Standardní hodnoty zabezpečení Azure pro Azure Spatial Anchors
Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 3.0 na Azure Spatial Anchors. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Spatial Anchors.
Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.
Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka
Funkce , které se nevztahují na Azure Spatial Anchors, byly vyloučeny. Pokud chcete zjistit, jak Azure Spatial Anchors kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Spatial Anchors.
Profil zabezpečení
Profil zabezpečení shrnuje chování Azure Spatial Anchors s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Hybridní realita |
| Zákazník má přístup k hostiteli nebo operačnímu systému. | Zakázaný přístup |
| Službu je možné nasadit do virtuální sítě zákazníka. | Ne |
| Ukládá neaktivní uložený obsah zákazníka. | Ano |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátního Virtual Network zákazníka (VNet). Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Podpora skupiny zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidel skupin zabezpečení sítě v jejích podsítích. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Azure Private Link
Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo Azure Firewall). Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa identit
Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Azure AD ověření vyžadované pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny k konfiguraci: Jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční informace: Ověřování a autorizace pro Azure Spatial Anchors
Místní metody ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Shared |
Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.
Pokyny ke konfiguraci: Pro výchozí nasazení se nevyžadují žádné další konfigurace.
Další doprovodné materiály: Nejsou vyžadovány žádné další konfigurace, protože je spravovaná platformou Azure.
Referenční informace: Klíče účtu prostorových ukotvení
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Poznámky k funkcím: Můžete se rozhodnout ověřit Azure AD pomocí standardních instančních objektů pro přístup k prostředkům. Azure Spatial Anchors nemá zvláštní využití/integraci instančních objektů.
Pokyny ke konfiguraci: Pro služby, které nepodporují spravované identity, použijte Azure Active Directory (Azure AD) k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku. Nakonfigurujte instanční objekty pomocí přihlašovacích údajů certifikátu a vraťte se k tajným klíčům klienta pro ověřování.
Referenční informace: Objekty aplikace a instančního objektu v Azure Active Directory
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Funkce
Integrace přihlašovacích údajů a tajných kódů služeb a úložiště v Azure Key Vault
Popis: Rovina dat podporuje nativní použití Azure Key Vault pro přihlašovací údaje a úložiště tajných kódů. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení Azure: Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Funkce
Místní účty Správa
Popis: Služba má koncept účtu místního správce. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-7: Postupujte podle zásady správy (nejnižších oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Azure Role-Based Access Control (Azure RBAC) se dá použít ke spravovanému přístupu k akcím roviny dat služby. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny ke konfiguraci: Azure Spatial Anchors má tři před existující role pro různé přístupy na úrovni prostředků: Čtenář účtu Spatial Anchors Vlastník prostorových ukotvení účtu Spatial Anchors
Referenční informace: Řízení přístupu na základě role v Azure
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana dat.
DP-2: Monitorování anomálií a hrozeb zaměřených na citlivá data
Funkce
Únik dat / ochrana před únikem informací
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-3: Šifrování citlivých dat při přenosu
Funkce
Šifrování přenášených dat
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Poznámky k funkcím: Protokol TLS 1.2 se používá k šifrování přenášených dat, ale toto nastavení není možné konfigurovat uživatelem a použije se automaticky.
Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Komunikace HTTPS služby Azure Spatial Anchors
DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto spravovaných klíčů Microsoftu. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ano | Microsoft |
Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Úložiště dat Azure Spatial Anchors
DP-5: Použití možnosti klíče spravovaného zákazníkem v neaktivních uložených datech v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí CMK
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníků uložený službou. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení Azure: Správa prostředků.
AM-2: Použití pouze schválených služeb
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ano | Ne | Zákazník |
Pokyny k konfiguraci: Konfigurace v Programu Microsoft Defender pro cloud ke konfiguraci Azure Policy k auditování a vynucování konfigurací prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pomocí efektů Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč prostředky Azure.
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender for Service / Nabídka produktů
Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Backup a obnovení
Další informace najdete v srovnávacím testu zabezpečení Azure: Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
Popis: Službu lze zálohovat službou Azure Backup. Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Přečtěte si další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| Ne | Neuvedeno | Neuvedeno |
Poznámky k funkcím: Ve výchozím nastavení je ve službě Azure Blob Storage povolená replikace objektů blob. Zákazník ale nemá možnost tuto funkci nakonfigurovat.
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Další kroky
- Přehled srovnávacího testu zabezpečení Azure V3
- Další informace o základních úrovních zabezpečení Azure