Standardní hodnoty zabezpečení Azure pro spravované aplikace Azure

Tento standardní plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 pro spravované aplikace Azure. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah se seskupuje podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení Azure a souvisejícími pokyny vztahujícími se ke spravovaným aplikacím Azure.

Pokud má funkce relevantní Azure Policy definice, které jsou uvedené v tomto směrném plánu, pomůže vám měřit dodržování předpisů pro ovládací prvky a doporučení srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán programu Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Ovládací prvky se nevztahují na spravované aplikace Azure a ty, pro které se doporučuje doslovné doslovné doporučení globálních pokynů, byly vyloučeny. Pokud chcete zjistit, jak se spravované aplikace Azure kompletně mapuje na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení spravovaných aplikací Azure.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Nelze použít; Spravované aplikace Azure definují nasazení služeb Azure, které můžou mít síťovou komponentu, ale nemají jednu samotnou. Informace o zabezpečení najdete v jednotlivých dokumentech jednotlivých prostředků.

Odpovědnost: Microsoft

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall nakonfigurovaných pro prostředky spravované aplikace Azure Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například AzureResourceManager) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro odpovídající službu. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

Odpovědnost: Zákazník

NS-7: Secure Domain Name Service (DNS)

Pokyny: Microsoft spravuje konfigurace související s DNS pro službu Managed Applications. Spravované aplikace Azure definují nasazení služeb Azure, které by mohly vystavit základní konfigurace DNS, ale ne samotné. Informace o zabezpečení najdete v jednotlivých dokumentech jednotlivých prostředků.

Odpovědnost: Microsoft

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Spravované aplikace Azure používají jako výchozí službu pro správu identit a přístupu službu Azure Active Directory (Azure AD). Standardizujte Azure AD, abyste mohli řídit správu identit a přístupu vaší organizace.

Azure poskytuje následující předdefinované role Azure pro autorizaci přístupu ke spravovaným aplikacím pomocí Azure AD a OAuth:

  • Role Přispěvatel spravovaných aplikací: Umožňuje vytvářet prostředky spravovaných aplikací.
  • Role operátora spravované aplikace: Umožňuje číst a provádět akce s prostředky spravované aplikace.
  • Čtenář spravovaných aplikací: Umožňuje číst prostředky ve spravované aplikaci a požádat o přístup JIT.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Použití identit spravovaných Azure k udělení oprávnění spravovaným aplikacím Místo vytvoření výkonnějšího lidského účtu pro přístup k prostředkům nebo spuštění prostředků doporučujeme použít funkci spravované identity Azure, abyste omezili potřebu správy dalších přihlašovacích údajů. Službu Spravované aplikace Azure je možné také přiřadit spravovanou identitu k nativnímu ověřování u jiných služeb a prostředků Azure, které podporují ověřování Azure Active Directory (Azure AD). To může být užitečné, když při načítání tajných kódů povolíte snadný přístup z spravovaných aplikací Azure do Azure Key Vault. Při použití spravovaných identit je identita spravovaná platformou Azure a nevyžaduje zřízení ani obměně tajných kódů.

Spravované aplikace Azure podporují udělení dvou typů identit vaší aplikaci:

  • Identita přiřazená systémem je svázaná s vaším konfiguračním prostředkem. Pokud je prostředek konfigurace odstraněný, odstraní se. Prostředek konfigurace může mít pouze jednu identitu přiřazenou systémem.
  • Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vašemu konfiguračnímu prostředku. Prostředek konfigurace může mít více identit přiřazených uživatelem.

Pokud spravované identity nelze využít, vytvořte instanční objekt s omezenými oprávněními na úrovni prostředků spravované aplikace Azure. Nakonfigurujte tyto instanční objekty pomocí přihlašovacích údajů certifikátu a vraťte se jenom k tajným klíčům klienta. V obou případech je možné azure Key Vault použít ve spojení se spravovanými identitami Azure, aby prostředí runtime (např. funkce Azure) mohl načíst přihlašovací údaje z trezoru klíčů.

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Spravované aplikace Azure používají Azure Active Directory (Azure AD) k zajištění správy identit a přístupu k prostředkům Azure, cloudovým aplikacím a místním aplikacím. Patří sem podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři a dodavatelé. Díky tomu je možné použít jednotné přihlašování (SSO) ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace v místním prostředí a v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Spravované aplikace Azure používají k identitě a přístupu službu Azure Active Directory (Azure AD). Nejdůležitější předdefinované role jsou Azure AD jsou globální správce a správce privilegovaných rolí, kteří jsou přiřazeni k těmto dvěma rolím, můžou delegovat role správce:

  • Globální správce: Uživatelé s touto rolí mají přístup ke všem funkcím pro správu v Azure AD a ke službám, které používají Azure AD identit.
  • Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD a také v rámci Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.

Poznámka: Pokud používáte vlastní role s určitými přiřazenými privilegovanými oprávněními, můžete mít další důležité role, které je potřeba řídit. Můžete také chtít použít podobné ovládací prvky jako účet správce důležitých obchodních prostředků.

S využitím služby Azure AD Privileged Identity Management (PIM) můžete povolit privilegovaný přístup podle potřeby (JIT) k prostředkům Azure a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Pravidelně kontrolujte uživatelské účty a přiřazování přístupu, abyste měli jistotu, že jsou účty a jejich úroveň přístupu platné.

Spravované aplikace Azure používají účty Azure Active Directory (Azure AD) ke správě svých prostředků, k pravidelné kontrole uživatelských účtů a přiřazení přístupu, aby se zajistilo, že účty a jejich přístup jsou platné. Ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí můžete použít Azure AD kontroly přístupu. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management k vytvoření pracovního postupu kontroly přístupu k sestavě pro kontrolu přístupu, který usnadňuje proces kontroly.

Kromě toho je možné službu Azure Privileged Identity Management nakonfigurovat tak, aby upozorňovala také na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správců, které jsou zastaralé nebo nesprávně nakonfigurované.

Poznámka: Některé služby Azure podporují místní uživatele a role, které se nespravují prostřednictvím Azure AD. Tyto uživatele budete muset spravovat samostatně.

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou nesmírně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a obsluha nejdůležitějších služeb. Používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion pro úlohy správy související s vašimi spravovanými aplikacemi. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender (ATP) nebo Microsoft Intune. Zabezpečené pracovní stanice se dají centrálně spravovat, aby byla vynucena zabezpečená konfigurace, včetně silného ověřování, základních úrovní softwaru a hardwaru a omezeného logického a síťového přístupu.

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: Spravované aplikace Azure jsou integrované s řízením přístupu na základě role (RBAC) Azure ke správě svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Tyto role můžete přiřadit uživatelům, skupinám instančních objektů a spravovaným identitám. Pro určité prostředky existují předdefinované role, které je možné inventarizovat nebo dotazovat pomocí nástrojů, jako jsou Azure CLI, Azure PowerShell nebo Azure Portal. Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. To doplňuje přístup azure Active Directory (Azure AD) za běhu (JIT) Privileged Identity Management (PIM) a měl by se pravidelně kontrolovat.

Pokud je to možné, přidělte oprávnění pomocí předdefinovaných rolí a v případě potřeby vytvořte pouze vlastní roli.

Azure poskytuje následující předdefinované role Azure pro autorizaci přístupu ke spravovaným aplikacím pomocí Azure AD a OAuth:

  • Role Přispěvatel spravovaných aplikací: Umožňuje vytvářet spravované prostředky aplikací.
  • Role operátora spravované aplikace: Umožňuje číst a provádět akce u prostředků spravovaných aplikací.
  • Čtenář spravovaných aplikací: Umožňuje číst prostředky ve spravované aplikaci a požádat o přístup JIT.

Další informace najdete v následujících referenčních materiálech:

Odpovědnost: Zákazník

PA-8: Volba schvalovacího procesu pro podporu Microsoftu

Pokyny: Implementace procesu schvalování organizace pro scénáře podpory, ve kterých může Microsoft potřebovat přístup k datům spravovaných aplikací Azure. Customer Lockbox není momentálně k dispozici pro scénáře spravovaných aplikací.

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-2: Ochrana citlivých dat

Pokyny: K zajištění šifrování pomocí vlastních klíčů můžete využít vlastní účet úložiště pro úložiště konfiguračních souborů spravované aplikace.

Odpovědnost: Zákazník

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Spravované aplikace Azure je služba Azure, která využívá Azure Resource Manager pro všechny akce služby. Https/TLS slouží k ochraně přenášených dat pro Azure Resource Manager.

Odpovědnost: Microsoft

DP-5: Šifrování citlivých neaktivních uložených dat

Pokyny: Definice spravovaných aplikací, které definují vaši aplikaci a její prostředky, se dají uložit do vlastních účtů úložiště, které je možné nakonfigurovat pomocí šifrovacích klíčů spravovaných zákazníkem.

V situacích, kdy nechcete používat vlastní úložiště pro definice spravovaných aplikací, azure ve výchozím nastavení poskytuje šifrování neaktivních uložených dat.

Odpovědnost: Sdílené

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že týmům zabezpečení jsou udělena oprávnění čtenáře zabezpečení v tenantovi Azure a předplatných, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

Monitorování bezpečnostních rizik může být odpovědností centrálního bezpečnostního týmu nebo místního týmu v závislosti na struktuře bezpečnostních povinností. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Použití značek u prostředků Azure, skupin prostředků a předplatných k jejich logickému uspořádání do taxonomie Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

Značky, které jsou poskytovány při vytváření spravované aplikace, se použijí i ve spravované skupině prostředků. Vydavatel vaší aplikace může po nasazení poskytnout vlastní další označení spravovaných prostředků.

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Spravované aplikace Azure podporují nasazení a vynucení konfigurace založené na Azure Resource Manager pomocí Azure Policy. Pomocí Azure Policy můžete auditovat a omezovat služby, které můžou uživatelé zřídit ve vašem prostředí. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Pokyny: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které se dají zobrazit v Azure AD generování sestav nebo integraci se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýzy:

Přihlášení – Sestava přihlášení poskytuje informace o využití spravovaných aplikací a aktivitách přihlašování uživatelů.

Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.

Riziková přihlášení – Rizikové přihlášení je indikátorem pokusu o přihlášení, který mohl provést někdo, kdo není legitimním vlastníkem uživatelského účtu.

Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Microsoft Defender for Cloud může také upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření, zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuální počítače, kontejnery, app service), datové prostředky (SQL DB a úložiště) a vrstvy služeb Azure. Tato funkce poskytuje přehled o anomáliích účtů v jednotlivých prostředcích.

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro prostředky spravované aplikace kromě operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo k monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizace protokolování, úložiště a analýzy za účelem povolení korelace Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat. Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Služby Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.

Kromě toho povolte a připojte data do Microsoft Sentinelu nebo siEM jiného výrobce.

Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

Odpovědnost: Zákazník

LT-6: Konfigurace uchovávání úložiště protokolů

Pokyny: Ujistěte se, že všechny účty úložiště nebo pracovní prostory služby Log Analytics používané k ukládání protokolů vytvořených prostředky spravované aplikace mají nastavené období uchovávání protokolů podle předpisů vaší organizace. Ve službě Azure Monitor můžete nastavit dobu uchovávání pracovního prostoru služby Log Analytics podle předpisů vaší organizace. Pro dlouhodobé a archivní úložiště používejte účty pracovního prostoru Azure Storage, Data Lake nebo Log Analytics.

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Spravované aplikace Azure definují nasazení služeb Azure, které by mohly podporovat konfiguraci vlastních zdrojů synchronizace času, ale ne samotné. Služba Managed Applications spoléhá na zdroje synchronizace času Microsoftu a není vystavena zákazníkům pro konfiguraci. Informace o zabezpečení najdete v jednotlivých dokumentech jednotlivých prostředků.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Definujte bezpečnostní mantinely pro týmy infrastruktury a DevOps tím, že snadno nakonfigurujete služby Azure, které používají.

Nakonfigurujte Azure Policy, aby auditovali a vynucovali konfigurace vašich prostředků souvisejících s nasazeními spravovaných aplikací.

Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resource Manager, přiřazení Azure RBAC a přiřazení Azure Policy v jedné definici podrobného plánu.

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pomocí Microsoft Defenderu pro cloud můžete monitorovat prostředky související se spravovanými aplikacemi Azure a používat Azure Policy [odepřít] a [nasadit, pokud neexistují] účinky na zachování zabezpečených konfigurací.

Odpovědnost: Zákazník

PV-6: Provedení posouzení ohrožení zabezpečení softwaru

Pokyny: Spravované aplikace Azure definují nasazení služeb Azure. Informace o zabezpečení najdete v individuální dokumentaci jednotlivých prostředků. Služba Spravované aplikace nezpřístupňuje výpočetní prostředky, které by podporovaly nástroje pro posouzení ohrožení zabezpečení.

Microsoft zpracovává ohrožení zabezpečení a posouzení pro podkladovou platformu, která podporuje službu Managed Applications.

Odpovědnost: Microsoft

PV-7: Rychlá a automatická náprava ohrožení zabezpečení softwaru

Pokyny: Spravované aplikace Azure definují nasazení služeb Azure. Informace o zabezpečení najdete v individuální dokumentaci jednotlivých prostředků. Služba Spravované aplikace nezpřístupňuje výpočetní prostředky, které by podporovaly nástroje pro posouzení ohrožení zabezpečení.

Microsoft zpracovává ohrožení zabezpečení a posouzení pro podkladovou platformu, která podporuje službu Managed Applications.

Odpovědnost: Microsoft

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

Odpovědnost: Sdílené

Zabezpečení koncového bodu

Další informace najdete v srovnávacím testu zabezpečení Azure: Zabezpečení koncových bodů.

ES-1: Použití detekce a odezvy koncových bodů (EDR)

Pokyny: Spravované aplikace Azure definují nasazení služeb Azure, které můžou pracovat s virtuálními počítači, kontejnery nebo úložištěm, které vyžadují ochranu detekce koncových bodů a odezvy (EDR), ale ne sama o sobě. Informace o zabezpečení najdete v jednotlivých dokumentech jednotlivých prostředků.

Základní infrastrukturu spravovaných aplikací Azure zpracovává Microsoft, která zahrnuje zpracování antimalwaru a EDR.

Odpovědnost: Microsoft

ES-2: Použití centrálně spravovaného moderního antimalwarového softwaru

Pokyny: Spravované aplikace Azure definují nasazení služeb Azure, které by mohly pracovat s virtuálními počítači, kontejnery nebo úložištěm, které vyžadují ochranu proti malwaru, ale ne samotné. Informace o zabezpečení najdete v jednotlivých dokumentech jednotlivých prostředků.

Základní infrastrukturu spravovaných aplikací Azure zpracovává Microsoft, která zahrnuje zpracování antimalwaru a EDR.

Odpovědnost: Microsoft

ES-3: Ujistěte se, že se aktualizuje antimalwarový software a podpisy.

Pokyny: Spravované aplikace Azure definují nasazení služeb Azure, které by mohly pracovat s virtuálními počítači, kontejnery nebo úložištěm, které vyžadují ochranu proti malwaru, ale ne samotné. Informace o zabezpečení najdete v jednotlivých dokumentech jednotlivých prostředků.

Základní infrastrukturu spravovaných aplikací Azure zpracovává Microsoft, která zahrnuje zpracování antimalwaru a EDR.

Odpovědnost: Microsoft

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-3: Ověření všech záloh včetně klíčů spravovaných zákazníkem

Pokyny: Při ukládání definic spravovaných aplikací do vlastního účtu úložiště se ujistěte, že můžete obnovit všechny přidružené klíče spravované zákazníkem, které se používají pro šifrování daného účtu uložené v Azure Key Vault.

Odpovědnost: Zákazník

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Pokud pro definice spravované aplikace přinášíte vlastní úložiště, ujistěte se, že máte zavedená opatření, která brání ztrátě klíčů používaných k šifrování definic a zotavení z ní. Povolte obnovitelné odstranění a ochranu před vymazáním v Azure Key Vault, která ukládá klíče spravované zákazníkem, aby se klíče chránily před náhodným nebo škodlivým odstraněním.

Odpovědnost: Zákazník

Další kroky