Base de référence de sécurité Azure pour Azure Data Share

Cette base de référence de sécurité applique des instructions du benchmark de sécurité Azure version 3.0 à Azure Data Share. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à Azure Data Share.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour Cloud.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les fonctionnalités non applicables à Azure Data Share ont été exclues. Pour voir la correspondance complète entre Azure Data Share au Benchmark de sécurité Azure, consultez le fichier de mise en correspondance complet de la base de référence de sécurité Azure Data Share.

Profil de sécurité

Le profil de sécurité résume les comportements à impact élevé d’Azure Data Share, ce qui peut entraîner une augmentation des considérations de sécurité.

Attribut comportement du service Valeur
Catégorie de produit MGMT/Gouvernance
Le client peut accéder à HOST /OS Aucun accès
Le service peut être déployé dans le réseau virtuel du client False
Stocke le contenu client au repos False

Sécurité du réseau

Pour plus d'informations, consultez Benchmark de sécurité Azure : Sécurité réseau.

NS-1 : Établir des limites de segmentation réseau

Fonctionnalités

Prise en charge du groupe de sécurité réseau

Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux. Plus d’informations

Prise en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

NS-2 : Sécuriser les services cloud avec des contrôles réseau

Fonctionnalités

Description : Fonctionnalité de filtrage IP native du service pour le filtrage du trafic réseau (pas à confondre avec NSG ou Pare-feu Azure). Plus d’informations

Prise en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Protection de données

Pour plus d'informations, consultez Benchmark de sécurité Azure : Protection des données.

DP-3 : chiffrer les données sensibles en transit

Fonctionnalités

Données dans le chiffrement de transit

Description : Le service prend en charge le chiffrement en transit des données pour le plan de données. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True True Microsoft

Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.

Référence : Vue d’ensemble de la sécurité pour Azure Data Share

DP-4 : activer le chiffrement des données au repos par défaut

Fonctionnalités

Chiffrement des données au repos à l’aide de clés de plateforme

Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire

Fonctionnalités

Données au niveau du chiffrement rest à l’aide de CMK

Description : Le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité Azure : Gestion des ressources.

AM-2 : Utiliser uniquement des services approuvés

Fonctionnalités

Prise en charge d’Azure Policy

Description : Les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Customer

Conseils de configuration : Utilisez Microsoft Defender pour Cloud pour configurer Azure Policy pour auditer et appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources. Utilisez les effets Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer une configuration sécurisée sur les ressources Azure.

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité Azure : journalisation et détection des menaces.

LT-4 : Activer la journalisation pour l’investigation de sécurité

Fonctionnalités

Journaux des ressources Azure

Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation spécifiques au service améliorées. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Customer

Conseils de configuration : Activez les journaux des ressources (paramètres de diagnostic) pour Data Share conserver les données ou les événements liés au service.

Référence : Surveiller Azure Data Share - Paramètre de diagnostic

Étapes suivantes