Punkt odniesienia zabezpieczeń platformy Azure dla usług azure AI
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usług Azure AI. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązane wskazówki dotyczące usług Azure AI.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu usługi Microsoft Defender for Cloud. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu usługi Microsoft Defender for Cloud.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Notatka
Funkcje, które nie mają zastosowania do usług Azure AI, zostały wykluczone. Aby zobaczyć, jak usługi Azure AI całkowicie odpowiadają na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania bazowego zabezpieczeń usług Azure AI .
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługi Azure AI, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Kategoria produktu | Sztuczna inteligencja i uczenie maszynowe |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Fałsz |
| Przechowuje dane klientów w stanie spoczynku | Prawda |
Zabezpieczenia sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja z siecią wirtualną
Opis: Usługa umożliwia wdrażanie w prywatnej sieci wirtualnej klienta. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy związany z usługą uwzględnia przypisanie reguł grup zabezpieczeń sieci w podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
uwagi dotyczące funkcji: Chociaż sieciowe grupy zabezpieczeń dla tej usługi nie są obsługiwane, można skonfigurować zaporę na poziomie usługi. Aby uzyskać więcej informacji, odwiedź stronę: Zarządzanie regułami sieci IP
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Azure Private Link
Opis: funkcja filtrowania adresów IP natywnych dla usługi na potrzeby filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub usługą Azure Firewall). Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
wskazówki dotyczące konfiguracji: wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję usługi Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
reference: Use private endpoints (Używanie prywatnych punktów końcowych)
Wyłączanie dostępu do sieci publicznej
Opis: usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub usługi Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wyłącz dostęp do sieci publicznej, korzystając z reguły filtrowania listy ACL adresów IP na poziomie usługi lub za pomocą przełącznika, który umożliwia włączanie i wyłączanie dostępu do sieci publicznej.
reference: Zmień domyślną regułę dostępu do sieci
Monitorowanie usługi Microsoft Defender for Cloud
wbudowane definicje usługi Azure Policy — Microsoft.CognitiveServices:
| Nazwa (Azure Portal) |
Opis | Efekt(y) | Wersja (GitHub) |
|---|---|---|---|
| zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Inspekcja, Odmowa, Wyłączone | 3.2.0 |
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie usługi Azure AD wymagane na potrzeby dostępu do płaszczyzny danych
Opis: usługa obsługuje korzystanie z uwierzytelniania usługi Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawdziwy | Fałsz | Klient |
wskazówki dotyczące konfiguracji: użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania w celu kontrolowania dostępu do płaszczyzny danych.
Referencja: Uwierzytelnij przy użyciu usługi Azure Active Directory
Lokalne metody uwierzytelniania dla dostępu do płaszczyzny danych
Opis: metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
Uwagi dotyczące funkcji: Chociaż można uwierzytelniać się w usługach Azure AI przy użyciu klucza subskrypcji pojedynczej usługi lub wielu usług albo użyć tych kluczy do uwierzytelniania przy użyciu tokenów dostępu, te metody uwierzytelniania są niewystarczające w bardziej złożonych scenariuszach wymagających kontroli dostępu opartej na rolach platformy Azure (Azure RBAC). Unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego użyj usługi Azure AD, aby uwierzytelnić się tam, gdzie to możliwe.
Wytyczne dotyczące konfiguracji: Ogranicz użycie lokalnych metod uwierzytelniania na potrzeby dostępu do płaszczyzny danych. Zamiast tego użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.
Referencja: Uwierzytelnianie przy użyciu tokenu dostępu
Monitorowanie usługi Microsoft Defender for Cloud
Wbudowane definicje Azure Policy — Microsoft.CognitiveServices:
| Nazwa (Azure portal) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| zasoby usług Azure AI Services powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Zarządzane tożsamości
Opis: Operacje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: używaj tożsamości zarządzanych platformy Azure zamiast zasad usługi, jeśli to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie za pomocą usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, co pozwala uniknąć zakodowanych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
dokumentacja: Autoryzuj dostęp do tożsamości zarządzanych
Podmioty usługi
Opis: płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
wskazówki dotyczące konfiguracji: Obecnie brak jest wskazówek firmy Microsoft dotyczących konfiguracji tej funkcji. Proszę przejrzeć i ustalić, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
reference: Uwierzytelnianie żądań do usług Azure AI
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: dostęp do płaszczyzny danych można kontrolować przy użyciu zasad dostępu warunkowego usługi Azure AD. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
wskazówki dotyczące konfiguracji: Zdefiniuj odpowiednie warunki i kryteria dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.
IM-8: Ogranicz ujawnianie poświadczeń i tajemnic
Funkcje
Obsługa poświadczeń usługi i tajnych danych w integracji i przechowywaniu w usłudze Azure Key Vault
Opis: płaszczyzna danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawdziwy | Nieprawda | Klient |
Wskazówki dotyczące konfiguracji: upewnij się, że wpisy tajne i poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w plikach kodu lub konfiguracji.
Referencja: Tworzenie aplikacji usług Azure AI z Key Vault
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft : Uprzywilejowany dostęp.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta administratora lokalnego
Opis: Usługa posiada koncepcję lokalnego konta administracyjnego. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-7: Przestrzegaj zasady minimalnych uprawnień (najmniejszego przywileju)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla warstwy danych
Opis: Kontrola dostępu Azure Role-Based (Azure RBAC) może być używana do zarządzania dostępem do działań w płaszczyźnie danych usługi. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
wskazówki dotyczące konfiguracji: użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure do zarządzania dostępem do zasobów platformy Azure za pomocą wbudowanych przypisań ról. Role RBAC platformy Azure można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych.
dokumentacja: uwierzytelnianie za pomocą usługi Azure Active Directory
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka Bezpieczeństwa Klienta
Opis: Customer Lockbox może służyć do udzielania dostępu do wsparcia technicznego Microsoftu. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: W scenariuszach wsparcia, gdy Microsoft musi uzyskać dostęp do Twoich danych, użyj Customer Lockbox, aby przejrzeć i następnie zatwierdzić lub odrzucić każde żądanie dostępu do danych wystosowane przez Microsoft.
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń skierowanych na poufne dane
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
wskazówki dotyczące konfiguracji: funkcje zapobiegania utracie danych usług Azure AI umożliwiają klientom konfigurowanie listy adresów URL ruchu wychodzącego, do których mogą uzyskiwać dostęp zasoby usług Azure AI. Spowoduje to utworzenie innego poziomu kontroli dla klientów, aby zapobiec utracie danych.
Referencja: Konfigurowanie ochrony przed utratą danych dla usług Azure AI
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie danych w trakcie przesyłania dla warstwy danych. Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Odniesienie: Bezpieczeństwo usług Azure AI
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych w spoczynku przy użyciu kluczy platformowych
Opis: Szyfrowanie danych w stanie spoczynku przy użyciu kluczy platformy jest obsługiwane; wszelka zawartość klienta w stanie spoczynku jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Odniesienie: Konfigurowanie kluczy zarządzanych przez klienta z użyciem usługi Azure Key Vault dla usług Azure AI
DP-5: Użyj opcji klucza zarządzanego przez klienta w przypadku szyfrowania danych w spoczynku, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta
Opis: Szyfrowanie danych w stanie spoczynku przy użyciu kluczy zarządzanych przez klienta jest obsługiwane dla zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
wskazówki dotyczące konfiguracji: jeśli jest to wymagane w celu zapewnienia zgodności z przepisami, zdefiniuj przypadek użycia i zakres usługi, w którym wymagane jest szyfrowanie przy użyciu kluczy zarządzanych przez klienta. Włącz i zaimplementuj szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta dla tych usług.
Referencja: Konfigurowanie kluczy zarządzanych przez klienta za pomocą usługi Azure Key Vault dla usług Azure AI
Monitorowanie usługi Microsoft Defender for Cloud
wbudowane definicje usługi Azure Policy — Microsoft.CognitiveServices:
| Nazwa (portal Azure) |
Opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| konta usług Azure AI powinny włączyć szyfrowanie danych przy użyciu klucza zarządzanego przez klienta | Klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przechowywanych w usługach azure AI przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o kluczach zarządzanych przez klienta w https://go.microsoft.com/fwlink/?linkid=2121321. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację z Azure Key Vault dla dowolnych kluczy, sekretów lub certyfikatów klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i usłudze na podstawie zdefiniowanego harmonogramu lub po przejściu na emeryturę lub naruszenie klucza. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze praktyki zarządzania kluczami: Użyj hierarchii kluczy, aby wygenerować osobny klucz szyfrowania danych (DEK) za pomocą klucza szyfrowania kluczy (KEK) w swoim magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywoływane poprzez identyfikatory kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wytycznymi, aby przeprowadzić początkowe generowanie kluczy i transfer kluczy.
referencja: Konfiguracja kluczy zarządzanych przez klienta z Azure Key Vault dla usług Azure AI
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałszywy | Klient |
Wskazówki dotyczące konfiguracji: Użyj Microsoft Defender for Cloud do skonfigurowania Azure Policy w celu audytu i wymuszania konfiguracji zasobów platformy Azure. Użyj usługi Azure Monitor, aby utworzyć alerty w przypadku wykrycia odchylenia konfiguracji dla zasobów. Użyj funkcji Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację w zasobach platformy Azure.
Reference: Domyślne definicje zasad Azure Policy dla usług Azure AI
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla usługi/oferty produktowej
Opis: Usługa posiada rozwiązanie Microsoft Defender specyficzne dla określonej oferty, do monitorowania i ostrzegania o problemach z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włącz rejestrowanie na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego zasobnika danych, takiego jak konto przechowywania lub przestrzeń robocza Log Analytics. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji : Włącz dzienniki zasobów dla usługi. Na przykład usługa Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają tajemnicę z magazynu kluczy, natomiast usługa Azure SQL ma dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od usługi platformy Azure i typu zasobu.
Reference: Włączanie rejestrowania diagnostycznego dla usług Azure AI
Tworzenie kopii zapasowej i odzyskiwanie
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft : Tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
opis: usługa może być wspierana przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałszywy | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zdolność natywnego tworzenia kopii zapasowej usługi
Opis: usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie korzystasz z usługi Azure Backup). Dowiedz się więcej.
| Wspierane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.