Базовые показатели безопасности Azure для фабрики данных
Эти базовые показатели безопасности применяют рекомендации от microsoft cloud security benchmark версии 1.0 к фабрике данных. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к Фабрике данных.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Политика Azure определения будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения Политика Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям к элементам управления и рекомендациям microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Примечание.
Функции , не применимые к фабрике данных, были исключены. Чтобы узнать, как фабрика данных полностью сопоставляется с эталонным показателем безопасности microsoft cloud security, см. полный файл сопоставления базовых показателей безопасности фабрики данных.
Профиль безопасности
Профиль безопасности суммирует поведение фабрики данных с высоким уровнем влияния, что может привести к увеличению безопасности.
| Атрибут поведения службы | Значение |
|---|---|
| Категория продукта | Аналитика, интеграция |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | Истина |
| Сохраняет содержимое клиента неактивных данных | Истина |
Безопасность сети
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1: установка границы сегментации сети
Функции
Интеграция с виртуальной сетью
Описание. Служба поддерживает развертывание в частных виртуальная сеть клиента (виртуальная сеть). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Среда выполнения интеграции Azure-SSIS поддерживает внедрение виртуальной сети в виртуальную сеть клиента. При создании среды выполнения Azure-SSIS ее можно объединить с виртуальной сетью. С помощью этого Фабрика данных Azure сможет создавать определенные сетевые ресурсы, такие как группа безопасности сети и подсистема балансировки нагрузки. Вы также можете указать собственный статический общедоступный IP-адрес или использовать Фабрику данных Azure для его создания. Локальную среду выполнения интеграции можно настроить на виртуальной машине IaaS в виртуальной сети клиента. Сетевой трафик также регулируется параметрами группы безопасности сети и брандмауэра клиента.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Присоединение среды выполнения интеграции Azure-SSIS к виртуальной сети
Поддержка группы безопасности сети
Описание. Сетевой трафик службы учитывает назначение правил групп безопасности сети в подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Среда выполнения интеграции Azure-SSIS поддерживает внедрение виртуальной сети в виртуальную сеть клиента. Это соответствует всем правилам группы безопасности сети и брандмауэра, заданных клиентом в своей виртуальной сети. При создании среды выполнения Azure-SSIS ее можно объединить с виртуальной сетью. С помощью этого Фабрика данных Azure сможет создавать определенные сетевые ресурсы, такие как группа безопасности сети и подсистема балансировки нагрузки. Вы также можете указать собственный статический общедоступный IP-адрес или использовать Фабрику данных Azure для его создания. В группе безопасности сети, автоматически созданной Фабрикой данных Azure, порт 3389 по умолчанию открыт для всего трафика. Заблокируйте порт, чтобы убедиться, что доступ есть только у администраторов.
Локальную среду выполнения интеграции можно настроить на виртуальной машине IaaS в виртуальной сети клиента. Сетевой трафик также регулируется параметрами группы безопасности сети и брандмауэра клиента.
В зависимости от ваших приложений и стратегии сегментации предприятия ограничьте или разрешите трафик между внутренними ресурсами согласно правилам NSG. К некоторым четко определенным приложениям (например, трехуровневому приложению) может применяться подход, обеспечивающий высокий уровень безопасности по принципу «отказывать по умолчанию».
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Присоединение среды выполнения интеграции Azure-SSIS к виртуальной сети
NS-2: защита облачных служб с помощью элементов управления сетью
Функции
Приватный канал Azure
Описание: возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или Брандмауэр Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Дополнительные рекомендации. Вы можете настроить частные конечные точки в управляемом Фабрика данных Azure виртуальная сеть для подключения к хранилищам данных в частном порядке.
Фабрика данных не предоставляет возможности настройки конечных точек службы для виртуальной сети.
При создании среды выполнения Azure-SSIS ее можно объединить с виртуальной сетью. Благодаря этому Фабрика данных Azure может создавать определенные сетевые ресурсы, такие как группа безопасности сети и подсистема балансировки нагрузки. Вы также можете указать собственный статический общедоступный IP-адрес или использовать Фабрику данных Azure для его создания. В группе безопасности сети, автоматически созданной Фабрикой данных Azure, порт 3389 по умолчанию открыт для всего трафика. Заблокируйте порт, чтобы убедиться, что доступ есть только у администраторов. Вы можете развернуть локальные среды IR на локальном компьютере или виртуальной машине Azure в виртуальной сети. Убедитесь, что для развертывания подсети виртуальной сети настроена группа безопасности сети, разрешающая только административный доступ. В целях защиты среда Azure-SSIS IR по умолчанию запрещает для порта 3389 исходящий трафик в правиле брандмауэра Windows на всех узлах среды выполнения интеграции. Вы можете защитить ресурсы, настроенные для виртуальной сети, путем связывания NSG с подсетью и задания строгих правил.
Справочник: Приватный канал Azure для Фабрика данных Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или Брандмауэр Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Отключение доступа к общедоступной сети применимо только к локальной среде выполнения интеграции (SHIR), а не к Azure IR или SSIS IR. При использовании SHIR включение фабрики данных приватного канала явно не блокирует общедоступный доступ, но клиент может заблокировать общедоступный доступ вручную.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник: Приватный канал Azure для Фабрика данных Azure
Управление удостоверениями
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1: Использование централизованной системы удостоверений и проверки подлинности
Функции
аутентификация Azure AD требуется для доступа к плоскости данных
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Фабрика данных может выполнять встроенную проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Azure AD.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Управляемое удостоверение для Фабрика данных Azure
Методы локальной проверки подлинности для доступа к плоскости данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Вы можете использовать проверка подлинности Windows для доступа к источникам данных из пакетов служб SSIS, работающих в среде выполнения интеграции Azure-SSIS (IR). Хранилища данных могут быть локальными, размещаться на виртуальных машинах Azure или выполняться в Azure в качестве управляемых служб. Однако рекомендуется избегать использования локальной проверки подлинности и использования Azure AD везде, где это возможно. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Доступ к хранилищам данных и общим папкам с проверка подлинности Windows из пакетов служб SSIS в Azure
IM-3: Безопасное и автоматическое управление удостоверениями приложений
Функции
управляемые удостоверения.
Описание. Действия уровня данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. По умолчанию при создании фабрики данных с помощью портал Azure или PowerShell управляемое удостоверение будет автоматически создано. Используя пакет SDK или REST API, управляемое удостоверение будет создано только в том случае, если пользователь явно задает ключевое слово identity.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Управляемое удостоверение для Фабрика данных Azure и Azure Synapse
Субъекты-службы
Описание. Плоскость данных поддерживает проверку подлинности с помощью субъектов-служб. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Фабрика данных позволяет использовать управляемые удостоверения, принципы службы для проверки подлинности в хранилищах данных и вычислениях, поддерживающих проверку подлинности AAD.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
IM-7: Ограничение доступа к ресурсам на основе условий
Функции
Условный доступ для плоскости данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Условный доступ: облачные приложения, действия и контекст проверки подлинности
IM-8: ограничение раскрытия учетных данных и секретов
Функции
Интеграция и хранение учетных данных службы и секретов в Azure Key Vault
Описание. Плоскость данных поддерживает собственное использование Azure Key Vault для хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Вы можете хранить учетные данные для хранилищ данных и вычислений в Azure Key Vault. Фабрика данных Azure извлекает учетные данные при выполнении действия, которое использует хранилище данных или вычислительный ресурс.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Хранение учетных данных в Azure Key Vault
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-1. Изолируйте и ограничивайте число пользователей с высокими привилегиями и правами администратора
Функции
Учетные записи локального администратора
Описание. Служба имеет концепцию локальной административной учетной записи. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав)
Функции
Azure RBAC для плоскости данных
Описание. Контроль доступа на основе ролей Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. Фабрика данных интегрируется с Azure RBAC для управления ресурсами. С помощью RBAC можно управлять доступом к ресурсам Azure посредством назначения ролей. Роли можно назначать пользователям, группам, субъектам-службам и управляемым удостоверениям. Для некоторых ресурсов предварительно определены встроенные роли. Можно выполнять инвентаризацию или запрашивать эти роли с помощью таких средств, как Azure CLI, Azure PowerShell или портал Azure.
Привилегии, назначаемые ресурсам через Azure RBAC, должны ограничиваться необходимыми ролям возможностями. Этот метод дополняет JIT-подход, реализованный в Azure AD PIM. Регулярно проверяйте роли и назначения.
Используйте встроенные роли для предоставления разрешений. Создавайте настраиваемые роли только при необходимости.
Вы можете создать настраиваемую роль в Azure AD с более ограниченным доступом к Фабрике данных.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Роли и разрешения для Фабрика данных Azure
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Защищенное хранилище
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Блокировка клиента для Microsoft Azure
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1. Обнаружение, классификация конфиденциальных данных и добавление к ним тегов
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Подключение фабрики данных к Microsoft Purview
DP-2: отслеживание аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание. Служба поддерживает решение защиты от потери данных для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3: шифрование передаваемых конфиденциальных данных
Функции
Данные в транзитном шифровании
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Вопросы безопасности для перемещения данных в Фабрика данных Azure
DP-4: включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Шифрование Фабрика данных Azure с помощью ключей, управляемых клиентом
DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Шифрование Фабрика данных Azure с помощью ключей, управляемых клиентом
DP-6: безопасное управление ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Хранение учетных данных в Azure Key Vault
DP-7: безопасное управление сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Хранение учетных данных в Azure Key Vault
Управление активами
Дополнительные сведения см. в руководстве по управлению ресурсами в Microsoft Cloud Security.
AM-2: использование только утвержденных служб
Функции
Поддержка службы "Политика Azure"
Описание. Конфигурации служб можно отслеживать и применять с помощью Политика Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях: используйте Политика Azure для аудита и ограничения того, какие службы пользователи могут подготавливать в вашей среде. Используйте Azure Resource Graph для запрашивания и обнаружения ресурсов в своих подписках. Можно также использовать Azure Monitor, чтобы создать правила для активации оповещений при обнаружении неутвержденной службы.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Встроенные определения Политика Azure для фабрики данных
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для службы или предложения продуктов
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| False | Н/Д | Н/Д |
Заметки о функциях: локальная среда IR (SHIR), запущенная на виртуальных машинах Azure и контейнерах, использует Defender для установления безопасной конфигурации.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
LT-4. Включение ведения журнала для исследования безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | Истина | Microsoft |
Заметки о функциях. Журналы действий доступны автоматически. Журналы действий можно использовать для поиска ошибок при устранении неполадок, а также для наблюдения за тем, как пользователи в вашей организации изменяют ресурсы.
Используйте Microsoft Defender для облака и Политику Azure, чтобы включить журналы ресурсов и сбор данных журналов.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Параметры диагностики в Azure Monitor
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Возможность резервного копирования в собственном коде службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Истина | False | Клиент |
Заметки о функциях. Чтобы создать резервную копию всего кода на Фабрика данных Azure, используйте функции управления версиями в Фабрике данных.
Руководство по настройке. Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности.
Справочник. Управление версиями в Фабрика данных Azure
Следующие шаги
- Ознакомьтесь с обзором microsoft cloud security benchmark
- Дополнительные сведения о базовой конфигурации безопасности Azure.