Azure-Sicherheitsbasisplan für Azure AI-Dienste
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security Benchmark Version 1.0 auf Azure AI-Dienste an. Der Microsoft Cloud Security Benchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure sichern können. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark und die zugehörigen Anleitungen für Azure AI-Dienste definiert sind.
Sie können diese Sicherheitsbasislinie und ihre Empfehlungen mithilfe von Microsoft Defender für Cloud überwachen. Azure-Richtliniendefinitionen werden im Abschnitt "Einhaltung gesetzlicher Vorschriften" der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure-Richtliniendefinitionen verfügt, werden sie in diesem Basisplan aufgeführt, um die Einhaltung der Microsoft Cloud Security Benchmark-Kontrollen und -Empfehlungen zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarien zu aktivieren.
Anmerkung
Features, die nicht für Azure AI-Dienste anwendbar sind, wurden ausgeschlossen. Informationen dazu, wie Azure AI-Dienste vollständig dem Microsoft Cloud Security-Benchmark zugeordnet sind, finden Sie in der vollständigen Azure AI Services-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure AI-Diensten mit hohem Einfluss zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | AI+ML |
| Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | Falsch |
| Ruhende Kundeninhalte werden gespeichert. | Stimmt |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Netzwerksegmentierungsgrenzen
Funktionen
Integration virtueller Netzwerke
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkdatenverkehr des Diensts berücksichtigt die Regelzuweisung für Netzwerksicherheitsgruppen in seinen Subnetzen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Obwohl Netzwerksicherheitsgruppen für diesen Dienst nicht unterstützt werden, kann eine Firewall auf Dienstebene konfiguriert werden. Weitere Informationen finden Sie unter: Verwalten von IP-Netzwerkregeln
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
NS-2: Sichern von Clouddiensten mit Netzwerksteuerelementen
Funktionen
Azure Private Link
Beschreibung: Diensteigene IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Bereitstellen privater Endpunkte für alle Azure-Ressourcen, die das Feature "Private Verknüpfung" unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten.
Referenz: Verwenden privater Endpunkte
Öffentliches Netzwerkzugriff deaktivieren
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder durch die Verwendung von ACL-Filterregeln auf Dienstebene (nicht NSG oder Azure Firewall) oder durch einen Schalter für 'Öffentlichen Netzwerkzugriff deaktivieren'. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Deaktivieren Sie den Zugriff auf öffentliche Netzwerke entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder mit einem Umschaltschalter für den Zugriff auf öffentliche Netzwerke.
Referenz-: Ändern der Standard-Netzwerkzugriffsregel
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.CognitiveServices:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure AI Services-Ressourcen sollten den Netzwerkzugriff einschränken | Indem Sie den Netzwerkzugriff einschränken, können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Dies kann erreicht werden, indem Netzwerkregeln konfiguriert werden, sodass nur Anwendungen aus zulässigen Netzwerken auf den Azure AI-Dienst zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden Sie ein zentrales Identitäts- und Authentifizierungssystem
Funktionen
Azure AD-Authentifizierung erforderlich für den Datenebenenzugriff
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf die Datenebene. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Referenz: Authentifizieren mit Azure Active Directory
Lokale Authentifizierungsmethoden für den Datenebenenzugriff
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf die Datenebene unterstützt werden, z. B. einen lokalen Benutzernamen und ein Kennwort. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Feature-Hinweise: Während Sie sich bei Azure AI-Diensten mithilfe eines Abonnementschlüssels für einen einzelnen Dienst oder mehrere Dienste authentifizieren können, oder diese Schlüssel zur Authentifizierung mit Zugriffstoken verwenden können, stoßen diese Authentifizierungsmethoden in komplexeren Szenarien an ihre Grenzen. Diese erfordern eine Azure-rollenbasierte Zugriffssteuerung (Azure RBAC). Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder -konten, diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: Einschränken der Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf die Datenebene. Verwenden Sie stattdessen Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Reference: Authentifizieren mit einem Zugriffstoken
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.CognitiveServices:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure AI Services-Ressourcen sollten den Schlüsselzugriff deaktiviert haben (lokale Authentifizierung deaktivieren) | Der Schlüsselzugriff (lokale Authentifizierung) wird empfohlen, für die Sicherheit deaktiviert zu werden. Azure OpenAI Studio, in der Regel in Entwicklung/Tests verwendet, erfordert schlüsselzugriff und funktioniert nicht, wenn der Schlüsselzugriff deaktiviert ist. Nach dem Deaktivieren wird die Microsoft Entra-ID zur einzigen Zugriffsmethode, die die Aufrechterhaltung des Minimalberechtigungsprinzips und der granularen Kontrolle ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
IM-3: Anwendungsidentitäten sicher und automatisch verwalten
Funktionen
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe von verwalteten Identitäten. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory (Azure AD)-Authentifizierung unterstützen. Verwaltete Identitätsanmeldeinformationen werden von der Plattform vollständig verwaltet, regelmäßig geändert und geschützt, wodurch hartcodierte Anmeldeinformationen in Quellcode- oder Konfigurationsdateien vermieden werden.
Referenz: Autorisieren des Zugriffs auf verwaltete Identitäten
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | falsch | Kunde |
Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Richtlinien für diese Featurekonfiguration. Überprüfen Sie diese Sicherheitsfunktion, und ermitteln Sie, ob Ihre Organisation dieses Sicherheitsfeature konfigurieren möchte.
Referenz: Authentifizieren von Anforderungen an Azure KI Services
IM-7: Beschränken des Ressourcenzugriffs abhängig von Bedingungen
Funktionen
Bedingter Zugriff für Datenebene
Beschreibung: Datenebenenzugriff kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Zugriff in Azure Active Directory (Azure AD) in der Workload. Erwägen Sie häufige Anwendungsfälle, z. B. das Blockieren oder Gewähren des Zugriffs von bestimmten Speicherorten, das Blockieren des risikobehafteten Anmeldeverhaltens oder das Erfordern von durch die Organisation verwalteten Geräten für bestimmte Anwendungen.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Funktionen
Dienstanmeldedaten und Geheimnisse unterstützen Integration und Speicherung in Azure Key Vault
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Stellen Sie sicher, dass geheime Schlüssel und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten.
Referenz-: Entwicklung von Azure AI-Diensten mit Key Vault-
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Einschränken von Benutzern mit hochprivilegierten oder Administratorrechten
Funktionen
Lokale Administratorkonten
Beschreibung: Der Dienst hat das Konzept eines lokalen Verwaltungskontos. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Funktionen
Azure RBAC für die Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann zum verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden der rollenbasierten Azure-Zugriffssteuerung (Azure RBAC) zum Verwalten des Azure-Ressourcenzugriffs über integrierte Rollenzuweisungen. Azure RBAC-Rollen können Benutzern, Gruppen, Dienstprinzipalen und verwalteten Identitäten zugewiesen werden.
Referenz: Authentifizieren mit Azure Active Directory
PA-8: Ermitteln des Zugriffsvorgangs für die Unterstützung von Cloudanbietern
Funktionen
Kunden-Lockbox
Beschreibung: Die Kunden-Lockbox kann für den Zugriff durch den Microsoft-Support verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: In Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, verwenden Sie die Kunden-Lockbox, um sie zu überprüfen, und genehmigen oder ablehnen Sie dann die Datenzugriffsanforderungen von Microsoft.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen vertraulicher Daten
Funktionen
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-2: Überwachen von Anomalien und Bedrohungen für vertrauliche Daten
Funktionen
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung zum Überwachen der Datenverschiebung vertraulicher Daten (innerhalb von Inhalten des Kunden). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Azure AI Services-Funktionen zur Verhinderung von Datenverlust ermöglichen Es Kunden, die Liste der ausgehenden URLs zu konfigurieren, auf die ihre Azure AI-Diensteressourcen zugreifen dürfen. Dadurch wird eine weitere Steuerungsebene für Kunden erstellt, um Datenverluste zu verhindern.
Referenz: Konfigurieren der Verhinderung von Datenverlust für Azure KI Services
DP-3: Verschlüsseln vertraulicher Daten während der Übertragung
Funktionen
Daten in der Transitverschlüsselung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
Referenz: Sicherheit für Azure KI Services
DP-4: Standardmäßige Verschlüsselung ruhender Daten aktivieren
Funktionen
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Stimmt | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da diese Funktion in einer Standardbereitstellung bereits aktiviert ist.
Referenz: Konfiguration von kundenseitig verwalteten Schlüsseln mit Azure Key Vault für Azure AI-Dienste
DP-5: Bei Bedarf die Option eines kundenseitig verwalteten Schlüssels für die Verschlüsselung ruhender Daten verwenden.
Funktionen
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Wenn dies für die Einhaltung gesetzlicher Vorschriften erforderlich ist, definieren Sie den Anwendungsfall und den Dienstumfang, in dem Verschlüsselung mithilfe von vom Kunden verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe des vom Kunden verwalteten Schlüssels für diese Dienste.
Referenznummer: Konfigurieren von vom Kunden verwalteten Schlüsseln mit Azure Key Vault für Azure AI-Dienste
Microsoft Defender für Cloud-Überwachung
Integrierte Azure Policy-Definitionen – Microsoft.CognitiveServices:
| Name (Azure-Portal) |
Beschreibung | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| Azure AI Services-Konten sollten die Datenverschlüsselung mit einem vom Kunden verwalteten Schlüssel aktivieren. | Vom Kunden verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Compliancestandards zu erfüllen. Mit vom Kunden verwalteten Schlüsseln können die in Azure AI-Diensten gespeicherten Daten mit einem von Ihnen erstellten und von Ihnen erstellten Azure Key Vault-Schlüssel verschlüsselt werden. Sie haben volle Kontrolle und Verantwortung für den wichtigsten Lebenszyklus, einschließlich Rotation und Verwaltung. Erfahren Sie mehr über vom Kunden verwaltete Schlüssel unter https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
DP-6: Verwenden eines Sicheren Schlüsselverwaltungsprozesses
Funktionen
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimschlüssel oder Zertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, Verteilung und Speicher. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. Wenn ein CMK (kundeverwalteter Schlüssel) in der Arbeitslast, dem Dienst oder der Anwendungsebene verwendet werden muss, stellen Sie sicher, dass Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs aus dem Dienst oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) in den Dienst übertragen müssen (z. B. das Importieren von HSM-geschützten Schlüsseln aus Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien, um die erste Schlüsselgenerierung und Schlüsselübertragung durchzuführen.
Referenz-: Konfigurieren von kundenseitig verwalteten Schlüsseln mit Azure Key Vault für Azure KI Services
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Funktionen
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Vermögensverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Nur genehmigte Dienste verwenden
Funktionen
Azure-Richtlinienunterstützung
Beschreibung: Dienstkonfigurationen können über Azure-Richtlinie überwacht und erzwungen werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | Falsch | Kunde |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn für die Ressourcen eine Konfigurationsabweichung erkannt wurde. Verwenden Sie die Azure Policy-Einstellungen [deny] und [deploy if not exists], um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.
Referenz: Integrierte Azure Policy-Richtliniendefinitionen für Azure KI Services
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Bedrohungserkennungsfunktionen
Funktionen
Microsoft Defender for Service /Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für sicherheitsrelevante Untersuchungen
Funktionen
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an eine eigene Datensenke schicken, z. B. ein Speicherkonto oder einen Log Analytics-Arbeitsbereich. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Stimmt | falsch | Kunde |
Konfigurationsleitfaden: Ressourcenprotokolle für den Dienst aktivieren. Beispielsweise unterstützt Key Vault zusätzliche Ressourcenprotokolle für Aktionen, die einen geheimen Schlüssel aus einem Schlüsseltresor abrufen, und Azure SQL verfügt über Ressourcenprotokolle, die Anforderungen an eine Datenbank nachverfolgen. Der Inhalt der Ressourcenprotokolle variiert je nach Azure-Dienst und Ressourcentyp.
Referenz: Aktivieren der Diagnoseprotokollierung für Azure KI Services
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Funktionen
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Diensteigene Sicherungsfähigkeit
Beschreibung: Der Dienst unterstützt seine eigene systemeigene Sicherungsfunktion (wenn nicht Azure Backup verwendet wird). Erfahren Sie mehr.
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Falsch | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Nächste Schritte
- Weitere Informationen finden Sie unter Übersicht über Microsoft Cloud Security Benchmark
- Weitere Informationen zu Azure-Sicherheitsbaselines