你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

数据安全态势管理的支持和先决条件

在 Microsoft Defender for Cloud 中设置数据安全态势管理之前,请查看此页面上的要求。

启用敏感数据发现

Defender CSPM、Defender for Storage 和 Defender for Databases 计划中提供了敏感数据发现功能。

  • 启用其中一个计划时,敏感数据发现扩展插件将作为该计划的一部分启用。
  • 如果你的现有计划已正在运行,虽然提供了扩展,但默认处于禁用状态。
  • 如果一个或多个扩展未打开,则现有计划状态会显示为“部分”,而非“全部”。
  • 该功能在订阅级别启用。
  • 如果启用了敏感数据发现功能,但未启用 Defender CSPM,则只会扫描存储资源。
  • 如果订阅启用了 Defender CSPM,并且你使用 Purview 并行扫描了相同资源,则会忽略 Purview 的扫描结果,并默认显示 Microsoft Defender for Cloud 针对支持的资源类型的扫描结果。

支持的操作

下表汇总了敏感数据发现的可用性和支持的方案。

支持 详细信息
可以发现哪些 Azure 数据资源? 对象存储:

Azure 存储 v1/v2 中的块 blob 存储帐户

Azure 存储 v1/v2 中的 Azure 文件存储。仅支持使用 SMB 协议

Azure Data Lake Storage Gen2

支持专用网络后的存储帐户。

支持使用客户管理的服务器端密钥加密的存储帐户。

如果存储帐户终结点具有映射到它的自定义域,则不支持帐户。

先决条件和限制:
- 为了扫描文件共享,Defender for Cloud 会将“存储文件数据特权读取者”角色分配给 StorageDataScanner


数据库

Azure SQL 数据库

使用透明数据加密加密的 Azure SQL 数据库
可以发现哪些 AWS 数据资源? 对象存储:

AWS S3 存储桶

Defender for Cloud 可以发现 KMS 加密的数据,但不能发现使用客户管理的密钥加密的数据。

数据库

- Amazon Aurora
- Amazon RDS for PostgreSQL
- Amazon RDS for MySQL
- Amazon RDS for MariaDB
- Amazon RDS for SQL Server(非自定义)
- Amazon RDS for Oracle Database(非自定义,仅限 SE2 版本)

先决条件和限制:
- 需要启用自动备份。
- 为扫描目的创建的 IAM 角色(默认情况下为 DefenderForCloud-DataSecurityPostureDB)需要具有用于加密 RDS 实例的 KMS 密钥的权限。
- 不能共享使用具有永久或持久性选项的选项组的 DB 快照,但具有“时区”或“OLS”选项(或两者)的 Oracle DB 实例除外。 了解详细信息
可以发现哪些 GCP 数据资源? GCP 存储桶
标准类
地理位置:区域、双区域、多区域
发现需要哪些权限? 存储帐户:订阅所有者

Microsoft.Authorization/roleAssignments/*(读取、写入、删除)Microsoft.Security/pricings/*(读取、写入、删除)Microsoft.Security/pricings/SecurityOperators(读取、写入)

Amazon S3 存储桶和 RDS 实例:可运行 Cloud Formation(以创建角色)的 AWS 帐户权限。

GCP 存储桶:Google 帐户运行脚本(创建角色)的权限。
敏感数据发现支持哪些文件类型? 支持的文件类型(无法选择子集):.doc、docm、docx、dot、.gz、odp、 .ods、odt、pdf、pot、pps、ppsx、ppt、pptm、pptx、xlc、xls、xlsb、xlsm、xlsx、xlt、csv、json、psv、ssv、tsv、txt.、xml、parquet、avro 和 orc。
支持哪些 Azure 区域? 可以在以下位置发现 Azure 存储帐户:

东亚;东南亚;澳大利亚中部;澳大利亚中部 2;澳大利亚东部;澳大利亚东南部;巴西南部;巴西东南部;加拿大中部;加拿大东部;欧洲北部;欧洲西部;法国中部;法国南部;德国北部;德国中西部;印度中部;印度南部;日本东部;日本西部;Jio 印度西部:韩国中部:韩国南部;挪威东部;挪威西部;南非北部;南非西部:瑞典中部;瑞士北部;瑞士西部;阿联酋北部;英国南部;英国西部;美国中部;美国东部;美国东部 2;美国中北部;美国中南部;美国西部;美国西部 2;美国西部 3;美国中西部;

可在任何支持 Defender CSPM 和 Azure SQL 数据库的区域中发现 Azure SQL 数据库。
哪些 AWS 区域受支持? S3:

亚太(孟买);亚太(新加坡);亚太(悉尼);亚太(东京);加拿大(蒙特利尔);欧洲(法兰克福);欧洲(爱尔兰);欧洲(伦敦);欧洲(巴黎);欧洲(斯德哥尔摩);南美洲(圣保罗);美国东部(俄亥俄州);美国东部(非弗吉尼亚州);美国西部(北加利福尼亚州);美国西部(俄勒冈州)。


RDS:

非洲(开普敦);亚太(香港特别行政区);亚太(海得拉巴);亚太(墨尔本);亚太(孟买);亚太(大阪);亚太(首尔);亚太(新加坡);亚太(悉尼);亚太(东京);加拿大(中部);欧洲(法兰克福);欧洲(爱尔兰);欧洲(伦敦);欧洲(巴黎);欧洲(斯德哥尔摩);欧洲(苏黎世);中东(阿联酋);南美洲(圣保罗);美国东部(俄亥俄州);美国东部(弗吉尼亚州北部);美国西部(加利福尼亚州北部);美国西部(俄勒冈州)。

在区域中本地执行发现操作。
哪些 GCP 区域受支持? europe-west1, us-east1, us-west1, us-central1, us-east4, asia-south1, northamerica-northeast1
是否需要安装代理? 否,无需安装代理即可使用发现功能。
费用是多少? 此功能包含在 Defender CSPM 和 Defender for Storage 计划中,因此除相应计划成本外不会产生额外费用。
查看/编辑数据敏感度设置需要哪些权限? 你需要以下 Microsoft Entra 角色之一:
  • 合规性数据管理员、合规性管理员或更高
  • 安全操作员、安全管理员或更高
  • 需要哪些权限才能执行加入? 需要以下 Azure 基于角色的访问控制 (Azure RBAC) 角色之一:订阅级别(GCP 项目所在位置)的安全管理员、参与者、所有者。 要使用安全结果:安全读取者、安全管理员、读取者、参与者、订阅级别(GCP 项目驻留位置)的所有者。

    配置数据敏感度设置

    配置数据敏感度设置的主要步骤包括:

    详细了解 Microsoft Purview 中的敏感度标签。

    发现

    Defender for Cloud 在启用计划后,或者在已在运行的计划中启用该功能后,立即开始发现数据。

    对于对象存储:

    • 首次发现最多需要 24 小时才能看到结果。
    • 在发现的资源中更新文件后,数据在八天内刷新。
    • 添加到已发现订阅的新 Azure 存储帐户在 24 小时或更短时间内即可进行发现。
    • 添加到已发现 AWS 帐户或 Google 帐户的新 AWS S3 桶或 GCP 存储桶在 48 小时或更短时间内即可进行发现。
    • 存储的敏感数据发现是在你所在区域的本地进行的。 这可以确保你的数据不会离开你的区域。 只有资源元数据(如文件、blob、存储桶名称、检测到的敏感度标签和已识别的敏感信息类型 (SIT) 的名称)才会传输到 Defender for Cloud。

    对于数据库:

    • 数据库每周扫描一次。
    • 对于新启用的订阅,结果会在 24 小时内显示。

    云安全资源管理器

    我们会显示所有存储类型,包括 Azure 存储帐户、AWS 存储桶和 GCP 存储桶,无论其关联见解如何。 对于包含 Blob 容器和文件共享的 Azure 存储帐户,以下规则适用:

    • 如果 Blob 容器满足以下任一条件,则会显示 Blob 容器

      • 它们有“包含敏感数据”见解。

      • 他们有“公共访问”见解

      • 它们与另一个 Blob 之间有复制规则。

    • 仅当文件共享具有“包含敏感数据”见解时,才会显示文件共享

    发现和扫描 Azure 存储帐户

    为了扫描 Azure 存储帐户,Microsoft Defender for Cloud 会创建一个新的 storageDataScanner 资源,并为其分配存储 Blob 数据读取者角色。 此角色授予以下权限:

    • 列出
    • 读取

    对于专用网络后面的存储帐户,我们在存储帐户的网络规则配置内允许的资源实例列表中包括了 StorageDataScanner

    发现和扫描 AWS S3 存储桶

    为了保护 Defender for Cloud 中的 AWS 资源,你设置了 AWS 连接器,使用 CloudFormation 模板加入 AWS 帐户。

    • 要发现 AWS 数据资源,Defender for Cloud 会更新 CloudFormation 模板。
    • CloudFormation 模板在 AWS IAM 中创建一个新角色,以允许 Defender for Cloud 扫描程序访问 S3 存储桶中的数据。
    • 若要连接 AWS 帐户,需要对该帐户具有管理员权限。
    • 角色允许以下权限;S3 只读;KMS 解密。

    发现和扫描 AWS RDS 实例

    若要保护 Defender for Cloud 中的 AWS 资源,请设置 AWS 连接器,使用 CloudFormation 模板加入 AWS 帐户。

    • 为了发现 AWS RDS 实例,Defender for Cloud 更新了 CloudFormation 模板。
    • CloudFormation 模板会在 AWS IAM 中创建一个新角色,它向 Defender for Cloud 扫描程序授予权限来获取实例的最后一个可用自动快照,并将其联机置于同一 AWS 区域中的独立扫描环境中。
    • 若要连接 AWS 帐户,需要对该帐户具有管理员权限。
    • 需要在相关的 RDS 实例/群集上启用自动快照。
    • 该角色授予了以下权限(请查看 CloudFormation 模板了解确切定义):
      • 列出所有 RDS 数据库/群集
      • 复制所有数据库/群集快照
      • 删除/更新带有 defenderfordatabases 前缀的数据库/群集快照
      • 列出所有 KMS 密钥
      • 仅对源帐户上的 RDS 使用所有 KMS 密钥
      • 创建并完全控制具有标记前缀 DefenderForDatabases 的所有 KMS 密钥
      • 为 KMS 密钥创建别名
    • KMS 密钥针对包含 RDS 实例的每个区域创建一次。 根据 AWS KMS 定价,创建 KMS 密钥可能会产生最少的额外成本。

    发现和扫描 GCP 存储存储桶

    为了保护 Defender for Cloud 中的 GCP 资源,可以使用脚本模板设置 Google 连接器以加入 GCP 帐户。

    • 为了发现 GCP 存储桶,Defender for Cloud 会更新脚本模板。
    • 脚本模板在 Google 帐户中新建角色,从而允许 Defender for Cloud 扫描程序访问 GCP 存储桶中的数据。
    • 要连接 Google 帐户,需要对该帐户具有管理员权限。

    向互联网公开/允许公共访问

    Defender CSPM 攻击路径和云安全图见解包括公开在互联网上并允许公共访问的存储资源信息。 下表提供更多详细信息。

    State Azure 存储帐户 AWS S3 存储桶 GCP 存储桶
    向 Internet 公开 如果启用了以下任一设置,则 Azure 存储帐户被视为已向 Internet 公开:

    Storage_account_name >网络>公用网络访问>从所有网络启用



    Storage_account_name >网络>公用网络访问>从选定的虚拟网络和 IP 地址启用
    如果 AWS 帐户/AWS S3 存储桶策略没有为 IP 地址设置条件,则 AWS S3 存储桶被视为向 Internet 公开。 默认情况下,所有 GCP 存储桶都公开给 Internet。
    允许公共访问 如果在存储帐户上启用了以下设置,则 Azure 存储帐户容器将视为允许公共访问:

    Storage_account_name >配置>允许 Blob 匿名访问>已启用

    以及以下任一设置:

    Storage_account_name >容器> container_name >公共访问级别 设置为 Blob (仅限 Blob 的匿名读取访问)

    Or, storage_account_name >容器> container_name >公共访问级别 设置为 容器 (容器和 Blob 的匿名读取访问)
    如果 AWS 帐户和 AWS S3 存储桶都将“阻止所有公共访问”设置为“关闭”,并且设置了以下任一设置,则 AWS S3 存储桶将视为允许公共访问:

    在策略中,RestrictPublicBuckets 未启用,Principal 设置设置为 *,Effect 设置为 Allow

    或者,在访问控制列表中,IgnorePublicAcl 未启用,并且允许“所有人”或“已通过身份验证的用户”使用权限。
    如果 GCP 存储桶具有符合以下条件的 IAM(标识和访问管理)角色,则被视为允许公共访问:

    向主体allUsersallAuthenticatedUsers授予该角色。

    该角色至少有一个存储权限不是storage.buckets.createstorage.buckets.list。 GCP 中的公共访问称为对 Internet 公开

    数据库资源不允许公共访问,但仍可公开到 Internet。

    Internet 公开情况见解适用于以下资源:

    Azure:

    • Azure SQL Server
    • Azure Cosmos DB
    • Azure SQL 托管实例
    • Azure MySQL 单一服务器
    • Azure MySQL 灵活服务器
    • Azure PostgreSQL 单一服务器
    • Azure PostgreSQL 灵活服务器
    • Azure MariaDB 单一服务器
    • Synapse 工作区

    AWS:

    • RDS 实例

    注意

    • 包含 0.0.0.0/0 的公开规则被视为“过度公开”,这意味着可以从任何公共 IP 访问它们。
    • 可从 Azure 中的任何资源访问具有公开规则“0.0.0.0”的 Azure 资源,而不管租户或订阅如何。

    启用数据安全态势管理。