Punkt odniesienia zabezpieczeń platformy Azure dla usługi Data Factory
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do usługi Data Factory. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana według mechanizmów kontroli zabezpieczeń zdefiniowanych przez test porównawczy zabezpieczeń w chmurze firmy Microsoft i powiązanych wskazówek dotyczących usługi Data Factory.
Ten punkt odniesienia zabezpieczeń i jego zalecenia można monitorować przy użyciu Microsoft Defender dla Chmury. Definicje usługi Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie portalu Microsoft Defender dla Chmury.
Jeśli funkcja ma odpowiednie definicje usługi Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami kontroli i rekomendacji testów porównawczych zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu usługi Microsoft Defender w celu włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje , które nie mają zastosowania do usługi Data Factory, zostały wykluczone. Aby zobaczyć, jak usługa Data Factory całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń usługi Data Factory.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na usługę Data Factory, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Kategoria produktu | Analiza, integracja |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Prawda |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej sieci wirtualnej klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Środowisko Azure-SSIS Integration Runtime obsługuje iniekcję sieci wirtualnej w sieci wirtualnej klienta. Podczas tworzenia środowiska Azure-SSIS Integration Runtime (IR) możesz dołączyć go do sieci wirtualnej. Umożliwi to usłudze Azure Data Factory tworzenie określonych zasobów sieciowych, takich jak sieciowa grupa zabezpieczeń i moduł równoważenia obciążenia. Możesz również podać własny statyczny publiczny adres IP lub utworzyć własny publiczny adres IP usługi Azure Data Factory. Własne środowisko Integration Runtime (IR) można skonfigurować na maszynie wirtualnej IaaS w sieci wirtualnej klienta. Ruch sieciowy jest również zarządzany przez sieciową grupę zabezpieczeń klienta i ustawienia zapory.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Dołączanie środowiska Azure-SSIS Integration Runtime do sieci wirtualnej
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Środowisko Azure-SSIS Integration Runtime obsługuje iniekcję sieci wirtualnej w sieci wirtualnej klienta. Są zgodne ze wszystkimi regułami sieciowej grupy zabezpieczeń i zapory ustawionymi przez klienta w sieci wirtualnej. Podczas tworzenia środowiska Azure-SSIS Integration Runtime (IR) możesz dołączyć go do sieci wirtualnej. Umożliwi to usłudze Azure Data Factory tworzenie określonych zasobów sieciowych, takich jak sieciowa grupa zabezpieczeń i moduł równoważenia obciążenia. Możesz również podać własny statyczny publiczny adres IP lub utworzyć własny publiczny adres IP usługi Azure Data Factory. W sieciowej grupie zabezpieczeń, która jest tworzona automatycznie przez usługę Azure Data Factory, port 3389 jest domyślnie otwarty dla całego ruchu. Zablokuj port, aby upewnić się, że tylko administratorzy mają dostęp.
Własne środowisko Integration Runtime (IR) można skonfigurować na maszynie wirtualnej IaaS w sieci wirtualnej klienta. Ruch sieciowy jest również zarządzany przez sieciową grupę zabezpieczeń klienta i ustawienia zapory.
Na podstawie aplikacji i strategii segmentacji przedsiębiorstwa ogranicz lub zezwalaj na ruch między zasobami wewnętrznymi na podstawie reguł sieciowej grupy zabezpieczeń. W przypadku określonych, dobrze zdefiniowanych aplikacji, takich jak aplikacja trójwarstwowa, może to być domyślnie wysoce bezpieczna odmowa.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Dołączanie środowiska Azure-SSIS Integration Runtime do sieci wirtualnej
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub usługą Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Dodatkowe wskazówki: prywatne punkty końcowe można skonfigurować w zarządzanej sieci wirtualnej usługi Azure Data Factory, aby łączyć się prywatnie z magazynami danych.
Usługa Data Factory nie zapewnia możliwości konfigurowania punktów końcowych usługi sieci wirtualnej.
Podczas tworzenia środowiska Azure-SSIS Integration Runtime (IR) możesz dołączyć go do sieci wirtualnej. Umożliwia usłudze Azure Data Factory tworzenie określonych zasobów sieciowych, takich jak sieciowa grupa zabezpieczeń i moduł równoważenia obciążenia. Możesz również podać własny statyczny publiczny adres IP lub utworzyć własny publiczny adres IP usługi Azure Data Factory. W sieciowej grupie zabezpieczeń, która jest tworzona automatycznie przez usługę Azure Data Factory, port 3389 jest domyślnie otwarty dla całego ruchu. Zablokuj port, aby upewnić się, że tylko administratorzy mają dostęp. Własne adresy IP można wdrożyć na maszynie lokalnej lub maszynie wirtualnej platformy Azure w sieci wirtualnej. Upewnij się, że wdrożenie podsieci sieci wirtualnej ma sieciową grupę zabezpieczeń skonfigurowaną tak, aby zezwalała tylko na dostęp administracyjny. Środowisko Azure-SSIS IR domyślnie nie zezwala na ruch wychodzący na porcie 3389 w regule Zapory systemu Windows w każdym węźle IR w celu ochrony. Zasoby skonfigurowane przez sieć wirtualną można zabezpieczyć, kojarząc sieciową grupę zabezpieczeń z podsiecią i ustawiając ścisłe reguły.
Dokumentacja: Usługa Azure Private Link dla usługi Azure Data Factory
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub usługi Azure Firewall) lub przy użyciu przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Wyłączenie dostępu do sieci publicznej ma zastosowanie tylko do własnego środowiska Integration Runtime (SHIR), a nie środowiska Azure IR lub środowiska SSIS IR. Dzięki funkcji SHIR włączenie fabryki danych łącza prywatnego nie blokuje jawnie dostępu publicznego, ale klient może ręcznie zablokować dostęp publiczny.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Usługa Azure Private Link dla usługi Azure Data Factory
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: Zarządzanie tożsamościami.
IM-1: Użyj scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Uwierzytelnianie usługi Azure AD wymagane na potrzeby dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania usługi Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: usługa Data Factory może natywnie uwierzytelniać się w usługach i zasobach platformy Azure, które obsługują uwierzytelnianie usługi Azure AD.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Tożsamość zarządzana dla usługi Azure Data Factory
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Uwierzytelnianie systemu Windows umożliwia uzyskiwanie dostępu do źródeł danych z pakietów usług SSIS uruchomionych w środowisku Azure-SSIS Integration Runtime (IR). Magazyny danych mogą być lokalne, hostowane na maszynach wirtualnych platformy Azure lub uruchomione na platformie Azure jako usługi zarządzane. Zalecamy jednak unikanie użycia uwierzytelniania lokalnego i korzystania z usługi Azure AD wszędzie tam, gdzie jest to możliwe. Unikaj używania lokalnych metod uwierzytelniania lub kont. Powinny one być wyłączone wszędzie tam, gdzie to możliwe. Zamiast tego użyj usługi Azure AD, aby uwierzytelnić się tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: domyślnie podczas tworzenia fabryki danych za pomocą witryny Azure Portal lub programu PowerShell tożsamość zarządzana zostanie utworzona automatycznie. Przy użyciu zestawu SDK lub interfejsu API REST tożsamość zarządzana zostanie utworzona tylko wtedy, gdy użytkownik jawnie określa słowo kluczowe "tożsamość".
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Tożsamość zarządzana dla usług Azure Data Factory i Azure Synapse
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: usługa Data Factory umożliwia korzystanie z tożsamości zarządzanych, zasad usługi w celu uwierzytelniania w magazynach danych i obliczeniach obsługujących uwierzytelnianie usługi AAD.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu zasad dostępu warunkowego usługi Azure AD. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Dostęp warunkowy: aplikacje w chmurze, akcje i kontekst uwierzytelniania
IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Poświadczenia usługi i wpisy tajne obsługują integrację i magazyn w usłudze Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne używanie usługi Azure Key Vault do przechowywania poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: poświadczenia dla magazynów danych i obliczeń można przechowywać w usłudze Azure Key Vault. Usługa Azure Data Factory pobiera poświadczenia podczas wykonywania działania, które korzysta z magazynu danych/zasobów obliczeniowych.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Przechowywanie poświadczeń w usłudze Azure Key Vault
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Konta administratora lokalnego
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-7: przestrzeganie zasady minimalnego wystarczającego zakresu administracji (zasada najniższych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: usługa Data Factory integruje się z kontrolą dostępu opartą na rolach platformy Azure w celu zarządzania zasobami. Dzięki kontroli dostępu opartej na rolach można zarządzać dostępem do zasobów platformy Azure za pomocą przypisań ról. Role można przypisywać do użytkowników, grup, jednostek usługi i tożsamości zarządzanych. Niektóre zasoby mają wstępnie zdefiniowane, wbudowane role. Możesz utworzyć spis lub wykonać zapytania dotyczące tych ról za pomocą narzędzi, takich jak interfejs wiersza polecenia platformy Azure, program Azure PowerShell lub witryna Azure Portal.
Ogranicz uprawnienia przypisywane do zasobów za pośrednictwem kontroli dostępu opartej na rolach platformy Azure do tego, czego wymagają role. Ta praktyka uzupełnia podejście typu just-in-time (JIT) usługi Azure AD PIM. Okresowo przeglądaj role i przypisania.
Użyj wbudowanych ról, aby przyznać uprawnienia. Tworzenie ról niestandardowych tylko wtedy, gdy jest to wymagane.
Możesz utworzyć rolę niestandardową w usłudze Azure AD z bardziej restrykcyjnym dostępem do usługi Data Factory.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Role i uprawnienia dla usługi Azure Data Factory
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Skrytka klienta dla platformy Microsoft Azure
Ochrona danych
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Łączenie fabryki danych z usługą Microsoft Purview
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Wyciek danych/zapobieganie utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie podczas przesyłania danych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Zagadnienia dotyczące zabezpieczeń dotyczące przenoszenia danych w usłudze Azure Data Factory
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane, każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Szyfrowanie usługi Azure Data Factory przy użyciu kluczy zarządzanych przez klienta
DP-5: Użyj opcji klucza zarządzanego przez klienta w przypadku szyfrowania danych magazynowanych, jeśli jest to wymagane
Funkcje
Szyfrowanie danych magazynowanych przy użyciu klucza zarządzanego przez klienta
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta jest obsługiwane w przypadku zawartości klienta przechowywanej przez usługę. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Szyfrowanie usługi Azure Data Factory przy użyciu kluczy zarządzanych przez klienta
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Przechowywanie poświadczeń w usłudze Azure Key Vault
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Przechowywanie poświadczeń w usłudze Azure Key Vault
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem usługi Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: Użyj usługi Azure Policy, aby przeprowadzić inspekcję i ograniczyć usługi, które użytkownicy mogą aprowizować w danym środowisku. Użyj usługi Azure Resource Graph, aby wykonywać zapytania dotyczące zasobów i odnajdywać je w ramach subskrypcji. Za pomocą usługi Azure Monitor można również tworzyć reguły wyzwalania alertów podczas wykrywania niezatwierdzonej usługi.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: wbudowane definicje usługi Azure Policy dla usługi Data Factory
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Usługa Microsoft Defender dla usług/oferta produktów
Opis: Usługa oferuje rozwiązanie usługi Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Uwagi dotyczące funkcji: Własne środowisko IR (SHIR) uruchomione na maszynach wirtualnych i kontenerach platformy Azure używa usługi Defender do ustanawiania bezpiecznej konfiguracji.
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić ulepszone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy usługi Log Analytics. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: dzienniki aktywności są dostępne automatycznie. Dzienniki aktywności umożliwiają znajdowanie błędów podczas rozwiązywania problemów lub monitorowanie sposobu modyfikowania zasobów przez użytkowników w organizacji.
Użyj Microsoft Defender dla Chmury i usługi Azure Policy, aby włączyć zbieranie dzienników zasobów i danych dzienników.
Wskazówki dotyczące konfiguracji: nie są wymagane żadne dodatkowe konfiguracje, ponieważ ta konfiguracja jest włączona w przypadku wdrożenia domyślnego.
Dokumentacja: Ustawienia diagnostyczne w usłudze Azure Monitor
Tworzenie kopii zapasowych i odzyskiwanie
Aby uzyskać więcej informacji, zobacz Test porównawczy zabezpieczeń w chmurze firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Funkcje
Możliwości tworzenia kopii zapasowej natywnej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie korzystasz z usługi Azure Backup). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: aby utworzyć kopię zapasową całego kodu w usłudze Azure Data Factory, użyj funkcji kontroli źródła w usłudze Data Factory.
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj tę funkcję zabezpieczeń i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Kontrola źródła w usłudze Azure Data Factory
Następne kroki
- Zobacz omówienie testu porównawczego zabezpieczeń w chmurze firmy Microsoft
- Dowiedz się więcej o punktach odniesienia zabezpieczeń platformy Azure