Standardní hodnoty zabezpečení Azure pro Azure Policy
Tento směrný plán zabezpečení aplikuje na Azure Policy pokyny z srovnávacího testu cloudového zabezpečení Microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejících pokynů platných pro Azure Policy.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na Azure Policy, byly vyloučeny. Pokud chcete zjistit, jak Azure Policy kompletně namapovat na srovnávací test zabezpečení cloudu Od Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Policy.
Profil zabezpečení
Profil zabezpečení shrnuje chování Azure Policy s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | MGMT/ zásady správného řízení |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ne |
| Ukládá obsah zákazníka v klidovém stavu. | Ne |
Správa identit
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Azure Policy používá spravovanou identitu k nápravě prostředků, které nedodržují předpisy.
Pokyny ke konfiguraci: Každé přiřazení Azure Policy může být přidružené pouze k jedné spravované identitě. Spravované identitě ale můžete přiřadit více rolí. Konfigurace probíhá ve dvou krocích: nejprve vytvořte spravovanou identitu přiřazenou systémem nebo uživatelem a pak jí udělte potřebné role.
Referenční informace: Náprava prostředků, které nedodržují předpisy, pomocí Azure Policy
Ochrana dat
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure Policy využívá pro přenášená data výchozí šifrování Od Microsoftu.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Dvojité šifrování
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.GuestConfiguration:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | Pokud chcete chránit soukromí informací přenášených přes internet, měly by vaše počítače používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure Policy pro neaktivní uložená data využívá výchozí šifrování Microsoftu.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Dvojité šifrování
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure