Standardní hodnoty zabezpečení Azure pro Azure SignalR Service
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení Azure verze 2.0 na Azure SignalR. Azure Security Benchmark poskytuje doporučení, jak můžete zabezpečit svá cloudová řešení v Azure. Obsah je seskupený ovládacími prvky zabezpečení definovanými srovnávacím testem zabezpečení Azure a souvisejícími pokyny, které se vztahují ke službě Azure SignalR.
Tento směrný plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. definice Azure Policy budou uvedeny v části Dodržování právních předpisů na řídicím panelu Microsoft Defenderu pro cloud.
Pokud má oddíl relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s ovládacími prvky a doporučeními srovnávacích testů zabezpečení Azure. Některá doporučení můžou vyžadovat placený plán Programu Microsoft Defender pro povolení určitých scénářů zabezpečení.
Poznámka
Ovládací prvky se nevztahují na Azure SignalR Service a ty, pro které se globální pokyny doporučují doslovně, byly vyloučeny. Pokud chcete zjistit, jak se Azure SignalR Service úplně mapují na srovnávací test zabezpečení Azure, podívejte se na úplný soubor mapování standardních hodnot zabezpečení Azure SignalR Service.
Zabezpečení sítě
Další informace najdete v tématu Azure Security Benchmark: zabezpečení sítě.
NS-1: Implementace zabezpečení pro interní provoz
Pokyny: Microsoft Azure SignalR Service nepodporuje nasazení přímo do virtuální sítě. S prostředky nabídky nemůžete využívat určité síťové funkce, včetně skupin zabezpečení sítě, směrovacích tabulek nebo jiných síťových závislých zařízení, jako je například Azure Firewall.
Azure SignalR Service ale umožňuje vytvářet privátní koncové body pro zabezpečení provozu mezi prostředky ve vaší virtuální síti a Azure SignalR Service.
Můžete také použít značky služeb a nakonfigurovat pravidla skupiny zabezpečení sítě k omezení příchozího nebo odchozího provozu na Azure SignalR Service.
Odpovědnost: Zákazník
NS-2: Propojení privátních sítí
Pokyny: Použití privátních koncových bodů k zabezpečení provozu mezi vaší virtuální sítí a Azure SignalR Service Zvolte Azure ExpressRoute nebo virtuální privátní síť Azure (VPN) a vytvořte privátní připojení mezi datovými centry Azure a místní infrastrukturou v kolokačním prostředí.
Připojení ExpressRoute nepřecházejí přes veřejný internet a nabízejí větší spolehlivost, rychlejší rychlost a nižší latenci než typická internetová připojení. Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí jakékoli kombinace těchto možností SÍTĚ VPN a Azure ExpressRoute.
Pokud chcete propojit dvě nebo více virtuálních sítí v Azure, použijte partnerský vztah virtuálních sítí. Síťový provoz mezi partnerskými virtuálními sítěmi je privátní a uchovává se v páteřní síti Azure.
Odpovědnost: Zákazník
Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.
Azure Policy předdefinované definice – Microsoft.SignalRService:
Název (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Azure SignalR Service by měl používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek Azure SignalR Service místo celé služby snížíte rizika úniku dat. Přečtěte si další informace o privátních odkazech na adrese: https://aka.ms/asrs/privatelink. | Audit, Odepřít, Zakázáno | 1.0.1 |
NS-3: Zřízení přístupu privátní sítě ke službám Azure
Pokyny: Použití Azure Private Link k povolení privátního přístupu k Azure SignalR Service z virtuálních sítí bez přechodu na internet.
Privátní přístup je další hloubková míra ochrany kromě ověřování a zabezpečení provozu, které nabízí služby Azure.
Odpovědnost: Zákazník
Monitorování v programu Microsoft Defender pro cloud: Srovnávací test zabezpečení Azure je výchozí iniciativa zásad pro Microsoft Defender for Cloud a je základem doporučení Microsoft Defenderu pro cloud. Definice Azure Policy týkající se tohoto ovládacího prvku jsou automaticky povoleny programem Microsoft Defender for Cloud. Výstrahy týkající se tohoto ovládacího prvku můžou vyžadovat plán Programu Microsoft Defender pro související služby.
Azure Policy předdefinované definice – Microsoft.SignalRService:
Name (Azure Portal) |
Description | Efekty | Verze (GitHub) |
---|---|---|---|
Azure SignalR Service by měl používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek Azure SignalR Service místo celé služby snížíte rizika úniku dat. Přečtěte si další informace o privátních odkazech na adrese: https://aka.ms/asrs/privatelink. | Audit, Odepřít, Zakázáno | 1.0.1 |
NS-6: Zjednodušení pravidel zabezpečení sítě
Pokyny: Použití značek služeb Azure Virtual Network k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo Azure Firewall nakonfigurovaných pro vaše prostředky Azure SignalR Service. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například AzureSignalR) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz odpovídající služby. Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby při změně adres.
Odpovědnost: Zákazník
Správa identit
Další informace najdete v tématu Azure Security Benchmark: správa identit.
IM-1: Standardizace Azure Active Directory jako centrálního systému pro identifikaci a ověřování
Pokyny: Azure SignalR Service používá azure Active Directory (Azure AD) jako výchozí službu správy identit a přístupu. Měli byste standardizovat Azure AD, abyste mohli řídit správu identit a přístupu ve vaší organizaci:
- Cloudové prostředky Microsoftu, jako jsou Azure Portal, Azure Storage, Virtuální počítač Azure (Linux a Windows), Azure Key Vault, PaaS a aplikace SaaS.
- prostředky vaší organizace, jako jsou aplikace v Azure nebo prostředky vaší podnikové sítě
Azure SignalR Service podporuje pouze ověřování Azure AD roviny správy, ale ne pro rovinu dat. Tady je seznam předdefinovaných rolí v Azure SignalR Service:
- Přispěvatel SignalR
- Čtečka signalR AccessKey
Zabezpečení služby Azure AD by mělo mít vysokou prioritu v praxi cloudového zabezpečení vaší organizace. Azure AD poskytuje bezpečnostní skóre identity, které vám pomůže vyhodnotit stav zabezpečení identity vzhledem k doporučeným osvědčeným postupům od Microsoftu. Pomocí skóre můžete vyhodnotit, jak přesně vaše konfigurace vyhovuje doporučeným osvědčeným postupům, a provádět v zabezpečení vylepšení.
Azure AD podporuje externí identity, které uživatelům bez účtu Microsoft umožňují přihlásit se ke svým aplikacím a prostředkům pomocí externí identity.
Odpovědnost: Zákazník
IM-2: Zabezpečená a automatická správa identit aplikací
Pokyny: Azure SignalR Service používá spravované identity Azure pro účty, které nejsou lidské, jako je volání upstreamu v bezserverovém scénáři. Pro přístup k dalším prostředkům Azure se doporučuje použít funkci spravované identity Azure. Azure SignalR Service se může nativně ověřovat ve službách Nebo prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD) prostřednictvím předdefinovaného pravidla udělení přístupu bez použití pevně zakódovaných přihlašovacích údajů ve zdrojovém kódu nebo konfiguračních souborech.
Odpovědnost: Zákazník
IM-3: Použití jednotného přihlašování (SSO) Azure AD pro přístup k aplikacím
Pokyny: Azure SignalR Service používá Azure Active Directory (Azure AD) k zajištění správy identit a přístupu k prostředkům SignalR. Patří sem podnikové identity, jako jsou zaměstnanci, i externí identity, jako jsou partneři a dodavatelé. To umožňuje jednotné přihlašování ke správě a zabezpečení přístupu k datům a prostředkům vaší organizace místně i v cloudu. Připojte všechny své uživatele, aplikace a zařízení k Azure AD, ať máte bezproblémový, zabezpečený přístup a lepší viditelnost a kontrolu.
Odpovědnost: Zákazník
Privilegovaný přístup
Další informace najdete v tématu Azure Security Benchmark: privilegovaný přístup.
PA-1: Ochrana a omezení vysoce privilegovaných uživatelů
Pokyny: Nejdůležitější předdefinované role jsou Azure Active Directory (Azure AD) globální správce a správce privilegovaných rolí jako uživatelé přiřazené k těmto dvěma rolím můžou delegovat role správce:
- Globální správce: Uživatelé s touto rolí mají přístup ke všem funkcím pro správu v Azure AD a ke službám, které používají Azure AD identit.
- Správce privilegovaných rolí: Uživatelé s touto rolí můžou spravovat přiřazení rolí v Azure AD a také v rámci Azure AD Privileged Identity Management (PIM). Tato role navíc umožňuje správu všech aspektů PIM a jednotek pro správu.
Azure SignalR Service má integrované vysoce privilegované role. Omezte počet vysoce privilegovaných účtů nebo rolí a chraňte Azure AD tyto účty na vyšší úrovni, protože uživatelé s tímto oprávněním můžou přímo nebo nepřímo číst a upravovat všechny prostředky ve vašem prostředí Azure.
S využitím služby Azure AD Privileged Identity Management (PIM) můžete povolit privilegovaný přístup podle potřeby (JIT) k prostředkům Azure a Azure AD. JIT uděluje dočasná oprávnění k provádění privilegovaných úloh, pouze když je uživatelé potřebují. PIM může také generovat upozornění zabezpečení v případě podezřelých nebo nebezpečných aktivit ve vaší organizaci Azure AD.
Používání upozornění zabezpečení služby Azure Privileged Identity Management
Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD
Odpovědnost: Zákazník
PA-3: Pravidelná kontrola a sjednocování přístupu uživatelů
Pokyny: Pravidelně kontrolujte uživatelské účty a přiřazování přístupu, abyste měli jistotu, že jsou účty a jejich úroveň přístupu platné.
Azure SignalR Service používá účty Azure Active Directory (Azure AD) ke správě svých prostředků, pravidelně kontrolujte uživatelské účty a přiřazování přístupu, abyste měli jistotu, že jsou účty a jejich přístup platné. Ke kontrole členství ve skupinách, přístupu k podnikovým aplikacím a přiřazení rolí můžete použít Azure AD kontroly přístupu. Azure AD generování sestav může poskytovat protokoly, které pomáhají zjišťovat zastaralé účty. Můžete také použít Azure AD Privileged Identity Management k vytvoření pracovního postupu kontroly přístupu k sestavě pro kontrolu přístupu, který usnadňuje proces kontroly.
Mezi předdefinované role v Azure SignalR Service patří:
- Přispěvatel služby SignalR
- SignalR AccessKey Reader
Kromě toho je možné službu Azure Privileged Identity Management nakonfigurovat tak, aby upozorňovala také na vytvoření nadměrného počtu účtů správce a k identifikaci účtů správců, které jsou zastaralé nebo nesprávně nakonfigurované.
Odpovědnost: Zákazník
PA-6: Použití pracovních stanic s privilegovaným přístupem
Pokyny: Zabezpečené, izolované pracovní stanice jsou nesmírně důležité pro zabezpečení citlivých rolí, jako jsou správci, vývojáři a obsluha nejdůležitějších služeb. Pro úlohy správy používejte vysoce zabezpečené uživatelské pracovní stanice nebo Azure Bastion. K nasazení zabezpečené a spravované uživatelské pracovní stanice pro úlohy správy použijte Azure Active Directory (Azure AD), Rozšířenou ochranu před internetovými útoky (ATP) v programu Microsoft Defender a/nebo Microsoft Intune. Zabezpečené pracovní stanice se dají centrálně spravovat, aby byla vynucena zabezpečená konfigurace, včetně silného ověřování, základních úrovní softwaru a hardwaru a omezeného logického a síťového přístupu.
Odpovědnost: Zákazník
PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)
Pokyny: SignalR Service je integrován s řízením přístupu na základě role Azure (Azure RBAC) ke správě svých prostředků. Azure RBAC umožňuje spravovat přístup k prostředkům Azure prostřednictvím přiřazení rolí. Přiřaďte tyto role uživatelům, seskupujte instanční objekty a spravované identity. Předdefinované předdefinované role existují pro určité prostředky a tyto role je možné inventarizované nebo dotazované prostřednictvím nástrojů, jako je Azure CLI, Azure PowerShell nebo Azure Portal.
Oprávnění k prostředkům přiřazená prostřednictvím Azure RBAC by vždy měla být omezená pouze na to, co konkrétní role vyžadují. To doplňuje přístup azure Active Directory (Azure AD) Privileged Identity Management (PIM) za běhu (JIT) a měl by se pravidelně kontrolovat.
Předdefinované role v SignalR Service:
- Přispěvatel služby SignalR
- SignalR AccessKey Reader
Pomocí předdefinovaných rolí přidělte oprávnění a v případě potřeby vytvořte pouze vlastní role.
Odpovědnost: Zákazník
Ochrana dat
Další informace najdete v tématu Azure Security Benchmark: ochrana dat.
DP-2: Ochrana citlivých dat
Pokyny: Ochrana citlivých dat omezením přístupu pomocí Access Control na základě role Azure (Azure RBAC), řízení přístupu na základě sítě a konkrétních ovládacích prvků ve službách Azure (například šifrování v SQL a dalších databázích).
Aby se zajistilo konzistentní řízení přístupu, všechny typy řízení přístupu by měly být v souladu s vaší podnikovou strategií segmentace. Podniková strategie segmentace by měla vycházet také z umístění citlivých nebo důležitých obchodních dat a systémů.
Pro základní platformu spravovanou Microsoftem platí, že Microsoft považuje veškerý obsah zákazníků za citlivý a zajišťuje ochranu před ztrátou a vystavením zákaznických dat. V zájmu zajištění zabezpečení zákaznických dat v rámci Azure Microsoft implementovat určité výchozí kontrolní mechanismy a funkce ochrany dat.
Odpovědnost: Sdílené
DP-4: Šifrování citlivých informací při přenosu
Pokyny: Šifrování je důležité pro provoz v externích a veřejných sítích. Azure SignalR Service k zajištění zabezpečení používá protokol HTTPS (TLS v1.2) pro veškerý příchozí a odchozí provoz. Azure na úrovni základní infrastruktury ve výchozím nastavení poskytuje šifrování přenosu dat pro přenos dat mezi datovými centry Azure.
Odpovědnost: Microsoft
Správa aktiv
Další informace najdete v tématu Azure Security Benchmark: správa prostředků.
AM-1: Zajištění přehledu o rizicích u prostředků pro bezpečnostní tým
Pokyny: Ujistěte se, že bezpečnostní týmy mají ve vašem tenantovi a předplatných Azure udělená oprávnění čtenáře zabezpečení, aby mohli monitorovat rizika zabezpečení pomocí programu Microsoft Defender for Cloud.
V závislosti na struktuře odpovědností týmu zabezpečení může být monitorování bezpečnostních rizik zodpovědností centrálního týmu zabezpečení nebo místního týmu. Přehledy zabezpečení a bezpečnostní rizika se však v rámci organizace musí vždy agregovat centrálně.
Oprávnění Čtenář zabezpečení je možné přidělit pro celého tenanta (kořenová skupina pro správu) nebo je vymezit na konkrétní skupiny pro správu nebo konkrétní předplatná.
Poznámka: K získání přehledu o úlohách a službách se můžou vyžadovat další oprávnění.
Odpovědnost: Zákazník
AM-2: Zajištění přístupu k inventáři a metadatům prostředků pro bezpečnostní tým
Pokyny: Použití značek u prostředků Azure, skupin prostředků a předplatných k jejich logickému uspořádání do taxonomie Každá značka se skládá z páru název-hodnota. Můžete například použít název Prostředí a hodnotu Produkční na všechny prostředky v produkčním prostředí.
Jak vytvářet dotazy pomocí Průzkumníka Azure Resource Graphu
Správa inventáře cloudových prostředků v programu Microsoft Defender pro cloud
Průvodce rozhodováním ohledně pojmenování a označování prostředků
Odpovědnost: Zákazník
AM-3: Používání jenom schválených služeb Azure
Pokyny: Pomocí Azure Policy auditujte a omezte služby, které můžou uživatelé ve vašem prostředí zřídit. Pomocí Azure Resource Graphu se můžete dotazovat na prostředky v rámci jejich předplatných a zjišťovat je. Pomocí Azure Monitoru můžete také vytvořit pravidla pro aktivaci upozornění při zjištění neschválené služby.
Odpovědnost: Zákazník
Protokolování a detekce hrozeb
Další informace najdete v tématu Azure Security Benchmark: protokolování a detekce hrozeb.
LT-2: Povolení detekce hrozeb pro správu identit a přístupu v Azure
Doprovodné materiály: Azure Active Directory (Azure AD) poskytuje následující protokoly uživatelů, které je možné zobrazit v Azure AD vytváření sestav nebo integraci se službou Azure Monitor, Microsoft Sentinel nebo jinými nástroji pro monitorování a monitorování pro sofistikovanější případy použití monitorování a analýz:
- Přihlášení – Sestava sign-n poskytuje informace o využití spravovaných aplikací a aktivit přihlašování uživatelů.
- Protokoly auditu – Zajišťuje sledovatelnost prostřednictvím protokolů všech změn provedených různými funkcemi v rámci Azure AD. Mezi příklady protokolů auditu patří změny jakýchkoli prostředků v rámci Azure AD, jako jsou přidání nebo odebrání uživatelů, aplikací, skupin, rolí nebo zásad.
- Rizikové přihlášení – Rizikový přihlášení je indikátor pokusu o přihlášení, který mohl provést někdo, kdo není oprávněným vlastníkem uživatelského účtu.
- Uživatelé označení příznakem rizika – Rizikový uživatel je indikátorem uživatelského účtu, který mohl být ohrožený.
Microsoft Defender for Cloud může také upozorňovat na určité podezřelé aktivity, jako je nadměrný počet neúspěšných pokusů o ověření, zastaralé účty v předplatném. Kromě základního monitorování hygieny zabezpečení může modul Microsoft Defender for Cloud Threat Protection shromažďovat také podrobnější výstrahy zabezpečení z jednotlivých výpočetních prostředků Azure (virtuálních počítačů, kontejnerů, app service), datových prostředků (DATABÁZE SQL a úložiště) a vrstev služeb Azure. Tato funkce umožňuje mít přehled o anomáliích účtů v jednotlivých prostředcích.
Odpovědnost: Zákazník
LT-3: Povolení protokolování pro síťové aktivity Azure
Pokyny: Azure SignalR Service není určeno k nasazení do virtuálních sítí, protože z tohoto důvodu nemůžete povolit protokolování toku skupiny zabezpečení sítě, směrovat provoz přes bránu firewall nebo provádět zachytávání paketů.
Azure SignalR Service protokoluje síťový provoz, který zpracovává pro přístup zákazníků. Povolte protokoly prostředků v rámci nasazených nabídek a nakonfigurujte tyto protokoly tak, aby se odesílaly do účtu úložiště pro dlouhodobé uchovávání a auditování.
Odpovědnost: Zákazník
LT-4: Povolení protokolování pro prostředky Azure
Pokyny: Protokoly aktivit, které jsou automaticky dostupné, obsahují všechny operace zápisu (PUT, POST, DELETE) pro vaše Azure SignalR Service prostředky kromě operací čtení (GET). Protokoly aktivit se dají použít k vyhledání chyby při řešení potíží nebo monitorování toho, jak uživatel ve vaší organizaci upravil prostředek.
Povolte protokoly prostředků Azure pro Azure SignalR Service. Microsoft Defender for Cloud a Azure Policy můžete použít k povolení shromažďování protokolů prostředků a dat protokolu. Tyto protokoly můžou být důležité pro pozdější vyšetřování incidentů zabezpečení a provádění forenzních cvičení.
Shromažďování protokolů platformy a metrik pomocí služby Azure Monitor
Principy shromažďování dat v programu Microsoft Defender for Cloud
Odpovědnost: Zákazník
LT-5: Centralizace správy a analýz protokolu zabezpečení
Pokyny: Centralizované protokolování úložiště a analýzy pro povolení korelace Pro každý zdroj protokolů se ujistěte, že jste přiřadili vlastníka dat, pokyny k přístupu, umístění úložiště, jaké nástroje se používají ke zpracování a přístupu k datům, a požadavky na uchovávání dat.
Ujistěte se, že integrujete protokoly aktivit Azure do centrálního protokolování. Ingestování protokolů prostřednictvím služby Azure Monitor za účelem agregace dat zabezpečení generovaných zařízeními koncových bodů, síťovými prostředky a dalšími systémy zabezpečení Ve službě Azure Monitor můžete pomocí pracovních prostorů Služby Log Analytics dotazovat a provádět analýzy a používat účty Azure Storage pro dlouhodobé a archivní úložiště.
Kromě toho povolte a připojte data do Microsoft Sentinelu nebo systému pro správu událostí (SIEM) třetích stran.
Mnoho organizací se rozhodne používat Microsoft Sentinel pro "horká" data, která se používají často, a Azure Storage pro "studená" data, která se používají méně často.
Odpovědnost: Zákazník
LT-7: Použití schválených zdrojů synchronizace času
Pokyny: Azure SignalR Service nepodporuje konfiguraci vlastních zdrojů synchronizace času. Služba {offering_name} spoléhá na zdroje synchronizace času Microsoftu a není vystavená zákazníkům pro konfiguraci.
Odpovědnost: Microsoft
Stav a správa ohrožení zabezpečení
Další informace najdete v tématu Azure Security Benchmark: stav a správa ohrožení zabezpečení.
PV-1: Zřízení zabezpečených konfigurací pro služby Azure
Pokyny: Azure SignalR Service podporuje následující zásady specifické pro služby, které jsou k dispozici v programu Microsoft Defender for Cloud, aby bylo možné auditovat a vynucovat konfigurace vašich prostředků Azure. To je možné nakonfigurovat v programu Microsoft Defender for Cloud nebo s Azure Policy iniciativami.
Azure Blueprints můžete použít k automatizaci nasazení a konfigurace služeb a aplikačních prostředí, včetně šablon Azure Resources Manageru, ovládacích prvků řízení přístupu na základě role (Azure RBAC) a zásad v jedné definici podrobného plánu.
Práce se zásadami zabezpečení v Microsoft Defenderu pro cloud
Auditování dodržování předpisů Azure SignalR Service prostředků pomocí Azure Policy
Kurz – Vytváření a správa zásad pro vynucování dodržování předpisů
Odpovědnost: Zákazník
PV-2: Udržování zabezpečených konfigurací pro služby Azure
Pokyny: Pomocí Microsoft Defenderu for Cloud můžete monitorovat standardní hodnoty konfigurace a vynucovat použití Azure Policy [odepřít] a [nasadit, pokud neexistuje] k vynucení zabezpečené konfigurace pro Azure SignalR Service. Azure SignalR Service zásady zahrnují:
Další informace jsou k dispozici na odkazovaných odkazech.
Odpovědnost: Zákazník
PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky
Pokyny: Použijte Microsoft Defender pro cloud a Azure Policy k vytvoření zabezpečených konfigurací na Azure SignalR Service.
Odpovědnost: Zákazník
PV-8: Provádění pravidelné simulace útoku
Pokyny: Podle potřeby provádějte testování průniku nebo aktivity červeného týmu na svých prostředcích Azure a zajistěte nápravu všech kritických zjištění v oblasti zabezpečení. Postupujte podle pravidel zapojení testování průniku cloudových služeb Microsoftu (Microsoft Cloud Penetration Testing), abyste měli jistotu, že testy průniku neporušují zásady Microsoftu. Využijte strategii Microsoftu a spuštění červeného týmu a testování průniku na živém webu na cloudové infrastruktuře, službách a aplikacích spravovaný Microsoftem.
Odpovědnost: Sdílené
Zálohování a obnovy
Další informace najdete v tématu Azure Security Benchmark: zálohování a obnovení.
BR-4: Zmírnění rizika ztracených klíčů
Pokyny: Ujistěte se, že máte opatření, která brání ztrátě klíčů a jejich zotavení. Povolte v Azure Key Vaultu obnovitelné odstranění a ochranu před vymazáním, aby byly klíče chráněné proti náhodnému nebo zlomyslnému odstranění.
Odpovědnost: Zákazník
Další kroky
- Další informace najdete v článku Přehled Azure Security Benchmark v2.
- Další informace o základních úrovních zabezpečení Azure