全對應至 Microsoft 雲端安全性基準測試,請參閱 完整的成本管理安全性基準對應檔案。
安全性設定檔摘要說明成本管理的高影響行為,這可能會導致安全性考慮增加。
| 服務行為屬性 | 值 |
|---|---|
| 產品類別 | MGMT/治理 |
| 客戶可以存取主機/OS | 無存取權 |
| 服務可以部署至客戶的虛擬網路 | False |
| 儲存待用客戶內容 | 對 |
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性。
描述:服務支援透過使用服務層級 IP ACL 篩選規則來停用公用網路存取, (不是 NSG 或Azure 防火牆) ,或是使用「停用公用網路存取」切換開關。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:身分識別管理。
描述:服務支援使用 Azure AD 驗證進行資料平面存取。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:Azure 成本管理與 Azure Active Directory (Azure AD) 整合,因為服務會在 Azure 入口網站內運作。
設定指引:預設部署上啟用此設定時不需要其他設定。
描述:資料平面存取支援的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
描述:資料平面動作支援使用受控識別進行驗證。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
描述:資料平面支援使用服務主體進行驗證。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:若要使用 Azure 成本管理 API,您必須適當地將許可權指派給 Azure 服務主體。 您可以從該處使用服務主體身分識別來呼叫 API。
設定指引:對於不支援受控識別的服務,請使用 Azure Active Directory (Azure AD) ,在資源層級建立具有受限制許可權的服務主體。 使用憑證認證設定服務主體,並回復至用戶端密碼以進行驗證。
建立服務主體以程式設計方式呼叫 Azure Resource Manager API 後,您必須指派適當的權權,以在 Azure Resource Manager 中授權並執行要求。
參考: 將許可權指派給成本管理 API
描述:您可以使用 Azure AD 條件式存取原則來控制資料平面存取。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
功能注意事項:Azure 成本管理已與 Azure Active Directory (Azure AD) 整合。 條件式存取原則可由客戶設定為透過 Azure AD 進行驗證。
設定指引:在工作負載中定義 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或授與特定位置的存取權、封鎖有風險的登入行為,或要求特定應用程式的組織管理裝置。
參考: 什麼是條件式存取?
描述:資料平面支援針對認證和秘密存放區使用 Azure 金鑰保存庫。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:特殊許可權存取。
描述:服務具有本機系統管理帳戶的概念。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理服務資料平面動作的存取。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | False | 客戶 |
設定指引:使用 Azure 角色型存取控制 (Azure RBAC) 透過內建角色指派來管理 Azure 資源存取。 在帳戶管理員將適當的角色指派給其他使用者之後,他們必須開啟存取才能在 Azure 入口網站中下載發票。
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:資料保護。
描述:服務支援資料平面的資料傳輸中加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能注意事項:根據預設,傳輸中的資料會由 Microsoft 加密。
設定指引:預設部署上啟用此設定時不需要其他設定。
參考: 雙重加密
描述:支援使用平臺金鑰進行待用資料加密,任何待用客戶內容都會使用這些 Microsoft 管理的金鑰進行加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| 對 | 對 | Microsoft |
功能附注:根據預設,使用平臺管理的加密金鑰,Microsoft 會自動加密待用資料。
設定指引:預設部署上啟用此設定時不需要其他設定。
參考: 雙重加密
描述:服務所儲存的客戶內容支援使用客戶自控金鑰的資料待用加密。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
描述:此服務支援任何客戶金鑰、秘密或憑證的 Azure 金鑰保存庫整合。 深入瞭解。
| 支援 | 預設啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:資產管理。
描述:您可以透過Azure 原則監視和強制執行服務組態。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
如需詳細資訊,請參閱 Microsoft 雲端安全性基準:備份和復原。
描述:服務可由Azure 備份服務備份。 深入瞭解。
| 支援 | 預設為啟用 | 設定責任 |
|---|---|---|
| False | 不適用 | 不適用 |
設定指引:不支援此功能來保護此服務。
訓練
學習路徑
適用於研究人員的 Azure 第 2 部分:雲端安全性與成本管理 - Training
在此學習路徑中,您將了解如何使用成本預測和預算來確保 Azure 耗用量經妥善規劃且可預測,以及如何保護應用程式祕密和虛擬機器免受未經授權的存取。
認證
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
示範資料安全性、生命週期管理、資訊安全性和合規性的基本知識,以保護 Microsoft 365 部署。
文件
快速入門 - 開始使用成本分析 - Microsoft Cost Management
本快速入門可協助您使用成本分析,來探索及分析您的 Azure 組織成本。
了解和使用成本管理範圍 - Microsoft Cost Management
本文可協助您了解 Azure 中可用的計費和資源管理範圍,以及如何使用成本管理和 API 中的範圍。
成本管理概觀 - Microsoft Cost Management
您可以使用成本管理功能來監視及控制 Azure 費用,以及優化 Azure 資源使用。