Standardní hodnoty zabezpečení Azure pro Azure Spatial Anchors

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 3.0 na Azure Spatial Anchors. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny pro Azure Spatial Anchors.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Azure Policy definice se zobrazí v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů v ovládacích prvcích a doporučeních srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Funkce , které se nevztahují na Azure Spatial Anchors, byly vyloučeny. Pokud chcete zjistit, jak Azure Spatial Anchors kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure Spatial Anchors.

Profil zabezpečení

Profil zabezpečení shrnuje chování Azure Spatial Anchors s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut chování služby Hodnota
Kategorie produktu Hybridní realita
Zákazník má přístup k hostiteli nebo operačnímu systému. Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ne
Ukládá neaktivní uložený obsah zákazníka. Ano

Zabezpečení sítě

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátního Virtual Network zákazníka (VNet). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Podpora skupiny zabezpečení sítě

Popis: Síťový provoz služby respektuje přiřazení pravidel skupin zabezpečení sítě v jejích podsítích. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků

Funkce

Popis: Funkce nativního filtrování IP adres pro filtrování síťového provozu (nezaměňovat se se skupinou zabezpečení sítě nebo Azure Firewall). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Zakázání přístupu k veřejné síti

Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (nikoli skupiny zabezpečení sítě nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Správa identit

Další informace najdete v tématu Srovnávací test zabezpečení Azure: Správa identit.

IM-1: Použití centralizovaného systému identit a ověřování

Funkce

Azure AD ověření vyžadované pro přístup k rovině dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.

Referenční informace: Ověřování a autorizace pro Azure Spatial Anchors

Místní metody ověřování pro přístup k rovině dat

Popis: Místní metody ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Shared

Poznámky k funkcím: Vyhněte se používání místních metod ověřování nebo účtů, měly by být zakázány všude, kde je to možné. Místo toho použijte Azure AD k ověření, pokud je to možné.

Pokyny ke konfiguraci: Pro výchozí nasazení se nevyžadují žádné další konfigurace.

Další doprovodné materiály: Nejsou vyžadovány žádné další konfigurace, protože je spravovaná platformou Azure.

Referenční informace: Klíče účtu prostorových ukotvení

IM-3: Zabezpečená a automatická správa identit aplikací

Funkce

Spravované identity

Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Instanční objekty

Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Můžete se rozhodnout ověřit Azure AD pomocí standardních instančních objektů pro přístup k prostředkům. Azure Spatial Anchors nemá zvláštní využití/integraci instančních objektů.

Pokyny ke konfiguraci: Pro služby, které nepodporují spravované identity, použijte Azure Active Directory (Azure AD) k vytvoření instančního objektu s omezenými oprávněními na úrovni prostředku. Nakonfigurujte instanční objekty pomocí přihlašovacích údajů certifikátu a vraťte se k tajným klíčům klienta pro ověřování.

Referenční informace: Objekty aplikace a instančního objektu v Azure Active Directory

IM-7: Omezení přístupu k prostředkům na základě podmínek

Funkce

Podmíněný přístup pro rovinu dat

Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů

Funkce

Integrace přihlašovacích údajů a tajných kódů služeb a úložiště v Azure Key Vault

Popis: Rovina dat podporuje nativní použití Azure Key Vault pro přihlašovací údaje a úložiště tajných kódů. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Privilegovaný přístup

Další informace najdete v srovnávacím testu zabezpečení Azure: Privilegovaný přístup.

PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů

Funkce

Místní účty Správa

Popis: Služba má koncept účtu místního správce. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

PA-7: Postupujte podle zásady správy (nejnižších oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Azure Role-Based Access Control (Azure RBAC) se dá použít ke spravovanému přístupu k akcím roviny dat služby. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Azure Spatial Anchors má tři před existující role pro různé přístupy na úrovni prostředků: Čtenář účtu Spatial Anchors Vlastník prostorových ukotvení účtu Spatial Anchors

Referenční informace: Řízení přístupu na základě role v Azure

Ochrana dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana dat.

DP-2: Monitorování anomálií a hrozeb zaměřených na citlivá data

Funkce

Únik dat / ochrana před únikem informací

Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

DP-3: Šifrování citlivých dat při přenosu

Funkce

Šifrování přenášených dat

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Poznámky k funkcím: Protokol TLS 1.2 se používá k šifrování přenášených dat, ale toto nastavení není možné konfigurovat uživatelem a použije se automaticky.

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: Komunikace HTTPS služby Azure Spatial Anchors

DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.

Funkce

Šifrování neaktivních uložených dat pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy se podporuje, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto spravovaných klíčů Microsoftu. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny k konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.

Referenční informace: Úložiště dat Azure Spatial Anchors

DP-5: Použití možnosti klíče spravovaného zákazníkem v neaktivních uložených datech v případě potřeby

Funkce

Šifrování neaktivních uložených dat pomocí CMK

Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníků uložený službou. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Správa aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Správa prostředků.

AM-2: Použití pouze schválených služeb

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny k konfiguraci: Konfigurace v Programu Microsoft Defender pro cloud ke konfiguraci Azure Policy k auditování a vynucování konfigurací prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pomocí efektů Azure Policy [odepřít] a [nasadit, pokud neexistuje] vynucujte zabezpečenou konfiguraci napříč prostředky Azure.

Protokolování a detekce hrozeb

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender for Service / Nabídka produktů

Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Backup a obnovení

Další informace najdete v srovnávacím testu zabezpečení Azure: Zálohování a obnovení.

BR-1: Zajištění pravidelných automatizovaných záloh

Funkce

Azure Backup

Popis: Službu lze zálohovat službou Azure Backup. Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Funkce nativního zálohování služby

Popis: Služba podporuje vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Přečtěte si další informace.

Podporováno Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Ve výchozím nastavení je ve službě Azure Blob Storage povolená replikace objektů blob. Zákazník ale nemá možnost tuto funkci nakonfigurovat.

Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.

Další kroky