Azure-beveiligingsbasislijn voor Data Factory
Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Data Factory. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Data Factory.
U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.
Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op Data Factory, zijn uitgesloten. Als u wilt zien hoe Data Factory volledig wordt toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand van de Data Factory-beveiligingsbasislijn.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag van hoge impact van Data Factory, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Weergegeven als |
|---|---|
| Productcategorie | Analyse, integratie |
| Klant heeft toegang tot HOST/OS | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Slaat klantinhoud at rest op | Waar |
Netwerkbeveiliging
Zie de Microsoft-benchmark voor cloudbeveiliging: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: Service biedt ondersteuning voor implementatie in het particuliere virtuele netwerk van de klant (VNet). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij de functie: Azure-SSIS Integration Runtime biedt ondersteuning voor virtuele netwerkinjectie in het virtuele netwerk van de klant. Wanneer u een Azure-SSIS Integration Runtime (IR) maakt, kunt u deze koppelen met een virtueel netwerk. Hiermee kan Azure Data Factory bepaalde netwerkbronnen maken, zoals een NSG en een load balancer. U kunt ook uw eigen statisch openbaar IP-adres opgeven of Azure Data Factory laten maken. Zelf-hostende Integration Runtime (IR) kan worden ingesteld op iaaS-VM's binnen het virtuele netwerk van de klant. Het netwerkverkeer wordt ook beheerd door de NSG- en firewallinstellingen van de klant.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Azure-SSIS Integration Runtime toevoegen aan een virtueel netwerk
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels voor netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij de functie: Azure-SSIS Integration Runtime biedt ondersteuning voor virtuele netwerkinjectie in het virtuele netwerk van de klant. Het houdt zich aan alle NSG- en firewallregels die zijn ingesteld door de klant in hun virtuele netwerk. Wanneer u een Azure-SSIS Integration Runtime (IR) maakt, kunt u deze koppelen met een virtueel netwerk. Hiermee kan Azure Data Factory bepaalde netwerkbronnen maken, zoals een NSG en een load balancer. U kunt ook uw eigen statisch openbaar IP-adres opgeven of Azure Data Factory laten maken. Op de NSG die automatisch wordt gemaakt door Azure Data Factory, is poort 3389 standaard geopend voor al het verkeer. Vergrendel de poort om ervoor te zorgen dat alleen uw beheerders toegang hebben.
Zelf-hostende Integration Runtime (IR) kan worden ingesteld op iaaS-VM's binnen het virtuele netwerk van de klant. Het netwerkverkeer wordt ook beheerd door de NSG- en firewallinstellingen van de klant.
Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan op basis van uw NSG-regels. Voor specifieke, goed gedefinieerde toepassingen, zoals een app met drie lagen, kan het standaard een zeer veilige deny-by-default zijn.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Azure-SSIS Integration Runtime toevoegen aan een virtueel netwerk
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: De systeemeigen IP-filterfunctie van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Aanvullende richtlijnen: u kunt privé-eindpunten configureren in het beheerde virtuele netwerk van Azure Data Factory om privé verbinding te maken met gegevensarchieven.
Data Factory biedt niet de mogelijkheid om service-eindpunten voor virtual network te configureren.
Wanneer u een Azure-SSIS Integration Runtime (IR) maakt, kunt u deze koppelen met een virtueel netwerk. Hiermee kan Azure Data Factory bepaalde netwerkbronnen maken, zoals een NSG en een load balancer. U kunt ook uw eigen statisch openbaar IP-adres opgeven of Azure Data Factory laten maken. Op de NSG die automatisch wordt gemaakt door Azure Data Factory, is poort 3389 standaard geopend voor al het verkeer. Vergrendel de poort om ervoor te zorgen dat alleen uw beheerders toegang hebben. U kunt zelf-hostende IR's implementeren op een on-premises machine of Azure-VM in een virtueel netwerk. Zorg ervoor dat de subnetimplementatie van uw virtuele netwerk een NSG heeft geconfigureerd om alleen beheerderstoegang toe te staan. Azure-SSIS IR staat standaard uitgaand verkeer van poort 3389 toe op de Windows Firewall-regel op elk IR-knooppunt voor beveiliging. U kunt uw virtuele netwerk geconfigureerde resources beveiligen door een NSG te koppelen aan het subnet en strikte regels in te stellen.
Naslaginformatie: Azure Private Link voor Azure Data Factory
Openbare netwerktoegang uitschakelen
Beschrijving: De service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een IP-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of het gebruik van een wisselknop Voor openbare netwerktoegang uitschakelen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: het uitschakelen van openbare netwerktoegang is alleen van toepassing op zelf-hostende Integration Runtime (SHIR) en niet op Azure IR of SSIS IR. Met SHIR blokkeert het inschakelen van data factory voor private link niet expliciet de openbare toegang, maar de klant kan openbare toegang handmatig blokkeren.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Azure Private Link voor Azure Data Factory
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identiteitsbeheer voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD-verificatie vereist voor gegevensvlaktoegang
Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Data Factory kan systeemeigen worden geverifieerd bij de Azure-services en -resources die Ondersteuning bieden voor Azure AD-verificatie.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Beheerde identiteit voor Azure Data Factory
Lokale verificatiemethoden voor gegevensvlaktoegang
Beschrijving: Methoden voor lokale verificatie die worden ondersteund voor toegang tot gegevensvlakken, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: U kunt Windows-verificatie gebruiken voor toegang tot gegevensbronnen vanuit SSIS-pakketten die worden uitgevoerd in Azure-SSIS Integration Runtime (IR). Uw gegevensarchieven kunnen on-premises zijn, worden gehost op virtuele Azure-machines (VM's) of worden uitgevoerd in Azure als beheerde services. We raden u echter aan het gebruik van lokale verificatie te vermijden en waar mogelijk Azure AD te gebruiken. Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan Azure AD om waar mogelijk te verifiëren.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Toegang tot gegevensarchieven en bestandsshares met Windows-verificatie vanuit SSIS-pakketten in Azure
IM-3: Toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Opmerkingen bij functies: wanneer u data factory maakt via Azure Portal of PowerShell, wordt de beheerde identiteit automatisch gemaakt. Met sdk of REST API wordt een beheerde identiteit alleen gemaakt als de gebruiker expliciet het trefwoord 'identiteit' opgeeft.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Beheerde identiteit voor Azure Data Factory en Azure Synapse
Service-principals
Beschrijving: Het gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Met Data Factory kunt u beheerde identiteiten, serviceprincipes gebruiken om te verifiëren bij gegevensarchieven en berekeningen die ondersteuning bieden voor AAD-verificatie.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Gegevens kopiëren en transformeren in Azure Data Lake Storage Gen2 met behulp van Azure Data Factory of Azure Synapse Analytics
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: Toegang tot het gegevensvlak kan worden beheerd met behulp van beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Voorwaardelijke toegang: Cloud-apps, acties en verificatiecontext
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Integratie en opslag van servicereferenties en geheimen in Azure Key Vault
Beschrijving: Het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: U kunt referenties opslaan voor gegevensarchieven en berekeningen in een Azure Key Vault. Azure Data Factory haalt de referenties op bij het uitvoeren van een activiteit die gebruikmaakt van de gegevensopslag/berekening.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Referenties opslaan in Azure Key Vault
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten
Functies
Lokale beheerdersaccounts
Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-7: Principe van minimale bevoegdheden hanteren
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Data Factory kan worden geïntegreerd met Azure RBAC om de resources te beheren. Met RBAC beheert u de toegang tot Azure-resources via roltoewijzingen. U kunt rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Bepaalde resources hebben vooraf gedefinieerde ingebouwde rollen. U kunt deze rollen inventariseren of er query's op uitvoeren via hulpprogramma's zoals Azure CLI, Azure PowerShell of Azure Portal.
Beperk de bevoegdheden die u aan resources toewijst via Azure RBAC tot wat de rollen nodig hebben. Deze praktijk vormt een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD PIM. Controleer regelmatig rollen en toewijzingen.
Gebruik ingebouwde rollen om machtigingen te verlenen. Maak alleen aangepaste rollen wanneer dat nodig is.
U kunt een aangepaste rol maken in Azure AD met meer beperkende toegang tot Data Factory.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Rollen en machtigingen voor Azure Data Factory
PA-8: Toegangsproces bepalen voor cloudproviderondersteuning
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor microsoft-ondersteuningstoegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Customer Lockbox for Microsoft Azure
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Data Factory verbinden met Microsoft Purview
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/verlies
Beschrijving: Service ondersteunt DLP-oplossing voor het bewaken van gevoelige gegevensverplaatsing (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens versleutelen tijdens overdracht
Functies
Gegevens in transitversleuteling
Beschrijving: De service ondersteunt versleuteling van gegevens in transit voor het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Beveiligingsoverwegingen voor gegevensverplaatsing in Azure Data Factory
DP-4: Gegevens-at-rest-versleuteling standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund, alle inhoud van klanten die in rust zijn, wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Azure Data Factory versleutelen met door de klant beheerde sleutels
DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Gegevens-at-rest-versleuteling met door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service is opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Azure Data Factory versleutelen met door de klant beheerde sleutels
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Referenties opslaan in Azure Key Vault
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Referenties opslaan in Azure Key Vault
Asset-management
Zie de Microsoft Cloud Security-benchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources in abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken om waarschuwingen te activeren wanneer ze een niet-goedgekeurde service detecteren.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: ingebouwde Azure Policy-definities voor Data Factory
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft-benchmark voor cloudbeveiliging: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbiedingen
Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Onwaar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: SHIR (self-hosted IR) die wordt uitgevoerd op Virtuele Azure-machines en -containers, maakt gebruik van Defender voor het tot stand brengen van de beveiligde configuratie.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of log analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Opmerkingen bij functies: activiteitenlogboeken zijn automatisch beschikbaar. U kunt activiteitenlogboeken gebruiken om fouten te vinden bij het oplossen van problemen of om te controleren hoe gebruikers in uw organisatie resources hebben gewijzigd.
Gebruik Microsoft Defender voor Cloud en Azure Policy om resourcelogboeken en logboekgegevensverzameling in te schakelen.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.
Naslaginformatie: Diagnostische instellingen in Azure Monitor
Back-up en herstel
Zie de Microsoft-benchmark voor cloudbeveiliging: Back-up en herstel voor meer informatie.
BR-1: Regelmatige geautomatiseerde back-ups garanderen
Functies
Systeemeigen back-upmogelijkheid van service
Beschrijving: De service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als deze geen Azure Backup gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Onwaar | Customer |
Functieopmerkingen: Als u een back-up wilt maken van alle code in Azure Data Factory, gebruikt u de functionaliteit voor broncodebeheer in Data Factory.
Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.
Naslaginformatie: Broncodebeheer in Azure Data Factory
Volgende stappen
- Zie het overzicht van de Microsoft-cloudbeveiligingsbenchmark
- Lees meer over basislijnen voor de beveiliging van Azure