Standardní hodnoty zabezpečení Azure pro Azure SignalR Service

Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure SignalR. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny, které se vztahují ke službě Azure SignalR.

Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.

Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.

Poznámka

Ovládací prvky se nevztahují na Azure SignalR Service a ty, pro které se globální pokyny doporučují doslovně, byly vyloučeny. Pokud chcete zjistit, jak se Azure SignalR Service úplně mapují na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure SignalR Service.

Zabezpečení sítě

Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.

NS-1: Implementace zabezpečení pro interní provoz

Pokyny: Microsoft Azure SignalR Service nepodporuje nasazení přímo do virtuální sítě. S prostředky nabídky nemůžete využívat určité síťové funkce, včetně skupin zabezpečení sítě, směrovacích tabulek nebo jiných síťových závislých zařízení, jako je například Azure Firewall.

Azure SignalR Service ale umožňuje vytvářet privátní koncové body pro zabezpečení provozu mezi prostředky ve vaší virtuální síti a Azure SignalR Service.

Můžete také použít značky služeb a nakonfigurovat pravidla skupiny zabezpečení sítě k omezení příchozího nebo odchozího provozu na Azure SignalR Service.

• Použití privátních koncových bodů pro Azure SignalR Service

• Konfigurace řízení přístupu k síti

• Použití značek služeb pro Azure SignalR Service

Odpovědnost: Zákazník

NS-2: Propojení privátních sítí

Pokyny: Použití privátních koncových bodů k zabezpečení provozu mezi vaší virtuální sítí a Azure SignalR Service Zvolte Azure ExpressRoute nebo virtuální privátní síť Azure (VPN) a vytvořte privátní připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí.

Připojení ExpressRoute nepřecházejí přes veřejný internet a nabízejí větší spolehlivost, rychlejší rychlost a nižší latenci než typická internetová připojení. Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí jakékoli kombinace těchto možností SÍTĚ VPN a Azure ExpressRoute.

Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.

• Použití privátních koncových bodů pro Azure SignalR Service

• Co jsou modely připojení ExpressRoute

• Přehled azure VPN

• Partnerský vztah virtuální sítě

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.SignalRService:

Název (Azure Portal)	Description	Efekty	Verze (GitHub)
Azure SignalR Service by měl používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek Azure SignalR Service místo celé služby snížíte rizika úniku dat. Přečtěte si další informace o privátních odkazech na adrese: https://aka.ms/asrs/privatelink.	Audit, Odepřít, Zakázáno	1.0.1

NS-3: Zřízení přístupu privátní sítě ke službám Azure

Pokyny: Použití Azure Private Link k povolení privátního přístupu k Azure SignalR Service z virtuálních sítí bez přechodu na internet.

Privátní přístup je další hloubková míra ochrany kromě ověřování a zabezpečení provozu, které nabízí služby Azure.

• Vysvětlení Azure Private Link

• Použití privátních koncových bodů pro Azure SignalR Service

• Konfigurace řízení přístupu k síti

Odpovědnost: Zákazník

Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.

Azure Policy předdefinované definice – Microsoft.SignalRService:

Name (Azure Portal)	Description	Efekty	Verze (GitHub)
Azure SignalR Service by měl používat privátní propojení	Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek Azure SignalR Service místo celé služby snížíte rizika úniku dat. Přečtěte si další informace o privátních odkazech na adrese: https://aka.ms/asrs/privatelink.	Audit, Odepřít, Zakázáno	1.0.1

NS-6: Zjednodušení pravidel zabezpečení sítě

Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall nakonfigurovaných pro vaše prostředky Azure SignalR Service. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například AzureSignalR) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz odpovídající služby. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.

• Principy a používání značek služeb

• Použití značek služeb pro Azure SignalR Service

Odpovědnost: Zákazník

Správa identit

Další informace najdete v tématu Azure Security Benchmark: správa identit.

IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování

Pokyny: Azure SignalR Service používá azure Active Directory (Azure AD) jako výchozí službu správy identit a přístupu. Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:

• Cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, Virtuální počítač Azure (Linux a Windows), Azure Key Vault, PaaS a aplikace SaaS.
• prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě

Azure SignalR Service podporuje pouze ověřování Azure AD roviny správy, ale ne pro rovinu dat. Tady je seznam předdefinovaných rolí v Azure SignalR Service:

• Přispěvatel SignalR
• Čtečka signalR AccessKey

Zabezpečení služby Azure AD by mělo mít vysokou prioritu v praxi cloudového zabezpečení vaší organizace. Azure AD poskytuje bezpečnostní skóre identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučeným osvědčeným postupům od Microsoftu. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.

Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlásit se ke svým aplikacím a prostředkům pomocí externí identity.

• Architektura tenantů v Azure AD

• Jak vytvořit a nakonfigurovat instanci Azure AD

• Použití externích zprostředkovatelů identity pro aplikaci

• Co je skóre zabezpečení identit v Azure AD?

Odpovědnost: Zákazník

IM-2: Zabezpečená a automatická správa identit aplikací

Pokyny: Azure SignalR Service používá spravované identity Azure pro účty, které nejsou lidské, jako je volání upstreamu v bezserverovém scénáři. Pro přístup k dalším prostředkům Azure se doporučuje použít funkci spravované identity Azure. Azure SignalR Service se může nativně ověřovat ve službách Nebo prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD) prostřednictvím předdefinovaného pravidla udělení přístupu bez použití pevně zakódovaných přihlašovacích údajů ve zdrojovém kódu nebo konfiguračních souborech.

• Spravované identity Azure

• Služby, které podporují spravované identity pro prostředky Azure

• Spravované identity pro Azure SignalR Service

Odpovědnost: Zákazník

IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím

Pokyny: Azure SignalR Service používá Azure Active Directory (Azure AD) k zajištění správy identit a přístupu k prostředkům SignalR. Patří sem podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři a dodavatelé. To umožňuje jednotné přihlašování ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.

• Principy jednotného přihlašování k aplikacím pomocí Azure AD

Odpovědnost: Zákazník

Privilegovaný přístup

Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.

PA-1: Ochrana a omezení vysoce privilegovaných uživatelů

Pokyny: Nejdůležitější předdefinované role jsou Azure Active Directory (Azure AD) globální správce a správce privilegovaných rolí jako uživatelé přiřazené k těmto dvěma rolím můžou delegovat role správce:

• Globální správce: Uživatelé s touto rolí mají přístup ke všem funkcím pro správu v Azure AD a ke službám, které používají Azure AD identit.
• Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD a také v rámci Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.

Azure SignalR Service má integrované vysoce privilegované role. Omezte počet vysoce privilegovaných účtů nebo rolí a chraňte Azure AD tyto účty na vyšší úrovni, protože uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure.

S využitím služby Azure AD Privileged Identity Management (PIM) můžete povolit privilegovaný přístup podle potřeby (JIT) k prostředkům Azure a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.

• Přispěvatel služby SignalR

• Oprávnění role správce v Azure AD

• Používání upozornění zabezpečení služby Azure Privileged Identity Management

• Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD

Odpovědnost: Zákazník

PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů

Pokyny: Pravidelně kontrolujte uživatelské účty a přiřazování přístupu, abyste měli jistotu, že jsou účty a jejich úroveň přístupu platné.

Azure SignalR Service používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, pravidelně kontrolujte uživatelské účty a přiřazování přístupu, abyste měli jistotu, že jsou účty a jejich přístup platné. Ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí můžete použít Azure AD kontroly přístupu. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management k vytvoření pracovního postupu kontroly přístupu k sestavě pro kontrolu přístupu, který usnadňuje proces kontroly.

Mezi předdefinované role v Azure SignalR Service patří:

• Přispěvatel služby SignalR
• SignalR AccessKey Reader

Kromě toho je možné službu Azure Privileged Identity Management nakonfigurovat tak, aby upozorňovala také na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správců, které jsou zastaralé nebo nesprávně nakonfigurované.

• Vytvoření kontroly přístupu rolí prostředků Azure v Privileged Identity Management(PIM)

• Používání kontrol přístupu a identit Azure AD

• Přispěvatel služby SignalR

• SignalR AccessKey Reader

Odpovědnost: Zákazník

PA-6: Použití pracovních stanic s privilegovaným přístupem

Pokyny: Zabezpečené, izolované pracovní stanice jsou nesmírně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a obsluha nejdůležitějších služeb. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky (ATP) v programu Microsoft Defender a/nebo Microsoft Intune. Zabezpečené pracovní stanice se dají centrálně spravovat, aby byla vynucena zabezpečená konfigurace, včetně silného ověřování, základních úrovní softwaru a hardwaru a omezeného logického a síťového přístupu.

• Principy pracovních stanic s privilegovaným přístupem

• Nasazení pracovní stanice s privilegovaným přístupem

Odpovědnost: Zákazník

PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)

Pokyny: SignalR Service je integrován s řízením přístupu na základě role Azure (Azure RBAC) ke správě svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Přiřaďte tyto role uživatelům, seskupujte instanční objekty a spravované identity. Předdefinované předdefinované role existují pro určité prostředky a tyto role je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal.

Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. To doplňuje přístup azure Active Directory (Azure AD) Privileged Identity Management (PIM) za běhu (JIT) a měl by se pravidelně kontrolovat.

Předdefinované role v SignalR Service:

• Přispěvatel služby SignalR
• SignalR AccessKey Reader

Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte pouze vlastní role.

• Co je řízení přístupu na základě role v Azure (Azure RBAC)

• Konfigurace Azure RBAC

• Používání kontrol přístupu a identit Azure AD

Odpovědnost: Zákazník

Ochrana dat

Další informace najdete v tématu Azure Security Benchmark: ochrana dat.

DP-2: Ochrana citlivých dat

Pokyny: Ochrana citlivých dat omezením přístupu pomocí Access Control na základě role Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (například šifrování v SQL a dalších databázích).

Aby se zajistilo konzistentní řízení přístupu, všechny typy řízení přístupu by měly být v souladu s vaší podnikovou strategií segmentace. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.

Pro základní platformu spravovanou Microsoftem platí, že Microsoft považuje veškerý obsah zákazníků za citlivý a zajišťuje ochranu před ztrátou a vystavením zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.

• Řízení přístupu na základě role (RBAC) Azure

• Principy ochrany zákaznických dat v Azure

Odpovědnost: Sdílené

DP-4: Šifrování citlivých informací při přenosu

Pokyny: Šifrování je důležité pro provoz v externích a veřejných sítích. Azure SignalR Service k zajištění zabezpečení používá protokol HTTPS (TLS v1.2) pro veškerý příchozí a odchozí provoz. Azure na úrovni základní infrastruktury ve výchozím nastavení poskytuje šifrování přenosu dat pro přenos dat mezi datovými centry Azure.

• Vysvětlení šifrování při přenosu s Využitím Azure

• Informace o zabezpečení TLS

• Dvojité šifrování pro přenášená data Azure

Odpovědnost: Microsoft

Správa aktiv

Další informace najdete v tématu Azure Security Benchmark: správa prostředků.

AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým

Pokyny: Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi a předplatných Azure udělená oprávnění čtenáře zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.

V závislosti na struktuře odpovědností týmu zabezpečení může být monitorování bezpečnostních rizik zodpovědností centrálního týmu zabezpečení nebo místního týmu. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.

Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.

Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.

• Přehled role Čtenář zabezpečení

• Přehled skupin pro správu Azure

Odpovědnost: Zákazník

AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým

Pokyny: Použití značek u prostředků Azure, skupin prostředků a předplatných k jejich logickému uspořádání do taxonomie Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.

• Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu

• Správa inventáře cloudových prostředků v programu Microsoft Defender pro cloud

• Průvodce rozhodováním ohledně pojmenování a označování prostředků

Odpovědnost: Zákazník

AM-3: Používání jenom schválených služeb Azure

Pokyny: Pomocí Azure Policy auditujte a omezte služby, které můžou uživatelé ve vašem prostředí zřídit. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.

• Jak nakonfigurovat a spravovat Azure Policy

• Jak zakázat konkrétní typ prostředku pomocí Azure Policy

• Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu

Odpovědnost: Zákazník

Protokolování a detekce hrozeb

Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.

LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure

Doprovodné materiály: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které je možné zobrazit v Azure AD vytváření sestav nebo integraci se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýz:

• Přihlášení – Sestava sign-n poskytuje informace o využití spravovaných aplikací a aktivit přihlašování uživatelů.
• Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.
• Rizikové přihlášení – Rizikový přihlášení je indikátor pokusu o přihlášení, který mohl provést někdo, kdo není oprávněným vlastníkem uživatelského účtu.
• Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.

Microsoft Defender for Cloud může také upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření, zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuálních počítačů, kontejnerů, app service), datových prostředků (DATABÁZE SQL a úložiště) a vrstev služeb Azure. Tato funkce umožňuje mít přehled o anomáliích účtů v jednotlivých prostředcích.

• Sestavy aktivit auditu v Azure AD

• Povolení ochrany identit Azure

• Ochrana před hrozbami v Microsoft Defenderu pro cloud

Odpovědnost: Zákazník

LT-3: Povolení protokolování pro síťové aktivity Azure

Pokyny: Azure SignalR Service není určeno k nasazení do virtuálních sítí, protože z tohoto důvodu nemůžete povolit protokolování toku skupiny zabezpečení sítě, směrovat provoz přes bránu firewall nebo provádět zachytávání paketů.

Azure SignalR Service protokoluje síťový provoz, který zpracovává pro přístup zákazníků. Povolte protokoly prostředků v rámci nasazených nabídek a nakonfigurujte tyto protokoly tak, aby se odesílaly do účtu úložiště pro dlouhodobé uchovávání a auditování.

• Protokoly prostředků pro Azure SignalR Service

Odpovědnost: Zákazník

LT-4: Povolení protokolování pro prostředky Azure

Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro vaše Azure SignalR Service prostředky kromě operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.

Povolte protokoly prostředků Azure pro Azure SignalR Service. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolu. Tyto protokoly můžou být důležité pro pozdější vyšetřování incidentů zabezpečení a provádění forenzních cvičení.

• Shromažďování protokolů platformy a metrik pomocí služby Azure Monitor

• Vysvětlení protokolování a různých typů protokolů v Azure

• Protokoly prostředků pro Azure SignalR Service

• Principy shromažďování dat v programu Microsoft Defender for Cloud

Odpovědnost: Zákazník

LT-5: Centralizace správy a analýz protokolu zabezpečení

Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat.

Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Služby Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.

Kromě toho povolte a připojte data do Microsoft Sentinelu nebo systému pro správu událostí (SIEM) třetích stran.

Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.

• Shromažďování protokolů platformy a metrik pomocí služby Azure Monitor

• Jak nasadit Microsoft Sentinel

Odpovědnost: Zákazník

LT-7: Použití schválených zdrojů synchronizace času

Pokyny: Azure SignalR Service nepodporuje konfiguraci vlastních zdrojů synchronizace času. Služba {offering_name} spoléhá na zdroje synchronizace času Microsoftu a není vystavená zákazníkům pro konfiguraci.

Odpovědnost: Microsoft

Stav a správa ohrožení zabezpečení

Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.

PV-1: Zřízení zabezpečených konfigurací pro služby Azure

Pokyny: Azure SignalR Service podporuje následující zásady specifické pro služby, které jsou k dispozici v programu Microsoft Defender for Cloud, aby bylo možné auditovat a vynucovat konfigurace vašich prostředků Azure. To je možné nakonfigurovat v programu Microsoft Defender for Cloud nebo s Azure Policy iniciativami.

Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resources Manageru, ovládacích prvků řízení přístupu na základě role (Azure RBAC) a zásad v jedné definici podrobného plánu.

• Práce se zásadami zabezpečení v Microsoft Defenderu pro cloud

• Auditování dodržování předpisů Azure SignalR Service prostředků pomocí Azure Policy

• Kurz – Vytváření a správa zásad pro vynucování dodržování předpisů

• Azure Blueprint

Odpovědnost: Zákazník

PV-2: Udržování zabezpečených konfigurací pro služby Azure

Pokyny: Pomocí Microsoft Defenderu for Cloud můžete monitorovat standardní hodnoty konfigurace a vynucovat použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečené konfigurace pro Azure SignalR Service. Azure SignalR Service zásady zahrnují:

Další informace jsou k dispozici na odkazovaných odkazech.

• Auditování dodržování předpisů Azure SignalR Service prostředků pomocí Azure Policy

• Vysvětlení účinků zásad Azure Policy

• Vytvoření a správa zásad pro vynucování dodržování předpisů

Odpovědnost: Zákazník

PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky

Pokyny: Použijte Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací na Azure SignalR Service.

• Monitorování doporučení microsoft Defenderu pro cloud

• Doporučení k zabezpečení – Referenční příručka

Odpovědnost: Zákazník

PV-8: Provádění pravidelné simulace útoku

Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.

• Testování průniku v Azure

• Pravidla zapojení testování průniku

• Červený tým cloudových služeb Microsoftu

Odpovědnost: Sdílené

Zálohování a obnovy

Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.

BR-4: Zmírnění rizika ztracených klíčů

Pokyny: Ujistěte se, že máte opatření, která brání ztrátě klíčů a jejich zotavení. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.

• Jak povolit obnovitelné odstranění a ochranu před vymazáním v Key Vaultu

Odpovědnost: Zákazník

Další kroky

• Další informace najdete v článku Přehled Azure Security Benchmark v2.
• Další informace o základních úrovních zabezpečení Azure