Standardní hodnoty zabezpečení Azure pro Cognitive Services

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 1.0 na Cognitive Services. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny, které se vztahují ke službám Cognitive Services.

Pokud má funkce relevantní definice Azure Policy, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky , které se nevztahují ke službám Cognitive Services nebo pro které je odpovědností Microsoft, byly vyloučeny. Pokud chcete zjistit, jak služby Cognitive Services zcela mapují na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služeb Cognitive Services.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

1.1: Ochrana prostředků Azure ve virtuálních sítích

Pokyny: Microsoft Azure Cognitive Services poskytuje model vrstveného zabezpečení. Tento model umožňuje zabezpečit účty služeb Cognitive Services pro konkrétní podmnožinu sítí. Když jsou nakonfigurovaná pravidla sítě, můžou k účtu přistupovat pouze aplikace, které žádají o data přes zadanou sadu sítí. Přístup k prostředkům můžete omezit pomocí filtrování požadavků, což umožňuje pouze požadavky pocházející ze zadaných IP adres, rozsahů IP adres nebo ze seznamu podsítí ve virtuálních sítích Azure.

Podpora koncových bodů virtuální sítě a služby pro Cognitive Services je omezená na určitou sadu oblastí.

Odpovědnost: Zákazník

1.2: Monitorování a protokolování konfigurace a provozu virtuálních sítí, podsítí a síťových rozhraní

Pokyny: Pokud Virtual Machines nasadíte ve stejné virtuální síti jako kontejner služeb Cognitive Services, můžete pomocí skupin zabezpečení sítě snížit riziko exfiltrace dat. Povolte protokoly toku skupin zabezpečení sítě a odesílejte protokoly do účtu služby Azure Storage pro audit provozu. Můžete také odesílat protokoly toku skupin zabezpečení sítě do pracovního prostoru Služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.3: Ochrana důležitých webových aplikací

Pokyny: Pokud používáte cognitive Services v rámci kontejneru, můžete nasazení kontejneru rozšířit o front-to-to-endové řešení firewall webových aplikací, které filtruje škodlivý provoz a podporuje komplexní šifrování TLS, zachování privátního a zabezpečeného koncového bodu kontejneru.

Mějte na paměti, že kontejnery služeb Cognitive Services jsou nutné k odesílání informací o měření pro účely fakturace. Jedinou výjimkou jsou offline kontejnery, protože se řídí jinou metodikou fakturace. Nepodařilo se povolit seznam různých síťových kanálů, na které kontejnery Cognitive Services spoléhají, zabráníte tomu, aby kontejner fungoval. Hostitel by měl povolit port 443 a následující domény:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Všimněte si také, že v zabezpečených kanálech, které kontejnery Služeb Cognitive Services vytvářejí na serverech Microsoftu, musíte zakázat hloubkové kontroly paketů pro vaše řešení brány firewall. Pokud to neuděláte, zabráníte tomu, aby kontejner fungoval správně.

Odpovědnost: Zákazník

1.4: Odepřít komunikaci se známými IP adresami se zlými úmysly

Pokyny: Pokud jsou virtuální počítače nasazené ve stejné virtuální síti jako kontejner služeb Cognitive Services, definujte a implementujte standardní konfigurace zabezpečení pro související síťové prostředky s Azure Policy. Pomocí aliasů Azure Policy v oborech názvů Microsoft.CognitiveServices a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě instancí služeb Cognitive Services. Můžete také využít předdefinované definice zásad, například:

  • Měla by být povolena ochrana před útoky DDoS Protection Standard.

Azure Blueprints slouží ke zjednodušení rozsáhlých nasazení Azure zabalením klíčových artefaktů prostředí, jako jsou šablony Azure Resource Manager, řízení přístupu na základě role (Azure RBAC) a zásady v jedné definici podrobného plánu. Podrobný plán můžete snadno použít na nová předplatná a prostředí a vyladit řízení a správu prostřednictvím správy verzí.

Pokud používáte cognitive Services v rámci kontejneru, můžete nasazení kontejneru rozšířit pomocí řešení firewallu webových aplikací, které filtruje škodlivý provoz a podporuje komplexní šifrování TLS, což zajišťuje privátní a zabezpečený koncový bod kontejneru.

Odpovědnost: Zákazník

1.5: Zaznamenávání síťových paketů

Pokyny: Pokud jsou virtuální počítače nasazené ve stejné virtuální síti jako kontejner služeb Cognitive Services, můžete pomocí skupin zabezpečení sítě snížit riziko exfiltrace dat. Povolte protokoly toku skupin zabezpečení sítě a odesílejte protokoly do účtu služby Azure Storage pro audit provozu. Můžete také odesílat protokoly toku skupin zabezpečení sítě do pracovního prostoru Služby Log Analytics a používat Traffic Analytics k poskytování přehledů o toku provozu v cloudu Azure. Některé výhody analýzy provozu jsou schopnost vizualizovat aktivitu sítě a identifikovat aktivní místa, identifikovat bezpečnostní hrozby, porozumět vzorům toku provozu a určit chybné konfigurace sítě.

Odpovědnost: Zákazník

1.6: Nasazení systémů detekce neoprávněných vniknutí na základě sítě nebo vniknutí (IDS/IPS)

Pokyny: Pokud používáte Cognitive Services v rámci kontejneru, můžete nasazení kontejneru rozšířit o front-to-to-endové řešení firewall webových aplikací, které filtruje škodlivý provoz a podporuje komplexní šifrování TLS, zachování privátního a zabezpečeného koncového bodu kontejneru. Nabídku můžete vybrat z Azure Marketplace, která podporuje funkce IDS/IPS s možností zakázat kontrolu datové části.

Mějte na paměti, že kontejnery služeb Cognitive Services jsou nutné k odesílání informací o měření pro účely fakturace. Jedinou výjimkou jsou offline kontejnery, protože se řídí jinou metodikou fakturace. Nepodařilo se povolit seznam různých síťových kanálů, na které kontejnery Cognitive Services spoléhají, zabráníte tomu, aby kontejner fungoval. Hostitel by měl povolit port 443 a následující domény:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Všimněte si také, že v zabezpečených kanálech, které kontejnery Služeb Cognitive Services vytvářejí na serverech Microsoftu, musíte zakázat hloubkové kontroly paketů pro vaše řešení brány firewall. Pokud to neuděláte, zabráníte tomu, aby kontejner fungoval správně.

Odpovědnost: Zákazník

1.7: Správa provozu do webových aplikací

Pokyny: Pokud používáte Cognitive Services v rámci kontejneru, můžete nasazení kontejneru rozšířit o front-to-to-endové řešení firewall webových aplikací, které filtruje škodlivý provoz a podporuje komplexní šifrování TLS, zachování privátního a zabezpečeného koncového bodu kontejneru.

Mějte na paměti, že kontejnery služeb Cognitive Services jsou nutné k odesílání informací o měření pro účely fakturace. Jedinou výjimkou jsou offline kontejnery, protože se řídí jinou metodikou fakturace. Nepodařilo se povolit seznam různých síťových kanálů, na které kontejnery Cognitive Services spoléhají, zabráníte tomu, aby kontejner fungoval. Hostitel by měl povolit port 443 a následující domény:

  • *.cognitive.microsoft.com
  • *.cognitiveservices.azure.com

Všimněte si také, že v zabezpečených kanálech, které kontejnery Služeb Cognitive Services vytvářejí na serverech Microsoftu, musíte zakázat hloubkové kontroly paketů pro vaše řešení brány firewall. Pokud to neuděláte, zabráníte tomu, aby kontejner fungoval správně.

Odpovědnost: Zákazník

1.8: Minimalizace složitosti a administrativní režie pravidel zabezpečení sítě

Pokyny: Použití značek služeb virtuální sítě k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například ApiManagement) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz odpovídající služby. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Skupiny zabezpečení aplikací můžete také použít ke zjednodušení složité konfigurace zabezpečení. Skupiny zabezpečení aplikací umožňují konfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Můžete seskupovat virtuální počítače a na základě těchto skupin definovat zásady zabezpečení sítě.

Odpovědnost: Zákazník

1.9: Údržba standardních konfigurací zabezpečení síťových zařízení

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro síťové prostředky související s kontejnerem služeb Cognitive Services pomocí Azure Policy Pomocí aliasů Azure Policy v oborech názvů Microsoft.CognitiveServices a Microsoft.Network můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace sítě instancí služeb Cognitive Services.

Azure Blueprints můžete také použít ke zjednodušení rozsáhlých nasazení Azure tak, že v jedné definici podrobného plánu zabalíte klíčové artefakty prostředí, jako jsou šablony Azure Resource Manager, řízení přístupu na základě role (Azure RBAC) a zásady. Podrobný plán můžete snadno použít na nová předplatná a prostředí a vyladit řízení a správu prostřednictvím správy verzí.

Odpovědnost: Zákazník

1.10: Dokumentovat pravidla konfigurace provozu

Pokyny: Použijte značky pro síťové prostředky přidružené k vašemu kontejneru služeb Cognitive Services, abyste je mohli logicky uspořádat do taxonomie.

Odpovědnost: Zákazník

1.11: Použití automatizovaných nástrojů k monitorování konfigurací síťových prostředků a zjišťování změn

Pokyny: Pomocí protokolu aktivit Azure můžete monitorovat konfigurace síťových prostředků a zjišťovat změny síťových prostředků souvisejících s kontejnerem služeb Cognitive Services. Vytvořte výstrahy ve službě Azure Monitor, která se aktivují, když dojde ke změnám důležitých síťových prostředků.

Odpovědnost: Zákazník

Protokolování a monitorování

Další informace najdete v srovnávacím testu zabezpečení Azure: Protokolování a monitorování.

2.2: Konfigurace správy protokolů centrálního zabezpečení

Pokyny: Povolení nastavení diagnostiky protokolu aktivit Azure a odeslání protokolů do pracovního prostoru Služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure pro archivaci Protokoly aktivit poskytují přehled o operacích provedených v kontejneru služeb Cognitive Services na úrovni řídicí roviny. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) provedených na úrovni řídicí roviny pro instance služeb Cognitive Services.

Odpovědnost: Zákazník

2.3: Povolení protokolování auditu pro prostředky Azure

Pokyny: Pro protokolování auditu řídicí roviny povolte nastavení diagnostiky protokolu aktivit Azure a odešlete protokoly do pracovního prostoru Služby Log Analytics, centra událostí Azure nebo účtu úložiště Azure pro archivaci. Pomocí dat protokolu aktivit Azure můžete určit, co, kdo a kdy pro všechny operace zápisu (PUT, POST, DELETE) prováděné na úrovni řídicí roviny pro vaše prostředky Azure.

Služby Cognitive Services navíc odesílají diagnostické události, které je možné shromažďovat a používat pro účely analýzy, upozorňování a generování sestav. Nastavení diagnostiky pro kontejner služeb Cognitive Services můžete nakonfigurovat prostřednictvím Azure Portal. Jednu nebo více diagnostických událostí můžete odeslat do účtu úložiště, centra událostí nebo pracovního prostoru Služby Log Analytics.

Odpovědnost: Zákazník

2.5: Konfigurace uchovávání úložiště protokolů zabezpečení

Pokyny: V rámci služby Azure Monitor nastavte dobu uchovávání pracovních prostorů Služby Log Analytics podle předpisů vaší organizace. Používejte účty Azure Storage pro dlouhodobé nebo archivní úložiště.

Odpovědnost: Zákazník

2.6: Monitorování a kontrola protokolů

Pokyny: Povolení nastavení diagnostiky protokolu aktivit Azure a odeslání protokolů do pracovního prostoru Služby Log Analytics Tyto protokoly poskytují bohaté a časté údaje o provozu prostředku, který se používá k identifikaci a ladění problému. Pomocí dotazů v Log Analytics můžete vyhledávat termíny, identifikovat trendy, analyzovat vzory a poskytovat mnoho dalších přehledů na základě dat protokolu aktivit, která se můžou shromažďovat pro služby Azure Cognitive Services.

Odpovědnost: Zákazník

2.7: Povolení upozornění pro neobvyklé aktivity

Pokyny: Upozornění na podporované metriky ve službách Cognitive Services můžete vyvolat tak, že přejdete do části Upozornění a metriky ve službě Azure Monitor.

Nakonfigurujte nastavení diagnostiky pro kontejner služeb Cognitive Services a odešlete protokoly do pracovního prostoru služby Log Analytics. V pracovním prostoru Služby Log Analytics nakonfigurujte upozornění, která se mají provést, když proběhne předem definovaná sada podmínek. Případně můžete povolit a připojit data do služby Microsoft Sentinel nebo siEM jiného výrobce.

Odpovědnost: Zákazník

Identita a řízení přístupu

Další informace najdete v srovnávacím testu zabezpečení Azure: Identita a Access Control.

3.1: Údržba inventáře účtů pro správu

Pokyny: Azure Active Directory (Azure AD) má předdefinované role, které musí být explicitně přiřazeny a které se dají dotazovat. Pomocí modulu Azure AD PowerShellu můžete provádět ad hoc dotazy ke zjišťování účtů, které jsou členy skupin pro správu.

Odpovědnost: Zákazník

3.2: Změna výchozích hesel, pokud je to možné

Pokyny: Přístup řídicí roviny ke službám Cognitive Services se řídí prostřednictvím Azure Active Directory (Azure AD). Azure AD nemá koncept výchozích hesel.

Přístup k rovině dat ke službám Cognitive Services se řídí prostřednictvím přístupových klíčů. Tyto klíče používají klienti, kteří se připojují k mezipaměti, a je možné je kdykoli znovu vygenerovat.

Nedoporučuje se vytvářet výchozí hesla do aplikace. Místo toho můžete hesla ukládat v Azure Key Vault a pak je načíst pomocí Azure AD.

Odpovědnost: Zákazník

3.3: Použití vyhrazených účtů pro správu

Pokyny: Vytvoření standardních operačních postupů pro použití vyhrazených účtů pro správu Ke sledování počtu účtů pro správu použijte Microsoft Defender for Cloud Identity and Access Management.

Kromě toho, abyste měli přehled o vyhrazených účtech pro správu, můžete použít doporučení z Programu Microsoft Defender pro cloud nebo integrované zásady Azure, například:

Odpovědnost: Zákazník

3.4: Použití jednotného přihlašování (SSO) Azure Active Directory

Pokyny: Cognitive Services používá přístupové klíče k ověřování uživatelů a nepodporuje jednotné přihlašování (SSO) na úrovni roviny dat. Přístup k řídicí rovině služeb Cognitive Services je k dispozici prostřednictvím rozhraní REST API a podporuje jednotné přihlašování. Pokud se chcete ověřit, nastavte hlavičku autorizace pro vaše požadavky na webový token JSON (JavaScript Object Notation), který získáte z Azure Active Directory (Azure AD).

Odpovědnost: Zákazník

3.5: Použití vícefaktorového ověřování pro veškerý přístup založený na Azure Active Directory

Pokyny: Povolte vícefaktorové ověřování Azure Active Directory (Azure AD) a postupujte podle doporučení microsoft Defenderu pro cloudovou identitu a správu přístupu.

Odpovědnost: Zákazník

3.6: Použití zabezpečených pracovních stanic spravovaných Azure pro úlohy správy

Pokyny: Použití pracovních stanic s privilegovaným přístupem (PAW) s vícefaktorovým ověřováním nakonfigurovaným pro přihlášení a konfiguraci prostředků Azure

Odpovědnost: Zákazník

3.7: Protokolování a upozornění na podezřelé aktivity z účtů pro správu

Pokyny: Použití služby Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pro generování protokolů a upozornění, pokud dojde k podezřelé nebo nebezpečné aktivitě v prostředí.

Kromě toho můžete pomocí detekce rizik Azure AD zobrazit výstrahy a sestavy o rizikovém chování uživatelů.

Odpovědnost: Zákazník

3.8: Správa prostředků Azure pouze ze schválených umístění

Pokyny: Nakonfigurujte pojmenovaná umístění v Azure Active Directory (Azure AD) Podmíněný přístup tak, aby umožňoval přístup pouze z konkrétních logických seskupení rozsahů IP adres nebo zemí a oblastí.

Odpovědnost: Zákazník

3.9: Použití Azure Active Directory

Pokyny: Jako centrální systém ověřování a autorizace použijte Azure Active Directory (Azure AD). Azure AD chrání data pomocí silného šifrování neaktivních uložených dat a přenášených dat a také solí, hodnot hash a bezpečně ukládá přihlašovací údaje uživatele. Pokud váš případ použití podporuje ověřování AD, pomocí Azure AD ověřte požadavky na rozhraní API služeb Cognitive Services.

V současné době podporuje ověřování ověřování pouze rozhraní API Počítačové zpracování obrazu, rozhraní API pro rozpoznávání tváře, rozhraní API Analýza textu, Asistivní čtečka, Rozpoznávání formulářů, Detektor anomálií a všechny služby Bingu kromě ověřování vlastního vyhledávání Bingu. pomocí Azure AD.

Odpovědnost: Zákazník

3.10: Pravidelně kontrolovat a sladit uživatelský přístup

Pokyny: Azure Active Directory (Azure AD) poskytuje protokoly, které pomáhají zjišťovat zastaralé účty. Kromě toho zákazník využívá kontroly přístupu identit Azure k efektivní správě členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí. Přístup uživatele je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají nepřetržitý přístup jenom aktivní uživatelé.

Zákazník musí udržovat inventář uživatelských účtů API Management a podle potřeby odsouhlasit přístup. V API Management jsou vývojáři uživateli rozhraní API, která zveřejňujete pomocí API Management. Ve výchozím nastavení jsou nově vytvořené vývojářské účty aktivní a přidružené ke skupině Vývojáři. Vývojářské účty, které jsou v aktivním stavu, je možné použít pro přístup ke všem rozhraním API, pro která mají předplatná.

Odpovědnost: Zákazník

3.11: Monitorování pokusů o přístup k deaktivovaným přihlašovacím údajům

Pokyny: Máte přístup ke zdrojům protokolů událostí přihlášení (Azure AD) Azure Active Directory, auditu a rizik, které umožňují integraci se službou Microsoft Sentinel nebo siem jiného výrobce.

Tento proces můžete zjednodušit vytvořením nastavení diagnostiky pro Azure AD uživatelských účtů a odesláním protokolů auditu a protokolů přihlašování do pracovního prostoru služby Log Analytics. V Log Analytics můžete nakonfigurovat požadovaná upozornění protokolu.

Odpovědnost: Zákazník

3.12: Upozornění na odchylku chování při přihlašování k účtu

Pokyny: Pro odchylku chování při přihlášení k účtu v řídicí rovině použijte funkce služby Azure Active Directory (Azure AD) Identity Protection a detekce rizik ke konfiguraci automatizovaných odpovědí na zjištěné podezřelé akce související s identitami uživatelů. Můžete také ingestovat data do Microsoft Sentinelu pro účely dalšího šetření.

Odpovědnost: Zákazník

3.13: Poskytněte Microsoftu přístup k relevantním zákaznickým datům během scénářů podpory.

Pokyny: Není k dispozici pro Cognitive Services. Customer Lockbox se zatím nepodporuje pro Cognitive Services.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

4.1: Udržování inventáře citlivých informací

Pokyny: Pomocí značek můžete sledovat prostředky Azure, které ukládají nebo zpracovávají citlivé informace.

Odpovědnost: Zákazník

4.2: Izolace systémů ukládání nebo zpracování citlivých informací

Pokyny: Implementace samostatných předplatných nebo skupin pro správu pro vývoj, testování a produkci Prostředky by měly být oddělené virtuálními sítěmi nebo podsítěmi, odpovídajícím způsobem označené a zabezpečeny skupinou zabezpečení sítě nebo Azure Firewall. Prostředky, které ukládají nebo zpracovávají citlivá data, by měly být dostatečně izolované. Pro Virtual Machines ukládání nebo zpracování citlivých dat implementujte zásady a postupy, které je při použití vypne.

Odpovědnost: Zákazník

4.3: Monitorování a blokování neoprávněného přenosu citlivých informací

Pokyny: Zatím není k dispozici. Funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou pro Cognitive Services k dispozici.

Microsoft spravuje základní infrastrukturu služeb Cognitive Services a implementoval přísné kontroly, které brání ztrátě nebo vystavení zákaznických dat.

Odpovědnost: Zákazník

4.4: Šifrování všech citlivých informací při přenosu

Pokyny: Všechny koncové body služeb Cognitive Services jsou vystavené prostřednictvím protokolu HTTP vynucování protokolu TLS 1.2. U vynuceného protokolu zabezpečení by uživatelé, kteří se pokoušejí volat koncový bod služeb Cognitive Services, měli dodržovat tyto pokyny:

Odpovědnost: Sdílené

4.5: Použití aktivního nástroje pro zjišťování k identifikaci citlivých dat

Pokyny: Funkce identifikace, klasifikace a ochrany před únikem informací zatím nejsou pro Cognitive Services k dispozici. Označte instance obsahující citlivé informace, jako jsou takové, a v případě potřeby implementují řešení třetích stran pro účely dodržování předpisů.

Microsoft spravuje základní platformu a zpracovává veškerý zákaznický obsah jako citlivý a má velkou délku, aby se chránila před ztrátou a expozicí zákaznických dat. Aby zákaznická data v Rámci Azure zůstala zabezpečená, microsoft implementoval a udržuje sadu robustních ovládacích prvků a možností ochrany dat.

Odpovědnost: Sdílené

4.6: Řízení přístupu k prostředkům pomocí Azure RBAC

Pokyny: Řízení přístupu na základě role v Azure (Azure RBAC) k řízení přístupu k rovině řízení služeb Cognitive Services (tj. Azure Portal).

Odpovědnost: Zákazník

4.8: Šifrování citlivých informací v klidovém stavu

Pokyny: Šifrování neaktivních uložených dat pro Cognitive Services závisí na používané konkrétní službě. Ve většině případů se data šifrují a dešifrují pomocí šifrování AES kompatibilní s standardem FIPS 140-2. Šifrování a dešifrování je transparentní, což znamená, že šifrování a přístup se spravují pro zákazníky microsoftem. Zákaznická data jsou ve výchozím nastavení zabezpečená a nemusí upravovat kód nebo aplikace, aby mohly využívat šifrování.

K ukládání klíčů spravovaných zákazníkem můžete použít také Azure Key Vault. Můžete buď vytvořit vlastní klíče a uložit je do trezoru klíčů, nebo můžete k vygenerování klíčů použít rozhraní API azure Key Vault.

Odpovědnost: Zákazník

4.9: Protokolování a upozornění na změny důležitých prostředků Azure

Pokyny: Použití služby Azure Monitor s protokolem aktivit Azure k vytvoření výstrah pro případy, kdy se změny provádí v produkčních instancích služeb Cognitive Services a dalších důležitých nebo souvisejících prostředcích.

Odpovědnost: Zákazník

Správa inventáře a aktiv

Další informace najdete v srovnávacím testu zabezpečení Azure: Inventář a správa prostředků.

6.1: Použití řešení automatizovaného zjišťování prostředků

Pokyny: Použití Azure Resource Graph k dotazování nebo zjišťování všech prostředků (jako jsou výpočetní prostředky, úložiště, síť, porty, protokoly atd.) v rámci vašich předplatných. Ujistěte se, že máte příslušná oprávnění (čtení) ve vašem tenantovi, a vypíšete všechna předplatná Azure a také prostředky v rámci vašich předplatných.

I když se klasické prostředky Azure můžou objevit prostřednictvím Resource Graph, důrazně doporučujeme vytvářet a používat prostředky Azure Resource Manager.

Odpovědnost: Zákazník

6.2: Udržování metadat prostředků

Pokyny: Použití značek u prostředků Azure, které poskytují metadata k logickému uspořádání do taxonomie.

Odpovědnost: Zákazník

6.3: Odstranění neoprávněných prostředků Azure

Pokyny: Používejte označování, skupiny pro správu a samostatná předplatná, kde je to vhodné, k uspořádání a sledování instancí služeb Cognitive Services a souvisejících prostředků. Pravidelně sladit inventář a zajistit, aby se z předplatného včas odstranily neoprávněné prostředky.

Kromě toho použijte Azure Policy k omezení typu prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

Odpovědnost: Zákazník

6.5: Monitorování neschválené prostředky Azure

Pokyny: Pomocí Azure Policy můžete omezit typ prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

  • Žádné povolené typy prostředků
  • Povolené typy prostředků

Kromě toho můžete pomocí Azure Resource Graph dotazovat nebo zjišťovat prostředky v rámci předplatných.

Odpovědnost: Zákazník

6.9: Použití pouze schválených služeb Azure

Pokyny: Pomocí Azure Policy můžete omezit typ prostředků, které je možné vytvořit v předplatných zákazníků pomocí následujících předdefinovaných definic zásad:

Odpovědnost: Zákazník

6.11: Omezení schopnosti uživatelů pracovat s Azure Resource Manager

Pokyny: Konfigurace podmíněného přístupu Azure pro omezení schopnosti uživatelů pracovat s Azure Resource Manager konfigurací blokování přístupu pro aplikaci Microsoft Azure Management

Odpovědnost: Zákazník

Zabezpečená konfigurace

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečená konfigurace.

7.1: Vytvoření zabezpečených konfigurací pro všechny prostředky Azure

Pokyny: Definování a implementace standardních konfigurací zabezpečení pro kontejner Cognitive Services pomocí Azure Policy Pomocí aliasů Azure Policy v oboru názvů Microsoft.CognitiveServices můžete vytvářet vlastní zásady pro auditování nebo vynucování konfigurace instancí služeb Cognitive Services.

Odpovědnost: Zákazník

7.3: Údržba zabezpečených konfigurací prostředků Azure

Pokyny: Pomocí Azure Policy [odepřít] a [nasadit, pokud neexistují] můžete vynutit zabezpečená nastavení napříč prostředky Azure.

Odpovědnost: Zákazník

7.5: Bezpečné ukládání konfigurace prostředků Azure

Pokyny: Pokud používáte vlastní definice Azure Policy nebo šablony Azure Resource Manager pro kontejnery a související prostředky služeb Cognitive Services, použijte Azure Repos k bezpečnému ukládání a správě kódu.

Odpovědnost: Zákazník

7.7: Nasazení nástrojů pro správu konfigurace pro prostředky Azure

Pokyny: Použití aliasů Azure Policy v oboru názvů Microsoft.Cache k vytvoření vlastních zásad pro upozorňování, auditování a vynucování konfigurací systému Dále vyvíjejte proces a kanál pro správu výjimek zásad.

Odpovědnost: Zákazník

7.9: Implementace automatizovaného monitorování konfigurace pro prostředky Azure

Pokyny: Použití aliasů Azure Policy v oboru názvů Microsoft.CognitiveServices k vytvoření vlastních definic Azure Policy pro upozorňování, auditování a vynucování konfigurací systému K automatickému vynucení konfigurací pro instance a související prostředky služeb Cognitive Services použijte efekty Azure Policy [audit], [odepřít] a [nasadit, pokud neexistují].

Odpovědnost: Zákazník

7.11: Zabezpečená správa tajných kódů Azure

Pokyny: Pro virtuální počítače Nebo webové aplikace Azure běžící na Azure App Service, které se používají pro přístup k rozhraní API služeb Cognitive Services, použijte identitu spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení správy klíčů služeb Cognitive Services. Ujistěte se, Key Vault je povolené obnovitelné odstranění.

Odpovědnost: Zákazník

7.12: Zabezpečená a automatická správa identit

Pokyny: Pro virtuální počítače Nebo webové aplikace Azure běžící na Azure App Service, které se používají pro přístup k rozhraní API služeb Cognitive Services, použijte identitu spravované služby ve spojení s Azure Key Vault ke zjednodušení a zabezpečení správy klíčů služeb Cognitive Services. Ujistěte se, Key Vault je povolené obnovitelné odstranění.

Použití spravovaných identit k poskytování služeb Azure s automaticky spravovanou identitou v Azure Active Directory (Azure AD). Spravované identity umožňují ověřit se ve všech službách, které podporují ověřování Azure AD, včetně Azure Key Vault, bez jakýchkoli přihlašovacích údajů ve vašem kódu.

Odpovědnost: Zákazník

7.13: Eliminace nezamýšlené expozice přihlašovacích údajů

Pokyny: Implementace skeneru přihlašovacích údajů pro identifikaci přihlašovacích údajů v kódu Credential Scanner bude také pobízet k přesunutí odhalených přihlašovacích údajů do bezpečnějších umístění, jako je Azure Key Vault.

Odpovědnost: Zákazník

Obrana před malwarem

Další informace najdete v srovnávacím testu zabezpečení Azure: Ochrana před malwarem.

8.2: Předběžné skenování souborů, které se mají nahrát do nepočítaných prostředků Azure

Pokyny: Antimalwarový program Microsoftu je povolený na podkladovém hostiteli, který podporuje služby Azure (například Cognitive Services), ale nespouští se na obsahu zákazníka.

Předem zkontrolujte veškerý obsah nahraný do jiných než výpočetních prostředků Azure, jako jsou App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL atd. Microsoft nemůže získat přístup k vašim datům v těchto instancích.

Odpovědnost: Zákazník

Obnovení dat

Další informace najdete v srovnávacím testu zabezpečení Azure: Obnovení dat.

9.1: Zajištění pravidelného automatizovaného zálohování

Pokyny: Data v účtu úložiště Microsoft Azure se vždy automaticky replikují, aby se zajistila stálost a vysoká dostupnost. Azure Storage kopíruje data tak, aby byla chráněna před plánovanými a neplánovanými událostmi, včetně přechodných selhání hardwaru, výpadků sítě nebo napájení a masivních přírodních katastrof. Můžete se rozhodnout replikovat data ve stejném datovém centru, v zónových datových centrech ve stejné oblasti nebo v geograficky oddělených oblastech.

Pomocí funkce správy životního cyklu můžete také zálohovat data na archivní vrstvu. Kromě toho povolte obnovitelné odstranění záloh uložených v účtu úložiště.

Odpovědnost: Zákazník

9.2: Provádění kompletních záloh systému a zálohování všech klíčů spravovaných zákazníkem

Pokyny: Nasazení služeb Cognitive Services a souvisejících prostředků pomocí Azure Resource Manager Azure Resource Manager poskytuje možnost exportovat šablony, které umožňují znovu nasadit vaše řešení v průběhu životního cyklu vývoje a mít jistotu, že jsou vaše prostředky nasazené v konzistentním stavu. K pravidelnému volání rozhraní API pro export šablony Azure Resource Manager použijte Azure Automation. Zálohujte předem sdílené klíče v rámci Azure Key Vault.

Odpovědnost: Zákazník

9.3: Ověřte všechny zálohy včetně klíčů spravovaných zákazníkem.

Pokyny: V případě potřeby se ujistěte, že můžete pravidelně provádět nasazení šablon Azure Resource Manager do izolovaného předplatného. Otestujte obnovení zálohovaných předsdílených klíčů.

Odpovědnost: Zákazník

9.4: Zajištění ochrany záloh a klíčů spravovaných zákazníkem

Pokyny: Použití Azure DevOps k bezpečnému ukládání a správě šablon Azure Resource Manager Pokud chcete chránit prostředky, které spravujete v Azure DevOps, můžete udělit nebo odepřít oprávnění konkrétním uživatelům, integrovaným skupinám zabezpečení nebo skupinám definovaným v Azure Active Directory (Azure AD), pokud je integrovaná s Azure DevOps nebo Active Directory, pokud je integrovaná s Team Foundation Serverem.

K ochraně klíčů spravovaných zákazníkem použijte řízení přístupu na základě role v Azure. Povolte ochranu Soft-Delete a vyprázdnění v Key Vault za účelem ochrany klíčů před náhodným nebo škodlivým odstraněním.

Odpovědnost: Zákazník

Reakce na incidenty

Další informace najdete v tématu Azure Security Benchmark: reakce na incidenty.

10.1: Vytvoření průvodce reakcí na incidenty

Pokyny: Sestavte pro vaši organizaci průvodce reakcemi na incidenty. Zajistěte, aby existovaly písemné plány reakcí na incidenty, které definují všechny role pracovníků, a také fáze zpracování nebo správy incidentů od jejich detekce až po přezkoumání po jejich ukončení.

Odpovědnost: Zákazník

10.2: Vytvoření postupu vyhodnocení incidentu a stanovení priorit

Pokyny: Microsoft Defender pro cloud přiřazuje každé výstrahě závažnost, která vám pomůže určit prioritu výstrah, které by se měly nejprve prošetřit. Závažnost je založená na tom, jak je microsoft Defender pro cloud v hledání nebo analýze použité k vydání výstrahy, stejně jako na úrovni spolehlivosti, kterou za aktivitou, která vedla k upozornění, zlými úmysly.

Kromě toho jasně označte předplatná (např. produkční, neprodukční) a vytvořte systém pojmenování, který jasně identifikuje a kategorizuje prostředky Azure.

Odpovědnost: Zákazník

10.3: Testování postupů reakce na zabezpečení

Pokyny: Proveďte cvičení pro testování schopností reakce na incidenty vašich systémů v pravidelných intervalech. Identifikujte slabá místa a mezery a podle potřeby upravte plán.

Odpovědnost: Zákazník

10.4: Zadejte podrobnosti o kontaktu incidentu zabezpečení a nakonfigurujte oznámení výstrah pro incidenty zabezpečení.

Pokyny: Kontaktní informace o incidentu zabezpečení bude microsoft používat k tomu, aby vás kontaktoval, pokud microsoft Security Response Center (MSRC) zjistí, že k datům zákazníka přistupuje neoprávněný nebo neoprávněný účastník. Zkontrolujte incidenty po faktu a ujistěte se, že se problémy vyřeší.

Odpovědnost: Zákazník

10.5: Začlenění výstrah zabezpečení do systému reakce na incidenty

Pokyny: Export upozornění a doporučení v programu Microsoft Defender pro cloud pomocí funkce průběžného exportu Průběžný export umožňuje exportovat výstrahy a doporučení ručně nebo nepřetržitě. K streamování výstrah do Služby Microsoft Sentinel můžete použít konektor Microsoft Defenderu pro cloudová data.

Odpovědnost: Zákazník

10.6: Automatizace reakce na výstrahy zabezpečení

Pokyny: Použití funkce Automatizace pracovního postupu v Microsoft Defenderu pro Cloud k automatické aktivaci odpovědí prostřednictvím Logic Apps u výstrah zabezpečení a doporučení.

Odpovědnost: Zákazník

Penetrační testy a tzv. red team exercises

Další informace najdete v srovnávacím testu zabezpečení Azure: Penetrační testy a červené týmové cvičení.

11.1: Proveďte pravidelné penetrační testování prostředků Azure a zajistěte nápravu všech kritických zjištění zabezpečení.

Pokyny: Postupujte podle pravidel testování průniku do cloudu Microsoftu a ujistěte se, že vaše penetrační testy nejsou porušením zásad Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Další kroky