Dela via


Azure-säkerhetsbaslinje för Azure NetApp Files

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Azure NetApp Files. Microsofts prestandamått för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Azure NetApp Files.

Du kan övervaka säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy-definitioner visas i avsnittet Regelefterlevnad på sidan Microsoft Defender för molnet portal.

När en funktion har relevanta Azure Policy-definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Kommentar

Funktioner som inte gäller för Azure NetApp Files har exkluderats. Om du vill se hur Azure NetApp Files helt mappar till Microsoft Cloud Security Benchmark kan du läsa den fullständiga mappningsfilen för Azure NetApp Files-säkerhetsbaslinje.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar påverkansbeteenden för Azure NetApp Files, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Storage
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Sant
Lagrar kundinnehåll i vila Sant

Nätverkssäkerhet

Mer information finns i Microsofts molnsäkerhetsmått: Nätverkssäkerhet.

NS-1: Upprätta gränser för nätverkssegmentering

Funktioner

Integrering med virtuellt nätverk

Beskrivning: Tjänsten stöder distribution till kundens privata virtuella nätverk (VNet). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falsk Kund

Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt) såvida det inte finns en stark anledning att tilldela offentliga IP-adresser direkt till resursen.

Referens: Skapa en NFS-volym för Azure NetApp Files

Stöd för nätverkssäkerhetsgrupp

Beskrivning: Tjänstnätverkstrafiken respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falsk Kund

Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik efter port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.

Referens: Riktlinjer för nätverksplanering för Azure NetApp Files

Identitetshantering

Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Funktioner

Azure AD-autentisering krävs för dataplansåtkomst

Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för dataplansåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Funktionsanteckningar: Azure NetApp Files exponerar standardprotokoll för NFS och SMB som använder standardklienter som tillhandahålls av operativsystemet.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt

Funktioner

Hanterade identiteter

Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Funktionsanteckningar: Den här funktionen är för närvarande i privat förhandsversion. Den hanterade identiteten används för åtkomst till den kundhanterade nyckeln i Azure Key Vault för data i vilokrypteringsscenarier.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Tjänstens huvudnamn

Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor

Funktioner

Villkorsstyrd åtkomst för dataplan

Beskrivning: Åtkomst till dataplanet kan styras med hjälp av principer för villkorsstyrd åtkomst i Azure AD. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Funktioner

Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault

Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Funktionsanteckningar: Den här funktionen är för närvarande i privat förhandsversion.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Privilegierad åtkomst

Mer information finns i Microsofts prestandamått för molnsäkerhet: Privilegierad åtkomst.

PA-7: Följ principen om minsta behörighet (Just Enough Administration)

Funktioner

Azure RBAC för dataplan

Beskrivning: Rollbaserad åtkomstkontroll i Azure (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Funktionsanteckningar: Azure NetApp Files exponerar standardprotokoll för NFS och SMB och dessa standarder tillåter inte RBAC. Vart och ett av dessa protokoll exponerar sina egna mekanismer för åtkomstkontroll.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

PA-8: Fastställa åtkomstprocessen för molnleverantörssupport

Funktioner

Customer Lockbox

Beskrivning: Customer Lockbox kan användas för Microsofts supportåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Funktioner

Identifiering och klassificering av känsliga data

Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för dataidentifiering och klassificering i tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-2: Övervaka avvikelser och hot mot känsliga data

Funktioner

Dataläckage/förlustskydd

Beskrivning: Tjänsten har stöd för DLP-lösning för att övervaka förflyttning av känsliga data (i kundens innehåll). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-3: Kryptera känsliga data under överföring

Funktioner

Data i överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplan. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falsk Kund

Funktionsanteckningar: SMBv3 kan krypteras men NSFv3 stöder inte kryptering.

Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns inbyggda data i den inbyggda funktionen för överföringskryptering. Framtvinga HTTPS på alla webbprogram och tjänster och se till att TLS v1.2 eller senare används. Äldre versioner som SSL 3.0, TLS v1.0 bör inaktiveras. För fjärrhantering av virtuella datorer använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.

Referens: Metodtips för SMB-prestanda för Azure NetApp Files

DP-4: Aktivera vilande datakryptering som standard

Funktioner

Vilande datakryptering med hjälp av plattformsnycklar

Beskrivning: Vilande datakryptering med plattformsnycklar stöds, allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Funktionsanteckningar: Azure NetApp Files utnyttjar Microsofts standardkryptering av vilande data.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat vid en standarddistribution.

DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov

Funktioner

Vilande datakryptering med hjälp av CMK

Beskrivning: Vilande datakryptering med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Funktionsanteckningar: Den här funktionen är för närvarande allmänt tillgänglig (GA).

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-6: Använd en process för säker nyckelhantering

Funktioner

Nyckelhantering i Azure Key Vault

Beskrivning: Tjänsten stöder Azure Key Vault-integrering för kundnycklar, hemligheter eller certifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-7: Använd en säker certifikathanteringsprocess

Funktioner

Certifikathantering i Azure Key Vault

Beskrivning: Tjänsten stöder Azure Key Vault-integrering för alla kundcertifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Tillgångshantering

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och tillämpas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falsk Kund

Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när en konfigurationsavvikelse har identifierats på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.

Referens: Azure Policy-definitioner för Azure NetApp Files

Loggning och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender-lösning för att övervaka och varna om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sina egna datamottagare som ett lagringskonto eller en log analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Funktionsanteckningar: Den här funktionen är inte tillgänglig för närvarande.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Säkerhetskopiering och återställning

Mer information finns i Microsofts prestandamått för molnsäkerhet: Säkerhetskopiering och återställning.

BR-1: Se till att regelbundna automatiserade säkerhetskopieringar

Funktioner

Azure Backup

Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falsk Inte tillämpligt Inte tillämpligt

Funktionsanteckningar: Även om Azure Backup inte stöds är en tjänstbaserad säkerhetskopieringslösning tillgänglig.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Funktion för inbyggd säkerhetskopiering av tjänsten

Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falsk Kund

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Förstå säkerhetskopiering av Azure NetApp Files

Nästa steg