Azure-säkerhetsbaslinje för Azure AI Search
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure AI Search. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts prestandamått för molnsäkerhet och den relaterade vägledning som gäller för Azure Cognitive Search.
Du kan övervaka säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på sidan Microsoft Defender för molnet portal.
När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.
Kommentar
Funktioner som inte gäller för Azure AI Search har exkluderats. Om du vill se hur Azure AI Search helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för Säkerhetsbaslinje för Azure AI Search.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure AI Search, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | AI+ML, Mobile, Web |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Falsk |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Information om utgående anslutningar via en privat slutpunkt finns i: Upprätta utgående anslutningar via en privat slutpunkt
Konfigurationsvägledning: Distribuera privata slutpunkter för att upprätta en privat åtkomstpunkt för resurserna. Blockera alla anslutningar på den offentliga slutpunkten för söktjänsten. Öka säkerheten för det virtuella nätverket genom att göra det möjligt att blockera exfiltrering av data från det virtuella nätverket.
Referens: Skapa en privat slutpunkt för en säker anslutning till Azure AI Search
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen via ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med hjälp av växeln "Inaktivera åtkomst till offentligt nätverk". Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Azure AI Search stöder IP-regler för inkommande åtkomst via en brandvägg, liknande IP-reglerna som du hittar i en säkerhetsgrupp för virtuella Azure-nätverk. Genom att använda IP-regler kan du begränsa söktjänstens åtkomst till en godkänd uppsättning datorer och molntjänster. Åtkomst till data som lagras i söktjänsten från de godkända uppsättningarna av datorer och tjänster kräver fortfarande att anroparen presenterar en giltig auktoriseringstoken.
Referens: Konfigurera en IP-brandvägg för Azure AI Search
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD-autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras där det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Referens: Använda roller för Azure AI Search-autentisering
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Använd Azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Referens: Auktorisera åtkomst till en sökapp med Hjälp av Azure Active Directory
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Åtkomst till dataplanet kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllda inloggningsbeteenden eller kräva organisationshanterade enheter för specifika program.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Privilegierad åtkomst
Mer information finns i Microsofts prestandamått för molnsäkerhet: Privilegierad åtkomst.
PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare
Funktioner
Lokala administratörskonton
Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-7: Följ principen om minsta behörighet (Just Enough Administration)
Funktioner
Azure RBAC för dataplan
Beskrivning: Rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Azure tillhandahåller ett globalt RBAC-auktoriseringssystem (rollbaserad åtkomstkontroll) för alla tjänster som körs på plattformen. I Ai Search kan du använda Azure-roller för:
- Kontrollplansåtgärder (tjänstadministrationsuppgifter via Azure Resource Manager).
- Dataplansåtgärder, till exempel att skapa, läsa in och köra frågor mot index.
Referens: Använda rollbaserade åtkomstkontroller i Azure (Azure RBAC) i Azure AI Search
PA-8: Fastställa åtkomstprocessen för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data i överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplan. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Azure AI Search-data vid överföringskryptering
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Vilande datakryptering med hjälp av plattformsnycklar
Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.
Referens: Standarddatakryptering i Azure AI Search med tjänsthanterade nycklar
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Vilande datakryptering med hjälp av CMK
Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfattningen där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Referens: Konfigurera kundhanterade nycklar för datakryptering i Azure AI Search
DP-6: Använd en process för säker nyckelhantering
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och styra livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när det finns en viktig tillbakadragning eller kompromiss. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Se till att nycklar registreras med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Konfigurera kundhanterade nycklar för datakryptering i Azure AI Search
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Referens: Azure Ai Search-principer
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sina egna datamottagare som ett lagringskonto eller en log analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falsk | Kund |
Konfigurationsvägledning: Aktivera resursloggar för tjänsten för att visa Azure I Search-åtgärdsloggar, sökmått och så vidare.
Referens: Resurslogg för Azure AI Search
Säkerhetskopiering och återställning
Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Funktion för inbyggd säkerhetskopiering av tjänsten
Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falsk | Inte tillämpligt | Inte tillämpligt |
Funktionsanteckningar: Eftersom Azure AI Search inte är en primär datalagringslösning tillhandahåller Microsoft inte någon formell mekanism för självbetjäning av säkerhetskopiering och återställning. Du kan dock säkerhetskopiera och återställa indexet med hjälp av din egen kod. Se: Säkerhetskopiera och återställa alternativ
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
Nästa steg
- Se översikten över Microsoft Cloud Security Benchmark
- Läs mer om säkerhetsbaslinjer för Azure