Standardní hodnoty zabezpečení Azure pro Azure Cognitive Search
Tento standardní plán zabezpečení používá na Azure Cognitive Search doprovodné materiály z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících doprovodných materiálů platných pro Azure Cognitive Search.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce, které se nevztahují na Azure Cognitive Search, byly vyloučeny. Pokud chcete zjistit, jak Azure Cognitive Search zcela namapovat na srovnávací test cloudového zabezpečení Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Cognitive Search.
Profil zabezpečení
Profil zabezpečení shrnuje chování Azure Cognitive Search s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
Atribut chování služby | Hodnota |
---|---|
Kategorie produktu | AI+ML, mobilní zařízení, web |
Zákazník má přístup k hostiteli nebo operačnímu systému | Zakázaný přístup |
Službu je možné nasadit do virtuální sítě zákazníka. | Ne |
Ukládá obsah zákazníka v klidovém stavu. | Ano |
Zabezpečení sítě
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
Podpora skupiny zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.
NS-2: Zabezpečení cloudových služeb pomocí ovládacích prvků sítě
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres služby pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Informace o odchozích připojeních prostřednictvím privátního koncového bodu najdete v tématu Vytvoření odchozích připojení prostřednictvím privátního koncového bodu.
Pokyny ke konfiguraci: Nasazení privátních koncových bodů pro vytvoření privátního přístupového bodu pro prostředky Zablokujte všechna připojení na veřejném koncovém bodu pro vaši vyhledávací službu. Zvyšte zabezpečení virtuální sítě tím, že vám umožní blokovat exfiltraci dat z virtuální sítě.
Referenční informace: Vytvoření privátního koncového bodu pro zabezpečené připojení k Azure Cognitive Search
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Cognitive Search podporuje pravidla IP adres pro příchozí přístup přes bránu firewall, podobně jako pravidla IP adres, která najdete ve skupině zabezpečení virtuální sítě Azure. Pomocí pravidel IP adres můžete omezit přístup vyhledávací služby ke schválené sadě počítačů a cloudových služeb. Přístup k datům uloženým ve vyhledávací službě ze schválených sad počítačů a služeb bude stále vyžadovat, aby volající předložil platný autorizační token.
Referenční informace: Konfigurace brány firewall protokolu IP pro Azure Cognitive Search
Správa identit
Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.
IM-1: Použití centralizované identity a ověřovacího systému
Funkce
Azure AD ověřování vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.
Metody místního ověřování pro přístup k rovině dat
Popis: Metody místního ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by se zakázat, kdykoli je to možné. Místo toho k ověření použijte Azure AD, kde je to možné.
Pokyny ke konfiguraci: Cognitive Search používá jako primární metodologii ověřování na základě klíčů. U příchozích požadavků na koncový bod vyhledávací služby, jako jsou požadavky, které vytvářejí nebo dotazují index, jsou klíče rozhraní API jedinou obecně dostupnou možností ověřování, kterou máte.
Referenční informace: Použití klíčů rozhraní API pro ověřování Azure Cognitive Search
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Autorizace přístupu k aplikaci Vyhledávací služby pomocí Azure Active Directory
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Microsoft v současné době neobsahuje žádné pokyny ke konfiguraci této funkce. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí Azure AD zásad podmíněného přístupu. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového chování při přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.
IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů
Funkce
Integrace a úložiště přihlašovacích údajů služby a tajných kódů v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných uživatelů nebo uživatelů s oprávněními pro správu
Funkce
Místní účty Správa
Popis: Služba má koncept místního účtu pro správu. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure poskytuje globální systém autorizace řízení přístupu na základě role (RBAC) pro všechny služby spuštěné na platformě. Ve službě Cognitive Search můžete pomocí rolí Azure:
- Operace řídicí roviny (úlohy správy služeb prostřednictvím Azure Resource Manager)
- Operace roviny dat, jako je vytváření, načítání a dotazování indexů.
Referenční informace: Použití řízení přístupu na základě role v Azure (Azure RBAC) v Azure Cognitive Search
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí všech žádostí Microsoftu o přístup k datům.
Ochrana dat
Další informace najdete v článku Microsoft Cloud Security Benchmark: Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Ke zjišťování a klasifikaci dat ve službě je možné použít nástroje (například Azure Purview nebo Azure Information Protection). Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb cílených na citlivá data
Funkce
Ochrana před únikem nebo ztrátou dat
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: šifrování Azure Cognitive Search přenášených dat
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje. Veškerý neaktivní uložený zákaznický obsah se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ano | Microsoft |
Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je povolená ve výchozím nasazení.
Referenční informace: Azure Cognitive Search výchozí šifrování dat pomocí klíčů spravovaných službou
DP-5: Použití klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.
Referenční informace: Konfigurace klíčů spravovaných zákazníkem pro šifrování dat v Azure Cognitive Search
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Key Vault použijte k vytvoření a řízení životního cyklu šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměna a odvolávání klíčů v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě klíčového vyřazení nebo ohrožení zabezpečení. Pokud potřebujete použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že postupujete podle osvědčených postupů pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve svém trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované ve službě Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud do služby potřebujete přenést vlastní klíč (BYOK) (například importovat klíče chráněné HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční vygenerování a přenos klíče.
Referenční informace: Konfigurace klíčů spravovaných zákazníkem pro šifrování dat v Azure Cognitive Search
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů v Azure Key Vault
Popis: Služba podporuje integraci Azure Key Vault pro všechny zákaznické certifikáty. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Správa aktiv
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Správa prostředků.
AM-2: Používejte pouze schválené služby
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor použijte k vytváření upozornění v případech, kdy se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [zamítnout] a [nasadit, pokud neexistuje].
Referenční informace: zásady Azure Cognitive Search
Protokolování a detekce hrozeb
Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Protokolování a detekce hrozeb.
LT-1: Povolení funkcí detekce hrozeb
Funkce
Microsoft Defender pro službu / nabídku produktů
Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
LT-4: Povolení protokolování pro účely šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Povolte protokoly prostředků pro službu, abyste mohli zobrazit protokoly operací Azure Cognitive Search, metriky vyhledávání atd.
Referenční informace: Azure Cognitive Search protokol prostředků
Backup a obnovení
Další informace najdete ve srovnávacím testu cloudového zabezpečení Microsoftu: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Schopnost zálohování nativní služby
Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.
Podporuje se | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
---|---|---|
Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Vzhledem k tomu, že Azure Cognitive Search není primárním řešením úložiště dat, microsoft neposkytuje formální mechanismus pro samoobslužné zálohování a obnovení. Index ale můžete zálohovat a obnovit pomocí vlastního kódu. Další informace najdete tady: Alternativy zálohování a obnovení.
Pokyny ke konfiguraci: Tato funkce není podporovaná k zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacího testu cloudového zabezpečení Microsoftu.
- Další informace o základních úrovních zabezpečení Azure