Standardní hodnoty zabezpečení Azure pro službu Machine Learning Service
Tyto standardní hodnoty zabezpečení aplikují na službu Machine Learning Service pokyny ze srovnávacího testu cloudového zabezpečení microsoftu verze 1.0 . Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů platných pro službu Machine Learning Service.
Tyto standardní hodnoty zabezpečení a jejich doporučení můžete monitorovat pomocí Microsoft Defender for Cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacího testu zabezpečení cloudu Od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na službu Machine Learning Service, byly vyloučeny. Pokud chcete zjistit, jak se služba Machine Learning Service kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Machine Learning Service.
Profil zabezpečení
Profil zabezpečení shrnuje chování služby Machine Learning Service s vysokým dopadem, které může mít za následek zvýšené aspekty zabezpečení.
| Atribut Chování služby | Hodnota |
|---|---|
| Kategorie produktu | AI+ML |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Úplný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ano |
| Ukládá obsah zákazníka v klidovém stavu. | Ne |
Zabezpečení sítě
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network (VNet) zákazníka. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Pokyny ke konfiguraci: K zajištění automatizované izolace sítě použijte spravovaná izolace sítě.
Poznámka: Virtuální síť můžete použít také pro prostředky služby Azure Machine Learning, ale některé typy výpočetních prostředků se nepodporují.
Referenční informace: Zabezpečení prostředků pracovního prostoru Azure Machine Learning pomocí virtuálních sítí
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Shared |
Pokyny ke konfiguraci: Pomocí spravovaná izolace sítě můžete zajistit prostředí automatické izolace sítě, které zahrnuje příchozí a odchozí konfigurace s využitím skupiny zabezpečení sítě.
Poznámka: Skupiny zabezpečení sítě (NSG) slouží k omezení nebo monitorování provozu podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla skupiny zabezpečení sítě, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a nástrojů pro vyrovnávání zatížení Azure.
Referenční informace: Plánování izolace sítě
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky.
Referenční informace: Konfigurace privátního koncového bodu pro pracovní prostor služby Azure Machine Learning
Zakázání přístupu z veřejné sítě
Popis: Služba podporuje zakázání veřejného síťového přístupu buď pomocí pravidla filtrování seznamu ACL protokolu IP na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat veřejný síťový přístup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí pravidla filtrování seznamu ACL na úrovni služby nebo přepínače pro veřejný síťový přístup.
Referenční informace: Konfigurace privátního koncového bodu pro pracovní prostor služby Azure Machine Learning
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.MachineLearningServices:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Výpočetní prostředky služby Azure Machine Learning by měly být ve virtuální síti. | Virtuální sítě Azure poskytují rozšířené zabezpečení a izolaci výpočetních clusterů a instancí Služby Azure Machine Learning a také podsítí, zásad řízení přístupu a dalších funkcí pro další omezení přístupu. Pokud je výpočetní prostředí nakonfigurované s virtuální sítí, není veřejně adresovatelné a je možné k němu přistupovat pouze z virtuálních počítačů a aplikací v rámci virtuální sítě. | Auditování, zakázáno | 1.0.1 |
Správa identit
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Referenční informace: Nastavení ověřování pro prostředky a pracovní postupy služby Azure Machine Learning
Metody místního ověřování pro přístup k rovině dat
Popis: Metody místního ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, použijte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Nastavení ověřování mezi službou Azure Machine Learning a dalšími službami
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
Referenční informace: Nastavení ověřování mezi službou Azure Machine Learning a dalšími službami
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
Referenční informace: Použití podmíněného přístupu
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Podpora integrace a úložiště přihlašovacích údajů a tajných kódů služby v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů.
Referenční informace: Použití tajných kódů ověřovacích přihlašovacích údajů v úlohách Azure Machine Learning
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.
PA-1: Oddělte a omezte vysoce privilegované uživatele nebo uživatele s oprávněními pro správu.
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Řízení přístupu na základě role v Azure (Azure RBAC) slouží ke správě přístupu k prostředkům Azure prostřednictvím předdefinovaných přiřazení rolí. Role Azure RBAC je možné přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám.
Referenční informace: Správa přístupu k pracovnímu prostoru služby Azure Machine Learning
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Ochrana dat
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí nástrojů, jako jsou Azure Purview, Azure Information Protection a zjišťování a klasifikace dat Azure SQL, můžete centrálně prohledávat, klasifikovat a označovat všechna citlivá data, která se nacházejí v Azure, místním prostředí, Microsoftu 365 nebo v jiných umístěních.
Referenční informace: Připojení ke službě Azure Machine Learning v Microsoft Purview a jejich správa
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud to vyžaduje dodržování předpisů při ochraně před únikem informací, můžete použít konfiguraci ochrany před exfiltrací dat. Spravovaná izolace sítě také podporuje ochranu před exfiltrací dat.
Referenční informace: Prevence exfiltrace dat ve službě Azure Machine Learning
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Azure Machine Learning používá protokol TLS k zabezpečení interní komunikace mezi různými mikroslužbami Azure Machine Learning. Veškerý přístup ke službě Azure Storage také probíhá přes zabezpečený kanál.
Informace o tom, jak zabezpečit online koncový bod Kubernetes vytvořený prostřednictvím služby Azure Machine Learning, najdete v tématu Konfigurace zabezpečeného online koncového bodu pomocí TLS/SSL.
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Šifrování během přenosu
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Šifrování dat pomocí služby Azure Machine Learning
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Klíče spravované zákazníkem pro Azure Machine Learning
Microsoft Defender pro monitorování cloudu
Azure Policy předdefinovaných definic – Microsoft.MachineLearningServices:
| Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
|---|---|---|---|
| Pracovní prostory služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních dat pracovního prostoru služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče azure Key Vault, který jste vytvořili a vlastníte vy. Máte plnou kontrolu a zodpovědnost za klíčový životní cyklus, včetně rotace a správy. Další informace najdete na stránce https://aka.ms/azureml-workspaces-cmk. | Auditovat, Odepřít, Zakázáno | 1.0.3 |
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Key Vault použijte k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměna a odvolávání klíčů v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě klíčového vyřazení nebo ohrožení zabezpečení. Pokud potřebujete použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že postupujete podle osvědčených postupů pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve svém trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud do služby potřebujete přenést vlastní klíč (BYOK) (například importovat klíče chráněné HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční vygenerování a přenos klíče.
Referenční informace: Klíče spravované zákazníkem pro Azure Machine Learning
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor použijte k vytváření upozornění v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [zamítnout] a [nasadit, pokud neexistuje].
Referenční informace: Azure Policy předdefinovaných definic zásad pro Azure Machine Learning
AM-5: Ve virtuálním počítači používejte jenom schválené aplikace.
Funkce
Microsoft Defender pro cloud – adaptivní řízení aplikací
Popis: Služba může omezit, jaké aplikace zákazníka běží na virtuálním počítači, pomocí adaptivního řízení aplikací v Microsoft Defender for Cloud. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Pokud pro Azure Machine Learning používáte vlastní kontejnery nebo clustery, měli byste povolit kontrolu prostředků Azure Container Registry a Azure Kubernetes Service prostředků prostřednictvím Microsoft Defender for Cloud. Microsoft Defender for Cloud ale nejde použít ve spravovaných výpočetních instancích nebo výpočetních clusterech služby Azure Machine Learning.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu. Například Key Vault podporuje další protokoly prostředků pro akce, které získávají tajný kód z trezoru klíčů, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.
Referenční informace: Monitorování služby Azure Machine Learning
Správa stavu a ohrožení zabezpečení
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Stav a správa ohrožení zabezpečení.
PV-3: Definování a zřízení zabezpečených konfigurací pro výpočetní prostředky
Funkce
Služba Azure Automation State Configuration
Popis: Azure Automation State Configuration lze použít k udržování konfigurace zabezpečení operačního systému. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Azure Policy agenta konfigurace hosta
Popis: Azure Policy agenta konfigurace hosta je možné nainstalovat nebo nasadit jako rozšíření výpočetních prostředků. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender pro cloud a agenta konfigurace hosta Azure Policy pravidelně vyhodnocujte a opravujte odchylky konfigurace výpočetních prostředků Azure, včetně virtuálních počítačů, kontejnerů a dalších.
Vlastní image virtuálních počítačů
Popis: Služba podporuje použití uživatelem zadaných imagí virtuálních počítačů nebo předem sestavených imagí z marketplace s předem použitými konfiguracemi základních hodnot. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Image vlastních kontejnerů
Popis: Služba podporuje použití uživatelem zadaných imagí kontejnerů nebo předem sestavených imagí z marketplace s předem použitými konfiguracemi základních hodnot. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Použijte předem nakonfigurovanou posílenou image od důvěryhodného dodavatele, jako je Microsoft, nebo do šablony image kontejneru sestavte požadované standardní hodnoty zabezpečené konfigurace.
Referenční informace: Trénování modelu pomocí vlastní image Dockeru
PV-5: Provedení posouzení ohrožení zabezpečení
Funkce
Posouzení ohrožení zabezpečení s využitím Microsoft Defender
Popis: Službu je možné zkontrolovat z hlediska ohrožení zabezpečení pomocí Microsoft Defender for Cloud nebo jiné integrované funkce posouzení ohrožení zabezpečení služby Microsoft Defender Services (včetně Microsoft Defender pro server, registr kontejneru, App Service, SQL a DNS). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Instalace agenta Defenderu pro server se v současné době nepodporuje, ale ve výpočetních instancích se může nainstalovat trivy, aby se zjistilo ohrožení zabezpečení na úrovni operačního systému a balíčku Pythonu.
Další informace najdete v tématu Správa ohrožení zabezpečení ve službě Azure Machine Learning.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
PV-6: Rychlá a automatická náprava ohrožení zabezpečení
Funkce
Azure Automation – Update Management
Popis: Služba může používat Azure Automation Update Management k automatickému nasazení oprav a aktualizací. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Výpočetní clustery se automaticky upgradují na nejnovější image virtuálního počítače. Pokud je cluster nakonfigurovaný s minimálním počtem uzlů = 0, automaticky upgraduje uzly na nejnovější verzi image virtuálního počítače, jakmile se dokončí všechny úlohy a cluster se zmenší na nulu uzlů.
Výpočetní instance při zřízení obdrží nejnovější image virtuálních počítačů. Microsoft vydává nové image virtuálních počítačů každý měsíc. Po nasazení se výpočetní instance aktivně neaktualizuje. Pokud chcete mít aktuální informace o nejnovějších aktualizacích softwaru a opravách zabezpečení, můžete:
Opětovné vytvoření výpočetní instance pro získání nejnovější image operačního systému (doporučeno)
Případně pravidelně aktualizujte balíčky operačního systému a Pythonu.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Zabezpečení koncového bodu
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Zabezpečení koncových bodů.
ES-1: Použití detekce a odezvy koncových bodů (EDR)
Funkce
Řešení EDR
Popis: Do koncového bodu je možné nasadit funkci detekce a odezvy koncových bodů (EDR), jako je Azure Defender pro servery. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
ES-2: Použití moderního antimalwarového softwaru
Funkce
Antimalwarové řešení
Popis: Do koncového bodu je možné nasadit antimalwarovou funkci, jako je Microsoft Defender Antivirus, Microsoft Defender for Endpoint. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: ClamAV se dá použít ke zjišťování malwaru a je předinstalovaný ve výpočetní instanci.
Referenční informace: Správa ohrožení zabezpečení na výpočetních hostitelích
ES-3: Zajištění aktualizace antimalwarového softwaru a podpisů
Funkce
Antimalwarové řešení – monitorování stavu
Popis: Antimalwarové řešení poskytuje monitorování stavu pro aktualizace platformy, modulu a automatických podpisů. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: ClamAV se dá použít ke zjišťování malwaru a je předinstalovaný na výpočetní instanci.
Backup a obnovení
Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelného automatizovaného zálohování
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacích testů zabezpečení cloudu Microsoftu.
- Další informace o základních úrovních zabezpečení Azure